按:汽車行業進軍智能化,汽車搭載的電子/電氣系統數量也隨之不斷增加。公開數據顯示,一輛高端豪華轎車上有多達70多個電子控制單元(Electronic Control Unit,ECU),其中發動機管理系統、底盤控制系統、制動系統等都是安全相關系統。為了實現汽車電子/電氣系統的安全設計,道路車輛功能安全標準ISO 26262于2011年被正式發布,其中涉及的系統風險等級評估標準——ASIL等級(Automotive Safety Integrity Level,汽車安全完整性等級)也應運而生。
隨著智能駕駛、自動駕駛風口的到來,車用片上系統(SoC)更高的穩定性和安全等級成為汽車的剛需,也順勢打響了各芯片廠商新一輪布局戰。那么,諸如英偉達、英特爾、高通、ARM這些芯片巨頭的戰況如何呢?雷鋒網編譯整理了來自EE Times的這篇深度文章,以饗讀者。
不論是那些已經普遍裝備在汽車上的ADAS系統模塊,還是某些測試中的L4自動駕駛系統,抑或是仍活在效果圖中的無人駕駛概念車,在爭奪汽車智能化蛋糕的同時,面向實際應用的場景,在對它們的魯棒性發出層層考驗。ASIL(Automotive Safety Integrity Level,汽車安全完整性等級),就是檢驗功能模塊中片上系統(SoC)半導體安全等級的重要指標之一。
ASIL,是ISO 26262標準中的重要評價體系,用于識別系統危害并對危害風險等級進行評估。AISL分為四個等級,分別為A、B、C、D,其中A是最低等級,D是最高等級。ASIL等級決定了對系統安全性的要求,ASIL等級越高,對系統的安全性要求越高,為實現安全付出的代價越高,意味著硬件的診斷覆蓋率越高,開發流程越嚴格,相應的開發成本增加、開發周期延長、技術要求嚴格。下圖是ASIL等級評估的對照表。可以看出,如果安全等級到達D級,則意味著整個系統范圍內單點故障率不超過1%。
*ASIL等級評估對照表(來源:美國新思科技公司)
除極少數達到ASIL D級標準的MCU(微控制單元),芯片供應商目前大量出貨,應用在ADAS中的系統芯片,安全等級大多在B或C級。來自汽車領域獨立數據調研機構IHS Markit的分析師Luca De Ambroggi指出,“為了在ADAS系統尺度上達到ASIL D級,大部分廠商目前的解決方案是利用多枚B-C級SoC建立一個冗余系統,通過ASIL分解原則達到D級標準。”
不過,這樣的方案也意味著成本的增加,Luca De Ambroggi指出,這樣的方案無法一勞永逸,ASIL D級認證對于車用芯片廠商而言是必經之路,甚至是供應商需要花大力攻克的難題,尤其是對于越發復雜的片上系統更是如此。
而在這一點上,許多顛覆性的變革來源于市場中一些新的闖入者——那些沒有任何汽車電子領域經驗的芯片生產商。為了在自動駕駛的風口追趕那些汽車領域的市場競爭者,他們正在打造“彎道超車”的時機。例如,諸如ARM和Synopsys(美國新思科技,SNPS)的IP核(知識產權核,指芯片中某個可重用模塊)供應商正在布局推出面向ASIL D級的雙核鎖步(Dual Core Lockstep)處理器。
在過去的幾年里,ARM投入重金發展安全處理器系統方案。2013年,ARM發布“ARMv8-R”架構,支持實時嵌入式處理器。架構具有即時運算的處理能力,能夠擴增多種與安全相關的解決方案,可用于ADAS、V2V通訊等多個領域。去年9月,剛剛被軟銀斥資320億美元收購的ARM獻上大禮——Cortex-R52處理器,該處理器基于改進的ARMv8-R架構,為之前Cortex-R5的升級版,通過了包括ISO 26262在內的多項安全標準認證。
Synopsys的路徑與之類似。就在幾天前,Synopsys 宣布其ARC EM系列的“安全島”模塊和雙核鎖步處理器已經可用,并達到ASIL準D級標準,配備自查安全監控以及硬件安全監測性能,如誤差矯正碼等用于檢測系統失效。
*Synopsys ASIL準D級雙核鎖步處理器可重用模塊
Synopsys ARC EM處理器的產品線負責人Angela Raucher表示,“隨著越來越多的廠商開始對汽車市場產生興趣,我們希望通過這種IP核授權的形式,降低產業的準入門檻。”
不過即便如此,對于加入汽車市場的新玩家,底層實現仍舊需要重視。分析機構Strategy Analytics全球汽車業務負責人Ian Riches認為,除非IP供應商提供所有的設計支持和文件集,否則任何一家廠商都應該審慎布局面向ASIL D級應用的知識產權核。
面向關鍵性安全應用的MCU
一些面向關鍵性安全需求的應用,大浪淘沙般將產業鏈企業進行了等級劃分。而這,也成為企業爭相布局的重要原因。
一些汽車行業的資深玩家,早已將主要資源投放到面向ASIL D級MCU的研發中,試圖在賽道領跑。
Riches說,“主流汽車供應商在2015年前,便開始著手研發ASIL D級設備。例如,與NXP(恩智浦)合并前的飛思卡爾早在2012年,便推出面向汽車底盤和安全應用的 MPC5643L 32位MCU,拔得行業頭籌。”
“如果廠商在那時想要一款ASIL D級處理器,ARM可不是最好的選擇。如今,各大傳統汽車供應商都不惜重金投入研發屬于自己的D級架構,時機已經到了。”
據IHS資料,ASIL D級要求ECU在剎車、轉向等操作中具有極高的安全性能。
通往 ASIL D級之路
今年CES展,當英偉達CEO黃仁勛站在舞臺時,他向世界展示公司研發的Xavier芯片產品,號稱自動駕駛汽車的“人工智能超級計算機”。黃仁勛介紹說,這款預計年底發布的片上系統,芯片本身達到ASIL C級認證標準,但其模塊可通過設計實現ASIL D安全功能。
除此之外,市場還充斥著布局自動駕駛汽車“超級大腦”的各路玩家。
Strategy Analytics的Riches強調,“即便諸如英偉達、英特爾、高通等廠商對汽車市場宣誓了極大的興趣和野心,留給傳統汽車供應商的機會仍然存在”。
而這個機會,就在于一些面向關鍵性安全應用的MCU上。
以英飛凌為例,其針對汽車研發的TriCore內核Aurix單片機,就是英偉達該模組的一部分。“英飛凌的TriCore內核,是使英偉達解決方案能夠達到D級標準的重要組成部分。”
不過,眾多巨頭玩家所布局的汽車“超級大腦”,往往不是要用在ADAS上,相反,卻轉投自動駕駛的更大藍海。諸如NXP的開源自動駕駛計算平臺Bluebox,以及Renesas(瑞薩電子)64位元車載處理器RCar,都在試圖與現有的車載設備競爭。
我們來看一下NXP講了一個什么故事。
現今,NXP有兩種架構的芯片產品,一部分基于Power Architecture技術(鎖步架構,可達ASILD級標準),一部分基于ARM架構。對于未來產品線布局,NXP希望基于現有的ASIL B級ARM核,應用鎖步架構達成ASIL D級。
*NXP面向ADAS的S32V234架構
如今,距離NXP發布第一款面向通用市場的MPC5643L汽車安全開發套件已經過去5年的時間,但即便如此,NXP發言人表示,使產品達到ASIL D級仍舊不是一件易事。
NXP在MPC5643L認證階段選擇與一家獨立的機構(Exida)合作,該芯片基于Power架構,支持鎖步模式。據NXP透露,與 Exida的這項合作持續了一年多的時間,中間消耗了海量的溝通與協調資源。
與此同時,NXP宣布旗下的“Safe Assure”流程已經開發完成,“Safe Assure”致力于幫助NXP客戶達到所需要的安全認證級別。NXP宣稱“Safe Assure”從開發流程、芯片產品,到軟件產品、支持文檔,都以ISO26262 ASIL標準為目標研發,從而可以從系統層面大幅降低獲得安全認證的難度。
在那之后,NXP升級了旗下產品的標準汽車開發協議,以達到ISO 26262對協議的要求,該協議包括內置的獨立安全評估模塊。
總而言之,ASIL認證并不是簡單的一次性測試,而是深埋于整個芯片開發周期之中的。它不僅有關于開發流程中額外添加的安全機能,還有關于安全重于一切的企業文化。在產品的開發與生產環節中,安全管理、安全計劃、安全時間、安全評估、安全思想、安全分析、安全文檔,都是不可或缺的。NXP發言人如是說。
簡化流程
以ARM與Synopsys為代表的IP核產業模式,核心在于大幅削減開發時間。芯片廠商在成熟的IP核授權下,可以迅速設計、驗證然后發布用于ADAS或自動駕駛的安全SoC。
Synopsys公司的Raucher解釋道: 用于自動駕駛的安全SoC芯片,可能需要長達六個月的額外驗證時間。
對于一般的SoC來說,在芯片的驗證流程中,會首先測試系統性失效,也就是由芯片/軟件bug以及錯誤規格帶來的失效。但對安全性有更高要求的SoC,則必須測試隨機因素引起的失效,這會導致測試工作量的幾何級增加,錯誤可能來自于晶體管失效、電路接觸不良,甚至包括高能粒子與硅元素之間作用產生的軟故障,測試還需要確認這些失效是永久性的、暫時性的還是潛在的。
而基于上述的背景,如果IP商向芯片廠商提供預置的、經過ASIL D級驗證的處理器,這將會對安全Soc開發十分有幫助。高安全性SoC需要誤差校正和檢測,需要同步的冗余核來運行與主核心相同的代碼,還需要額外的控制單元,用來比較主核心與冗余核心輸出結果的不同,更需要海量的用于通過ISO 26262標準的文檔。Raucher解釋說。
對于ARM與Synopsys來說,他們提供的,是架構相似的面向ASIL D級的處理器方案。
ARM這樣描述他們的Coetex-R52方案:
支持雙核鎖步模式運行,并附有額外比較器,用于比較雙核心的輸出結果。
提供額外的多項失效檢測功能。
面向ASIL-D標準設計。
此外,ARM高級產品市場經理Phil Burr還補充道:ARM將為合作廠商提供設計流程中全套的面向ASIL-D標準的安全文檔,可以大幅簡化拿到ASIL-D認證的流程。
*ARM Cortex R52 架構示意圖
ARM在業界樹立的口碑,在于它在安全認證芯片方面的豐富經驗,雖然最新Cortex-R52架構的芯片還未上市,市場上已經有類似的成熟產品。例如,基于ARM的TI TMS570LS10206雙核鎖步設備,已經達到SIL3認證,該認證等效于ASIL D級。
Synopsys也有涉足消費電子領域的野心,目前正希望與熟悉ARC核的消費電子芯片廠商達成商業合作。Synopsys計劃設計能夠同時切入消費電子市場與車載半導體市場的系統級芯片架構。
在Strategic Analysis的Riches看來,“ARM當然在試圖擴張自己在車載半導體領域的市場份額,同時,ARM相對于Synopsys也有著不小的優勢。”
首先,ARM已經有面向市場的成型產品;其次,ARM已經與大量車用芯片提供商建立了合作關系。Synopsys面臨的首要挑戰就是建立一個像ARM一樣的巨型生態系統,不僅包括第三方在操作系統方面的支持,還包括對應的開發工具,才能與ARM分庭抗禮。
ASIL-D為何如此緊迫?
如果你的汽車整體符合ISO 26262 ASIL-D級標準,那意味著在面對某些臨界安全問題時,汽車已經可以代替你做出決定了。而對于整車ASIL-B級標準的汽車來說,汽車只會提醒駕駛員危險來臨,具體動作需要駕駛員執行。
就目前來說,實際落地的ADAS系統仍需要駕駛員隨時準備介入控制。那么,為什么業界對ASIL-D級芯片產生了如此迫切的需求呢? ASIL-D級的SoC真的有現實意義么?
NXP相信,問題的答案在汽車OEM廠商身上,因為OEM廠商需要在產品魯棒性與開發速度之間做取舍,而可靠性不足極其容易導致訴訟纏身。
一方面,整個業界正在快馬加鞭地部署“高性能計算系統,為自動駕駛決策提供計算力”;另一方面,自動駕駛汽車上品類繁多的汽車控制子系統必須“在保證提供多種智能化功能的同時,保持高級別的安全性。”
基于此,在業界擁抱自動駕駛的同時,OEM廠商正在尋找工程上可行的解決方案。這種方案必須在滿足苛刻安全標準的同時,提供快速的產品迭代能力,并提供足夠的計算動力。
“符合安全標準的系統級芯片正是解決這個棘手問題的最優解。“NXP這樣斷言。
汽車領域獨立數據調研機構IHS Markit的De Ambroggi則從另一個角度得出了相似的結論。他認為OEM廠商尚未對ASIL-D提出明確的要求,因為從需求層面上目前還不緊迫。“但是,如果ASIL D級別的芯片與普通芯片價格相同,所有OEM廠商都將很樂意使用并推廣,因為這種方案顯然能夠節省他們的成本。這不僅可以節省額外冗余器件的成本,還讓OEM廠商免于應對更復雜的解決方案,顯然是有前景的。”
與此同時,ASIL D級安全標準已經是汽車產業多年的關注重點了,而ASIL-D標準不僅適用于ADAS或者自動駕駛系統,還適用于各種安全相關的系統,例如剎車系統、轉向助力系統等。由此,Riches得出這樣的結論,那就是在自動駕駛系統以外,ASIL D級芯片還有更大的應用空間,相關需求在未來的幾年里必將保持增長勢頭。
京公網安備 11010502049343號