2020年10月20日-22日,由國家市場監督管理總局缺陷產品管理中心、浙江清華長三角研究院、中國汽車工程研究院股份有限公司、重慶市合川區人民政府聯合主辦的第三屆中國汽車安全與召回技術論壇在重慶隆重召開。本屆論壇以「智能新能源汽車全產業鏈安全與技術創新」為主題,匯聚120家政府機構、事業單位、科研院所以及整車和零部件企業等行業翹楚權威論道。其中,在10月21日舉辦的「智能汽車產業鏈安全與技術創新」專題論壇上,國家新能源汽車技術創新中心晶片測試總師雷黎麗發表了核心為《車規級晶片可靠性保證》的精彩演講。以下內容為現場演講實錄:
國家新能源汽車技術創新中心晶片測試總師 雷黎麗
非常高興和車企的這些行業專家分享對於器件級電子元件的安全焦點問題的思考,它的正式名字叫做「車規級半導體集成電路」,有些概念是不同的,我們想這一次跟車企和同行們做一次澄清,還有基於此概念基礎上的可靠性和安全性都在哪裡?我們在很多系統的安全性和可靠性系統中抽取容易被大家忽略,而恰好又是非常黑盒的地方。這也是目前國創中心致力於研究的方向,這一塊恰好也是我們和國際上先進半導體器件廠家和設計廠家有差距的地方。顯性化的地方我們還是容易追趕的,而這些黑盒的地方我們首先得打開它,所以我對這個題目做這樣的解釋,從三個方面跟大家分享:
第一,車聯網半導體集成電路的主要特點。實際上車規級半導體集成電路,上面還有一層車用半導體器件,而車用半導體器件有三大類,三大類當中在車上用的比較多是下面這兩類,一類是分立器件,分別是二極體、電晶體、晶閘管、半導體元件和其他五大器件。集成電路是我們經常講的ECU,甚至我們經常講MCU,這部分是有計算能力的和處理能力的,它和分立器件是不同的兩類電路。這兩類在車輛上應用最多,其中傳感器分為車載和車身,車載ADAS分成超聲波雷達、雷射雷達、毫米波雷達、攝像頭,它是承載了眼睛、耳朵感知系統得來的,它的穩定性決定了後面一切。IGBT統稱為新能源汽車功率器件。電源器件現在發展前景主要是三代半導體遷移,前幾天在淄博舉行的新材料技術論壇,實際上有一部分就是三代半導體遷移,有可能國產晶片會在這層上做拐點,就是彎道可以超車部分,今天我們不分享這一塊,主要分享是材料方面。
這次主要分享的是集成電路這部分。車規級半導體集成電路的特點是什麼?我們看看它的模型,它承載了N個功能,這個功能集合通過激勵,對晶片形成性能集合。這個性能集合主要是三項:準確、準時和低功耗。對於一個晶片需要有這方面的能力,但是要組合,當我們設計出來的時候,或者剛製造出第一個晶片的時候,我們需要滿足T等於0這個條件,但是它的功能本身體現在什麼地方?一個是多核,在一個晶片上完全實現的低速和高速的多接口。高算力、大容量、高傳輸速率、射頻信號等等。要同時在一個晶片當中把所有電路完成,對集成能力、複雜度和工藝平臺穩定性的要求非常高,這是一個本質上的要求。這些提升會導致後續在設計難度上和工藝平臺穩定性上很難兼容,會造成下降。它會組合成什麼?晶片出來以後首先需要有高可靠性,而高可靠性體現在15年20萬裡程,得到這個比較準確的指標。其次是高安全性;還有就是高適應性、耐久性,工作溫度要在負40度到150度,這個要求非常高,要挑戰矽基材料機理。最後是高保密性,需要的是零信息洩露。這個要求非常難,在實現多維度、高功能的情況下,還要求有多維度的功能要求,就使得設計難度更加大了。
這些就是導致我們國產晶片非常困難的原因,不是生產不出來,主要是我們有很多約束。現在還沒有加入成本因素和小面積因素,使得我們難以形成產業化使用,並不是說設計不出來,是在很多維約束條件下,我們無法適合產業化。
我國車用半導體集成電路的現狀是什麼?第一我國自主生產的半導體集成電路基本上沒有批量生產,比如批量廠家會選擇國外晶片,尤其是EE系統。車規級這三個字怎麼定義?業界沒有很統一定義。另外,目前沒有第三方認證平臺支撐,國產想做好,想上車的這條通道都沒有,所以更多採用非常成熟的國外晶片。最後就是集成電路這一塊如何將照片導入ISO26262這件事,也需要進行最佳實踐。第二,安全性焦點問題。在眾多問題情況下提煉出來的可能沒有被大家認識到。事實上安全性首先是基於集合,功能方面在運行上是集合,其中出現故障狀態的話,可能是可靠性的問題,故障狀態下還出現了危險狀態,這個就是安全性問題。所以安全性焦點問題首先是高可靠性保障能力,目前這塊其實非常弱,因為基礎本身就弱。安全性更多表現在哪裡?這個沒有更多考慮到功能安全應用假設充分性保證。
下面看一下高可靠性保證能力,這些是我們提煉出來的。第一要使用更高製造工藝平臺,比如40納米平臺,在做車規級晶片的時候是非常有利的,面積也小,集成度也高,但是它的問題在於沒有被ISO26262認證過,如果用上了,有不穩定性、也有不確定性。第二做可靠性試驗還是做很多認證類試驗,往往我們對測試覆蓋性這一塊沒有太多的界定,就是說這個測試實際上來講,晶片廠自己聲稱測試覆蓋率是多少,而這個測試覆蓋率遠遠達不到車規級10的負6次方。。安全性前提是確保可靠性被評估過或者已經確定過的,如果沒有這些前提來談安全性,其實有隱患在裡面。最後一個還表現在固有可靠性的評估,在功能安全的認證過程當中是通過計算得出的,計算值和實際差異沒有進行論證,我們只是查表,我們做企業的清楚是查表過來的,但是真的是這樣的嗎?不一定。
我們看下這張圖,說明了ISO26262之間的可靠關係,一個晶片,電子類通常期望固有率缺陷比較少,失效率曲線越低越好。ISO26262功能安全是假設安全具有可靠性已經沒有了,在這種情況下來對產品或者晶片處於固有可靠性或者叫隨機可靠性情況,它的失效比例情況下來看其安全,這就是他們之間的邏輯關係。我們現在大多數不提可靠性測試,希望可測性設計無論如何要達到至少是零缺陷設計,同時達到百萬分之三到四的概率才可以。我們看一下現在是這樣的嗎?不是的,現在國內晶片企業沒有達到這一點,為什麼?因為測試覆蓋性和良率之間有比較強的相關性。測試覆蓋率達到99.99%測試覆蓋性,其實它的良率,如果說我的DFT是200,你的良率是10%,這就是我們目前的現狀,有可能廠家是比較高的,但是也不會太高,這個還是有賴於我們設計優化能力本身,並不是它做不出來,但是它的良率很低,你要測試性很高良率會更高,這也是矛盾點。
如果知道測試可靠性不是特別高的情況下,那能不能預測出來可能是多少?可以的,這個是能夠評估出來的,通過正向設計可以評估出來。評估出來有一個最大的問題是什麼?可靠性能力不確定情況下安全機制接管是沒有的,也就是說可靠性做可靠性的,功能安全做功能安全的。FMEDA計算與實際差異,安全機制接管之間的無縫銜接,目前我們在做這樣一個機制的建立。
功能安全中功能識別充分性和正確傳遞能力。實際上這個大家可能在功能安全審核當中遇到,就是說危害和風險評估安全目標實際上依賴於我們所提供的假設,就是說假設針對哪些事故場景來做功能安全,但是這些場景本身具有集合嗎?各說各話是不行的,我們也走訪了很多廠家,這方面是構成對物理世界認知的問題,還有事故場景描述的問題,它是否是集合的,通過整車傳遞到晶片層,這個是不是要有相應制度管理?還有一個在相同功能級別下實際安全功能保障率不同。
第三,目前對這幾個焦點問題的解決思路。高可靠性保證能力,零缺陷OFT設計必須深入到每一個設計當中。DFT覆蓋率測評,要延伸到IP提供方。測試方法不止是一次、兩次、三次甚至是N次,要根據電路模式的不同,根據不同的測試運力去進行測試。將可靠性階段拐點提前,因為篩選得不夠徹底,導致功能安全本身就存在漏洞。這些漏洞必須輸入到FMEA和FTA流程當中去,作為一個可控性的要素進行風險分析,形成參與風險,參與風險一定要交由安全機制接管理,如果不接管,功能安全就無從談起,這方面我們正在進行正向設計測評機制和測評方法論。
剛才講到沒有產品,沒有車規級產品體系,沒有測試體系,我們現在致力於建立垂直系統,垂直系統什麼概念?就是從器件級到子系統級,再到整車的垂直系統,它的可靠性測評,目前我們已經開始法團標,估計明年可以對外。另外以晶片為中心的產品標準體系,目前汽車價值鏈還沒有圍繞晶片為中心構建,我們要做好準備。現在很多情況下先選擇測試端進行標準體系建立,這是比較容易的。測試標準不斷豐富的同時,要不斷豐富迭代前端產品。要讓我們回答什麼問題?要回答說,這個晶片可以上車,而不是告訴你這個晶片不能上車。我們希望可以形成迭代關係,最終形成產品定義的指標集合。這些目前是由國創中心立足行業當中比較難的命題,但是解決思路上來講基本上已經進入建立的過程,已經申請到國家資金來開展這方面的工作,進展還比較順利。
這張圖就想說我們產品標準從何而來,晶片標準體系建立可以從以下幾個維度來講。這個模型是功能剖面基礎意義架構下的環境模型,因為在未來,我們首先提供的就是可靠性類標準,所以一定要研究功能剖面和環境剖面。在這種情況下我們把最基本的EE架構模型放在這裡,這四類晶片都會涉及到它的測試標準,相關的環境運力,相關的測試方法和測試條件,當然還會附帶測試什麼條目,測試什麼運力,尤其不同功能晶片測試的集合的完整性。基於這個模型也構建了我們的測試標準體系,這個標準體系在一些協會和學會上已經得到認可,然後進行相應的標準建立。
對於第二點提出的問題是功能識別的充分性。第一個方面是結構化定義外部世界、氣候環境、道路參與者和場景。結構化定義實際上就是場景庫的概念,但是場景庫本身應該是多維的,尤其是對於功能安全認證來講,它不僅僅是單一的場景本身,應該有道路參與者,尤其要定義氣候環境和整個外部環境,成為庫以後可以發布並成為一項行業資源,只有統一這樣的行業資源,再去分解整車的這些功能才有依據,集合才是完整的。不斷搜集、結構化定義這些場景,然後輸送到最前端的行業中去,這個事情是非常有意義的。這是第一點,我覺得集合的完整性需要國家的整體機制來保證。
第三就是很基礎的工作,為什麼我們對功能結構化定義,構建可便利失效模式的,功能描述標準語法,這樣探究性就不全,因此還是應該把本身劃定,這個邏輯就成立了。如果場景都不優化,後續FMEA就是模糊的,國內外企業基礎的差距就在這個地方。功能辦法是可以語法化的,語法化的話結構就可以定義了。第三點是在遍歷的基礎上,確保「可探測性」覆蓋率以及「未探測「的安全機制接管。第四點是垂直系統,以晶片為中心,將垂直系統合理要求,輸入到晶片需求端,確保可測試性。如果想探測,在前面設計電路的時候必須把測試電路設計出來,往往這種設計測試電路是超越了它原有可測試性設計本身電路,要增加它的物理面積,增加設計的代價,但是這個對於車規級晶片來講是值得的,它必須按照這樣的思維去做設計。這也是我們區別於國外晶片的地方,如果我們沒有這樣的開始,我們就不會走向優化,不走向優化就不會帶來產業利潤效益,所以總得有一個從零的開始。
下面這張圖就說了從晶片的晶圓級到整車。最後我說一下,未來智能車來了以後最大挑戰不是控制器晶片,最大挑戰來自於傳感器類晶片,它的射頻、測試性,其實測試的技術無法覆蓋。未來我們在傳感類晶片、射頻晶片以及高算力的晶片方面可能會產生很大的問題。
我就分享到這裡,謝謝大家!
(註:本文根據現場速記整理,未經演講嘉賓審閱,請勿轉載)