高性能车规MCU解读：何为“车规芯片”

近年来，车辆智能化，网联化和电动化得到了飞速发展，车辆对芯片的要求不论是从数量还是从性能方面来说都增长很快。时下，装载良好的芯片才能使汽车更具竞争力，整车厂对于汽车芯片更是给予前所未有的重视。

“车规时代”到来

“缺芯潮”中，MCU控制芯片是对车厂挑战最大的产品，尤其高性能、高可靠、高安全的车规控制芯片，而这块市场此前一直是国际大厂的天下，国内创新企业尚是空白。

不过车规半导体某企业近期透露了令人振奋的消息：即将发布一款高可靠、高安全、高性能、广覆盖的车控MCU E3、其功能安全等级达到了ISO 26262 ASIL D级；这款控制芯片据称可覆盖汽车车身、底盘、动力、BMS、网关、T-Box等各项应用，目前已有近20家车厂和Tier1开展了基于它的应用开发。从一家公司获得的数据来看，该芯片在性能上已超过当前世界上已经推出的各种MCU，应该是当前世界上性能最好的MCU控制芯片之一。当然具体是什么情况还有待官方提供更加详尽的资料。

到底何为车规级芯片？

“车规”的关注度，正变得越来越高，但何为真正意义上的车规级芯片？市场声音仍有些嘈杂，有的厂商通过AEC-Q100认证就声称达到车规级，有的认为还需要通过ISO 26262认证。还有厂商宣称自己通过了相关认证，但实际测试过程中，表现却不达标，又是什么原因？为何“车规”如此重要？车厂如此看重？对于以上问题，下文会逐一介绍。

与其他消费级工业电子元件相比，汽车电子元件需要面对更为苛刻的外部工作环境，使用寿命要求更长，可靠性和安全性要求更高。

“车规认证”即是针对这些使用场景特点，对汽车芯片的生产流程和产品设定了相关认证要求，满足所有要求，才能通过“车规认证”。而车规级芯片，是指完全满足所有“车规认证”要求，并通过第三方认证机构认证的汽车芯片。

那么真正意义上的车规级芯片究竟需要通过什么样的对应认证呢？具体指标与维度是什么？当前行业内比较普遍的芯片车规认证标准包括可靠性标准AEC-Q系列和功能安全标准ISO 26262等。通常经过这两个准则的确定才可被称之为“车规级芯片”。

AEC-Q100：芯片前装上车的“基本门槛”

AEC-Q系列是主要针对可靠性评估的规范，详细规定了一系列的汽车电子可靠性测试标准。其中，业内普遍熟知的AEC-Q100是基于失效机理的集成电路应力测试鉴定，是适用于车用芯片的综合可靠性测试，也是汽车行业零部件供应商生产的重要指南。通过AEC-Q100测试，能够保障芯片长期可靠能用，即不损坏。

通过AEC-Q100可靠性认证试验条件，需要多轮验证且过程中更多侧重多方协作（晶圆厂、封测厂等产业链企业的配合），周期一般比较长。芯片设计厂商在产品设计阶段需把可靠性要求置于极高的优先地位，才能保证产品达到环境应力提速验证和寿命提速仿真验证要求、封装验证等等苛刻的要求也就需要芯片厂商对车规芯片进行充分而又成功的制造，以便能够在早期各个环节都能到位，确保在验证上符合各项标准与要求。

ISO 26262：汽车供应链的“准入门票”

仅仅保障“能用”、“不损坏”显然是不够的，真正的“车规级芯片”需满足对功能安全机制的考量和认证，随着智能驾驶/无人驾驶的逐步落地，越来越多的汽车零部件加强了对功能安全的需求，而ISO 26262则是全面规范汽车零部件以及芯片功能安全的基本规则。功能安全重在确保功能正常而不发生突发问题并能正常告警和安全实施，属于能力层面。行业内对功能安全认证比较采用ISO 26262《道路车辆功能安全》国际标准。因此通过对该标准进行认证也就成了当下汽车供应链厂商的进入规则。

ISO 26262除了关注控制随机硬件失效外，还关注避免系统性失效的发生，系统性失效其实占到了“失效”的大部分，许多问题产生于系统性失效，这些失效背后有不同成因，也许是未能遵循最佳实践中某些规范，也许是未能及时开展同行评审，等等。

ISO 26262第二版内容

ISO 26262功能安全认证分为功能安全流程认证和功能安全产品认证，在汽车行业的开发流程中，需要先有流程做支撑，才能根据流程做出能达到流程标准的产品。所以，想要研发出能够通过ISO 26262验证的产品首先必须通过ISO 26262功能安全过程验证。而且只有经过这两个环节的验证才能算全面通过ISO 26262的功能安全验证。

功能安全流程认证专注于功能安全管理体系，产品必须按照通过认证的流程开发，可有效避免产品的系统性失效，提升产品质量，是针对流程的认证。

功能安全产品认证则更加重视考察产品自身的安全架构设计，安全特性与安全覆盖范围，对系统整体进行危害分析与风险评估，要求安全机制满足相应功能安全等级要求（ASIL），同时需要额外增加自我诊断及其他功能。

功能安全等级ASIL从低到高可分为A/B/C/D四个等级，等级越高对安全性的要求越高，对开发流程和技术的要求也越严格，每一个级别都有其对应的准则，需要达到此级别全部准则的要求才能算通过此级别的鉴定。

要想通过ISO 26262认证，芯片厂商同样需要从芯片设计之初就以相应标准为目标进行设计，包括芯片全生命周期的功能安全要求，涵盖安全需求的规划、设计、实施、集成、验证、确认和配置等。

虽然该标准并非全球强制性标准，但在一些对功能安全有一定要求的部件上，整车厂和Tier1进行平台化选型时，没有通过ISO 26262认证的产品或厂商，基本很难获得认可，所以该标准已经逐渐成为汽车供应链厂商的“准入门票”。

需要注意的是汽车不同地区所用芯片对安全等级需求不一，通常以该地区对功能安全需求最大的功能作为总体需求等级。比如仪表盘需满足ASIL B级，由于其具有报错的功能，一旦汽车的某一部分发生故障而仪表盘上的报警灯又没有提示的话，汽车的安全机制就不能正常运行了，将产生极大安全风险，因此应确保仪表盘错误报警信息能够被安全、可靠地显示。

而即使同是ISO 26262 ASIL某一等级的认证，其实也有不同，有车规“预备”和“完全”通过两种。市场上有不少智能汽车芯片厂商宣传已经通过了ASIL X级别的认证，但其中或是满足了部分ISO 26262标准中的要求，也就是ASIL X Ready认证，这一级别的认证其实更准确的说法叫车规“预备”，通常主要是为了达到“控制随机硬件故障”的要求；也可能只拿下流程认证，尚未通过产品功能安全认证。因此就会出现厂家说是认证合格，但在实际检测时却没有合格。

综合来看，真正的车规级芯片一般需要通过可靠性测试认证+功能安全流程认证+功能安全产品认证，才能算完全满足车规认证中的所有要求，才算是“车规级芯片”。