造一颗车规级芯片到底有多难？

作者 / 阿宝，出品 / 阿宝1990

据中汽协发布数据显示，今年11月，中国新能源汽车产销分别完成107.4万辆和102.6万辆，同比分别增长39.2%和30%，市场占有率达到34.5%。新能源汽车时代的到来，打破了海外芯片巨头为主的传统汽车产业供应链体系，给我国汽车产业链营造出一种“变中求机”的局面。

尽管汽车零部件产业市场潜力巨大，但在车规芯片等领域，国内企业仍与海外大厂存在较大差距。例如地狱级难度的车规认证，就成为本土汽车芯片厂商面临的重要挑战。什么是车规级芯片？接下来，本文将从车规级芯片的定义、等级、认证和开发实践案例等方面进行详细介绍。

什么是车规级芯片？

Automotive Grade（即我们常说的车规级），是指技术标准达到车载等级要求，完全满足汽车使用的元器件。一般来说，电子元器件分为四个等级，从高到低依次是军工 > 汽车 > 工业 > 消费电子。作为仅次于军工标准的出行工具，车规芯片质量将直接影响驾乘人员的生命安全。

与消费和工业芯片不同，车规级芯片很少单独亮相，而是嵌入在各类车载功能中，根据其功能和应用场景的不同，车规芯片可以分为以下几种类型。一是负责算力与控制的功能芯片（MCU、SoC芯片），如车身控制、自动驾驶等；二是负责功率转换的功率器件（IGBT芯片），一般用于新能源车型的电源和接口；三是负责感知环境的传感器芯片，主要用于各种雷达、胎压监测等。

如果说消费级芯片追求的是“天下武功唯快不破”的性能和功耗极致；那么对于车规级芯片来说“稳定压倒一切”，其修炼的更像是“金钟罩铁布衫” 这般可靠性与安全性兼具的内功。为修炼这样的内功，车规级芯片需要突破以下三大技术关卡。

第一道为“环境关”。相比于手机、电脑等消费类产品，应用于汽车的工作环境更为恶劣，甚至可以说恶劣百倍也不为过。车规级芯片需要遭受更多的震动和冲击，面对液体和粉尘的侵蚀也会更多，温度条件也更为极端。一般来说，车规级芯片要承受的温度范围在-40°C-150°C之间，而消费级芯片只需满足0°C~70°C的工作环境即可。

第二关就是“寿命关”。普通消费电子产品的整个生命周期不会超过5年。而对于汽车级产品来说，整个车辆的生命周期通常在10年到15年20万公里左右，远大于消费电子产品的寿命要求。在这样的情况下，如何保持芯片的一致性和可靠性成为车规芯片首先要考虑的问题。

第三关也是最重要的一道“安全关”。手机死机，最多也就处于失联状态。但如果车辆行驶状态下芯片突然崩了，对消费者来说可能就是致命的。这里的安全包括功能安全、网络安全。

用直观的数据来说，手机芯片可接受的不良率是万分之二，而汽车芯片的不良率则不能高于PPM（百万分之一）。此前就有汽车芯片企业分享过，其产品采用独立的安全岛的设计，在关键模块、计算模块、总线、内存中都有 ECC等数据校验。同时，整个生产过程都采用车规芯片的工艺，以确保车规芯片的功能安全。不仅要求汽车芯片的不良率要低于百万分之一，更要无限趋近于“0”。

车规级芯片认证几道槛？

1. AEC-Q100：芯片前装上车的“基本门槛”

当我们谈论汽车电子时，就不得不提AEC-Q100，作为公认的车规元器件通用测试标准，它被视为芯片前装上车的“基本门槛”。无论是环境关还是寿命关，都可通过AEC-Q100这一标准进行验证。对于汽车级芯片而言，AEC-Q100是基本可靠性的要求。

AEC全称为汽车电子协会(Automotive Electronics Council)，由通用、福特和克莱斯勒共同建立，旨在制定一套通用的零件资质及质量系统标准。其中，Q代表Qualification。AEC-Q适用于汽车用芯片、无源器件、分立半导体器件等类型元器件认证，并为不同的元器件设定了相应的测试标准和测试项。

在众多AEC-Q认证中，AEC-Q100备受业界关注。它是以失效机理为基础的集成电路应力测试鉴定，适用于车用芯片的综合可靠性测试。AEC-Q100分为四个级别，以温度作为划分标准。0 级最高（-40°C to +150°C），1 级为-40°C to +125°C，2 级为-40°C to +105°C（也是比较常见的），最低级是 3 级（-40°C to +85°C），其关键测试类别包括：

只有完全通过7大类别共41项测试后，才能获得AEC－Q100认证，需要注意的是，原则上，一颗芯片料号需要进行一次AEC-Q100认证，即便只是进行了微小的修改，只要料号发生了变化，就需要重新认证。完成全部测试的平均最低时间大约为6个月。AEC-Q认证是确保车用ECU质量和可靠性保障的前提，车用元器件原则上都要满足AEC-Q测试要求。

2. ISO 26262：汽车供应链的“准入门票”

汽车作为人们生活中不可或缺的交通工具，其安全性和可靠性至关重要。仅仅保障“能用”、“不损坏”显然是不够的。通过AEC-Q认证只是元器件进入Tire1供应链的第一步，真正“车规级芯片”需要在达到可靠性的基础之上，对设计端提出更高的要求，包括功能安全和网络安全。

“功能安全”是通过安全功能和安全措施来避免不可容许的功能风险的技术总称。以铁路道口为例，我们常常有这样的危险顾虑，就是和火车相撞，导致死亡。“本质安全”就是把危险源直接“除掉”，但又不能把铁道道口“除掉”，那就附加一个安全设施，这就是功能安全。功能安全重在确保功能正常而不发生突发问题并能正常告警和安全实施，属于能力层面。

为此2011 年由国际标准化组织（ISO）制定的 ISO 26262应运而生，ISO 26262是从电子、电气及可编程器件功能安全基本标准IEC 61508派生出来的，主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件，如 MCU等。其目的就是确保“安全”，为实现这个目的，ISO 26262为车辆全生命周期（包括产品研发、生产、使用、维保和报废）保证电子/电气系统的功能安全提供了相应的安全保证措施。

从整车功能安全性角度出发，ISO 26262使用V-Model来管理功能安全。首先通过对功能相关项的危害分析、风险评估、确定汽车安全完整性等级（ASIL），进而确定安全目标。为达成安全目标，需要将功能相关项细分为电子/电气系统、系统组件、元器件等层级，并为每个层级制定相应的功能安全概念和技术安全概念。最后，通过评审、验证等手段对相关项安全性是否达成和有效进行评价。

需要注意的是，ISO 26262功能安全认证分为功能安全流程认证和功能安全产品认证两种认证，在汽车行业的开发流程中，需要先有流程做支撑，才能根据流程做出能达到流程标准的产品。因此，想要研发出能够通过ISO 26262认证的产品，首先必须通过ISO 26262功能安全流程认证。

功能安全流程认证专注于功能安全管理体系，产品必须按照通过认证的流程开发，可有效避免产品的系统性失效，提升产品质量，是针对流程的认证。

功能安全产品认证则更加重视考察产品自身的安全架构设计，安全特性与安全覆盖范围，对系统整体进行危害分析与风险评估，要求安全机制满足相应功能安全等级要求（ASIL），同时需要额外增加自我诊断及其他功能。

只有经过这两个环节的验证才能算全面通过ISO 26262的功能安全认证。通过流程认证已经非常不容易，而通过产品认证，其复杂度，需要投入的人力、资金、时间成本更是成倍增加。

ASIL（汽车安全完整性等级）是由 ISO 26262 -道路车辆功能安全标准定义的一种风险分类方案。工程师需要根据严重程度（司机和旅客伤害分类）、暴露程度（汽车接触危险的次数）和可控性（司机可以避免伤害的程度）这三个特定变量来衡量汽车上的每个电子元件的风险。这些变量被分解为子类，并进行分析结合，最终确定ASIL等级。ASIL等级从低到高分为A/B/C/D四个等级，等级越高对安全性的要求越高，对开发流程和技术的要求也越严格。每个级别都有相应的准则，只有达到所有准则的要求，才能通过该级别的鉴定。

想要成功通过ISO 26262认证，这要求芯片厂商要有足够丰富的成功生产车规芯片的经验，从芯片设计之初，就需要以相应标准为目标进行设计，包括芯片全生命周期的功能安全要求，涵盖安全需求的规划、设计、实施、集成、验证、确认和配置等。只有这样，才能保障在认证时满足所有标准和要求。对于国内汽车芯片创业公司来说，获得认证也是衡量团队是否具备车规基因和行业积淀的重要标志。只有拥有丰富的经验和深厚的技术积累，才能在竞争激烈的市场中立足。

2023年9月，由国际独立第三方检测、检验和认证机构德国莱茵TÜV集团（简称“TÜV莱茵”）主办的“第三届功能安全及网络安全技术峰会”在上海召开。峰会期间，TÜV莱茵举行了颁证仪式，为多家企业颁发了功能安全与网络安全认证证书。其中，国内汽车芯片公司芯驰科技旗下E3系列MCU获颁ISO 26262 ASIL D功能安全产品认证。

这是莱茵在国内为MCU芯片颁发的首个ISO 26262 ASIL D功能安全产品认证，也是国产MCU在车规认证上的重要突破。值得一提的是，有别于将芯片中负责安全相关处理的“功能安全岛”认证到ASIL D，芯驰MCU获得的是“全芯片”的ASIL D认证，实现了MCU全芯片的功能安全。

3. ASIL D最高功能安全认证是如何炼成的？

芯驰在成立之初就率先取得了ISO 26262 ASIL D功能安全流程认证以及AEC-Q100 Grade2产品可靠性认证，为功能安全产品认证打下基础。在此次莱茵安全峰会上，芯驰的功能安全经理魏斌在现场分享了ASIL D芯片产品的开发实践。

在这里，首先要引入两个名词解释，PPA和TTM。PPA是芯片开发者们背负的终极KPI,也就是Performance(性能)、Power(功耗)、Area(尺寸)三者的缩写。TTM是（Time To Marketing）产品上市周期。对芯片开发来说，PPA和TTM至关重要，如何把握功能安全、PPA和TTM三者之间的平衡，是ASIL D芯片开发的一大重点。

对此，魏斌提到了一个关键词：“precisely right（恰到好处）”。一是，根据具体应用来恰当好处的识别安全需求；二是，恰到好处的设计安全机制。

对于安全机制的设计，芯驰提出了基于V-model的 DFMEA。Design FMEA也就是DFMEA，是一种常用的质量工具，功能安全是利用了这个工具来做安全分析。而芯驰提出的基于V-model的 DFMEA是一种更严格、全面的分析验证机制，通过基于传统FMEA在不同层级的应用来实现安全机制的准确设计，在安全架构设计阶段、SoC设计和IP设计阶段都进行安全分析，并用分析结果来指导故障注入测试。对于芯片设计企业来说，车规级芯片开发验证本就花费大、周期长。而这种机制又需要投入大量时间、精力，足以让大多数芯片设计公司望而止步，无法做到彻底地贯彻执行。

以芯驰E3 MCU为例，在其应用场景中，单个功能的实现会涉及芯片内的诸多模块，任何一种芯片节点的失效，都会导致整个功能安全能力的丧失。因此，整个安全链路上所有的模块都必须达到和芯片同等级的安全等级，全部按照ASIL D来开发的，以满足芯片的一致性和功能安全。从研发立项，到E3 MCU取得ASIL D功能安全产品认证，芯驰一共花了三年的时间，可以说是为本土车芯厂商树立了行业标杆。

值得一提的是，为了支持客户实现系统级的功能安全，除了芯片产品的功能安全认证之外，与芯片相配套的软件功能安全测试库，以及用于支持应用AUTOSAR的MCAL，芯驰也同样做到了满足功能安全，正在推进这些软件层面的相关功能安全认证。

结语：

一颗汽车芯片从设计流片、车规认证、车型导入验证、到量产装车，通常需要3-5年的时间。而只有最终大规模落地量产，实现盈利，企业才能真正地活下来。这整个周期，就像是一场残酷的军备竞赛。而这一切的基础，是车规认证带来的安全保障。汽车芯片企业只有建立起车规理念及文化，坚持产品的持续改进、持续认证，才能以车芯助力更安全可靠、更有竞争力的汽车产品，带来中国汽车半导体行业的真正突破。