PMHF 数学 + DC + Coffin-Manson

功能安全L1别名 FMEDA · SPFM · LFM · PMHF · diagnostic coverage · failure rate · ISO 26262 Part 5 · λ FIT

本质与导读

本质 FMEDA 把整车 ECU 拆到元件级,用每个元件已知的失效率 λ (FIT) 按 Safe/Dangerous、再按 Single-Point/Latent/Residual/Detected 分类累加,判定这堆元件加上 SM 后能否满足 ASIL D 的 SPFM ≥ 99% / LFM ≥ 90% / PMHF < 10 FIT;不够就回头加 Safety Mechanism 提高 DC。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. 失效分类树

FMEDA 把一个元件的总失效率 $λ$ 拆成 5 类,类别之间无重叠 + 加起来等于 $λ$ (MECE 分类)。SM 覆盖度决定哪些 dangerous 失效被"挪到"检测/残差类。下图把分类树 + 度量公式 + ASIL D 三阈值一次看清:

FMEDA 失效分类 + SPFM/LFM/PMHF 计算路径

2. 失效率 FIT — 数据从哪来

$λ$ (FIT) 的单位是 failures per 10^9 hours。一个元件FIT 数值越小越可靠。

2.1 三大数据源

FIT 数值的可信度由数据来源决定 — 通用元件库最快,vendor datasheet 准确度中等,自家现场数据最准但保密:

IEC TR 62380 / Siemens SN 29500 — 通用元件库,电阻/电容/二极管/MCU 等的基础 FIT 表
半导体制造商 datasheet / reliability report — Infineon / NXP / TI 提供 ASIL D 元件的 FIT 数据
量产 field data — 车厂自己累积的失效数据(最准但保密)

典型 FIT 范围(EV 主驱元件):

一般 SMD 电阻:~ 0.1 FIT
薄膜电容:~ 1 FIT
SiC MOSFET:50-200 FIT (温度+电压依赖)
ASIL D 级 MCU (Aurix TC397):~ 30 FIT (全部 die,含 lockstep)
复杂 PCB 整板:~ 500-1000 FIT (累加)

2.2 温度修正

FIT 随Tj 强非线性 (Arrhenius):

λ (T j) = λ_{25} \cdot 2^{(T j - 25) /10}

每升 10℃ 翻倍。EV 主驱 Tj 150℃ 时 $λ$ 是 25℃ 的 2^(125/10) = 5600 倍。所以Tj 控制是 FMEDA 的最大杠杆。

3. SPFM (Single-Point Fault Metric)

SPFM 度量"危险失效里多少能被 SM 检出"(即不是 Single-Point Fault)。

3.1 公式

SPFM 形式上是"未覆盖危险失效率占总危险失效率的补"——SM 越多分子越小,SPFM 越接近 1:

SPFM = 1 - \frac{\sum λ _{s p f}}{\sum λ _{d}}

其中:

$λ_{s p f}$ = 单点失效率(SM 没检到 → 直接违反 SG)
$λ_{d}$ = 总危险失效率

3.2 ASIL 阈值

ASIL 等级越高 SPFM 阈值越严 — ASIL D 必 ≥ 99%,只允许 1% 危险失效漏 SM 兜底:

ASIL	SPFM
QM	—
A	—(ISO 26262-5 Table 4 不为 ASIL A 规定 SPFM)
B	≥ 90%
C	≥ 97%
D	≥ 99%

例:EV 主驱 SiC die FIT = 100,危险占 70% → $λ_{d} = 70$ FIT,DESAT SM 覆盖率 99% → $λ_{s p f} = 70 \cdot 0.01 = 0.7$ FIT,SPFM = 1 - 0.7/70 = 99% ✓。

3.3 实战工程意义

SPFM 99% 不是单个元件级,而是整车级累加:

整 ECU $\sum λ_{s p f}$ 必须 < $\sum λ_{d} \cdot 1%$
在 1000 FIT $λ_{d}$ 下, $λ_{s p f}$ 必 < 10 FIT
哪怕一个未覆盖的 SiC die fault 都可能让 SPFM 跌到 95%

4. LFM (Latent Fault Metric)

LFM 度量"潜伏失效里多少能被二次检测"。潜伏失效 (latent fault) 是已发生但还没引起 SG 违反的失效,与第二次失效叠加才出事。

4.1 公式

LFM 公式与 SPFM 类似但分母排除已被检出/已是 SPF 的部分,只剩潜伏失效本身:

L FM = 1 - \frac{\sum λ _{l f}}{\sum λ _{d} - \sum λ _{s p f} - \sum λ _{d e t ec t e d}}

4.2 ASIL 阈值

LFM 阈值比 SPFM 略松 — ASIL D 仅需 ≥ 90%,因为潜伏需要二次失效叠加才酿事:

ASIL	LFM
A	—
B	≥ 60%
C	≥ 80%
D	≥ 90%

4.3 例子

ECC RAM bit-flip 是经典 latent fault:单个 bit-flip 没 SG 影响,但与第二个 bit-flip 叠加 → 双 bit 错 → MCU lockstep trap → SG 失。

LFM 覆盖靠BIST (Built-In Self Test) — 上电 BIST + 周期性 RAM scan 检 latent fault。Aurix TC3xx 内置 RAM BIST 周期 100ms,LFM 覆盖率 99%+。

5. PMHF (Probabilistic Metric for Random HW Failures)

PMHF 是绝对失效概率 — SPFM/LFM 是百分比,PMHF 是 FIT 数。

5.1 公式 (简化)

PMHF 公式直接把单点失效率 + 残余失效率累加 — 转换到绝对 FIT 数值,便于跨 ECU/平台比较:

PM H F = \sum (λ_{s p f} + λ_{r f}) \cdot K d r i v er

$K d r i v er$ 是车辆运营时间因子 (典型 = 1)。

5.2 ASIL D 阈值

PMHF < 10 FIT (= 10^-8 / h) — 即 100M 小时内只允许 1 次 SG 违反。EV 8 年 ≈ 70k 小时 → 失效概率 < 7e-4 = 0.07%。

5.3 工程实战

PMHF 是最严约束 — 大多数 ECU 上 SPFM 容易过(SM 多就过),LFM 也容易过(BIST 强就过),但PMHF 卡死在"高 FIT 元件不能加太多"。

例:SiC die 200 FIT × 6 个 = 1200 FIT 总 dangerous,即使 99% SPFM → $λ_{s p f}$ = 12 FIT > 10 FIT → 过不了 PMHF。

对策:

降低 die 数(集成度)
双面散热降 Tj → λ 下降
ASIL 分解 D = B(D) + B(D) → 每路只需要满足 B 阈值

6. DC (Diagnostic Coverage) — 单 SM 覆盖率

DC 是单个 SM 检出 dangerous 失效的比例。ISO 26262 Part 5 Table D.4 给标准 SM 推荐 DC:

DC 档	数值	应用 SM 举例
None	0%	无 SM
Low	≥ 60%	basic plausibility check
Medium	≥ 90%	watchdog + signal range check
High	≥ 99%	lockstep + ECC + voted redundancy

计算工具:Polarion / IQ-FMEDA / Risk Spectrum / Excel + 手算。

DC 的两个易踩点:

DC 是 failure-mode 级、不是元件级 — 同一元件不同失效模式各有各的 DC(如 driver IC 的 OUT-stuck 靠 DESAT 90%、CLAMP 失效无 SM 仅 25%),不能拿一个"元件 DC"一刀切
单 SM 常不够 High,要串联 — 一个 SM 给 90%,到 99% 得叠第二个独立 SM:串联后残余 = 各自漏检相乘 $1 - (1 - D C_{1}) (1 - D C_{2})$ (90% × 90% 串联 → 99%);前提两 SM 对该模式独立(否则共因让乘法失效、退化回单 SM)

7. Coffin-Manson — PCT 寿命外推

EV 8 年质保需要把 PCT (Power Cycling Test) 实验室数据外推到现场温度循环。Coffin-Manson 模型:

N f = A \cdot (Δ T j)^{- n} \cdot exp (\frac{E a}{k BT ma x})

$Δ T j$ :每次循环的温升
$n$ :Coffin-Manson 指数 (1.9 for IGBT solder / 5.0 for Al wire bond)
$E a$ :活化能 (典型 0.5 eV)
$T ma x$ :循环最高温

7.1 EV 工况映射

EV 主驱真实循环:

每次行车 → ΔTj 30-50℃(高速巡航)
每次启停 → ΔTj 60-80℃(从空载到最大扭)
8 年 ≈ 1500 次完整循环 + 30000 次小循环

Coffin-Manson 外推:实验室 ΔTj 60℃ 1.5M 次 → 真实 ΔTj 80℃ 失效次数 = 1.5M × (60/80)^5 = 370k 次,仍远超需求。

8. EV 主驱 FMEDA 报告分量

典型 ASIL D EV 主驱 FMEDA 报告体量 200-500 页,分量:

System / ECU 元件清单 — 1000-5000 行 BOM
失效模式表 — 每元件 5-15 个 failure mode
DC 评估 — 每 mode 对应 SM 是否覆盖
SPFM / LFM / PMHF 累加 — 计算 result
diagnostic test interval (DTI) 论证 — SM 周期性触发足够
遗留 (residual) failure 论证 — 不能覆盖的部分为什么 acceptable

9. FMEDA 工具

FMEDA 工具按"集成度 vs 上手成本"分级 — 大型项目用 Polarion/IQ-FMEDA 集成 V-cycle,小项目用 Excel:

工具	厂商	特点
Polarion FMEDA	Siemens	主流,主驱 OEM 常用
IQ-FMEDA	Sigma C / Eclat	中国市场流行
Risk Spectrum	Lloyd's Register	通用功能安全
FaultTree+	Isograph	老牌
Excel 手算	—	经济款,小项目用

工具核心功能:

BOM 导入 + FIT 数据库
SM 评估 + DC 计算
模型自动化 (如 SiC 模块自动建模)
报告生成

10. 5 个工程陷阱

FMEDA 失败往往在FIT 数据偏 + DC 高估 + 温度模型不真。下表 5 个工程师反复踩的坑:

陷阱	描述	预防
FIT 用 25℃ 默认值	EV Tj 100-150℃,实际 5×-50×	必上 Tj 修正
DC 跟 datasheet 看错	厂商给 best-case,实际 -10%	自己审核 SM 范围
共因 (CCF) 没算	双 MCU 共电源 = 单点	DFA + β factor
BOM 少了 ESD 二极管	高 FIT 元件漏算	整板 schematic 对照
PMHF 仅看自己	整车级累加 = 多个 ECU 之和	跨 ECU 整车 PMHF

核心要点

FMEDA 把每个元件 $λ$ 分成 5 类:Safe / SPF / LF / Detected / Residual,SM 决定如何分。
SPFM ≥ 99% / LFM ≥ 90% / PMHF < 10 FIT 是 ASIL D 三阈值,全过才合规。
DC (Diagnostic Coverage) 单 SM 覆盖率 60% / 90% / 99% → 对应 ASIL B/C/D。
FIT 来源:IEC 62380 / 制造商 datasheet / 量产 field data,Tj 升 10℃ 翻倍。
Coffin-Manson 把 PCT 实验室数据外推 EV 8 年质保, $n$ = 5 (Al wire) / 1.9 (solder)。
ASIL D 三件套PMHF 是最严约束 — 高 FIT 元件多 + SM 覆盖再好都可能过不了。
对策:降 die 数 + 双面散热降 Tj + ASIL 分解 让每路只过 B 阈值。
主流工具:Polarion / IQ-FMEDA / Risk Spectrum,EV OEM 一般用 Polarion。

缩写表

只列本页用到的工业标准缩写;通用英语…

只列本页用到的工业标准缩写;通用英语 / 单位 / 月份 / 我们的 层/Lx tag 不列。覆盖不到的术语见正文 inline 注释。

缩写	全称	中文 / 备注
FMEDA	Failure Modes, Effects and Diagnostic Analysis	含诊断覆盖的 FMEA
SPFM	Single-Point Fault Metric	单点失效度量
LFM	Latent Fault Metric	潜伏故障度量
PMHF	Probabilistic Metric for Hardware Failures	硬件随机失效概率指标
ISO	International Organization for Standardization	国际标准化组织
FIT	Failures In Time	1e9 小时失效率单位 (1 FIT = 1 failure / 1e9 h)
ECU	Electronic Control Unit	电子控制单元
AURIX	Audio Realtime Infineon X-architecture	Infineon TriCore 多核车规 MCU 系列
NXP	NXP Semiconductors	恩智浦半导体
IEC	International Electrotechnical Commission	国际电工委员会
DC	Diagnostic Coverage	诊断覆盖率 (功能安全语境)
ASIL	Automotive Safety Integrity Level	ISO 26262 安全完整性等级 QM→A→B→C→D
SM	Safety Mechanism	安全机制
EV	Electric Vehicle	电动车
MCU	Microcontroller Unit	微控制器(本页多指车规多核 MCU)
TI	Texas Instruments	德州仪器
MOSFET	Metal-Oxide-Semiconductor Field-Effect Transistor	金属氧化物场效应晶体管
PCB	Printed Circuit Board	印刷电路板
SG	Safety Goal	安全目标(ISO 26262-3)
QM	Quality Management	ISO 26262 最低等级,只走质量流程
IGBT	Insulated-Gate Bipolar Transistor	绝缘栅双极晶体管
BOM	Bill of Materials	物料清单
OEM	Original Equipment Manufacturer	整车厂 / 主机厂
CCF	Common Cause Failure	共因失效
DFA	Dependent Failure Analysis	相关失效分析(ISO 26262-9)
ESD	Electrostatic Discharge	静电放电

Cross-references

← 索引
功能安全工程师指南 hub — V-cycle + 8 大主题
ISO 26262 Part 5 硬件
SafeState Manager 深度 — SM 在 FMEDA 里的角色
ASIL 分解深度 — PMHF 卡时用
栅极驱动保护链 — 7 道防线 DC 量化
功率模块热设计 — Tj 控制是 FMEDA 杠杆
辅助电源 FMEDA + DFA 深度 — AUX 链 SPFM/LFM/PMHF worked example
Driver IC FMEDA worked deep — 主功率链 6-pack SiC SPFM/LFM/PMHF worked + B(D)+B(D) 分解必要性
PMHF 定量建模深度 — PMHF 怎么真算出来:闭式 Annex F.2 / Markov / FTA 三法 + 双点时间窗
Silent Data Corruption 深度 — SDC 静默误算如何让 FMEDA 的 DC 纸面虚高(λ_RF 低估 ~100x)
Confirmation Measures