简介
当今汽车行业的创新正在加速,因为各公司正在竞相成为安全和自动驾驶车辆领域的市场领导者。随着车辆控制正在从人类转变为车辆的主动安全系统,更多传感器 – 摄像头、雷达、激光雷达等 – 正被添加到汽车系统中。更多的传感器需要更大的 SoC 提供的更多计算性能,以处理额外的传入数据,并尽可能降低故障率。因此,自动驾驶汽车要求提高处理性能和安全要求的数量级。这些更大的 SoC 需要最先进的处理器架构,以提供具有最高汽车安全完整性水平 (ASIL) 所需的处理性能。
具有传感器的安全系统,其中一个实例是基于雷达的自适应巡航控制和车道居中保持。增加安全级别会导致系统成本增加,例如,纳入物理传感器以满足这些标准。在未来的汽车应用安全性方面,雷达应用发挥着至关重要的作用。L1 级自主雷达系统必须展示出对环境详细状况的识别能力,包括两侧车流,以便根据情况作出反应。具有更高自主性(例如 L2+、L3 和……)的自动驾驶功能需要拥有完整的周围视图,因此除了前后雷达传感器之外,还需要多个角雷达和侧雷达。两个示例都表明,需要从给定传感器信号中提取越来越多的信息。需要更多的传感器,并且必须从每个传感器数据中提取(计算)更多信息,这需要越来越强大的处理能力。
传统上,这些较大 SoC 中的汽车 MCU 是基于 RISC 的架构。然而,为了满足性能要求,系统(例如基于雷达的主动安全系统)需要一种具有最先进的安全功能的处理器架构,这是一种平衡了性能、功耗、面积和安全结果的组合。这种组合为未来汽车行业内的先进安全设计以及未来其他生死攸关的安全应用(例如,您所在社区中的机器人和无人机可能会与人类互动)奠定了基础(图 1)。
图 1. 微处理器 PPA 三角形与安全覆盖
功能安全要求和 ISO 26262
在汽车行业,功能安全在 ISO 26262:2018 标准中进行了详细概述。该标准定义了不同的汽车安全完整性等级 (ASIL)。ISO 26262 标准包括随机硬件故障的可接受失效时间 (FIT) 概念,还规定了硬件、软件和组合系统开发应遵循的系统化流程要求,以符合汽车标准。
为了帮助 ASIL 与汽车用例及其安全关键性保持一致,ISO 26262 标准分为 3 个特定领域:
暴露概率 – 典型驾驶中发生此事件的频率
驾驶员的可控性 – 驾驶员应对故障的可能性
故障的严重性 – 如果发生故障,事故发生的可能性
图 2 显示了如何使用车辆的前向碰撞警告系统(有必要提高安全要求,从而需要符合 ASIL D)来计算适当的 ASIL 安全等级。
图 2:前向碰撞警告系统的概率 (E4)、可控性 (C3) 和严重性 (S3) 导致需要符合 ASIL D 安全等级
对于前向碰撞预警系统用例,由于汽车在行驶途中很可能会与其他车辆相遇,因此暴露概率很高。对于此用例,驾驶员的可控性降低,因为系统的目的是在驾驶员看到安全问题之前通知驾驶员潜在的碰撞。此外,随着自动驾驶等级的提高,驾驶员的可控性也随之降低。故障的严重程度很高,因为系统中的故障是可能导致碰撞。
相关安全故障类型在 ISO 26262 标准内细分为:
硬件和软件中都会出现系统故障,在硬件和软件模块的开发过程中引入。永久性硬件故障由硬件装置的磨损引起,其中故障在其发生(例如:短路)之后无限期地(或至少在修复前)持续。随机故障的故障指标是硬件架构指标,用于测量 SoC 内安全机制的覆盖范围。故障指标越高,硬件架构中故障的风险就越低。
为汽车 SoC 开发的符合 ASIL 的 IP 需要证明对所有故障类型(包括固定型故障和瞬态故障)都有保护作用。具体而言,对于随机硬件故障,ASIL 级别定义如表 1 所示。
表 1:ASIL 级别的故障指标
随着 ADAS 系统从被动辅助功能向主动辅助功能发展,例如,通过使用先进雷达系统,前向碰撞预警系统转变为碰撞规避系统(CAS);可控性或“主动辅助”水平逐渐从驾驶员转移到车辆安全系统。因此,支持车道前向碰撞警告系统的雷达系统,先前是基于暴露概率、驾驶员可控性和故障严重性,按照 ASIL B、ISO 26262 进行评级,而 CAS 系统由于可控性变化而将项目移动到更高安全水平。在最近报告的车辆碰撞中,进一步验证了这一结论。在碰撞中,ADAS 系统的能力导致驾驶员对道路的注意力下降,间接后果是这些系统的安全要求要有所提升。
处理器选择要求
现有的安全关键型 MCU 无法提供所需的性能,无法提供 L2+ 功能。因此,需要将高性能处理器 IP 内核与新的先进安全概念相结合。RISC 和矢量 DSP 架构的下列基准对比有助于证明这一点。这种架构可通过支持安全的矢量 DSP 实现,其提供的性能要求是标准 RISC 内核的 25 倍。这种 DSP 并行性与安全机制的架构组合,避免了为实现所需的 ASIL 而需要进行蛮力锁步。这种架构与执行人工神经网络 (ANN) 的能力相结合,可使用虚拟传感器替换一些物理传感器,从而降低成本。
将标准 RISC 架构与标准 FFT 内核的 512b 宽矢量 DSP 架构进行比较,从性能和功耗角度来看,我们发现与 RISC 架构相比,矢量 DSP 架构的优势更为显著。
图 3:与 FFT 的 RISC 相比,矢量 DSP 架构的性能和功效优势
为了满足汽车实时应用(如雷达)的性能要求,在高性能处理器架构(如 Synopsys DesignWare® ARC® EV7x 处理器 IP,带有紧密集成的深度神经网络 (DNN) 引擎)上执行与上述 FFT 内核基准相似的计算密集型算法。
用于安全的 DesignWare ARC EV7xFS 嵌入式视觉处理器(图 4)完全可编程,融合了软件解决方案的灵活性和专用硬件的高性能和低功耗等特点。DesignWare ARC EV7xFS 处理器集成了多达四个高性能 32 位标量内核和 512 位矢量 DSP。它们是完全可编程且可配置的 IP 内核,采用超长指令字 (VLIW)/单指令多数据 (SIMD) 架构,并具有用于浮点和线性代数/数学计算的优化执行单元。EV7xFS 处理器针对需要功能安全性的高性能嵌入式信号处理或视觉应用进行了优化。为了快速准确地执行卷积神经网络 (CNN) 或批量的 RNN/LSTM,EV7xFS Processor IP 集成了可选的集成式深度神经网络 (DNN) 加速器。
为了向汽车设计团队提供更大的灵活性,并满足不断变化的要求,ARC EV7xFS 处理器提供 ASIL 就绪“混合”选项,使用户可以在硅后软件中选择高达 ASIL D 的安全级别。
DesignWare ARC EV7xFS 安全包基于以下几点。
这些处理器被开发为独立安全单元 (SEooC),这意味着,它们可以展示针对所有故障类型的故障覆盖的证据(根据 26262 中概述的指标)。作为 SEooC,处理器 IP 的开发独立于与特定项目或系统(例如,车辆、车辆子系统或 OEM 定义的项目)相关的已定义情境。ARC EV7xFS 处理器是根据已定义的功能要求、非功能要求、安全要求和使用假设来开发的。
图 4:Synopsys DesignWare EV7xFS 嵌入式视觉处理器
EV7xFS 处理器的功能安全可通过非常丰富的先进硬件安全机制和非常全面的故障注入验证和 FMEDA 后端注释软件测试库 (STL) 实现。STL 开发方法是另一项具有创新性的先进流程。
DesignWare ARC 功能安全 (FS) 处理器 IP 支持高达 ASIL D 的安全级别,旨在简化安全攸关的汽车 SoC 开发并加快 ISO 26262 认证。该组合包括 ARC EM22FS、SEM130FS、HS4xFS 和 EV7xFS 和 VPX5FS 安全处理器,其中集成了硬件安全功能,可检测系统错误。
结语
只有高性能、支持安全的矢量 DSP 架构,才能实现下一代车辆主动安全系统所需的性能、设计成本效益和最高 ASIL 级别。由于将 SoC 作为符合 ISO 26262 标准的 SEooC 进行开发,需要展示针对所有故障类型的故障覆盖的证据,因此内置安全功能必须包括针对系统故障和瞬态故障的保护。这将简化 IP 集成商在展示 SoC 级别的证据方面的工作和论证。Synopsys DesignWare ARC EV7xFS 处理器 IP 可满足下一代汽车设计的这些需求。