由ISO 26262定义的车辆功能安全标准确保了系统的正常运作,以避免危险情况,更重要的是侦测和克服故障的能力。从ASIL A到ASIL D共分4个等级,ASIL D代表层级最高的完整性要求。例如,ASIL D意味着在整个系统中的单点故障率小于1%。
图1:不同的ASIL等级要求(来源:Synopsys)
除了几款经ASIL D认证的微控制器(MCU),芯片供应商目前在其ADAS SoC中多半使用经认证的ASIL B或ASIL C。但IHS Markit汽车电子总分析师Luca De Ambroggi表示,由于许多人使用ASIL B组件与冗余机制实现“系统级ASIL D”认证,因而找到了“短期解决方案”。
然而,问题仍然脱离不了成本。他说:“认证ASIL D是一项重大的任务,可能为供应商带来重大挑战,特别是复杂的SoC。”
不管多复杂的定制化SoC,都可以在ARM Design Start上搞定!
可能对此进展带来颠覆性变化的是一群毫无任何车用电子领域经验的新进者,以及芯片供应商。为了迎头赶上车用市场上的现有业者,他们正积极地制造各种“超越”的机会。包括ARM与Synopsys等IP核心供应商开始推出ASIL-D认证就绪的双核心锁步(lockstep)处理器供授权。
过去几年来,ARM大力投资于安全攸关的处理器核心。2013年推出采用硬件辅助虚拟模式设计的实时嵌入式处理器核心ARM v8-R,去年秋天发表了基于v8-R核心的Cortex-R52处理器,用于安全性和确定性划分。
Synopsys则在不久前推出ARC EM安全岛(safety Island) IP和双核心锁步处理器。Synopsys表示,这些经新的ASIL-D认证的ARC EM系列处理器配备自检测安全监测器与硬件安全功能,例如除错码和可编程看门狗定时器,用于协助检测系统故障和执行错误。
图2:Synopsys ASIL D就绪的双核心锁步处理器IP(来源:Synopsys)
Synopsys ARC EM处理器产品线经理Angela Raucher说:“随着越来越多的芯片业者对进军汽车市场的兴趣升温,我们希望以预先建立且经验证的处理器IP授权,协助他们降低市场进入门坎。”
对于市场新进者,完整的建置套件才是关键。Strategy Analytics全球汽车业务总监Ian Riches认为,“除非IP供应商提供所有的设计支持和档案,否则没有任何人会认真考虑使用ASIL D等级的IP。”
安全攸关的MCU
在汽车市场中,一些安全攸关的要求形成了泾渭分明的一条线,清楚地划分汽车芯片市场上的现有汽车业者与新手。汽车产业的资深前辈早已将大量的资源用于开发ASIL D认证的MCU。
Riches说:“主流汽车厂商在2015年以前开始着眼于ASIL D认证的装置。例如,飞思卡尔(Freescale)曾在2012年声称‘率先’推出基于Power架构的32位MCU MPC5643L。”其他还有意法半导体(STMicroelectronics)基于Power架构的SPC5 MCU、德州仪器(TI)的Hercules TMS570 (基于ARM Cortex-R的MCU)、英飞凌(Infineon)的Aurix (基于32位的多核心TriCore),以及瑞萨(Renesas)的32位RH850/P1x系列MCU。
正如Riches的解释,“当时的厂商如果想要一个ASIL D处理器,ARM可能无法提供选择。如今,传统的汽车制造商均投入巨资开发其专有架构,时机已然成熟。”
IHS认为,ASIL D在“安全电子控制单元(ECU)的致动区域(煞车/方向)需要高度安全的功能。这些组件大多数是MCU,但并不是SoC。”
迈向ASIL D之路
Nvidia首席执行官黄仁勋在今年的CES上展示该公司的Xavier芯片,这是一款被誉为自动驾驶车的人工智能(AI)处理器。他预计在今年底将推出这款经ASIL C认证的全新SoC,但其模块可经由设计实现ASIL D安全功能。
此外,业界厂商正着眼于为自动驾驶开发的大量“大脑芯片”。“虽然Nvidia、Intel与Qualcomm对此抱持浓厚的兴趣或野心,”Riches强调,“传统的供应商和架构仍在设计高度自动化车辆所需的解决方案方面占据重要位置。”这就是现有业者以其安全攸关的MCU得以发挥作用之处。
例如英飞凌基于TriCore的Aurix MCU,目前已用于Nvidia的模块中。Riches解释:“英飞凌的TriCore是让Nvidia解决方案的模块设计达到ASIL D等级的重要部份。”
尽管力推自动驾驶车“大脑”芯片的公司通常推广目前未使用于ADAS的芯片与架构,传统车用供应商则以现有的自动驾驶车SoC向前进展。“例如恩智浦(Bluebox)和瑞萨(R-Car)等公司正致力于利用现有的车用组件。”
恩智浦目前拥有Power架构(锁步架构,可实现ASIL D)和基于ARM的SoC。恩智浦指出,“我们拥有具备ASIL B性能的ARM核心”,未来还计划使用锁步架构实现具有ASIL D性能的ARM核心。
图3:恩智浦S32V234 瞄准ADAS应用(来源:NXP)
恩智浦推出首款ASIL D认证的通用SoC——MPC5643L已经近五年了。正如恩智浦强调的,通向ASIL D的道路“并不是件简单的事。”恩智浦与独立的认证机构——瑞士Exida合作,评估其基于Power架构锁步产品MPC5643L,Exida的研究至今已“持续了一年多,而今仍在密切配合中。”
在此过程中,恩智浦表示开发出“恩智浦安全保障计划(Safe Assure)流程,帮助客户实现其系统的安全认证。”因此,NXP得以展示“其开发过程、芯片产品、软件产品,以及支持档案都是为满足ISO26262 ASIL而开发的,从而减少了系统级认证作业。”从那时起,恩智浦已更新其标准汽车开发协议,以符合ISO 26262要求,包括内部的独立安全评估。
总之,ASIL认证不仅是一次性测试,而是必须应用与整合更多安全活动与严格检查的相关开发流程。它涉及“组织中的整体安全文化、产品开发和生产的安全管理、安全计划、安全案例、安全评估、安全概念、安全分析与安全手册等。”
简化开发流程
IP核心供应商如ARM和Synopsys正致力于为芯片供应商大幅缩减花费在设计、认证和发布安全攸关ADAS /自动驾驶车SoC所需的时间。
Synopsys的Raucher解释,汽车安全SoC需要更多的测试,因而较一般的验证过程更长6个月。
通常,SoC验证过程首先必须查看来自芯片或软件错误的“系统故障”,以及不完整或不正确的规格。额外的汽车安全SoC测试必须着重于芯片故障(如晶体管、金属连接等)或软件错误(如α粒子)触发的“随机故障”,以及决定这些故障是永久性、瞬间发生或是潜伏的。
这将有助于提供具有快取和紧密耦合内存的“预先建置”和“验证”处理器(以便用于ASIL D认证芯片中)。Raucher说,这些都需要除错和检测、执行相同代码的冗余(或影子)核心、监控并比较冗余核心结果的逻辑,以及ISO 26262的广泛安全档案。
ARM和Synopsys都提供具有整合安全监测器的类似设计——专为ASIL D认证的双核心锁步处理器。
ARM介绍其配备双核心锁步与比较器的Cortex-R52,可监测处理器和许多其他故障检测功能——是专为满足ASIL D的要求而设计的。ARM资深产品营销经理Phil Burr也补充说,该公司为“合作伙伴提供根据ASIL D要求记录设计过程所需的安全档案,从而简化了完整解决方案发送给ASIL D认证时的认证过程。”
图4:ARM Cortex 52方块图(来源:ARM)
ARM看好其丰富的ARM安全认证组件发展,即使未使用Cortex-R52。ARM的Burr举例说,“TI TMS570LS10206是基于ARM的双核心锁步组件,经认证可达到SIL3等级(相当于ASIL D)的安全性”。
同时,Synopsys的Raucher声称,该公司的ARC EM安全岛提供“最小的处理器IP,以及硬件安全特性和锁步能力,符合ASIL D要求。”Synopsys也希望从熟悉ARC核心的消费芯片供应商取得业务,该公司计划设计符合车用与消费市场的SoC。她补充说,ARC EM安全岛提供了“支持ASIL D锁步或ASIL B (或甚至是非车用领域)独立模式的能力。”
Riches认为,“ARM当然试图扩展在车用领域的势力,而且也较Synopsys/ARC更有显著优势。”
他补充说,ARM“拥有来自大量车用半导体供应商的组件,而Synopsys面临的挑战之一在于打造一个在操作系统(OS)与开发工具方面拥有第三方支持的生态系统,才足以与ARM分庭抗礼。”
为什么现在迫切需要ASIL D?
Raucher解释,如果你的汽车符合ISO 26262 ASIL-D规格,意味着在面对某些临界安全攸关时刻,车辆能够代替你做出决定。在ASIL-B层级,汽车只会提醒驾驶人即将发生危险,而在ASIL D,车辆面对危急时将采取煞车或让车子行驶至安全空间的行动。
既然目前的ADAS仍期待驾驶人待在车内随时准备介入操控,那么,汽车产业为什么现在迫切需要ASIL D认证组件?现在使用ASIL D SoC不是多此一举?
恩智浦认为,问题的答案在于汽车OEM身上,因为他们必须“在一个好争论环境下,均衡产品的开发速度与系统的稳定性。”
一方面,整个产业正在快马加鞭地部署“高性能的运算系统,为自动驾驶车执行策略功能」;另一方面,自动驾驶汽车内的各种汽车控制子系统「必须持续提供大量的智能化与安全功能。”
当业界拥抱自动驾驶的同时,OEM正致力于打造能够随着应用与处理要求快速增加而均衡严格安全标准的架构解决方案。恩智浦表示,“随着系统扩展至大量生产的车辆,安全SoC将有助于推动这一行动。”
IHS Markit的De Ambroggi则从另一个角度来看,他认为OEM尚未对ASIL-D提出明确的要求,因为目前还没有迫切的需要。“很显然地,如果ASIL D SoC就绪且能免费使用,所有的OEM都将乐意使用并推广,因为这能够节省他们的成本。”这不仅能够节省额外组件的成本,还让OEM免于面对复杂的解决方案。
同时,Riches指出,“ASIL D级安全标准已经是汽车产业多年来的关注重点了。ASIL-D标准不仅适用于ADAS或最高层级的汽车安全,还适用于各种安全相关的系统,例如剎车、转向以及ADAS与自动驾驶系统等。”Riches并预测在未来几年将明显出现对于“非自动驾驶”ASIL D性能的处理器需求。
编译:Susan Hong
本文授权编译自EE Times,版权所有,谢绝转载
关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。
