千度车讯网 > 用车> 正文

雷黎丽:车规级芯片可靠性保证

2020/10/22 14:25:12

2020年10月20日-22日,由国家市场监督管理总局缺陷产品管理中心、浙江清华长三角研究院、中国汽车工程研究院股份有限公司、重庆市合川区人民政府联合主办的第三届中国汽车安全与召回技术论坛在重庆隆重召开。本届论坛以“智能新能源汽车全产业链安全与技术创新”为主题,汇聚120家政府机构、事业单位、科研院所以及整车和零部件企业等行业翘楚权威论道。其中,在10月21日举办的“智能汽车产业链安全与技术创新”专题论坛上,国家新能源汽车技术创新中心芯片测试总师雷黎丽发表了核心为《车规级芯片可靠性保证》的精彩演讲。以下内容为现场演讲实录:

image.png

国家新能源汽车技术创新中心芯片测试总师 雷黎丽

非常高兴和车企的这些行业专家分享对于器件级电子元件的安全焦点问题的思考,它的正式名字叫做“车规级半导体集成电路”,有些概念是不同的,我们想这一次跟车企和同行们做一次澄清,还有基于此概念基础上的可靠性和安全性都在哪里?我们在很多系统的安全性和可靠性系统中抽取容易被大家忽略,而恰好又是非常黑盒的地方。这也是目前国创中心致力于研究的方向,这一块恰好也是我们和国际上先进半导体器件厂家和设计厂家有差距的地方。显性化的地方我们还是容易追赶的,而这些黑盒的地方我们首先得打开它,所以我对这个题目做这样的解释,从三个方面跟大家分享:

第一,车联网半导体集成电路的主要特点。实际上车规级半导体集成电路,上面还有一层车用半导体器件,而车用半导体器件有三大类,三大类当中在车上用的比较多是下面这两类,一类是分立器件,分别是二极管、晶体管、晶闸管、半导体元件和其他五大器件。集成电路是我们经常讲的ECU,甚至我们经常讲MCU,这部分是有计算能力的和处理能力的,它和分立器件是不同的两类电路。这两类在车辆上应用最多,其中传感器分为车载和车身,车载ADAS分成超声波雷达、激光雷达、毫米波雷达、摄像头,它是承载了眼睛、耳朵感知系统得来的,它的稳定性决定了后面一切。IGBT统称为新能源汽车功率器件。电源器件现在发展前景主要是三代半导体迁移,前几天在淄博举行的新材料技术论坛,实际上有一部分就是三代半导体迁移,有可能国产芯片会在这层上做拐点,就是弯道可以超车部分,今天我们不分享这一块,主要分享是材料方面。

这次主要分享的是集成电路这部分。车规级半导体集成电路的特点是什么?我们看看它的模型,它承载了N个功能,这个功能集合通过激励,对芯片形成性能集合。这个性能集合主要是三项:准确、准时和低功耗。对于一个芯片需要有这方面的能力,但是要组合,当我们设计出来的时候,或者刚制造出第一个芯片的时候,我们需要满足T等于0这个条件,但是它的功能本身体现在什么地方?一个是多核,在一个芯片上完全实现的低速和高速的多接口。高算力、大容量、高传输速率、射频信号等等。要同时在一个芯片当中把所有电路完成,对集成能力、复杂度和工艺平台稳定性的要求非常高,这是一个本质上的要求。这些提升会导致后续在设计难度上和工艺平台稳定性上很难兼容,会造成下降。它会组合成什么?芯片出来以后首先需要有高可靠性,而高可靠性体现在15年20万里程,得到这个比较准确的指标。其次是高安全性;还有就是高适应性、耐久性,工作温度要在负40度到150度,这个要求非常高,要挑战硅基材料机理。最后是高保密性,需要的是零信息泄露。这个要求非常难,在实现多维度、高功能的情况下,还要求有多维度的功能要求,就使得设计难度更加大了。

这些就是导致我们国产芯片非常困难的原因,不是生产不出来,主要是我们有很多约束。现在还没有加入成本因素和小面积因素,使得我们难以形成产业化使用,并不是说设计不出来,是在很多维约束条件下,我们无法适合产业化。

我国车用半导体集成电路的现状是什么?第一我国自主生产的半导体集成电路基本上没有批量生产,比如批量厂家会选择国外芯片,尤其是EE系统。车规级这三个字怎么定义?业界没有很统一定义。另外,目前没有第三方认证平台支撑,国产想做好,想上车的这条通道都没有,所以更多采用非常成熟的国外芯片。最后就是集成电路这一块如何将照片导入ISO26262这件事,也需要进行最佳实践。第二,安全性焦点问题。在众多问题情况下提炼出来的可能没有被大家认识到。事实上安全性首先是基于集合,功能方面在运行上是集合,其中出现故障状态的话,可能是可靠性的问题,故障状态下还出现了危险状态,这个就是安全性问题。所以安全性焦点问题首先是高可靠性保障能力,目前这块其实非常弱,因为基础本身就弱。安全性更多表现在哪里?这个没有更多考虑到功能安全应用假设充分性保证。

下面看一下高可靠性保证能力,这些是我们提炼出来的。第一要使用更高制造工艺平台,比如40纳米平台,在做车规级芯片的时候是非常有利的,面积也小,集成度也高,但是它的问题在于没有被ISO26262认证过,如果用上了,有不稳定性、也有不确定性。第二做可靠性试验还是做很多认证类试验,往往我们对测试覆盖性这一块没有太多的界定,就是说这个测试实际上来讲,芯片厂自己声称测试覆盖率是多少,而这个测试覆盖率远远达不到车规级10的负6次方。。安全性前提是确保可靠性被评估过或者已经确定过的,如果没有这些前提来谈安全性,其实有隐患在里面。最后一个还表现在固有可靠性的评估,在功能安全的认证过程当中是通过计算得出的,计算值和实际差异没有进行论证,我们只是查表,我们做企业的清楚是查表过来的,但是真的是这样的吗?不一定。

我们看下这张图,说明了ISO26262之间的可靠关系,一个芯片,电子类通常期望固有率缺陷比较少,失效率曲线越低越好。ISO26262功能安全是假设安全具有可靠性已经没有了,在这种情况下来对产品或者芯片处于固有可靠性或者叫随机可靠性情况,它的失效比例情况下来看其安全,这就是他们之间的逻辑关系。我们现在大多数不提可靠性测试,希望可测性设计无论如何要达到至少是零缺陷设计,同时达到百万分之三到四的概率才可以。我们看一下现在是这样的吗?不是的,现在国内芯片企业没有达到这一点,为什么?因为测试覆盖性和良率之间有比较强的相关性。测试覆盖率达到99.99%测试覆盖性,其实它的良率,如果说我的DFT是200,你的良率是10%,这就是我们目前的现状,有可能厂家是比较高的,但是也不会太高,这个还是有赖于我们设计优化能力本身,并不是它做不出来,但是它的良率很低,你要测试性很高良率会更高,这也是矛盾点。

如果知道测试可靠性不是特别高的情况下,那能不能预测出来可能是多少?可以的,这个是能够评估出来的,通过正向设计可以评估出来。评估出来有一个最大的问题是什么?可靠性能力不确定情况下安全机制接管是没有的,也就是说可靠性做可靠性的,功能安全做功能安全的。FMEDA计算与实际差异,安全机制接管之间的无缝衔接,目前我们在做这样一个机制的建立。

功能安全中功能识别充分性和正确传递能力。实际上这个大家可能在功能安全审核当中遇到,就是说危害和风险评估安全目标实际上依赖于我们所提供的假设,就是说假设针对哪些事故场景来做功能安全,但是这些场景本身具有集合吗?各说各话是不行的,我们也走访了很多厂家,这方面是构成对物理世界认知的问题,还有事故场景描述的问题,它是否是集合的,通过整车传递到芯片层,这个是不是要有相应制度管理?还有一个在相同功能级别下实际安全功能保障率不同。

第三,目前对这几个焦点问题的解决思路。高可靠性保证能力,零缺陷OFT设计必须深入到每一个设计当中。DFT覆盖率测评,要延伸到IP提供方。测试方法不止是一次、两次、三次甚至是N次,要根据电路模式的不同,根据不同的测试运力去进行测试。将可靠性阶段拐点提前,因为筛选得不够彻底,导致功能安全本身就存在漏洞。这些漏洞必须输入到FMEA和FTA流程当中去,作为一个可控性的要素进行风险分析,形成参与风险,参与风险一定要交由安全机制接管理,如果不接管,功能安全就无从谈起,这方面我们正在进行正向设计测评机制和测评方法论。

刚才讲到没有产品,没有车规级产品体系,没有测试体系,我们现在致力于建立垂直系统,垂直系统什么概念?就是从器件级到子系统级,再到整车的垂直系统,它的可靠性测评,目前我们已经开始法团标,估计明年可以对外。另外以芯片为中心的产品标准体系,目前汽车价值链还没有围绕芯片为中心构建,我们要做好准备。现在很多情况下先选择测试端进行标准体系建立,这是比较容易的。测试标准不断丰富的同时,要不断丰富迭代前端产品。要让我们回答什么问题?要回答说,这个芯片可以上车,而不是告诉你这个芯片不能上车。我们希望可以形成迭代关系,最终形成产品定义的指标集合。这些目前是由国创中心立足行业当中比较难的命题,但是解决思路上来讲基本上已经进入建立的过程,已经申请到国家资金来开展这方面的工作,进展还比较顺利。

这张图就想说我们产品标准从何而来,芯片标准体系建立可以从以下几个维度来讲。这个模型是功能剖面基础意义架构下的环境模型,因为在未来,我们首先提供的就是可靠性类标准,所以一定要研究功能剖面和环境剖面。在这种情况下我们把最基本的EE架构模型放在这里,这四类芯片都会涉及到它的测试标准,相关的环境运力,相关的测试方法和测试条件,当然还会附带测试什么条目,测试什么运力,尤其不同功能芯片测试的集合的完整性。基于这个模型也构建了我们的测试标准体系,这个标准体系在一些协会和学会上已经得到认可,然后进行相应的标准建立。

对于第二点提出的问题是功能识别的充分性。第一个方面是结构化定义外部世界、气候环境、道路参与者和场景。结构化定义实际上就是场景库的概念,但是场景库本身应该是多维的,尤其是对于功能安全认证来讲,它不仅仅是单一的场景本身,应该有道路参与者,尤其要定义气候环境和整个外部环境,成为库以后可以发布并成为一项行业资源,只有统一这样的行业资源,再去分解整车的这些功能才有依据,集合才是完整的。不断搜集、结构化定义这些场景,然后输送到最前端的行业中去,这个事情是非常有意义的。这是第一点,我觉得集合的完整性需要国家的整体机制来保证。

第三就是很基础的工作,为什么我们对功能结构化定义,构建可便利失效模式的,功能描述标准语法,这样探究性就不全,因此还是应该把本身划定,这个逻辑就成立了。如果场景都不优化,后续FMEA就是模糊的,国内外企业基础的差距就在这个地方。功能办法是可以语法化的,语法化的话结构就可以定义了。第三点是在遍历的基础上,确保“可探测性”覆盖率以及“未探测“的安全机制接管。第四点是垂直系统,以芯片为中心,将垂直系统合理要求,输入到芯片需求端,确保可测试性。如果想探测,在前面设计电路的时候必须把测试电路设计出来,往往这种设计测试电路是超越了它原有可测试性设计本身电路,要增加它的物理面积,增加设计的代价,但是这个对于车规级芯片来讲是值得的,它必须按照这样的思维去做设计。这也是我们区别于国外芯片的地方,如果我们没有这样的开始,我们就不会走向优化,不走向优化就不会带来产业利润效益,所以总得有一个从零的开始。

下面这张图就说了从芯片的晶圆级到整车。最后我说一下,未来智能车来了以后最大挑战不是控制器芯片,最大挑战来自于传感器类芯片,它的射频、测试性,其实测试的技术无法覆盖。未来我们在传感类芯片、射频芯片以及高算力的芯片方面可能会产生很大的问题。

我就分享到这里,谢谢大家!

(注:本文根据现场速记整理,未经演讲嘉宾审阅,或存纰漏,敬请谅解)

千度车讯网汽车团购报名表
车型:  
真实姓名:  男 意向颜色:
联系手机:   何时购车:
付款方式:全款 按揭所在地区:
 

评论区域