當(dāng)前位置：

大車規(guī)與小車規(guī)，車規(guī)級與功能安全有何關(guān)系？

數(shù)據(jù)顯示，2023年底智能新車已占上市新車的79%，L2及以上的輔助駕駛功能裝載率快速提高，2023年標(biāo)配L2的新能源汽車銷量占比超50%。隨著車輛的快速電氣化與智能化，疊加近年來芯片國產(chǎn)化的大潮，芯片的“車規(guī)級”及“功能安全”便成為了行業(yè)關(guān)注的焦點(diǎn)。

2024-09-06 10:59:53

--關(guān)注、星標(biāo)「智駕最前沿」、回復(fù)“自主泊車”--

↓↓免費(fèi)領(lǐng)?。?/span>自主代客泊車系統(tǒng)總體技術(shù)要求↓↓

從慕尼黑電子展看車規(guī)級

凡是今年去參加了上海慕尼黑電子展的小伙伴們都會有一個(gè)深刻的感受，那就是鋪天蓋地的國產(chǎn)車規(guī)級器件，我放幾張照片大家感受一下：

2024年慕尼黑電子展（圖片來源：左成鋼）

通過上面的四張照片我們能夠看到，國產(chǎn)器件涵蓋了分立半導(dǎo)體、被動器件、集成芯片等常見的三大類常用器件，器件供應(yīng)商也把器件通過了AEC-Q認(rèn)證的信息放在了顯著的位置，來表明器件已經(jīng)滿足了車載應(yīng)用的條件。整體來看，國產(chǎn)車規(guī)級器件正在以極快的速度覆蓋車載應(yīng)用的所有領(lǐng)域，這種勢頭非常好。

但與此同時(shí)，行業(yè)內(nèi)也有一些負(fù)面的信息，有些OEM被曝出來采用非車規(guī)級的器件上車，有些Tier 2也在用一些模糊不清的說法將自家的非車規(guī)器件包裝成車規(guī)級。比如下面這種，在座艙上采用了工規(guī)甚至消費(fèi)級芯片。

座艙的非車規(guī)方案（圖片來源：網(wǎng)絡(luò)）

下面這個(gè)通信模組稍好一些，至少主芯片采用的是車規(guī)級，然后就通過IATF 16949、PPAP、APQP這些專業(yè)名詞來混淆視聽了，這種車規(guī)級就是假車規(guī)級，因?yàn)檎孳囈?guī)級的模組，是要求通過AEC-Q104標(biāo)準(zhǔn)的。

某通信模組的特性介紹（來源：模組Datasheet）

那么實(shí)際上AEC標(biāo)準(zhǔn)對模組是怎么要求的呢？AEC-Q104是專門為Multichip Modules (MCM)多芯片模組制定的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)適用于那些設(shè)計(jì)出來是可以直接焊接在PCB (Printed Circuit Board) 印刷電路板上的MCM，比如LED模組、通信模組等，但目前還不包括大家熟知的IGBT和Power MOSFET模組。

MCM模組舉例（圖片來源：左成鋼《廣義車規(guī)級電子可靠性》）

標(biāo)準(zhǔn)中給出了建議——可以使用MCM中相應(yīng)器件的AEC-Q100、AEC-Q101、或AEC-Q200認(rèn)證原始數(shù)據(jù)去簡化AEC-Q104認(rèn)證。也就是說，不管你用到了哪些器件，在你把這些器件封裝起來之前，最好已經(jīng)通過了相應(yīng)的AEC-Q100、 AEC-Q101、或AEC-Q200認(rèn)證測試。但是如果你真的要說我就是任性，我就“偏不用”，行不行？答案是“也可以”。標(biāo)準(zhǔn)原文是這么寫的：考慮到成本及客戶可能同意你這么干，AEC不要求每個(gè)sub-component（子器件）必須通過認(rèn)證，但是鼓勵(lì)MCM制造商采用AEC標(biāo)準(zhǔn)去認(rèn)證子器件，從而使MCM達(dá)到最高的質(zhì)量水平（promote best MCM quality）。

AEC-Q104標(biāo)準(zhǔn)測試方法（來源：AEC-Q104標(biāo)準(zhǔn)）

也就是說，你可以采用沒有AEC測試等級的器件，但是作為整個(gè)MCM來講，必須通過全部的AEC-Q104測試項(xiàng)目。所以對那些聲稱達(dá)到 “車規(guī)級”的LTE模組、5G模組、WiFi-BLE模組等，我們要區(qū)分一下看它們有沒有通過AEC-Q104測試。如果僅僅只是核心芯片有AEC-Q100，或聲稱溫度范圍達(dá)到了車載應(yīng)用的最低要求如85度，有個(gè)IATF16949或PPAP，然后就敢說自己是 “車規(guī)級”的，大家就要擦亮眼睛。

從特斯拉eMMC召回看車規(guī)級

從2019年5月份開始， Model S、Model X的中控屏所使用的NAND eMMC Flash在使用時(shí)出現(xiàn)失效，它的失效后果不僅將會導(dǎo)致車載顯示器異常，進(jìn)而導(dǎo)致車輛部分重要的控制功能如空調(diào)控制、自動駕駛以及照明控制等都會出現(xiàn)問題，這可能間接導(dǎo)致倒車影像故障、除霜/除霧控制故障和外部轉(zhuǎn)向燈無法點(diǎn)亮的故障，進(jìn)而帶來行車安全問題。

特斯拉eMMC召回（來源：網(wǎng)絡(luò)）

這次召回的根本原因就是因?yàn)樘厮估捎玫?GB eMMC的設(shè)計(jì)擦寫壽命無法滿足設(shè)計(jì)要求，在達(dá)到累計(jì)損耗壽命極限時(shí)就可能會導(dǎo)致中央顯示屏軟件功能的故障，而特斯拉的解決方案就是將召回車輛上的eMMC多媒體存儲芯片免費(fèi)從8GB升級到64GB。按照特斯拉的解釋，所選的eMMC按照3000次計(jì)算，整個(gè)壽命為5～6年，但因?yàn)榉穷A(yù)期的過多擦寫（如頻繁的軟件OTA等），導(dǎo)致3000次壽命提前用完，進(jìn)而引發(fā)了故障。

這件事情其實(shí)已經(jīng)過去好多年了，但是如果我們換個(gè)角度來看，就能發(fā)現(xiàn)一些之前從未有人發(fā)現(xiàn)的問題點(diǎn)。在此之前我先普及一個(gè)關(guān)于存儲器的基本知識：

非易失性存儲器分類（來源：網(wǎng)絡(luò)）

特斯拉使用的eMMC壽命是3000次，類似我們現(xiàn)在常用的固態(tài)硬盤，基本都是TLC，MLC都是極少的，因?yàn)楸阋?，同等條件下存儲量更大，但是壽命就要縮短很多。我們可以通過下面ISSI的一個(gè)eMMC的Datasheet看一下：

MCL與SLC的區(qū)別（來源：IS21EF08G Datasheet）

可見SLC模式比起MLC會有更高的耐用性。更低的錯(cuò)誤率、更高的溫度等級，但是容量只有MLC的一半，也就是說，同等條件下，價(jià)格要貴一倍。

我們再去看一下AEC標(biāo)準(zhǔn)對車規(guī)級非易失性存儲器的測試要求。AEC-Q100-005標(biāo)準(zhǔn)：《非易失性存儲程序/擦除耐久性、數(shù)據(jù)保持及工作壽命的測試》詳細(xì)規(guī)定了對車規(guī)級存儲器的測試要求。其中HTDR（高溫?cái)?shù)據(jù)保持）測試對存儲器的操作壽命要求是12000小時(shí)，溫度從90度到150度。了解高溫耐久測試的汽車行業(yè)小伙伴們都了解，高溫耐久測試是汽車行業(yè)常用的一種加速老化測試方式，是一種很好的可以在短時(shí)間內(nèi)測試出產(chǎn)品可靠性及耐久性的試驗(yàn)方法。

存儲器測試方法（來源：AEC-Q100-005標(biāo)準(zhǔn)）

根據(jù)AEC-Q100-005標(biāo)準(zhǔn)中的計(jì)算，高溫90度操作1小時(shí)等效于55度下操作42.6小時(shí)，而標(biāo)準(zhǔn)要求是在高溫90度下操作6000個(gè)小時(shí)，這就等效于25萬5600小時(shí)，如果按照設(shè)計(jì)壽命15年計(jì)算，相當(dāng)于每天46.7小時(shí)。

壽命測試計(jì)算方法（來源：AEC-Q100-005標(biāo)準(zhǔn)）

因?yàn)闆]有查到datasheet，我不知道特斯拉用的eMMC是不是車規(guī)級的，但通過AEC-Q100-005標(biāo)準(zhǔn)，我認(rèn)為如果使用車規(guī)級的eMMC，壽命是肯定沒有問題的。

這里我們再順便看一下基于AEC-Q100 Grade 1 的一個(gè)車輛任務(wù)剖面（Mission Profile），可見車輛以15年壽命計(jì)算，每天平均使用時(shí)間約1.5小時(shí)，所以車規(guī)級的eMMC理論上可以使用的時(shí)間是46.7*15/1.5，約等于467年。

簡化的車輛任務(wù)剖面（圖片來源：左成鋼《廣義車規(guī)級電子可靠性》）

大車規(guī)與小車規(guī)?

首先我認(rèn)為根本就不存在什么大車規(guī)與小車規(guī)，即使溫度范圍達(dá)到了85度，即使有IATF 16949、PPAP、APQP，非車規(guī)就是非車規(guī)，什么大小車規(guī)的，這就是一種混淆視聽，為使用工規(guī)或者消費(fèi)級器件找的理由，想省錢就是想省錢，不要忽悠不懂真相的消費(fèi)者，既當(dāng)又立。

MPS匯總了一張圖片，比較直觀。MPS從環(huán)境溫度、使用壽命、失效率、產(chǎn)品生命周期等四個(gè)維度對消費(fèi)電子和汽車電子進(jìn)行了對比，其實(shí)核心還是就兩點(diǎn)：可靠性和長壽命。

汽車級與消費(fèi)級及工業(yè)級對比（來源：MPS）

汽車作為大宗消費(fèi)品，而且是大部分人一生中最貴的消費(fèi)品，沒有人希望買一輛車只開3年就要換了，或者壞了以后發(fā)現(xiàn)配件已經(jīng)停產(chǎn)了。汽車本身作為耐用消費(fèi)品，技術(shù)迭代遠(yuǎn)沒有消費(fèi)級那么快，一個(gè)零部件或一顆芯片，都需要持續(xù)生產(chǎn)供貨十年以上，一個(gè)車型的生命周期通常在5到8年以上，持續(xù)迭代時(shí)間可能長達(dá)十幾年甚至幾十年，比如大眾甲殼蟲車型，從1938年推出，一直生產(chǎn)到2019年才徹底停產(chǎn)，中間歷經(jīng)了三代車型，持續(xù)生產(chǎn)時(shí)間超過了80年。

因?yàn)檐囕v的使用壽命極長，所以產(chǎn)業(yè)鏈相關(guān)的零部件及元器件的持續(xù)供貨時(shí)間也就相應(yīng)的要比消費(fèi)級長的多。舉例來講，超過3年的一個(gè)手機(jī)如果損壞后可能是無法維修的，因?yàn)楹芸赡苄枰鼡Q的那個(gè)電子零件已經(jīng)停產(chǎn)了。消費(fèi)類電子產(chǎn)品的更新?lián)Q代時(shí)間極快，通常3年時(shí)間就差了一代，相應(yīng)的一些電子元器件無論是新產(chǎn)品或是售后可能都已經(jīng)不用了，所以消費(fèi)級電子元器件的持續(xù)供貨時(shí)間通常也就在3年左右。

另外就是可靠性。兩者有著相差近萬倍的產(chǎn)品級故障率，同時(shí)這個(gè)差異也體現(xiàn)在電子元器件層面，消費(fèi)級和車規(guī)級器件的故障率也相差極大。比如消費(fèi)級器件通常在幾百個(gè)ppm，而車規(guī)級電子元器件要求達(dá)到0ppm，也就是通常講的零故障率（Zero Defect），這也體現(xiàn)在了AEC-Q004汽車零缺陷指導(dǎo)原則（Automotive Zero Defects Framework）里面。這里說的零故障率其實(shí)并不是到真正做到零，而是說故障率已經(jīng)可以降到一個(gè)很低水平，比如0.1ppm以下。

以下表某車規(guī)級CAN收發(fā)器芯片為例，器件的時(shí)基故障值（Failure In Time，F(xiàn)IT）均不大于10，參考乘用車15年總運(yùn)行時(shí)間約為1萬小時(shí)，以常見的SOIC封裝為例，F(xiàn)IT值為10，那么這個(gè)器件的零時(shí)間故障率大概就是在0.1ppm以下，12個(gè)月故障率就是7.3ppm，整車生命周期15年的故障率約為109.5ppm。

CAN收發(fā)器芯片可靠性數(shù)據(jù)（來源：左成鋼《廣義車規(guī)級電子可靠性》）

最后總結(jié)一下，根本就不存在所謂的小車規(guī)，非車規(guī)就是非車規(guī)，即使溫度范圍達(dá)到了125度，即使有IATF16949、PPAP、APQP，只要沒有AEC-Q，那就是非車規(guī)。

車規(guī)級與功能安全

我們先來看幾篇關(guān)于“車規(guī)級”及“功能安全”的文章標(biāo)題：

從上面這幾個(gè)文章標(biāo)題可以看出來，車規(guī)芯片與功能安全都是大家非常關(guān)注的話題，但同時(shí)也是一個(gè)很容易被混淆的點(diǎn)，筆者希望通過此文講通車規(guī)級與功能安全之間的關(guān)系，讓大家深入了解什么是車規(guī)級，什么是功能安全，二者之間有何關(guān)聯(lián)，又有何區(qū)別。

車規(guī)級認(rèn)證與功能安全認(rèn)證的區(qū)別

車規(guī)級認(rèn)證和功能安全認(rèn)證實(shí)際上是兩個(gè)不同的概念，互不干涉，兩者側(cè)重點(diǎn)完全不一樣。狹義的車規(guī)級通常是指通過AEC標(biāo)準(zhǔn)認(rèn)證測試的電子元器件，廣義的車規(guī)級也可以包括電子零部件。車規(guī)級認(rèn)證測試僅僅是一種自我宣稱的認(rèn)證，而非通過第三方認(rèn)證機(jī)構(gòu)進(jìn)行的認(rèn)證。而功能安全認(rèn)證則是通過第三方認(rèn)證機(jī)構(gòu)進(jìn)行的，是一種資格認(rèn)證。很多人搞不清楚兩者之間的關(guān)系與區(qū)別，經(jīng)常把兩者放到一起來講，說車規(guī)級就必須同時(shí)符合AEC-Q認(rèn)證與ISO 26262功能安全認(rèn)證，這是不正確的，這樣很容易產(chǎn)生混淆，其實(shí)車規(guī)級和功能安全根本就是兩碼事。

車規(guī)級與功能安全認(rèn)證的關(guān)系如下圖所示。

車規(guī)級與功能安全認(rèn)證（來源：左成鋼《廣義車規(guī)級電子可靠性》）

如上圖所示，車規(guī)級元器件認(rèn)證依據(jù)的是AEC標(biāo)準(zhǔn)，AEC標(biāo)準(zhǔn)及AEC-Q認(rèn)證在第6章有過詳細(xì)介紹。AEC認(rèn)證測試的對象必須是實(shí)物，且僅針對電子元器件（不包括零部件），如集成芯片、分立半導(dǎo)體、被動器件、MEMS器件、MCM模塊等，認(rèn)證由器件供應(yīng)商Tier 2來進(jìn)行認(rèn)證測試，測試通過后可以宣稱器件符合AEC-Q***認(rèn)證，這是一種非強(qiáng)制性的自我認(rèn)證，無需第三方認(rèn)證機(jī)構(gòu)，也沒有認(rèn)證證書。而功能安全認(rèn)證則是指依據(jù)ISO 26262功能安全標(biāo)準(zhǔn)（對應(yīng)的國家標(biāo)準(zhǔn)為GB/T 34590，標(biāo)準(zhǔn)分為1-12，即GB/T 34590.1-2022到GB/T 34590.12-2022，對應(yīng)的ISO標(biāo)準(zhǔn)為 ISO 26262-1:2018到 ISO 26262-12:2018）進(jìn)行的認(rèn)證，功能安全認(rèn)證的范圍很寬，對象可以是實(shí)物，比如元器件，也可以是零部件，或是虛擬的非實(shí)體，比如認(rèn)證一個(gè)公司流程（包括研發(fā)及生產(chǎn)），認(rèn)證一個(gè)軟件等。

AEC標(biāo)準(zhǔn)及相關(guān)文件

AEC標(biāo)準(zhǔn)一共有6個(gè)，如下表所示。其中關(guān)于集成芯片的標(biāo)準(zhǔn)AEC-Q100是最早制定并發(fā)布的，另外兩個(gè)較早的標(biāo)準(zhǔn)分別是關(guān)于分立半導(dǎo)體的AEC-Q101和被動器件的AEC-Q200，其余的三個(gè)標(biāo)準(zhǔn)都制定較晚，這個(gè)從其版本信息里也能看出來，AEC-Q101已經(jīng)升級到H版本了，而AEC-Q102是A版本，其余兩個(gè)才是初版。

AEC-Q100標(biāo)準(zhǔn)及發(fā)布時(shí)間（來源：左成鋼《廣義車規(guī)級電子可靠性》）

除標(biāo)準(zhǔn)文件外，AEC還有6個(gè)指導(dǎo)性文件，如上表所示。指導(dǎo)性文件的編號從AEC-Q001到Q006，都是關(guān)于測試指導(dǎo)及認(rèn)證要求的，發(fā)布時(shí)間最早的是發(fā)布于2010年的《無鉛測試要求》，而最近發(fā)布的《汽車零缺陷指導(dǎo)原則》則是在2020年剛剛發(fā)布的，這也從側(cè)面說明了AEC標(biāo)準(zhǔn)是一個(gè)鮮活的、一直在持續(xù)更新與迭代的標(biāo)準(zhǔn)。

AEC認(rèn)證與證書

如果成功完成了根據(jù)AEC標(biāo)準(zhǔn)文件需要的測試，并對測試結(jié)果按要求進(jìn)行了存檔，那么將允許供應(yīng)商聲稱他們的元器件通過了AEC認(rèn)證（AEC-Q*** Qualified）。需要注意的是，AEC認(rèn)證是一個(gè)由元器件供應(yīng)商自我對外宣稱的認(rèn)證，AEC沒有運(yùn)行任何官方認(rèn)證機(jī)構(gòu)或授權(quán)任何第三方認(rèn)證機(jī)構(gòu)來進(jìn)行器件認(rèn)證測試。

另外，AEC認(rèn)證也沒有證書，也就是說不會有任何組織給元器件供應(yīng)商頒發(fā)“AEC-Q*** Qualified”證書；每個(gè)供應(yīng)商根據(jù)AEC標(biāo)準(zhǔn)，自己去做認(rèn)證測試，認(rèn)證測試還需要考慮客戶的應(yīng)用需求；在認(rèn)證測試通過后，可以將測試數(shù)據(jù)提交給客戶，由客戶核實(shí)測試是否符合AEC標(biāo)準(zhǔn)?？偟膩碚f，AEC認(rèn)證測試是一個(gè)自愿性的、非強(qiáng)制性的、自我宣稱式的測試，任何器件在通過測試后，都可以宣稱器件通過了認(rèn)證；在客戶需要的時(shí)候，元器件供應(yīng)商可以提供測試報(bào)告供客戶進(jìn)行核實(shí)。下圖是一個(gè)MCU的車規(guī)級認(rèn)證報(bào)告（AEC-Q100G Qualification Report）。

AEC-Q100測試報(bào)告（來源：左成鋼《廣義車規(guī)級電子可靠性》）

ISO 26262基本概念

ISO 26262《道路車輛功能安全》國際標(biāo)準(zhǔn)適用于安裝在量產(chǎn)道路車輛上的包含一個(gè)或多個(gè)電子電氣系統(tǒng)的與安全相關(guān)系統(tǒng)（ISO 26262：2011升級到ISO 26262：2018后，將使用車型范圍由最大總質(zhì)量不超過3.5噸的量產(chǎn)乘用車擴(kuò)展到了卡車、公交車、掛車及半掛車、摩托車（不包含輕便摩托車））。標(biāo)準(zhǔn)是基于IEC 61508《安全相關(guān)電氣/電子/可編程電子系統(tǒng)功能安全》制定的。

ISO 26262標(biāo)準(zhǔn)提供了：

汽車生命周期（管理、研發(fā)、生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢）和生命周期中必要的改裝活動。
決定風(fēng)險(xiǎn)等級的具體風(fēng)險(xiǎn)評估方法（汽車安全完整性等級（Automotive Safety Integrity Level，ASIL）
使用ASIL方法來確定獲得可接受的殘余風(fēng)險(xiǎn)的必要安全要求。
確保獲得足夠的和可接受的安全等級的有效性和確定性措施。
功能安全受開發(fā)過程（包括具體要求、設(shè)計(jì)、執(zhí)行、集成、驗(yàn)證、有效性和配置），生產(chǎn)過程和服務(wù)流程以及管理流程的影響。

標(biāo)準(zhǔn)針對由安全相關(guān)電子電氣系統(tǒng)的故障行為而引起的可能的危害（對人身健康的物理損害或破壞），包括這些系統(tǒng)相互作用而引起的可能的危害。標(biāo)準(zhǔn)不針對與觸電、火災(zāi)、煙霧、熱、輻射、毒性、易燃性、反應(yīng)性、腐蝕性、能量釋放等相關(guān)的危害和類似的危害，除非危害是直接由安全相關(guān)電子電氣系統(tǒng)的故障行為而引起的。另外，標(biāo)準(zhǔn)不針對電子電氣系統(tǒng)的標(biāo)稱性能，即使這些系統(tǒng)（例如主動和被動安全、制動系統(tǒng)、自適應(yīng)巡航系統(tǒng)）有專用的功能性能標(biāo)準(zhǔn)。

針對標(biāo)準(zhǔn)的適用范圍，有以下內(nèi)容需要重點(diǎn)關(guān)注一下：

僅適用于道路車輛，不包括特殊用途車輛，如非道路車輛及殘疾人用車。
適用于由電子、電氣（Electronic/Electrical，E/E）和軟件組件組成的系統(tǒng)。簡單來說就是不適用于純機(jī)械結(jié)構(gòu)件，比如車玻璃，雖然和安全相關(guān)，開著車玻璃突然炸裂了可能就會發(fā)生安全事故，但也不算在功能安全標(biāo)準(zhǔn)范圍內(nèi)，而是算在《中國乘用車強(qiáng)制性國家標(biāo)準(zhǔn)》的被動安全里。
與安全相關(guān)的系統(tǒng)，比如娛樂系統(tǒng)就不算，開車過程中音樂播放功能失效，沒法聽歌了，這就不涉及功能安全。

根據(jù)標(biāo)準(zhǔn)對安全的定義，安全是相對于危害而言的，如下圖所示。

GB/T 34590標(biāo)準(zhǔn)范圍及術(shù)語定義（來源：左成鋼《廣義車規(guī)級電子可靠性》）

由標(biāo)準(zhǔn)定義可知：

和安全相關(guān)是指，因E/E系統(tǒng)的故障行為而引起的可能的危害（hazards）。
危害（hazard）的定義是：由相關(guān)項(xiàng)的功能異常表現(xiàn)而導(dǎo)致的傷害（harm）的潛在來源。
傷害（harm）的定義是：對人身健康的物理損害（injury）或破壞（damage），也就是說只有能夠危害到人身健康，導(dǎo)致人員受傷的功能才可以適用于功能安全標(biāo)準(zhǔn)。

簡單來講就是：功能安全只管因E/E系統(tǒng)的故障可能導(dǎo)致人員傷亡的功能，并且，功能安全一定是基于一個(gè)具體的功能而言的。比如車輛的轉(zhuǎn)向系統(tǒng)，基于一個(gè)具體的功能，比如車輛行駛過程中方向盤無法轉(zhuǎn)動導(dǎo)致轉(zhuǎn)向失效，這就很具體，因?yàn)檗D(zhuǎn)向失效還包含了方向盤在沒有操作的情況下自己轉(zhuǎn)動的情況，這就要分開來講了。再然后就是安全，比如車停在那里車門自動解鎖打開了，然后車內(nèi)的物品被偷了，這也是安全，但這是財(cái)產(chǎn)安全，是不算在功能安全里面，因?yàn)闆]有人員受傷。如果是行駛過程中門突然自己打開，人掉下去了，這就是功能安全了，這個(gè)需要基于功能再疊加場景進(jìn)行區(qū)分。

功能安全流程認(rèn)證與產(chǎn)品認(rèn)證

功能安全認(rèn)證由專門的第三方認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)證，認(rèn)證服務(wù)可以分為兩種：流程認(rèn)證和產(chǎn)品認(rèn)證，如下圖所示，通過認(rèn)證后即可獲得認(rèn)證證書，證書也分兩種：流程認(rèn)證證書和產(chǎn)品認(rèn)證證書。

功能安全認(rèn)證（來源：SGS）

流程認(rèn)證和產(chǎn)品認(rèn)證的定義及區(qū)別如下：

流程認(rèn)證：依照ISO 26262標(biāo)準(zhǔn)中描述的流程來評估被認(rèn)證公司/企業(yè)的流程體系建設(shè)水平。由于不同ASIL等級產(chǎn)品所需要開展的活動不完全相同，所以ASIL等級代表了被認(rèn)證公司/企業(yè)構(gòu)建的流程體系對于功能安全產(chǎn)品開發(fā)的支撐程度。
產(chǎn)品認(rèn)證：依照標(biāo)準(zhǔn)中描述的各環(huán)節(jié)過程（包括輸入、流程、輸出）來評估被認(rèn)證公司/企業(yè)產(chǎn)品的某一項(xiàng)或幾項(xiàng)功能的功能安全等級，重點(diǎn)是交付物的技術(shù)水平和工程化能力。產(chǎn)品認(rèn)證需要全面完善的開發(fā)過程證據(jù)（例如項(xiàng)目的需求輸入、設(shè)計(jì)分析過程、測試報(bào)告等），所以ASIL等級代表了這個(gè)產(chǎn)品的功能安全實(shí)踐水平。

流程認(rèn)證和產(chǎn)品認(rèn)證雖然沒有絕對意義上的前后關(guān)系，但是完整的產(chǎn)品認(rèn)證一般要建立在具備一定的流程水平的基礎(chǔ)上，所以對于沒有相應(yīng)經(jīng)驗(yàn)的公司，認(rèn)證機(jī)構(gòu)一般都是建議先做流程認(rèn)證，通過流程認(rèn)證后，功能安全團(tuán)隊(duì)和流程能力也基本上培養(yǎng)起來了，下一步做產(chǎn)品認(rèn)證就相對容易些。

因?yàn)榱鞒陶J(rèn)證相較于產(chǎn)品認(rèn)證要求會低一些，工作量也小得多，認(rèn)證周期也要短得多；即使現(xiàn)有團(tuán)隊(duì)缺乏功能安全相關(guān)知識及流程經(jīng)驗(yàn)，經(jīng)過認(rèn)證機(jī)構(gòu)培訓(xùn)及輔導(dǎo)，短則半年，多則一年，一般都能通過，取得功能安全流程認(rèn)證證書。流程認(rèn)證一般也是基于一個(gè)具體的真實(shí)項(xiàng)目來開展的（一般是基于一個(gè)簡單的產(chǎn)品，不推薦基于太復(fù)雜的產(chǎn)品來進(jìn)行，難度太大），而不是憑空只做流程文檔。當(dāng)然了，也可以這么做，但一般不會這么做（認(rèn)證機(jī)構(gòu)也不推薦）。通常來講，流程認(rèn)證一般是產(chǎn)品認(rèn)證的第一步，對于沒有經(jīng)驗(yàn)的公司，先過流程認(rèn)證，建立起相應(yīng)的團(tuán)隊(duì)能力及流程規(guī)范，然后再去做產(chǎn)品認(rèn)證，循序漸進(jìn)。

???

電子元器件的功能安全

對于電子元器件的功能安全認(rèn)證，一般都是復(fù)雜芯片類產(chǎn)品（被動器件和分立半導(dǎo)體器件因復(fù)雜度較低，不需要通過認(rèn)證的途徑來解決功能安全設(shè)計(jì)問題）。比如MCU，一般作為一個(gè)系統(tǒng)設(shè)計(jì)的核心；或PMIC及系統(tǒng)基礎(chǔ)芯片（System Basis Chip，SBC），作為系統(tǒng)的電源，功能安全設(shè)計(jì)就很重要。如下圖所示，以TI為例，功能安全芯片主要是MCU、傳感器、電源管理、放大器、電機(jī)驅(qū)動器等。

????

符合功能安全認(rèn)證的產(chǎn)品類別舉例（來源：TI）

器件的ASIL級別是獨(dú)立于具體的環(huán)境安全要素的。因?yàn)槠骷?yīng)商并不清楚器件的具體應(yīng)用及功能，所以器件的ASIL級別與具體的產(chǎn)品硬件、系統(tǒng)應(yīng)用無法直接進(jìn)行關(guān)聯(lián)。芯片供應(yīng)商并沒有辦法給出某個(gè)具體硬件設(shè)計(jì)或應(yīng)用具體能達(dá)到的ASIL級別，而是給了一個(gè)芯片能達(dá)到的最高級別，最終產(chǎn)品某個(gè)具體功能的ASIL級別就取決于Tier 1的設(shè)計(jì)。

TI對電子元器件的功能安全認(rèn)證進(jìn)行了詳細(xì)的分級，可以作為一個(gè)很好的參考。如下表所示：

TI的產(chǎn)品狀態(tài)分類（來源：左成鋼《廣義車規(guī)級電子可靠性》）

車規(guī)級認(rèn)證與功能安全認(rèn)證

車規(guī)級認(rèn)證（及AEC-Q認(rèn)證，基于AEC標(biāo)準(zhǔn)）與功能安全認(rèn)證（基于ISO 26262標(biāo)準(zhǔn)）從多個(gè)維度均存在較大差異，如下表所示。表中從認(rèn)證范圍、認(rèn)證方式、認(rèn)證目的、側(cè)重點(diǎn)、交付物、是否強(qiáng)制、認(rèn)證機(jī)構(gòu)、認(rèn)證報(bào)告、證書有效期等共計(jì)9個(gè)維度對車規(guī)級認(rèn)證與功能安全認(rèn)證進(jìn)行了對比。

AEC-Q認(rèn)證與功能安全認(rèn)證的區(qū)別（來源：左成鋼《廣義車規(guī)級電子可靠性》）

針對上表的分析對比可以看出：

（1）認(rèn)證范圍：

AEC標(biāo)準(zhǔn)認(rèn)證的范圍僅針對電子元器件，如集成芯片、分立半導(dǎo)體、被動器件、MEMS器件、MCM模塊等，認(rèn)證由器件供應(yīng)商Tier 2來進(jìn)行認(rèn)證測試。

ISO 26262標(biāo)準(zhǔn)認(rèn)證范圍則包括流程（對公司）及產(chǎn)品（實(shí)體或非實(shí)體）。

（2）認(rèn)證方式：

AEC標(biāo)準(zhǔn)認(rèn)證方式就是測試，測試通過后可在產(chǎn)品手冊上注明符合標(biāo)準(zhǔn)即可。

ISO 26262標(biāo)準(zhǔn)認(rèn)證涵蓋了產(chǎn)品的設(shè)計(jì)、測試、生產(chǎn)等全生命周期，重點(diǎn)在于產(chǎn)品的設(shè)計(jì)與測試，認(rèn)證的方式最終是體現(xiàn)在產(chǎn)品設(shè)計(jì)文檔上，而非僅僅局限于產(chǎn)品測試。

（3）認(rèn)證目的：