PART 01

失效模式

首先，何謂失效？

ISO 26262中對“故障”、“錯誤”、“失效”的定義如下：

故障（Fault）: 可引起要素或相關(guān)項失效的異常情況。

錯誤（Error）: 計算的、觀測的、測量的值或條件與真實的、規(guī)定的、理論上正確的值或條件之間的差異。

失效（Failure）：要素按要求執(zhí)行功能的能力的終止。

同一個層級中，故障是失效的原因，失效是故障的結(jié)果；錯誤是故障的表現(xiàn)形式。

不同層級間，組件層級的失效最終會引發(fā)系統(tǒng)層級的故障。

如上圖故障分為三類：

系統(tǒng)性軟件故障

系統(tǒng)性硬件故障

隨機硬件故障

這里我們重點討論隨機硬件故障。一塊ECU由數(shù)以萬計的元器件組成，每個元器件都有發(fā)生隨機失效的可能，但并不是所有元器件的失效都會導(dǎo)致違背安全目標；有些元器件的失效會直接導(dǎo)致違背安全目標；而有些元器件需要與另一個元器件同時發(fā)生失效才會違背安全目標。因此，我們將隨機硬件故障類型進行進一步的細分為：單點故障、 殘余故障、 可探測的雙點故障、可感知的雙點故障、 潛伏的雙點故障和安全故障等。

1.單點故障

直接導(dǎo)致違背安全目標；

硬件要素故障，對于該硬件要素，沒有任何安全機制預(yù)防其某些故障違背安全目標。

2.殘余故障

可直接導(dǎo)致違背安全目標

硬件要素的故障，對于該硬件要素，有至少一個安全機制預(yù)防其某些違背安全目標的故障。

3.可探測的雙點故障

僅與另一個(雙點故障有關(guān)的)獨立硬件故障聯(lián)合才能導(dǎo)致安全目標的違背。

被防止其潛伏的安全機制所探測。

4.可感知的雙點故障

僅與另一個(雙點故障有關(guān)的)獨立硬件故障聯(lián)合才能導(dǎo)致安全目標的違背

在規(guī)定的時間內(nèi)被駕駛員所感知（有或無安全機制探測）。

5.潛伏的雙點故障

僅與另一個(雙點故障有關(guān)的)獨立硬件故障聯(lián)合才能導(dǎo)致安全目標的違背。

不被安全機制所探測也不被駕駛員感知。直到第二個獨立故障發(fā)生前，系統(tǒng)始終可以運行且駕駛員也不知道發(fā)生了故障。

6.安全故障

指某個故障，它不會顯著地增加違反安全目標的概率。

PART 02

FMEDA

什么是FMEDA?

FMEDA-失效模式影響與診斷分析(Failure Mode Effect and Diagnostic Analysis)是產(chǎn)品設(shè)計定量分析的基礎(chǔ)，可以用來分析整個系統(tǒng)也可以用來分析系統(tǒng)的某個模塊單元。

系統(tǒng)失效的過程往往是從單元(器件)的異常情況(故障)開始導(dǎo)致測量值與規(guī)定值不符(誤差)，最終使系統(tǒng)或單元失去執(zhí)行某項功能的能力(失效)。失效率指系統(tǒng)或零件在單位時間內(nèi)失效的概率，其單位通常用FIT表示，1FIT=10-9 /h。

產(chǎn)品設(shè)計過程中， FMEDA可以同時分析以上三個指標，度量產(chǎn)品的硬件設(shè)計是否符合相應(yīng)的安全要求。產(chǎn)品設(shè)計的過程中SPFM 和LFM 可以用來驗證硬件構(gòu)架設(shè)計應(yīng)對隨機失效的魯棒性，PMHF用來評估隨機硬件失效率導(dǎo)致違反安全目標的風(fēng)險已經(jīng)足夠小。

FMEDA計算公式：

1.單點故障度量指標SPFM:

2.潛在故障度量指標LFM：

3.隨機硬件失效率PMHF:

上式中各個符號的含義如下：

下面的公式為IEC TR 62380中關(guān)于半導(dǎo)體的可靠性數(shù)學(xué)預(yù)測模型：

其中各個參數(shù)含義如下：

裸片失效率λdie：

對于某一種器件工藝類型，λ1和λ2均可以通過查表法獲得，N可以通過芯片設(shè)計EDA工具統(tǒng)計得到，器件工藝類型的溫度系數(shù)：

參數(shù)πt是器件工藝類型在對應(yīng)的芯片結(jié)溫tj下獲得的，芯片的結(jié)溫tj可以通過以下公式計算得到:

其中，tac即為工作剖面中的參數(shù)，Rja為封裝的熱阻，P為芯片的功耗。

其中各項參數(shù)都和工作剖面有關(guān)，即產(chǎn)品在完成規(guī)定任務(wù)這段時間內(nèi)所經(jīng)歷的時間和環(huán)境的時序描述。芯片在工作時環(huán)境溫度是在不停變化的，同時也存在運行狀態(tài)和非運行狀態(tài)。

IEC TR 62380中列舉了如下表的2種典型的工作剖面，帶入工作剖面前半部分的各項參數(shù)，即可獲得對應(yīng)的溫度系數(shù)。

裸片中往往混合著多種工藝類型的器件，可以通過疊加求和的方式得到整個裸片的失效率。其中由于λ2是有關(guān)集成電路工藝技術(shù)的失效率，和晶體管數(shù)量無關(guān)，因此λ2推薦在疊加求和的時候要根據(jù)各個工藝器件的晶體管數(shù)N進行加權(quán)平均得到。因此對于混合工藝的裸片的失效率計算公式如下：

封裝失效率λpackage：

對于某一特定封裝，πα和λ3均可以通過查表法簡單計算獲得，而溫度循環(huán)系數(shù):

其中的各項參數(shù)也都和工作剖面后半部分的參數(shù)有關(guān)，根據(jù)IEC TR 62380：

ni表示的為1年內(nèi)的循環(huán)次數(shù)，每年不使用車輛的天數(shù)為30天，則使用的天數(shù)為335天，進而夜晚啟動的次數(shù)為每年670次，相應(yīng)的白天啟動的次數(shù)為每年1340次，則：

其中，(tac)i取工作剖面中的加權(quán)平均值計算得到(tac)i=60℃，(tae)i則根據(jù)下表給出：

可見，通過“世界范圍”方式計算出的結(jié)果和在工作剖面中直接給出的公式是一致的。

另外，λpackage是包括了封裝內(nèi)部的失效率（框架連接和焊盤）和封裝外部與PCB的焊點失效率，作為芯片開發(fā)者，F(xiàn)MEDA只要在計算的時候考慮其中占比80%的封裝內(nèi)部的失效率即可。

電過應(yīng)力失效率λoverstress：

由于λEOS電子過應(yīng)力屬于系統(tǒng)性失效，因此在FMEDA時，這部分不應(yīng)該被計算在內(nèi)。

由于不同的產(chǎn)品應(yīng)用導(dǎo)致的危害不同，ISO26262引入了安全等級和量化指標。FMEDA作為定量分析的核心技術(shù)得到從業(yè)者越來越多的關(guān)注。

審核編輯：湯梓紅