FIT / FMEDA 工程化计算 — 从元件数据到 SPFM/LFM/PMHF

不同元件类型对应不同主源,典型工程项目按"主源 + 兜底"组合用。下表是常见对应关系:

实际项目几乎不会"纯一条线",而是混合:

• 主芯片(MCU / driver IC):优先 datasheet,因为厂家附 Safety Manual 时往往给具体 FIT 拆分
• 功率器件:厂家 datasheet + AEC-Q101 stress test 数据为主,SN29500 兜底
• 被动元件 / 连接器 / 焊点:几乎全靠 SN29500 / IEC 62380
• 类似前代产品 / 同平台:field return 修正

datasheet 给的 FIT 不是"在你这个项目工况下的 FIT",而是HTOL 测试条件下的 FIT 通过加速因子换算回 use condition 的等效 FIT。厂家给的常见格式:

FIT: 10 @ 55°C ambient, 1000 hours, 0.6 confidence

意思:基于 HTOL 测试(125°C 结温,1000 小时,样本量 N),0 个失效或某个观察到的失效数,按 ${\chi }^2$ 分布算出 60% 置信上限,再用 Arrhenius 加速因子换到 55°C ambient(典型对应 ~85°C 结温)的 baseline。

直接拿这个数字算项目 FIT 之前要回答两个问题:

• 厂家给的 ambient 温度和你项目的实际工况温度一样吗?差越大需要的二次修正越大
• 厂家用的活化能 $Ea$ 是什么?常见 0.7 eV(综合)/ 0.4 eV(NBTI 主导)/ 0.9 eV(TDDB 主导),用错一档可能差 5x

完整的 device-level FIT 计算:

其中各因子物理意义:

• ${\pi }_T$ — 温度修正(Arrhenius)
• ${\pi }_V$ — 电压应力(介电 / 雪崩相关)
• ${\pi }_I$ — 电流应力(自加热 + 电迁移)
• ${\pi }_E$ — 环境因子(car / industrial / consumer / military)
• ${\pi }_Q$ — 质量等级(AEC-Q / 商业级 / 军规级)
• ${\pi }_{App}$ — 应用相关(切换频率、应力循环深度等,FIDES 才有)

工程上 ${\pi }_T$ 几乎总是最大的修正项,其它叠加幅度通常一两倍,${\pi }_T$ 一项就能差一个量级。

温度修正基于 Arrhenius 反应速率方程:

其中:

• $Ea$ — 活化能(eV),失效机理决定。典型 IC 用 0.4-0.7 eV
• $kB=8.617\times 10^{-5}eV/K$ — Boltzmann 常数
• $Tref$ — reference 温度(K)
• $Top$ — 实际结温(K)

工程上记一条经验:$Ea=0.5\mathrm{eV}$ 时,温度每升 10°C,FIT 约翻倍。比如把 55°C 用到 85°C,${\pi }_T\approx 2^3=8$。

如果失效机制混合(典型 IC),$Ea$ 取 0.7 eV,温度对 FIT 的放大稍弱(每 10°C 约 1.7 倍)。

电压应力主要影响绝缘和介电类失效。常见的形式是幂律:

不同元件指数 $n$ 经验值:

derating 的工程价值就在这条公式:把 800V 额定的器件用在 400V,${\pi }_V=(0.5{)}^6\approx 0.016$,FIT 降两个数量级。

电流应力主要通过两条路径影响 FIT:

• 间接(自加热):电流→功耗→结温升高→ Arrhenius 放大,这部分在 ${\pi }_T$ 里已经计入,不要重复计入 ${\pi }_I$
• 直接(电迁移 EM):金属互连原子的电流冲击,与 $J^2$ 成比例

工程上 ${\pi }_I$ 简化形式:

对功率器件 ${\pi }_I$ 的影响一般弱于 ${\pi }_T$,FMEDA 速算先抓温度,电流次之。

质量等级修正反映同样元件通过 AEC-Q / 军规筛选后实际 FIT 比 datasheet baseline 更低,环境修正反映目标 mission profile 与参考工况的差异。典型质量等级 ${\pi }_Q$:

环境因子 ${\pi }_E$ 类似,根据 mission profile(温度 / 振动 / 湿度 / 海拔)取。SN29500 默认数字往往隐含 commercial grade + benign env,搬到 ASIL D 场景必须乘 ${\pi }_Q$ 拉低(AEC-Q 元件实测 FIT 更低)和乘 ${\pi }_E$ 拉高(车规环境严苛)。

实测 $k$ 个失效在 $N$ 个样本 × $h$ 小时下,带置信度 $\gamma$ 的失效率上限:

工程上常见 60% 单边置信度。当 $k=0$ 时,${\chi }_{2,0.6}^2\approx 1.832$,简化为:

样本 $N=230$ 跑 1000 小时,0 个失效的 60% UCL ≈ $\frac{0.916}{230\times 1000}\approx 4\times 10^{-6}/\mathrm{h}$ = 3978 FIT。注意这是HTOL 测试条件下的 FIT,不是 use condition。

把 HTOL 条件 FIT 换到 use condition,用 Arrhenius 加速因子:

举例:HTOL 测试 $Ttest=150{}^{\circ }\mathrm{C}=423\mathrm{K}$,use condition $Tuse=85{}^{\circ }\mathrm{C}=358\mathrm{K}$,$Ea=0.7\mathrm{eV}$:

所以:

这就是 datasheet 标"FIT: 121 @ 85°C use temperature, 60% conf"的由来。

实际芯片 FIT 不只一个机制,要把不同模式的 $A{F}_i$ 加权叠:

不同失效模式 $Ea$ 不同(TDDB 0.9 / NBTI 0.4 / HCI 0.3 / EM 0.7),不能用一个 $Ea$ 一刀切。

热循环引起的失效寿命用 Coffin-Manson 模型:

其中 $Nf$ 是失效循环数,$\Delta T$ 是循环温差,$q$ 是材料相关指数。SAC305 焊料 $q\approx 2.5$,Sn-Pb 焊料 $q\approx 1.9$。

把 TC 测试结果换到 use condition:

三项分别是温差、频率、最高温度三个维度的修正。工程上常用简化版:

测试 $\Delta T=165{}^{\circ }\mathrm{C}$(-40 to +125)、use $\Delta T=60{}^{\circ }\mathrm{C}$,$A{F}_{TC}\approx (165/60{)}^{2.5}\approx 12.5$。

TC 测试 1000 cycles 0 失效:类似 HTOL 算 ${\hat{\lambda }}_{TC,test}$,然后除以 $A{F}_{TC}$ 得到 ${\lambda }_{TC,use}$,再加到 HTOL-based ${\lambda }_{HTOL,use}$ 上:

这就是为什么严格的 datasheet 会列分项 FIT,比如 "Component FIT: 100 (HTOL) + 30 (TC) + 10 (HAST) = 140 FIT total"。

工程师拿到 datasheet 的"FIT: 100",直接用作 FMEDA 输入,假设这已经包含 TC / HAST 贡献。但很多厂家的"FIT"只标 HTOL 数字,TC / HAST 的失效率单独走 PPM 计数,需要另外算 + 加上。

判断:datasheet 里有没有 "@ HTOL conditions" / "based on JESD85" / "temperature cycling not included" 这类注释。有则 TC 还要单独加。

把 device 总 FIT 拆成两类:

• ${\lambda }_{SR}$:Safety-Related,这个元件失效有可能导致 SG 违背
• ${\lambda }_{NSR}$:Non Safety-Related,失效与 SG 无关(辅助 LED / 标识 IC 等)

公式约束:$\lambda ={\lambda }_{SR}+{\lambda }_{NSR}$

后续所有 FMEDA 指标只看 ${\lambda }_{SR}$。 ${\lambda }_{NSR}$ 部分完全不参与 SPFM / LFM / PMHF 计算,这是工程上一个非常关键的优化点——SR 划分越窄,FMEDA 数字越好看,但要承担论证 + 审计风险。

在 ${\lambda }_{SR}$ 内继续拆,按"有没有 SM 检测 + 检测到了之后会不会导致违 SG"四态分类:

• ${\lambda }_{SPF}$ — Single-Point Fault:无 SM 检测,失效直接到 SG
• ${\lambda }_{RF}$ — Residual Fault:有 SM 但 SM 没检测到这部分,等价于 single-point
• ${\lambda }_{MPF,latent}$ — Multi-Point latent:本身不会单独违 SG,但 SM 不查它,会等到下次失效叠加才暴露
• ${\lambda }_{MPF,detected}$ — Multi-Point detected:同上但 SM 能查,不算 latent

公式约束:${\lambda }_{SR}={\lambda }_{SPF}+{\lambda }_{RF}+{\lambda }_{MPF,latent}+{\lambda }_{MPF,detected}$

ISO 26262-11 (半导体细化) 把元件失效进一步按 fault model 拆,主要两类:

• SBSC(Single Bit Stuck-at Coverage):单 bit 翻转 / stuck-at,简单 SM 能覆盖
• FMC(Functional Multi-Coverage):涉及功能性失效(寄存器组失效、ALU 错算、bus 错传等),需要更复杂的 SM

claim DC 时要分别 claim。比如"Watchdog 对 SBSC 100% 覆盖,但对 FMC 只覆盖 60%"。

ISO 26262 要求分别 claim 两个 DC:

这两个数通常差很多:

• $D{C}_{SPF}$ 容易做高(实时 SM 检 single-point)
• $D{C}_{LF}$ 很难做高,因为 latent 故障要靠周期测试(power-on self-test / periodic memory scrub)而不是实时 SM,周期内 latent 故障会一直存在直到下次测试触发

任何 SM 都有"漏检模式"和"假阳/假阴"。工程上单个 SM 的 DC claim 99% 已经很激进,90-99% 是常见区间。要拿到 ASIL D 级别的 90%+ 整体 DC,通常需要 SM 组合 / 多层防御。

ISO 26262-5 Annex D 给参考表:diagnostic technique → typical achievable DC。比如 RAM CRC 90%, redundancy by inverted data 99%, parity bit 60%。

即使 SM 完美覆盖某一类 fault model,DC 上限被 fault distribution 卡死。例:CPU FIT 100,其中 30% 是 SBSC、70% 是 FMC。一个只检 SBSC 的 watchdog,即使对 SBSC 检测 100%,整体 DC 也只能到 30%。

这就是为什么"安全机制存在 ≠ 高 DC"——SM 覆盖的 fault model 必须匹配元件的失效模式分布。

衡量 SR fault 里"无 SM 防护"的比例的反值:

ASIL 目标(ISO 26262-5 Table 4):

衡量 multi-point 部分里 latent 故障的比例的反值:

ASIL 目标(ISO 26262-5 Table 5):

LFM 目标值显著低于 SPFM,因为 latent 故障物理上更难检。

PMHF 是单位小时的危险硬件失效率,单位 /h(等价 $10^9$ × FIT):

其中 $Tlifetime$ 是 mission lifetime(典型 8000 小时车规),$Tmulti\_fault$ 是 multi-point fault 出现到被检出的间隔(典型 100 小时或更短)。

ASIL 目标(ISO 26262-5 Table 6):

注意:ASIL B/C PMHF 目标相同,但 SPFM 不同,所以 ASIL B 和 C 的差别在 SR 拆分严格度上。

把假设和拆分都列出来再算,数字才有可解释性。下面是这个例子的输入与中间量:

• 总元件 SR FIT:50
• 假设 single-point candidates(无 SM):20 FIT
• $D{C}_{SPF}$(diagnostic + plausibility check):95%
• 即 SPF 中被 SM 检到的:$20\times 0.95=19$ FIT(变成 detected)
• Residual fault(SM 没检到):$20-19=1$ FIT
• Multi-point candidates:30 FIT
• $D{C}_{LF}$(周期自测 + cross-check):75%
• MPF detected:$30\times 0.75=22.5$ FIT
• MPF latent:$30-22.5=7.5$ FIT
• SPF(真的无 SM 的 single-point):假设 = 0 FIT(因为前 20 已经定义为有 SM 但部分漏检 = residual,如果完全没 SM 那才是 SPF)

实务记号:${\lambda }_{SPF}=0$,${\lambda }_{RF}=1$,${\lambda }_{MPF,latent}=7.5$,${\lambda }_{MPF,detected}=22.5$,${\lambda }_{SR}=0+1+7.5+22.5=31$(剩余 19 FIT 是 detected,不在 SR 公式分母里 — 这一步常见的混淆,detected 不算进违反 SG 的可能)

实务里更常见的口径是把 ${\lambda }_{SR}$ 定为 50 FIT(包含 detected 部分),然后 SPF / RF / MPF latent 分子,这里走这个口径计算:

把 SPF + RF 的总和(代表"没被任何 SM 防住的 single-point 类失效")除以 SR 总分母,1 减得 SPFM:

判定:未达 ASIL D 99% 目标,差 1%。需要把 residual 进一步降到 0.5 FIT 以下(把 DC_SPF 提升到 97.5%+)。

LFM 看 multi-point 部分里 latent 占比,分母先把 single-point 类失效从 SR 里挖掉:

判定:未达 ASIL D 90% 目标,差 5.3%。差距来源是 latent fault 7.5 FIT 偏高,要降到 4.9 FIT 以下。

假设 $Tlifetime=8000\mathrm{h}$,$Tmulti\_fault=100\mathrm{h}$:

换算成 /h:$601\times 10^{-9}=6.01\times 10^{-7}/\mathrm{h}$

判定:未达 ASIL D $<10^{-8}/\mathrm{h}$ 目标,差近 60 倍。PMHF 主要被 latent fault × $Tlifetime/Tmulti$ 这一项放大,降 latent 比降 SPFM 杠杆大得多。

从上面数值看,要达到 ASIL D 目标:

• 降 RF:DC_SPF 95% → 98% (添加冗余 ADC + 输入 plausibility),让 RF 从 1 → 0.4 FIT
• 降 latent:DC_LF 75% → 92%(把周期自测从 power-on only 改成 100 ms 周期),让 latent 从 7.5 → 2.4 FIT
• PMHF 重新算:$0.4+2.4\cdot 80=192.4\mathrm{FIT}=1.92\times 10^{-7}/\mathrm{h}$ —— 还是不够,差近 20 倍

第二轮改进还要 raise DC_LF 到 97%+,或者降 $Tmulti$ 到 10 ms,才能达到 ASIL D。这就是为什么 ASIL D 通常要求实时(<100ms)周期自测,而不是只在上电时自测一次。

datasheet 默认 reference temperature 是 55°C 或 85°C,SN29500 默认 40°C。直接相加不修正,会比真实数字偏小 2-3 倍(因为 SN29500 数据被低估温度提升后的 FIT)。

修正:全部归一化到项目 mission profile 温度(典型 105°C 结温),再 sum。

"既然 SM 检到了那个 fault,它就 detected,可以从 SR 里去掉" — 错。SR 的定义是"有可能违 SG",detected 故障虽然被检了,但没有去掉 SR 身份,只是被算到 ${\lambda }_{MPF,detected}$ 分类,不放到 SPFM/LFM 分子。

任何单 SM 不能 claim 100% DC,除非有完整 fault injection 测试覆盖证据(ISO 26262-11)。speculative claim "Watchdog 100% covers CPU SPF" 在审计里第一个被否。

$Tmulti$ 默认很多团队写 lifetime(8000h)。这等价于完全不做周期自测,latent fault 在整个生命周期内累积。正确做法:$Tmulti$ = 项目里最长 latent fault 检测周期(典型 100 ms 实时 SM,或 hours 级别的 power-on self-test)。

CPU / ASIC 的 FMEDA 必须分别 claim SBSC DC 和 FMC DC。一些团队只算"整体 DC 80%",审计时被要求拆 fault model 后发现 FMC DC 只有 50%,SPFM 重算后退到 ASIL B 等级。