DV 与 PV（Design / Production Validation）

功能安全L7别名 DV · PV · Design Verification · Production Validation · 设计验证 · 量产验证

本质 DV 和 PV 把"这颗零件能不能上车"拆成两个独立可证伪的问题：DV 证明设计值得量产（在规格边界上能工作），PV 证明量产能稳定复制那个设计（同一条产线、同一套工艺，批量之间不走样）。两者互不替代——一个 DV 通过但 PV 失败的零件是工艺问题（改 SPC），一个 PV 通过但 DV 失败的零件是设计问题（改电路或参数）。PPAP 提交要素 10 和 11 就分别锁这两侧。DV 用 OTS 样件 + 加速寿命模型外推 15 年 / 200k km，PV 用正式产线连续 300 件做 Cpk ≥ 1.67 的统计能力。两道关都过，PSW 才能签，零件才进 SOP。

学习目标

读完本页后，你应该能够：

区分 DV 和 PV 的目的、样品来源、统计样本量、失败对应的修正动作。
画出 DV 在 B/C 样阶段、PV 在 D 样/PPAP 阶段的时机。
列出 DV 试验矩阵的 5 大类（温度、电气、机械、EMC、寿命加速）并说出各自的代表标准。
把 Arrhenius / Coffin–Manson / 10 ℃ 法则代回加速寿命试验，外推到实际工况。
说出 PV 与 SPC / PFMEA / 控制计划的挂钩关系，解释为什么 Cpk ≥ 1.67 是统计门槛。
说出 DV/PV 最常踩的 5 个坑。

1. 核心对比

DV/PV 是两个独立验证锁——DV 验"设计行不行"对接 B/C 样,PV 验"工艺能不能稳定复制"对接 D 样和 PPAP。两把锁同时打开 PPAP 才能签字,缺一不可。

DV 和 PV 是两把独立的检验锁，设计和工艺各对应一把；两把都开，PPAP 才能签字。

维度	DV（Design Verification）	PV（Production Validation）
回答的问题	设计行不行	工艺能不能稳定复制
时机	B/C 样阶段（冻结设计前）	D 样 / PPAP 阶段（SOP 前）
样品来源	工程样件 / OTS	正式产线连续生产件
批量	3–30 pcs（LTPD / MIL-HDBK-781）	≥ 300 连续件（PPAP element 11）
失败后的动作	改设计（电路/参数/工艺路线）	改工艺（SPC 限、装配、人员培训）
回归代价	回 B/C 样，1–3 个月	回 PPAP，1–4 周
V 模型位置	左侧"验证"	右侧"集成确认"
PPAP element	要素 10（材料/性能试验）	要素 11（初始过程能力 Cpk）

一句话判别：用工程样件跑极限条件 → DV。用正式产线批量抽样跑合格率 → PV。

2. DV 详解

2.1 试验矩阵 5 大类

DV 试验矩阵按应力维度分 5 类——温度、电气、机械、环境、EMC,每类对应不同的失效机理和加速模型。这套分类在 AEC-Q/JESD 体系下是工业默认结构,5 大类全过才能签 DV。

类别	典型项目	代表标准	关注点
温度	高温储存 HTSL、温度循环 TC、热冲击 TS、高温工作寿命 HTOL	AEC-Q100-007/-002/-001、JESD22-A103/-A104	覆盖 AEC Grade 温度区间（Grade 0 −40~+150 ℃）
电气	工作电压极限、瞬态过压、ESD、闭锁 SEL	AEC-Q100-011/-002、ISO 7637-2	极限工况下功能 + 不可恢复失效
机械	振动、机械冲击、跌落、封装应力	ISO 16750-3、JESD22-B103/-B104	工装夹持下的谐振频率 + 寿命
环境	湿热 85/85 H3TRB、盐雾、硫化污染	AEC-Q100-005、JESD22-A101	腐蚀、离子迁移、键合退化
EMC	传导 CE、辐射 RE、抗扰 CS/RS、BCI、ALSE	CISPR 25、ISO 11452-2/-4/-11	发射限值 + 抗扰等级

漏项 = 量产后在用户手里爆。设计阶段就要把整车厂的 SOR（Statement of Requirements）逐条摊开，每一条需求对应一项试验，不能合并简化。

2.2 样品数量与置信

DV 不是"做一个工作就行"。可靠性试验看统计证据：

LTPD（Lot Tolerance Percent Defective）表：LTPD 10%、0 fail 对应 22 pcs；LTPD 5% 对应 45 pcs；LTPD 1% 对应 230 pcs。
MIL-HDBK-781：序贯试验设计，按 θ0/θ1 比值决定样本量。
AEC-Q100：每项应力试验最小 77 pcs（3 lot × 25 + 2）才能声明 zero fail。
ISO 26262 Part 8 §10：按 ASIL 等级要求置信水平（ASIL D 至少 90% 置信）。

工程上的默认值：车规 IC DV 单项 77~~132 pcs；分立器件 45~~77 pcs；ECU 级 6~12 台。低于这些数量的"试验"只能叫可行性验证，不能当 DV 报告交差。

2.3 加速寿命模型

DV 在几百小时内要证明 15 年 / 200k km / $1 0^{6}$ 开关循环的寿命——必须靠加速模型外推。常用三把尺：

Arrhenius（温度加速，用于扩散/化学反应类失效，如 TDDB、EM、NBTI）：

AF = exp[(E_a)/(k)((1)/(T_use) - (1)/(T_stress))] 典型 $E_{a}$ ：TDDB 0.7 eV、EM 0.9 eV、NBTI 0.6 eV。

Coffin–Manson（热循环/机械循环，用于焊点疲劳、键合开裂）：

$N_{f} \propto Δ T_{j}^{- n}, n \approx 5 \sim 6$ $Δ T_{j}$ 减半 → 寿命 ×32。这是"限功率加速"延长模块寿命的数学根据。

10 ℃ 法则（工程简化，半导体失效率随温度每 10 ℃ 翻倍）：

$A F = 2^{(T_{s t ress} - T_{u se}) /10}$ 用于快速估算，准确度不如 Arrhenius。

误用陷阱：把 Coffin–Manson 用到 TDDB、或把 Arrhenius 的 $E_{a}$ 抄别家数据手册——外推几百倍可以差一个量级。 $E_{a}$ 必须用同类工艺/封装的实测值。

2.4 DV 失败的处理

每一个 DV 失败都要走完 8D：

D1 团队 → D2 问题描述 → D3 临时措施 → D4 根因（5 Why + 鱼骨） → D5 永久纠正 → D6 效果验证 → D7 防止再发（更新 DFMEA/控制计划） → D8 关闭

关键是 D6 — 效果再验证：改完设计还要用原来的试验条件再跑一遍，不能"改完就放行"。行业常见坑是 D4 根因写得模糊（如"环境温度过高"），换了条件后又复现。

深入阅读：8D 问题解决方法 — D0~D8 全流程、IS/IS-NOT 模板、三层根因（技术/系统/流出）、5-Why 实战、OEM 评审 5 类退回。

2.5 DV 与 DVP&R

DVP&R（Design Verification Plan and Report）是 DV 的书面合同：每条需求 → 每项试验 → 验收准则 → 样品数 → 结果的追溯表。OEM 会直接按 DVP&R 审查，漏一条就 reject。

3. PV 详解

3.1 目的

DV 的样件多半是实验室手搓或小试线产品——工艺变量被人工锁死。真量产用的是：

固定工装 + 固定 SOP
多班次、多轮班工人
多批次原材料（同一供应商也有批次波动）
同一条产线跑满节拍（TAKT）

PV 就是证明"把这些变量全打开，产品依然满足规格"。

3.2 试验范围

PV 重点覆盖工艺敏感的失效模式：

类别	项目	对应
工装重现	三高耐久（高温/高湿/高海拔）、长时振动、功率循环	工艺偏差累积
首件审核	FAI（First Article Inspection）尺寸/材料/外观全检	工装冷启动
统计能力	Cp/Cpk、Pp/Ppk、MSA GR&R	SPC 锚点
疲劳耐久	持续振动（如 72 h）、热冲击多循环	长尾批次一致性
极限工况	最坏情况组合（高温 + 最大负载 + 最低输入电压）	规格边界

3.3 Cpk / Ppk / Cp 是什么

PV 阶段最常被引用、也最常被混淆的指标就是 Cpk——它单字回答了一个问题："我的产线把零件做进规格里的能力有多强？"。但要把它讲清，必须先把四个相关概念分开看：Cp / Cpk / Pp / Ppk 不是同一件事，混用会在 PPAP 报告里出 NC（Non-Conformance）。

核心公式：

$Cp = \frac{U S L - L S L}{6 σ}, Cp k = min (\frac{U S L - μ}{3 σ}, \frac{μ - L S L}{3 σ})$

USL / LSL：上规格限 / 下规格限（来自 OEM SOR 或图纸）
μ：过程均值（样本算术平均）
σ：过程标准差（长期 σ，跨多班次多批次）

Cp vs Cpk：Cp 只看分布的宽度，假装均值刚好压在规格中点。Cpk 把均值偏离也罚下去——只要 μ 偏向某一侧，Cpk 就比 Cp 小。所以 Cpk 才是车规真正的门槛，Cp 只在工序设计阶段用作参考。

Pp / Ppk vs Cp / Cpk：公式完全一样，只是 σ 的取法不同：

Cp / Cpk 用 长期 σ（按子组内 σ 估出来的真过程能力）
Pp / Ppk 用 样本 σ（短期数据，包含子组间漂移）

PPAP 初期 300 件其实是短期数据，所以严格来说交付的是 Ppk。OEM 通常用词不严谨，写"Cpk ≥ 1.67"实际指的是初期 Ppk。关键判别：跨 ≥ 30 个子组、覆盖 ≥ 3 班次、≥ 3 批料 → 可以叫 Cpk；只有 1 班次 / 1 批料 → 只能叫 Ppk。

3.4 σ 等级与 Cpk 门槛对照

Cpk 与 σ 等级通过正态分布尾部概率挂钩——$Cpk=1.67 $对应$ 5\sigma$,单侧 DPMO 约 0.29 ppm。这条数学关系决定了车规为什么把 1.67 定为关键特性门槛。

Cpk	σ 等级	单侧 DPMO	双侧 DPMO	工程含义
1.00	$3 σ$	1350 ppm	2700 ppm	万件 27 件出格 — 车规不可接受
1.33	$4 σ$	32 ppm	63 ppm	一般特性 PPAP 门槛
1.67	$5 σ$	0.29 ppm	0.57 ppm	关键 CTQ / CC / SC PPAP 门槛
2.00	$6 σ$	0.001 ppm	0.002 ppm	航天/医疗级，汽车少要求

为什么 1.67 是车规门槛：1.67 = 5/3，对应单侧 5σ。 $5 σ$ 处正态分布密度约 $2.87 \times 1 0^{- 7}$ ，单侧落区外 ≈ 0.29 ppm。一辆车几百颗关键件、整车厂年产百万辆，把不合格率压到 ppm 级是召回成本与生产成本的平衡点。

Cpk 对应的良率不是"99.7%"那么简单：3σ 良率 99.73% 看起来很高，但车规一辆车 1500 颗电气件，每件 99.73% 通过率下整车一次过的概率 = $0.997 3^{1500} \approx 1.7%$ ——这就是为什么车规一定要 ppm 而不是 %。

3.5 计算示例

某 SiC 模块的 $V_{GS (t h)}$ 规格为 2.0–3.5 V。产线连续 300 件实测：μ = 2.7 V，长期 σ = 0.12 V。

$\frac{U S L - μ}{3 σ} = \frac{3.5 - 2.7}{3 \times 0.12} = \frac{0.8}{0.36} = 2.22$

$\frac{μ - L S L}{3 σ} = \frac{2.7 - 2.0}{3 \times 0.12} = \frac{0.7}{0.36} = 1.94$

$\$ Cpk = \min(2.22,\ 1.94) = 1.94$$

结论：Cpk = 1.94 > 1.67，过 PPAP 关键特性门槛。

但要警觉：均值 2.7 V 偏向上限（中心 2.75 V），偏置 0.05 V。虽然 Cpk 过线，PFMEA 复盘要追：是工艺天然偏置（如键合温度漂高）还是模具批次差。长期会把 σ 拉大、Cpk 拉低——SPC 必须把 μ 跟踪进 X-bar 控制图。

3.6 样本量

AIAG PPAP 4th Edition（element 11）要求：

连续 300 件（不是"随机抽 300 件"——是产线连续产出，含跨子组、跨班次）
关键 CTQ / CC / SC 点 Cpk ≥ 1.67；一般特性 Cpk ≥ 1.33
初期数据按 Ppk 报告，量产 6 个月后转 Cpk

3.7 Cpk 跌的三种根因

Cpk 不达标只来自三种数学场景——散度大但居中、居中度差但散度 OK、长期漂(Ppk OK 但 Cpk 跌)。识别落在哪一种,才能把改善动作对准真因(改工艺方差 vs. 改校准 vs. 锁班次条件)。

现象	数学表现	根因	修法
散度大（σ 大）但居中	$Cp = Cp k$ ，两者都低	工艺方差没控住——人/机/料/法/环之一漂	改 SOP / 工装 / 培训；GR&R 复测
居中度差（μ 偏）但散度 OK	$Cp > Cp k$ 显著	校准漂、模具磨损、原料批次差	SPC + 周期校准；Run Chart 锁均值
Ppk OK 但 Cpk 跌	短期内一致，长期漂	跨班次 / 跨批次系统差异	把"班次"作 PFMEA 因素；CP 锁班次条件

如果 Cpk < 1.67：要么改工艺（收紧工序公差），要么加 100% 在线检测（代价高，IATF 不鼓励），要么跟客户谈特批（Deviation）。Deviation 是临时措施，OEM 一般只批 3~6 个月，过期不续 = 停供。

3.8 PFMEA / 控制计划的挂钩

PV 不是孤立试验——它要证明 PFMEA 里识别的高 RPN 项已经被 控制计划（CP） 真正压住：

PFMEA 每一行（工序 → 失效模式 → 效应 → 严重度 S / 发生度 O / 探测度 D → RPN = S×O×D）
→ CP 对应行规定该工序的关键参数（温度、压力、扭矩、时间）+ 控制方法（SPC / 100% 检 / PFC）
→ PV 批次跑工艺参数的实际值，验证 CP 限值是否 hold

常见漏洞：DV 在实验室 25 ℃ 跑通，PV 车间 35 ℃ 发现 Cpk 跌——因为 CP 没锁"焊接工站空调温度 ≤ 28 ℃"这一条。

3.9 PV 与 SOP 之间的 PP（Pre-Production）

很多 OEM 在 PPAP 通过后还要一轮 PP（Pre-Production）批量：小批量（50–500 件）走完整物流链到装车，暴露 PV 无法覆盖的集成问题（包装运输、装配工具、车间节拍冲突）。PP 通过才是真正的 SOP。

4. 标准框架

DV/PV 不是一份独立标准——它由 IATF 16949 骨架、PPAP 交付物、AEC-Q/ISO 16750/EMC 试验细则三层叠加而成。理解这个层级关系才能在现场知道每条要求的来源和优先级。

层级	标准	用途
功能安全	ISO 26262 Part 4/8 §9 V&V	安全目标相关的试验置信
质量体系	IATF 16949	定义 DV/PV 在 APQP 中的位置
批准程序	AIAG PPAP 4th	DV 报告进 element 10；PV 统计进 element 11
器件资格	AEC-Q100 / Q101 / Q104 / Q200	IC / 分立器件 / 多芯片模块 / 被动器件试验矩阵
ECU 环境	ISO 16750-1~5	车载整机温度/电气/机械/气候
电气抗扰	ISO 7637-2 / ISO 11452 / CISPR 25	瞬态 / 抗扰度 / EMI 发射
OEM 规范	GMW / Ford WSS / VW 80000 / TL 81000	各车厂额外收紧条件

记忆路径：IATF 16949 是骨架，PPAP 是交付物，DV/PV 填骨架内的血肉，AEC-Q + ISO 16750 + EMC 三套标准提供具体试验条件。

5. 5 个常见陷阱

DV/PV 失败模式高度集中在 5 个反复出现的陷阱——漏试验、加速模型错用、样本量不足、追溯断链、DV 与 PV 条件不一致。这 5 条在车规里能覆盖大部分被审计判 NC 的根因。

陷阱	描述	预防
漏试验	SOR 里有一条"工作电压 6~18 V"，只做了 12 V 标称 → 低压冷启动失败	DVP&R 按需求条目逐行对照
加速模型错用	把 Coffin–Manson 用到 TDDB；或直接抄别家 $E_{a}$	用同工艺实测 $E_{a}$ ；分清失效机制选模型
样本量太小	"跑了 3 件 1000 h 都 OK" → 无统计置信	AEC-Q100 / LTPD 表查最小 n
追溯断链	DV 报告写"试了 10 件"但没批次号 → IATF 审计 NC	每样品挂批次/版本/工单号
DV ≠ PV 条件	DV 实验室 25 ℃ 通过，PV 车间 35 ℃ 跌 Cpk	CP 锁工位环境参数，PFMEA 把车间条件作为因素

核心要点

DV 证明设计值得量产，PV 证明量产能稳定复制。失败后的修正动作完全不同：DV 失败改设计，PV 失败改工艺。
DV 时机 B/C 样，PV 时机 D 样/PPAP；DV 用 OTS 样件 + 加速寿命模型外推，PV 用正式产线连续 ≥ 300 件统计 Cpk。
Cpk ≥ 1.67 是车规量产的统计门槛（对应 ppm 级不合格率）。
DV 试验矩阵 5 大类：温度 / 电气 / 机械 / 环境 / EMC；AEC-Q100 每项最小 77 pcs。
加速模型必须对号入座：Arrhenius 给扩散/化学，Coffin–Manson 给热循环疲劳，10 ℃ 法则只用于快速估算。
DV/PV 条件不一致是 PPAP 签字前最常见的翻车点：PFMEA + CP 必须把车间环境参数也锁死。
PPAP element 10（材料/性能试验）= DV 报告；element 11（初始过程能力）= PV 统计。

Cross-references

← 索引
PPAP 与汽车零部件开发阶段 — PPAP 18 要素、4 阶段样件、OTS/PPAP 认可
8D 问题解决方法 — DV 失败时的根因分析全流程、三层根因、5-Why 实战
AEC-Q 车规认证 — Q100/Q101/Q104/Q200 试验矩阵、温度等级
汽车电子 — ISO 16750 环境试验、SOR 结构
功能安全 — ISO 26262 Part 4/8 V&V、ASIL 置信要求
失效模式速查 — 热机械疲劳、电迁移、TDDB 等加速试验对应的失效机制
热管理 — Coffin–Manson 寿命外推、ΔT_j 减半 → ×32
特殊特性（CC/SC） — PFMEA/CP 里关键特性标识