第五版FMEA除了六步法，还多了一个FMEA-MSR是个什么鬼？

共计 3343 个字符，预计需要花费 9 分钟才能阅读完成。

第五版FMEA手册预计在2018年6月会正式发布，这版FMEA的变化可以说是“革命性的”，要求以“六步法”的思路进行FMEA的分析。除了“六步法”，第五版FMEA中还特别增加了一个新的FMEA类别——FMEA-MSR，英文全称是Supplemental FMEA for Monitoring and System Response，目前尚无官方的正式中文翻译，我暂时将它称为“监视及系统响应的补充FMEA”。

在客户为了保持系统或车辆处于安全状态或法规符合性状态而进行的有关操作（驾驶、保养、维修等）时，FMEA-MSR提供了一种诊断探测和失效缓解的分析方法。

（题外说明：近期有部分文章将FMEA-MSR翻译为“FMEA监测及系统响应”，理解为这是对已编制的DFMEA或PFMEA再进行FMEA分析的FMEA，笔者认为这是断章取义的误解，请广大读者仔细甄别，不要被误导。）

FMEA-MSR的研究对象

FMEA-MSR的研究对象是软件系统、电子系统或机电系统，这些系统中包括至少一个传感器、一个控制单元和一个执行器，或它们的一个子集。分析有关在客户操作条件下的潜在失效，及对系统和车辆的影响后果。该方法考虑的是系统或驾驶人员是否探测到失效。客户操作将被理解为终端用户操作，或服务操作和维护操作，包括车辆驾驶、维护保养、维修、软件更新升级等。在客户操作过程中发现失效，可以通过切换到降级操作，通知驾驶人员，和/或将诊断故障代码(DTC)写入控制单元以达到服务目的，从而避免了最初的失效模式。

功能安全与FMEA-MSR之间的联系

危害分析和风险评估（HARA，详见ISO26262-3：2018 6.4条款）提供了与安全相关功能的安全目标。它还指定了汽车安全完整性级别(ASILs)，这代表了必须应用的缓解措施，以确保出现故障行为的社会可接受的剩余风险。功能安全概念(FSC)进一步定义了需求，以确保设计满足安全目标。它定义了警告和降级概念，以及必要的测试用例，以证明设计符合安全目标和安全要求。总之，ISO26262依赖于FMEA来识别出故障行为的潜在原因。通过诊断监测及系统响应在维持功能安全方面的有效性分析，FMEA-MSR可作为DFMEA的补充(除了安全考虑之外，该方法还可用于对法规遵从性方面的分析)。

FMEA-MSR与DFMEA的关系

DFMEA的关注重点是产品的功能及失效分析，DFMEA中的“发生度（O）”和“探测度（D）”是与产品开发过程相关联的，是在开发过程中对功能实现情况的评估。而FMEA-MSR分析的是产品功能在被用户使用时，相关失效发生的“频度（F）”，已经发生失效时的可以被察觉发现的“监测度（M）”。因此，FMEA-MSR作为补充分析变得有用。FMEA-MSR评估当前的风险状态，并通过与可接受的剩余风险的条件进行比较，来分析出额外监测的必要性。

如果将产品的售后要求（异常自动报警、异常自动处理、维护、维修等）也纳入DFMEA的功能要求，那么FMEA-MSR分析可以是DFMEA的一部分。在做MSR设计时，各个功能点都是由各个客户操作来支持实现的。

FMEA-MSR的“严重度（S）”打分规则与DFMEA的是一样的，但与PFMEA的不一样。DFMEA中的”严重度（S）“一般没有办法被降低，但在FMEA-MSR中如果采用了合适的监测和系统响应设计，这个“严重度（S）是有可能被降低的。

FMEA-MSR中以“频度（F）”替代了DFMEA中的“发生度（O）”，以“监测度（M）”替代了“探测度（D）”。“频度”和“监测度”的打分规则也是特别制订的。

两者的表格格式有所差别，FMEA-MSR的表格中没有DFMEA表格中的“现行预防控制”和“现行探测控制”两列内容，但多了“诊断监测”和“系统响应”两列内容。

（建议：虽然可以将FMEA-MSR作为DFMEA的一部分内容进行分析，但为了更清晰、准确、具体的分析MSR，还是建议编制一个独立的FMEA-MSR文档。）

FMEA-MSR的分析方法

FMEA-MSR的分析也是采用“六步法”，与DFMEA的分析过程类似。

1. 范围定义

在FMEA-MSR中可能被考虑的系统包括至少一个传感器、一个控制单元和一个执行器或它们的一个子集，被称为机电系统。传感器元件和控制单元也可以是一个组件(智能传感器)的一部分。这种系统的诊断和监测可以通过硬件和/或软件实现。在客户和供应商之间可以协商确定FMEA-MSR的范围。

定义FMEA-MSR范围的标准包括但不限于以下资料：

1）安全相关要求

2）从立法机构获得的书面资料要求

3）依据ISO26262标准的安全目标

2. 结构分析

根据分析的范围，结构可能由硬件单元和软件单元组成。由于工作组织的原因或为了充分的清晰化，复杂的结构可以分为几个结构(工作包)或不同层次的块图，并分别进行分析。

为了直观的分析系统结构，常用到下面两个方法：

• 块图（边界图）
• 结构树

3. 功能分析

在FMEA-MSR中，对失效探测的监视和失效响应被认为是功能。

失效探测监视的功能可能包括：溢出探测、循环冗余检查、可信度检查和序列计数器检查等。

失效响应的功能可能包括：提供默认值、切换到首页模式、关闭相应的功能、和/或显示警告等。

这样的功能是通过具有这些功能的结构单元而实现的，例如控制单元、和像智能传感器这种具备计算能力的零部件。

此外，传感器信号可以被认为是由控制单元接收。因此，信号的功能也可以被描述。

最后，可以添加执行器的功能，描述执行器或车辆对需求的反应方式。

如果传感器和/或执行器不在分析范围内，则将功能分配给相应的接口元素。

4. 失效分析

在FMEA-MSR中，硬件和软件功能可能包括对系统状态的监视。失效探测是一种有意的行为，这可能导致功能的降低或功能的丧失。为了描述系统的行为，失效原因必须与监控和关联的失效后果相关。

监测可能通过对驾驶人员的警告降低失效后果，也可能是失效网的一部分。在本手册中，这些网络被命名为混合网络，因为它们至少包含一个失效原因和一个或多个功能。以这种方式，可以呈现出对系统行为的完整理解。

在实践中，必须区分两种情况：安全失效探测和部分失效探测(包括无失效探测)。

如果发生安全失效探测，系统在发生失效时总是以一种确定的方式进行反应，探测时间和反应时间足够短，以保证系统或车辆处于安全状态。在这种情况下，失效网应该包括对监测和系统反应的描述。因此，它是一个混合网络。

如果发生部分失效探测或无失效探测，失效网必须描述系统在没有探测到失效时的反应，因为一般情况下，这是最严重的情况，决定了采取措施的必要性(改善探测的必要性)。

如果有兴趣，一个混合网包括监测和相应的系统反应措施可以加入失效网。

在这两种情况下，监测必须以“监测控制”描述在FMEA表中，并按照监测度评分表对M进行评分。

在FMEA-MSR中，失效网的起始点是失效原因(根本原因)。如果是安全失效探测，其根本原因可能是混合网中唯一真正的失效。

5. 风险分析

FMEA-MSR风险分析的目的是通过严重度、频度和监测度来确定监测控制和评估风险，并确定行动优先级。

“严重度（S）”是以失效发生时，相关的监测和系统响应也生效了，这时最严重的失效后果为判断依据。如果没有任何监测和系统响应设计，那么这个失效后果将与DFMEA中的一样，就不能被降低。

“频度（F）”是对系统或车辆在工作条件下整个生命周期内失效原因发生的频度进行统计评估的，注意是相对这个系统的实际工作时间来评估的，不是相对整车的工作时间。如制动系统的实际工作时间比整车的工作时间要少很多，评估制动系统失效的频度时应与它的实际工作时间作比较。

“监测度（M)”是评估某个功能发生异常/故障/失效时的监测能力，可能对某个功能会设计多个监测手段，这时以最有效的手段为判断依据。

“行动优先级（AP）”是依据S/F/M的打分来确定，具体参考手册中的说明。

6. 优化措施

通过AP分析，可以制订优化改进措施分别降低S/M/F：

• 通过添加或优化系统响应功能，可以降低失效发生时的影响后果（降低S）。
• 通过添加或优化监测功能，可以提升监测能力（降低M）。
• 通过优化产品的设计，可以降低失效原因的发生频度（降低F）。

文章转自：IATF16949服务平台