目前的自動駕駛操作案例採用了各種解決方案,其中有些特定類型的感測器專為某種特定功能提供所需要的資料。然而,更複雜的功能(如避開交通堵塞的輔助系統)必須共同使用多種不同類型的感測器與連接。感測器與功能之間的聯繫開始變得更多方向。

有鑑於高度自動駕駛模式所要求的感測器越來越多、功能愈發複雜,我們需要建立一個集中的環境模型,作為不同ADAS功能的基礎。該模型以大量的感測器資料為基礎,對於資料的評估結果構築了各種行動的基礎。這些行動是道路交通中對車輛所做的即時干預行為,因此,軟硬體作業必須具備高性能、高作業安全性以及低功耗。

在打造集中環境模型的過程中,必須使用不同類型的感測器。這些感測器可提供大量的輔助資訊,從而降低對於單個感測器的依賴。例如,僅依靠無法達到指定偵測率或物件不存在的攝影機,即所謂的‘假陽性偵測’。在這種情況下,輔助感測器可以使用雷達(Radar)或光達(LiDAR)。

為了合併這些感測器資料到一個統一的視圖中,必須具備強大的運算能力。像攝影機或雷達等感測器能夠以10Mb/s~40Mb/s的頻寬速度傳送資料,而在全面的感測器系統中,此數值還可以快速增加到500Mb/s。這些資料必須透過車載網路並由電子控制單元(ECU)進行即時採集。為此,ECU必須可以存取Gigabit Ethernet,包括具有汽車級可靠度與高品質的交換機。

為了準確地反映行車周圍環境,ECU不僅要即時接收資料,還必須為資料進行處理。由於感測器可能無法同時偵測到所有的物體,因此,必須按時間順序對資料進行同步處理;同時,由於每個感測器都根據其位置與偵測方式進行專門的安排,所以還必須按空間順序分別對資料進行同步處理。除此之外,ECU還必須評估輸入資料的合理性,連結不同的資料,並就偵測到的物體與車輛的相關性或即將執行的措施(如轉向或煞車)進行分類。為此,則必須使用系統單晶片(SoC)搭配主控制器(MCU)的高性能架構。

當主CPU控制致動器時,SoC提供運算能力。除了使用DDR3或LP-DDR4介面實現較大的記憶體頻寬外,SoC還必須能透過Gigabit Ethernet和PCI Express,為感測器和其他運算單元提供高速鏈路。資料的處理與評估需要多倍1,000DMIPS,以實現高達數個10,000DMIPS的運算能力。

這要求晶片結構具有足夠的尺寸,例如連接至微處理器(MPU)與硬體加速器的多層匯流排和快取記憶體。例如瑞薩電子(Renesas Electronics)的第三代裝置R-Car H3系列等,專用於處理這種任務。DDR介面可提供峰值達到51.2GB/s的有效頻寬,並可實現很高的平均傳輸速率。對於資料處理,瑞薩電子已經採用了運算能力高達40,000DMIPS的最新ARM-v8A 64位元Cortex-A57/Cortex-A53 CPU核心。除了標準的MPU,專用的硬體加速器也已經被用於在低功耗狀態下提供額外的性能。這可透過使用通用繪圖處理器(GP-GPU)和特殊的視覺處理器來實現。由於視覺處理器能夠實現平行指令處理,因此在處理大量資料陣列時的速度大幅提升;這是因為這些處理器能夠根據所使用的演算法類型,提供SIMD或MIMD等執行模式。

同時,感測器融合ECU作業與安全息息相關,並且必須符合通用的安全標準。目前,汽車產業廣泛使用ISO26262安全標準來實現攸關安全功能的安全目標。從車輛下層架構一直到其上的內部ECU細節資訊,都必須接受安全分析,包括對各層開發過程和技術架構的檢驗,以降低系統或隨機的硬體故障風險。其結果是在汽車安全等級的分類中,包括從最低的品質管制安全等級(未考慮任何的安全措施)到最高的ASIL-D等級(汽車安全完整性等級D)。

ASIL等級對預定時間內發生故障的機率進行了說明:在系統級,100FIT要求安全等級達到ASIL-B,10FIT要求安全等級達到ASIL-D。MCU提供ASIL的支援,例如支援ASIL-D的RH850-P1H該系列正成為標準配置。然而,在SoC中執行安全要求是一種新措施,而且僅在人們對於高度自動駕駛車的需求提高時才需要。由於SoC架構的複雜度,在以最低附加系統成本實現功能安全時,需要具備對於基礎安全機制整合的詳盡專業知識與經驗。因此,例如,建置較大的Cortex-A CPU,包括其快取記憶體作為鎖步雙核心設計(一種以較小CPU為ASIL-D應用設計安全MCU的常見解決方案),在經濟上對於SoC並不可行。這對於GP-GPU等複雜的電路情況也相同,因為它無法進行冗餘設計。

因此,作為自動駕駛模式的關鍵安全方面,必須對安全要求和目標應用案例進行詳細分析。這是評估有關安全與大規模生產成本效率的唯一途徑。另一個案例是記憶體的實現。如果使用不同幾何尺寸的平面技術,每朝向更小的幾何尺寸進一步,FIT就增加一級。在包含多個百萬位元組整合SRAM的SoC中,底層FIT等級在考慮安全機制之前自然較高。為了達到ASIL-B的目標標準,選擇一種正確的糾錯方式,例如ECC和使用finFET電晶體的實體措施都是必備的。

另一項要求是,在行駛期間對所有相關的、隨機發生的硬體故障進行檢測,而且,系統必須採取措施,以確保這些故障不會妨礙駕駛的安全性。這雖然可能導致可用的功能減少,但重要的是可避免威脅生命的情況的發生。因此,根據受影響的功能,必須設計一種功能來預防在先進自動駕駛模式下出現故障,從而確保車輛即使在故障發生時仍能保持安全行駛。

最簡便的方法就是多提供一個備用的ECU,並在主路徑處於安全模式時使用第二個運算路徑。由於重複進行操作,使得這樣的系統成本較大,而且,除了需要更大的空間外,還會導致更高的功耗。由於控制ECU通常也對於冷卻帶來限制,可用的功率預算通常低於20瓦(Watt)。這包括一個提供多種功能的SoC,包括高運算能力和功能安全性、與通訊交換機進行極快的網路連接、大容量記憶體、高安全性MCU以及相應的功率轉換級。

因此,該ECU的所有元件都必須具備很高的能效。特別是SoC,必須利用現有的最新製程和電源管理技術,如絕緣技術(減少未使用電路模組的漏電現象)、時脈閘控技術以及動態時脈頻率調整技術,從而使SoC的功耗保持在10W以下。專用於汽車產業的硬體加速器對於能效的提升也貢獻良多。

融合感測器的新挑戰及因應方案

同時,融合不同的感測器和功能,也對軟體建置帶來新的挑戰。這對半導體供應商及其合作夥伴提出新的要求,並呼籲實現高度自動駕駛模式的新方法出現。

在大多數情況下,MCU軟體使用的汽車開放系統架構(Automotive Open System Architecture;AUTOSAR)並不適於現代複雜的CPU執行動態記憶體分配與多執行緒功能。因此,使用複雜的即時操作系統,與現有的AUTOSAR機制進行互動以及使用時隙方法並控制共用資源,被看作是一種創新的解決方案。

這種架構讓ECU在不影響基礎系統的情況下接受和執行更新。此外,這種架構還可讓來自不同供應商的軟體得以共存。這種機制不僅能在開發和整合階段促進規劃(在此階段,先進行獨立開發,然後進行整合),而且還有利於操作過程中確定性任務的執行。這種機制很重要的原因是因為幾乎沒有任何單一供應商可以掌握必要的專業知識來因應在單一ECU中結合的所有服務。

因此,不同的軟體套件可以共用現有CPU、硬體加速器和通訊網路的作業資源,而不至於發生相互阻礙或佔用共用資源的情況。這種模式是對基於感測器融合的ECU提出的最重要要求之一。為此,必須在執行階段使用專用工具。例如,瑞薩電子正與加入R-Car聯盟的業界夥伴合作,他們掌握了這些機制,並為每個軟體模組定義界限以促進可預見且可靠的軟體模組整合。

感測器融合是高度自動駕駛模式的關鍵元件,它需要各種最新技術、高效能SoC和MCU的組合,加上最高度的功能安全標準,結合軟體與中介韌體領域中經驗豐富的系統整合商和主要合作夥伴提供的專業知識。這些組合可以確保人性化和安全的建置,最終可為駕駛人提供多種選擇:在多重安全機制下輔助自動駕駛,或者讓車輛在自動駕駛模式下行駛。

20161014 Renesas TA31P1 具有先進自動駕駛功能的汽車在公路上行駛