在自動(dòng)駕駛的發(fā)展過程中�,安全和可靠度扮演著關(guān)鍵角色。為確定安全關(guān)鍵電子系統(tǒng)即使在故障情況下亦可用��,某些備援及安全功能必須保證可用,另外����,電子控制單元(ECU)內(nèi)其中一項(xiàng)主要元件微控制器也必須具備此能力。
依照目前趨勢��,對先進(jìn)駕駛輔助系統(tǒng)(ADAS)的需求不斷提升�����,加上自動(dòng)駕駛技術(shù)持續(xù)成長��,為相關(guān)汽車系統(tǒng)在耐用度�、可用性和功能安全性等方面帶來了新的需求。目前的汽車系統(tǒng)設(shè)計(jì)���,能在發(fā)生故障時(shí)進(jìn)入失效安全或故障沉默模式��。要實(shí)現(xiàn)高級(jí)自動(dòng)駕駛或全自動(dòng)駕駛��,汽車需要高可靠度和高可用性���,也就是電子系統(tǒng)需要在故障時(shí)繼續(xù)維持運(yùn)作(亦即容錯(cuò)操作)。這需要一定程度的備援能力,此外也會(huì)對所用的微控制器產(chǎn)生新的需求�����。新世代AURIX微控制器的架構(gòu)經(jīng)過強(qiáng)化���,讓備援系統(tǒng)擁有更高效能與更獨(dú)立的CPU核心與記憶體�,通訊介面速度更快���,外殼也更為輕巧�����。
目前汽車內(nèi)的電子系統(tǒng)一般都為故障沉默模式����,也就是駕駛必須在故障時(shí)接手汽車的控制權(quán)����。根據(jù)第3級(jí)和第4級(jí)的自動(dòng)化階段(按SAE/VDI定義),等到未來高級(jí)自動(dòng)駕駛車推出�,駕駛就不再需要于故障時(shí)介入,也無法介入���,這樣一來��,駕駛就能在行駛過程中從事其他活動(dòng)����。第5級(jí)定義則指完全無駕駛的自動(dòng)車����,這需要完整的備援控制架構(gòu),并支援適當(dāng)?shù)陌踩珮?biāo)準(zhǔn)���。
ISO26262護(hù)自駕車安全
ISO26262是目前公認(rèn)的汽車電子系統(tǒng)安全標(biāo)準(zhǔn)��,半導(dǎo)體公司都透過此標(biāo)準(zhǔn)來設(shè)計(jì)安全元件�����,包括AURIX微控制器��、安全感測器����、安全電源供應(yīng)器和變頻器驅(qū)動(dòng)器等��。ISO26262于2011年推出時(shí),也將重點(diǎn)放在高可用性和故障沉默系統(tǒng)上��。未來幾年內(nèi)推出的新版標(biāo)準(zhǔn)(ISO26262第2版)將明確定義容錯(cuò)操作系統(tǒng)的特性�����,以滿足汽車業(yè)不斷產(chǎn)生的新要求���。
系統(tǒng)為執(zhí)行容錯(cuò)操作功能所需要的系統(tǒng)數(shù)量�,將視自動(dòng)化等級(jí)及相關(guān)錯(cuò)誤處理方式而有所不同���。目前據(jù)報(bào)最常出現(xiàn)的錯(cuò)誤反應(yīng)為「10秒內(nèi)緊急停止�,最長不超過30秒」�。這些要求層級(jí)與下列致動(dòng)器有關(guān):剎車、轉(zhuǎn)向����,甚至是將汽車與驅(qū)動(dòng)引擎或馬達(dá)解耦。另外����,照明和HMI等其他支援致動(dòng)器也在考量之中,但并非不可或缺����。
三重模組備援是一種廣為人知的容錯(cuò)操作系統(tǒng)�,又名「三選二」(2-out-of-3, 2oo3)���,系統(tǒng)包含三個(gè)對等的執(zhí)行個(gè)體,都執(zhí)行相同的演算法����。
二重備援為主要參考標(biāo)準(zhǔn)
三個(gè)系統(tǒng)的輸出會(huì)相互比對,并用多數(shù)票的方式加以評(píng)估(圖1)���。這種方法可同時(shí)套用到軟體與硬體�����,為航空業(yè)目前所采用的標(biāo)準(zhǔn)����。但此方法也存在著難題��,也就是票選系統(tǒng)的復(fù)雜度和安全性����。對ECU等即時(shí)系統(tǒng)來說����,這會(huì)大幅提高相關(guān)硬體的復(fù)雜度�����,進(jìn)而影響整體成本����,因此,目前汽車業(yè)都以「二重備援」為參考標(biāo)準(zhǔn)��。
圖1 容錯(cuò)操作系統(tǒng)的三重模組備援���。
二重備援架構(gòu)由兩個(gè)獨(dú)立的處理通道組成�,每個(gè)通道皆為故障沉默通道���。(圖2)��。故障沉默通道通常采用1oo1D架構(gòu)(單一通道具診斷功能)�����。二重架構(gòu)(亦稱為「2oo2DFS」)可用對稱或非對稱備援的方式實(shí)作���,這類的2oo2DFS架構(gòu)適用于電子控制單元�����,尤其是發(fā)生故障時(shí)�,因?yàn)橹恍枰紤]兩端中的任一端即可進(jìn)行錯(cuò)誤分析���。
圖2 二重備援能提升容錯(cuò)操作功能實(shí)作的成本效益。
剎車系統(tǒng)和轉(zhuǎn)向等應(yīng)用提供了兩種類型的功能:安全關(guān)鍵功能和舒適功能�。
由于容錯(cuò)操作系統(tǒng)著重于安全關(guān)鍵功能,而2oo2DFS具備彈性�,因此系統(tǒng)能使用非對稱的架構(gòu),進(jìn)而將必要元件最佳化����。其作法是將較復(fù)雜且高效能的通道用在第一通道,然后將較小����、符合成本效益的MCU用于第二通道。第一個(gè)通道擁有效能較高的MCU��,因此可結(jié)合舒適功能和安全關(guān)鍵功能���。而第二個(gè)通道使用較小的MCU���,只能涵蓋安全關(guān)鍵功能的容錯(cuò)操作要求���。
MCU結(jié)合安全裝置提升系統(tǒng)可用性
高可用性在容錯(cuò)操作系統(tǒng)中扮演重要角色,尤其是同時(shí)具備安全關(guān)鍵功能與舒適性相關(guān)功能的混合型系統(tǒng)��。二重架構(gòu)的設(shè)計(jì)用意����,就是在發(fā)生故障時(shí)盡可能維持舒適功能。為此�����,有廠商開發(fā)了一項(xiàng)晶片組架構(gòu)���,將微控制器與支援的安全裝置(亦即安全電源供應(yīng)器)結(jié)合在一起���,借此提供高系統(tǒng)可用性。
在目前的故障沉默系統(tǒng)中�,當(dāng)安全微控制器偵測到嚴(yán)重錯(cuò)誤時(shí),會(huì)將錯(cuò)誤狀況回報(bào)至錯(cuò)誤腳位,外部支援的安全模組便會(huì)檢查錯(cuò)誤腳位�����,并在確認(rèn)錯(cuò)誤狀況后關(guān)閉系統(tǒng)����。圖3說明系統(tǒng)如何安全地回應(yīng)錯(cuò)誤情況。整個(gè)流程是安全的����,因?yàn)殄e(cuò)誤情況是回報(bào)至外部監(jiān)控模組,如此可提高系統(tǒng)可用性�����,此外�,微控制器的錯(cuò)誤回應(yīng)也能另外設(shè)定�����。
圖3 結(jié)合安全供應(yīng)模組與AURIX微控制器���,使容錯(cuò)操作系統(tǒng)擁有高可用性�����。
此方法由英飛凌提出�����,能善用AURIX安全管理單元(SMU)的優(yōu)點(diǎn)����,SMU可分別設(shè)定各錯(cuò)誤來源的回應(yīng)(中斷、NMI���、CPU核心重置��、CPU核心閑置或SOC重置)���。圖4說明故障沉默的EPS設(shè)計(jì),結(jié)合了AURIX微控制器與TLF35584安全供應(yīng)模組��,得以確保高可用性����。
圖4 含AURIX微控制器和安全供應(yīng)模組的故障沉默EPS設(shè)計(jì)。
容錯(cuò)操作耗電/成本挑戰(zhàn)高
實(shí)作容錯(cuò)操作系統(tǒng)需要一定程度的備援�,也會(huì)面臨空間需求�����、耗電量和成本等方面的挑戰(zhàn)���。
新一代的AURIX TC3xx目前提供12 mm×12mm(BGA-196)和14mm×14 mm兩種封裝(TQFP-100),換句話說�����,兩個(gè)BGA-196封裝比兩個(gè)TQFP-100版本更不占空間���,體積小了3.6倍����,所需要的電路板空間比兩個(gè)TQFP-100版本少了27%���。此外,AURIX的整合式電壓穩(wěn)壓器支援切換式CAP DC/DC拓?fù)?���,最多可省下兩個(gè)外接MOSFET和電感器的空間及成本。在此拓?fù)湎?,運(yùn)作耗電量足足減少一半。
如先前所述,采用一大一小的非對稱架構(gòu)�,便能使用較符合成本效益的微控制器,進(jìn)而降低容錯(cuò)轉(zhuǎn)移實(shí)作的成本�。AURIX系列具備較佳的擴(kuò)充能力和相容性,因此能同時(shí)將高階和低階版本運(yùn)用在同一個(gè)設(shè)計(jì)之中(圖5)���。安全概念��、延遲和其他設(shè)計(jì)參數(shù)均獲得保留��,更有助于簡化設(shè)計(jì)��。此外����,選擇制造商也能簡化供應(yīng)鏈��,并降低開發(fā)與認(rèn)證成本以及軟體開發(fā)工具的成本�����。
圖5 含兩個(gè)AURIX微控制器的容錯(cuò)操作EPS設(shè)計(jì)���,可基于成本考量采用非對稱式(一大一小CPU)�����。
使用AURIX微控制器��,可提高容錯(cuò)轉(zhuǎn)移系統(tǒng)的可用性���。所有的AURIX微控制器均采用相同的安全概念�,并使用進(jìn)階的保護(hù)機(jī)制�����,像是Lockstep��、ECC(錯(cuò)誤校正碼)受到保護(hù)的記憶體���,以及前面提到的安全管理單元(SMU)�。
新一代AURIX的架構(gòu)經(jīng)過最佳化�����,進(jìn)一步改善了可用性�����,核心之間的獨(dú)立性也獲得提升?����,F(xiàn)在���,核心不論在重置���、傳送或閑置模式下均可個(gè)別運(yùn)作,也就是說�,故障的核心可自行重置,其他核心則能繼續(xù)照常運(yùn)作���。各核心皆能直接存取其專屬資源���,這樣一來,除了容錯(cuò)操作系統(tǒng)(L3/L4)�,連系統(tǒng)僅需部分備援的L2等級(jí)也能一并提升可用性。
最佳化以達(dá)到最高安全性
AURIX系列擁有高效能架構(gòu)和最多六個(gè)核心�����,還有介面��、安全性與安全功能,適合汽車業(yè)與工業(yè)電子市場的多種應(yīng)用����。新架構(gòu)特別適用于混合式驅(qū)動(dòng)器和變頻器、電池管理或電壓穩(wěn)壓器�。此外,AURIX TC3xx微處理器適用于安全關(guān)鍵應(yīng)用����,適用范圍從安全氣囊、剎車�、動(dòng)力方向盤應(yīng)用,到運(yùn)用雷達(dá)或攝影技術(shù)的感測器型系統(tǒng)��,也能用于高自動(dòng)等級(jí)自動(dòng)駕駛的網(wǎng)域控制與資料融合應(yīng)用��。
TC3xx系列具備可擴(kuò)充功能(圖6)�����,快閃記憶體容量從1MB到最高16MB�,整合式RAM記憶體則從150KB到超過6MB都有。相較于目前最多擁有三個(gè)核心的AURIX TC2xx微處理器����,TC3xx多核心架構(gòu)最多可提供六個(gè)TriCore CPUS,每個(gè)核心皆具備完整的300MHz時(shí)脈���。
圖6 AURIX TC3xx系列可針對不同應(yīng)用來擴(kuò)充快閃記憶體���、RAM和封裝。
自動(dòng)駕駛需要更快且更安全地連接關(guān)鍵控制單元�����,包括了中央驅(qū)動(dòng)電腦以及轉(zhuǎn)向或剎車系統(tǒng)�����。為了滿足這項(xiàng)需求���,新一代AURIX進(jìn)一步提升了通訊及安全功能��,微控制器提供CAN FD����、Flexray和可選購的Gigabit乙太網(wǎng)路介面��。Evita硬體安全模組(HSM)可執(zhí)行符合ECC256及SHA256的非對稱加密���、不同ECU之間的訊息驗(yàn)證�����,還有可抵抗惡意軟體的安全開機(jī)��。
TC3xx微控制器支援自動(dòng)化/自動(dòng)駕駛和電動(dòng)車的實(shí)作����,提供運(yùn)算速度、安全性及安全功能的理想組合��。擁有最多四個(gè)Lockstep核心及最多六個(gè)核心�����,可提供符合ISO 26262安全實(shí)作要求的極致運(yùn)算效能:依照ASIL D要求�,最多2400 DMIPS可用于應(yīng)用,前一代裝置僅能提供740 DMIPS����。AURIX TC3xx世代裝置向下相容于TC2xx世代。前導(dǎo)裝置TC39x的初代開發(fā)模式���,具備300MHz時(shí)脈����、16MB快閃記憶體和6.9MB SRAM,將提供BGA-516和BGA-292兩種封裝����。
(本文作者皆任職于英飛凌)
