文档详细介绍了补充FMEA分析（FMEA-MSR）的概念和方法，强调其在功能安全和风险评估中的重要性。通过定义分析步骤，包括规划、结构分析、功能分析、失效分析和风险分析，旨在提高汽车设计的安全性和合规性。此外，文档还指出了与DFMEA的关系，并开发了新的行动优先级方法以改进风险控制和管理。

1. 監視及系統回應之補充
FMEA分析
Victor Huang， 2019.08.12
Supplemental FMEA for Monitoring
and System Response, MSR

2. 新的FMEA類別
• 第五版FMEA中還特別增加了一個新的FMEA類別——
FMEA-MSR，英文全稱是Supplemental FMEA for
Monitoring and System Response，目前正式簡體的中
文翻譯，將它稱為“監視及系統回應之補充FMEA分析”。

3. FMEA-MSR

4. FMEA-MSR的研究物件

5. FMEA-MSR的研究物件

6. 功能安全與FMEA-MSR之間的聯繫
• 危害分析和風險評估（HARA，詳見ISO26262-3：2018 6.4
條款）提供了與安全相關功能的安全目標。
• 它還指定了汽車安全完整性級別(ASILs)，這代表了必須應用
的緩解措施，以確保出現失效行為之社會可接受的剩餘風險。

7. 功能安全與FMEA-MSR之間的聯繫
• 功能安全概念(FSC)進一步定義了需求，以確保設計滿足安
全目標。
• 它定義了警告和降級概念，以及必要的測試用例，以證明設
計符合安全目標和安全要求。

8. 這是什麼意思
• 例如倒車雷達，原本的功能為在車體接近障礙物時，應發出
警示，提醒駕駛。
• 如果「倒車雷達」功能失效，系統應切換至次級系統，提醒
駕駛切換其他模式，不會因為倒車雷達失效而撞上障礙物。

9. 功能安全與FMEA-MSR之間的聯繫
• ISO26262依賴於FMEA來識別出失效行為的潛在原因。
• 通過診斷監測及系統回應在維持功能安全方面的有效性分
析，FMEA-MSR可作為DFMEA的補充(除了安全考慮之外，該
方法還可用於對法規遵從性方面的分析)。

10. FMEA-MSR與DFMEA的關係

11. FMEA-MSR與DFMEA的關係

12. FMEA-MSR與DFMEA的關係

13. FMEA-MSR與DFMEA的關係
•因此汽車產品設計開發中，如有感測功能或與安全有關
設計，需使用FMEA-MSR。
•如果是一般功能，還是使用
DFMEA分析。
•所以供應商的產品需要加做MSR分析，需要從產品的設
計責任來認定。

14. 步驟一、規劃和準備 Planning and Preparation

15. 被考慮的系統

16. 幫助確定邊界的問題

17. FMEA-MSR的分析方法
• 定義FMEA-MSR範圍的標準包括但不限於以下資料：
1）安全相關要求
2）從立法機構獲得的書面資料要求
3）依據ISO26262標準的安全目標

18. FMEA-MSR 表格提示 步驟一

19. 步驟二、結構分析 Structure Analysis

20. FMEA-MSR的分析方法
2.結構分析Structure Analysis
車窗升降系統
車窗升降器電子
控制單元
車窗升降器ECU連接器
車窗升降器內部介面
• 車窗升降系統結構樹範例

21. FMEA-MSR的分析方法

22. FMEA-MSR 表格提示 步驟二

23. 步驟三、功能分析 Function Analysis

24. FMEA-MSR的分析方法

25. FMEA-MSR 表格提示 步驟三

26. 步驟四、失效分析 Failure Analysis

27. FMEA-MSR的分析方法
4.失效分析 Failure Analysis
• 在FMEA-MSR中，硬體和軟體功能可能包括對系統狀態的監視。
• 失效探測是一種有意的行為，這可能導致功能的降低或功能的喪失。
• 為了描述系統的行為，失效原因必須與監控和關聯的失效效應相關。

28. FMEA-MSR的分析方法
4.失效分析 Failure Analysis
• 監測可能通過對駕駛人員的警告降低失效後果，也可能是
失效網的一部分。
• 在本手冊中，這些網路被命名為混合網路，因為它們至少
包含一個失效原因和一個或多個功能。
• 以這種方式，可以呈現出對系統行為的完整理解。

29. FMEA-MSR的分析方法
4.失效分析 Failure Analysis
• 在實踐中，必須區分兩種情況：安全失效探測和部分失效探測
(包括無失效探測)。
• 如果發生安全失效探測，系統在發生失效時總是以一種確定的方
式進行反應，探測時間和反應時間足夠短，以保證系統或車輛處
於安全狀態。在這種情況下，失效網應該包括對監測和系統反應
的描述。因此，它是一個混合網路。

30. FMEA-MSR的分析方法
4.失效分析Failure Analysis
• 如果發生部分失效探測或無失效探測，失效網必須描述系統
在沒有探測到失效時的反應，因為一般情況下，這是最嚴重
的情況，決定了採取措施的必要性(改善探測的必要性)。
• 如果有興趣，一個混合網包括監測和相應的系統反應措施可
以加入失效網。

31. FMEA-MSR的分析方法
4.失效分析Failure Analysis
• 在這兩種情況下，監測必須以“監測控制”描述在 FMEA表中，
並按照監測度評分表對M進行評分。
• 在FMEA-MSR中，失效網的起始點是失效原因(根本原因)。如
果是安全失效探測，其根本原因可能是混合網中唯一真正的失
效。

32. 理論失效鏈模型DFMEA & FMEA-MSR

33. 失效劇本 Failure Scenario

34. 失效劇本(1)

35. 失效劇本(2)

36. 失效劇本(3)

37. 失效原因 Failure Causes

39. 失效模式 Failure Mode

41. 失效影響 Failure Effect

42. FMEA-MSR 表格提示

43. 步驟五、風險分析 Risk Analysis
• FMEA-MSR風險分析的目的是通過嚴重度、頻度和監測度來確定監測
控制和評估風險，並確定行動優先順序。
• 「嚴重度（S）」是以失效發生時，相關的監測和系統回應也生效了，
以這時最嚴重的失效後果為判斷依據。
• 如果沒有任何監測和系統回應設計，那麼這個失效後果將與DFMEA
中的一樣，就不能被降低。

44. FMEA-MSR的分析方法

45. FMEA-MSR的分析方法

46. 三種不同監視情況

47. 三種不同監視情況

48. FMEA-MSR的措施優先順序(AP)

49. FMEA-MSR的措施優先順序(AP)
• 對於潛在的嚴重度為9-10且措施優先順序為高和中的失效影響，建
議至少應由管理層評審，包括所採取的任何建議措施。
• 這不是對高、中、低風險的優先排序，而是對降低風險的措施的優
先排序，如果團隊決定不需要採取進一步措施，則在「備註」列中
填入「無需進一步措施」，以表明已經完成風險分析。

50. FMEA-MSR 表格提示

51. 步驟六、優化措施 Optimization

52. FMEA-MSR 表格提示

53. 步驟七 文件化 Results Documentation
「結果文件化」步驟的目的是，針對FMEA活動的結果進行總結和交流。
「將FMEA-MSR結果形成文件」的主要目標是
• 對結果和分析結論進行溝通
• 建立文件內容記錄採取的措施,包括對實施的措施的效果進行確認、採取措
施後進行風險評估
• 在組織內部，以及與客戶和成供應商之間(如需)針對降低風險的措施進行溝
通
• 記錄風險分析和風險降低到的可接受水準。

54. Overview

55. Change Points From Current AIAG
如何完成FMEA-
新增功能
- “步驟分析方法”新手冊解釋了每個步驟的作用，使團隊可
以考慮可能未考慮使用目前表單的項目。
-由於關注可能是左腦（S，O，D）或右腦（失敗分析）任務
的重點議程，因此跨功能團隊的工作會更快
New manual & form sheet add structure to help drive team to a more complete analysis

56. Section Summary
• 可以使用多種軟體工具，包括MS Excel
• 該手冊將包括報告和表格視覺圖
• 步驟分析取代了填充空白方法
• 「結構」、 「功能」和「失效分析」部分促進各部分之內和
之間的知識
• 新！ 失效鏈支持原因和效應層次結構
• 新！ PFMEA 4M標籤
• 新！ DFMEA和PFMEA行動狀態
• 新！ 行動優先權（AP）

57. Rating Tables
•專案目標：在AIAG，VDA和SAEJ1739之間調整嚴重
度，發生度和偵測度表格。
•評估每種失效模式，因果關係（失效鏈或淨值）的獨
立風險。

58. Rating Tables
• 對於S，O和D分別繼續使用從1到10的評估數字；
• 10代表最高的風險貢獻；
• 通過分別檢查這些評等並結合這三個因素，對降低風險行動
的需求可以優先考慮為高、中或低。

59. Change Points From Current AIAG
• AP表格 - 確定行動重點
• 從當前AIAG更改點數
• 現在的情況 -手冊承認，在資源有限的情況下，必須建立確定
優先等級的方法。
• 該手冊提供如何確定操作優先級的邏輯：
• 審核高嚴重度先排序項目。
• 使用RPN，無需設置閾值。
• 遇到更高的RPN數並不代表就是團隊的下一個的工作的項目。
• 一個具邏輯案例，顯示如何在112的RPN上優先考慮90的RPN。
The actual logic to drive prioritization is left to each company and is not on the form.

60. Change Points From Current AIAG
• 確定行動重點
• 從目前AIAG更改點數
• 目前的情況 –
• 上行 –
• 手冊解釋了應該如何有邏輯規定使用嚴重度，發生度，偵測等級和RPN
組合的動作優先級。
• 下行 –
• 何時使用，電子表格本身僅顯示排名編號和最終RPN。 有邏輯的方向是
回到了手冊中。
• 除非公司製定自己的程序來給團隊提供優先等級的方法，否則最高的
RPN可能是團隊最容易接受的方法。
The actual logic to drive prioritization is left to each company and is not on the form.

61. Change Points From Current AIAG
• 新 - 行動優先權（AP）
• 從當前AIAG更改點數
• 行動優先 -
此表是基於邏輯建立的。該邏輯考慮嚴重度水準，發生度和正在使用的
偵測度控制。
所有這些項目都是當前手冊建議在優先採取行動時要考慮的事項。為了
使表格可管理，表格將S，O和D的類別組合在一起，例如嚴重度9/10，
偵測度2〜4等。
每個組的組合分配了高、中和低優先等級。 該表涵蓋了1000種可能的組
合。
每個H，M和L表中列出了邏輯或理由。
Action Priority Table is logic based and the results can be seen on the form

62. Change Points From Current AIAG
New – Action Priority (AP)
Severity then Occurrence then Detection followed by AP
Action Priority shows the breakdown of S， O & D， the results and explains the logic
10 (Sev) x 4 (Occ) x 2 (Det) = 80 RPN
3 (Sev) x 8 (Occ) x 5 (Det) = 120 RPN

63. Change Points From Current AIAG
行動優先 -
新的AP表
*手冊中推薦的邏輯內置於表中。
*當使用者在他們面前使用表格或軟體時，基於邏輯的優先等
級驅動高、中或低。

64. End