按:汽车行业进军智能化,汽车搭载的电子/电气系统数量也随之不断增加。公开数据显示,一辆高端豪华轿车上有多达70多个电子控制单元(Electronic Control Unit,ECU),其中发动机管理系统、底盘控制系统、制动系统等都是安全相关系统。为了实现汽车电子/电气系统的安全设计,道路车辆功能安全标准ISO 26262于2011年被正式发布,其中涉及的系统风险等级评估标准——ASIL等级(Automotive Safety Integrity Level,汽车安全完整性等级)也应运而生。
随着智能驾驶、自动驾驶风口的到来,车用片上系统(SoC)更高的稳定性和安全等级成为汽车的刚需,也顺势打响了各芯片厂商新一轮布局战。那么,诸如英伟达、英特尔、高通、ARM这些芯片巨头的战况如何呢?雷锋网编译整理了来自EE Times的这篇深度文章,以飨读者。
不论是那些已经普遍装备在汽车上的ADAS系统模块,还是某些测试中的L4自动驾驶系统,抑或是仍活在效果图中的无人驾驶概念车,在争夺汽车智能化蛋糕的同时,面向实际应用的场景,在对它们的鲁棒性发出层层考验。ASIL(Automotive Safety Integrity Level,汽车安全完整性等级),就是检验功能模块中片上系统(SoC)半导体安全等级的重要指标之一。
ASIL,是ISO 26262标准中的重要评价体系,用于识别系统危害并对危害风险等级进行评估。AISL分为四个等级,分别为A、B、C、D,其中A是最低等级,D是最高等级。ASIL等级决定了对系统安全性的要求,ASIL等级越高,对系统的安全性要求越高,为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开发流程越严格,相应的开发成本增加、开发周期延长、技术要求严格。下图是ASIL等级评估的对照表。可以看出,如果安全等级到达D级,则意味着整个系统范围内单点故障率不超过1%。
*ASIL等级评估对照表(来源:美国新思科技公司)
除极少数达到ASIL D级标准的MCU(微控制单元),芯片供应商目前大量出货,应用在ADAS中的系统芯片,安全等级大多在B或C级。来自汽车领域独立数据调研机构IHS Markit的分析师Luca De Ambroggi指出,“为了在ADAS系统尺度上达到ASIL D级,大部分厂商目前的解决方案是利用多枚B-C级SoC建立一个冗余系统,通过ASIL分解原则达到D级标准。”
不过,这样的方案也意味着成本的增加,Luca De Ambroggi指出,这样的方案无法一劳永逸,ASIL D级认证对于车用芯片厂商而言是必经之路,甚至是供应商需要花大力攻克的难题,尤其是对于越发复杂的片上系统更是如此。
而在这一点上,许多颠覆性的变革来源于市场中一些新的闯入者——那些没有任何汽车电子领域经验的芯片生产商。为了在自动驾驶的风口追赶那些汽车领域的市场竞争者,他们正在打造“弯道超车”的时机。例如,诸如ARM和Synopsys(美国新思科技,SNPS)的IP核(知识产权核,指芯片中某个可重用模块)供应商正在布局推出面向ASIL D级的双核锁步(Dual Core Lockstep)处理器。
在过去的几年里,ARM投入重金发展安全处理器系统方案。2013年,ARM发布“ARMv8-R”架构,支持实时嵌入式处理器。架构具有即时运算的处理能力,能够扩增多种与安全相关的解决方案,可用于ADAS、V2V通讯等多个领域。去年9月,刚刚被软银斥资320亿美元收购的ARM献上大礼——Cortex-R52处理器,该处理器基于改进的ARMv8-R架构,为之前Cortex-R5的升级版,通过了包括ISO 26262在内的多项安全标准认证。
Synopsys的路径与之类似。就在几天前,Synopsys 宣布其ARC EM系列的“安全岛”模块和双核锁步处理器已经可用,并达到ASIL准D级标准,配备自查安全监控以及硬件安全监测性能,如误差矫正码等用于检测系统失效。
*Synopsys ASIL准D级双核锁步处理器可重用模块
Synopsys ARC EM处理器的产品线负责人Angela Raucher表示,“随着越来越多的厂商开始对汽车市场产生兴趣,我们希望通过这种IP核授权的形式,降低产业的准入门槛。”
不过即便如此,对于加入汽车市场的新玩家,底层实现仍旧需要重视。分析机构Strategy Analytics全球汽车业务负责人Ian Riches认为,除非IP供应商提供所有的设计支持和文件集,否则任何一家厂商都应该审慎布局面向ASIL D级应用的知识产权核。
面向关键性安全应用的MCU
一些面向关键性安全需求的应用,大浪淘沙般将产业链企业进行了等级划分。而这,也成为企业争相布局的重要原因。
一些汽车行业的资深玩家,早已将主要资源投放到面向ASIL D级MCU的研发中,试图在赛道领跑。
Riches说,“主流汽车供应商在2015年前,便开始着手研发ASIL D级设备。例如,与NXP(恩智浦)合并前的飞思卡尔早在2012年,便推出面向汽车底盘和安全应用的 MPC5643L 32位MCU,拔得行业头筹。”
“如果厂商在那时想要一款ASIL D级处理器,ARM可不是最好的选择。如今,各大传统汽车供应商都不惜重金投入研发属于自己的D级架构,时机已经到了。”
据IHS资料,ASIL D级要求ECU在刹车、转向等操作中具有极高的安全性能。
通往 ASIL D级之路
今年CES展,当英伟达CEO黄仁勋站在舞台时,他向世界展示公司研发的Xavier芯片产品,号称自动驾驶汽车的“人工智能超级计算机”。黄仁勋介绍说,这款预计年底发布的片上系统,芯片本身达到ASIL C级认证标准,但其模块可通过设计实现ASIL D安全功能。
除此之外,市场还充斥着布局自动驾驶汽车“超级大脑”的各路玩家。
Strategy Analytics的Riches强调,“即便诸如英伟达、英特尔、高通等厂商对汽车市场宣誓了极大的兴趣和野心,留给传统汽车供应商的机会仍然存在”。
而这个机会,就在于一些面向关键性安全应用的MCU上。
以英飞凌为例,其针对汽车研发的TriCore内核Aurix单片机,就是英伟达该模组的一部分。“英飞凌的TriCore内核,是使英伟达解决方案能够达到D级标准的重要组成部分。”
不过,众多巨头玩家所布局的汽车“超级大脑”,往往不是要用在ADAS上,相反,却转投自动驾驶的更大蓝海。诸如NXP的开源自动驾驶计算平台Bluebox,以及Renesas(瑞萨电子)64位元车载处理器RCar,都在试图与现有的车载设备竞争。
我们来看一下NXP讲了一个什么故事。
现今,NXP有两种架构的芯片产品,一部分基于Power Architecture技术(锁步架构,可达ASILD级标准),一部分基于ARM架构。对于未来产品线布局,NXP希望基于现有的ASIL B级ARM核,应用锁步架构达成ASIL D级。
*NXP面向ADAS的S32V234架构
如今,距离NXP发布第一款面向通用市场的MPC5643L汽车安全开发套件已经过去5年的时间,但即便如此,NXP发言人表示,使产品达到ASIL D级仍旧不是一件易事。
NXP在MPC5643L认证阶段选择与一家独立的机构(Exida)合作,该芯片基于Power架构,支持锁步模式。据NXP透露,与 Exida的这项合作持续了一年多的时间,中间消耗了海量的沟通与协调资源。
与此同时,NXP宣布旗下的“Safe Assure”流程已经开发完成,“Safe Assure”致力于帮助NXP客户达到所需要的安全认证级别。NXP宣称“Safe Assure”从开发流程、芯片产品,到软件产品、支持文档,都以ISO26262 ASIL标准为目标研发,从而可以从系统层面大幅降低获得安全认证的难度。
在那之后,NXP升级了旗下产品的标准汽车开发协议,以达到ISO 26262对协议的要求,该协议包括内置的独立安全评估模块。
总而言之,ASIL认证并不是简单的一次性测试,而是深埋于整个芯片开发周期之中的。它不仅有关于开发流程中额外添加的安全机能,还有关于安全重于一切的企业文化。在产品的开发与生产环节中,安全管理、安全计划、安全时间、安全评估、安全思想、安全分析、安全文档,都是不可或缺的。NXP发言人如是说。
简化流程
以ARM与Synopsys为代表的IP核产业模式,核心在于大幅削减开发时间。芯片厂商在成熟的IP核授权下,可以迅速设计、验证然后发布用于ADAS或自动驾驶的安全SoC。
Synopsys公司的Raucher解释道: 用于自动驾驶的安全SoC芯片,可能需要长达六个月的额外验证时间。
对于一般的SoC来说,在芯片的验证流程中,会首先测试系统性失效,也就是由芯片/软件bug以及错误规格带来的失效。但对安全性有更高要求的SoC,则必须测试随机因素引起的失效,这会导致测试工作量的几何级增加,错误可能来自于晶体管失效、电路接触不良,甚至包括高能粒子与硅元素之间作用产生的软故障,测试还需要确认这些失效是永久性的、暂时性的还是潜在的。
而基于上述的背景,如果IP商向芯片厂商提供预置的、经过ASIL D级验证的处理器,这将会对安全Soc开发十分有帮助。高安全性SoC需要误差校正和检测,需要同步的冗余核来运行与主核心相同的代码,还需要额外的控制单元,用来比较主核心与冗余核心输出结果的不同,更需要海量的用于通过ISO 26262标准的文档。Raucher解释说。
对于ARM与Synopsys来说,他们提供的,是架构相似的面向ASIL D级的处理器方案。
ARM这样描述他们的Coetex-R52方案:
支持双核锁步模式运行,并附有额外比较器,用于比较双核心的输出结果。
提供额外的多项失效检测功能。
面向ASIL-D标准设计。
此外,ARM高级产品市场经理Phil Burr还补充道:ARM将为合作厂商提供设计流程中全套的面向ASIL-D标准的安全文档,可以大幅简化拿到ASIL-D认证的流程。
*ARM Cortex R52 架构示意图
ARM在业界树立的口碑,在于它在安全认证芯片方面的丰富经验,虽然最新Cortex-R52架构的芯片还未上市,市场上已经有类似的成熟产品。例如,基于ARM的TI TMS570LS10206双核锁步设备,已经达到SIL3认证,该认证等效于ASIL D级。
Synopsys也有涉足消费电子领域的野心,目前正希望与熟悉ARC核的消费电子芯片厂商达成商业合作。Synopsys计划设计能够同时切入消费电子市场与车载半导体市场的系统级芯片架构。
在Strategic Analysis的Riches看来,“ARM当然在试图扩张自己在车载半导体领域的市场份额,同时,ARM相对于Synopsys也有着不小的优势。”
首先,ARM已经有面向市场的成型产品;其次,ARM已经与大量车用芯片提供商建立了合作关系。Synopsys面临的首要挑战就是建立一个像ARM一样的巨型生态系统,不仅包括第三方在操作系统方面的支持,还包括对应的开发工具,才能与ARM分庭抗礼。
ASIL-D为何如此紧迫?
如果你的汽车整体符合ISO 26262 ASIL-D级标准,那意味着在面对某些临界安全问题时,汽车已经可以代替你做出决定了。而对于整车ASIL-B级标准的汽车来说,汽车只会提醒驾驶员危险来临,具体动作需要驾驶员执行。
就目前来说,实际落地的ADAS系统仍需要驾驶员随时准备介入控制。那么,为什么业界对ASIL-D级芯片产生了如此迫切的需求呢? ASIL-D级的SoC真的有现实意义么?
NXP相信,问题的答案在汽车OEM厂商身上,因为OEM厂商需要在产品鲁棒性与开发速度之间做取舍,而可靠性不足极其容易导致诉讼缠身。
一方面,整个业界正在快马加鞭地部署“高性能计算系统,为自动驾驶决策提供计算力”;另一方面,自动驾驶汽车上品类繁多的汽车控制子系统必须“在保证提供多种智能化功能的同时,保持高级别的安全性。”
基于此,在业界拥抱自动驾驶的同时,OEM厂商正在寻找工程上可行的解决方案。这种方案必须在满足苛刻安全标准的同时,提供快速的产品迭代能力,并提供足够的计算动力。
“符合安全标准的系统级芯片正是解决这个棘手问题的最优解。“NXP这样断言。
汽车领域独立数据调研机构IHS Markit的De Ambroggi则从另一个角度得出了相似的结论。他认为OEM厂商尚未对ASIL-D提出明确的要求,因为从需求层面上目前还不紧迫。“但是,如果ASIL D级别的芯片与普通芯片价格相同,所有OEM厂商都将很乐意使用并推广,因为这种方案显然能够节省他们的成本。这不仅可以节省额外冗余器件的成本,还让OEM厂商免于应对更复杂的解决方案,显然是有前景的。”
与此同时,ASIL D级安全标准已经是汽车产业多年的关注重点了,而ASIL-D标准不仅适用于ADAS或者自动驾驶系统,还适用于各种安全相关的系统,例如刹车系统、转向助力系统等。由此,Riches得出这样的结论,那就是在自动驾驶系统以外,ASIL D级芯片还有更大的应用空间,相关需求在未来的几年里必将保持增长势头。
本文转自d1net(转载)