由ISO 26262定義的車輛功能安全標準確保了系統的正常運作,以避免危險情況,更重要的是偵測和克服故障的能力。從ASIL A到ASIL D共分4個等級,ASIL D代表層級最高的完整性要求。例如,ASIL D意味著在整個系統中的單點故障率小於1%。

20170407_ASILD_NT31P1 圖1:不同的ASIL等級要求(來源:Synopsys)

除了幾款經ASIL D認證的微控制器(MCU),晶片供應商目前在其ADAS SoC中多半使用經認證的ASIL B或ASIL C。但IHS Markit汽車電子總分析師Luca De Ambroggi表示,由於許多人使用ASIL B元件與冗餘機制實現「系統級ASIL D」認證,因而找到了「短期解決方案」。

然而,問題仍然脫離不了成本。他說:「認證ASIL D是一項重大的任務,可能為供應商帶來重大挑戰,特別是複雜的SoC。」

可能對此進展帶來顛覆性變化的是一群毫無任何車用電子領域經驗的新進者,以及晶片供應商。為了迎頭趕上車用市場上的現有業者,他們正積極地製造各種「超越」的機會。包括ARM與Synopsys等IP核心供應商開始推出ASIL-D認證就緒的雙核心鎖步(lockstep)處理器供授權。

過去幾年來,ARM大力投資於安全攸關的處理器核心。2013年推出採用硬體輔助虛擬模式設計的即時嵌入式處理器核心ARM v8-R,去年秋天發表了基於v8-R核心的Cortex-R52處理器,用於安全性和確定性劃分。

Synopsys則在不久前推出ARC EM安全島(safety Island) IP和雙核心鎖步處理器。Synopsys表示,這些經新的ASIL-D認證的ARC EM系列處理器配備自檢測安全監測器與硬體安全功能,例如除錯碼和可編程看門狗計時器,用於協助檢測系統故障和執行錯誤。

20170407_ASILD_NT31P 圖2:Synopsys ASIL D就緒的雙核心鎖步處理器IP(來源:Synopsys)

Synopsys ARC EM處理器產品線經理Angela Raucher說:「隨著越來越多的晶片業者對進軍汽車市場的興趣升溫,我們希望以預先建立且經驗證的處理器IP授權,協助他們降低市場進入門檻。」

對於市場新進者,完整的建置套件才是關鍵。Strategy Analytics全球汽車業務總監Ian Riches認為,「除非IP供應商提供所有的設計支援和檔案,否則沒有任何人會認真考慮使用ASIL D等級的IP。」

安全攸關的MCU

在汽車市場中,一些安全攸關的要求形成了涇渭分明的一條線,清楚地劃分汽車晶片市場上的現有汽車業者與新手。汽車產業的資深前輩早已將大量的資源用於開發ASIL D認證的MCU。

Riches說:「主流汽車廠商在2015年以前開始著眼於ASIL D認證的裝置。例如,飛思卡爾(Freescale)曾在2012年聲稱『率先』推出基於Power架構的32位元MCU MPC5643L。」其他還有意法半導體(STMicroelectronics)基於Power架構的SPC5 MCU、德州儀器(TI)的Hercules TMS570 (基於ARM Cortex-R的MCU)、英飛凌(Infineon)的Aurix (基於32位元的多核心TriCore),以及瑞薩(Renesas)的32位元RH850/P1x系列MCU。

正如Riches的解釋,「當時的廠商如果想要一個ASIL D處理器,ARM可能無法提供選擇。如今,傳統的汽車製造商均投入巨資開發其專有架構,時機已然成熟。」

IHS認為,ASIL D在「安全電子控制單元(ECU)的致動區域(煞車/方向)需要高度安全的功能。這些元件大多數是MCU,但並不是SoC。」

邁向ASIL D之路

Nvidia執行長黃仁勳在今年的CES上展示該公司的Xavier晶片,這是一款被譽為自動駕駛車的人工智慧(AI)處理器。他預計在今年底將推出這款經ASIL C認證的全新SoC,但其模組可經由設計實現ASIL D安全功能。

此外,業界廠商正著眼於為自動駕駛開發的大量「大腦晶片」。「雖然Nvidia、Intel與Qualcomm對此抱持濃厚的興趣或野心,」Riches強調,「傳統的供應商和架構仍在設計高度自動化車輛所需的解決方案方面佔據重要位置。」這就是現有業者以其安全攸關的MCU得以發揮作用之處。

例如英飛凌基於TriCore的Aurix MCU,目前已用於Nvidia的模組中。Riches解釋:「英飛凌的TriCore是讓Nvidia解決方案的模組設計達到ASIL D等級的重要部份。」

儘管力推自動駕駛車「大腦」晶片的公司通常推廣目前未使用於ADAS的晶片與架構,傳統車用供應商則以現有的自動駕駛車SoC向前進展。「例如恩智浦(Bluebox)和瑞薩(R-Car)等公司正致力於利用現有的車用元件。」

恩智浦目前擁有Power架構(鎖步架構,可實現ASIL D)和基於ARM的SoC。恩智浦指出,「我們擁有具備ASIL B性能的ARM核心」,未來還計劃使用鎖步架構實現具有ASIL D性能的ARM核心。

20170407_ASILD_NT31P3 圖3:恩智浦S32V234 瞄準ADAS應用(來源:NXP)

恩智浦推出首款ASIL D認證的通用SoC——MPC5643L已經近五年了。正如恩智浦強調的,通向ASIL D的道路「並不是件簡單的事。」恩智浦與獨立的認證機構——瑞士Exida合作,評估其基於Power架構鎖步產品MPC5643L,Exida的研究至今已「持續了一年多,而今仍在密切配合中。」

在此過程中,恩智浦表示開發出「恩智浦安全保障計劃(Safe Assure)流程,幫助客戶實現其系統的安全認證。」因此,NXP得以展示「其開發過程、晶片產品、軟體產品,以及支援檔案都是為滿足ISO26262 ASIL而開發的,從而減少了系統級認證作業。」從那時起,恩智浦已更新其標準汽車開發協議,以符合ISO 26262要求,包括內部的獨立安全評估。

總之,ASIL認證不僅是一次性測試,而是必須應用與整合更多安全活動與嚴格檢查的相關開發流程。它涉及「組織中的整體安全文化、產品開發和生產的安全管理、安全計劃、安全案例、安全評估、安全概念、安全分析與安全手冊等。」

簡化開發流程

IP核心供應商如ARM和Synopsys正致力於為晶片供應商大幅縮減花費在設計、認證和發佈安全攸關ADAS /自動駕駛車SoC所需的時間。

Synopsys的Raucher解釋,汽車安全SoC需要更多的測試,因而較一般的驗證過程更長6個月。

通常,SoC驗證過程首先必須查看來自晶片或軟體錯誤的「系統故障」,以及不完整或不正確的規格。額外的汽車安全SoC測試必須著重於晶片故障(如電晶體、金屬連接等)或軟體錯誤(如α粒子)觸發的「隨機故障」,以及決定這些故障是永久性、瞬間發生或是潛伏的。

這將有助於提供具有快取和緊密耦合記憶體的「預先建置」和「驗證」處理器(以便用於ASIL D認證晶片中)。Raucher說,這些都需要除錯和檢測、執行相同代碼的冗餘(或影子)核心、監控並比較冗餘核心結果的邏輯,以及ISO 26262的廣泛安全檔案。

ARM和Synopsys都提供具有整合安全監測器的類似設計——專為ASIL D認證的雙核心鎖步處理器。

ARM介紹其配備雙核心鎖步與比較器的Cortex-R52,可監測處理器和許多其他故障檢測功能——是專為滿足ASIL D的要求而設計的。ARM資深產品行銷經理Phil Burr也補充說,該公司為「合作夥伴提供根據ASIL D要求記錄設計過程所需的安全檔案,從而簡化了完整解決方案發送給ASIL D認證時的認證過程。

20170407_ASILD_NT31P4 圖4:ARM Cortex 52方塊圖(來源:ARM)

ARM看好其豐富的ARM安全認證元件發展,即使未使用Cortex-R52。ARM的Burr舉例說,「TI TMS570LS10206是基於ARM的雙核心鎖步元件,經認證可達到SIL3等級(相當於ASIL D)的安全性」。

同時,Synopsys的Raucher聲稱,該公司的ARC EM安全島提供「最小的處理器IP,以及硬體安全特性和鎖步能力,符合ASIL D要求。」Synopsys也希望從熟悉ARC核心的消費晶片供應商取得業務,該公司計劃設計符合車用與消費市場的SoC。她補充說,ARC EM安全島提供了「支援ASIL D鎖步或ASIL B (或甚至是非車用領域)獨立模式的能力。」

Riches認為,「ARM當然試圖擴展在車用領域的勢力,而且也較Synopsys/ARC更有顯著優勢。」

他補充說,ARM「擁有來自大量車用半導體供應商的元件,而Synopsys面臨的挑戰之一在於打造一個在作業系統(OS)與開發工具方面擁有第三方支援的生態系統,才足以與ARM分庭抗禮。」

為什麼現在迫切需要ASIL D?

Raucher解釋,如果你的汽車符合ISO 26262 ASIL-D規格,意味著在面對某些臨界安全攸關時刻,車輛能夠代替你做出決定。在ASIL-B層級,汽車只會提醒駕駛人即將發生危險,而在ASIL D,車輛面對危急時將採取煞車或讓車子行駛至安全空間的行動。

既然目前的ADAS仍期待駕駛人待在車內隨時準備介入操控,那麼,汽車產業為什麼現在迫切需要ASIL D認證元件?現在使用ASIL D SoC不是多此一舉?

恩智浦認為,問題的答案在於汽車OEM身上,因為他們必須「在一個好爭論環境下,均衡產品的開發速度與系統的穩定性。」

一方面,整個產業正在快馬加鞭地部署「高性能的運算系統,為自動駕駛車執行策略功能」;另一方面,自動駕駛汽車內的各種汽車控制子系統「必須持續提供大量的智慧化與安全功能。」

當業界擁抱自動駕駛的同時,OEM正致力於打造能夠隨著應用與處理要求快速增加而均衡嚴格安全標準的架構解決方案。恩智浦表示,「隨著系統擴展至大量生產的車輛,安全SoC將有助於推動這一行動。」

IHS Markit的De Ambroggi則從另一個角度來看,他認為OEM尚未對ASIL-D提出明確的要求,因為目前還沒有迫切的需要。「很顯然地,如果ASIL D SoC就緒且能免費使用,所有的OEM都將樂意使用並推廣,因為這能夠節省他們的成本。」這不僅能夠節省額外元件的成本,還讓OEM免於面對複雜的解決方案。

同時,Riches指出,ASIL D級安全標準已經是汽車產業多年來的關注重點了。ASIL-D標準不僅適用於ADAS或最高層級的汽車安全,還適用於各種安全相關的系統,例如剎車、轉向以及ADAS與自動駕駛系統等。」Riches並預測在未來幾年將明顯出現對於「非自動駕駛」ASIL D性能的處理器需求。

編譯:Susan Hong

(參考原文:Auto SoCs: Race to ASIL D,by Junko Yoshida)