关于监视及系统响应的补充FMEA（FMEA-MSR）

关于对系统、车辆、人员和法规遵从性的技术影响，监视及系统响应的补充FMEA对顾客操作条件下可能出现的潜在失效起因进行了分析。该方法考虑到失效起因或失效模式是否由该系统探测到或失效影响是否由驾驶员探测到。顾客操作将理解为最终用户操作或运行操作以及维护操作。FMEA-MSR涵盖了以下风险要素：

a)伤害的严重程度、不符合法规、功能丧失或退化，以及不可接受的质量，由(S)表示

b)在运行情况下估计的失效起因频率，由(F)表示

c)通过诊断探测和自动响应避免或限制失效影响的技术可能性，以及通过感官知觉和物理响应避免或限制失效影响的人为可能性，由(M)表示

F和M的组合系指由于失效(失效起因)和由此产生的故障行为(失效模式)所导致的失效影响发生概率的估计。

注：发生失效影响的总体概率可能更高，原因在于不同的失效起因可能导致相同的失效影响。

FMEA-MSR通过评估因监视和响应所产生的降低风险的方式增值。FMEA-MSR通过与可接受的残余风险条件进行比较并评估当前的失效风险状态，得出额外监视的必要性。该分析可以属于设计FMEA的一部分，设计FMEA中该分析的开发方面从顾客操作方面进行补充分析。但它仅在需要诊断探测维持安全性或合规性时才加以应用。

DFMEA的探测与补充FMEA-MSR的监视不同。在DFMEA中，探测控制记录了可证明满足开发和确认要求的试验能力。对于已成为系统设计一部分的监视功能，确认旨在证明诊断监视和系统响应按预期运作。相反，假设满足相应的规范的情况下，FMEA-MSR中的监视评估了顾客操作中的故障探测性能的效果。监视评级也可理解为安全性能以及系统对监视到的故障的响应的可靠性。它有利于评估是否实现安全目标，且可用于获得安全概念。

根据车辆操作系统的诊断功能，通过考虑更多的、可精确地反映所评估到的较低级别风险的因素，补充的FMEA-MSR可以解决DFMEA中被评为高级别的风险。这些附加因素有利于提高对失效风险(包括伤害风险、不合规风险、不遵守规范的风险)的描述。FMEA-MSR有利于提供诊断、逻辑和驱动机制实现和维持安全或合规状态的能力的证据(特别是在最大故障处理时间间隔内和容错时段内的适当失效缓解能力)。

FMEA-MSR评估最终用户条件下的当前失效风险状态(不仅仅是对人员造成伤害的风险)。顾客操作期间的故障/失效探测可用于通过切换到降级的运行状态(包括禁用车辆)，通知驾驶员和/或将诊断故障代码(DTC)写入服务用控制单元来避免初始的失效影响。就FMEA而言，可靠的诊断探测和响应最终消除(预防)初始影响，并将其替换为新的，不太严重的影响。

FMEA-MSR可用于确定系统设计是否满足安全性和合规性方面的性能要求。结果可能如下：

出于监视的目的考虑，可能需要额外的传感器

可能需要处理冗余

真实性检查可能显示传感器故障

FMEA-MSR步骤一：策划和准备

目的

FMEA-MSR策划和准备的主要目标：

项目识别

项目计划(目的、时间安排、团队、任务、工具(5T))

分析边界：分析中包括什么、不包括什么

基准DFMEA的识别

结构分析步骤的基础

FMEA-MSR项目识别和边界

项目识别包括明确了解需要评估的内容。这涉及到确定顾客项目所需的FMEA-MSR的决策过程。分析中需要不包括和包括的内容一样重要。

如适用，以下内容可帮助团队确定FMEA-MSR项目：

危害分析和风险评估

法律要求

技术要求

顾客需要/需求/期望(外部和内部顾客)

要求规范

图表(方块/边界图/系统)

原理图、图纸和/或3D模型

物料清单(BOM)、风险评估

类似产品以往的FMEA

对这些问题以及公司定义的其它问题的回答，将帮助创建所需的FMEA-MSR项目清单。FMEA-MSR项目清单确保了方向、承诺和工作重点的一致性。

以下基本问题可帮助识别FMEA-MSR边界：(1)在电气/电子/可编程电子系统上完成DFMEA后，是否存在可能对人员伤害或涉及法规不符合的影响?(2)DFMEA是否表明可通过直接感知和/或合理算法探测到将引起伤害或不合规行为的所有起因?(3)DFMEA是否表明对任何和所有探测到的起因的预期系统响应是切换到降级的运行状态(包括禁用车辆)，通知驾驶员和/或将诊断故障代码(DTC)写入服务用控制单元?

监视及系统响应的补充FMEA可用于测试系统，这些系统已集成操作期间的故障监视和响应机制。通常这些属于更加复杂的系统，它们是由传感器、执行器和逻辑处理单元构成。此类系统中的诊断和监视功能可通过硬件和/或软件实现。监视及系统响应的补充FMEA中可能考虑的系统通常由至少一个传感器、一个控制单元和一个执行器或者其一部分组成，并且称为机械电子系统。系统内也可能由机械硬件要素(例如：气动和液压组件)组成。

可在顾客和供应商协商的基础上确定监视及系统响应的补充FMEA的范围。适用范围标准可能包括但不限于：

1.系统安全相关性

2.ISO标准，例如：根据ISO 26262的安全目标

3.立法机构的文件化要求，例如：UN/ECE法规、FMVSS/CMVSS、NHTSA和车载诊断要求(OBD)合规性

FMEA-MSR项目计划

确定FMEA-MSR项目后，应当立即制定FMEA-MSR的执行计划。建议使用5T方法(目的、时间安排、团队、任务、工具)。FMEA-MSR计划有助于公司提早启动FMEA-MSR。FMEA-MSR活动(七步法过程)应当纳入总体设计项目计划中。

FMEA-MSR步骤二：结构分析

目的

FMEA-MSR结构分析的主要目标：

分析范围的可视化

结构树或其它：方块图、边界图、数字模型、实体零件

识别设计接口、交互作用

顾客和供应商工程团队之间的协作(接口职责)

功能分析步骤的基础

根据分析范围，结构可能包含硬件要素和软件要素。复杂结构可分成几个结构(工作包)或不同的方块图层，并出于组织原因的考虑单独分析或确保足够的清晰度。FMEA-MSR的范围仅限于系统的要素，其中根据该系统的基准DFMEA所示，存在可能导致危险或不合规影响的失效起因。为实现系统结构的可视化，通常使用以下两种方法：

方块(边界)图

结构树

结构树

在监视及系统响应的补充FMEA中，结构树的根要素可能处于整车层面(例如：分析整个系统(见图4.2-1)或OEM)或处于系统层面(即对子系统或组件进行分析的供应商( 见图4.2-2) )。

传感器元件和控制单元可能也是一个组件(智能传感器)的一部分。此类系统中的诊断和监视功能可通过硬件和/软件要素实现。

如果分析范围内未提供传感器，则使用接口要素来描述ECU接收的数据/电流/电压。任何ECU的功能之一便是接收信号，即通过连接件接收信号。这些信号可能丢失或错误。在没有监视的情况下，获得的输出可能有误。如果分析范围内未提供执行器，则使用接口要素来描述ECU发送的数据/电流/电压。任何ECU的其他功能之一便是发送信号，即通过连接器发送信号。这些信号也可能丢失或错误。也可能是“无输出”或“失效信息”。

错误信号可能是由工程师或组织的责任范围之外的组件所致。这些错误信号可能对工程师或组织责任范围内组件的性能产生影响，因此FMEA-MSR分析中需要涵盖这些原因。

注：确保该结构与安全概念(如适用)保持致。

fqj