如何設(shè)計一個車規(guī)級ECU?

作者：左成鋼時間：2025-03-25 來源：汽車電子與軟件

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢

在發(fā)明汽車近一百年后，汽車電子技術(shù)才迎來了快速發(fā)展及應用，在此之前的很長一段時間，車上唯一的電子模塊可能就是收音機。而現(xiàn)在，一輛現(xiàn)代化轎車上通常需要安裝 50 個以上的電子模塊，整車電線長度超過 3km。

本文引用地址：http://2s4d.com/article/202503/468594.htm

在眾多的車載電子模塊中，與車輛控制及安全緊密相關(guān)的就是各種各樣的 ECU 。ECU 的車載應用最早可以追溯到 1968 年，距今已有半個多世紀。圖1 為 1968 年大眾的一款掀背車廣告，當時隨著排放法規(guī)的發(fā)布，大眾量產(chǎn)了全球第一輛采用 ECU 來控制發(fā)動機燃油噴射的汽車，當時廣告宣傳的名字為電子大腦（Electronic Brain），廣告的標題為“大眾電子大腦，比化油器更聰明”，從“電子大腦”這個名字就能感受到當時人們對車輛電子化及智能化的憧憬。

圖1 1968 年大眾一款掀背車的廣告

實際上，汽車電子化在更早之前的 1955 年便開始了。隨著第一臺晶體管汽車收音機的推出，便拉開了汽車電子化的歷史大幕。此后，汽車電子技術(shù)迅速發(fā)展，各種電子模塊如雨后春筍般被發(fā)明出來，并廣泛應用于各種車輛上，如 ABS、安全氣囊系統(tǒng)、電子控制門鎖系統(tǒng)、衛(wèi)星導航系統(tǒng)、車輛防盜系統(tǒng)等。根據(jù) Statista.com 的數(shù)據(jù)，在此期間，汽車中電子設(shè)備價值的整車占比躍升了 10 倍以上，從 20世紀 60 年代占汽車成本的 3% 上升到 2020 年的約 40%，預計在 2030 年后將達到 50% 以上。

01 什么是ECU

通常所說的 ECU，是 Electronic Control Unit 的縮寫，ECU 又稱電子控制單元或電控單元，是汽車電子系統(tǒng)中用來控制電子電氣系統(tǒng)及汽車子系統(tǒng)的嵌入式系統(tǒng)。而發(fā)動機控制器（Engine Control Unit）的縮寫也為 ECU，為避免混淆，發(fā)動機控制器一般簡稱為發(fā)動機 ECU。汽車上存在大量用于實現(xiàn)控制功能的嵌入式系統(tǒng)模塊，這些模塊可以統(tǒng)稱為電子控制模塊或電控模塊，它們同其他一些不實現(xiàn)控制功能的汽車電子模塊，如儀表、影音娛樂、導航模塊等，統(tǒng)稱為電子模塊。

汽車電子技術(shù)發(fā)展到現(xiàn)在，設(shè)計一輛汽車成了一件極其復雜的事情，而這其中很大一部分要歸因于車輛電氣化、智能化帶來的 ECU 數(shù)量的不斷增加。如今的中型燃油轎車，ECU 可能多達 70 個，豪華車的ECU 通常超過 100 個，各個 ECU 負責相應的控制功能。

如圖2 所示，ECU 從本質(zhì)上來講，就是一個輸入—處理—輸出系統(tǒng)，即 IPO 系統(tǒng)（Input-Process-Output），也稱為 SPA 模型（Sense-Plan-Act ）。

圖2 ECU 功能示意圖

簡單來講，ECU 只做三件事情：采集信號、信號處理和輸出處理結(jié)果。

1.1 采集信號

采集信號即通過各種方式（有線或無線）采集輸入 ECU 的各種信號（數(shù)字或模擬信號）。

有線信號：通過線纜直接輸入的信號，硬線信號如各類開關(guān)信號、傳感器信號等。
通信信號：通過通信方式如串行外設(shè)接口（Serial Peripheral Interface，SPI）、控制器局域網(wǎng)（Controller Area Network ，CAN）、局域互聯(lián)網(wǎng)絡(luò)（Local Interconnect Network ，LIN）或以太網(wǎng)（Ethernet）等。
無線信號：如低頻（Low Frequency，LF）信號、射頻（Radio Frequency，RF）信號、藍牙（Bluetooth，BLE）信號等。
數(shù)字信號：簡單的如高有效或低有效的開關(guān)信號，或如脈沖寬度調(diào)制（Pulse-Width Modulation ，PWM）形式的調(diào)制信號，復雜的如數(shù)字攝像頭信號。
模擬信號：如各種溫度、壓力、角度傳感器信號，雨量傳感器信號等，模擬信號一般在輸入 ECU 后都需要再轉(zhuǎn)為數(shù)字信號，然后才能進行處理。

1.2 信號處理

ECU 通常采用嵌入式系統(tǒng)，處理器通常為 MCU 。MCU 通常具有處理開關(guān)數(shù)字信號、模擬信號、PWM 信號、CAN/LIN/ 以太網(wǎng)通信信號的接口。但大多數(shù)時候，這些信號都需要經(jīng)過專門的信號處理 / 轉(zhuǎn)換電路或芯片，經(jīng)處理后轉(zhuǎn)化為 MCU 可識別的信號，然后才能進行最終處理，具體算法或策略則根據(jù)應用而定。

1.3 輸出結(jié)果

ECU 輸出結(jié)果的方式也根據(jù)應用的不同差異較大，既可以僅輸出控制信號，通過如繼電器等間接方式驅(qū)動負載；也可以直接控制，通過大電流輸出的方式直接驅(qū)動負載。輸出信號可以通過有線或無線方式，有線方式既可以是硬線信號，也可以是通信信號。

最初，人們?yōu)榱丝刂婆欧牛l(fā)明了發(fā)動機 ECU；為了被動安全，發(fā)明了 ABS 和安全氣囊；為了乘車的舒適性及便利性，發(fā)明了座椅控制器和電子控制門鎖系統(tǒng)；為了減輕長途駕駛的疲勞，發(fā)明了自動巡航系統(tǒng)?？v觀近半個多世紀，車輛技術(shù)的發(fā)展史基本就是各種 ECU 及電子模塊的發(fā)明史，電子技術(shù)對車輛技術(shù)的發(fā)展貢獻巨大。

02 如何設(shè)計一個ECU

任何產(chǎn)品設(shè)計，無論是消費品、工業(yè)品或汽車零部件，實際上都遵從相同的設(shè)計理念，也就是說，產(chǎn)品設(shè)計的底層邏輯實際上是互通的。

2.1 設(shè)計要求

在做一個產(chǎn)品設(shè)計時，通常首先考慮的是其功能的實現(xiàn)，在此基礎(chǔ)上再考慮其他有形或無形的一些要求，例如：

滿足行業(yè)標準要求。
滿足客戶標準要求。
滿足客戶成本要求。
滿足客戶項目周期要求。
盡可能采用最新的技術(shù)。
盡可能降低開發(fā)成本。
盡可能降低 BOM 成本。
盡可能降低生產(chǎn)成本。

汽車行業(yè)標準及客戶標準都較為復雜，同時產(chǎn)品的成本要求又極高，項目周期也較消費級和工業(yè)級要長。同時，因為可靠性要求很高，車輛的開發(fā)成本也較其他行業(yè)要高得多。以上這些復雜的要求暫時先拋開不談，下面先從基礎(chǔ)功能實現(xiàn)的角度出發(fā)，介紹一個 ECU 的設(shè)計過程。

2.2 設(shè)計流程

ECU 的產(chǎn)品設(shè)計，簡單來講，通?？煞譃橐韵聨撞剑?/span>

系統(tǒng)設(shè)計。
硬件與結(jié)構(gòu)設(shè)計。
軟件設(shè)計。
產(chǎn)品測試。

2.2.1 系統(tǒng)設(shè)計

如圖3所示，ECU 系統(tǒng)框圖包含了其與外部的連接關(guān)系及內(nèi)部的系統(tǒng)原理。

圖3 可以理解為一個 ECU 最小系統(tǒng)，其中包含：

1. 電源部分。電源部分包含電源輸入（乘用車通常為 12V 系統(tǒng)，商用車為 24V 系統(tǒng)）和 ECU 內(nèi)部的電壓轉(zhuǎn)換部分。ECU 內(nèi)部的芯片，如 MCU、運算放大器、邏輯芯片等，工作電壓通常為 5V 或 3.3V，這就需要電源芯片對電源電壓進行轉(zhuǎn)換，壓差較小或小電流應用通常采用低壓差線性穩(wěn)壓器（Low Dropout Regulator ，LDO），壓差較大或大電流應用則通常采用直流轉(zhuǎn)直流（ Direct Current to Direct Current ，DC/DC）電源芯片，如需要多個電源軌，則通常采用電源管理芯片（Power Management Integrated Circuit ，PMIC ）。

圖3 ECU 系統(tǒng)框圖

2. 信號部分。輸入信號是最簡單的硬線開關(guān)信號，可以是高有效（開關(guān)閉合時接通電源）或低有效（開關(guān)閉合時接通車身地，即常說的搭鐵）。信號輸入到 ECU 后，通過信號處理電路將信號轉(zhuǎn)化為 MCU 可識別的電壓信號。

3. 處理部分。ECU 通常是一個嵌入式系統(tǒng)，用 MCU 執(zhí)行相應的信號處理工作。MCU 的外圍電路通常較為簡單，僅需要電源及晶振即可正常工作。

4. 輸出部分。MCU 作為處理芯片，受限于驅(qū)動能力，通常無法直接驅(qū)動任何負載，所以在 ECU 設(shè)計中會使用專門的驅(qū)動電路或芯片來直接或間接驅(qū)動負載工作。圖3 即為 ECU 直接驅(qū)動燈類負載工作。

2.2.2 硬件及結(jié)構(gòu)設(shè)計

不同于軟件設(shè)計，硬件設(shè)計和結(jié)構(gòu)設(shè)計都屬于具體的實物設(shè)計。結(jié)構(gòu)設(shè)計和硬件設(shè)計通常會同步進行，并相互影響。對 ECU 來講，結(jié)構(gòu)設(shè)計通常包括殼體設(shè)計、連接器設(shè)計、散熱設(shè)計等，設(shè)計時主要考慮產(chǎn)品尺寸、安裝方式、安裝位置、防護等級、機械強度等。

簡單來講，硬件設(shè)計主要包括器件選型、設(shè)計原理圖、創(chuàng)建 BOM、設(shè)計 PCB 等。圖4 為一個簡化的 ECU 原理圖，其中包含接口部分、電源部分、輸入檢測部分、MCU 控制部分以及輸出驅(qū)動部分。

原理圖設(shè)計完成后就可以導出產(chǎn)品的初始 BOM，表 1 為一個產(chǎn)品的 BOM 舉例。通常意義上的 BOM 僅僅是一個物料清單，類似于人們?nèi)コ匈徫锪械馁徫锴鍐?，但對一個汽車 ECU 來講，BOM 絕不僅僅是 BOM，它同時包含了非常多的其他信息。如表 1 中的 BOM 至少包含了以下信息：器件位置（頂層或底層）、物料編碼、物料描述、數(shù)量、位號、封裝、器件制造商、制造商物料編碼等。

圖4 簡化的 ECU 原理圖

表 1 BOM 物料清單

BOM 對一個產(chǎn)品來講極其重要，從 ECU 設(shè)計前期開始，貫穿了整個 ECU 的一生。BOM 并不是通常認為的設(shè)計完成后就一成不變，相反，BOM 是鮮活的，是有生命的，是隨著 ECU 一直在更新和進化的；BOM 見證了 ECU 的一生，從 ECU 的誕生到成長，從成熟到淘汰。

PCB 設(shè)計完成后就可以外發(fā)給 PCB 制板廠制板，工廠收到PCB 后就可以根據(jù) BOM 進行 PCB 貼片，貼片完成后的電路板稱為電路板總成（PCB Assembly ，PCBA），如圖5 所示。PCBA 制作完成后會和結(jié)構(gòu)設(shè)計進行校核，此時的殼體通常為 3D 打印樣件，在確認設(shè)計匹配沒有問題后才會下達開模指令進行開模。

實際上硬件設(shè)計工作遠不止原理圖及 PCB 設(shè)計，結(jié)構(gòu)設(shè)計也不止殼體設(shè)計，還有大量的設(shè)計分析、測試驗證及流程文檔工作，這里暫不做過多描述。

2.2.3 軟件設(shè)計

基于這個 ECU 最小系統(tǒng)，再加入一些軟件邏輯， ECU 便可以工作了。

圖5 PCB 與 PCBA

假定客戶需求如下：

輸入信號 1 有效，則紅燈亮，無效則紅燈滅。
輸入信號 2 有效，則綠燈亮，無效則綠燈滅。

根據(jù)以上需求制定的軟件邏輯如圖 6 所示。

圖6 ECU 軟件邏輯示意圖

實際上軟件設(shè)計工作遠不止于此，通常意義上的嵌入式設(shè)計包括底層軟件設(shè)計、模塊設(shè)計、系統(tǒng)集成，除此之外還有網(wǎng)絡(luò)通信、診斷、軟件測試驗證及流程文檔工作，這里暫不做過多描述。

2.2.4 產(chǎn)品測試

通常人們認為產(chǎn)品測試就是指產(chǎn)品的功能測試，如根據(jù)上面提出的產(chǎn)品功能，可以設(shè)計如下測試計劃：

在輸入信號 1 、2 均無效的狀態(tài)下，接通 ECU 電源。
使輸入信號 1 有效，紅燈亮。
使輸入信號 1 無效，紅燈滅。
使輸入信號 2 有效，綠燈亮。
使輸入信號 2 無效，綠燈滅。

實際對汽車電子產(chǎn)品來講，產(chǎn)品測試遠不止于此。汽車電子產(chǎn)品測試通?？煞譃檠邪l(fā)階段測試、設(shè)計驗證（Design Validation ，DV）測試和量產(chǎn)后的產(chǎn)品驗證 PV（Product Validation ，PV ）測試。從側(cè)重點來講，研發(fā)階段測試側(cè)重于產(chǎn)品的功能、性能、可靠性及參數(shù)等方面的測試，PV 測試則側(cè) 重于檢驗產(chǎn)品大批量生產(chǎn)的工藝、質(zhì)量穩(wěn)定性及一致性。

DV 測試作為檢驗汽車電子零部件產(chǎn)品硬件設(shè)計質(zhì)量的一種測試手段，是一個重要的時間節(jié)點。DV 測試通常意味著產(chǎn)品設(shè)計的定型，因為硬件設(shè)計及結(jié)構(gòu)設(shè)計在 DV 測試前需要設(shè)計凍結(jié)，即不再允許進行任何設(shè)計更改，DV 測試結(jié)束后產(chǎn)品才被允許進入小批量試生產(chǎn)階段，然后才能量產(chǎn)。

另外，不同于其他行業(yè)，汽車電子產(chǎn)品通常需要進行 100% 產(chǎn)品檢測及 100% 功能測試，也就是說，每個產(chǎn)品下線前都必須進行檢測，而非抽檢；檢測時，每項硬件功能都需要進行 100% 測試，而非抽檢個別功能，這種測試在汽車行業(yè)稱為下線檢測（End of Line ，EOL），嚴格的 EOL 下線檢測流程雖然增加了生產(chǎn)時間、降低了生產(chǎn)效率，但卻有效地保證了產(chǎn)品的質(zhì)量。

03 電子模塊的車載應用及生產(chǎn)要求

對于消費級產(chǎn)品或工業(yè)級產(chǎn)品來講，功能實現(xiàn)距離商用已不太遠，而對于汽車行業(yè)來講，僅僅實現(xiàn)了基本功能的原型機，通常只能稱之為演示樣品（Demonstration ，Demo），意思就是僅僅可以作為功能演示之用，距離實際的車載應用還很遙遠。

除基本的功能要求外，車載應用還需要面對嚴苛的車輛內(nèi)外部環(huán)境、復雜的電氣及電磁環(huán)境、高可靠性及安全性要求、長壽命要求、低成本要求、生產(chǎn)制造可行性要求、批量一致性要求等。

3.1 嚴苛的車輛內(nèi)外部環(huán)境

相對于消費級或工業(yè)級產(chǎn)品，車載產(chǎn)品所面對的內(nèi)外部環(huán)境則要嚴苛得多，具體如下。

3.1.1 耐溫要求

汽車使用環(huán)境的溫度范圍從最熱的沙漠到最冷的極地，車載電子模塊需要在各種狀況下正常工作。
研究表明，汽車的駕駛艙工作溫度范圍為 -40~85℃。
發(fā)動機艙溫度為 -40~125℃,其某些低溫區(qū)域也要求達到 105 ℃。

車載應用要求的極寬的溫度變化范圍，對汽車電子設(shè)計來講是一個極高的挑戰(zhàn)，尤其是對于電子元器件來講，高溫會帶來很多問題。以電阻器為例，電阻器的額定功率會隨溫度升高而降低，設(shè)計時就必須考慮溫度變化產(chǎn)生的降額，如在溫度超過 70℃后，功率需要按 1.25%/℃進行降額使用。再如功率芯片，如果最高允許結(jié)溫為 170℃,而環(huán)境溫度為 125℃,再疊加殼體密封的溫度影響，及功率芯片因高溫帶來的導通阻抗升高、發(fā)熱增大，綜合影響下，功率芯片的工作溫度就僅有不到 40℃的設(shè)計裕量。

3.1.2 耐濕度及防水要求

車載電子模塊要求在所有的濕度范圍（相對濕度 10%~ 100%）內(nèi)能夠正常工作。
高相對濕度會導致水汽進入某些電子元器件內(nèi)部，導致電子模塊損壞。
某些產(chǎn)品應用要求完全防水，即使采用高溫高壓噴水，或完全浸入水中亦能正常工作。

3.1.3 耐灰塵、污垢及鹽霧

車載電子模塊根據(jù)安裝位置不同，有不同的耐灰塵、污垢及鹽霧的要求。對于裸露安裝的產(chǎn)品，均要求有相應的防水、防塵等級，對產(chǎn)品上的金屬材料，如殼體、金屬支架、螺釘?shù)葎t必須具有相應的耐鹽霧腐蝕的能力。

通常來講，產(chǎn)品的防護等級分為兩部分：防塵和防水，二者是相互獨立的。對車載電子產(chǎn)品來講，在對產(chǎn)品的防護等級做出要求時，通常是對二者均有要求。如按照國標 GB/T 4208—2017 《外殼防護等級（IP 代碼）》的規(guī) 定，第一位特征數(shù)字表示防止固體異物進入的防護等級，第二位特征數(shù)字表示防止水進入的防護等級。如 IP57，“5”表示防塵，“7”表示短時間浸水，產(chǎn)品達到 IP57 就表示可以防塵和防短時間浸水。

3.1.4 耐機械振動、沖擊

車輛的應用環(huán)境極其多樣化，從城市到鄉(xiāng)村、再到野外，車輛需要應對不同的復雜路況，車載電子模塊也需要能夠在各種機械振動和沖擊下正常工作。以國內(nèi)某大型乘用車 OEM 的振動測試標準為例，標準從輕度、中度、劇烈到極度劇烈共分 9 個等級，極度劇烈的最高加速度為 294m/s2,近 30g，而戰(zhàn)斗機飛行員最大可以承受的加速度是10g。

參考汽車行業(yè)標準，車載電子模塊需要面對的外部環(huán)境條件可以概括如圖7 所示。

圖7 車載電子模塊需要面對的外部環(huán)境條件

3.2 極其復雜的電氣及電磁環(huán)境

車載電子模塊在面對嚴苛的外部環(huán)境條件的同時，還需要面對更加復雜的內(nèi)部電氣及電磁環(huán)境條件，這個挑戰(zhàn)甚至比外部環(huán)境更加嚴苛。參考汽車行業(yè)標準，車載電子模塊需要面對的電氣和電磁環(huán)境包括：

供電電壓。12V 系統(tǒng)：9~16V；24V 系統(tǒng)：16~32V。
反向電壓。12V 系統(tǒng)：-14V/1min；24V 系統(tǒng)：-28V/1min。
電壓瞬降。12V 系統(tǒng)：4.5V/100ms；24V 系統(tǒng)：9V/100ms。
跳線啟動。12V 系統(tǒng)：24V/1min。
啟動特性。12V 系統(tǒng)：3V/4.5V；24V 系統(tǒng)：6V/8V。
拋負載。12V 系統(tǒng)：87V/400ms；24V 系統(tǒng)：174V/350ms。
傳導抗擾。12V 系統(tǒng)：150V/-150V；24V 系統(tǒng)：300V/-600V
電磁輻射抗干擾及抗大電流注入干擾（BCI）。頻率從 kHz 級別到 GHz 級別，電場強度高達 200V/m。
靜電放電（ESD）。高達 25kV。

參考汽車行業(yè)標準，車載電子模塊需要面對的電氣及電磁環(huán)境條件可以概括如圖 8 所示。

圖8 車載電子模塊需要面對的電氣及電磁環(huán)境條件

3.3 高可靠性及安全性要求

3.3.1 可靠性要求

通常意義上講的可靠性是指產(chǎn)品在一定時間內(nèi)或在一定條件下無故障地執(zhí)行指定功能的能力，這個能力可以通過 dppm 值、FIT 值、MTBF 值等數(shù)據(jù)來進行度量，進而評價產(chǎn)品的可靠性。

通常認為一輛車由幾萬個零部件組成，一個電子模塊作為一個零部件來說，通常由數(shù)百至上千個電子元器件組成。以圖 9 為例，如果一個器件的故障率為 1dppm，對于一百萬輛車來講，就可能會有 1000 輛車的電子模塊存在缺陷，而一輛車上的電子模塊數(shù)量往往在 50 個以上。

圖9 器件 1dppm 缺陷對一百萬量車的影響

汽車行業(yè)中，汽車制造商（OEM）對質(zhì)量問題通常用 ppm 來量化，對 ECU 這種電子零部件，一般要達到 10ppm 以內(nèi)，也就是百萬數(shù)量中只允許出現(xiàn)幾個不良品。電子元器件供應商則常采用 dppm 來衡量元器件的不良率，通?？梢宰龅?1dppm 以內(nèi)。

但對于車載電子模塊來講，由于其應用場景及功能的復雜性，簡單采用 dppm 或 FIT 值來衡量其可靠性是不合適的。對此，汽車行業(yè)國家標準 GB/ T 28046.1—2011（對應 ISO 16750-1 ：2006）《道路車輛電氣及電子設(shè)備的環(huán)境條件和試驗第 1 部分：一般規(guī)定》對被測設(shè)備（Device Under Test， DUT）在試驗期間及試驗后所處的功能狀態(tài)進行了清晰地分級，這個分級方法提供一個很好的參考。

GB/T 28046.1—2011 中的功能狀態(tài)分為 A 、B 、C 、D 、E 共五個等級。

A 級：試驗中和試驗后，裝置 / 系統(tǒng)所有功能滿足設(shè)計要求。
B 級：試驗中裝置 / 系統(tǒng)所有功能滿足設(shè)計要求，但允許有一個或多個超出規(guī)定允差。試驗后所有功能應自動恢復到規(guī)定限值。存儲器功能應符合 A 級。
C 級：試驗中裝置 / 系統(tǒng)一個或多個功能不滿足設(shè)計要求，但試驗后所有功能能自動恢復到正常運行。
D 級：試驗中裝置 / 系統(tǒng)一個或多個功能不滿足設(shè)計要求且試驗后不能自動恢復到正常運行，需要對裝置 / 系統(tǒng)通過簡單操作重新激活。
E 級：試驗中裝置 / 系統(tǒng)一個或多個功能不滿足設(shè)計要求且試驗后不能自動恢復到正常運行，需要對裝置 / 系統(tǒng)進行修理或更換。

ISO 16750 的 5 個標準 (1~5) 已全部升級為 2023 版，即 ISO 16750-1/2/3/4/5:2023，發(fā)布時間為 2023 年 7 月 , 對應的國家標準 GB/T 28046 尚未更新，故本書仍沿用現(xiàn)行國標對應的 ISO 版本。

對于車載電子模塊來講，不同的應用場景下，對應的不同功能需要滿足不同的可靠性等級，這從某種程度上提高了車載應用對電子模塊可靠性的要求。如車門解鎖的可靠性，車輛在正常非行駛狀態(tài)下，即使偶爾解鎖功能失效一次，乘客再次執(zhí)行操作即可，這個偏差是可以接受的，也不會影響使用體驗。但如果是在發(fā)生碰撞事故后，車門的自動解鎖功能出現(xiàn)偏差或失效，那就可能關(guān)乎乘客的生命。

參考 ISO 26262-5 ：2018 《道路車輛功能安全》（對應 GB/T 34590.5— 2022）標準，若某個電子模塊的某個功能定義的功能安全等級為 ASILB，則其相應的硬件失效概率要求為 100 FIT，從某種意義上則可以認為其 MTBF 為 107h，即平均預期可安全工作時間為一千萬 h，約等于 1141.5 年。而對于轉(zhuǎn)向、制動等功能，功能安全等級要求則更高，達到 ASIL D 級別，為 10 FIT 。ISO 26262-5 ：2018 對隨機硬件失效目標值的規(guī)定見表 2。

表 2 ISO 26262-5：2018 對隨機硬件失效目標值的規(guī)定

3.3.2 安全性要求

對車載應用來講，電子模塊的可靠性和安全性的側(cè)重點有所不同?？煽啃詡?cè)重于電子模塊可靠地實現(xiàn)其相應功能而不發(fā)生故障或失效，而安全性則側(cè)重于在其功能未達到設(shè)計要求或功能失效后帶來的影響。安全性通常又可以分為兩方面：一是財產(chǎn)安全，二是人身安全。

財產(chǎn)安全。如自動落鎖功能失效導致車內(nèi)財物被盜，或者電子模塊防盜性能較差導致車輛被盜。
人身安全。車輛涉及人身安全的地方很多，但對隸屬于電子電氣系統(tǒng)的電子模塊來講， ISO 26262 標準是一個很好的參考。ISO 26262 標準涵蓋的范圍主要是與安全相關(guān)的電子電氣系統(tǒng)（Electrica/Electronic Safety-Related Systems），如娛樂系統(tǒng)的音樂播放功能就不在此范圍內(nèi)。

對于需要考慮人身安全的電子模塊功能，在功能失效后可以采取不同的安全機制，如 Fail-Safe（故障安全）和 Fail-Operation（故障工作），其目的是確保電子模塊發(fā)生故障時，對駕駛員、乘客和行人所造成的危害風險降低，并控制在可接受的范圍內(nèi)。

以車輛的近光燈控制功能為例，如果電子模塊的近光燈控制功能發(fā)生故障，F(xiàn)ail-Safe 的安全機制可以是強制開啟近光燈功能（無論當前近光燈功能是否開啟）；而 Fail-Operation 的安全機制則可以是依據(jù)駕駛員的操作決定是否開啟或關(guān)閉近光燈。相較于電子模塊的正常工作狀態(tài)，其差異在于 Fail- Operation 是電子模塊的故障監(jiān)測電路檢測到電子模塊故障后，將控制功能交給冗余控制電路。

電子模塊設(shè)計中常用的 Limphome（跛行回家）功能就是一種冗余設(shè)計。如圖10 所示，Limphome 電路在電子模塊正常工作時處于關(guān)閉狀態(tài)，當監(jiān)測電路檢測到電子模塊故障持續(xù)時間超過一定時間（如 128ms），監(jiān)測電路便會輸出一個 Limphome 信號，Limphome 功能便會被激活，電子模塊進入 Limphome 模式，Limphome 電路將立即接管設(shè)定的控制功能。隨后如果電子模塊故障解除，Limphome 信號便會無效，Limphome 電路也即自動關(guān)閉，控制權(quán)將被重新交給電子模塊。

圖10 一種 Limphome 電路設(shè)計

3.4 長壽命要求

汽車作為一種特殊的工業(yè)消費品，其同時具有大宗消費品及耐用品的雙重屬性。大宗消費品意味著消費者的消費頻次很低，耐用品意味著消費者對其使用壽命要求很高。通常來講，車輛的設(shè)計壽命為 10~15 年，行駛里程為 20 萬 ~30 萬 km，乘用車的質(zhì)保通常是 3 年或 6 萬 km。而實際上一輛現(xiàn)代轎車的使用壽命很容易達到 15 年以上，行駛里程可達 100 萬 km 以上。

對于車輛設(shè)計來講，除易損件外，其他零部件必須做到整車等生命周期，這其中就包括所有的車載電子模塊。除車輛使用壽命和行駛里程外，車輛生命周期還有其他一些維度數(shù)據(jù)，見表3。

表3 車輛生命周期維度數(shù)據(jù)對比

長生命周期將帶來兩個問題：一個是電子模塊的壽命問題，一個是電子模塊的長期供貨問題。

3.4.1 電子模塊的壽命

對一輛具體的車來講，長生命周期意味著電子模塊的壽命必須足夠長，即在其壽命內(nèi)必須可靠工作，且性能不發(fā)生劣化，這就意味著：

電子模塊采用的電子元器件壽命必須滿足要求，不能在設(shè)計壽命內(nèi)出現(xiàn)參數(shù)及性能劣化。
電子模塊設(shè)計時必須考慮元器件壽命老化帶來的參數(shù)變化影響，保證電子模塊在其壽命內(nèi)必須可靠工作。
電子模塊的 DV 測試必須包含長時間的壽命加速試驗，如 1000h 以上的高溫老化試驗，以驗證產(chǎn)品設(shè)計。

以電子模塊設(shè)計中最常用的電阻器為例，電阻器是電路設(shè)計中最常見的一種電子元器件，電阻器按參數(shù)可以簡單分為四個維度，即阻值、精度、功率及封裝。在汽車電子模塊設(shè)計時，電路計算通常不會按照電阻器的標稱精度進行計算，如 5% 精度的電阻器，通常按照 8% 精度進行計算，這就是考慮了溫度及壽命老化對標稱精度的影響。

3.4.2 電子模塊的長期供貨

對一個車型來講，持續(xù)生產(chǎn)時間一般為 5~8 年，有時可長達數(shù)十年。而對電子模塊來講，OEM 為降低成本，經(jīng)常將同一電子模塊用于不同的車型，所以電子模塊的供貨時間通常遠長于一個車型的生命周期，這就意味著：

電子模塊采用的所有型號的電子元器件，其生命周期要足夠的長，不能 3 年或 5 年就停產(chǎn)，導致需要重新選型或切換供應商。所以元器件的長生命周期是保證供貨連續(xù)性的基礎(chǔ)，汽車電子元器件的持續(xù)供貨時間通常需要超過 15 年，甚至 20 年以上。
在漫長的車型生命周期內(nèi)，零部件及車型的變更管理將變得極其重要。在此期間，不管是車型還是電子模塊都會面臨一系列的變更問題，同時由于汽車行業(yè)供應鏈極長且復雜，中間會涉及多級供應商的變更，包括原材料、生產(chǎn)工藝、生產(chǎn)場地等，進而帶來產(chǎn)品重新測試驗證及車輛的測試驗證工作。

先解釋幾個汽車行業(yè)內(nèi)的專業(yè)名詞：

PCN ：Product/Process Change Noti?cation，產(chǎn)品 / 工藝變更通知。
PCR ：Product/Process Change Request，產(chǎn)品 / 工藝變更請求。
SCR ：Supplier Change Request ，供應商變更請求。

以電子模塊為例，如果用到的一個芯片的生產(chǎn)工藝發(fā)生了變更（實際上對電子元器件來講這是經(jīng)常發(fā)生的事情），芯片供應商會發(fā) PCN 給電子模塊供應商，對電子模塊供應商來講，這是一個 SCR。電子模塊供應商在評估后會將其轉(zhuǎn)化為內(nèi)部的PCR，即電子模塊的變更，并通知汽車制造商（OEM）。OEM 在收到 SCR 后也會進行評估，并安排對新型號的電子模塊進行測試驗證，驗證通過后才能切換新型號的電子模塊。

汽車對高可靠性的要求疊加車型的長生命周期，必然帶來汽車行業(yè)對零部件長期供貨的穩(wěn)定性、可靠性及一致性的要求，這就可以解釋為什么汽車行業(yè)對變更管理如此重視，以及對變更流程的管控如此嚴格。

3.5 低成本要求

消費者在做購買汽車的決策時，成本是一個重要的考慮因素。而對 OEM 來講，一輛車由上萬個零部件組成，OEM 需要對幾百家供應商進行成本管控，具體到每個汽車零部件的設(shè)計，成本就變得尤為重要。

一個電子模塊通常由數(shù)百到上千個電子元器件及其他結(jié)構(gòu)件組成，這就意味著電子模塊制造商需要：

在電子模塊項目報價階段，可以根據(jù)客戶需求準確預估未來量產(chǎn)的產(chǎn)品價格。
在設(shè)計階段能夠精確控制產(chǎn)品的物料成本、設(shè)計成本及測試成本。
在量產(chǎn)后能夠很好地控制產(chǎn)品的生產(chǎn)成本。

電子模塊產(chǎn)品通常在設(shè)計前期就必須考慮系統(tǒng)方案的成本，設(shè)計階段還需要經(jīng)過幾輪成本導向設(shè)計（ Design To Cost ，DTC）迭代，并且在電子模塊生命周期內(nèi)還要經(jīng)歷多輪成本優(yōu)化，其中很重要的一個方法就是通過技術(shù)手段進行技術(shù)成本優(yōu)化（Cost Technical Optimization ，CTO），如進行低成本元器件替代，切換元器件供應商，采用新材料、新生產(chǎn)工藝等。

3.6 生產(chǎn)制造可行性要求

汽車作為大批量生產(chǎn)的工業(yè)消費品，暢銷車型年產(chǎn)量超過十萬輛、車型生命周期內(nèi)超過百萬輛是很常見的。而作為零部件的電子模塊，因為存在較多不同車型共用的情況，電子模塊的產(chǎn)量實際上會更大，這就要求電子模塊在設(shè)計前期必須考慮大批量生產(chǎn)制造的可行性，汽車行業(yè)通常將之稱為可制造性設(shè)計（Design for Manufacturability ，DFM ）。

以電子模塊設(shè)計為例， DFM 通常需要考慮：

結(jié)構(gòu)件是否便于生產(chǎn)裝配。
是否有相應的工裝、夾具或設(shè)備。
是否有特殊工裝或工藝要求。
結(jié)構(gòu)件、連接器是否有防呆設(shè)計（如防裝反等）。
產(chǎn)品設(shè)計是否會導致生產(chǎn)一致性問題。
殼體卡扣設(shè)計在裝配時是否有聽見“咔嗒”聲。
產(chǎn)品下線檢測程序是否可覆蓋產(chǎn)品的全部功能。

3.7 批量一致性要求

電子模塊在大批量且長時間生產(chǎn)過程中，產(chǎn)品的批量一致性顯得尤為重要。批量一致性主要取決于兩方面：一是產(chǎn)品設(shè)計方面，二是產(chǎn)品生產(chǎn)方面。電子模塊在設(shè)計時就必須考慮大批量生產(chǎn)時的一致性問題，這個主要通過產(chǎn)品設(shè)計和生產(chǎn)工藝共同來保證。而在產(chǎn)品量產(chǎn)后，由于產(chǎn)品的頻繁變更帶來的一致性問題則更為復雜和棘手，為此汽車電子行業(yè)針對產(chǎn)品變更制定了極為復雜、詳細且嚴格的變更流程及變更規(guī)則。

對電子模塊一致性產(chǎn)生影響的變更主要有以下幾個方面：

因電子元器件變更（材料、工藝、場地遷移等）引起的變更。
電子模塊本身設(shè)計缺陷引起的變更。
采用新生產(chǎn)工藝引起的變更。
客戶新需求引起的變更。
為滿足新應用的變更。

電子模塊制造商為保證變更前后產(chǎn)品的一致性，需要在變更前充分評估變更帶來的影響，并在變更后進行充分的產(chǎn)品級測試及整車級測試。產(chǎn)品級測試通常包括功能測試及性能測試，測試項目依據(jù)變更內(nèi)容不同差異較大。若變更影響較大，在完成功能測試之外，還需要進行多項性能測試，如高溫運行、低溫運行、耐久測試、電磁兼容性（Electro Magnetic Compatibility， EMC）測試等。為降低變更成本，通常在產(chǎn)品級測試完成后進行整車級測試。整車級測試的側(cè)重點主要在功能測試方面，如無必要，一般不會進行整車級性能測試及實車道路測試。

04 電子模塊車載應用條件

4.1 滿足車載應用的條件

整體來看，一個電子模塊需要同時滿足以下幾點，才可被認為滿足了基本的車載應用的要求：

采用了汽車電子行業(yè)產(chǎn)品開發(fā)流程。
采用的電子元器件滿足 AEC 標準。
電子模塊的功能及性能滿足行業(yè)標準要求。
電子模塊的功能及性能滿足客戶標準要求。

以汽車電子 V 模型開發(fā)流程為例，典型的 V 模型開發(fā)流程如圖11 所示。

圖11 典型的汽車電子 V 模型開發(fā)流程

V 模型的最重要特點就是每個開發(fā)階段都對應一個測試階段，V 模型左側(cè)為設(shè)計開發(fā)，右側(cè)即為驗證確認。另外，V 模型是一個高度嚴格的模型，下一階段必須在上一階段完成后才能開始，且每個階段都有特定的可交付成果和審查過程，交付成果包括設(shè)計文檔及測試驗證文檔。

4.2 相關(guān)的標準體系及流程

汽車電子行業(yè)的標準體系、流程及工具如圖12 所示。

圖12 汽車電子行業(yè)的標準體系、流程及工具

汽車行業(yè)在近百年的發(fā)展過程中，出于對產(chǎn)品設(shè)計、測試、質(zhì)量及管理體系標準化的需求，逐漸形成了完善的標準體系及設(shè)計制造流程，同時也采用了很多質(zhì)量工具，以此來規(guī)范和指導汽車零部件的設(shè)計、制造及車載應用。汽車電子行業(yè)的標準、體系及流程眾多，如針對電子元器件的 AEC 標準，針對電子零部件的 ISO 16750 標準，汽車行業(yè)質(zhì)量管理體系的 IATF 16949 標準（2016 年發(fā)布，替代原 TS 16949 標準），針對質(zhì)量的 APQP （Advanced Product Quality Planning）工具及 PPAP 流程等。

4.3 設(shè)計的重要性

汽車行業(yè)的各種標準類似于社會的法律，如果一個人遵紀守法，不能說他是一個好人，但他一定不是壞人，因為法律是對人們行為底線的要求。同理，對于汽車電子模塊來講，滿足各種汽車行業(yè)標準是車載應用的最基本要求，在此基礎(chǔ)上，決定電子模塊質(zhì)量和可靠性的，是產(chǎn)品的設(shè)計分析、測試驗證及變更管理，其本質(zhì)是電子模塊制造商的設(shè)計、制造及應用經(jīng)驗的積累，也就是通常說所的 Know-How（訣竅、技巧、專有知識），如產(chǎn)品的設(shè)計分析方法、各種檢查清單（Checklist）、設(shè)計準則（Design Guideline）、測試用例（Test Case）、生產(chǎn)制造工藝、經(jīng)驗教訓總結(jié)（Lessons Learned）等。

如圖13 所示，以汽車電子產(chǎn)品設(shè)計中的最差情況電路分析（WCCA）為例， WCCA 需要覆蓋電路設(shè)計中的每一個電路、每一個電子元器件。WCCA 通?？紤]兩重情況的疊加，也就是說在考慮最高電壓時，需要同時考慮最高溫度，但不需要再考慮最高負載情況，這就是雙重疊加。不同的溫度和電壓就會產(chǎn)生六種組合，也就是常說的三溫三壓。三溫是指三種溫度：-40℃, +25 ℃, +85 ℃;三壓是指 9V 、13.5V 和 16V（以乘用車 12V 系統(tǒng)、安裝位置在座艙為例）。

圖13 汽車電子設(shè)計常用的分析方法

WCCA 有一個測試無法替代的優(yōu)勢就是它可以根據(jù)元器件手冊中的參數(shù)及設(shè)定的工作條件進行計算，而測試時使用的實際樣品卻無法覆蓋所有的參數(shù)范圍，畢竟測試的樣品數(shù)量及試驗室設(shè)備的測試范圍終歸是有限的，且有些工作條件無法或者很難模擬，而 WCCA 卻可以通過一定的算法計算出來。這就意味著 WCCA 可以覆蓋所有的元器件參數(shù)范圍及產(chǎn)品的工作條件，而測試僅可以覆蓋有限的情況；也就是說，WCCA 可以通過計算來分析電子元器件的性能，而最終的測試僅僅是一個確認、一個結(jié)果。

總的來講，一個好的產(chǎn)品首先是設(shè)計出來的，測試僅僅是一種驗證手段，其次才是生產(chǎn)，最后才是應用。設(shè)計得好，才能生產(chǎn)得好，然后才能用得好。如圖 14 所示，通過設(shè)計階段的產(chǎn)品測試可以發(fā)現(xiàn)元器件 / 電路的特性或者是缺陷，積累測試數(shù)據(jù)；通過產(chǎn)品的實際應用則可以發(fā)現(xiàn)應用中的問題，積累應用數(shù)據(jù)，設(shè)計就可以進行更新迭代，由第 1 代產(chǎn)品更新為第 2 代產(chǎn)品。長期不斷的迭代后，通過各個環(huán)節(jié)就可以積累大量的數(shù)據(jù)及經(jīng)驗教訓，最后便會形成對這個產(chǎn)品的專有知識，也就是常說的 Know-How。

圖14 設(shè)計的迭代及專有知識的積累

05 小結(jié)

本章從電子模塊的基礎(chǔ)功能實現(xiàn)入手，介紹了電子模塊的基本設(shè)計原理，以及車載應用對電子模塊的嚴苛要求，包括外部環(huán)境、電氣及電磁環(huán)境、可靠性及安全性要求、壽命要求、成本要求、生產(chǎn)要求等；隨后闡述了汽車電子行業(yè)的相關(guān)標準、體系及流程，給出了電子模塊滿足車載應用的條件；最后強調(diào)了設(shè)計對電子模塊的重要性。

限于本章篇幅，環(huán)境要求部分并未展開。實際上，了解車載應用的環(huán)境條件對產(chǎn)品設(shè)計至關(guān)重要，環(huán)境條件是真實的物理世界，測試標準是人們對物理世界認知的總結(jié)和標準化，以此來規(guī)范和約束產(chǎn)品的設(shè)計及應用。

本文摘編自《廣義車規(guī)級電子元器件可靠性設(shè)計與開發(fā)實踐》，機械工業(yè)出版社出版