失效模式综合速查表（FMEA Quick Reference）

功能安全L2别名 FMEA · 失效模式 · 速查表

本质功率电子与汽车电子领域的失效，90% 以上都可以归入六个根因家族——过压（电场击穿）、过流（热积累）、热机械疲劳（CTE 失配）、控制时序错误（驱动 / 保护链）、长期退化（BTI / 电迁移 / 腐蚀）、系统集成边界（EMI / 地弹 / 串扰）。这张表把分散在 20+ 页中的失效图谱拉到一个页面，让 FMEA 从"从零编清单"变为"对照打钩"。

学习目标

读完本页后，你应该能够：

把任意可观察的失效现象归位到六个根因家族之一
用本页的器件 / 域速查表完成 FMEA 初稿（对照打钩，不从零编）
看到全局 Top 30 速查表，识别选型 / 架构阶段的高风险点
通过表格中的对策列，反向找到 wiki 对应详细页深读
按 AIAG VDA 七步法展开一份 FMEA（§8），搭结构/功能/失效三棵树（§9）
用 S / O / D（§10）+ AP 优先度矩阵（§11）代替旧 RPN，把资源投向高 S 高 O 的失效链

1. 如何使用本页

本页 121 条失效目录的核心价值是让 FMEA 起步时不漏失效模式——按器件 / 子系统分组扫一遍,把"我项目工况下可能激活"的失效行勾出来。列结构是"可观察结果 → 物理机制 → 工程对策" 的因果链,FMEA 写作时按这条因果链直接对应到 Effect / Cause / 措施三列。

列	含义
失效模式	可观察的结果
根因	物理/电气机制
对策	设计/选型/保护

本页是 FMEA 速查辅助工具，不是教科书。FMEA 方法论详见 FMEA。

FMEA 初稿：按设计所用的器件 / 功能域，找对应章节，把每一行失效模式对照自己的设计检查："我的设计会不会遇到？预防措施落实了吗？"
根因分析：器件损坏后，先看症状，在对应域的表格里找匹配的根因，再去详细页深读。
选型对比：第七节全局速查表按严重度排序，帮助在器件选型 / 架构阶段识别高风险点。

表格列定义：

严重度（Severity）按 1–5 评分，5 = 立即炸管 / 功能丧失，1 = 长期缓慢退化。

2. 功率器件失效模式

MOSFET 失效

MOSFET 失效模式按"激活原因"分四组:电气过压(雪崩、栅氧)、dv/dt 触发(误开通、Cross-talk)、热失控(Spirito、热阻不足)、寄生失效(NPN 二次击穿、 $Q_{rr}$ )。下表覆盖现代 MOSFET 实战中最常见的 6 类——具体物理机制详见 MOSFET §9 失效模式图谱。

失效模式	根因	对策
雪崩击穿炸管	$V_{D S}$ 超 $B V_{D SS}$ ； $L_{l oo p}$ di/dt 过大	TVS/RCD 钳位；最小化 $L_{l oo p}$
栅氧击穿	$V_{GS}$ 超 ± $V_{GS}$ ,max	Zener；走线短；串铁氧体磁珠
体二极管 $Q_{rr}$ 炸管	硬换流 $Q_{rr}$ 尖峰	并联 SiC SBD；降 di/dt
dV/dt 误开通	$C_{g d}$ 把 $V_{GS}$ 抬过 $V_{t h}$	负关断电压；有源 Miller 箝位
Spirito 热失控	线性区 $V_{t h}$ 负温系数正反馈	查 FBSOA；禁并联线性；限流
导通热失控	$R_{D S (o n)}$ 正温系数 + 散热不足	留 20 K 裕量；双重保护
二次击穿	雪崩过大触发寄生 BJT	选 Rugged 型；降额 30% $E_{A S}$
栅极振荡	$L_{g}$ · $C_{i ss}$ 谐振	Kelvin 源极；磁珠；加 $R_{G}$
焊线/DBC 疲劳	ΔT_j 热机械 CTE 失配	降 ΔT_j；Cu 夹合；Si_3N_4 AMB
湿气腐蚀	封装失效；85/85 环境	车规封装；保护涂层

详见 MOSFET、栅极驱动、热管理

SiC MOSFET 特有失效

SiC 共享 Si MOSFET 大部分失效模式(上一节),但有一组只在 SiC 体系里出现的特有失效——根因是 SiC 材料和工艺特性: $S i O_{2}$ /SiC 界面态密度高(导致 BTI、TDDB)、体二极管 BPD 退化(基面位错扩展)、SCWT 短(物理上不可避免)。下表是 SiC 选型时必须额外评估的失效。

失效模式	根因	对策
栅氧 TDDB	沟槽底 $S i O_{2}$ /SiC 长期高电场	屏蔽沟槽；留 $V_{D SS}$ 裕量
BTI $V_{t h}$ 漂移	高温高偏置界面态充放电	$V_{GS}$ ,on ≤ +18 V；好散热
BPD 退化	体二极管续流激发堆垛层错	同步整流；并联 SiC SBD
短路超 SCWT	SCWT 仅 2–5 μs；保护慢	SiC 专用驱动 IC；blanking ≤ 2 μs
关断过冲雪崩	$L_{l oo p}$ × di/dt 叠加 $V_{D S}$	最小化 $L_{l oo p}$ ；增大 $R_{G}$ ,off
Cross-talk 直通	高 dV/dt 经 $C_{g d}$ 抬 $V_{GS}$	−5 V 关断 + Miller 箝位

详见 SiC 器件、栅极驱动

IGBT 特有失效

IGBT 特有失效集中在两个物理特性上:双极性载流子注入(拖尾电流、Latch-up)和 PT/NPT/FS 代次差异(PT 负温度系数热失控,只发生在老结构)。Latch-up 是 IGBT 独有的不可逆失效——一旦激发寄生晶闸管,栅极失去控制,只能拉断 $V_{b u s}$ 才能停。

失效模式	根因	对策
短路过热炸管	$I_{C}$ × $V_{CE}$ 超 SCWT (5–10 μs)	DESAT + 软关断；blanking ≤ 2 μs
关断过冲击穿	$L_{l oo p}$ × di/dt；拖尾 di/dt 大	软关断；优化 PCB；RCD 缓冲
Latch-up	高 di/dt 触发 p-n-p-n 晶闸管	选 FS/Trench；控制 di/dt
PT 热失控	$V_{CE (s a t)}$ 负温系数致并联失衡	禁并联 PT；改用 FS 型
宇宙射线失效	高压高海拔粒子撞击	降额 20%；选 C-R 额定品
FWD $Q_{rr}$ 炸管	硬换流 di/dt 过大	控制 di/dt；soft-recovery FWD
DBC 分层	Cu/Al_2O_3 CTE 失配	Si_3N_4 AMB；降 ΔT_j
拖尾交叉导通	拖尾期间对管已开通	延长死区；降 $f_{s w}$ ；选 FS 型

详见 IGBT、热管理

GaN HEMT 特有失效

GaN 失效模式与 Si/SiC 完全不同——栅压余量极窄(7V vs MOSFET 20V)、动态 $R_{D S (o n)}$ 退化(陷阱捕获电子,只有动态测试能看到)、SCWT 极短 (< 1 μs,DESAT 来不及响应)。这三条共同决定 GaN 必须用专用驱动 IC,不能套用 Si MOSFET 驱动方案。

失效模式	根因	对策
动态 $R_{D S (o n)}$ 退化	碳掺杂陷阱捕获电子； $R_{D S (o n)}$ 升 2–5×	查供应商动态数据；back-barrier 工艺
无雪崩 → 立即击穿	无 $E_{A S}$ ； $V_{D S}$ 超 $B V_{D SS}$ 不可逆	TVS 钳位不可省；回路 < 50 mm²
栅极过压损坏	$V_{GS}$ ,max 仅 +7 V	专用 GaN 驱动 IC（+6 V 轨）
极短 SCWT	< 1 μs；传统 DESAT 来不及	集成 IC 硬件 OCP（200 ns 级）
死区续流发热	无体二极管； $V_{S D}$ ≈ 1.5–2.5 V	死区缩至 10–20 ns；Cascode
热导率低	GaN-on-Si 仅 130 W/mK	LGA/QFN 封装；加大散热

详见 GaN 器件、热管理

3. 栅极驱动失效模式

栅极驱动是功率器件失效的"放大器"——驱动失效不一定立即损坏,但会让上游器件被推到 SOA 边界外。下表的失效模式按"驱动失效 → 器件失效"的因果链组织,典型路径:UVLO 未触发 → 半开态 → 沟道大热阻 → 局部过热 → 炸管。

失效模式	根因	对策
UVLO 未触发	$V_{CC}$ 跌落； $V_{GS}$ 不足	UVLO 使能；SiC 阈值 12–13 V
DESAT 误触发	blanking 太短； $V_{CE}$ 未稳定	SiC 1–2 μs；IGBT 2–4 μs
DESAT 漏报	blanking 过长；链路故障	尽量短 blanking；冗余 OCP
Bootstrap 塌陷	高占空比 $C_{b oo t}$ 充不满	限占空比 < 95%；或隔离 DC/DC
隔离屏障击穿	瞬态共模超隔离额定	$V_{I SO}$ ≥ 3× 母线；爬电 ≥ 8 mm
CMRR 不足	光耦 < 10 kV/μs；dV/dt 耦合	数字隔离器 > 100 kV/μs
GND bounce	$L_{s}$ 上 di/dt 污染驱动地	Kelvin 源极；最小化 $L_{s}$
Cross-talk 直通	dV/dt 经 $C_{g d}$ 抬 $V_{GS}$	负压 + Miller 箝位 + 低 $R_{G}$ ,off
死区不足直通	温度/老化致开关延迟	留裕量；死区补偿算法
$V_{CC}$ 纹波抖动	供电纹波致频率不稳	100 nF 陶瓷 + 10 μF 去耦

详见栅极驱动、SiC 器件

4. 电源变换器失效模式

电源变换器失效的根源主要在三组元件:磁性元件(变压器饱和、电感失稳)、电解电容(ESR 退化、寿命陈旧)、控制环路(不稳定、振荡)。这三组失效相互独立但常被混淆——磁路失效表现为效率突降,电容失效表现为纹波增大,环路失效表现为输出震荡。诊断时按这三类分别测对应物理量。

失效模式	根因	对策
变压器饱和	DC 偏置累积；伏秒超限	伏秒平衡；磁复位；CT 防不平衡
输出电容 ESR 退化	高温/高纹波蒸发电解液	105°C 品；纹波降额；陶瓷混搭
环路不稳定	PM < 30°；补偿器不匹配	PM ≥ 45°；留温度容差余量
次谐波振荡	PCM D > 50% 无斜率补偿	补偿斜率 ≥ $m_{2}$ /2
输入电容过流	$I_{r m s}$ 超额定；ESR 发热	降额 50%；多颗并联
二极管 snap EMI	snappy $Q_{rr}$ 高 di/dt 尖峰	SiC SBD；soft-recovery；RC 缓冲
LLC 轻载失 ZVS	谐振电流不足放 $C_{oss}$	留 ZVS 裕量；Burst Mode
开机输出过冲	软启动不足；带宽过高	增大软启动；OVP = $V_{o u t}$ + 20%
LDO 振荡	ESR 不在稳定范围	按手册选 ESR；选内部补偿 LDO

详见功率电子学、电源设计

5. 热与可靠性失效模式

热相关失效的核心是 CTE 失配 + ΔT_j 累积——不同材料热膨胀系数不同,温度循环时焊层 / 键合丝在材料界面被反复剪切,直至疲劳断裂。Coffin-Manson 寿命公式 $N_{f} \propto Δ T_{j}^{- 5}$ 给出量化预测: $Δ T_{j}$ 减半 → 寿命 ×32——这是"限功率延寿"的数学根据(详见热管理)。

失效模式	根因	对策
焊线/焊料疲劳	ΔT_j CTE 失配； $N_{f}$ ∝ ΔT_j^−5	降 ΔT_j；Cu 夹合；烧结银
DBC 陶瓷分层	Cu/Al_2O_3 CTE 失配	Si_3N_4 AMB；降 ΔT_j
TIM 干涸退化	硅油分离；温度循环流失	相变材料；烧结银；≥5 年更换
稳态 $T_{j}$ 超限	损耗估偏小；散热不足	用高温 $R_{D S (o n)}$ ；留 20 K 裕量
散热器堵塞	灰尘 + 风扇退化	定期清洁；风扇冗余；IP54
液冷流量下降	水泵失效；泄漏；堵塞	冗余水泵；流量传感器
PCB 铜迹电迁移	J > 30 A/mm²；高温加速	≤ 30 A/mm²；2–3 oz 铜
Spirito 并联热失控	线性区 $V_{t h}$ 负温系数集中	查 FBSOA；外置限流；禁并联线性

详见热管理、MOSFET、PCB 设计

6. 汽车电子系统级失效模式

系统级失效与器件级失效本质不同——器件本身可能完好,但系统组合后失去预期功能。典型例子是 CAN 总线某节点故障钳位整条总线,或看门狗只检"程序卡住"而漏检"程序错乱"。系统级失效在 ASIL 项目中由 ASPICE 流程 + ISO 26262 系统级验证共同覆盖。

失效模式	根因	对策
看门狗失效	普通 WDT 漏检功能性失效	Q&A 看门狗；锁步 MCU
CAN 卡死	节点故障钳位总线	CAN 保护收发器；双 CAN 冗余
Cranking 损毁	启动跌至 6 V；供电不足	宽压 SBC (4–40 V)；Boost 辅助
Load Dump 过压	断电池飙升至 40–100 V	TVS (40 V Clamp)；SBC 保护
EMC 误动作	辐射/共模灌入控制电路	差分传输；屏蔽；共模扼流圈
车规焊线疲劳	−40～+150°C CTE 失配	AEC-Q 认证；Cu 夹合封装
ESD 闩锁	ESD 触发 p-n-p-n 锁定	HBM ≥ 2kV；外置 ESD 保护
CCF 共因失效	冗余通道共享电源/时钟	独立供电；独立时钟；独立 PCB

详见汽车电子、功能安全、保护器件

7. 全局失效模式速查表（Top 30，按严重度排序）

严重度 5（立即损毁）

S=5 的失效必须 100% 治理无视 O 和 D——按新法 AP 准则,这一档失效自动评 H 优先级。下表 30 条按"立即不可逆损毁"标准筛选,共同特点是毫秒级内炸器件,没有"尝试恢复"的余地,只能预防。

#	域	失效模式	对策
1	GaN	$V_{D S}$ 超 $B V_{D SS}$ 击穿（无雪崩）	TVS 不可省；回路 < 50 mm²
2	IGBT	短路超 SCWT 热毁	DESAT + 软关断；blanking ≤ 2 μs
3	SiC	短路超 SCWT (2–5 μs)	SiC 专用驱动；blanking ≤ 1.5 μs
4	GaN	SCWT < 1 μs 保护来不及	集成 GaN IC 硬件 OCP
5	MOS	雪崩击穿炸管	TVS/RCD；最小化 $L_{l oo p}$
6	IGBT	Latch-up 晶闸管激活	选 FS/Trench；控制 di/dt
7	驱动	Cross-talk 桥臂直通	负压 + Miller 箝位 + 低 $R_{G}$ ,off
8	汽车	Load Dump 过压	TVS (40 V Clamp)；SBC 保护

严重度 4（高风险）

S=4 是器件严重降级但未必立即损毁的失效——典型表现是参数漂移(dV/dt 误开通、BTI、动态 $R_{D S (o n)}$ )或长期可靠性问题。这类失效由于不会立即炸管,实验室 1000h 应力试验里可能漏检,所以 D 评分通常较高(难以及时发现)。

#	域	失效模式	对策
9	MOS	dV/dt 误开通	负关断电压；Miller 箝位
10	驱动	UVLO 未触发	UVLO 使能；SiC 阈值 12–13 V
11	汽车	看门狗失效	Q&A 看门狗 + 锁步 MCU
12	SiC	BTI $V_{t h}$ 漂移	$V_{GS}$ ,on 不超标；好散热
13	GaN	动态 $R_{D S (o n)}$ 退化	查动态数据；back-barrier 工艺
14	GaN	栅极过压 ( $V_{GS}$ ,max +7 V)	GaN 专用驱动 IC； $V_{GS}$ 限幅
15	MOS	Spirito 热失控	查 FBSOA；禁并联线性
16	热	焊线/焊料疲劳	降 ΔT_j；Cu 夹；烧结银
17	SiC	TDDB 栅氧击穿	屏蔽沟槽；电压降额
18	驱动	DESAT 漏报	尽量短 blanking；冗余 OCP
19	汽车	CCF 共因失效	独立供电；独立时钟

严重度 2–3（中低风险）

S=2~3 是功能局部受影响但整体可用的失效——通常是渐进退化或外观瑕疵。这类失效在新法 AP 下S+O+D 都低就可以 L 优先级不强制治理,但要纳入长期监控,避免累积成更严重失效。

#	域	失效模式	对策
20	MOS	栅氧击穿 (ESD/振铃)	Zener；走线短；磁珠
21	IGBT	宇宙射线失效	降额 20%；选 C-R 额定品
22	热	DBC 陶瓷分层	Si_3N_4 AMB；降 ΔT_j
23	热	TIM 干涸退化	相变材料；烧结银
24	电源	环路不稳定	PM ≥ 45°；留容差余量
25	电源	次谐波振荡	斜率补偿 ≥ $m_{2}$ /2
26	SiC	BPD 退化	同步整流；并联 SiC SBD
27	驱动	Bootstrap 塌陷	限占空比 < 95%
28	汽车	Cranking 损毁	宽压 SBC；Boost 辅助
29	MOS	焊线疲劳/ $Q_{rr}$ 炸管	SiC SBD 并联；Cu 夹封装
30	汽车	湿气腐蚀	车规封装；保护涂层

8. AIAG VDA 七步法框架

§1–§7 是"对照打钩"的速查工具；这一节是"怎么从零展开一份 FMEA"的方法论框架，采用 AIAG VDA FMEA Handbook（2019 年 6 月发布，替代原 AIAG 4th Edition 和 VDA 86）规定的七步法。

8.1 七个步骤与定位

七步分前后两半:第 1~~3 步是"看清对象"(策划 + 结构 + 功能),第 4~~7 步是"识别风险并改进"(失效 + 评分 + 优化 + 文档)。前半部前置看似冗余,实则是漏失效的根本预防——直接从"列失效模式"开始就会漏掉自己没注意到的功能。详细方法论见 FMEA §2。

#	步骤	属性	产出
1	策划和准备	管理	5T（InTent / Timing / Team / Task / Tool）+ 范围边界
2	结构分析	技术	产品 / 过程的三层结构树
3	功能分析	技术	上下层功能的因果链
4	失效分析	技术	失效影响 → 失效模式 → 失效原因三层
5	风险分析	技术	S / O / D 评分 + AP 优先度
6	优化改进	技术	新增预防 / 探测措施 + 验证计划
7	结果文件化	管理	向顾客 / 管理层的风险沟通报告

为什么七步 步骤 2–3 先搭"结构 × 功能"的因果骨架；失效的因果关系来源于功能的因果关系——骨架之上再做步骤 4–6 的失效/风险/改进层层展开。跳过 2–3 直接填失效表，漏项和误判率高。

8.2 DFMEA vs PFMEA vs FMEA-MSR

新法把传统的两类 FMEA 扩到三类——加入了 FMEA-MSR(Monitoring & System Response,2019 新增),专门处理"产品出厂后客户使用阶段"的失效与诊断响应。三者按 V 模型阶段对号入座:DFMEA 在设计、PFMEA 在工艺、FMEA-MSR 在运行。

类型	焦点	触发时机	特色指标
DFMEA（设计）	产品设计风险	概念冻结 → DV	S × O × D（1–10）
PFMEA（过程）	制造过程风险	PPAP 前	同上，O 看过程能力
FMEA-MSR（监控与系统响应）	行驶中故障检测与降级	DFMEA 之后	F（频率）+ M（监控）

FMEA-MSR 是 AIAG VDA 新增项，专门对标 ISO 26262 的 FTTI / Safety State 闭环——参见功能安全（Functional Safety）第 3 章。

9. 结构/功能/失效三棵树

三棵树是七步法中步骤 2–4 的产出，也是 AIAG VDA 相对旧 RPN 法最大的技术升级。

┌─────────────────────────────────────────────────────┐
│ 结构树（步骤 2）                                    │
│  上层元素 → 关注元素 → 下层元素/特性                │
│  例：ECU → 插接器 / PCB / 盖体 → 卡扣 / 密封槽      │
└─────────────────────────────────────────────────────┘
                    ↓（在每一层挂上功能）
┌─────────────────────────────────────────────────────┐
│ 功能树（步骤 3）                                    │
│  上层功能 ←(目的/原因)← 下层功能                    │
│  例：传递信号 ← 插针导通 ← 压接力 ≥ 80 N            │
└─────────────────────────────────────────────────────┘
                    ↓（把每个功能反转成失效）
┌─────────────────────────────────────────────────────┐
│ 失效树（步骤 4）                                    │
│  失效影响（上层）← 失效模式（关注层）← 失效原因（下层）│
│  例：ECU 无响应 ← 插针断路 ← 压接力不足（< 50 N）   │
└─────────────────────────────────────────────────────┘

9.1 三层原则

新法 Step 4 失效分析必须严格三层——这条不只是格式要求,而是因果链完整性的最低条件。少于三层(只有 Effect 和 Cause 没有 Mode)就丢了功能丢失的中间层,失效后果与设计直接耦合,后续无法做"挡掉中间层"的对策。

至少三层：少于三层就不能同时产生"影响 / 模式 / 原因"，分析链不成立
相互独立、完全穷尽（MECE）：同层元素不重叠、不遗漏
关注元素（Focus Element）：处于因果中心，是分析立足点；一般选方框图中的组成部分

9.2 方框图先于结构树

做步骤 2 之前先画方框图，标出：

产品内部模块间的连接
产品与外部（顾客、环境、生产线）的交互
噪声因素（温度、振动、EMI、湿度、老化）

然后把方框图里的元素按层级拉到结构树。方框图侧重"交互关系"，结构树侧重"层级关系"，两者互补。

10. 严重度 / 发生度 / 探测度评分准则（DFMEA，1–10）

10.1 严重度 S（Severity）——失效对顾客的影响程度

S 是产品功能性质决定的常量,不会因为加诊断或检测而改变——降 S 唯一办法是改设计(加冗余、降功能等级、加 safe state)。下表 1~~10 分制按"安全 → 法规 → 功能 → 外观"的影响层次排,9~~10 分是新法 AP 强制 H 优先级的硬阈值。

分值	影响层级	典型描述
10	人员健康 / 安全	危及生命的失效，违反安全法规
9	违反法律法规	排放 / 安全 / 环保法规被触发
8	主要功能丧失	车辆不能行驶 / 核心功能完全失效
7	主要功能退化	行驶能力下降但可用（跛行）
6	次要功能丧失	舒适功能（空调 / 娱乐）完全不可用
5	次要功能退化	舒适功能降级可用
4	非常反感	感官明显不适（异响 / 气味 / 振动）
3	中等反感	感官可察觉的不适
2	轻微反感	敏感用户才会察觉
1	不可识别	无可察觉影响

S 独立评估：不因"发生率低 / 探测性好"而下调——这是已识别失效链的本质严重性。

10.2 发生度 O（Occurrence）——失效原因发生概率

O 由"该失效原因实际多频繁触发该失效模式"决定,通常用历史数据 / 仿真 / 量产 SPC 反查。新法 O 评分要求量化(ppm 量级),不允许定性"高/中/低"——没数据的 O 评分等于猜,是 FMEA 流于形式的常见入口。

分值	等级	事件数参考	设计成熟度
10	极高	≥ 1/10	组织内外都是技术创新，无可靠措施
9	极高	1/20	组织内技术创新
8	非常高	1/50	新的技术创新
7	高	1/100	相似技术下的新设计
6	高	1/500	现有技术下的相似设计
5	中	1/2 000	短期验证设计 + 微小变更
4	中	1/10 000	短期验证设计 + 几乎相同
3	低	1/100 000	成熟设计 + 微小变更
2	低	1/1 000 000	成熟设计 + 几乎相同
1	极低	—	失效原因不可能发生

O 要把"设计经验 + 预防措施效果 + 现场事件数据"三维对照，不是单看发生率。

10.3 探测度 D（Detection）——设计发布前发现失效的能力

D 评的是设计发布前(不是出货后!)能否发现失效——重点看试验 / 仿真 / 评审在 Tape-out 前能否捕获该失效。关键陷阱是把"将来要做的检测"当成现状评 D。新法 D 严格按"已实施 + 已验证有效"打分。

分值	等级	探测类型	探测时间
10	极低	无探测措施	—
9	极低	探测措施不适用于该失效	—
8	低	未验证方法	较迟（影响生产）
7	低	未验证方法	较早
6	中	测试到失效（验证方法）	较迟
5	中	退化测试（验证方法）	较迟
4	高	通过/不通过（验证方法）	较早
3	高	测试到失效（验证方法）	较早
2	高	退化测试（验证方法）	较早
1	极高	必然探测出失效	预防性

三种探测类型由强到弱：退化测试（看趋势）> 测试到失效（看寿命）> 通过/不通过（只看规格点）。

11. AP 措施优先度矩阵（替代 RPN）

11.1 为什么 AIAG VDA 废弃 RPN

RPN 沿用 30 年,致命缺陷是把 S/O/D 等权乘积——失去了"安全严重度优先"的工程直觉。下表对比 RPN 与 AP 在三个核心维度上的差别。新法用 AP 三维查表替代乘积排序,根本改变了 FMEA 的优先级哲学。

问题	RPN (S×O×D)	AP
三指标权重	等权（乘积）	S 优先、然后 O、最后 D
单项指标可见性	被乘积平均掉	保留 S/O/D 原值参与分级
临界值解读	依赖"阈值"，易高枕无忧	直接输出 High/Medium/Low 三档
目标定位	排列风险绝对大小	指示优化改进的优先级别

典型反例：S=10 / O=4 / D=5（RPN=200）其实比 S=8 / O=5 / D=6（RPN=240）更危险——前者会死人。RPN 的乘积排序误导了优先级。

11.2 AP 查表规则（摘要）

AP 表在 AIAG VDA Handbook Table D1 中按 (S, O, D) 三元组查出 High / Medium / Low，约 300 行。简化识别法：

S 范围	当 O 或 D 较高时	AP
9–10（安全 / 法规）	O ≥ 4 或 D ≥ 4	High
9–10	O = 2–3 且 D = 2–3	Medium
7–8（主功能）	O ≥ 5 或 D ≥ 5	High
7–8	O ≤ 4 且 D ≤ 4	Medium
4–6（次功能 / 感官）	O ≥ 6 且 D ≥ 5	Medium
4–6	其余组合	Low
1–3	任意组合	Low

11.3 对三档 AP 的必做动作

AP 不只是优先级标签,每档对应不同强制动作:H 必须治理(否则项目章程要论证);M 应当治理;L 可选治理。判别原则:H 项不允许"以后再说",项目计划必须排上具体改进措施 + 责任人 + 完成日。

AP	强制动作	未改进时的要求
High	必须采取优化改进措施	否则必须在 FMEA 中写明"为何措施已足够"
Medium	应当采取措施	组织自定义是否要求写明理由
Low	可以采取措施	无强制

11.4 AP 与功能安全 ASIL 的对接

汽车功能安全（ISO 26262）用 ASIL 判定安全风险等级（QM / A / B / C / D）。AP 是 FMEA 内部优先级，ASIL 是系统级安全等级——二者不是同一个度量。对接做法：

ASIL D 的功能 → DFMEA 里该功能链的失效，S = 10（安全相关）→ 几乎都落 AP High
AP High 不等于 ASIL D——非安全相关的零件也可能 AP High（如主功能完全丧失）

详见功能安全（Functional Safety） §3.4（ASIL 判定与 FTA / FMEDA 的配合）。

核心要点

最危险的失效模式都是"不可逆的"：GaN 无雪崩、IGBT Latch-up、SiC 超 SCWT——共同特征是发生后立即损毁，保护响应链的时间裕量是核心设计约束，而不是事后的"补救"。
热机械疲劳失效是隐性杀手：焊线疲劳、DBC 分层、TIM 退化在台架测试中不会出现，只在产品生命周期后期（3–5 年功率循环后）暴露；Coffin-Manson 指数约 5，ΔT_j 减小 30% 寿命延长 3.7 倍，降 ΔT_j 是最高性价比的可靠性投资。
保护链时序是系统可靠性的咽喉：DESAT blanking 时间设置 = 防误报 vs 留足响应窗口之间的精确权衡，三种器件要求不同（GaN ≤ 0.5 μs、SiC ≤ 1.5 μs、IGBT ≤ 3 μs）；统一用同一个 blanking 值会导致一种器件误触发、另一种器件来不及保护。
Cross-talk / Miller 效应是 SiC / GaN 桥臂的首要调试障碍：本质是 $C_{g d}$ 把"对侧 dV/dt"翻译成"本侧 $V_{GS}$ 抬升"；解决三板斧是负关断电压 + 低 $R_{G}$ ,off + 有源 Miller 箝位，SiC 高 dV/dt 场景通常三者都需要同时使用。
FMEA 的价值不在于"发现未知"，而在于"系统化排查已知"：本页的七张表覆盖了功率电子和汽车电子领域 90% 以上的常见失效模式；做 FMEA 时逐行对照，比从零编制清单快 5× 且更完整，同时还能用 Top 30 全局表按严重度优先排序资源投入。
七步法的骨架是"结构 × 功能 × 失效"三棵树：AIAG VDA FMEA Handbook（2019）之前大家直接填失效表，漏项严重；新框架强制先搭结构树（产品→模块→设计元素三层）和功能树（上下层因果链），再把每个功能"反转"成失效，三层因果关系才立得住。
废 RPN 用 AP：RPN = S×O×D 乘积排序会掩盖 S=10 的失效链（人员安全）低于 S=8 的失效链（主功能）的错位；AP 先看 S，再看 O，最后看 D，直接输出 High/Medium/Low 三档，匹配"优化措施的优先级"这个实际决策。
S 独立于 O 和 D：一条 AP High 失效链的严重度不因为"发生概率低"或"探测性好"而下调——这两项在 O 和 D 里已经评过，再调整 S 就是双重评估。S 反映的是失效链本质的严重性。

Cross-references

← 索引
MOSFET 技术 — MOSFET 失效图谱 10 行（第九节）；SOA / Spirito / 雪崩 EAS 深度推导
SiC 器件 — BTI / BPD / TDDB 三大长期可靠性问题；SiC SCWT 物理来源
IGBT 技术 — IGBT 失效图谱（第九节）；PT vs FS 热特性对比；Latch-up 机制
GaN 器件 — 动态 $R_{D S (o n)}$ 退化机理；无雪崩物理原因；极短 SCWT
栅极驱动（Gate Driver） — 驱动失效图谱 10 行（第十节）；DESAT 完整时序；Cross-talk 三板斧
逆变器栅极驱动 IC — 800V SiC 驱动 IC 的安全诊断功能；五厂商 DESAT Soft-Off 对比
功率电子学 — LLC ZVS 失效机理；变压器饱和
电源设计 — 电源失效图谱（第七节）；环路稳定性；次谐波振荡
热管理 — 热管理失效图谱（第八节）；Coffin-Manson 功率循环寿命
保护器件（TVS / ESD） — Load Dump TVS 选型；ESD 三模型；汽车 ISO 7637
EMC 与绝缘配合 — EMI 源头与对策；PCB 四铁律；IEC 60664 绝缘
PCB 设计 — 热回路寄生电感；Kelvin 连接；铜迹电流密度设计
汽车电子 — 汽车电子失效图谱（第七节）；AEC-Q 加速失效机制
功能安全（Functional Safety） — 随机 vs 系统性失效；FMEA AP 方法；CCF 共因失效分析
DFA / FMEDA / FTA 三种核心分析方法 — DFA 看共因 / FMEDA 量化失效率 / FTA 拆顶事件,本页失效模式数据是 FMEDA 输入
汽车辅助电源 — Cranking dropout 保护；Load Dump 处理拓扑
AEC-Q 车规认证
电流传感器（Current Sensing）
SiC 功率模块 datasheet 解读
topic-sic-power-module-datasheet