当今汽车行业正在加速创新,新能源和自动驾驶汽车的发展越来越快。随着车辆控制正在从人类控制转变为车辆自主控制,更多的传感器、摄像头、雷达等被应用到到汽车系统中,数据处理需求也随之增加,这就需要更大的SoC来提供更多的计算性能,还要尽可能降低故障率。为了满足这些需求,行业急需更先进的处理器架构。
什么是ISO 26262?
在汽车行业有一个功能安全标准——ISO 26262,该标准定义了不同的汽车安全完整性等级(ASIL)。ISO 26262 标准包括随机硬件故障的可接受失效时间 (FIT) 概念,还规定了硬件、软件和组合系统开发应遵循的系统化流程要求,以符合汽车标准。 为了帮助ASIL与汽车用例及其安全关键性保持一致,ISO 26262 标准主要参考三大要素:
暴露概率:典型驾驶中发生此事件的频率
驾驶员的可控性:驾驶员应对故障的可能性
故障的严重性:因故障引发事故的可能性
图1显示了如何通过以上几个要素来判断车辆的ASIL安全等级。
图1:以车辆前向碰撞警告系统为例,其暴露概率 (E4)、可控性 (C3) 和严重性 (S3) 共同决定了其需要符合 ASIL D安全等级
随着汽车自动驾驶等级的提高,驾驶员的可控性也随之降低。如果汽车系统中发生故障,则可能导致碰撞。ISO 26262 将故障分为两种:
系统故障
随机硬件故障:分为永久性和瞬态性两种
系统故障在硬件和软件中都会出现,所以最好在软硬件模块的开发过程中就要引入安全保护机制。在随机硬件故障中,永久性故障是指由硬件装置的磨损引起,发生(例如:短路)之后会无限期地(或至少在修复前)持续。随机故障的故障指标是硬件架构指标,用于测量 SoC 内安全机制的覆盖范围,故障指标越高,硬件架构中故障的风险就越低。 所以,为汽车SoC开发的符合ASIL的IP需要对所有故障类型(包括永久性故障和瞬态故障)都有保护作用。具体而言,对于随机硬件故障,ASIL级别定义如表1所示。
表 1:ASIL级别的故障指标
汽车需要更强大的处理能力
随着汽车智能化的发展,例如,使用了先进的雷达系统,可控性或“主动辅助”水平从驾驶员转移到车辆安全系统等,可能会导致驾驶人员对道路的注意力下降,因此对汽车系统的安全提出了更高的要求。 例如,在未来的汽车应用安全性方面,雷达发挥着至关重要的作用。L1 级自主雷达系统必须展示出对环境详细状况的识别能力,包括两侧车流,以便根据情况作出反应。而具有更高自主性的L2+、L3等的自动驾驶功能需要拥有完整的周围视图,因此除了前后雷达传感器之外,还需要多个角雷达和侧雷达。 以上这些雷达在工作过程中产生了大量的数据,需要SoC进行提取和处理。传统上,这些较大SoC中的汽车MCU是基于RISC的架构。然而,为了满足性能要求,系统需要一种具有最先进的安全功能的处理器架构,这种架构是一种平衡了性能、功耗、面积、安全等多个因素的组合。这种组合将为未来汽车行业内的先进安全设计以及未来其他生死攸关的安全应用奠定基础(图2)。
图2. 微处理器 PPA 三角形与安全覆盖
为汽车选择更优的处理器架构
由于现有的RISC架构的安全关键型MCU无法提供L2+所需的性能。因此,需要将高性能处理器IP内核与新的先进安全概念相结合。与RISC架构对比,通过使用矢量DSP架构,其提供的性能要求是标准RISC内核的25倍。这种架构还可以与执行人工神经网络 (ANN) 的能力相结合,用虚拟传感器替换部分物理传感器,从而降低成本。 图3将标准RISC架构与标准FFT内核的 512b宽矢量 DSP 架构进行了比较,从性能和功耗角度来看,我们发现与 RISC 架构相比,矢量DSP架构的优势更为显著。
图 3:与FFT的RISC 相比,矢量 DSP 架构的性能和功效优势
为了满足汽车实时应用(如雷达)的性能要求,需要在高性能处理器架构上执行与上述 FFT 内核基准相似的计算密集型算法,譬如新思科技 DesignWare® ARC® EV7x 处理器 IP,带有紧密集成的深度神经网络 (DNN) 引擎。 新思科技的DesignWare® ARC® EV7xFS 嵌入式视觉处理器(图4)完全可编程,融合了软件解决方案的灵活性和专用硬件的高性能和低功耗等特点。该处理器集成了多达四个高性能 32 位标量内核和 512 位矢量 DSP。它们是完全可编程且可配置的IP内核,采用超长指令字 (VLIW)/单指令多数据 (SIMD) 架构,并具有用于浮点和线性代数/数学计算的优化执行单元。EV7xFS 处理器针对需要功能安全性的高性能嵌入式信号处理或视觉应用进行了优化。为了快速准确地执行卷积神经网络 (CNN) 或批量的 RNN/LSTM,EV7xFS Processor IP集成了可选的集成式深度神经网络(DNN) 加速器。 为了向汽车设计团队提供更大的灵活性,并满足不断变化的要求,ARC EV7xFS处理器提供ASIL就绪“混合”选项,使用户可以在硅后软件中选择高达ASIL D的安全级别。 DesignWare®ARC® EV7xFS 安全包基于以下几点:
集成和可配置的安全功能,高达ASIL D级别
详细的IP安全文档支持基于EV7xFS的系统认证,高达ASIL D级别
这些处理器被开发为独立安全单元(SEooC),这意味着,它们可以展示针对所有故障类型的故障覆盖的证据(根据 26262中概述的指标)。作为 SEooC,处理器IP的开发独立于与特定项目或系统(例如,车辆、车辆子系统或 OEM 定义的项目)相关的已定义情境。ARC EV7xFS 处理器是根据已定义的功能要求、非功能要求、安全要求和使用假设来开发的。
图 4:新思科技 DesignWare EV7xFS 嵌入式视觉处理器
EV7xFS 处理器的功能安全可通过非常丰富的先进硬件安全机制和非常全面的故障注入验证和 FMEDA 后端注释软件测试库 (STL) 实现。STL开发方法是另一项具有创新性的先进流程。 DesignWareARC功能安全 (FS) 处理器IP支持高达ASIL D的安全级别,旨在简化安全攸关的汽车SoC开发并加快 ISO 26262 认证。该组合包括ARC EM22FS、SEM130FS、HS4xFS 和 EV7xFS 和 VPX5FS 安全处理器,其中集成了硬件安全功能,可检测系统错误。
结语
由于将SoC作为符合ISO 26262标准的独立安全单元(SEooC)进行开发,其内置的安全功能必须包括针对系统故障和瞬态故障的保护。而只有高性能、支持安全的矢量DSP架构,才能实现下一代车辆主动安全系统所需的性能、设计成本效益和最高的ASIL 级别。新思科技DesignWare® ARC® EV7xFS 处理器IP,可简化IP集成商在展示SoC级别的证据方面的工作和论证,满足下一代汽车设计的这些需求。
(半导体行业观察)
声明:本网站所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。本站部分作品是由网友自主投稿和发布、编辑整理上传,对此类作品本站仅提供交流平台,不为其版权负责。如果您发现网站上所用视频、图片、文字如涉及作品版权问题,请第一时间告知,我们将根据您提供的证明材料确认版权并按国家标准支付稿酬或立即删除内容,以保证您的权益!联系电话:010-58612588 或 Email:editor@mmsonline.com.cn。
- 暂无反馈