新版 FMEA 中的 FMEA-MSR

FMEA-MSR 的研究对象

新版FMEA 中的 FMEA-MSR 的研究对象是软件系统、电子系统或机电系统，这些系统中包括至少一个传感器、一个控制单元和一个执行器，或它们的一个子集。分析有关在客户操作条件下的潜在失效，及对系统和车辆的影响后果。该方法考虑的是系统或驾驶人员是否探测到失效。客户操作将被理解为终端用户操作，或服务操作和维护操作，包括车辆驾驶、维护保养、维修、软件更新升级等。在客户操作过程中发现失效，可以通过切换到降级操作，通知驾驶人员，和/或将诊断故障代码 (DTC) 写入控制单元以达到服务目的，从而避免了最初的失效模式。

功能安全与 FMEA-MSR 之间的联系

危害分析和风险评估（HARA，详见ISO26262-3：2018 6.4条款）提供了与安全相关功能的安全目标。它还指定了汽车安全完整性级别 (ASILs)，这代表了必须应用的缓解措施，以确保出现故障行为的社会可接受的剩余风险。功能安全概念(FSC) 进一步定义了需求，以确保设计满足安全目标。它定义了警告和降级概念，以及必要的测试用例，以证明设计符合安全目标和安全要求。总之，ISO26262 依赖于 FMEA 来识别出故障行为的潜在原因。通过诊断监测及系统响应在维持功能安全方面的有效性分析，FMEA-MSR 可作为 DFMEA 的补充 (除了安全考虑之外，该方法还可用于对法规遵从性方面的分析)。

FMEA-MSR 与 DFMEA 的关系

DFMEA 的关注重点是产品的功能及失效分析，DFMEA 中的“发生度（O）”和“探测度（D）”是与产品开发过程相关联的，是在开发过程中对功能实现情况的评估。而FMEA-MSR 分析的是产品功能在被用户使用时，相关失效发生的“频度（F）”，已经发生失效时的可以被察觉发现的“监测度（M）”。因此，FMEA-MSR 作为补充分析变得有用。FMEA-MSR 评估当前的风险状态，并通过与可接受的剩余风险的条件进行比较，来分析出额外监测的必要性。

如果将产品的售后要求（异常自动报警、异常自动处理、维护、维修等）也纳入 DFMEA 的功能要求，那么 FMEA-MSR 分析可以是 DFMEA 的一部分。在做 MSR 设计时，各个功能点都是由各个客户操作来支持实现的。

FMEA-MSR 的“严重度（S）”打分规则与 DFMEA 的是一样的，但与 PFMEA 的不一样。DFMEA 中的”严重度（S）“一般没有办法被降低，但在 FMEA-MSR 中如果采用了合适的监测和系统响应设计，这个“严重度（S）是有可能被降低的。

FMEA-MSR 中以“频度（F）”替代了 DFMEA 中的“发生度（O）”，以“监测度（M）”替代了“探测度（D）”。“频度”和“监测度”的打分规则也是特别制订的。

两者的表格格式有所差别，FMEA-MSR 的表格中没有 DFMEA 表格中的“现行预防控制”和“现行探测控制”两列内容，但多了“诊断监测”和“系统响应”两列内容。