跳转至

FMEA/FMECA详细指南

学习目标

完成本模块后,你将能够: - 理解FMEA和FMECA的概念和区别 - 掌握FMEA/FMECA的实施步骤 - 正确计算和使用RPN(风险优先数) - 应用FMEA/FMECA到医疗器械开发 - 识别和避免常见错误

前置知识

  • ISO 14971基本概念
  • 风险管理流程
  • 医疗器械系统知识

FMEA vs FMECA

FMEA (Failure Mode and Effects Analysis)

定义: 失效模式与影响分析

特点: - 识别潜在失效模式 - 分析失效影响 - 评估严重程度、发生概率、可检测性 - 计算RPN(风险优先数) - 优先处理高RPN项目

FMECA (Failure Mode, Effects and Criticality Analysis)

定义: 失效模式、影响及危害度分析

特点: - 在FMEA基础上增加危害度分析 - 考虑失效模式的危害程度 - 更定量的分析方法 - 常用于军事和航空航天领域 - 医疗器械通常使用FMEA

主要区别

特征 FMEA FMECA
分析深度 基本分析 增加危害度分析
定量程度 半定量 更定量
复杂度 相对简单 更复杂
应用领域 广泛应用 特定领域
医疗器械 常用 较少用

本指南重点: 医疗器械常用的FMEA方法

FMEA类型

1. 设计FMEA (DFMEA)

目的: 识别设计中的潜在失效模式

时机: 设计阶段

关注点: - 设计缺陷 - 功能失效 - 性能不足 - 接口问题

示例: 传感器设计不当导致测量误差

2. 过程FMEA (PFMEA)

目的: 识别制造过程中的潜在失效

时机: 工艺设计阶段

关注点: - 制造缺陷 - 工艺问题 - 质量控制 - 人为错误

示例: 焊接工艺不当导致连接失效

3. 系统FMEA (SFMEA)

目的: 识别系统级的失效模式

时机: 系统设计早期

关注点: - 子系统交互 - 系统集成 - 整体功能 - 环境影响

示例: 多个子系统同时失效导致系统崩溃

FMEA实施步骤

步骤1: 准备阶段

1.1 组建FMEA团队

团队成员应包括: - 设计工程师 - 质量工程师 - 制造工程师 - 临床专家 - 可靠性工程师 - 维护工程师

1.2 定义分析范围

明确: - 分析对象(产品/系统/过程) - 分析边界 - 分析层级 - 预期用途 - 使用环境

1.3 收集信息

收集: - 设计文档 - 功能规格 - 系统架构 - 历史数据 - 类似产品经验 - 行业标准

1.4 建立评分标准

定义: - 严重程度(Severity)评分标准 - 发生概率(Occurrence)评分标准 - 可检测性(Detection)评分标准 - RPN阈值

步骤2: 功能分析

2.1 识别功能

列出所有功能: - 主要功能 - 辅助功能 - 安全功能 - 用户界面功能

示例 - 血压计: - 测量血压 - 显示结果 - 存储数据 - 报警功能 - 电源管理

2.2 功能分解

将复杂功能分解为子功能:

血压测量
├── 充气
│   ├── 启动气泵
│   ├── 控制充气速度
│   └── 监控压力
├── 测量
│   ├── 检测脉搏
│   ├── 记录压力变化
│   └── 计算血压值
└── 放气
    ├── 控制放气速度
    └── 完全放气

步骤3: 失效模式识别

3.1 识别潜在失效模式

对每个功能,问: - 这个功能可能如何失效? - 可能出现什么问题?

常见失效模式类型:

功能失效: - 功能完全失效 - 功能部分失效 - 功能间歇失效 - 功能性能下降

时序失效: - 过早动作 - 延迟动作 - 动作时间过长/过短

输出失效: - 输出过高/过低 - 输出不稳定 - 输出错误

示例 - 血压计充气功能: - 充气失败(不充气) - 充气过慢 - 充气过快 - 充气压力过高 - 充气压力不足 - 充气不均匀

步骤4: 失效影响分析

4.1 分析局部影响

失效对组件本身的影响: - 组件损坏 - 性能下降 - 功能丧失

4.2 分析系统影响

失效对整个系统的影响: - 系统功能受影响 - 其他组件受影响 - 系统性能下降

4.3 分析最终影响

失效对用户/患者的影响: - 测量不准确 - 诊断错误 - 治疗延误 - 患者伤害 - 设备损坏

示例 - 血压计充气压力过高: - 局部影响: 气泵过载 - 系统影响: 袖带可能破裂 - 最终影响: 患者手臂疼痛或受伤

步骤5: 失效原因分析

5.1 识别根本原因

使用5-Why方法: 1. 为什么会发生这个失效? 2. 为什么会有这个原因? 3. 继续追问,直到找到根本原因

示例 - 充气压力过高: - 为什么压力过高? → 压力传感器读数错误 - 为什么读数错误? → 传感器校准不准 - 为什么校准不准? → 校准程序不完善 - 为什么程序不完善? → 设计时未充分考虑

5.2 常见失效原因类型

设计原因: - 设计缺陷 - 规格不当 - 材料选择错误 - 安全裕度不足

制造原因: - 工艺问题 - 质量控制不足 - 人为错误 - 设备故障

使用原因: - 误用 - 维护不当 - 环境因素 - 磨损老化

软件原因: - 编码错误 - 逻辑错误 - 边界条件处理不当 - 并发问题

步骤6: 评分

6.1 严重程度(Severity, S)评分

评分 描述 影响 示例
10 危险(无警告) 可能导致死亡,无警告 除颤器失效无警告
9 危险(有警告) 可能导致死亡,有警告 输液泵过量给药有报警
8 非常严重 永久性伤害 激光设备过量辐射
7 严重 严重伤害需住院 血糖仪严重误差导致错误用药
6 中等 中度伤害需医疗干预 血压计误差导致重复测量
5 轻微伤害 袖带过紧导致不适
4 很低 非常轻微的伤害 轻微皮肤发红
3 微小 不适但无伤害 测量时间过长
2 很微小 轻微不便 显示不清晰
1 无影响 外观瑕疵

评分原则: - 考虑最坏情况 - 基于失效的最终影响 - 不考虑发生概率 - 不考虑现有控制措施

6.2 发生概率(Occurrence, O)评分

评分 描述 概率范围 示例
10 几乎必然 ≥ 1/2 每2次使用发生1次
9 非常高 1/3 每3次使用发生1次
8 1/8 每8次使用发生1次
7 中高 1/20 每20次使用发生1次
6 中等 1/80 每80次使用发生1次
5 1/400 每400次使用发生1次
4 很低 1/2,000 每2000次使用发生1次
3 微小 1/15,000 每15000次使用发生1次
2 罕见 1/150,000 每150000次使用发生1次
1 几乎不可能 < 1/1,500,000 产品生命周期内不会发生

评分依据: - 历史数据 - 测试结果 - 可靠性分析 - 专家判断 - 类似产品经验

6.3 可检测性(Detection, D)评分

评分 描述 检测能力 示例
10 几乎不可能检测 无检测方法 隐藏的软件缺陷
9 非常难检测 检测方法不可靠 间歇性故障
8 难检测 检测方法效率低 需要特殊设备检测
7 很难检测 检测方法复杂 需要拆解检测
6 中等难度 检测需要努力 需要专业人员检测
5 中等 常规检测可发现 功能测试可发现
4 较易检测 检测方法简单 目视检查可发现
3 容易检测 检测方法明显 自动检测
2 非常容易检测 失效明显 立即显示错误
1 几乎确定检测 失效无法发生或立即检测 设计防止失效

评分考虑: - 现有检测方法 - 检测时机(设计/制造/使用) - 检测可靠性 - 检测覆盖率

6.4 计算RPN

公式: RPN = S × O × D

范围: 1 ~ 1000

示例: - S = 8 (永久性伤害) - O = 5 (低概率) - D = 6 (中等难度检测) - RPN = 8 × 5 × 6 = 240

步骤7: 风险优先级排序

7.1 RPN阈值

建立RPN阈值: - 高优先级: RPN > 200 - 中优先级: 100 < RPN ≤ 200 - 低优先级: RPN ≤ 100

注意: 阈值应根据产品风险等级调整

7.2 特殊规则

即使RPN较低,以下情况也应优先处理: - S ≥ 9 (可能导致死亡) - S ≥ 8 且 O ≥ 4 - S ≥ 7 且 O ≥ 6

原因: 高严重程度的风险,即使概率低也应重点关注

7.3 排序方法

  1. 按RPN从高到低排序
  2. 应用特殊规则
  3. 考虑资源和时间限制
  4. 制定行动计划

步骤8: 风险控制措施

8.1 控制措施类型

1. 降低严重程度(S): - 限制失效影响 - 增加保护措施 - 冗余设计

示例: 限制最大充气压力

2. 降低发生概率(O): - 改进设计 - 提高可靠性 - 使用更好的材料 - 改进工艺

示例: 使用高可靠性传感器

3. 提高可检测性(降低D): - 增加检测方法 - 自动检测 - 报警系统 - 自检功能

示例: 增加压力传感器自检

8.2 控制措施优先级

按ISO 14971要求: 1. 本质安全设计(降低S或O) 2. 保护措施(降低S或提高检测) 3. 使用信息(提高用户检测能力)

8.3 控制措施示例

失效模式 原RPN 控制措施 措施类型 预期效果
充气压力过高 240 增加硬件限压器 本质安全 S=8→6, O=5→3
传感器失效 180 双传感器冗余 本质安全 O=6→3
软件错误 320 增加自检功能 保护措施 D=8→4
误操作 150 改进用户界面 本质安全 O=5→2

步骤9: 重新评估

9.1 实施控制措施后重新评分

  • 重新评估S, O, D
  • 计算新的RPN
  • 验证风险降低

示例: 

原始:
S = 8, O = 5, D = 6
RPN = 240

控制措施: 增加硬件限压器 + 软件限制

重新评估:
S = 6 (限制了最大压力,伤害降低)
O = 3 (双重保护,概率降低)
D = 6 (检测能力未变)
新RPN = 6 × 3 × 6 = 108

9.2 验证控制措施有效性

  • 测试验证
  • 分析验证
  • 检查验证

9.3 识别新风险

控制措施可能引入新风险: - 增加复杂性 - 新的失效模式 - 性能影响

示例: 增加冗余传感器可能导致: - 两个传感器读数不一致 - 增加软件复杂性 - 增加成本和体积

步骤10: 文档化

10.1 FMEA表格

完整的FMEA表格应包含: - 功能/组件 - 失效模式 - 失效影响 - 严重程度(S) - 失效原因 - 发生概率(O) - 现有控制 - 可检测性(D) - RPN - 建议措施 - 责任人 - 目标完成日期 - 实施后的S, O, D - 新RPN

10.2 FMEA报告

包含: - 执行摘要 - 分析范围和方法 - 团队成员 - 主要发现 - 高风险项目 - 建议措施 - 行动计划

FMEA表格示例

血压计FMEA示例

项目 功能 失效模式 失效影响 S 失效原因 O 现有控制 D RPN 建议措施 责任人 完成日期 新S 新O 新D 新RPN
1 血压测量 充气压力过高 患者手臂疼痛/受伤 8 压力传感器失效 5 软件限制 6 240 增加硬件限压器 张工 2026-03-01 6 3 6 108
2 血压测量 测量不准确 错误诊断 7 传感器漂移 6 定期校准 5 210 增加自动校准 李工 2026-03-15 7 3 4 84
3 显示 显示错误数值 错误诊断 7 软件缺陷 4 代码审查 7 196 增加数据验证 王工 2026-02-28 7 2 5 70
4 报警 报警不响 异常未发现 8 蜂鸣器失效 3 出厂测试 6 144 增加自检功能 赵工 2026-03-10 8 3 3 72
5 电源 电池突然耗尽 测量中断 5 电池老化 6 低电量警告 4 120 提前警告时间 刘工 2026-02-25 5 6 2 60

输液泵软件FMEA示例

项目 功能 失效模式 失效影响 S 失效原因 O 现有控制 D RPN 建议措施 责任人 完成日期 新S 新O 新D 新RPN
1 剂量计算 计算错误 过量/不足给药 9 算法错误 4 单元测试 7 252 双重计算验证 软件组 2026-03-01 9 2 4 72
2 流速控制 流速过快 过量给药 9 控制器故障 3 硬件限制 5 135 增加软件互锁 硬件组 2026-03-10 9 2 4 72
3 报警 误报警 报警疲劳 6 阈值设置不当 7 可调阈值 3 126 智能报警算法 软件组 2026-03-20 5 5 3 75
4 数据存储 数据丢失 无法追溯 5 存储器故障 4 定期备份 6 120 冗余存储 硬件组 2026-03-15 5 2 5 50
5 用户界面 输入错误 错误设置 7 界面不清晰 6 确认步骤 4 168 防呆设计 UI组 2026-02-28 7 3 3 63

RPN的正确使用

RPN的优点

  1. 量化风险: 提供数值化的风险评估
  2. 优先排序: 帮助确定处理优先级
  3. 追踪改进: 可以量化风险降低效果
  4. 沟通工具: 便于团队沟通和管理层报告

RPN的局限性

RPN使用注意事项

1. 不同组合可能得到相同RPN

示例: - 组合A: S=10, O=2, D=5, RPN=100 - 组合B: S=5, O=4, D=5, RPN=100

虽然RPN相同,但组合A(可能致命)显然更危险!

2. RPN不是真实的风险值

  • RPN是相对指标,不是绝对风险
  • 不能直接比较不同产品的RPN
  • 不能简单相加或平均

3. 评分主观性

  • S, O, D的评分依赖专家判断
  • 不同评估者可能得出不同结果
  • 需要团队共识和标准化

4. 等权重问题

  • S, O, D被等权重相乘
  • 实际上严重程度应该更重要
  • 可能导致优先级不合理

RPN使用最佳实践

1. 不要仅依赖RPN

应综合考虑: - RPN值 - 严重程度(S) - 发生概率(O) - 法规要求 - 客户关注点

2. 建立特殊规则

示例规则: 

- 如果 S ≥ 9, 无论RPN多少都必须处理
- 如果 S ≥ 8 且 O ≥ 4, 必须处理
- 如果 RPN > 200, 必须处理
- 如果 S ≥ 7 且 RPN > 150, 必须处理

3. 使用风险矩阵补充

将S和O绘制在风险矩阵上: 

O ↑
10 |  M   H   H   VH  VH
8  |  M   M   H   H   VH
6  |  L   M   M   H   H
4  |  L   L   M   M   H
2  |  L   L   L   M   M
   +-------------------→ S
      2   4   6   8   10

L=低, M=中, H=高, VH=极高

4. 关注严重程度

优先处理高严重程度的风险,即使概率低: - S=10或9: 最高优先级 - S=8或7: 高优先级 - S≤6: 根据RPN决定

5. 定期重新评估

  • 实施控制措施后重新评估
  • 收集实际数据后更新评分
  • 定期审查FMEA

常见错误和陷阱

错误1: 失效模式识别不充分

问题: 遗漏重要的失效模式

原因: - 团队经验不足 - 分析不够系统 - 时间压力

解决方法: - 使用多种识别方法 - 参考检查清单 - 学习类似产品经验 - 进行多轮识别

错误2: 失效影响分析不深入

问题: 只分析直接影响,忽视最终影响

错误示例: - 失效模式: 传感器失效 - 失效影响: 无法测量 ❌

正确示例: - 失效模式: 传感器失效 - 失效影响: 无法测量 → 诊断延误 → 治疗延误 → 患者病情恶化 ✓

解决方法: - 追踪到最终影响 - 考虑对患者的影响 - 使用"所以呢?"方法

错误3: 评分不一致

问题: 不同项目使用不同标准

示例: - 项目A: S=7表示"需要住院" - 项目B: S=7表示"需要医疗干预"

解决方法: - 建立明确的评分标准 - 团队培训和校准 - 使用评分指南 - 定期审查一致性

错误4: 忽视现有控制

问题: 评分时未考虑现有控制措施

错误做法: - 评估"裸"风险(无任何控制) - 导致所有风险都很高

正确做法: - O和D应考虑现有控制 - S不考虑控制(最坏情况) - 明确区分"现有控制"和"建议措施"

错误5: RPN崇拜

问题: 完全依赖RPN,忽视其他因素

示例: - 风险A: S=10, O=2, D=5, RPN=100 - 风险B: S=5, O=5, D=4, RPN=100 - 错误: 认为两者优先级相同

正确做法: - 优先处理风险A(可能致命) - 使用特殊规则 - 综合判断

错误6: 控制措施不当

问题: 选择错误的控制措施类型

错误示例: - 高严重程度风险只用警告标签 - 违反ISO 14971优先级原则

正确做法: - 遵循控制措施优先级 - 优先使用本质安全设计 - 警告标签是最后手段

错误7: 未重新评估

问题: 实施控制措施后未重新评分

后果: - 无法验证控制措施有效性 - 无法追踪风险降低 - 可能遗漏新风险

正确做法: - 实施后重新评估S, O, D - 计算新RPN - 验证风险降低 - 识别新引入的风险

软件FMEA特殊考虑

软件失效模式类型

1. 逻辑错误: - 算法错误 - 条件判断错误 - 循环错误

2. 数据错误: - 数据类型错误 - 数据范围错误 - 数据损坏

3. 接口错误: - 输入验证失败 - 输出格式错误 - 通信错误

4. 时序错误: - 超时 - 竞态条件 - 死锁

5. 资源错误: - 内存泄漏 - 资源耗尽 - 缓冲区溢出

软件FMEA示例

功能 失效模式 失效影响 S 失效原因 O 现有控制 D RPN 建议措施
输入验证 未验证输入范围 非法值导致错误计算 8 编码疏忽 5 代码审查 6 240 增加单元测试
内存管理 内存泄漏 系统崩溃 7 未释放内存 4 静态分析 7 196 使用智能指针
并发控制 竞态条件 数据不一致 8 缺少互斥锁 6 代码审查 8 384 增加互斥保护
错误处理 未处理异常 程序崩溃 7 未考虑异常情况 5 单元测试 6 210 完善异常处理
数据存储 数据损坏 历史数据丢失 5 写入失败 4 校验和 5 100 增加冗余存储

软件控制措施

设计措施: - 防御性编程 - 输入验证 - 错误处理 - 冗余和多样性

验证措施: - 单元测试 - 集成测试 - 静态分析 - 代码审查 - 动态分析

文档措施: - 清晰的需求 - 详细的设计 - 完整的测试

FMEA工具和模板

Excel模板结构

基本列: 1. 项目编号 2. 功能/组件 3. 失效模式 4. 失效影响 5. 严重程度(S) 6. 失效原因 7. 发生概率(O) 8. 现有控制 9. 可检测性(D) 10. RPN 11. 建议措施 12. 责任人 13. 目标日期 14. 实施后S 15. 实施后O 16. 实施后D 17. 新RPN 18. 状态

辅助列: - 风险等级(基于RPN) - 优先级 - 验证方法 - 验证结果 - 备注

专业FMEA软件

商业软件: - ReliaSoft XFMEA - IQS FMEA - Sphera FMEA - SAP Quality Management

开源/免费工具: - OpenFMEA - FMEA-Pro (Excel插件)

优点: - 自动计算RPN - 数据管理和追溯 - 报告生成 - 团队协作 - 版本控制

实践练习

练习1: 血糖仪FMEA

任务: 为血糖仪的测量功能进行FMEA

步骤: 1. 识别测量功能的子功能 2. 列出至少5个失效模式 3. 分析失效影响和原因 4. 评分S, O, D 5. 计算RPN 6. 提出控制措施 7. 重新评估

提示: - 考虑传感器、试纸、显示、数据处理 - 考虑用户误操作 - 考虑环境因素(温度、湿度)

练习2: 输液泵软件FMEA

任务: 为输液泵的剂量计算功能进行软件FMEA

步骤: 1. 识别计算功能的输入、处理、输出 2. 列出可能的软件失效模式 3. 分析失效影响(考虑最坏情况) 4. 识别失效原因(编码错误、逻辑错误等) 5. 评估现有控制(测试、审查等) 6. 提出改进措施

提示: - 考虑边界条件 - 考虑数据类型和范围 - 考虑并发和时序 - 考虑错误处理

练习3: RPN分析

场景: 以下三个风险,如何排优先级?

风险 S O D RPN
A 10 2 5 100
B 5 5 4 100
C 7 4 4 112

问题: 1. 仅根据RPN,优先级如何? 2. 考虑严重程度,优先级如何? 3. 你会如何排序?为什么?

答案提示: - 考虑S=10的特殊性 - 考虑法规要求 - 考虑风险可接受性准则

最佳实践总结

FMEA成功要素

1. 团队组成 - 跨职能团队 - 包含设计、质量、临床、制造专家 - 有经验的主持人

2. 充分准备 - 收集完整的设计信息 - 准备检查清单 - 建立评分标准 - 安排足够时间

3. 系统方法 - 使用结构化方法 - 从功能分析开始 - 逐层深入分析 - 不遗漏任何功能

4. 客观评分 - 使用明确的评分标准 - 团队共识 - 基于数据和事实 - 记录评分依据

5. 有效控制 - 遵循控制措施优先级 - 验证控制措施有效性 - 识别新引入的风险 - 重新评估RPN

6. 持续改进 - 定期更新FMEA - 收集实际数据 - 学习经验教训 - 改进评分标准

7. 文档管理 - 完整记录分析过程 - 保持版本控制 - 确保可追溯性 - 便于审核和审查

自测问题

问题1: FMEA和FMECA的主要区别是什么?医疗器械通常使用哪一个?
答案

主要区别:

FMEA (Failure Mode and Effects Analysis): - 识别失效模式和影响 - 使用RPN(S×O×D)评估风险 - 半定量方法 - 相对简单

FMECA (Failure Mode, Effects and Criticality Analysis): - 在FMEA基础上增加危害度分析 - 更定量的方法 - 计算危害度(Criticality) - 更复杂

医疗器械应用: - 通常使用FMEA - 符合ISO 14971要求 - 更实用和广泛接受 - FMECA主要用于军事和航空航天

选择依据: - 法规要求 - 产品复杂度 - 可用资源 - 行业惯例

问题2: RPN的计算公式是什么?RPN的范围是多少?如何使用RPN?
答案

计算公式: 

RPN = S × O × D
其中: - S = 严重程度 (Severity): 1-10 - O = 发生概率 (Occurrence): 1-10 - D = 可检测性 (Detection): 1-10

RPN范围: - 最小值: 1 (1×1×1) - 最大值: 1000 (10×10×10)

如何使用RPN:

  1. 优先排序:
  2. 高RPN(如>200): 高优先级
  3. 中RPN(100-200): 中优先级

  4. 低RPN(<100): 低优先级

  5. 特殊规则:

  6. S≥9: 无论RPN多少都优先处理
  7. S≥8且O≥4: 必须处理

  8. 不能仅依赖RPN

  9. 追踪改进:

  10. 实施控制措施前后对比
  11. 验证风险降低效果

  12. 目标: 降低RPN到可接受水平

  13. 注意局限性:

  14. RPN相同不代表风险相同
  15. 应综合考虑S, O, D
  16. 结合风险矩阵使用
问题3: 在FMEA中,严重程度(S)、发生概率(O)和可检测性(D)的评分应该考虑什么?
答案

严重程度(S)评分:

考虑因素: - 失效的最终影响(对患者/用户) - 最坏情况 - 不考虑发生概率 - 不考虑现有控制措施

评分依据: - 伤害程度(无伤害→死亡) - 法规要求 - 行业标准 - 临床专家意见

示例: - S=10: 可能导致死亡,无警告 - S=8: 永久性伤害 - S=5: 轻微伤害 - S=1: 无影响

发生概率(O)评分:

考虑因素: - 失效发生的可能性 - 考虑现有控制措施 - 基于数据和经验

评分依据: - 历史数据 - 测试结果 - 可靠性分析 - 类似产品经验 - 专家判断

示例: - O=10: 几乎必然发生(≥1/2) - O=5: 低概率(1/400) - O=1: 几乎不可能(<1/1,500,000)

可检测性(D)评分:

考虑因素: - 失效能否被检测到 - 检测时机(设计/制造/使用) - 现有检测方法 - 检测可靠性

评分依据: - 检测方法的有效性 - 检测覆盖率 - 检测时机 - 自动vs手动检测

示例: - D=10: 几乎不可能检测 - D=5: 常规检测可发现 - D=1: 几乎确定检测(或设计防止)

注意: D值越高,检测越困难,风险越高

问题4: 实施风险控制措施后,S、O、D哪些可能改变?如何重新评估?
答案

可能改变的参数:

1. 严重程度(S)可能降低:

控制措施类型: - 限制失效影响 - 增加保护措施 - 冗余设计

示例: - 原始: 充气压力无限制,S=10(可能导致严重伤害) - 控制: 增加硬件限压器,限制最大压力 - 结果: S=6(最多中度不适)

2. 发生概率(O)可能降低:

控制措施类型: - 改进设计 - 提高可靠性 - 使用更好的材料 - 改进工艺

示例: - 原始: 单传感器,O=6 - 控制: 双传感器冗余 - 结果: O=3(两个同时失效概率低)

3. 可检测性(D)可能降低(检测能力提高):

控制措施类型: - 增加检测方法 - 自动检测 - 报警系统 - 自检功能

示例: - 原始: 无自检,D=8(难以检测) - 控制: 增加自检功能 - 结果: D=3(自动检测)

重新评估步骤:

  1. 识别控制措施的作用:
  2. 降低严重程度?
  3. 降低发生概率?

  4. 提高可检测性?

  5. 重新评分:

  6. 考虑控制措施后的情况
  7. 基于数据和测试结果

  8. 团队共识

  9. 计算新RPN:

  10. 新RPN = 新S × 新O × 新D
  11. 与原RPN对比

  12. 验证风险降低

  13. 识别新风险:

  14. 控制措施是否引入新风险?

  15. 如有,进行新的FMEA

  16. 验证有效性:

  17. 测试验证
  18. 分析验证
  19. 确认风险降低

示例: 

原始:
S=8, O=5, D=6, RPN=240

控制措施:
- 增加硬件限压器(降低S)
- 双传感器冗余(降低O)
- 增加自检功能(降低D)

重新评估:
S=6 (限制了最大影响)
O=3 (双重保护)
D=3 (自动检测)
新RPN = 6×3×3 = 54

风险降低: 240→54 (降低78%)

问题5: FMEA中常见的错误有哪些?如何避免?
答案

常见错误和避免方法:

1. 失效模式识别不充分

错误表现: - 遗漏重要失效模式 - 只考虑明显的失效 - 忽视罕见但严重的失效

避免方法: - 使用多种识别方法(头脑风暴、检查清单、FTA) - 跨职能团队参与 - 参考类似产品经验 - 多轮识别 - 使用HAZOP引导词

2. 失效影响分析不深入

错误表现: - 只分析直接影响 - 未追踪到最终影响 - 未考虑对患者的影响

错误示例: - "传感器失效" → "无法测量" ❌

正确示例: - "传感器失效" → "无法测量" → "诊断延误" → "治疗延误" → "患者病情恶化" ✓

避免方法: - 使用"所以呢?"方法 - 追踪到最终用户影响 - 考虑最坏情况

3. 评分不一致

错误表现: - 不同项目使用不同标准 - 同一团队前后不一致 - 主观性太强

避免方法: - 建立明确的评分标准 - 团队培训和校准 - 使用评分指南和示例 - 定期审查一致性 - 记录评分依据

4. 忽视现有控制

错误表现: - 评估"裸"风险 - 所有风险都很高 - 未区分现有控制和建议措施

避免方法: - O和D应考虑现有控制 - S不考虑控制(最坏情况) - 明确列出现有控制 - 区分"现有"和"建议"

5. RPN崇拜

错误表现: - 完全依赖RPN - 忽视严重程度 - 机械排序

避免方法: - 建立特殊规则(S≥9必须处理) - 综合考虑S, O, D - 使用风险矩阵补充 - 考虑法规要求

6. 控制措施不当

错误表现: - 违反ISO 14971优先级 - 高风险只用警告标签 - 未验证控制措施有效性

避免方法: - 遵循控制措施优先级 - 优先使用本质安全设计 - 验证控制措施有效性 - 识别新引入的风险

7. 未重新评估

错误表现: - 实施控制措施后未重新评分 - 无法验证风险降低 - 遗漏新风险

避免方法: - 实施后必须重新评估 - 计算新RPN - 验证风险降低 - 识别新风险 - 文档化整个过程

相关资源

参考文献

  1. ISO 14971:2019 - Medical devices - Application of risk management to medical devices
  2. IEC 60812:2018 - Failure modes and effects analysis (FMEA and FMECA)
  3. SAE J1739:2021 - Potential Failure Mode and Effects Analysis in Design (Design FMEA), Potential Failure Mode and Effects Analysis in Manufacturing and Assembly Processes (Process FMEA)
  4. AIAG & VDA FMEA Handbook (2019)
  5. MIL-STD-1629A - Procedures for Performing a Failure Mode, Effects and Criticality Analysis
  6. FDA Guidance: "Design Control Guidance for Medical Device Manufacturers"

💬 讨论区

欢迎在这里分享您的想法、提出问题或参与讨论。需要 GitHub 账号登录。