无论是此前自动驾驶汽车失控导致车毁人亡,还是近段时间发生的多起高端新能源汽车因为电池/电路原因导致自燃的事件,都不禁让人感叹,这些电子技术制成的创新汽车产品,什么时候才能让人开起来更安心,停在车库里更放心呢?在笔者看来,新时代的汽车电子如果要实现安全性和可靠性,主要有以下四个障碍需要跨越。
随着环境问题在全球日益受到重视,各国政府陆续出台了越发严苛的排放标准。今年5月20日,在京发布的《中国传统燃油车退出时间表研究》报告也首次提出,中国有望于2050年以前实现传统燃油车的全面退出,其中一线城市私家车领域则将在2030前后完成这一目标。汽车电气化俨然已经成为全球汽车产业转型的重要方向。
其实,随着时代的变化,汽车早已不仅仅是我们出行代步的工具。越来越多的软件和硬件被加入汽车当中,让这件原本以机械和电气工艺为主的传统工业产品摇身一变,成为了一台集多种数字化功能于一体的、能奔跑的超级计算机。汽车的功能越来越丰富,汽车电子的复杂程度越来越高,车企在造车过程中遇到的困难也越来越多。
无论是此前自动驾驶汽车失控导致车毁人亡,还是近段时间发生的多起高端新能源汽车因为电池/电路原因导致自燃的事件,都不禁让人感叹,这些电子技术制成的创新汽车产品,什么时候才能让人开起来更安心,停在车库里更放心呢?
在笔者看来,新时代的汽车电子如果要实现安全性和可靠性,主要有以下四个障碍需要跨越:
第一,日益复杂的汽车电子系统。当前,工业革命正在迎来一个激动人心的智能系统时代。创新的电子系统和芯片技术为自动驾驶汽车等智能设备提供的解决方案日益表现出越来越高的人工智能水平,并通过5G无线通信技术实现更加快速的网络连接。随着这些系统和其中的IC 智能化程度日益提高,电子系统的复杂性也在迅速增加。目前,L3级别的自动驾驶汽车通常会配备6个高清摄像头和激光雷达等传感器系统,同时支持高精度地图。当车辆以自动驾驶状态行驶时,6个不同角度的雷达会用实时采集的数据与之前的数据进行匹配,并在高精度地图上定位,以保证行车的安全。这意味着汽车在自动行驶的过程中,需要实时处理复杂而庞大的数据。这对自驾主控电脑的带宽、响应速度、功耗和计算性能提出了全方位的要求。而随着自动驾驶技术向L4乃至L5级别快速迈进,车载电子系统的复杂程度必然还会不断提升。
在这个过程中,通用芯片已经无法满足不同企业对自动驾驶的运算需求。因此,越来越多的定制化芯片应运而生。比如,特斯拉已经开始在自动驾驶系统中使用自家研发的定制芯片,来取代原先的通用GPU。特斯拉CEO埃隆·马斯克也指出,与之前的技术相比,自家研发的芯片性能提升达到了10倍。
当然,为了支撑一个复杂系统的设计和技术演进,必然对方法论和工具要提升更高的要求。Mentor正在引领最先进的IC设计方法,让设计团队直接使用基于C++ 的高级综合工具开始他们的IC设计项目,缩短设计循环时间。借助Mentor的Catapult High-Level Synthesis 平台,设计人员可以利用行业标准ANSI C++ 和SystemC来描述功能意图,并将其提高到生产率更高的抽象层次。这种方法尤其适合开发集成了人工智能和机器视觉模块的IC,因为它可以帮助IC架构师确定哪些人工智能功能适合在软件中运行,哪些功能适合在硬件中运行,从而更快地得出最优设计。
Catapult根据ANSI C++和SystemC高级硬件模块描述生成生产质量的RTL代码。通过加快RTL生成时间以及自动生成无错误的RTL,Catapult可显著缩短RTL验证所需的时间。Catapult平台将综合功能与正式的C属性检查功能结合起来,在早期的C/C++/SystemC 级别发现错误,并在综合之前进行全面的源代码验证。
第二,ISO 21448标准认证。ISO21448被称作“预期功能安全”(SOTIF),主要针对在行驶过程中威胁自动驾驶车辆安全的潜在风险制定。汽车在行驶中可能碰到各种意想不到的特殊路况和场景,比如突然出现的羊群,崎岖多弯的山路,甚至是雨后路面上的一滩积水。而在目前阶段,即使自动驾驶系统的软硬件都处于正常运行状态,依然有可能无法识别一些特殊场景,是自动驾驶算法智能未有涵盖的处理方法,并由此导致驾驶风险。而SOTIF的诞生,则为预防未可知风险筑起了一道防线。
满足SOTIF技术要求,既是自动驾驶汽车能否安全行驶及真正走向量产的关键,也是自动驾驶汽车研发过程中最多未知因素的难点,仿真也因此成为开发和测试自动驾驶系统技术的关键部分。随着自动驾驶技术的不断发展,测试和验证的工作量急剧增加。按照业内此前的说法,要证明自动驾驶车辆的安全性达到可信任的水平,需要进行80亿到110亿英里的道路测试。而出于成本考虑和可实施性等因素,部分道路测试的场景只能先通过虚拟环境进行,等到有了理想的测试结果再做实际道路测试,以最大程度降低道路测试的各种风险和成本。
为此,Mentor的母公司西门子专门收购了荷兰自动驾驶软件公司Tass International。Tass公司研发的软件拥有一套完整的自动驾驶工具,包含各种路面和功能场景的模型,可以模拟复杂或难以靠人工控制的交通情况,测试自动驾驶系统和高级驾驶人辅助系统。而PAVE360把这些不同的场景组合转化成数据流,与西门子的Simcenter和Amesim等软件系统整合起来,连接到Veloce硬件加速仿真平台的逻辑当中,从而帮助自动驾驶电子系统研发团队在实际设计出芯片之前,建立一个闭环的验证环境,来对包括传感器、仪表盘、引擎和刹车控制器等集成电路在内的整个汽车电子系统在不同的路况场景下的反应进行测试和验证,大大降低了研发的时间成本。
第三,ISO 26262标准认证。ISO 26262被称作功能安全(Functional Safety, 简稱FuSa),主要目的是解决电子电气系统的随机硬件失效和系统性失效,为所有汽车的电子电气系统提供统一的安全标准。
集成电路在设计时需要进行三种功能安全验证:系统故障、恶意故障和随机硬件故障。此前,Mentor的Questa软件主要针对系统故障功能验证,可以提供恶意故障验证解决方案来确保集成电路的安全性。为了更好地帮助用户测试并改善汽车功能安全方面的集成电路设计,西门子收购了Austemper Design Systems公司,带来最先进的分析、自校正和故障仿真技术,从而加强了Mentor面向汽车工业的集成电路设计和验证技术,并通过西门子的数字孪生技术来增强ISO 26262功能安全测试。
集成电路在设计时需要进行三种功能安全验证:系统故障、恶意故障和随机硬件故障。此前,Mentor的Questa软件主要针对系统故障功能如错误的标准解读以及设计上的疏失提供验证及覆盖率收敛,Questa Formal可以提供恶意故障验证解决方案来确保集成电路的安全性 (Cyber Security)。
为了更好地帮助用户测试并改善汽车功能安全方面的集成电路设计,西门子收购了Austemper Design Systems公司,透过其中包括了经过验证的生命周期管理、安全分析、安全验证和安全性设计工具带来最先进的分析、自校正和故障仿真技术,从而加强了Mentor安全IC 验证平台面向汽车工业的集成电路设计和验证技术的挑战,并通过西门子的数字孪生技术来增强ISO 26262功能安全测试並可以帮助客户开发拥有更高质量和可靠性的产品,并记录设计开发和测试过程中的各项步骤。
不仅如此,在车辆使用期间,电子系统也会在车辆启动、行驶过程中和停止时不断地进行系统内自检测,以随时发现自己可能存在的安全隐患并及时通知用户。这些自检测都需要在极短的时间内完成高覆盖率的测试。另外,行驶过程中的自检测还要求对存储器存储内容无损坏的测试。Mentor 的Tessent 测试工具在设计中加入逻辑自测试电路和支持存储器内容无损伤的存储单元自测试电路, 来拿满足这些汽车电子的特殊的测试要求,同时加入了Mission-Mode 控制器,作为和系统的接口,可以更加灵活地控制电子系统,根据车辆所处的状态来对电子系统的不同环节进行针对性的检测。
第四,对汽车芯片测试质量的极致追求。与手机等消费类电子产品相比,汽车电子的安全标准极为严苛。手机在使用时如果出现故障,用户只需重新更换一部就好,而自动驾驶汽车一旦在行驶中发生电子系统故障,轻则有可能导致交通事故,重则甚至危及生命安全。
所以,在汽车电子的制造和使用阶段,必须把保障功能的安全性和可靠性作为首要目标。首先,在制造阶段,要尽量确保生产出来的芯片经测试后每百万片的缺陷数(DPPM)无限趋近于零。由于汽车电子对功耗和性能的综合要求极高,自动驾驶AI芯片大多采用更新的16纳米甚至7纳米制程技术,而不是工艺更加成熟的65纳米和40纳米制程技术,这也让提升产品DPPM变得极为困难。三维晶体管,尤其是FinFET晶体管的诞生,在提升芯片性能的同时,也导致芯片产生缺陷的几率增加。Mentor的Tessent综合硅测试和良率分析平台,可以解决SoC在制造测试、调试和良率提升等方面面临的诸多挑战,并针对新的芯片制造技术添加相应的模型,来应对新工艺标准设计单元內部出現生产缺陷的特別测试需求。
虽然以自动驾驶和新能源为主要方向的汽车电子系统,在实现可靠性的道路上面临着诸多困难,但是,人类科技进步的脚步从来不会停止。随着芯片制造和测试技术的不断发展,相信不久我们就将真正地安享科技为我们带来的便利生活,在驾驶途中自由地放开我们的双手,去做真正富有创造力的事情。
作者:Lincoln Lee,Mentor, a Siemens Business亚太区技术总监
本文为Mentor公司供稿,《电子工程专辑》对文中观点保持中立。
您可能感兴趣
