PART 01

失效模式

首先，何謂失效？

ISO 26262中對“故障”、“錯(cuò)誤”、“失效”的定義如下：

故障（Fault）: 可引起要素或相關(guān)項(xiàng)失效的異常情況。

錯(cuò)誤（Error）: 計(jì)算的、觀測的、測量的值或條件與真實(shí)的、規(guī)定的、理論上正確的值或條件之間的差異。

失效（Failure）：要素按要求執(zhí)行功能的能力的終止。

同一個(gè)層級中，故障是失效的原因，失效是故障的結(jié)果；錯(cuò)誤是故障的表現(xiàn)形式。

不同層級間，組件層級的失效最終會(huì)引發(fā)系統(tǒng)層級的故障。

如上圖故障分為三類：

系統(tǒng)性軟件故障

系統(tǒng)性硬件故障

隨機(jī)硬件故障

這里我們重點(diǎn)討論隨機(jī)硬件故障。一塊ECU由數(shù)以萬計(jì)的元器件組成，每個(gè)元器件都有發(fā)生隨機(jī)失效的可能，但并不是所有元器件的失效都會(huì)導(dǎo)致違背安全目標(biāo)；有些元器件的失效會(huì)直接導(dǎo)致違背安全目標(biāo)；而有些元器件需要與另一個(gè)元器件同時(shí)發(fā)生失效才會(huì)違背安全目標(biāo)。因此，我們將隨機(jī)硬件故障類型進(jìn)行進(jìn)一步的細(xì)分為：單點(diǎn)故障、 殘余故障、 可探測的雙點(diǎn)故障、可感知的雙點(diǎn)故障、 潛伏的雙點(diǎn)故障和安全故障等。

1.單點(diǎn)故障

直接導(dǎo)致違背安全目標(biāo)；

硬件要素故障，對于該硬件要素，沒有任何安全機(jī)制預(yù)防其某些故障違背安全目標(biāo)。

2.殘余故障

可直接導(dǎo)致違背安全目標(biāo)

硬件要素的故障，對于該硬件要素，有至少一個(gè)安全機(jī)制預(yù)防其某些違背安全目標(biāo)的故障。

3.可探測的雙點(diǎn)故障

僅與另一個(gè)(雙點(diǎn)故障有關(guān)的)獨(dú)立硬件故障聯(lián)合才能導(dǎo)致安全目標(biāo)的違背。

被防止其潛伏的安全機(jī)制所探測。

4.可感知的雙點(diǎn)故障

僅與另一個(gè)(雙點(diǎn)故障有關(guān)的)獨(dú)立硬件故障聯(lián)合才能導(dǎo)致安全目標(biāo)的違背

在規(guī)定的時(shí)間內(nèi)被駕駛員所感知（有或無安全機(jī)制探測）。

5.潛伏的雙點(diǎn)故障

僅與另一個(gè)(雙點(diǎn)故障有關(guān)的)獨(dú)立硬件故障聯(lián)合才能導(dǎo)致安全目標(biāo)的違背。

不被安全機(jī)制所探測也不被駕駛員感知。直到第二個(gè)獨(dú)立故障發(fā)生前，系統(tǒng)始終可以運(yùn)行且駕駛員也不知道發(fā)生了故障。

6.安全故障

指某個(gè)故障，它不會(huì)顯著地增加違反安全目標(biāo)的概率。

PART 02

FMEDA

什么是FMEDA?

FMEDA-失效模式影響與診斷分析(Failure Mode Effect and Diagnostic Analysis)是產(chǎn)品設(shè)計(jì)定量分析的基礎(chǔ)，可以用來分析整個(gè)系統(tǒng)也可以用來分析系統(tǒng)的某個(gè)模塊單元。

系統(tǒng)失效的過程往往是從單元(器件)的異常情況(故障)開始導(dǎo)致測量值與規(guī)定值不符(誤差)，最終使系統(tǒng)或單元失去執(zhí)行某項(xiàng)功能的能力(失效)。失效率指系統(tǒng)或零件在單位時(shí)間內(nèi)失效的概率，其單位通常用FIT表示，1FIT=10-9 /h。

產(chǎn)品設(shè)計(jì)過程中， FMEDA可以同時(shí)分析以上三個(gè)指標(biāo)，度量產(chǎn)品的硬件設(shè)計(jì)是否符合相應(yīng)的安全要求。產(chǎn)品設(shè)計(jì)的過程中SPFM 和LFM 可以用來驗(yàn)證硬件構(gòu)架設(shè)計(jì)應(yīng)對隨機(jī)失效的魯棒性，PMHF用來評估隨機(jī)硬件失效率導(dǎo)致違反安全目標(biāo)的風(fēng)險(xiǎn)已經(jīng)足夠小。

FMEDA計(jì)算公式：

1.單點(diǎn)故障度量指標(biāo)SPFM:

2.潛在故障度量指標(biāo)LFM：

3.隨機(jī)硬件失效率PMHF:

上式中各個(gè)符號的含義如下：

下面的公式為IEC TR 62380中關(guān)于半導(dǎo)體的可靠性數(shù)學(xué)預(yù)測模型：

其中各個(gè)參數(shù)含義如下：

裸片失效率λdie：

對于某一種器件工藝類型，λ1和λ2均可以通過查表法獲得，N可以通過芯片設(shè)計(jì)EDA工具統(tǒng)計(jì)得到，器件工藝類型的溫度系數(shù)：

參數(shù)πt是器件工藝類型在對應(yīng)的芯片結(jié)溫tj下獲得的，芯片的結(jié)溫tj可以通過以下公式計(jì)算得到:

其中，tac即為工作剖面中的參數(shù)，Rja為封裝的熱阻，P為芯片的功耗。

其中各項(xiàng)參數(shù)都和工作剖面有關(guān)，即產(chǎn)品在完成規(guī)定任務(wù)這段時(shí)間內(nèi)所經(jīng)歷的時(shí)間和環(huán)境的時(shí)序描述。芯片在工作時(shí)環(huán)境溫度是在不停變化的，同時(shí)也存在運(yùn)行狀態(tài)和非運(yùn)行狀態(tài)。

IEC TR 62380中列舉了如下表的2種典型的工作剖面，帶入工作剖面前半部分的各項(xiàng)參數(shù)，即可獲得對應(yīng)的溫度系數(shù)。

裸片中往往混合著多種工藝類型的器件，可以通過疊加求和的方式得到整個(gè)裸片的失效率。其中由于λ2是有關(guān)集成電路工藝技術(shù)的失效率，和晶體管數(shù)量無關(guān)，因此λ2推薦在疊加求和的時(shí)候要根據(jù)各個(gè)工藝器件的晶體管數(shù)N進(jìn)行加權(quán)平均得到。因此對于混合工藝的裸片的失效率計(jì)算公式如下：

封裝失效率λpackage：

對于某一特定封裝，πα和λ3均可以通過查表法簡單計(jì)算獲得，而溫度循環(huán)系數(shù):

其中的各項(xiàng)參數(shù)也都和工作剖面后半部分的參數(shù)有關(guān)，根據(jù)IEC TR 62380：

ni表示的為1年內(nèi)的循環(huán)次數(shù)，每年不使用車輛的天數(shù)為30天，則使用的天數(shù)為335天，進(jìn)而夜晚啟動(dòng)的次數(shù)為每年670次，相應(yīng)的白天啟動(dòng)的次數(shù)為每年1340次，則：

其中，(tac)i取工作剖面中的加權(quán)平均值計(jì)算得到(tac)i=60℃，(tae)i則根據(jù)下表給出：

可見，通過“世界范圍”方式計(jì)算出的結(jié)果和在工作剖面中直接給出的公式是一致的。

另外，λpackage是包括了封裝內(nèi)部的失效率（框架連接和焊盤）和封裝外部與PCB的焊點(diǎn)失效率，作為芯片開發(fā)者，F(xiàn)MEDA只要在計(jì)算的時(shí)候考慮其中占比80%的封裝內(nèi)部的失效率即可。

電過應(yīng)力失效率λoverstress：

由于λEOS電子過應(yīng)力屬于系統(tǒng)性失效，因此在FMEDA時(shí)，這部分不應(yīng)該被計(jì)算在內(nèi)。

由于不同的產(chǎn)品應(yīng)用導(dǎo)致的危害不同，ISO26262引入了安全等級和量化指標(biāo)。FMEDA作為定量分析的核心技術(shù)得到從業(yè)者越來越多的關(guān)注。

審核編輯：湯梓紅