芯片功能安全必修课 FMEDA量化分析的最佳实践-电子发烧友网

核心导读

本文描述了集成电路硬件架构度量（SPFM、LFM）和随机失效概率度量（PMHF）的估算方法--FMEDA (Failure Modes Effects and Diagnostic Analysis)，用于评估芯片架构处理随机硬件失效的有效性和评估芯片架构随机失效的概率足够低。

这些指标通常是基于芯片使用假设条件成立前提下评估得到，因此芯片集成商（相关项/系统要素层级）指标计算时应考虑该芯片对其安全目标的影响，芯片安全机制的使用情况，以及芯片使用假设成立的有效性。

FMEDA量化分析涉及的内容非常多，本文章主要讨论如何从本西门子手册SN29500-2:2010评估集成电路的失效率。《芯片功能安全必修课：FMEDA量化分析的最佳实践》将陆续分为多篇文章更新，敬请关注。

一、FMEDA的实施步骤

芯片随机硬件失效度量的计算按如下步骤执行：

1)根据集成电路的架构设计，列出所有的集成电路内部模块（例如CPU）、子模块（例如寄存器组），可视情况划分最小的分析模块(至少划分到安全机制可以诊断到的颗粒度，必要时更细的颗粒度)。

2)根据选择的数据源（例如基于IEC/TR 62380:2004、SN 29500-2:2010、试验数据等）相应的失效率评估模型，计算各模块、组件的基础失效率BFR（Basic Failure Rate）。

3)分析集成电路的故障模式（亦可称为失效模式）及其分布。

4)根据失效模式分析流程图（来自ISO 26262-10:2018,图10），分析每个失效模式归属的故障类型。

5)确定安全机制及其诊断覆盖率。

6)计算SPFM、LFM和PMHF，与目标值比较，找出设计上的薄弱环节，以决定是否需要优化硬件设计。

集成电路的故障模式可以参考ISO 26262-5:2018和ISO 26262-11:2018，也可以根据FMEA+HAZOP关键词的方式定义，需要考虑永久故障和瞬态故障。有时难以对集成电路内部每个模块的故障模式分布进行估算，可以使用面积来估算每种故障模式的分布，这种情况可能需要将模块细分到一个适当的粒度。例如：ALU下级的DIV子模块的失效，由于该子模块占了ALU的30%面积，因此DIV占ALU整体失效30%。但有时候，会根据需要计算到更下一个层级，分析DIV的故障模式（例如逻辑单元物理损坏、数据通路失效等）的分布，这需要更细节的分析，设计前期可粗略地按故障模式数量平均分布，设计后期可以通过仿真精确地得到故障模式分布。

事实上，针对集成电路内部模块/子模块，在FMEDA计算过程中常常假定它的所有失效模式都与安全相关，因此能得到每个模块/子模块的单点故障、残余故障和潜伏故障。系统集成商在集成该芯片时，则只需要考虑哪些模块/子模块的失效将影响他们的安全目标，因此纳入指标（SPFM、LFM、PMHF）的计算范围内。

FMEDA计算是基于安全目标的，因此借助于FTA的分析结果，可以直接得到违背同一个安全目标的单点故障和多点故障。如果前期没有做FTA，则也可基于FMEA的基础上进一步分析每个元器件的故障模式是否违背同一个安全目标。

下面将依据西门子SN 29500-2:2010和IEC/TR 62380:2004两个标准作为集成电路失效率计算的参考数据来源，分别为：

1)SN 29500-2:2010 Expected values for integrated circuits. (September 2010)

2)IEC/TR 62380:2004 Reliability data handbook-Universal model for reliability prediction of electronics components, PCBs and equipment

二、基于SN 29500-2的计算BFR

1.参考失效率λref

SN 29500-2:2010的表1~5给出了不同类型集成电路在各种参考条件下的参考失效率λref。下面以SN 29500-2:2010表2为例，该表给用户展现的信息是不同工艺技术、不同晶体管规模在不同的参考等效结温下的参考失效率λref。

SN 29500-2:2010，表2

微处理器和外围、微控制器和信号处理器参考失效率λref

2.BFR计算公式

一个元器件的失效率除了受到本身材质、工艺、规模等方面的影响，还与它现实条件下的运行环境相关，例如电压因素、电流因素、温度因素以及应力因素等。在SN29500-2:2010第4节中提供了不同工艺技术集成电路的BFR计算公式，具体如下：

其中：

λref：表示基于参考条件的参考失效率，这在SN 29500标准中可查表2得到；

πU：电压因子，即元器件在电压应力下的降额系数；

πT：温度因子，即元器件在温度应力下的降额系数；

πD：漂移敏感因子，模拟电路或存在模拟电路部分时，需要考虑该因子的影响（漂移敏感电路取2，非漂移敏感电路取1）。

3.应力因子的计算公式

3.1 πU计算公式

在SN 29500-2:2010提供了集成电路πU、πT的计算公式，其中πU的计算公式如下：

SN 29500-2:2010，表6

集成电路πU的计算公式中的常量

集成电路的实际操作电压（或运行电压）U是公式4.5和4.6的唯一变量，CMOS数字集成电路选择表6第一行的常量参数，代入公式4.5实际操作电压U后即可得到πU；模拟集成电路选择表6第二行的常量参数，代入公式4.5实际操作电压U后即可得到πU。

3.2 πT计算公式

πT的计算公式如下：

θU,ref是参考环境温度；θvj,1是参考等效节温；θvj,2是实际等效节温；A, Ea1, Ea2都是常量。其中θvj,1可从SN29500-2:2010表2中获得，而A，Ea1，Ea2，θU,ref可从SN29500-2:2010表9获得，如下所示

SN 29500-2:2010，表9

集成电路πT的计算公式中的常量

实际等效结温θvj,2是公式4.7的唯一变量，可通过如下公式计算得到：

θvj,2 =θu+ △θ

即θvj,2等于芯片所处的环境温度θu和元件工作时的温升△θ之和。其中，P为芯片工作时消耗的功率，Rth为集成电路的等效热阻，即：

△θ = P x Rth

得到等效结温θvj,2后，除非易失存储器以外的集成电路，使用选择表 9第一行的常量参数，代入公式4.7后即可得到πT；对于非易失存储器IC（如EPROM，FLASH-EPROM，OTPROM，EEPROM，EAROM），使用选择表9第二行的常量参数，代入公式4.7后即可得到πT。

3.3 Mission Profile对BFR的影响

SN 29500-2:2010第4.3节提出集成电路在“持续工作状态”和“间断工作状态”这两个概念,可由芯片集成商考虑在实际Mission Profile中是否需要使用πW因子。使用πW因子对BFR进一步修正，其计算公式如下：

其中：

λ：即根据公式4.1~4.4,已经考虑了πU和（或）πT的BFR计算结果；

W：设备中的元器件在应力条件工作的时间比率。当W=1时，πW=1，意味着元器件长期处于应力条件下工作；

R：是一个常量，对于集成电路而言该常量为0.08。该常量的意义是考虑在非应力条件下，元件也会失效；

λ0：在“等待状态”温度下的失效率，其计算公式为λ0=λref*πT(θ0)，其中λref表示基于参考条件的参考失效率（如表2所列），将等待状态温度θ0代入前面的公式4.7得到πT(θ0)。

SN29500并未提及环境温度的具体参数，可以参考IEC/TR 62380:2004表8的taemean day-light/night(全球昼夜平均温度)14℃来评估θ0，但这只适用于“室温环境、待机无发热、标准地理区域”使用的元件，不适用于“封闭环境、特殊高温区、待机发热明显”的情况。

IEC/TR 62380:2004表8--全球平均温度

与上述θ0温度评估不同的是，Mission Profile同样影响3.2节的θu取值，尤其在汽车使用工况中，芯片周边经历的环境温度并非固定不变的，因此需要考虑多个温度区间，例如下面提供的例子，θu包括-10℃~80℃环境温度，通过将每个θu对应的θvj,2（实际参考节温）代入公式4.7，则可以得到每个环境温度下的πT，最后根据每个温度区间所占的时间比例对πT进行加权平均。

θu对应环境温度示例

4. SN29500应用示例

本节以ISO 26262-11:2018第4.6.2.1.2.2节为例，结合前述内容讲解如何得到集成电路的BFR，具体如下：

一个晶体管数量在500k~5M范围的CMOS微控制器数字集成电路（986432），工作期间的温度为ΔTj= 26.27℃，假设不考虑供电电压的影响（即πU=1）。根据上述信息，可通过查找表2得到参考失效率λref（80FIT）和参考等效结温θvj,1(90℃)；可通过查找表9得到常量参数（A, Ea1, Ea2, θU,ref），汇总后如下表所示：