为什么车载控制器 FMEA 更复杂？车载控制器的 FMEA 涉及硬件设计（PCB 布局、元器件选型）、软件逻辑（固件/嵌入式代码）、生产制造（SMT 贴片、焊接、老化测试）三个维度，任意一个维度的失效都可能导致控制器失效。此外，车载控制器需满足 AEC-Q100（汽车级芯片标准）和车规环境要求（-40℃~125℃工作温度、振动冲击），失效后果往往与整车安全直接相关。

DFMEA（设计失效模式分析）

针对控制器硬件设计和软件架构阶段，分析电路设计、元器件选型、散热方案等可能存在的设计缺陷。由硬件工程师 + 软件工程师联合主导，在原理图评审前完成。

PFMEA（过程失效模式分析）

针对控制器生产制造过程（SMT 贴片 → 回流焊 → ICT 测试 → 功能测试 → 老化测试 → 出货检验），分析每道工序可能出现的操作失误和设备异常。由工艺工程师主导，在量产前完成。

FMEA-MSR（监控与系统响应）

2019 新版新增类型，专门针对控制器在整车使用阶段的诊断功能和失效响应机制（如 OBD 故障码、Limp-home 跛行模式、安全状态进入逻辑）进行分析，是功能安全（ISO 26262）分析的重要输入。

System FMEA（系统级）

在项目立项阶段对控制器在整车系统中的功能架构进行分析，如 VCU（整车控制器）需分析与 BMS、MCU、OBC 等系统的接口失效模式。是 DFMEA 的前置分析步骤。

对比维度

旧版（AIAG 第四版 RPN）

新版（AIAG-VDA 2019 AP）

风险评价

RPN = S×O×D，最大 1000

AP = H/M/L，基于 S/O/D 组合矩阵

安全风险识别

S=10 但 O=1 D=1，RPN 仅=10，可能被忽略

S=9 或 10，无论 O/D 如何，AP 自动=H，安全风险不可被压制

措施要求

RPN>100 建议改善（阈值各厂不同）

AP=H 必须有措施，AP=M 建议有措施，无法靠调整阈值规避

分析步骤

6步

7步（新增结构分析），逻辑更系统

预防与探测

合并在控制措施

明确区分预防措施（降O）和探测措施（降D）

行动跟踪

仅记录措施内容

须记录责任人、完成日期，并做实施后重新评分

重要提示大众、宝马、奔驰等德系主机厂及大多数合资主机厂均已要求供应商切换至 AIAG-VDA 2019 新版。车载控制器供应商若仍使用旧版 RPN 体系，将在供应商质量审核中产生不符合项。 本文后续内容全部基于 2019 新版讲解。

01

规划与准备

确定分析对象： 如”新能源汽车整车控制器（VCU）PCB 设计 DFMEA”或”VCU SMT 生产线 PFMEA”，画出分析边界。

组建 CFT 团队： 硬件工程师、软件工程师、热设计工程师、可靠性工程师、质量工程师、SMT 工艺工程师，共 6~8 人。

输入历史数据： 收集同类控制器的市场失效报告（FFA）、OBD 故障码统计、历史 DFMEA/PFMEA 经验教训。

02

结构分析

DFMEA 结构树： 整车系统 → VCU 控制器总成 → PCB 单板 → 各功能模块（电源模块、MCU 模块、CAN 通信模块、IO 接口模块）→ 关键元器件。

PFMEA 过程流程： 来料检验 → SMT 贴片 → 回流焊 → AOI 检测 → ICT 在线测试 → 功能测试 → 老化测试（BURN-IN）→ 最终检验 → 包装出货，工序编号与 PFD、控制计划对应。

03

功能分析

DFMEA 功能描述（动词+名词+量化指标）：

·电源模块：将 12V 车载电源转换为 3.3V/5V（精度±1%，纹波<50mVpp）

·CAN 收发器：以 500kbps 速率收发 CAN 报文（误码率<10⁻⁹）

·MCU：在 -40℃~125℃ 环境下执行控制逻辑（响应时间<10ms）

PFMEA 工序功能： 如”回流焊工序：将 PCB 上所有焊盘焊点形成可靠连接（焊点强度≥5N，无虚焊/桥连）”。

04

失效分析

失效链三要素：失效原因 → 失效模式 → 失效后果

DFMEA 示例：

·去耦电容选型容量不足（原因）→ 电源纹波超标（模式）→ MCU 复位/死机（后果）

·PCB 走线阻抗不匹配（原因）→ CAN 信号完整性差（模式）→ 通信丢包/误码（后果）

PFMEA 示例：

·锡膏印刷量偏少（原因）→ 焊点虚焊（模式）→ ICT/功能测试失效，漏至客户端失效（后果）

05

风险分析

S（严重度）： 仅与失效后果挂钩——VCU 失效导致车辆无法行驶 S=8；VCU 误判导致制动异常 S=10。

O（频度）： 与元器件失效率（FIT 值）、过程能力（Cpk）挂钩——使用 AEC-Q100 认证芯片可降低 O 评分。

D（探测度）： 防错传感器/100% 在线测试 D=1~2；仅靠人工目检 D=7~8；无任何检测 D=9~10。

AP 行动优先级： S=9/10 → 无条件 AP=H；S=7/8 且 O≥4 且 D≥7 → AP=H。

06

优化

优先降低 S（最难但最有效）： 通过冗余设计、功能安全机制（ISO 26262）降低失效后果严重程度。

其次降低 O（预防措施）： 选用更高可靠性的汽车级元器件、优化 PCB 布局规则、改善 SMT 锡膏工艺参数。

再次降低 D（探测措施）： 增加 ICT 覆盖率、引入 AOI+AXI（X 射线检测）、100% 老化测试筛选。

措施闭环： 措施实施后重新评分，AP=H 项目必须降至 M 或 L，形成闭环记录。

07

结果文件化

FMEA 工作表归档： 纳入设计评审（Design Review）输出文件包，与硬件原理图、BOM、测试规范配套存档。

与控制计划对齐： PFMEA 中的探测措施须逐条映射到量产控制计划（ICT 测试项目、老化测试参数、最终检验规程）。

持续更新触发机制： 每次 ECU 硬件版本升级、工艺变更、或客户端失效（OBD 故障码异常）都须触发 FMEA 评审更新。

S分

失效后果描述

车载控制器典型示例

9-10

安全/法规相关失效，可能导致人身伤害

VCU 误判导致意外加速（S=10）；BMS 失效导致电池热失控（S=10）；EPS 控制器失效导致转向失控（S=9）

7-8

主要功能完全丧失，无人身危险但严重影响驾驶

VCU 失效导致车辆完全无法行驶（S=8）；ABS 控制器失效（S=7）；仪表控制器失效导致所有仪表黑屏（S=7）

5-6

主要功能降级，用户不满但可安全行驶

OBC 控制器失效导致无法充电（S=6）；空调控制器失效（S=5）；座椅控制器失效（S=4）

3-4

次要功能受影响，用户轻微不满

车窗控制异常（S=4）；氛围灯控制器失效（S=3）；后视镜加热功能失效（S=3）

1-2

几乎无影响，仅对生产或维修有轻微影响

调试接口偶发超时（S=2）；非关键 CAN 报文偶发延迟（S=1）

O分

发生可能性

硬件设计参考（FIT值）

生产过程参考（Cpk/PPM）

9-10

极高，过程/元件几乎不可控

FIT > 1000（非车规元器件）

Cpk < 0.67 / >10000 PPM

7-8

高，经常发生

FIT 100~1000

Cpk 0.67~1.00 / 1000~10000 PPM

5-6

中等，偶发

FIT 10~100

Cpk 1.00~1.33 / 100~1000 PPM

3-4

低，少量历史记录

FIT 1~10（AEC-Q100 认证芯片）

Cpk 1.33~1.67 / 10~100 PPM

1-2

极低，几乎不可能

FIT < 1（高可靠性元器件）

Cpk ≥ 1.67 / < 10 PPM

D分

探测能力

车载控制器生产线典型方法

9-10

无法探测，完全依赖人工目检或不检

无在线检测，仅依赖操作员肉眼检查 PCB，虚焊/桥连漏检率>80%

7-8

过程末端随机抽检

ICT 按 AQL 抽检（如每批抽 5 件），漏检概率高；出货前外观抽检

5-6

过程中人工检验或仪器抽检

AOI（自动光学检测）100%检，检出率 85~95%；ICT 100% 测试但覆盖率<80%

3-4

过程中自动化检测，高覆盖率

AOI + ICT 100% 测试（覆盖率>95%）；功能测试 100% 覆盖；AXI（X射线）检测焊点内部缺陷

1-2

防错/自动100%检测，几乎不可能漏检

防错传感器（载具识别/极性防错）；老化测试（BURN-IN）100% 筛选早期失效；自动化测试无法通过则阻止流转

AP

判定条件（核心规则）

车载控制器行动要求

H（高）

S=9 或 10（无论 O/D）；S=7/8 且 O≥4 且 D≥7；或其他高风险组合

必须制定改善措施，指定责任人和完成日期。不得以”暂无合适措施”为由留空。安全类失效（S=9/10）须联动 ISO 26262 功能安全分析

M（中）

S=5~8 且风险中等；或 S=9/10 但 O≤2 且 D≤3

建议制定改善措施，或文件化”当前措施充分”的理由，须经 CFT 团队确认签字

L（低）

S≤4 的轻微后果；或所有分值均低

无需强制行动，持续监控即可

案例一：VCU 整车控制器 DFMEA 分析（硬件设计阶段）

产品：新能源汽车 VCU·功能安全等级：ASIL-D·工作电压：9~16V·工作温度：-40℃~105℃（PCB）

项目背景 与准备

分析对象： VCU PCB 硬件设计，重点覆盖电源管理模块、MCU 双核冗余模块、CAN/LIN 通信模块、高压隔离接口模块。

CFT 团队： 硬件工程师（主导）× 2、嵌入式软件工程师 × 1、功能安全工程师 × 1、可靠性工程师 × 1、质量工程师 × 1，共 6 人，历时 3 天完成初版 DFMEA。

历史数据输入： 上一代 VCU 市场失效数据（3 年内共 47 件失效，其中电源模块 22 件、CAN 通信 15 件、MCU 死机 10 件），全部作为本次 DFMEA 的失效原因输入。

结构分析 （步骤2）

结构树（部分）： 新能源整车系统 → VCU 控制器总成 → PCB 单板 → 电源管理模块 / MCU 双核模块 / CAN 收发模块 / 高压检测隔离模块 / IO 驱动模块。

特殊特性确认： 与主机厂确认 CC 级特殊特性：① 12V→5V 电源纹波（≤50mVpp）② MCU 双核一致性检测响应时间（≤5ms）③ 高压隔离耐压（≥DC 2500V/1min）。

功能分析 （步骤3）

电源管理模块功能： 将车载 9~16V 电源转换为 MCU 所需 3.3V（精度±1%，纹波<50mVpp，过压/欠压保护）。

MCU 双核模块功能： 主核执行控制逻辑，监控核实时校验主核输出，差异超限（>5ms）触发安全状态进入（输出 0 扭矩）。

CAN 收发模块功能： 以 500kbps 速率在 -40℃~125℃ 下稳定收发 CAN 2.0B 报文（误码率<10⁻⁹）。

VCU DFMEA 工作表（节选 5 条关键失效模式）

功能/部件

失效模式

失效后果

S

失效原因

O

预防措施

探测措施

D

AP

改善措施

电源管理 （5V输出）

5V 输出纹波超标（>50mVpp）

MCU 频繁复位，VCU 功能异常，整车无法行驶

8

去耦电容容值选型不足，未考虑温度降额（105℃时电容量下降 40%）

4

温度降额设计规则：105℃ 环境下电容量须>标称值×2.5 倍；设计评审 Checklist

PCB 设计仿真（SPICE）验证纹波；样品 EMC 测试

3

H

追加 2 颗 10μF X5R 陶瓷电容；更新设计规则库，责任：硬件工程师张某，2024-03-20

MCU 双核模块

主核与监控核 输出不一致 （差异>5ms）

VCU 误进入安全状态，输出零扭矩，车辆在高速行驶中突然失去动力（危险）

9

MCU 内部时钟同步误差超规格；高温下 MCU 时序裕量不足

3

选用满足 ASIL-D 要求的 MCU（Aurix TC3xx）；-40℃~125℃ 全温度范围仿真验证

ISO 26262 功能安全分析；样品高低温功能测试

3

H

联动 ISO 26262 FMEA；增加看门狗复位后的失效安全处理逻辑；责任：功能安全工程师李某，2024-04-01

CAN 收发模块

CAN 总线 通信丢包率 >10⁻⁶

VCU 与 BMS/MCU 通信异常，驱动扭矩响应滞后或错误

7

CAN 收发器 ESD 保护不足，整车电磁干扰（EMI）导致误码

5

选用车规 CAN 收发器（±8kV ESD 保护）；PCB 布局：CAN 信号线远离高压区域

整车 EMC 测试（ISO 11452）；CAN 总线负载测试

4

H

增加 TVS 管保护；更新 PCB 布线规则（CAN 线间距>3mm 与动力线）；责任：硬件工程师，2024-03-25

高压隔离 接口

隔离耐压 击穿 （<2500V）

高压电池侧漏电至低压 VCU，烧毁控制器及周边线束，存在触电风险

10

隔离变压器绝缘材料耐压等级选型不足（仅 1500V 级）

2

严格执行器件选型规范：高压隔离器件额定耐压≥3750V（1.5 倍余量）；设计 BOM 评审

样品高压绝缘耐压测试（DC 3000V/1min）；第三方实验室认证测试

2

H

更换为 DC 4000V 额定隔离变压器；100% 样件高压测试纳入设计验证计划；责任：硬件工程师，2024-03-15

IO 驱动模块

输出端口 短路保护 失效

外部负载短路时无法保护，持续大电流损坏 VCU 内部电路

6

IO 驱动芯片短路保护阈值设置偏高（>5A），超出 PCB 走线和器件额定值

4

IO 驱动芯片选型：内置电流限制（≤3A）及热关断功能；限流电阻串联设计

样品短路耐受测试；设计仿真验证过流响应时间

4

M

更新 IO 驱动芯片选型规范，要求内置过流保护功能；责任：硬件工程师，2024-04-10

DFMEA 案例分析要点注意第 2 条”主核与监控核输出不一致”：S=9（功能安全相关），AP 无条件为 H，且改善措施明确要求联动 ISO 26262 功能安全分析——这是车载控制器 DFMEA 的特殊之处，S=9/10 的条目通常需要同步触发功能安全（HARA）分析和安全机制设计。第 4 条”隔离耐压击穿”S=10，即便 O=2 D=2，AP 仍为 H，体现了新版 AP 体系对安全风险的零容忍原则。

案例二：VCU 控制器 SMT 生产线 PFMEA（关键工序节选）

生产线：SMT 自动化产线·板型：双面 PCB 8 层板·关键器件：BGA 封装 MCU、QFN 封装 CAN 收发器、电解电容

生产过程 背景

过程流程（PFD）： OP-010 来料检验 → OP-020 锡膏印刷 → OP-030 SMD 贴片 → OP-040 回流焊 → OP-050 AOI 检测 → OP-060 ICT 在线测试 → OP-070 功能测试 → OP-080 BURN-IN 老化测试 → OP-090 最终检验 → OP-100 包装出货。

特殊特性确认： BGA 焊点质量（100% AXI 检测，CC 级）、ICT 测试覆盖率（≥95%，SC 级）、老化测试通过率（100%，CC 级）。

历史失效输入： 上季度 VCU 生产不良：锡膏印刷不良 38%、BGA 虚焊 26%、极性错误 12%、ICT 漏测 15%、其他 9%。

CFT 分析 过程

团队组成： SMT 工艺工程师（主导）、设备工程师、质量工程师、生产班组长各 1 名，历时 1.5 天完成初版 PFMEA。

分析方法： 以 PFD 为骨架，按工序逐一分析，重点输出不良率最高的锡膏印刷（OP-020）和 BGA 回流焊（OP-040）工序的失效链。

VCU SMT 生产线 PFMEA 工作表（节选 6 条关键工序失效）

工序

失效模式

失效后果

S

失效原因

O

预防措施

探测措施

D

AP

OP-020 锡膏印刷

锡膏印刷量不足（<80%额定量）

BGA/QFN 焊点虚焊，ICT/功能测试失效，严重时漏至客户端失效

8

钢网堵孔（锡膏残留未清洁）；锡膏粘度超期变化（开封>8h 未使用）

5

钢网每 1000 次印刷清洁一次；锡膏开封后 8h 内用完，贴标记录时间；印刷参数（速度/压力）锁定不允许手动修改

SPI（锡膏检测仪）100% 检测印刷量，超出±20% 自动报警停线

2

H

OP-030 SMD 贴片

BGA 芯片 贴装偏移 （>0.1mm）

BGA 焊点错位，回流焊后桥连或虚焊，ICT 测试短路/断路

8

贴片机视觉对位系统校准漂移；Mark 点识别光源老化影响精度

4

贴片机 Mark 点每日校准记录；视觉光源每季度更换；贴装程序变更需 3 件首件确认

贴片后 AOI 检测 BGA 位置偏移，偏移>0.05mm 报警；首件 100% 坐标测量

3

H

OP-040 回流焊

BGA 焊点 内部空洞率 （>20%）

BGA 焊点强度下降，振动/冲击条件下焊点开裂，客户端失效（振动寿命不达标）

7

回流焊温度曲线偏离规格（峰温<240℃或升温速率过快）；PCB 受潮未烤板

5

每班开机回流炉温度曲线 Profile 确认（5 点记录）；PCB 来料 MSL 管控，开封后 48h 内完成焊接

AXI 100% 检测 BGA 焊点空洞率（<15% 合格）；每批抽 3 件截面分析

2

H

OP-040 回流焊

电解电容 极性反向焊接

反向偏置电容在上电测试时爆炸，损坏 PCB 及周边器件，人员安全风险

9

电容极性标识不清晰；操作员培训不足；物料摆放无极性防错

3

载具设计极性防错（电容极性方向槽口）；丝印层增加极性标识颜色区分；操作员极性培训考核

IOT（光学极性检测）100% 检测电容极性，极性错误自动锁线

1

H

OP-060 ICT 测试

ICT 测试 覆盖率不足 （<95%）

电路缺陷（开路/短路/阻值偏差）未被检出，流入功能测试或漏至客户

7

测试夹具探针磨损接触不良，部分测试点覆盖缺失；ICT 测试程序长期未更新

4

探针每 5000 次检查磨损量，磨损>0.3mm 强制更换；ICT 程序随 BOM 变更同步更新，变更后需覆盖率验证

每批次 ICT 测试覆盖率报告自动生成，<95% 停线评估；每季度 ICT 夹具评估

3

H

OP-080 BURN-IN 老化测试

老化测试 参数设置错误（温度/电压/时长不足）

早期失效漏筛，弱质品流入客户端，增加客户端失效率（早期 PPM 高）

6

老化测试程序参数人工设置错误；BURN-IN 设备老化，实际温度与设定偏差>5℃

3

老化测试参数由 MES 系统自动下载，不允许手工修改；老化箱温度每日校准

MES 系统自动记录老化测试实际参数（时间/温度/电压），超出规格自动报警和阻止判定通过

2

M

PFMEA 与控制计划对齐检查上表 PFMEA 中的所有探测措施，必须在控制计划（CP）的对应工序中逐条体现： · OP-020 “SPI 100% 检测锡膏量” → CP OP-020 探测方法栏 · OP-040 “AXI 100% 检测 BGA 空洞率” → CP OP-040 探测方法栏 · OP-060 “ICT 覆盖率报告自动生成” → CP OP-060 频次和反应计划栏 PFMEA 中有探测措施、控制计划中找不到对应检测——这是审核中最高频的不符合项，务必三表对齐后再提交 PPAP。

步骤

行动项目

车载控制器关键检查点

1

确定分析范围和边界

明确是整个 VCU 系统、PCB 硬件设计、还是某条生产工序；确认与功能安全（ISO 26262）的分析边界

2

组建 CFT 跨职能团队

硬件/软件/可靠性/功能安全/工艺/质量工程师全部参与；车载控制器必须包含功能安全工程师

3

收集历史失效数据

整理现有 VCU/ECU 的市场失效报告、OBD 故障码统计、台架测试失效记录、上一版本 FMEA

4

完成结构分析

DFMEA：绘制控制器系统结构树（系统→模块→元器件）；PFMEA：确认 PFD 并与控制计划对齐

5

完成功能分析

每个模块/工序用”动词+名词+量化指标”定义功能，如”将 12V 转换为 5V（精度±1%，纹波<50mVpp）”

6

识别完整失效链

失效原因→失效模式→失效后果，安全件失效后果须与 ISO 26262 HARA 分析交叉验证

7

CFT 集体评分 S/O/D

团队集体讨论，S=9/10 项目须联动功能安全工程师确认；不允许一人独立评分

8

生成 AP 优先级清单

列出所有 AP=H 项目，这是改善行动的优先清单，S=9/10 的项目须在 2 周内完成措施制定

9

制定改善措施

AP=H 必须有具体措施+责任人+完成日期，硬件类措施须配合原理图/PCB 布局版本变更记录

10

措施实施与重新评分

措施落地后重新评估 S/O/D，AP=H 项目应降至 M 或 L，并由 CFT 团队确认签字闭环

11

与控制计划/设计规范对齐

PFMEA 探测措施在量产控制计划逐行核对；DFMEA 措施在硬件设计规则库/器件选型规范中体现

12

建立持续更新机制

硬件版本升级/工艺变更/客户端失效（任何 OBD 故障码新增），5 个工作日内触发 FMEA 评审

误区

错误表现

正确做法

FMEA 与功能安全割裂

DFMEA 和 ISO 26262 HARA 分析由两个团队独立进行，结果互不参照，S=9/10 的失效模式没有对应的功能安全措施

S=9/10 的 DFMEA 条目必须与 ISO 26262 HARA/FTA 分析交叉验证，安全机制设计须在 FMEA 的改善措施中明确体现

软件逻辑未纳入 DFMEA

DFMEA 只分析硬件电路，忽略软件逻辑错误（如整数溢出、状态机死锁、看门狗超时处理缺失）带来的失效风险

VCU 控制器 DFMEA 必须同时覆盖硬件设计和软件架构层面的潜在失效，软件工程师必须参与 DFMEA

BGA 焊点失效被低估

PFMEA 中 BGA 回流焊工序仅设置 AOI 目检，未考虑 BGA 焊点内部空洞（AOI 无法检测），D 评分给 3 分（实际应给 7 分）

BGA 封装焊点必须配置 AXI（X 射线）检测，没有 AXI 则 BGA 焊点内部空洞的探测度 D 应评 7~8 分

老化测试漏写入 PFMEA

PFMEA 中未包含 BURN-IN 老化测试工序，认为老化是”可选”环节而非质量控制点

BURN-IN 老化测试是车载控制器筛除早期失效的关键工序，必须纳入 PFMEA 分析，老化参数偏差是高频失效原因

AP=H 填”待定”应付审核

AP=H 的条目在”改善措施”栏填写”后续跟进”或”待评估”，无具体内容

AP=H 必须有明确的措施内容、责任工程师姓名和完成日期，”待定”是审核必开不符合项

S 分主观压低

为了避免 AP=H 的行动压力，把 VCU 失效导致车辆无法行驶的 S 从 8 降到 6

S 分须与主机厂 CSR 或 AIAG-VDA 标准评分表对齐，降 S 行为可能被审核员识别为故意操纵，严重影响供应商信用

FMEA 止于 PPAP 提交

PPAP 获批后 FMEA 文件锁定不再维护，量产后 VCU 出现新的 OBD 故障码也不触发 FMEA 更新

FMEA 是动态活文件，每次 ECU 软硬件版本变更、每条新的客户端失效记录，都须在 5 个工作日内触发 FMEA 评审