CSQRW20190628：車用電子產品可靠性技術現況研討會

hlperng

品質學會可靠度技術研習會
專題：車用電子產品可靠性技術現況研討會
時間：2019 年 06 月 28 日(星期五) 09:00 - 17:00   
地點：品質學會台中辦公處教室（台中市漢口街二段139號12樓）
主辦：品質學會可靠度委員會、品質知識社群 (QKC)
費用：每人 1,000 元 (含講義、午餐)
議程：

時間	議程	主持/主講	說明
08:30-09:00	報到	QKC 秘書組
09:00-09:30	品質學會理事長致詞 台中可靠度活動規劃簡介	理事長楊錦洲教授 副主任委員廖德銘博士
09:30-10:30	車用電子產品品質與可靠性相關標準簡介	可靠度委員會 品質知識社群
10:30-10:45	交流時間	QKC 秘書組
10:45-12:30	車用電子產品強健性查證 (robustness validation)	可靠度委員會 品質知識社群
12:30-13:30	中午休息
13:30-14:30	ISO 26262:2018 第二版功能安全性國際標準簡介	SGS
14:30-14:40	交流時間	QKC 秘書組
14:40-15:40	先進駕駛輔助系統之整合模擬技術	ARTC
15:40-15:50	交流時間	QKC 秘書組
15:50-17:00	可靠度技術推廣應用 綜合討論	楊錦洲理事長 廖德銘博士 詹炳熾教授 褚政怡課長

• 09:00-10:30 車用電子產品強健性查證 (robustness validation)
• 10:45-12:00 車用電子產品環境與耐久性 (environmental and durability validation)
• 13:00-14:00 車用電子產品標準簡介
  

LADING

車用電子可靠度技術研討會紀實

丁立安  紀錄整理

品質知識社群 (QKC)

1    研討會緣起
隨著電子系統與零件在車輛應用的範圍逐漸擴大，以及自駕車、車聯網等新科技這幾年從概念原型到世界各大廠商積極競逐相關市場，車用電子所衍生的可靠度與功能安全性議題也成為業界與消費者關心的議題。品質學會可靠度主委彭鴻霖博士以其過去在太空中心與產業背景知識，近年來也積極研究如何將可靠度與功能性安全的相關國際技術標準應用在車用電子領域。而SGS在各產業的功能性安全也建立了業界人脈與服務能量。ARTC車輛研究測試中心近年來則是致力於先進駕駛輔助系統的模擬整合。本次六月二十八日於中華民國品質學會台中分會舉辦的車用電子可靠度技術研討會只是將來一系列研討會的第一場，嘗試結合三方的學術與產業知識，希望為國內汽車與電子產業的融合與升級跨越技術的鴻溝。

2    車用電子產品的品質與可靠度相關標準簡介      主講人: 中華民國品質學會可靠度主委  彭鴻霖博士

6月24日科技界發生一件大事就是福衛七號發射升空。衛星一旦升空就只有自力更生，但汽車還有地面的支援，所以從工廠端來看RCM(Reliability-Centered Maintenance)的趨勢就是從反應式(reactive)邁向預測式(predictive)最終再達到前攝式(proactive)，(圖1) predictive是一系列技術或工具，proactive 是一種概念與方法論的運用，看似無招卻是隨時有招。(圖2)現在跳脫工廠從更高的系統層級來看，從安全氣囊(reactive)、胎壓自動偵測(predictive)、到自動緊急煞車系統(proactive)反映出同樣的趨勢。Predictive(例如胎壓偵測或油箱里程預測)是遵循一個固定的模型，Proactive(例如自動煞車系統)則需要考慮多變因的環境。ISO26262考量到車身電子化程度的提高，以及智能駕駛與車聯網的導入，提供了一系列的方法論來達成車電的功能性安全。

                              

           



圖1   可靠性為中心維護

                     圖2    Reliability CenteredMaintenance (RCM)

美國SAE(汽車工程師學會)與德國電氣和電子製造商協會ZVEI在90年代完成了車用電子模組的標準化，並統計出介面連接器與人員是車電失效最大的兩個原因。(圖3)我們從統計學來說，品質是多少件中有一件不良品(二項分布)，可靠度是多久有一件失效(指數分布)，強健性是抵抗極端環境條件的能力(極值分布或韋伯分布)，工具要選對，得到的結論才是正確的。產品的兩大特性為功能特性(Functional Characteristics)與物理特性(PhysicalCharacteristics)，功能特性為物品存在的主要目的，為達成此目的所必須具備的能力，包括致能、轉能、控制、定時、計時、支撐、保護等。實體特性為物品功能得以發揮的內部條件，也就是物品的支撐結構與外殼軀體，是物品存在的基礎。可靠度是與功能特性有關的議題，而耐久性(durability)是跟物理特性有關的議題。在人工智慧時代，產品的功能特性需要有自我重新配置(ARO: Automatic ReconfigurationOrder)的能力，以面對新的狀況與任務，特別是嵌入式系統。

               圖3  車電失效原因

總體功能大致可分為使用功能(意圖功能)與安全功能(圖4)，車用方面ISO26262是針對安全功能; 至於意圖功能(SOTIF)現在有針對自駕車的ISO PAS 21448，PAS 21448雖然目前是參考用，但可以預期未來也會成為國際標準。值得注意的是可靠度其實是安全性的基礎，讓我們回到可靠度的定義: 可靠性為物品在一段規定的時間(specified period of time) 內、在規定的 (工作與環境) 條件 (specifiedconditions) 下、可以持續操作執行 (perform) 必要的功能 (required function or intended function)，不發生失效的能力，一般以機率表示之顧客使用時的隨時間變化的產品績效 (performance over time)。這與安全完整性(Safety Integrity)的定義寫法十分類似: Safety integrity: probability ofan E/E/PE safety-related system satisfactorily performing the specified safetyfunctions under all the stated conditions within a stated period of time.只是可靠度處理的是意圖功能，安全完整性關切的是安全功能。因為可靠度是Performance over time，因此可靠度人才要懂得趨勢分析與迴歸分析以及poisson分布、韋伯分布等，它和品管工程師追求量大的分析是不同的。也因為近年來安全性要求有來自法律的壓力，故可靠度人才的需求也水漲船高。安全工程師除了要懂可靠度，另外兩個重點就是SFF(Safety Failure Fraction)和DC (Diagnostic Coverage)。

               圖4  意圖功能與安全功能

了解豐田汽車的人知道它們標榜的是Q、R、D。製造性 (良率, Q) vs. 可靠性(功能, R) vs. 耐久性 (磨耗,D) ! 從浴缸曲線(圖5)的早夭期代表的是良率，是廠商合約內保固的責任，在積體電路產品來說是EFL(Early Failure Life)。有關早夭期的EFL或失效率的計算我是不主張採用JEDEC的失效率為常數的假設並用卡方分布來分析，而是主張用韋伯分布或是我和廖德銘博士推動的CDE model。CDE model(隨機不良品指數模型 , chance defective exponential,)是假設失效構因分別來自製造和設計兩個因素，製造因素造成的失效率隨時間成指數函數遞減、設計因素的失效則是常數失效率。這些年來我們推動的結果也蠻成功的，值得在台灣以製造業為主的環境推行。

接下來進到浴缸曲線的水平線，也就是Constant Failure Rate。此時MTBF才等於failure rate的倒數，所以要知道MTBF是推導值，它不是一個代表本性的參數。最後第三階段就是磨耗期，機械件的durability就是看這一段，他不像電子件的功能(可靠性)是可修的，就好比我今天生病不能上班，明天病就好了，那是reliability的問題。但如果一天天衰老那就是durability的問題了。

                 圖5  浴缸曲線

                                      圖6   必須要讓顧客知道

由圖6 P是不良率，了解時間趨勢之後p對時間微分得到失效率λ。λ乘上(1-SFF)得到 是會造成危險的失效， 再乘上(1-DC)得到 則是未偵測到的危險性失效，這是要讓顧客知道的，而一般 是在10的負6到負9次方之間。大家知道為什麼是負6(每百萬小時)起跳嗎? 百萬小時相當於114年，幾乎比人的一生壽命長一點，也就是會造成人身安全的危害，一生不要給我碰到一次的意思，這種庶民的思想也是正確的。

3    ISO26262:2018第二版功能安全性國際標準主講人:SGS 劉志偉

SGS在台灣最令人耳熟能詳的就是門類眾多的檢驗項目。其實SGS也有功能性安全團隊，除了在德國外，在亞洲主要就是台灣、日本、韓國以及中國大陸。許多人聽到TÜV這個名詞，包括SGS的全名亦為SGS-TÜV，常會以為TÜV是公司的名字。其實TÜV原本是德國每個邦都有的「技術檢驗協會」之意，後來各邦的TÜV就集合起來成為幾家大的集團公司，例如TÜV-Rheinland、TÜV-Nord、TÜV-Saarland等等。

談到進入車輛產業市場的品質標準，最基本的條件就是滿足IATF16949;至於德國VDA標準在中國大陸應用既深且廣，但在台灣受到的影響就較少。而ISO26262標準在各大車廠應用的狀況包括了: 通用汽車建立了整套內部流程並請顧問公司協助有關功能性安全的專案、福特汽車針對ISO26262進行全球各分部的訓練(SGS也參與其中)。另外日系車廠如Nissan、Mitsubishi、Suzuki和Honda等都展開了ISO26262的專案並與SGS合作。在中國大陸，政府於2018年頒布了基於ISO26262修訂的GB/T 34590標準，以利各大車廠與其供應商據以實施。

ISO26262是基於一般性功能性安全標準IEC-61508衍生而來的車用功能性安全標準。到了第二版還納入了摩托車，至於摩托車的定義範圍排除了「Moped」(ISO-3833)，Moped的定義包括不超過時速50公里以及內燃機不超過50c.c.，因此國內一般在路上行駛的「Scooter」將來應該都會納入ISO26262的適用範圍。

ISO26262標準的架構如圖7所示，Part1為名詞解釋，Part2~Part10為主文部分，Part11為車用半導體章節，Part12為摩托車章節。ISO26262新版(第二版)對於Part2屬於公司層級的管理方法與架構的部分更加重視，一些其他Part的安全管理活動被移至Part2，例如量產前的確認，和生產、運作，服務與除役時期的安全管理活動。Part3 Concept phase是車廠的權責，但有些大型的Tier 1廠商也有能力做這一塊。Part4~6是系統開發與軟硬體開發; Part7有關生產與運作的功能性安全是基於IATF16949所發展的。Part8提到一些支援的管理手法，例如專案管理。Part 9則是安全分析的一些手法。Part 10提到一些案例所萃取出的準則。 Part 11是新增的部分，主要是解決車廠在概念設計階段時尚無法從市場選取實際的IC產品。


                                               圖7  ISO26262 Framework


接下來談ASIL(Automotive Safety Integrity Level)-車用安全完整性等級: 這是在Part 3車廠應該要完成的判定。從整車層級角度評估功能系統失效對應的個別危險(hazard)項目，採五階段度量車用安全完整性等級，分別為QM、A、B、 C、D。ASIL受到(S)嚴重度、(E)發生頻度、(C)駕駛者可控制度 三者所影響。如圖8所示:

                   圖8  Risk Assessment – ASIL

對應不同的ASIL等級(例如不同氣候區域下的車輛使用狀況)，必須導入不同的安全管控措施 (ISO26262的各種方法論) 將風險降低至可接受範圍。QM意指：「標準品質確認手法已然充足」;自ASIL A開始，必須採取”額外之風險降低措施; ASIL D表示最高之潛在風險。一般的車用零組件廠商(包括After market)也要經過HARA分析(Hazard Analysis & Risk Assessment)確認自己是否為QM或是ASIL等級。這邊值得注意的是ASIL與FMEA不一樣的地方在於ASIL一經判定就不會改變，就像基因一樣，而ISO26262是要解決random failure的問題，而不是改變ASIL。

圖9顯示各部分車輛零組件一旦失效所造成的ASIL等級:

                               圖9  Automotive System Trend for ASIL Levels

再來討論ISO26262的使用時機(圖10)。一旦經判定為ASIL A就分為兩種情況: 第一種是ISO26262是要解決系統性的失效，也就是人為的原因(例如軟硬體工程師不按照方法論所設計生產出來的產品瑕疵)所造成的失效。這也是Part2與Part 7所關注的重點。第二種情況是隨機性的失效(例如EPS電子動力轉向系統失效)，這是Part 4、5、6的關注重點。

                         圖10  ISO26262的使用時機


在了解ISO26262的V model (圖7)之後再看下圖11的SafetyLife Cycle就會有概念，圖中的數字代表各Part的子章節。可以注意到2-5 Overall safety management框住整體流程，也就是IATF所說的公司高層支持的安全管理文化。另外在左側的2-6Confirmation measures 參考了VDA的作法，包括了Review , Process Audit,Product Assessment。Review是針對工作成果(work product)的確認檢討; Process Audit就是稽核功能安全所需流程是否按照ISO26262實施; Product Assessment則是評估所達成之功能安全，同時提供建議之判斷結果: 接受、條件式接受、或駁回。

                              圖11 Safety Life Cycle

下圖12是不同供應鏈角色所應實施的ISO26262的Part，從整車業者(Automaker)、Tier 1供應商、子系統供應商到IC供應商。 SEooC (Safety Element out of Context)是因為IC在設計時尚未確定客戶是否為車用，因此IC供應商必須假設可能的用途去達到ASIL等級。

                        圖12  各供應商所需實施的ISO26262 Part

4    先進駕駛輔助系統之整合模擬技術主講人 車輛研究測試中心  葉智榮  

先進駕駛輔助技術(ADAS)是目前各大車廠都在競逐的市場，我們車輛研究測試中心從2015年開始投入研發SAE Level 2 (Partial Driving Automation)、Level 3(Conditional Driving Automation)，到今年會推出一台Level 4(High Driving Automation)的小巴。最近在南港展覽館、基隆港以及沙崙的台灣智慧駕駛實驗室都有展示相關技術產品。自駕車對於環境變化的判讀非常複雜，曾有特斯拉的自駕車撞到白色的的貨車，是因為它無法分辨貨車的白色與天空的顏色。開玩笑地說特斯拉的買主都比較勇敢，但是車廠就有責任運用ISO26262與SOTIF(Safety of theIntended Functionality)的手法來將車子做到安全。

圖13:  辨識錯誤- 車輛未能辨別白色的貨車相對於明亮的天空

傳統的ADAS驗證方式(圖14)來驗證一台自駕車可以利用路況的錄影影片來做，我們工程師必須錄製各種不同路況影片(橋梁、隧道等)餵饋車輛來驗證演算法是否正確。但是有些功能還是需要實際的克難場地來訓練，例如車子必須遇到實際的障礙物，車用雷達才會接收到訊號以通知車輛緊急煞車。現在的主動安全系統測試驗證是在一個封閉的場域實車測試(圖15)，車上安裝了高精度測試儀器以量測緊急煞車後與障礙物之間的距離。車輛由機器人駕駛以驗證重現性，因此場地與設備成本高。測試情境包括了前方動態障礙物向側邊偏移之下車輛的反應為何。

             圖14  傳統的ADAS驗證方法

       圖15 主動安全系統測試驗證

當然測試情境很多很複雜，包括路況氣候等外在條件變化，以及車輛潛在的失效狀況發生，隨著自駕層級提升所帶來的測試問題包括:

• 符合不同標準的測試環境(NHTSA, ISO, Euro NCAP….)？

• 如何確保產品基本性能？測試數據的代表性？

• 更嚴謹的測試方法？ • 如何產生更多樣、更貼近實務的測試情境？

• 測試數據是否足夠？如何加快測試時程？

• 如何驗證感測資訊的準確度、系統的強健性(Fault injection)？

    圖16  單純測試情境 (標準規範)

圖17  複雜組合測試情境

以上就是我們要大量採用模擬測試的原因。根據研究，測試的理想比例大約是模擬測試佔99%，封閉場域測試佔0.9%，實際道路測試佔0.1%。而且從車輛、感測器、攝影機等都從現實走向虛擬，以測試車身控制演算法(AEB，LKS)與影像辨識演算法(FCW，LDW)。車輛研究測試中心這些年建立了模擬驗證的技術能量(圖18)，模擬測試的系統採用Prescan以建立場景模型與感測器模型; 車輛的物理模型系統採用CARSIM，提供多自由度車輛模型，產生與實車相似之車輛動態特性;而prescan與CARSIM的整合可以虛擬車輛跑在虛擬的坡度路況上。另外Opal-RT搭配Matlab Simulink提供了即時運算環境，做為虛擬環境與硬體控制器的介面。在全模擬的環境之下可以加入人的影響因素，隨著開發過程的推進，可以使用實際的攝影機拍攝prescan的虛擬場景，以進行影像辨識ECU(EngineControl Unit)的開發。(圖19 )

最後用實車在模擬環境中驗證(圖20)，Prescan提供虛擬測試場景與感測資訊，且感測結果會傳送到RCP或ECU 控制器，在控制器內部之ADAS控制 邏輯將針對感測結果進行控制命令計算，進而主動或輔助控制駕駛者操作 介面，如轉向、煞車或是油門等人機介面。(圖21)

                                 圖18 車輛研究測試中心的模擬驗證技術能量

  

   圖 19 Camera Box

圖20  Vehicle in the loop

                        圖21  應用於各階段的系統研發

5    綜合討論    主講人: 中華民國品質學會可靠度主委  彭鴻霖博士

我自己有翻譯整理ISO26262 2011年版，這套標準架構確實很龐大，牽涉到的requirement和工程方法有上百個，至於2018年版目前還沒有取得。另外我在網路上架設了兩個伺服器，一個成立睿地論壇網站(www.tw-redi.com)，紀錄了QKC的活動;另一個成立睿地共筆網站(www.tw-redi.com/wiki/)，網站上面典藏了包括功能性安全的各式品質標準。像是PAS 21448未來一定會成為ISO26262的一部分。希望業界的朋友有興趣的話可以申請擔任版主，和品質學會和我一起來維護及發展屬於繁體中文的品質網路資源。今天的研討會辦在台中，但就像一般的維基社群一樣，中部與北部也能透過網路視訊來聯繫合作。

可靠度與功能安全的需求從2010開始提升，與ISO26262的推出也很有關係，回顧過去無論國內外都是由國防航太帶動對可靠度工程師的需求，2010年後開始有車用電子的需求。像是功能性安全要計算的SPFM、LFM也是可靠度相關的知識領域; 系統的ASIL如何拆解到各子系統，也是可靠度配當的知識;2oo3也是Redundancy的知識。我之前在研究FIDES(空中巴士的電子元件可靠度預估方法)也相信它將來會成為國際標準，ISO26262也有引述。FIDES有十分完整的資料庫，從溫度循環的可靠度、焊點到機械疲勞的可靠度等等，它還整理出一個趨勢: 2010年後即便隨著IC複雜度的提升，它的失效率仍然沒有隨之增加。當然FIDE是蒐集了很多實驗室與學界的數據資料得到的結論。這省了我們很多的時間和麻煩。所以對於要做可靠度的人，FIDES是很好的參考工具，它不只是提供model與技術，還提供以一年日曆時間為基礎的mission performance，我們說做Test-to-mission是根據mission profile去做，例如驗證歐洲洗衣機可靠度的mission profile就是熱水冷水交替的情況。FIDES也提供免費excel軟體讓你輸入part number去查技術資料計算出模組或產品的failure rate。

所以我期許未來業界從代工走向設計的過程，能夠透過學會可靠度委員會將相關知識擴散到各個單位，包括課程的安排、以及如何從試驗資料分析出可靠度，我們都有經驗和大家分享。