本文约8,000字,建议收藏阅读
作者 | 左成钢
出品 | 汽车电子与软件
01 前 言
首先介绍一下作者的新书:《广义车规级电子元器件可靠性设计与开发实践》。这本书具体介绍了汽车电子可靠性理论、电子元器件的车规级认证、车规级与功能安全标准的关系及区别、电子模块的车规级标准及测试方法、电子模块车载应用的特殊要求,以及汽车电子模块如何通过严谨的设计、严苛的测试、高要求的项目维护来满足整车15年全生命周期内的高可靠性要求。
数据显示,2023年底智能新车已占上市新车的79%,L2及以上的辅助驾驶功能装载率快速提高,2023年标配L2的新能源汽车销量占比超50%。随着车辆的快速电气化与智能化,叠加近年来芯片国产化的大潮,芯片的“车规级”及“功能安全”便成为了行业关注的焦点。
02 从慕尼黑电子展看车规级
凡是今年去参加了上海慕尼黑电子展的小伙伴们都会有一个深刻的感受,那就是铺天盖地的国产车规级器件,我放几张照片大家感受一下:
通过上面的四张照片我们能够看到,国产器件涵盖了分立半导体、被动器件、集成芯片等常见的三大类常用器件,器件供应商也把器件通过了AEC-Q认证的信息放在了显著的位置,来表明器件已经满足了车载应用的条件。整体来看,国产车规级器件正在以极快的速度覆盖车载应用的所有领域,这种势头非常好。
但与此同时,行业内也有一些负面的信息,有些OEM被曝出来采用非车规级的器件上车,有些Tier 2也在用一些模糊不清的说法将自家的非车规器件包装成车规级。比如下面这种,在座舱上采用了工规甚至消费级芯片。
下面这个通信模组稍好一些,至少主芯片采用的是车规级,然后就通过IATF 16949、PPAP、APQP这些专业名词来混淆视听了,这种车规级就是假车规级,因为真车规级的模组,是要求通过AEC-Q104标准的。
那么实际上AEC标准对模组是怎么要求的呢?AEC-Q104是专门为Multichip Modules (MCM)多芯片模组制定的标准,标准适用于那些设计出来是可以直接焊接在PCB (Printed Circuit Board) 印刷电路板上的MCM,比如LED模组、通信模组等,但目前还不包括大家熟知的IGBT和Power MOSFET模组。
标准中给出了建议——可以使用MCM中相应器件的AEC-Q100、AEC-Q101、或AEC-Q200认证原始数据去简化AEC-Q104认证。也就是说,不管你用到了哪些器件,在你把这些器件封装起来之前,最好已经通过了相应的AEC-Q100、 AEC-Q101、或AEC-Q200认证测试。但是如果你真的要说我就是任性,我就“偏不用”,行不行?答案是“也可以”。标准原文是这么写的:考虑到成本及客户可能同意你这么干,AEC不要求每个sub-component(子器件)必须通过认证,但是鼓励MCM制造商采用AEC标准去认证子器件,从而使MCM达到最高的质量水平(promote best MCM quality)。
也就是说,你可以采用没有AEC测试等级的器件,但是作为整个MCM来讲,必须通过全部的AEC-Q104测试项目。所以对那些声称达到 “车规级”的LTE模组、5G模组、WiFi-BLE模组等,我们要区分一下看它们有没有通过AEC-Q104测试。如果仅仅只是核心芯片有AEC-Q100,或声称温度范围达到了车载应用的最低要求如85度,有个IATF16949或PPAP,然后就敢说自己是 “车规级”的,大家就要擦亮眼睛。
03 从特斯拉eMMC召回看车规级
从2019年5月份开始, Model S、Model X的中控屏所使用的NAND eMMC Flash在使用时出现失效,它的失效后果不仅将会导致车载显示器异常,进而导致车辆部分重要的控制功能如空调控制、自动驾驶以及照明控制等都会出现问题,这可能间接导致倒车影像故障、除霜/除雾控制故障和外部转向灯无法点亮的故障,进而带来行车安全问题。
这次召回的根本原因就是因为特斯拉所采用的8GB eMMC的设计擦写寿命无法满足设计要求,在达到累计损耗寿命极限时就可能会导致中央显示屏软件功能的故障,而特斯拉的解决方案就是将召回车辆上的eMMC多媒体存储芯片免费从8GB升级到64GB。按照特斯拉的解释,所选的eMMC按照3000次计算,整个寿命为5~6年,但因为非预期的过多擦写(如频繁的软件OTA等),导致3000次寿命提前用完,进而引发了故障。
这件事情其实已经过去好多年了,但是如果我们换个角度来看,就能发现一些之前从未有人发现的问题点。在此之前我先普及一个关于存储器的基本知识:
特斯拉使用的eMMC寿命是3000次,类似我们现在常用的固态硬盘,基本都是TLC,MLC都是极少的,因为便宜,同等条件下存储量更大,但是寿命就要缩短很多。我们可以通过下面ISSI的一个eMMC的Datasheet看一下:
可见SLC模式比起MLC会有更高的耐用性。更低的错误率、更高的温度等级,但是容量只有MLC的一半,也就是说,同等条件下,价格要贵一倍。
我们再去看一下AEC标准对车规级非易失性存储器的测试要求。AEC-Q100-005标准:《非易失性存储程序/擦除耐久性、数据保持及工作寿命的测试》详细规定了对车规级存储器的测试要求。其中HTDR(高温数据保持)测试对存储器的操作寿命要求是12000小时,温度从90度到150度。了解高温耐久测试的汽车行业小伙伴们都了解,高温耐久测试是汽车行业常用的一种加速老化测试方式,是一种很好的可以在短时间内测试出产品可靠性及耐久性的试验方法。
根据AEC-Q100-005标准中的计算,高温90度操作1小时等效于55度下操作42.6小时,而标准要求是在高温90度下操作6000个小时,这就等效于25万5600小时,如果按照设计寿命15年计算,相当于每天46.7小时。
因为没有查到datasheet,我不知道特斯拉用的eMMC是不是车规级的,但通过AEC-Q100-005标准,我认为如果使用车规级的eMMC,寿命是肯定没有问题的。
这里我们再顺便看一下基于AEC-Q100 Grade 1 的一个车辆任务剖面(Mission Profile),可见车辆以15年寿命计算,每天平均使用时间约1.5小时,所以车规级的eMMC理论上可以使用的时间是46.7*15/1.5,约等于467年。
04 大车规与小车规
首先我认为根本就不存在什么大车规与小车规,即使温度范围达到了85度,即使有IATF 16949、PPAP、APQP,非车规就是非车规,什么大小车规的,这就是一种混淆视听,为使用工规或者消费级器件找的理由,想省钱就是想省钱,不要忽悠不懂真相的消费者,既当又立。
MPS汇总了一张图片,比较直观。MPS从环境温度、使用寿命、失效率、产品生命周期等四个维度对消费电子和汽车电子进行了对比,其实核心还是就两点:可靠性和长寿命。
汽车作为大宗消费品,而且是大部分人一生中最贵的消费品,没有人希望买一辆车只开3年就要换了,或者坏了以后发现配件已经停产了。汽车本身作为耐用消费品,技术迭代远没有消费级那么快,一个零部件或一颗芯片,都需要持续生产供货十年以上,一个车型的生命周期通常在5到8年以上,持续迭代时间可能长达十几年甚至几十年,比如大众甲壳虫车型,从1938年推出,一直生产到2019年才彻底停产,中间历经了三代车型,持续生产时间超过了80年。
因为车辆的使用寿命极长,所以产业链相关的零部件及元器件的持续供货时间也就相应的要比消费级长的多。举例来讲,超过3年的一个手机如果损坏后可能是无法维修的,因为很可能需要更换的那个电子零件已经停产了。消费类电子产品的更新换代时间极快,通常3年时间就差了一代,相应的一些电子元器件无论是新产品或是售后可能都已经不用了,所以消费级电子元器件的持续供货时间通常也就在3年左右。
另外就是可靠性。两者有着相差近万倍的产品级故障率,同时这个差异也体现在电子元器件层面,消费级和车规级器件的故障率也相差极大。比如消费级器件通常在几百个ppm,而车规级电子元器件要求达到0ppm,也就是通常讲的零故障率(Zero Defect),这也体现在了AEC-Q004汽车零缺陷指导原则(Automotive Zero Defects Framework)里面。这里说的零故障率其实并不是到真正做到零,而是说故障率已经可以降到一个很低水平,比如0.1ppm以下。
以下表某车规级CAN收发器芯片为例,器件的时基故障值(Failure In Time,FIT)均不大于10,参考乘用车15年总运行时间约为1万小时,以常见的SOIC封装为例,FIT值为10,那么这个器件的零时间故障率大概就是在0.1ppm以下,12个月故障率就是7.3ppm,整车生命周期15年的故障率约为109.5ppm。
最后总结一下,根本就不存在所谓的小车规,非车规就是非车规,即使温度范围达到了125度,即使有IATF16949、PPAP、APQP,只要没有AEC-Q,那就是非车规。
05 车规级与功能安全
我们先来看几篇关于“车规级”及“功能安全”的文章标题:
从上面这几个文章标题可以看出来,车规芯片与功能安全都是大家非常关注的话题,但同时也是一个很容易被混淆的点,笔者希望通过此文讲通车规级与功能安全之间的关系,让大家深入了解什么是车规级,什么是功能安全,二者之间有何关联,又有何区别。
06 车规级认证与功能安全认证的区别
车规级认证和功能安全认证实际上是两个不同的概念,互不干涉,两者侧重点完全不一样。狭义的车规级通常是指通过AEC标准认证测试的电子元器件,广义的车规级也可以包括电子零部件。车规级认证测试仅仅是一种自我宣称的认证,而非通过第三方认证机构进行的认证。而功能安全认证则是通过第三方认证机构进行的,是一种资格认证。很多人搞不清楚两者之间的关系与区别,经常把两者放到一起来讲,说车规级就必须同时符合AEC-Q认证与ISO 26262功能安全认证,这是不正确的,这样很容易产生混淆,其实车规级和功能安全根本就是两码事。
车规级与功能安全认证的关系如下图所示。
如上图所示,车规级元器件认证依据的是AEC标准,AEC标准及AEC-Q认证在第6章有过详细介绍。AEC认证测试的对象必须是实物,且仅针对电子元器件(不包括零部件),如集成芯片、分立半导体、被动器件、MEMS器件、MCM模块等,认证由器件供应商Tier 2来进行认证测试,测试通过后可以宣称器件符合AEC-Q***认证,这是一种非强制性的自我认证,无需第三方认证机构,也没有认证证书。而功能安全认证则是指依据ISO 26262功能安全标准(对应的国家标准为GB/T 34590,标准分为1-12,即GB/T 34590.1-2022到GB/T 34590.12-2022,对应的ISO标准为 ISO 26262-1:2018到 ISO 26262-12:2018)进行的认证,功能安全认证的范围很宽,对象可以是实物,比如元器件,也可以是零部件,或是虚拟的非实体,比如认证一个公司流程(包括研发及生产),认证一个软件等。
07 AEC标准及相关文件
AEC标准一共有6个,如下表所示。其中关于集成芯片的标准AEC-Q100是最早制定并发布的,另外两个较早的标准分别是关于分立半导体的AEC-Q101和被动器件的AEC-Q200,其余的三个标准都制定较晚,这个从其版本信息里也能看出来,AEC-Q101已经升级到H版本了,而AEC-Q102是A版本,其余两个才是初版。
除标准文件外,AEC还有6个指导性文件,如上表所示。指导性文件的编号从AEC-Q001到Q006,都是关于测试指导及认证要求的,发布时间最早的是发布于2010年的《无铅测试要求》,而最近发布的《汽车零缺陷指导原则》则是在2020年刚刚发布的,这也从侧面说明了AEC标准是一个鲜活的、一直在持续更新与迭代的标准。
08 AEC认证与证书
如果成功完成了根据AEC标准文件需要的测试,并对测试结果按要求进行了存档,那么将允许供应商声称他们的元器件通过了AEC认证(AEC-Q*** Qualified)。需要注意的是,AEC认证是一个由元器件供应商自我对外宣称的认证,AEC没有运行任何官方认证机构或授权任何第三方认证机构来进行器件认证测试。
另外,AEC认证也没有证书,也就是说不会有任何组织给元器件供应商颁发“AEC-Q*** Qualified”证书;每个供应商根据AEC标准,自己去做认证测试,认证测试还需要考虑客户的应用需求;在认证测试通过后,可以将测试数据提交给客户,由客户核实测试是否符合AEC标准。总的来说,AEC认证测试是一个自愿性的、非强制性的、自我宣称式的测试,任何器件在通过测试后,都可以宣称器件通过了认证;在客户需要的时候,元器件供应商可以提供测试报告供客户进行核实。下图是一个MCU的车规级认证报告(AEC-Q100G Qualification Report)。
09 ISO 26262基本概念
ISO 26262《道路车辆功能安全》国际标准适用于安装在量产道路车辆上的包含一个或多个电子电气系统的与安全相关系统(ISO 26262:2011升级到ISO 26262:2018后,将使用车型范围由最大总质量不超过3.5吨的量产乘用车扩展到了卡车、公交车、挂车及半挂车、摩托车(不包含轻便摩托车))。标准是基于IEC 61508《安全相关电气/电子/可编程电子系统功能安全》制定的。
ISO 26262标准提供了:
- 汽车生命周期(管理、研发、生产、运行、服务、报废)和生命周期中必要的改装活动。
- 决定风险等级的具体风险评估方法(汽车安全完整性等级(Automotive Safety Integrity Level,ASIL)
- 使用ASIL方法来确定获得可接受的残余风险的必要安全要求。
- 确保获得足够的和可接受的安全等级的有效性和确定性措施。
- 功能安全受开发过程(包括具体要求、设计、执行、集成、验证、有效性和配置),生产过程和服务流程以及管理流程的影响。
标准针对由安全相关电子电气系统的故障行为而引起的可能的危害(对人身健康的物理损害或破坏),包括这些系统相互作用而引起的可能的危害。标准不针对与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害,除非危害是直接由安全相关电子电气系统的故障行为而引起的。另外,标准不针对电子电气系统的标称性能,即使这些系统(例如主动和被动安全、制动系统、自适应巡航系统)有专用的功能性能标准。
针对标准的适用范围,有以下内容需要重点关注一下:
- 仅适用于道路车辆,不包括特殊用途车辆,如非道路车辆及残疾人用车。
- 适用于由电子、电气(Electronic/Electrical,E/E)和软件组件组成的系统。简单来说就是不适用于纯机械结构件,比如车玻璃,虽然和安全相关,开着车玻璃突然炸裂了可能就会发生安全事故,但也不算在功能安全标准范围内,而是算在《中国乘用车强制性国家标准》的被动安全里。
- 与安全相关的系统,比如娱乐系统就不算,开车过程中音乐播放功能失效,没法听歌了,这就不涉及功能安全。
根据标准对安全的定义,安全是相对于危害而言的,如下图所示。
由标准定义可知:
- 和安全相关是指,因E/E系统的故障行为而引起的可能的危害(hazards)。
- 危害(hazard)的定义是:由相关项的功能异常表现而导致的伤害(harm)的潜在来源。
- 伤害(harm)的定义是:对人身健康的物理损害(injury)或破坏(damage),也就是说只有能够危害到人身健康,导致人员受伤的功能才可以适用于功能安全标准。
简单来讲就是:功能安全只管因E/E系统的故障可能导致人员伤亡的功能,并且,功能安全一定是基于一个具体的功能而言的。比如车辆的转向系统,基于一个具体的功能,比如车辆行驶过程中方向盘无法转动导致转向失效,这就很具体,因为转向失效还包含了方向盘在没有操作的情况下自己转动的情况,这就要分开来讲了。再然后就是安全,比如车停在那里车门自动解锁打开了,然后车内的物品被偷了,这也是安全,但这是财产安全,是不算在功能安全里面,因为没有人员受伤。如果是行驶过程中门突然自己打开,人掉下去了,这就是功能安全了,这个需要基于功能再叠加场景进行区分。
10 功能安全流程认证与产品认证
功能安全认证由专门的第三方认证机构进行认证,认证服务可以分为两种:流程认证和产品认证,如下图所示,通过认证后即可获得认证证书,证书也分两种:流程认证证书和产品认证证书。
流程认证和产品认证的定义及区别如下:
- 流程认证:依照ISO 26262标准中描述的流程来评估被认证公司/企业的流程体系建设水平。由于不同ASIL等级产品所需要开展的活动不完全相同,所以ASIL等级代表了被认证公司/企业构建的流程体系对于功能安全产品开发的支撑程度。
- 产品认证:依照标准中描述的各环节过程(包括输入、流程、输出)来评估被认证公司/企业产品的某一项或几项功能的功能安全等级,重点是交付物的技术水平和工程化能力。产品认证需要全面完善的开发过程证据(例如项目的需求输入、设计分析过程、测试报告等),所以ASIL等级代表了这个产品的功能安全实践水平。
流程认证和产品认证虽然没有绝对意义上的前后关系,但是完整的产品认证一般要建立在具备一定的流程水平的基础上,所以对于没有相应经验的公司,认证机构一般都是建议先做流程认证,通过流程认证后,功能安全团队和流程能力也基本上培养起来了,下一步做产品认证就相对容易些。
因为流程认证相较于产品认证要求会低一些,工作量也小得多,认证周期也要短得多;即使现有团队缺乏功能安全相关知识及流程经验,经过认证机构培训及辅导,短则半年,多则一年,一般都能通过,取得功能安全流程认证证书。流程认证一般也是基于一个具体的真实项目来开展的(一般是基于一个简单的产品,不推荐基于太复杂的产品来进行,难度太大),而不是凭空只做流程文档。当然了,也可以这么做,但一般不会这么做(认证机构也不推荐)。通常来讲,流程认证一般是产品认证的第一步,对于没有经验的公司,先过流程认证,建立起相应的团队能力及流程规范,然后再去做产品认证,循序渐进。
11 电子元器件的功能安全
对于电子元器件的功能安全认证,一般都是复杂芯片类产品(被动器件和分立半导体器件因复杂度较低,不需要通过认证的途径来解决功能安全设计问题)。比如MCU,一般作为一个系统设计的核心;或PMIC及系统基础芯片(System Basis Chip,SBC),作为系统的电源,功能安全设计就很重要。如下图所示,以TI为例,功能安全芯片主要是MCU、传感器、电源管理、放大器、电机驱动器等。
器件的ASIL级别是独立于具体的环境安全要素的。因为器件供应商并不清楚器件的具体应用及功能,所以器件的ASIL级别与具体的产品硬件、系统应用无法直接进行关联。芯片供应商并没有办法给出某个具体硬件设计或应用具体能达到的ASIL级别,而是给了一个芯片能达到的最高级别,最终产品某个具体功能的ASIL级别就取决于Tier 1的设计。
TI对电子元器件的功能安全认证进行了详细的分级,可以作为一个很好的参考。如下表所示:
12 车规级认证与功能安全认证
车规级认证(及AEC-Q认证,基于AEC标准)与功能安全认证(基于ISO 26262标准)从多个维度均存在较大差异,如下表所示。表中从认证范围、认证方式、认证目的、侧重点、交付物、是否强制、认证机构、认证报告、证书有效期等共计9个维度对车规级认证与功能安全认证进行了对比。
针对上表的分析对比可以看出:
(1)认证范围:
- AEC标准认证的范围仅针对电子元器件,如集成芯片、分立半导体、被动器件、MEMS器件、MCM模块等,认证由器件供应商Tier 2来进行认证测试。
- ISO 26262标准认证范围则包括流程(对公司)及产品(实体或非实体)。
(2)认证方式:
- AEC标准认证方式就是测试,测试通过后可在产品手册上注明符合标准即可。
- ISO 26262标准认证涵盖了产品的设计、测试、生产等全生命周期,重点在于产品的设计与测试,认证的方式最终是体现在产品设计文档上,而非仅仅局限于产品测试。
(3)认证目的:
- AEC标准认证的最初目的是为了器件资格通用化,现在基本上算是器件车载应用的一个基本要求。
- ISO 26262标准认证的目的就是证明公司的开发流程或产品本身的功能安全设计是符合标准的。
(4)侧重点
- AEC标准的侧重点是器件的可靠性及长期供货的一致性(主要体现在变更流程要求)。
- ISO 26262标准的侧重点是设计及开发流程的合规性(主要通过工具、流程、设计分析及测试文档)。
(5)交付物
- AEC标准认证测试后,交付物就是测试报告。
- ISO 26262认证后,交付物就是流程文档及认证证书。
(6)是否强制
- AEC标准和电子零部件测试标准一样,都是非强制的,但是如果要做车载应用,那么通过这个测试是一个基本要求。
- ISO 26262同样也是非强制标准,是否需要过认证取决于客户要求,同时树立行业门槛。
(7)认证机构
- AEC标准讲的很清楚,没有专门的认证机构,元器件供应商自己根据标准进行测试即可。
- ISO 26262是由专门的合规认证机构的,认证必须由机构进行。
(8)认证报告
- AEC-Q是没有认证报告的,只有测试报告。
- ISO 26262认证通过后,将由合规认证机构颁发认证证书。
(9)证书有效期
- AEC-Q测试报告基本是没有有效期这个概念的,但是只要产品发生变化,就需要重新进行认证测试。
- ISO 26262证书是有有效期的,一般是3~5年,到期后需要重新审核,且需要一定的审核费用。
END
作者:左成钢
来源:汽车电子与软件
推荐阅读:
更多汽车电子干货请关注汽车电子与软件专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入技术交流群,请备注研究方向。