借助安全事项应用笔记实现安全设计——第2部分：FMEDA数据导入

作者：Bryan Angelo Borres，高级功能安全工程师

摘要

在完成合理性校验，确认器件功能安全(FS)失效率、失效模式分布(FMD)及引脚失效模式与影响分析(FMEA)的推导假设成立后，系统集成商下一步需将这些数据导入其系统的失效模式、影响与诊断分析(FMEDA)中。ADI的安全事项应用笔记提供了多种计算失效率、裸片FMD及引脚FMEA的方法。系统集成商可根据自身在安全相关系统(SRS)设计或通过FMEDA开展技术安全分析的经验，采用不同方式来运用这些信息。本系列文章第2部分旨在介绍一种结合裸片FMD与引脚FMEA来推导FS器件的失效率分布的方法。

引言

在《了解安全事项应用笔记》系列文章第2部分中，我们将以电源电路失效模式、影响与诊断分析(FMEDA)为例，展示器件级FMEDA的构建方法（如图1所示）。ADI的安全事项应用笔记中包含可直接复制至图1中FMEDA高亮区域的安全相关信息。本系列文章第2部分旨在说明如何提取器件安全事项应用笔记中的信息，并将其应用于系统级FMEDA分析。1-3

选择可靠性预测方法

在功能安全(FS)器件的安全事项应用笔记中找到安全相关信息，并对所采用的假设完成合理性校验后，系统集成商下一步需为具体的应用选择合适的可靠性预测方法，如图2所示。为此，需要与技术安全分析方法保持一致。例如，使用统一的可靠性预测数据源。


图1：器件失效率与失效模式分布(FMD)在FMEDA中的填入方式

表1：FMEDA示例 - 仅展示ADP7156基于IEC 62380方法的失效率信息

      器件  功能  失效率(FIT)  失效模式  FMD
  低压差(LDO)稳压器  使能后1.2ms内提供3.3V±1.5%的低噪声稳压输出  7.15  　  　
  0.39  　  　

图2：ADP7156的安全事项应用笔记中给出的可靠性预测

ADI安全事项应用笔记提供三种可靠性预测方法：SN 29500、IEC 62380或基于实验室测量的高温工作寿命(HTOL)方法。《了解安全事项应用笔记》系列文章第1部分讨论了各种方法之间的差异。值得注意的是，HTOL与SN 29500方法可以给出整个集成电路(IC)的失效率，而IEC 62380方法则分别提供裸片与封装的失效率。1,4

如果选择HTOL或SN 29500方法，则可以借助专家判断，将总失效率进一步分解为裸片失效率与封装失效率。例如，汽车功能安全标准ISO 26262:2018—11第4.6.2.1.2.4节中给出的SN 29500基础失效率，可采用与IEC 62380方法相同的比例，分解为裸片失效率与封装失效率。5

将图1中高亮所示信息应用于ADP7156后，表1展示了基于IEC 62380方法、采用裸片失效率(7.15 FIT)与封装失效率(0.39 FIT)填充的失效率列。

填充裸片FMD列

安全事项应用笔记中所示的FMD指的是裸片FMD，它依据器件的裸片面积占比、复杂程度及工程专业判断推导得出。因此，该数据可直接填入对应器件的系统级FMEDA中的失效模式与FMD部分。具体参见表2。若无安全事项应用笔记，系统集成商通常需按照IEC 61508‑2:2010表A.1，将失效率平均分配至各失效模式。借助安全事项应用笔记，则可获得基于实际IC分析得出的失效模式分布。

表2：FMEDA示例 - 展示ADP7156失效率与裸片FMD

        器件  功能  失效率(FIT)  失效模式  FMD
  LDO稳压器  使能后1.2ms内提供3.3V±1.5%的低噪声稳压输出  7.15  VOUT关断或钳位在接近0V的低电平  29%
  VOUT稳压调节结果高于目标值  12%
  VOUT稳压调节结果低于目标值  9%
  VOUT输出振荡，但仍在稳压范围内  6%
  VOUT钳位在接近VIN的水平  24%
  VOUT建立时间>1.2ms  3%
  VOUT输出振荡，且超出稳压范围  1%
  对系统功能无影响  16%
  0.39  　  　

表1需将与引脚失效模式相关的0.39 FIT进行分配。

生成引脚FMD

借助引脚失效模式与影响分析(FMEA)，可根据安全事项应用笔记中提供的引脚FMEA表推导出引脚FMD。通常，裸片FMD中的失效模式与引脚FMD相近，因为这些失效模式均与集成电路(IC)的系统功能相关；否则，就会出现一些疏漏，例如表3中部分FMD标注为0%。将引脚FMEA表的影响列中对应的系统级失效模式占比求和至100%，即可得到如表3所示的引脚FMD。

在完成表3所示的FMEDA后，系统集成商需针对其特定安全功能，定义每个IC失效模式的影响，确定各失效模式的失效分类（安全、危险、无影响、无部件），并检查在既定目标安全完整性等级(SIL)下，所得到的危险未检测失效率是否足够低。

表3：FMEDA示例 - 展示ADP7156失效率与FMD

        器件  功能  失效率(FIT)  失效模式  FMD
  LDO稳压器  使能后1.2ms内提供3.3V±1.5%的低噪声稳压输出  7.15  VOUT关断或钳位在接近0V的低电平  29%
  VOUT稳压调节结果高于目标值  12%
  VOUT稳压调节结果低于目标值  9%
  VOUT输出振荡，但仍在稳压范围内  6%
  VOUT钳位在接近VIN的水平  24%
  VOUT建立时间>1.2ms  3%
  VOUT输出振荡，且超出稳压范围  1%
  对系统功能无影响  16%
  0.39  VOUT关断或钳位在接近0V的低电平  32.20%
  0.39  VOUT稳压调节结果高于目标值  6.80%
  　  VOUT稳压调节结果低于目标值  6.80%
  　  VOUT输出振荡，但仍在稳压范围内  3.40%
  　  VOUT钳位在接近VIN的水平  20.50%
  　  VOUT建立时间>1.2ms  0%
  　  VOUT输出振荡，且超出稳压范围  0%
  　  对系统功能无影响  30.30%

结语

总而言之，利用ADI安全事项应用笔记，可获得用于填充器件级FMEDA的关键数据，从而简化技术安全分析流程。通过选择统一的可靠性预测方法（如IEC 62380、SN 29500或HTOL），并将提供的裸片FMD与引脚FMEA直接映射至分析过程中，系统集成商可准确地将失效率分配至各类功能失效模式。这种系统化方法将工作流程从初始合理性校验推进至FMEDA输入部分的完整填充，为安全分析的最终阶段奠定重要基础：对失效进行分类，确定安全及危险失效率，并最终验证系统是否符合整体SIL要求。

参考文献
1 Bryan Borres，“了解安全事项应用笔记——第1部分：失效率”，ADI公司，2015年8月。
2 Bryan Borres，“了解安全事项应用笔记——第2部分：失效模式分布”，ADI公司，2025年10月。
3 Bryan Borres，“了解安全事项应用笔记——第3部分：引脚FMEA”，ADI公司，2025年11月。
4 Tom Meany，“集成电路可靠性预测”，ADI公司，2021年12月。
5 “ISO 26262 Part 11, Road Vehicles—Functional Safety: Guidelines on Application of ISO 26262 to Semiconductors”，国际标准化组织，2018年。

# # #
作者简介
Bryan Angelo Borres是一名经TüV认证的功能安全工程师，目前负责多个工业功能安全项目。作为高级功能安全工程师，他协助元器件设计师和系统集成商设计符合工业功能安全标准（如IEC 61508）的功能安全电源产品。Bryan是菲律宾参加国际电工委员会(IEC)TC65/SC65A技术委员会的国家委员会成员，同时也是IEEE功能安全标准委员会成员。他拥有电力电子专业研究生文凭，在高效、稳健的电力电子系统设计方面拥有超过七年的丰富经验。