高性能车规MCU到来，解读何为“车规芯片”

“缺芯潮”中，MCU控制芯片是对车厂挑战最大的产品，尤其高性能、高可靠、高安全的车规控制芯片，而这块市场此前一直是国际大厂的天下，国内创新企业尚是空白。

不过车规半导体某企业近期透露了令人振奋的消息：即将发布一款高可靠、高安全、高性能、广覆盖的车控MCU E3、其功能安全等级达到了ISO 26262 ASIL D级；这款控制芯片据称可覆盖汽车车身、底盘、动力、BMS、网关、T-Box等各项应用，目前已有近20家车厂和Tier1开展了基于它的应用开发。据某企业提供的资料显示，这款芯片的性能已经超过了目前全球范围内已发布的所有MCU，应是目前全球性能最高的MCU控制芯片。当然，具体情况如何，还需等待官方更详细的信息。

“车规”的关注度，正变得越来越高，但何为真正意义上的车规级芯片？市场声音仍有些嘈杂，有的厂商通过AEC-Q100认证就声称达到车规级，有的认为还需要通过ISO 26262认证。还有厂商宣称自己通过了相关认证，但实际测试过程中，表现却不达标，又是什么原因？为何“车规”如此重要？车厂如此看重？对于以上问题，下文会逐一介绍。

相对于其他消费级工业电子元件，汽车电子元件需要面对更苛刻的外部工作环境，使用寿命要求更长，可靠性和安全性要求更高。

“车规认证”即是针对这些使用场景特点，对汽车芯片的生产流程和产品设定了相关认证要求，满足所有要求，才能通过“车规认证”。而车规级芯片，是指完全满足所有“车规认证”要求，并通过第三方认证机构认证的汽车芯片。

那么，真正的车规级芯片到底要经过哪些相应的认证？具体的指标和维度有哪些？目前，业界较为通用的芯片车规认证标准主要有可靠性标准AEC-Q系列、功能安全标准ISO 26262。一般通过这两项标准的认定，才能称为“车规级芯片”。

• AEC-Q100：芯片前装上车的“基本门槛”

AEC-Q系列是主要针对可靠性评估的规范，详细规定了一系列的汽车电子可靠性测试标准。其中，业内普遍熟知的AEC-Q100是基于失效机理的集成电路应力测试鉴定，是适用于车用芯片的综合可靠性测试，也是汽车行业零部件供应商生产的重要指南。通过AEC-Q100测试，能够保障芯片长期可靠能用，即不损坏。

通过AEC-Q100可靠性认证试验条件，需要多轮验证且过程中更多侧重多方协作（晶圆厂、封测厂等产业链企业的配合），周期一般比较长。芯片设计厂商需要从产品设计阶段就将可靠性要求放在非常高的优先级，以确保产品满足环境应力加速验证、寿命加速模拟验证、封装验证等方面的严格要求，这也要求芯片厂商要有足够丰富的成功生产车规芯片的经验，才能在前期每个环节中做到位，保障在认证时满足所有标准和要求。

• ISO 26262：汽车供应链的“准入门票”

仅仅保障“能用”、“不损坏”显然是不够的，真正的“车规级芯片”需满足对功能安全机制的考量和认证，随着智能驾驶/无人驾驶的逐步落地，越来越多的汽车零部件加强了对功能安全的需求，而ISO 26262则是全面规范汽车零部件以及芯片功能安全的基本规则。功能安全强调的是保障功能正常，不会出现突发问题，能够正常报警、安全执行，是能力层面的保障。业内对于功能安全的认证较多使用ISO 26262《道路车辆功能安全》国际标准。所以通过这一标准的认证，也已成为时下汽车供应链厂商们的准入规则。

ISO 26262除了关注控制随机硬件失效外，还关注避免系统性失效的发生，系统性失效其实占到了“失效”的大部分，很多问题都是由系统性失效造成的，其背后原因各有不同，可能是没有遵照最佳实践的一些准则，或者没有及时的进行同行评审等。

ISO 26262第二版内容

ISO 26262功能安全认证分为功能安全流程认证和功能安全产品认证，在汽车行业的开发流程中，需要先有流程做支撑，才能根据流程做出能达到流程标准的产品。因此，要想开发出能通过ISO 26262认证的产品，先得通过ISO 26262功能安全流程认证。而只有通过这两方面的认证，才算是完全通过了ISO 26262功能安全认证。

功能安全流程认证专注于功能安全管理体系，产品必须按照通过认证的流程开发，可有效避免产品的系统性失效，提升产品质量，是针对流程的认证。

功能安全产品认证则更注重考察产品本身的安全架构设计、安全特性及安全覆盖范围，对整个系统进行危害分析和风险评估，并要求安全机制符合相应功能安全等级（ASIL）要求，还需追加自我诊断等功能。

功能安全等级ASIL从低到高可分为A/B/C/D四个等级，等级越高对安全性的要求越高，对开发流程和技术的要求也越严格，每个等级都有相对应的标准，需满足这一等级所有标准要求，才算是通过了该等级的认证。

要想通过ISO 26262认证，芯片厂商同样需要从芯片设计之初就以相应标准为目标进行设计，包括芯片全生命周期的功能安全要求，涵盖安全需求的规划、设计、实施、集成、验证、确认和配置等。

虽然该标准并非全球强制性标准，但在一些对功能安全有一定要求的部件上，整车厂和Tier1进行平台化选型时，没有通过ISO 26262认证的产品或厂商，基本很难获得认可，所以该标准已经逐渐成为汽车供应链厂商的“准入门票”。

值得注意的是，汽车上不同区域使用的芯片，对于安全等级的要求也是不同的，一般以该区域中对于功能安全要求最高的功能，来确定整体的需求等级。例如仪表盘需要达到ASIL B等级，因为它有报错功能，如果车辆某个部位出现问题，仪表盘报警灯不提示，那么车辆安全机制将无法工作，会带来巨大安全风险，所以要保证仪表盘的错误报警信息能安全可靠的显示出来。

而即使同是ISO 26262 ASIL某一等级的认证，其实也有不同，有车规“预备”和“完全”通过两种。市场上有不少智能汽车芯片厂商宣传已经通过了ASIL X级别的认证，但其中或是满足了部分ISO 26262标准中的要求，也就是ASIL X Ready认证，这一级别的认证其实更准确的说法叫车规“预备”，一般以满足“控制随机硬件失效”方面的要求为主；又或者是仅拿下了流程认证、还未通过产品功能安全认证。所以会有厂商表示通过了认证，而实际测试中不达标的情况发生。

综合来看，真正的车规级芯片一般需要通过可靠性测试认证+功能安全流程认证+功能安全产品认证，才能算完全满足车规认证中的所有要求，才算是“车规级芯片”。

●专栏《嵌入式工具》

●专栏《嵌入式开发》

●专栏《Keil教程》

●嵌入式专栏精选教程

点击“阅读原文”查看更多分享。