什么是Automotive Grade（也就是我們常說(shuō)的車(chē)規(guī)級(jí)）？就是始終如一的可靠性。

汽車(chē)發(fā)動(dòng)機(jī)起動(dòng)的那一刻開(kāi)始就得在酷熱的夏季和嚴(yán)寒的冬夜里工作。手機(jī)壽命為2至4年，但您的汽車(chē)要用十年以上。

此外，所有汽車(chē)零部件都必須抵御更大的溫度波動(dòng)。如果消費(fèi)類(lèi)電子設(shè)備（如智能手機(jī)）承受的溫度超過(guò)其有限的耐受范圍，就可能發(fā)出錯(cuò)誤的信息或干脆關(guān)機(jī)。

這在車(chē)規(guī)級(jí)系統(tǒng)中是無(wú)法容忍。所以汽車(chē)工程師要確保從儀表集群，導(dǎo)航屏幕到高級(jí)駕駛員輔助系統(tǒng)以及自動(dòng)駕駛傳感器，芯片等所有零部件都能滿(mǎn)足嚴(yán)苛要求。

這就是我們的汽車(chē)解決方案（硬件）額定運(yùn)行溫度為-40~105攝氏度，甚至125攝氏度的原因。

耐溫性只是影響我國(guó)汽車(chē)系統(tǒng)規(guī)范和測(cè)試的關(guān)鍵因素之一，相對(duì)于消費(fèi)者級(jí)別的同類(lèi)產(chǎn)品而言，我國(guó)對(duì)汽車(chē)系統(tǒng)規(guī)范和測(cè)試方法提出了更嚴(yán)格的要求。

例如，安全功能件必須有經(jīng)過(guò)ISO 26262 ASIL認(rèn)證的專(zhuān)用生產(chǎn)線(xiàn)（當(dāng)然也要具備IATF16949的基礎(chǔ)），以消除制造過(guò)程中人為失誤的可能性。使用任何達(dá)不到最高要求的商品都會(huì)放大駕駛安全所帶來(lái)的危險(xiǎn)。

車(chē)規(guī)，渾水摸魚(yú)者有之

近年來(lái)，越來(lái)越多的傳感器、芯片等新的汽車(chē)電子產(chǎn)品導(dǎo)入到汽車(chē)行業(yè)，車(chē)規(guī)級(jí)也開(kāi)始變得亂象叢生。

滿(mǎn)足、符合、達(dá)到......滿(mǎn)大街都是初創(chuàng)公司，車(chē)規(guī)級(jí)三字前加令人目不暇接的定語(yǔ)自然也有車(chē)規(guī)級(jí)二字后加“量產(chǎn)”二字的，那就是另一種無(wú)法言喻的“赤裸裸”P(pán)R。

符合，漢語(yǔ)詞典解釋為：合乎現(xiàn)存的樣式，格式或規(guī)范。滿(mǎn)足，解釋為：對(duì)某件事情“感到”已足夠了，要注意這是個(gè)主觀判斷。達(dá)到，解釋為：多表示抽象的事物或度，如到達(dá)獲得/未到達(dá)，同為主觀判斷。

換言之，符合就是“正品”。那些被稱(chēng)為滿(mǎn)足，實(shí)現(xiàn)的詞匯就是你的“臆想”。也有一些細(xì)微的稱(chēng)呼：例如，聽(tīng)從車(chē)規(guī)級(jí)設(shè)計(jì)。其實(shí)，其中很有貓膩。

當(dāng)然，不管你怎么PR，產(chǎn)品最后都要送到“戰(zhàn)場(chǎng)”去檢驗(yàn)（比如，經(jīng)常會(huì)碰到很多供應(yīng)商，拍胸脯說(shuō)“自己的產(chǎn)品過(guò)車(chē)規(guī)沒(méi)問(wèn)題”）。

目前，車(chē)規(guī)級(jí)汽車(chē)電子比較相關(guān)的就是AEQ質(zhì)量標(biāo)準(zhǔn)。

AEC-Q100是一種基于封裝集成電路應(yīng)力測(cè)試的失效機(jī)制。汽車(chē)電子委員會(huì)(AEC)總部設(shè)在美國(guó)，最初由三大汽車(chē)制造商（克萊斯勒、福特和通用汽車(chē)）建立，目的是建立共同的零部件資格和質(zhì)量體系標(biāo)準(zhǔn)。

在1992年夏天的一次JEDEC會(huì)議上產(chǎn)生了建立AEC的想法。提出了共同資格規(guī)范的想法，作為改善這種情況的一種可能方法。在隨后的JEDEC會(huì)議上，確定共同合格規(guī)范的想法是可行的，不久之后就開(kāi)始了Q100(集成電路壓力測(cè)試合格)的工作。

當(dāng)前AEC-Q100在集成電路中的應(yīng)用以離散部件AEC-Q101和無(wú)源部件AEC-Q200為主。

其中AEC-Q100分五個(gè)級(jí)別以溫度范圍為根本劃分準(zhǔn)則。其中，0級(jí)最高（-40°C to+150°C），1級(jí)為-40°C to+125°C,2級(jí)為-40°C to+105°C（也就是比較常見(jiàn)的），最低級(jí)是4級(jí)（0°C to+70°C）。0級(jí)以引擎蓋下方環(huán)境條件最差為主，1、2級(jí)用在汽車(chē)其他部位。

除AEQ外，另一個(gè)需要遵循的規(guī)范是2011年國(guó)際標(biāo)準(zhǔn)化組織（ISO）制定的ISO 26262，主要用于功能安全件，如ADAS相關(guān)的傳感器和系統(tǒng)。

汽車(chē)安全完整性等級(jí)(ASIL)就是由ISO 26262 -道路車(chē)輛功能安全標(biāo)準(zhǔn)定義的一種風(fēng)險(xiǎn)分類(lèi)方案。這是對(duì)IEC 61508中用于汽車(chē)工業(yè)的安全完整性級(jí)別的調(diào)整。

這種分類(lèi)有助于定義符合ISO 26262標(biāo)準(zhǔn)所必需的安全要求。ASIL是將潛在危險(xiǎn)作為風(fēng)險(xiǎn)分析的目標(biāo)，通過(guò)觀察汽車(chē)行駛情景的嚴(yán)重性、暴露程度和可控性來(lái)設(shè)定的。該危害安全目標(biāo)也符合ASIL的規(guī)定。

ASIL A、ASIL B、ASIL C、ASIL D是四個(gè)等級(jí)，其中ASIL D對(duì)產(chǎn)品的完整性要求最高，ASIL A最低。

ASILs由危害分析與風(fēng)險(xiǎn)評(píng)估確立。對(duì)汽車(chē)上的每個(gè)電子元件，工程師必須測(cè)出三個(gè)特定變量：嚴(yán)重程度（司機(jī)和旅客傷害分類(lèi)）和暴露程度（汽車(chē)接觸危險(xiǎn)的次數(shù)）、可控性（司機(jī)可以做到什么程度才能避免傷害），所有這些變量都被分解為子類(lèi)。

嚴(yán)重程度有“無(wú)傷”（S0）至“致命/致命傷”（S3）4種。曝光分為五類(lèi)，涵蓋“很不太可能”（E0）和“非常可能”（E4）。可控性有四種類(lèi)型，即由“一般可控”（C0）向“不可控”（C3）的轉(zhuǎn)變。

所有變量和子分類(lèi)都被分析并結(jié)合在一起，從而決定了期望ASIL。

如安全氣囊、防抱死剎車(chē)、動(dòng)力轉(zhuǎn)向系統(tǒng)等系統(tǒng)要求ASIL-D級(jí)——安全保障采用最嚴(yán)密性的系統(tǒng)——因?yàn)榕c之發(fā)生故障相關(guān)的風(fēng)險(xiǎn)最大。另一頭，尾燈等零件僅需ASIL-A級(jí)別。頭燈和剎車(chē)燈一般是ASIL-B，而巡航控制一般是ASIL-C。

考慮到確定ASIL危害等級(jí)所涉及的猜測(cè)工作，汽車(chē)工程師協(xié)會(huì)(SAE)在2015年起草了J2980，“ISO 26262 ASIL危害等級(jí)的考慮因素”。這些準(zhǔn)則對(duì)具體危害暴露程度，嚴(yán)重程度，可控性等方面的評(píng)價(jià)有較為清晰的指引。

ISO 26262已經(jīng)成為汽車(chē)開(kāi)發(fā)過(guò)程中功能性安全的指導(dǎo)標(biāo)準(zhǔn)。但近年來(lái)，隨著ADAS及自動(dòng)駕駛技術(shù)的快速導(dǎo)入，這一標(biāo)準(zhǔn)的瓶頸也開(kāi)始出現(xiàn)。

J2980還在繼續(xù)發(fā)展——SAE在2018年發(fā)布了一個(gè)修訂版。隨著自動(dòng)駕駛汽車(chē)的發(fā)展，ISO 26262將需要重新定義“可控性”，這一定義目前屬于人類(lèi)駕駛員。

按照目前的標(biāo)準(zhǔn)，沒(méi)有人工駕駛意味著可控性將永遠(yuǎn)是C3，即“無(wú)法控制”的極限。“其他變量的嚴(yán)重程度(傷害)和暴露(可能性)無(wú)疑也需要重新檢查。

3月，國(guó)際標(biāo)準(zhǔn)化組織還對(duì)ISO26262:2018進(jìn)行了更新。本版增加了汽車(chē)功能安全環(huán)境下半導(dǎo)體設(shè)計(jì)與使用指導(dǎo)。

芯片（單片機(jī)）第一次被運(yùn)用到汽車(chē)中，用來(lái)控制發(fā)動(dòng)機(jī)的運(yùn)轉(zhuǎn)。它稱(chēng)為ECU或發(fā)動(dòng)機(jī)控制單元。1968年大眾汽車(chē)上出現(xiàn)了首款ECU，實(shí)現(xiàn)了特定的功能：EFI（電子燃油噴射）。

時(shí)至今日，汽車(chē)上已有50個(gè)多ECU專(zhuān)為動(dòng)力系統(tǒng)，車(chē)載娛樂(lè)系統(tǒng)，主動(dòng)安全系統(tǒng)以及通信系統(tǒng)等各方面進(jìn)行監(jiān)控。接下來(lái)，除了分布式網(wǎng)絡(luò)和集中域控制架構(gòu)外，更多的芯片（比過(guò)去的ECU更為復(fù)雜）也將出現(xiàn)在新車(chē)中。

ISO26262:2018第11部分全面概述功能安全相關(guān)半導(dǎo)體產(chǎn)品的研發(fā)項(xiàng)目。這些問(wèn)題包括半導(dǎo)體元件整體描述及其發(fā)展和可能劃分。包括相關(guān)的硬件故障、錯(cuò)誤和故障模式。本發(fā)明也涉及知識(shí)產(chǎn)權(quán)（IP）特別是與ISO 26262有關(guān)的有一個(gè)或更多安全要求的知識(shí)產(chǎn)權(quán)。

安全、可靠應(yīng)該貫徹始終

但是現(xiàn)如今汽車(chē)電子產(chǎn)品的可靠性出現(xiàn)了越來(lái)越多的新問(wèn)題，造成了整個(gè)供應(yīng)鏈的混亂局面，與此同時(shí)還發(fā)現(xiàn)了一系列的問(wèn)題，如數(shù)據(jù)不充分、定義不清晰、專(zhuān)業(yè)水平參差不齊等等。

例如大部分汽車(chē)芯片并不基于高級(jí)節(jié)點(diǎn)進(jìn)行研發(fā)。但那些需要大量計(jì)算能力才能在瞬間做出安全關(guān)鍵決策的技術(shù)，比如人工智能，將需要最高的可用密度。

由此而產(chǎn)生的可靠性問(wèn)題在高級(jí)節(jié)點(diǎn)上主要被忽視了，因?yàn)槭褂蒙鲜黾夹g(shù)開(kāi)發(fā)出的芯片多數(shù)之前都以消費(fèi)類(lèi)電子或受控環(huán)境為對(duì)象。

同時(shí)，較新的制造工藝通常比已有的成熟和老工藝技術(shù)生產(chǎn)出更具缺陷的零部件。該缺陷密度大意味著制造后測(cè)試達(dá)到相同質(zhì)量水平時(shí)仍需達(dá)到更高的缺陷覆蓋率。

利用抽象邏輯故障模型產(chǎn)生測(cè)試序列進(jìn)行缺陷檢測(cè)的傳統(tǒng)方法已不完全適用。要使用高級(jí)過(guò)程節(jié)點(diǎn)的復(fù)雜集成電路來(lái)實(shí)現(xiàn)自動(dòng)化級(jí)別的質(zhì)量級(jí)別，就需要測(cè)試模式生成理解缺陷如何以及在哪里被物理地揭露，并且必須知道這些缺陷在模擬意義上的行為，而不僅僅是數(shù)字意義上的行為。

例如使用finFET工藝前邏輯單元內(nèi)以及互連線(xiàn)內(nèi)缺陷對(duì)半分割普遍存在。當(dāng)finFET被提出時(shí)，相對(duì)于互連層而言，晶體管及相關(guān)邏輯單元制作工藝復(fù)雜度成比例增加。隨著更多晶體管技術(shù)被提出，這一差別有望延續(xù)至5nm,3nm和更低。

但所有的汽車(chē)電子產(chǎn)品，特別是安全關(guān)鍵部件和系統(tǒng)，現(xiàn)在都要在生產(chǎn)過(guò)程中和生產(chǎn)完成后進(jìn)行嚴(yán)格的測(cè)試。

可靠性也存在一個(gè)與成本成正比的問(wèn)題。在汽車(chē)安全關(guān)鍵部件和系統(tǒng)的設(shè)計(jì)中，供應(yīng)鏈上下的每一個(gè)供應(yīng)商都要完成更多的環(huán)節(jié)，這就增加了更多的測(cè)試時(shí)間，繼而加大了成本。

眾所周知，汽車(chē)零部件的檢測(cè)是最復(fù)雜和最昂貴的檢測(cè)。現(xiàn)在人們都在想辦法削減成本，但汽車(chē)行業(yè)非常謹(jǐn)慎和有條理。

解決這個(gè)問(wèn)題有兩種完全不同的想法。一種是采用系統(tǒng)級(jí)測(cè)試，費(fèi)用比較昂貴，但是允許在實(shí)際系統(tǒng)背景中進(jìn)行測(cè)試。但是系統(tǒng)級(jí)測(cè)試是否真的能增加總體成本還不清楚，因?yàn)闇囟韧ǔＰ枰齻€(gè)不同的插入點(diǎn)而系統(tǒng)級(jí)測(cè)試可能只需要一個(gè)插入。

另一種方法是先關(guān)注成本，然后找出哪些測(cè)試是必要的，哪些測(cè)試是不必要的。

此外，并不是所有的錯(cuò)誤都是一樣的，也不是所有的錯(cuò)誤都是可以預(yù)測(cè)的。ISO 26262識(shí)別系統(tǒng)故障，系統(tǒng)故障是我們可以發(fā)現(xiàn)、預(yù)測(cè)和修復(fù)的故障，而隨機(jī)故障則屬于“發(fā)生的事情”。

要使汽車(chē)系統(tǒng)可靠、安全，現(xiàn)在整個(gè)汽車(chē)供應(yīng)鏈必須融入一種安全文化，可靠性是根本，雖然沒(méi)有100%可靠。

同時(shí)，汽車(chē)供應(yīng)鏈關(guān)系正變得越來(lái)越復(fù)雜。

比如，一方面?zhèn)鹘y(tǒng)半導(dǎo)體供應(yīng)商，需要開(kāi)始和OEM制造商開(kāi)始深入交流，而過(guò)去這些交流停留在Tier1層面；

另一方面，傳統(tǒng)半導(dǎo)體供應(yīng)商還可能需要和Tier1或OEM進(jìn)行競(jìng)爭(zhēng)，而后者則可能自己生產(chǎn)芯片或?qū)Π雽?dǎo)體供應(yīng)商合作伙伴提出明確要求。

此外，還包括涌入汽車(chē)行業(yè)的數(shù)以千計(jì)的初創(chuàng)公司，它們?cè)谄?chē)行業(yè)相對(duì)缺乏經(jīng)驗(yàn)。而ISO 26262要求在整個(gè)價(jià)值鏈中進(jìn)行高水平的協(xié)作和信息共享，這可能是新進(jìn)入者所不熟悉的。

過(guò)去供應(yīng)鏈采用瀑布模型，OEM會(huì)給一級(jí)供應(yīng)商提供一個(gè)規(guī)范，然后他們?cè)贈(zèng)Q定涉及哪個(gè)二級(jí)供應(yīng)商，以此類(lèi)推，直到3級(jí)和4級(jí)。

今天，這一進(jìn)程對(duì)汽車(chē)制造商來(lái)說(shuō)已經(jīng)變得太慢了，信息溝通不足。許多汽車(chē)制造商都開(kāi)始打破這一傳統(tǒng)價(jià)值鏈。他們開(kāi)始直接接觸原始技術(shù)供應(yīng)商（過(guò)去可能是Tier2甚至是Tier3），因?yàn)樗麄兿胫肋@項(xiàng)技術(shù)真正能做什么，特別是在尖端技術(shù)領(lǐng)域。

他們也想知道這些之前未直接對(duì)接的間接供應(yīng)商在做什么實(shí)驗(yàn)，以確保產(chǎn)品生命周期能持續(xù)10年以上。

而Tier2乃至Tier3對(duì)這些產(chǎn)品都很感興趣，因?yàn)樗麄冞€想了解最終用戶(hù)OEM究竟在使用這些產(chǎn)品干什么，應(yīng)在什么應(yīng)用條件下運(yùn)行？

縱觀汽車(chē)產(chǎn)業(yè)，科技是不斷變革的，安全可靠的標(biāo)準(zhǔn)也是越來(lái)越嚴(yán)。而對(duì)于那些到處喊著“車(chē)規(guī)級(jí)”的創(chuàng)業(yè)企業(yè)來(lái)說(shuō)，坑蒙掛騙并不適用于汽車(chē)行業(yè)，相反恰恰是汽車(chē)行業(yè)“進(jìn)入門(mén)檻較高”的表現(xiàn)。