原創(chuàng)第五版FMEA除了六步法還多了一個FMEA-MSR是個什么鬼

原創(chuàng)第五版FMEA除了六步法，還多了一個FMEA-MSR是個什么鬼？第五版FMEA手冊預(yù)計在2018年6月會正式發(fā)布，這版FMEA的變化可以說是“革命性的”，要求以“六步法”的思路進(jìn)行FMEA的分析。除了“六步法”，第五版FMEA中還特別增加了一個新的FMEA類別——FMEA-MSR，英文全稱是SupplementalFMEAforMonitoringandSystemResponse，目前尚無官方的正式中文翻譯，我暫時將它稱為“監(jiān)視及系統(tǒng)響應(yīng)的補充FMEA”。在客戶為了保持系統(tǒng)或車輛處于安全狀態(tài)或法規(guī)符合性狀態(tài)而進(jìn)行的有關(guān)操作（駕駛、保養(yǎng)、維修等）時，F(xiàn)MEA-MSR提供了一種診斷探測和失效緩解的分析方法。（題外說明：近期有部分文章將FMEA-MSR翻譯為“FMEA監(jiān)測及系統(tǒng)響應(yīng)”，理解為這是對已編制的DFMEA或PFMEA再進(jìn)行FMEA分析的FMEA，筆者認(rèn)為這是斷章取義的誤解，請廣大讀者仔細(xì)甄別，不要被誤導(dǎo)。）FMEA-MSR的研究對象FMEA-MSR的研究對象是軟件系統(tǒng)、電子系統(tǒng)或機電系統(tǒng)，這些系統(tǒng)中包括至少一個傳感器、一個控制單元和一個執(zhí)行器，或它們的一個子集。分析有關(guān)在客戶操作條件下的潛在失效，及對系統(tǒng)和車輛的影響后果。該方法考慮的是系統(tǒng)或駕駛?cè)藛T是否探測到失效?？蛻舨僮鲗⒈焕斫鉃榻K端用戶操作，或服務(wù)操作和維護(hù)操作，包括車輛駕駛、維護(hù)保養(yǎng)、維修、軟件更新升級等。在客戶操作過程中發(fā)現(xiàn)失效，可以通過切換到降級操作，通知駕駛?cè)藛T，和/或?qū)⒃\斷故障代碼(DTC)寫入控制單元以達(dá)到服務(wù)目的，從而避免了最初的失效模式。功能安全與FMEA-MSR之間的聯(lián)系危害分析和風(fēng)險評估（HARA，詳見ISO26262-3：20186.4條款）提供了與安全相關(guān)功能的安全目標(biāo)。它還指定了汽車安全完整性級別(ASILs)，這代表了必須應(yīng)用的緩解措施，以確保出現(xiàn)故障行為的社會可接受的剩余風(fēng)險。功能安全概念(FSC)進(jìn)一步定義了需求，以確保設(shè)計滿足安全目標(biāo)。它定義了警告和降級概念，以及必要的測試用例，以證明設(shè)計符合安全目標(biāo)和安全要求?？傊?，ISO26262依賴于FMEA來識別出故障行為的潛在原因。通過診斷監(jiān)測及系統(tǒng)響應(yīng)在維持功能安全方面的有效性分析，F(xiàn)MEA-MSR可作為DFMEA的補充(除了安全考慮之外，該方法還可用于對法規(guī)遵從性方面的分析)。FMEA-MSR與DFMEA的關(guān)系DFMEA的關(guān)注重點是產(chǎn)品的功能及失效分析，DFMEA中的“發(fā)生度（O）”和“探測度（D）”是與產(chǎn)品開發(fā)過程相關(guān)聯(lián)的，是在開發(fā)過程中對功能實現(xiàn)情況的評估。而FMEA-MSR分析的是產(chǎn)品功能在被用戶使用時，相關(guān)失效發(fā)生的“頻度（F）”，已經(jīng)發(fā)生失效時的可以被察覺發(fā)現(xiàn)的“監(jiān)測度（M）”。因此，F(xiàn)MEA-MSR作為補充分析變得有用。FMEA-MSR評估當(dāng)前的風(fēng)險狀態(tài)，并通過與可接受的剩余風(fēng)險的條件進(jìn)行比較，來分析出額外監(jiān)測的必要性。如果將產(chǎn)品的售后要求（異常自動報警、異常自動處理、維護(hù)、維修等）也納入DFMEA的功能要求，那么FMEA-MSR分析可以是DFMEA的一部分。在做MSR設(shè)計時，各個功能點都是由各個客戶操作來支持實現(xiàn)的。FMEA-MSR的“嚴(yán)重度（S）”打分規(guī)則與DFMEA的是一樣的，但與PFMEA的不一樣。DFMEA中的”嚴(yán)重度（S）“一般沒有辦法被降低，但在FMEA-MSR中如果采用了合適的監(jiān)測和系統(tǒng)響應(yīng)設(shè)計，這個“嚴(yán)重度（S）是有可能被降低的。FMEA-MSR中以“頻度（F）”替代了DFMEA中的“發(fā)生度（O）”，以“監(jiān)測度（M）”替代了“探測度（D）”。“頻度”和“監(jiān)測度”的打分規(guī)則也是特別制訂的。兩者的表格格式有所差別，F(xiàn)MEA-MSR的表格中沒有DFMEA表格中的“現(xiàn)行預(yù)防控制”和“現(xiàn)行探測控制”兩列內(nèi)容，但多了“診斷監(jiān)測”和“系統(tǒng)響應(yīng)”兩列內(nèi)容。（建議：雖然可以將FMEA-MSR作為DFMEA的一部分內(nèi)容進(jìn)行分析，但為了更清晰、準(zhǔn)確、具體的分析MSR，還是建議編制一個獨立的FMEA-MSR文檔。）FMEA-MSR的分析方法FMEA-MSR的分析也是采用“六步法”，與DFMEA的分析過程類似。1.范圍定義在FMEA-MSR中可能被考慮的系統(tǒng)包括至少一個傳感器、一個控制單元和一個執(zhí)行器或它們的一個子集，被稱為機電系統(tǒng)。傳感器元件和控制單元也可以是一個組件(智能傳感器)的一部分。這種系統(tǒng)的診斷和監(jiān)測可以通過硬件和/或軟件實現(xiàn)。在客戶和供應(yīng)商之間可以協(xié)商確定FMEA-MSR的范圍。定義FMEA-MSR范圍的標(biāo)準(zhǔn)包括但不限于以下資料：1）安全相關(guān)要求2）從立法機構(gòu)獲得的書面資料要求3）依據(jù)ISO26262標(biāo)準(zhǔn)的安全目標(biāo)2.結(jié)構(gòu)分析根據(jù)分析的范圍，結(jié)構(gòu)可能由硬件單元和軟件單元組成。由于工作組織的原因或為了充分的清晰化，復(fù)雜的結(jié)構(gòu)可以分為幾個結(jié)構(gòu)(工作包)或不同層次的塊圖，并分別進(jìn)行分析。為了直觀的分析系統(tǒng)結(jié)構(gòu)，常用到下面兩個方法：塊圖（邊界圖）結(jié)構(gòu)樹3.功能分析在FMEA-MSR中，對失效探測的監(jiān)視和失效響應(yīng)被認(rèn)為是功能。失效探測監(jiān)視的功能可能包括：溢出探測、循環(huán)冗余檢查、可信度檢查和序列計數(shù)器檢查等。失效響應(yīng)的功能可能包括：提供默認(rèn)值、切換到首頁模式、關(guān)閉相應(yīng)的功能、和/或顯示警告等。這樣的功能是通過具有這些功能的結(jié)構(gòu)單元而實現(xiàn)的，例如控制單元、和像智能傳感器這種具備計算能力的零部件。此外，傳感器信號可以被認(rèn)為是由控制單元接收。因此，信號的功能也可以被描述。最后，可以添加執(zhí)行器的功能，描述執(zhí)行器或車輛對需求的反應(yīng)方式。如果傳感器和/或執(zhí)行器不在分析范圍內(nèi)，則將功能分配給相應(yīng)的接口元素。4.失效分析在FMEA-MSR中，硬件和軟件功能可能包括對系統(tǒng)狀態(tài)的監(jiān)視。失效探測是一種有意的行為，這可能導(dǎo)致功能的降低或功能的喪失。為了描述系統(tǒng)的行為，失效原因必須與監(jiān)控和關(guān)聯(lián)的失效后果相關(guān)。監(jiān)測可能通過對駕駛?cè)藛T的警告降低失效后果，也可能是失效網(wǎng)的一部分。在本手冊中，這些網(wǎng)絡(luò)被命名為混合網(wǎng)絡(luò)，因為它們至少包含一個失效原因和一個或多個功能。以這種方式，可以呈現(xiàn)出對系統(tǒng)行為的完整理解。在實踐中，必須區(qū)分兩種情況：安全失效探測和部分失效探測(包括無失效探測)。如果發(fā)生安全失效探測，系統(tǒng)在發(fā)生失效時總是以一種確定的方式進(jìn)行反應(yīng)，探測時間和反應(yīng)時間足夠短，以保證系統(tǒng)或車輛處于安全狀態(tài)。在這種情況下，失效網(wǎng)應(yīng)該包括對監(jiān)測和系統(tǒng)反應(yīng)的描述。因此，它是一個混合網(wǎng)絡(luò)。如果發(fā)生部分失效探測或無失效探測，失效網(wǎng)必須描述系統(tǒng)在沒有探測到失效時的反應(yīng)，因為一般情況下，這是最嚴(yán)重的情況，決定了采取措施的必要性(改善探測的必要性)。如果有興趣，一個混合網(wǎng)包括監(jiān)測和相應(yīng)的系統(tǒng)反應(yīng)措施可以加入失效網(wǎng)。在這兩種情況下，監(jiān)測必須以“監(jiān)測控制”描述在FMEA表中，并按照監(jiān)測度評分表對M進(jìn)行評分。在FMEA-MSR中，失效網(wǎng)的起始點是失效原因(根本原因)。如果是安全失效探測，其根本原因可能是混合網(wǎng)中唯一真正的失效。5.風(fēng)險分析FMEA-MSR風(fēng)險分析的目的是通過嚴(yán)重度、頻度和監(jiān)測度來確定監(jiān)測控制和評估風(fēng)險，并確定行動優(yōu)先級?！皣?yán)重度（S）”是以失效發(fā)生時，相關(guān)的監(jiān)測和系統(tǒng)響應(yīng)也生效了，這時最嚴(yán)重的失效后果為判斷依據(jù)。如果沒有任何監(jiān)測和系統(tǒng)響應(yīng)設(shè)計，那么這個失效后果將與DFMEA中的一樣，就不能被降低?！邦l度（F）”是對系統(tǒng)或車輛在工作條件下整個生命周期內(nèi)失效原因發(fā)生的頻度進(jìn)行統(tǒng)計評估的，注意是相對這個系統(tǒng)的實際工作時間來評估的，不是相對整車的工作時間。如制動系統(tǒng)的實際工作時間比整車的工作時間要少很多，評估制動系統(tǒng)失效的頻度時應(yīng)與它的實際工作時間作比較。“監(jiān)測度（M)'是評估某個功能發(fā)生異常/故障/失效時的監(jiān)測能力，可能對某個功能會設(shè)計多個監(jiān)測手段，這時以最有效的手段為判斷依據(jù)