为什么需要“车规级”?“车规级”到底意味着什么?
5.1“车规级”标准的初衷
这个我们在AEC历史那部分讲过,建立AEC的初衷就是为了解决电子零件资格认证问题,如果能够建立通用认证规范,每家电子元器件公司就可以使用通用资格认证来替换原来每家公司使用的各种不同的资格认证方法,就这样,AEC认证测试标准就产生了。
通用的资格证书推动了汽车用电子器件的通用化,比如一个器件具备了符合该资格证书,则该器件对所有三家公司(克莱斯勒,德尔科电子和福特)都具有资格。
放到汽车行业,大家都认可16949和AEC,AEC标准极大地促进了汽车电子器件的资格通用化,降低了零部件公司及OEM的器件选择、使用及变更成本,极大地提高了电子零部件及车辆的可靠性,提高了电子器件的通用化水平,功在当代、利在千秋。而随着车辆技术的发展及新需求的产生,也将会有越来越多的电子器件/部件加入AEC的覆盖范围,进而推动整个汽车行业的发展。
5.2业内人士看“车规级”标准
这里顺便讲一件事情:笔者就见过一个给非道路车辆做控制模块的公司,楼道里一排排的老化台架,几百个产品装在上面,密密麻麻,蔚为壮观,但是看上去又不像传统的DV试验台架。笔者百思不得其解,向人家请教,答曰这是出货前的老化环节,这就打破了笔者十几年的技术经验认知。后来聊下来才知道,设计人员都是来自于消费领域和工业领域的,人家压根不知道有“车规级”器件这回事,连AEC-Q是啥都没听说过!
他们的产品出货量也不大,一年几千套,但是卖得不便宜,就是动不动就坏了,后来他们发现出货前进行48小时老化筛选后,可靠性就好多了,尤其是0公里故障。
“车规级”对业内人士来讲,几乎像水之于鱼,空气之于人,是一种默认,是一种习惯,也是一种深植于意识中的基本认知。就像你从来没有见过Bosch或Conti宣传说他们的产品用的器件是符合“车规级”认证的,似乎说了才不正常,因为这是最基本的,所以业内人士大家平时都不谈这个。前面我们也讲了,在大厂的小伙伴们,甚至根本没有机会接触到“非车规级”的器件。
所以笔者在初次看到商用车领域有零部件公司宣传自己的产品,把进口车规级器件作为卖点时,还是很诧异的。这就像一个买家电的和你说他的产品有3C一样,搞得好像别人都没有似的。后来笔者发现,商用车领域还真是这样,并不是大家都用了“车规级”器件,所以你用了,那就是一个卖点,就值得去大力宣传。哎,是我孤陋寡闻了。
类似于在文明社会呆久了,你就会对良好的社会秩序变得无感,就会觉着“欠债还钱”天经地义,杀人放火肯定不能干一样。让一个搞汽车电子的人去设计一个产品,他“想都不用想”就会全部使用车规级器件,你要是让他用非车规的“凑合”一下,这对他来讲就和“杀人放火”没啥区别,他宁愿改设计也不敢用非车规的器件,这是根植在认知里的安全底线。
5.3愈加复杂和严苛的汽车电子
零部件工作温度范围对比
前面关于“车规级”我们讲了比较多了,大家也都了解了一些,真实的“车规级”当然远不止温度范围这一点,虽然温度范围也是汽车电子设计中非常重要的一个考虑因素。
技术发展到现在,设计一辆汽车成为了一件极其复杂的事情。ECU可能多达100个,代码超过1亿行,同时随着自动驾驶技术的发展,车辆会变得越来越复杂,汽车行业已经超过计算机和通信,成为电子系统及芯片用量增长最快的领域。
对汽车电子零部件来讲,其实核心的关键因素只有以下两点:
可靠性(Reliability):部件必须能够承受日常使用的严酷和极端的温度、湿度、机械振动、冲击及车辆的复杂电气和电磁环境。
长寿命(Longevity):消费者希望他们的汽车比手机等其他电子设备使用寿命更长,一般在10年或更长,实际设计寿命超过15年。
5.4汽车电子与消费类对比
IATF16949、AEC-Q及ISO16750中的很多测试标准及流程体系都是汽车行业所独有的,包括前面我们讲过的变更流程及重新认证流程。现在我们从其他几个维度来对比一下汽车电器产品和消费类产品的差异。
MPS汇总了一张图片,比较直观。MPS从环境温度、使用寿命、失效率、产品生命周期等四个维度对消费电子和汽车电子进行了对比,其实核心还是上面讲的那两点:可靠性和长寿命。
如果我们再从更广的维度对比一下,会更有助于理解汽车级标准的严苛:
这张图从器件的生产、流程的控制、供应链(Fab和Assembly)到认证标准维度对比了消费级、工业级和汽车级的差异,经过前面对标准和流程的分析,大家再结合一下这张图就更能理解“车规级”标准的严苛。
另外我还找到了其他几张对比图,大家可以了解一下。
我挑几个车规级独有的重点讲一下:
Wafer级别的,每个die的单独光学检查;
Assembly级别的多轮100%光学检查;
AEC-Q认证、PPAP等流程。
所以说,车规级标准的严苛是全方位、多维度的,只有如此才能保证由数百个ECU,数万个电子元器件组成的车辆最终的长生命周期使用及在此期间的高可靠性。
最后一张来自MPS的图镇楼,不用解释。
5.5AEC-Q能解决器件的可靠性问题吗?
我们先来讲一下大名鼎鼎的浴盆曲线,搞质量的对这个肯定都非常熟悉了。按老规矩,我们先上图。
浴盆曲线通常作为一个可视化的模型,来说明产品故障率的三个关键时期。当然了,这只是个模型,你没有足够多的故障数据,就无法获得足够的短期和长期经过校准的信息,进而进行准确的建模,但是我们可以使用浴盆曲线来做一些可靠性的模型估算。
5.6半导体产品的寿命
半导体产品的寿命有三个主要阶段:
婴儿期(Earlylife):此阶段的特点是初始故障率较高,后期将迅速降低。就像小孩子3岁前容易生病一样,过了3岁就结实多了。
我们先看看早期寿命失效率。
5.6.1早期寿命失效率问题
前面我们专注于讲解标准的主文件(Basedocument),子文件较多,也较专业和枯燥,就没有讲。我们现在来看一下AEC-Q100-008ELFR讲了哪些东西。按规矩,我们直接上标准原文:
ELFR的适用范围是:所有的IC认证。一般情况下,大多数的芯片都有通用数据可以支撑ELFR要求的测试方法,只有那些全新的器件(新技术或新设计)因缺乏通用数据支撑,才需要AEC-Q100-008ELFR来进行认证测试。
先来看测试方法:
ELFR测试方法实际上就是高温老化测试,按温度等级进行划分测试,但是对器件的数量要求非常大,3个批次,每批800个,共计2400个样品。测试通过后通用数据(Genericdata)就有了,下次就可以用来简化测试,这就构成了一个闭环了。
关于浴盆曲线的早期失效问题,weibull.com也给出了很好的分析(不了解Weibull威布尔分析的小伙伴们自行搜索一下),我们可以参考一下:尽管老化测试通常不是减少早期失效的实用经济方法,但它已被证明对最先进的半导体是有效的,当然了,它并无法消除导致缺陷的根本原因(Rootcause)。只有在设计和早期生产阶段找出故障,然后分析导致缺陷的根因,并通过重新设计及采取纠正措施,消除缺陷。
再来看AEC-Q100标准的接受原则,是不是感觉和weibull.com给的分析如出一辙,殊途同归?
如果测试中有失效的情况,测试就不能通过,且必须通知用户,并告知即将执行的纠正和预防措施。在客户批准,且纠正和预防措施被正确实施的情况下,器件才可以被认为具备了再次进行AEC-Q认证的资格。大家感受一下,标准要求是不是很严苛?
好了,我们总结一下:
通用数据及AEC-Q认证测试可以解决已有器件的早期失效率问题;
新器件需要专门进行ELFR测试来解决器件的早期失效率问题。
一句话就是:只要你通过了AEC-Q认证测试,早期寿命失效就不是问题!道理其实很简单,比如已有器件,我一直都这么用的,从来没有早期失效问题,那么以后也不会有,新器件就走ELFR测试。
上面讲的ELFR是Q100里面的,但实际上Q101到Q200里面都有genericdata的要求,这里不再赘述,想了解的小伙伴们可以去看标准原文。
最后放一张英飞凌的图镇楼。
从英飞凌的“零缺陷理念”这张图我们可以看出来,AEC标准将浴盆曲线里的早期失效率那个曲线给拉直了,也就是说消除了早期失效。
刚好这里提到了“零缺陷”,其实零缺陷这部分内容在“AEC-Q004汽车零缺陷指导原则”里面有明确规定,后面我们会详细讲一下。
5.6.2正常生命期失效率问题
好了,解决中后期失效问题的关键来了,那就是:寿命测试、现场数据和寿命数据分析,数据怎么来呢?这个就是ACE标准里的genericdata(通用数据)。为了讲清楚这个问题,我们来看下ACE-Q100里面对通用数据的描述,这有助于我们理解这个问题。
看不明白的小伙伴们没关系,我来解读一下。这张图实际上就是一个器件的大数据,涵盖了器件从设计、认证、量产、应用、变更到重新认证的整个生命周期维度,数据包含了:认证数据+变更认证数据+可靠性监控数据,共同组成了“通用数据”。
所以说,可用的通用数据就是一个器件的可靠性证明,涵盖了浴盆曲线的早期和中期阶段,可以支撑及证明器件在生命周期内(从生产到劣化周期)的可靠性及失效率。
5.7AEC-Q004汽车零缺陷指导原则
前面讨论了AEC-Q认证是怎么保障器件寿命问题的,但这实际上并不能将器件生命周期内的失效率降为零。为此,AEC又专门制定了AEC-Q004标准,AEC-Q004Rev-(InitialRelease):AutomotiveZeroDefectsFramework汽车零缺陷指导原则。这个指导原则,或者说是框架(Framework)发布得比较晚,2020年发布的初版,算是指导原则里面最新的一个文档。它涵盖了目前所有的器件范围,从Q100到Q104,包括Q200的被动器件。
我们先来看下AEC-Q004的汽车零缺陷指导原则。
指导原则涵盖了从流程设计、产品设计、制造、测试、晶圆级工艺监控(WaferLevelProcessMonitoring)、质量改进等维度,全方位地去降低缺陷,以达到零缺陷的目标。
那么,零缺陷的价值体现在哪里呢?我们再来看一张英飞凌的图:
器件的早期寿命失效主要是由缺陷defects导致的,并伴随着随机失效——稳态阶段也就是正常生命周期阶段,主要是随机失效。而“AEC-Q004汽车零缺陷指导原则”就刚好可以补充这一部分的缺失,进一步降低器件在生命周期内的失效率,从而提高器件的整体可靠性。
零缺陷并不是说缺陷数就真的等于0,这从数学上来讲是根本不可能做到的。业内来衡量器件失效率的单位是DPPM(DefectivePartsPerMillion),每百万件缺陷器件数,也称为每百万发货量次品数。也就是说低于1DPPM也就接近零缺陷了,目前英飞凌给的数值就是小于1ppm的,相当于一年365天3153万6000秒,最后3秒交付的器件有缺陷,这已经达到了千万分之一,0.1ppm的水平。
本章总结一下,AEC-Q并不能完全解决器件的可靠性问题,但在尽可能地指导汽车器件做到零缺陷,进而提高器件的可靠性。
六、器件生命周期与国产认证
“车规级”器件的长生命周期我们前面也反复提到过,但是没有深入地讲。本质上来讲,器件的长生命周期是为了支持产品的长生命周期,比如手机你用个两三年就换了,器件的寿命就没必要很长;器件要做到长寿命,直接表现就是器件更贵了。但其中涉及到的点确远不止这些,接下来我们掰开来讲。
6.1“车规级”器件的生命周期
先看一下器件生命周期方面。比如TI:
“在德州仪器(TI),我们知道半导体产品的寿命和供货连续性对您非常重要;这对我们而言同样重要。TI的产品生命周期通常为10到15年,并且通常可以延长使用寿命,这与许多客户的要求是一致的。我们致力于为客户延长产品寿命,并制定了策略和内部政策来兑现这一承诺。”
我们拿具体的器件来举个例子:
做过汽车电子的小伙伴们应该很熟悉NXP的S12单片机,2009年就有了,即便现在车上用的还是非常多的。NXP针对“车规级”电子零部件有长期供货计划,保证15年,并且还可以延长(Extended),这些官网上都能查到。
6.2“车规级”器件的停产
其实不管生命周期多长,最终可能还是要停产。下面我们拿Ti的产品寿命政策举个例子:
政策写得很明白,我不再赘述。以笔者的经验,某一个型号的“车规级”器件用个十几年的非常多,这在消费领域可能匪夷所思,但是在汽车电子行业则很常见。比如你去看一个十几年前的原理图或BOM,你会发现大部分器件你都认识,而且现在你还在持续地使用,有些器件比新入行的小伙伴年纪都大,这都很正常。
总结起来就是,“车规级”器件轻易不会停产,只要大家都在用,有需求,就会一直生产下去。所以对新入行的小伙伴们来讲,如果哪天看到供应商发过来一个邮件说你用的一颗芯片A要EOL(Endoflife停产)了,先别慌——一般情况下都是这个型号A要停产,可能是改工艺了,也可能是换产地了,新型号改成了A1,老型号A的lasttimebuy他会告诉你,你赶紧用A1替换掉进行验证,后面换成A1接着用就行了,这就是我们前面讲过的器件变更导致的产品变更。
这是器件要实现“长寿命”带来的必然问题——就像古人不得癌症一样,因为他根本活不到得癌症的那一天。消费级器件就是这个道理,我一个手机最多就卖2年,你跟我说要换芯片,我变更还没走完,手机都停产了。
为了维持器件的长寿命,NXP提了三点——
NXP会变更器件产地,但是会重新认证;
NXP会建议客户整合器件型号;
NXP会持续完善(变更)器件。
6.3“车规级”器件的选型
关于器件选型,我们前面已经讲了点基础的选型知识,这里我着重讲一下器件状态。前面说过“车规级”器件都是寿命很长的,起步10年,但也并不是随便选的,如果你稍不注意,选了个不推荐或快停产的型号,产品刚量产就收到了采购转给你的供应商的EOL邮件,那你就偷着哭吧。这种事情,不仅是汽车行业新手,老手有时候也会掉坑里,那就是大意了。
Ti将器件状态分为了以下几类:
1.预发布(Preview):快量产了,可以提供样品;
2.正在供货(Active):已量产,可以用;
3.不推荐用于新设计(Notrecommendedfornewdesigns):新设计不推荐用,老产品继续使用,暂不影响;
4.最后期限采购(lasttimebuy):已停产,在用的就抓紧买点备着库存,赶紧变更;
5.已停产(Obsolete):这种器件官网按分类可能就找不到了,只能通过搜索找到。有些家写的是discontinued或EOL,意思一样。
Ti的分类还算比较多的,英飞凌就只分三种,推荐、新设计禁用、停产。所以不管是大厂,还是小厂,建议小伙伴们选型前一定要上官网看看这个器件的状态,有条件和原厂搭上话的,最好把选好的型号发给原厂销售或FAE帮你看看,别掉坑里了。这里敲黑板了,小伙伴们选型时,看清楚了Active,你选了不吃亏,你选了不上当。
6.4长生命周期的成本
讲了这么多,小伙伴们发现没有,器件要做到长寿命去支撑车辆的长生命周期,其中涉及的点其实是很多的,很多的点前面我们也大概也都提到过,总结起来有以下几点:
1.器件本身质量的高可靠性是器件长使用寿命的基础;
2.器件长达15年以上的供货周期中,器件批次间品质的一致性,是实现器件长生命周期的保证;
3.器件生命长周期内必然涉及到变更及重新认证;
4.器件变更带来的零部件变更及测试验证;
5.零部件变更可能带来的实车测试及验证;
6.IATF16949、AEC-Q、PPAP等标准及流程体系对产品设计及制造的支撑。
以上6点共同构成了汽车电子产业链对整车长生命周期可靠性要求的支撑,但落实到具体的工程师身上,那就是无穷无尽的文档、变更、测试和沟通。我曾见过一个产品的变更历史记录,excel文件打开来密密麻麻几百行,上百次变更,每次变更都涉及到几十个文档,你感受一下。不过人家那个文档做的是真好,记录得真详尽,这个你不得不敬佩。
好了,从这么多维度分析了器件的长生命周期,那么产生的结果你也大概能猜得到了,那就是因此带来的成本提高,一句话就是:“车规级”相对来说更贵。当然了,说贵是看和谁比了,在器件选型基础那个章节里,我们拿了一颗宇航级的电源芯片来举例,1K的量,单颗价格1528美金,我们当然不能和它去比,我们就和非车规的芯片比一下,大家感受一下,有个概念。
6.5“车规级”器件的价格
按照惯例,我们不谈虚的,直接上器件价格进行对比。下面我挑了几颗常用的TI电源芯片和Onsemi的IGBT来对比一下:
我汇总了个表格,对比起来更直接:
当然了,不同器件供应商,不同器件类型,价格差异较大,按照笔者经验,“车规级”电子器件价格,比非车规一般要贵30%左右。
在很多供应商网站都支持价格查询,比如Ti、Onsemi、NXP、Infineon、ST等“车规级”器件巨头,大多数器件官网都能看到参考价格,比Digikey和Mouser上面的价格更具有参考价值,在新产品设计器件选型时可以据此预估产品的BOM成本。
6.6“车规级”器件产业链
上一章讲价格时,提到了几个“车规级”器件巨头,我们就趁机大概讲一下这个市场,非业内的小伙伴们大概有个概念。
从整个半导体产业链来看,车载应用的半导体占比还是很低的,和消费级、工业级一个水平,远低于计算机及通信领域。但是,我们要以面向未来的视角来看这个问题。前面我们讲过,随着自动驾驶技术及车辆电气化的发展,半导体器件整车价值占比在快速地提高,汽车行业已经超过计算机和通信,成为电子系统增长最快的领域。所以说,汽车电子领域,未来前途不可限量。小伙伴们加油!
接下来我们再看汽车半导体市场,先来看市场份额:
我找到了一张2020年的市场份额排名,没有具体数值,大家可以看一下,除Infineon跃升至第一名外,后面的基本没动,市场格局很稳定。
半导体覆盖了AEC-Q100,101到104这个范围,除半导体外,那就是Q200的被动器件了。关于被动器件市场份额这方面的资料很少,我找到了一张2017年的图,大家凑合看一下,有个概念即可。
从图中大概可以看出来,汽车市场大概占16%左右,比起通信还是差得很远,但和计算机相比已经差不多了,已经超过了ConsumerAV,对比下面这张2002年代的市场份额图,说明车载市场增长还是非常快的。
另外就是,被动器件一般占电子零部件整体BOM成本的比例很低,一个板子上即使使用上百个电阻电容,可能也没有一个MCU值钱,一个常见的SMD阻容器件几分钱,一个MCU可能就得几十块。当然了,这也分产品,高压电容就很贵,精密的大功率采样shunt电阻也很贵,不能一概而论。
6.7国产器件“车规级”认证的“天路”
上面我们分析了“车规级”器件的市场份额,汽车半导体方面,10家公司,第1、2、5、6名是欧洲的,第3和第10名是日本的,其他都是美国的。从这里我们可以看到,车载半导体几乎全被欧美日给瓜分了。
因为这两年叠加贸易战及疫情影响,汽车行业的“缺芯”一直并未缓解,在很大程度上与车载半导体的整体行业占比还太低有很大关系。2018年车载半导体占比12%,而计算机和通信占比超过60%。我们拿MCU来举例,台积电承包了全球70%的MCU产量,但台积电自己的财报表明,汽车芯片仅占台积电销售额的5%,并不处于战略核心地位,而苹果一家就占比超过25%,你说这还怎么玩?汽车芯片占比太低,显然会造成车企在排产或者争抢订单时处于弱势局面。
其实讲这么多,核心就是想说一点,虽然现在汽车芯片整体占比低,但是增长快啊,单是2021年增长就超过了30%。虽然国产芯片供应商目前还没有起来,但是我们市场大啊,目前中国仍是全球最大的半导体单一市场。总结来讲就是高增长、大市场,这说明什么,这就是方向啊,小伙伴们。
在此借用《功勋》之《孙家栋的天路》里的一句话:难走的路,往往能把我们带向更远的地方。国产器件要想做到“车规级”,摆在我们面前的,也是一条“天路”,虽然门槛很高,很难走,但是我们必须坚定地走下去。
6.8国产“车规级”器件的机会
目前国产“车规级”元器件种类及数量还是很少的,某些声称的所谓“车规级”器件,实际上根本没有通过AEC-Q认证,只是温度范围达到了车载应用要求。有的是按照零部件标准,比如做了个CSPR25和ISO16750,就声称是“车规级”了。
但同时我们也能看到,已经有越来越多的国产器件供应商真正开始着手对器件进行AEC-Q认证,并自建试验室了。
车载半导体器件方面,国内目前差距还是很大的,目前开始往“车规级”做得比较多的是MCU和电源芯片,自动驾驶方面的“车规级”芯片也在做。功率器件方面,IGBT国产的不少,“车规级”MOSFET就很少了,应该说是分立半导体方面国产都很少,这些车载半导体器件目前还全部都是欧美大厂的天下。
被动器件方面,国产的也很少,日本在这方面几乎是全球主导地位,包括阻容、电感、晶振、滤波器等,因为品类多,单价低,BOM占比低,国产厂商还有很长的路要走。
另外从数据来看,中国芯片目前的自给率是30%,而“车规级”国产化率不足5%。相对于消费电子类芯片,汽车芯片产品相对独立和封闭,这个从前面我们分析的“车规级”器件产业链中也能够得到印证。
因目前缺芯及贸易摩擦影响,国内从OEM到Tier1都已经开始着手考虑芯片供应链的安全问题,加上国家层面的芯片国产化率提升的要求,叠加车辆电动化及国内汽车厂商崛起的双重红利,国内芯片业以及其它电子元器件企业未来机会巨大。
7.1AEC-Q认证基础知识
要谈AEC-Q认证,我们就得先回到标准,看一下标准关于这方面是怎么讲的,这一点前面我们并没有提到。
AEC-Q100标准中明确规定了6点:
1.完成所有AEC-Q100标准文档要求的测试及数据存档后,方可声称器件是“AEC-Q100Qualified”;
2.注意:AEC是不会给你发一个“AEC-Q100Qualified”证书的(Nocertification);
3.注意:AEC也没有运行任何认证机构(certificationboard)来认证器件;
4.每个供应商根据AEC标准,自己去做认证,同时需要考虑客户需求;
5.认证后将数据提交给客户,客户核实是否依据AEC标准;
6.批准(Approval)是指客户批准某器件用于自家的产品应用,这个是标准之外的。
顺带提一句,其实不光是Q100,其他几个标准文件中也特别注明了以上信息,估计是问的人比较多吧,AEC就干脆都写进去了,省得大家搞不清楚。
7.2国内可以做AEC-Q认证吗?
那么接下来的问题就是,国内可以做AEC-Q认证吗?根据前面我们对标准的分析,以一颗芯片为例,根据测试项目及变更流程,我们能看出来一颗器件的车规认证,涉及到了设计、晶圆(WaferFab)、封装(Assembly)三个方面,而芯片供应商一般不涉及晶圆,甚至有的连封测都不涉及,专门做设计,其他都外包给专业的晶圆厂和封测厂了。
所以在这种情况下,器件要做AEC-Q认证是需要三方一起配合的。
7.3AEC-Q认证的门槛
7.3.1长期供货问题
前我们讲过器件生命周期的问题,车载器件一般要求10~15年的稳定供货周期,作为Tier1的我先问一下在座的国内半导体Tier2,您的公司能活15年吗?如果不确定,那我在有选择的情况下,为什么要用你的器件?
俗话说,做一次好事不难,难的是做一辈子好事。道理其实是一样的。一个器件去过一次AEC-Q认证测试不难,难的是无数个器件不断地变更及重新认证,且保证长周期供货的品质稳定。
怎么办呢?要打持久战,要长期坚持做一件事情,这时候我们就需要理念和文化来支撑了。
7.3.2质量理念的坚守
过一次认证简单,难的是对产品的持续改进、持续认证,最终需要企业建立起一种质量理念及文化,并为之坚守。
且不说我们需要拯救地球,改变世界,我们只需要客户在提到我们公司名字时,就能想到我们一直在为客户提供高质量、零缺陷的、超越客户预期产品,这就够了。这是一种深度的信任,这背后是需要企业的质量理念及文化来支撑的。质量理念要达到的目标并不仅仅是符合标准,而是持续改进,超越标准、超越客户预期。这个在之前讲零缺陷时提到过,英飞凌的理念也是如此。
有了坚定的质量理念,还需要供应链里核心供应商的支持、流程的控制,问题的解决,Know-how的积累及持续改进,这中间就涉及到IATF16949、PPAP等汽车行业标准及流程体系的支撑;
7.3.3可靠性知识的积累
罗马不是一天建成的,国产半导体供应商在通往“车规级”应用的这条“天路”上,要补的课,要积累的经验还很多,饭要一口口吃,经验要一点点积累,来不得半点投机取巧。
具体怎么做呢?我们还是摸着老牌巨头过河。我们参考下NXP的可靠性知识框架(ReliabilityKnowledgeFramework)。
产品可靠性能力框架构建的前提是先把所有的标准搞懂,也就是关于标准的知识要足够的(标准包括:JEDEC,AEC-Q,J1879,ZVEI等),这就是NXP的KBQ方法论;
用往死里搞(test-to-failureconcept)的理念,超越标准,超越需求等级;
评估-验证-改进,持续迭代。
讲到这里大家有没有发现,这是不是又和自动驾驶产业的“场景—数据—算法”的模型联系起来了呢?场景就是器件的具体使用环境及使用条件,数据包括测试数据、应用的可靠性数据等、算法就是芯片的设计、制造生产流程、工艺、know-how等,这就形成了一个闭环了。
7.3.4认证测试的简化
前面讲了质量理念和经验积累,其实随之而来的,还有大量可用于AEC-Q认证的通用数据的积累。关于通用数据(Genericdata),我们前面讲的也比较多了,包括使用通用数据来简化新器件的测试。但有一点我们没讲,那就是通用数据用来简化器件家族认证的作用。我们看下标准是怎么规定的,我们还是以AEC-Q100为例:
标准我总结一下:
通用数据可以用来加速及简化测试流程;
通用数据可以用来相互认证;
一个器件家族中,如果一个器件通过了测试认证,那么这个家族也可以被认为通过了AEC-Q100认证;
标准详细规定了家族的定义,比如具有同样的功能,共享同样的制程、材料等。
这有什么意义呢?意义非常重大。
随着一个企业器件的增多,通用数据就会越来越多,新器件及家族器件的认证就会越来越简单,也来越快,单品的认证成本也会越来越低,器件的可靠性也会越来越高,这就形成了一个正向循环。
总结一下:
AEC-Q认证本身并不难,门槛没有想象的那么高;
一次认证容易,持续认证很难;
关键是要建立一种质量理念,并为之坚守;
积累知识,搭建可靠性能力框架,持续迭代;
难走的路,越往后会越好走,认证会越来越简单;
最后放一张NXP32位MCU的AEC-Q报告镇楼,没见过的小伙伴们看一下,有个概念。
7.4AEC-Q认证的周期及费用
AEC-Q100部分测试项目(整理:左成钢)
八、采用“车规级”器件与零部件是否能通过测试没有必然关系
前面讲可靠性的时候,笔者提到过一个给非道路车辆做控制模块的公司,因为发现产品可靠性有问题,0公里故障率很高,就在出货前增加了48小时老化筛选,问题就解决了。高温老化筛选为什么就能解决0公里故障率的问题呢?这是什么原理呢?
那么半导器件体供应商采取了哪些措施来解决这个问题呢?我们来看下NXP的解决措施:NXP通过对每个器件进行测试及老化来筛选产品的早期失效,进而降低了早期失效率(全检,而非抽检。车载应用的产品都不存在抽检的问题,所有的不管是元器件还是产品,都是百分百全检,而且是多道全检)。
这句话说得很含蓄,我给大家解释一下,敲黑板了:“车规级”芯片是经过了半导体供应商的筛选的,而消费级和工业级则没有。
另外,TI也在一个FAQ(常见问题)里面简要回答了一下车规级和非车规级器件测试的差异:非车规级器件仅有常温测试,少了高温测试,而且仅有应力后测试,没有应力前测试。意思就是,非车规级和车规级产品关键就是差了个前后高温测试。
高温是干什么用的?是为了提前发现器件缺陷用的。现在大家明白车规和非车规的差异了吧。而这仅仅是前期失效,整个器件生命周期的失效率(硬件随机失效),两者差异就更大了,这个前面讲过了,我们不再赘述。
另外就是,虽然AEC-Q不是强制性的认证制度,但经过了30年的发展,目前已成为公认的车载电子元器件的通用测试标准,已成为电子元器件是否适合于汽车应用的一个标志。
这张图前面放过一次,这里再放出来一下。
好了,我们回到主题,是否需要选择“AEC-Q”认证的器件?我想各位心里已经有了自己的答案了。
8.1用“车规级”器件就能通过零部件试验吗?
答案是不一定。
我们在1.13大概讲了一下汽车行业针对电子零部件的试验标准,这是电子零部件车载应用的基础,拿不到产品的测试报告,DV(设计验证)就过不去,产品设计就无法冻结,就别想量产了。DV测试报告是要提交给OEM的,有条件的OEM还会去复测,你想造假都不行。
我们先把电子零部件的试验标准分分类,看哪些试验和“车规级”器件有关。
根据上表,我们基本上可以把试验分为三类:
2.电气及气候负荷:ISO16750-2(电气)和4(气候);
我们一个个掰开了进行分析:
Q100中GroupE中有一项是EMC测试,流程变更测试要求也涉及到了EMC,变更部分的测试我们暂不分析,重点看一下Q100中要求测试的EMC是干嘛的,因为EMC测试范围很宽,测试项目很多。
Q100中写的很清楚,EMC就涉及一点,那就是RadiatedEmissions,就是辐射干扰,也叫辐射发射。就是通过电磁波的方式将干扰能量发射出去干扰到了别人。测试要求是1个批次,就一个样品即可。对于电子零部件,这就属于CSPR25标准的范畴了,但对电子零部件设计来讲,并不是决定性的。
此外,Q100还详细规定了哪些器件需要做EMC测试,比如有振荡器的,可能潜在存在的干扰别人可能性的器件比如MCU、高速数字芯片、有电荷泵的FET、有看门狗的器件、开关模式的电源IC等,还有就是新器件和曾经发现过会干扰别人的器件在重新认证时,都需要做EMC测试。
另外,AEC-Q100-007涉及到了铝电解电容的浪涌测试,这个和ISO7637及ISO11452稍微有那么点关系,但是整体来讲关系不大。
对电子零部件试验来讲,结构主要是指壳体结构,比如结构设计、材料选型,连接器选型设计等,理论上来讲这些零部件级试验和元器件关系不大,盐雾试验只在Q103(MEMS压力传感器)和Q200的排阻/排容器件测试里面有体现,这都比较好理解。
8.2总结
最后我们总结一下:
这样整体来看,小伙伴是不是觉着“车规级”器件和零部件测试标准的关系还是挺紧密的?没错,你有这种感觉就对了。
总结一下:采用“车规级”器件与零部件是否能通过测试没有必然关系,既不充分也非必要。但是,注意我要说“但是”了,采用“车规级”器件可以更好地帮助零部件产品通过测试,降低产品的设计成本及测试成本(你也可以用非车规的器件去零部件试验,如果测试等级要求不高,很可能是能通过的,但是,做车载应用,在整车生命周期内大概率会出问题)。
最后笔者要强调一下:电子零部件试验的目的并不是为了通过试验,而是为了验证我们的设计,所以DV被称为设计验证,而不是测试。零部件试验标准的意义在于指导产品设计及应用,正如“车规级”的意义远远不止于AEC-Q,它们最终的目的都是为了保障车辆长期使用的可靠性。
九、“AEC-Q”认证与ISO26262功能安全认证的关系
最后我们再讲一下“AEC-Q”认证与ISO26262功能安全认证之间的关系,我发现很多人搞不清楚,经常把两者搞混淆,或者放到一起讲,其实这是不对的。AEC和ISO26262根本就是两码事,井水不犯河水,侧重点完全不一样。
“AEC-Q”认证我们已经讲得非常详细了,认证的对象必须是实物,且仅针对电子元器件(不包括零部件),如集成芯片、分立半导体、被动器件、MEMS器件、MCM模块等,认证由器件供应商Tier2来进行认证测试。而ISO26262标准认证范围就很宽了,对象可以是实物,比如元器件,也可以是零部件;或是虚拟的非实体,比如认证一个公司流程(包括研发及生产),认证一个软件等。我大概画了个图,小伙伴们先看下,有个概念。
9.1ISO26262基本概念
我们先来讲一下ISO26262功能安全标准的一些基本概念,然后再详细来讲其他的点,方便小伙伴们有个基本认知。按照惯例,我们直接回到标准原文:
针对标准的适用范围,我们提炼一下重点:
适用于道路车辆,挖掘机啥的非道路车辆就不能算;
然后我们再看下“安全”的定义,安全是相对于危害而言的,这一点估计有些小伙伴们还没搞明白:
伤害(harm)的定义是:对人身健康的物理损害(injury)或破坏(damage)。
标准术语比较拗口,我简单总结一下,用人话来讲就是:功能安全只管人会受伤的事情,只要人没事就不管了。当然这里不仅仅是受伤了,标准还包含了damage,大家自行理解,我就不翻译了。
最后总结一下,功能安全是用来干啥的。顾名思义,首先是要有一个具体的功能,抛开功能谈安全,那就是耍流氓。基于一个具体的功能,比如车辆行驶过程中转向失效导致方向盘无法转动,这就很具体,因为转向失效还包含了方向盘在没有操作的情况下自己转动的情况,这就要分开来讲了。
再然后就是安全,比如你的车停在那里车门自动解锁打开了,然后东西被偷了,这也是安全,但就不算在功能安全里面,因为人没有受伤,人没事就不算。如果是行驶过程中门突然自己打开,人掉下去了,这就是功能安全了,大家要区分清楚。
接下来我们再来讲一下目前功能安全认证的两种类型。
9.2功能安全流程认证及产品认证
目前业内有两种功能安全认证,都可以拿到证书。一种是流程认证,一种是产品认证。流程认证就是指开发过程,产品认证就是指具体产品,可以是实体,比如芯片、电子零部件,也可以是开发工具;也可以是虚拟的非实体,比如软件操作系统OS。
我们以SGS官网信息为例,大体可以看出来目前大家基本都在做这两类认证,并且以流程认证居多,具体原因我们随后再讲。
我们先讲流程认证。按笔者经验,对于没有相应经验的公司,认证机构一般都是建议先做流程认证,通过流程认证后,团队和能力基本上也就培养起来了,下一步就可以来做产品认证了(如果需要的话)。
前面讲了,流程认证一般是产品认证的第一步,没有哪个公司只是为了图个虚名,拿个流程认证证书出去忽悠客户(也不排除这种情况),最终还是为了具体产品过认证。我们来看一下证书长啥样:
再来说产品认证,这个就比较复杂,要求就很高了。所以即使一个公司要做产品认证,一般都会是先做流程认证,通过后再去做产品认证就会容易一些。当然了,做产品认证的难度和流程认证就不是一个量级的,需要的人员数量要多很多。
同时,因为产品认证相对于偏务虚的流程认证来讲,那可全是务实的事情,从具体产品设计、器件FIT值计算、FMEDA、FTA等,到软件代码模型检查、测试覆盖度等,那可都是实打实的工作要做的,具体认证周期我们下面再讲。我们再来看下产品认证证书长啥样。
从上面证书里我们可以看出来,产品认证证书是务实的,是基于具体的产品的某个功能的。我们前面也讲过,功能安全一定是基于具体功能的。上面的证书认证产品是一个电机控制器,具体功能是所控制的电机扭矩的大小和方向,就是说你要多大扭矩就多大,你要哪个方向就是哪个,这其实是两个功能,认证起来要比一个功能复杂。也就是说,要认证的功能越多,设计就越复杂,认证难度就越大,周期就越长,费用就越高。
9.3认证周期、费用及有效期
流程认证比较简单,我们就不多讲了。产品认证很复杂,工作量很大,这个和几个方面的因素有关:
企业现有的技术水平;
产品本身的复杂度,比如大模块就肯定要比小模块难度大;
需要认证的ASIL等级,等级越高,设计越复杂,难度越大;
产品设计方案,比如你直接用更高ASIL等级的器件,难度就要低一些,当然BOM成本就要高一些;
需要认证的功能,越多就越难,周期就越长;
企业的人力投入,这个比较容易理解。
我们再来看下SGS给的参考,这个和笔者了解到的实际情况是差不多的。
产品认证很难,尤其是零部件级别的产品认证,ASILC的还好,D就非常难了,需要企业投入的资源很多,周期很长,费用很高。
按照笔者经验,一般来说,采用功能安全流程开发的产品,项目研发的投入是原有的2~3倍(同样的开发内容)。企业原本的开发流程越规范,采用功能安全流程开发的投入也就越小,越不规范,投入就越高。
简单来讲就是,越是大企业,越是正规企业,认证越容易过,甚至可以流程认证和产品认证一起做(没有流程认证是不可以做产品认证的,就像你必须先拿驾照才能去开车一个道理)。比如华为有一款产品,在2020年2月取得管理体系认证之后,当年11月就又取得了产品认证证书,就问你服不服。
关于具体的认证费用,笔者可以举一个简单的例子,大家感受一下,有个概念。比如流程认证,一般在一百万以内,含咨询费用和认证费用,有折扣的话,估计能谈到60万左右。因为目前国内除TUV及SGS等大家熟知的认证机构外,能做的机构也比较多了。
产品认证我们以大家熟知的VCU为例,这个产品硬件比较成熟,也比较简单,抛开研发费用不谈,单纯因认证产生的费用在300万左右,具体还是要看产品设计及OEM,不能一概而论,影响因素我们上面分析过了,在此不再赘述。
另外要提醒小伙伴们的是,功能安全证书是有有效期的,不管是流程的还是产品的。我们以下面的流程证书来举例,可以看到有效期是三年,到期后可能需要现场审核,续证审核也是有费用的,一般都是几万元。
上面已经具体分析了流程认证及产品认证,下面我们来详细讲解一下产品认证范围。
9.4功能安全产品认证范围
关于功能安全可以认证的产品范围,实际上既可以是实体,比如电子元器件、电子零部件或开发工具,也可以是虚拟的非实体,比如软件操作系统OS,我们分开来讲。
9.4.1产品级功能安全认证
这是最常见的,不管是OEM还是Tier1,一般说产品的功能安全认证,就是指某个电子零部件的认证,而相应的功能,就是这个电子零部件所能实现的功能之一。这个我们在上面拿具体产品举过例子,在此不在赘述。
比如转向柱锁功能,如果全部让转向柱锁供应商负责实现ASILD,难度比较大,成本也较高。OEM就可以从整车设计角度来进行功能安全等级分解,降级,让其他零部件承担相应的功能安全等级,共同实现ASILD的功能安全目标,从而降低单个零部件设计难度及成本。
9.4.2其他产品的功能安全认证
除此之外,某些开发工具(比如代码测试工具HelixQAC),或者单纯的软件产品(如QNX操作系统)也可以单独进行产品认证,道理是一样的。我们来看一下他们的介绍及描述:
HelixQAC是权威的C/C++代码合规性静态分析工具,可以用于车载ECU的嵌入式软件开发中,研发团队可以使用HelixQAC快速地满足功能安全项目合规性的需要。
QNX操作系统就不用讲了,大家都很熟悉了,纯软件产品。证书里写的也是最高到D(safetygoalsuptoASILD),这个和我们前面讲的器件一样,软件在这里也是作为一个器件来进行认证的,最终的功能安全级别取决于具体的设计应用。
上面我们把产品功能安全认证适用的范围都讲完了,器件级别的认证没有深入讲,这个对我们理解“AEC-Q”认证与功能安全认证的区别有很大帮助,下面我们详细分析一下。
9.4.3器件类认证
对于电子元器件的功能安全认证,一般都是复杂芯片类产品(至少笔者没见过被动器件和分立半导体器件,这些器件因复杂度较低,不需要通过认证的途径来解决功能安全设计问题)。比如MCU,一般作为一个系统设计的核心,或PMIC,作为系统的电源,功能安全设计就很重要。我们以英飞凌为例,他家的功能安全芯片主要是MCU、PMIC、Gatedriver及电机控制芯片,和TI的差不多。
对于器件级别,因芯片供应商并不了解器件的具体应用及功能,所以器件的ASIL级别是基于硬件、系统应用来讲的。芯片供应商并没有办法给出具体能达到的ASIL级别,而是给你一个芯片能达到的最高级别,最终产品的具体某个功能的ASIL级别就取决于Tier1的设计了。
器件级的功能安全认证下面我们会详细分析。
9.4.4器件级功能安全
空谈误国,按照惯例,我们还是拿实际应用来举例,大家看完至少对功能安全器件有个基本概念。我们以TI对器件功能安全的分类来举例,这是目前笔者见到的分类最清晰,且解释最详细的。
我们先把上面这个表格分解为三部分:
开发流程:分为质量管理流程(即企业现有流程)和功能安全流程(依据ISO26262开展的管理流程,需要认证),这个做过功能安全的小伙伴们应该有体会,前者就是常规的流程,后者则要麻烦许多,耗时和工作量都不是一个数量级的;
文档:Fit值,FMD,FMEDA,FTA,功能安全手册;
证书:产品功能安全证书。
1.FunctionalSafety-Capable:Ti可以提供功能安全设计所需的FIT值计算和FMD(失效模式分布)信息,帮助Tier1产品设计人员做安全分析。流程方面,器件不是根据功能安全标准要求的流程开发的,而是根据Ti通用质量管理流程。
2.FunctionalSafetyQuality-Managed:Ti提供一系列文档来帮助Tier1设计人员进行功能安全设计,降低产品认证的工作量及认证难度,提供的文档包括器件的功能安全FIT值计算,FMEDA及功能安全手册等。器件不是根据功能安全标准要求的流程开发的,而是根据Ti通用质量管理流程。
3.FunctionalSafety-Compliant:有证书,采用了功能安全开发流程,文档多了FTA(故障树分析),有功能安全证书。
我们解释一下:
第二类产品:属于功能安全器件产品类别。此类器件通常已集成了复杂的内部监控及诊断功能,同时TI又提供了相当多的支持文档,用于功能安全产品设计时,可以大幅降低产品认证的工作量及认证难度。
第三类产品:功能安全合规产品。此类器件通常是集成了安全特性的复杂器件,如MCU、处理器、电机驱动芯片、电源管理芯片等。此类产品是在Ti通用质量管理流程的基础上,采用Ti的功能安全流程开发的。可以提供FTA(故障树分析),有功能安全认证证书。采用此类器件可大幅降低功能安全产品的设计难度及认证难度,或者说,是设计功能安全产品的唯一高效途径。
单讲大道理还是太宽泛,大家可能还没有具体概念,按老规矩,我们还是上两个实际的产品手册,大家看了会有个实际的感受:
从上面的两个产品手册的描述我们可以看出来:
器件首先是AEC-Q认证的,这是车载应用的基础;
合规产品会注明:“FunctionalSafety-Compliant”,同时注明器件的系统级、硬件级ASIL等级、文档可支持的ASIL等级等信息;
功能安全类别产品会注明:“Functionalsafetyquality-managed”,同时注明器件的文档可支持的系统设计的ASIL等级。
好了,看到这里小伙伴们对功能安全认证应该已经有了一些基础的了解,接下最后我们从不同维度来总结一下“AEC-Q”认证与功能安全认证的区别。
9.5“AEC-Q”认证与功能安全认证
我按照几个维度进行分类,简单汇总了一个表格:
下面详细讲一下:
1.认证对象
AEC标准认证的对象仅针对电子元器件,如集成芯片、分立半导体、被动器件、MEMS器件、MCM模块等,认证由器件供应商Tier2来进行认证测试;
ISO26262标准认证的对象包括流程(对公司)及产品(实体或非实体)。
2.认证方式
AEC标准认证方式就是测试,测试通过后可在产品手册上注明符合标准即可;
ISO26262标准认证方式最终是体现在流程文档上(无论是流程认证,还是产品认证),而非产品测试。
3.认证目的
AEC标准认证的最初目的是为了器件资格通用化,现在基本上算是器件车载应用的一个基本要求;
ISO26262标准认证的目的就是证明公司的开发流程或产品本身的功能安全设计是符合标准的。
4.侧重点
AEC标准的侧重点是器件的可靠性及长期供货的一致性(主要体现在变更流程要求);
ISO26262标准的侧重点是设计及开发流程的合规性(主要通过工具及文档)。
5.交付物
AEC标准认证测试后,交付物就是测试报告(不是证书);
ISO26262认证后,交付物就是流程文档及认证证书。
6.是否强制
AEC标准和电子零部件测试标准一样,都是非强制的,但是如果要做车载应用,那么通过这个测试是一个基本要求;
ISO26262同样也是非强制标准,是否需要过认证取决于客户要求,或是为了降低客户使用难度,同时树立行业门槛。
7.认证机构
AEC标准讲得很清楚,没有专门的认证机构,元器件供应商自己根据标准进行测试即可;
ISO26262是由专门的合规认证机构的,认证必须由机构进行。
8.认证报告
AEC-Q是没有认证报告的,只有测试报告;
ISO26262认证通过后,将由合规认证机构颁发认证证书。
9.证书有效期
AEC-Q测试报告基本是没有有效期这个概念的,但是只要产品发生变化,就需要重新进行认证测试;
ISO26262证书是有有效期的,这个前面讲过,一般是3~5年,到期后需要重新审核,且需要一定的审核费用。
参考References
21.FundamentalsofAEC-Q100,MonolithicPower.com
缩略语Abbreviation
AEC:AutomotiveElectronicsCouncilComponentTechnicalCommittee,汽车电子委员会元件技术委员会
JEDEC:JointElectronicDeviceEngineeringCouncil,联合电子设备工程委员会
IEEE:InstituteofElectricalandElectronicEngineers,电气与电子工程师协会
IEEE‐SA:IEEEStandardsAssociation,IEEE标准协会
IEC:InternationalElectrotechnicalCommittee,国际电工委员会
IATF:InternationAutomotiveTaskForce,国际汽车工作组
ADAS:AdvancedDriverAssistanceSystems,高级驾驶辅助系统
HMI:HumanMachineInterface,人机接口
SIP:SysteminPackage,系统级封装
SOC,SystemOnChip,系统级芯片
BLR:BoardLevelReliability板级可靠性
CMOS:ComplementaryMetal-Oxide-SemiconductorTransistor,互补金属氧化物半导体
ESD:ElectrostaticDischarge,静电放电
IC:IntegratedCircuit,集成电路
OEM:OriginalEquipmentManufacturer,原始设备制造商
PCN:Product/ProcessChangeNotification,产品/工艺变更通知
PCR:Product/ProcessChangeRequest,产品/工艺变更请求
SCR:SupplierChangeRequest,供应商变更请求
EOL:EndofLine,下线测试,一般指电子零部件
EOL:EndofLife,停产,一般指电子元器件
HSD:HighSideDevice,高边驱动芯片
LSD:LowSideDevice,低边驱动芯片
MLCC:MultiplayerCeramicChipCapacitors,片式多层陶瓷电容
EMC:ElectromagneticCompatibility,电磁兼容性
DV:DesignValidation,设计验证
PV:ProductValidation,产品验证
EMI:ElectromagneticInterference,电磁干扰
DPPM:DefectivePartsPerMillion,每百万件缺陷器件数
FIT:FailureInTime,时基故障,每工作10亿个小时发生的故障数
FMD:FailureModeDistribution,失效模式分布
FMEDA:FailureModesEffectsandDiagnosticAnalysis,失效模式影响及诊断分析
FTA:Fault-treeAnalysis,故障树分析
DFMEA:DesignFailureModeandEffectsAnalysis,设计失效模式与影响分析