在自動駕駛的發(fā)展過程中,安全和可靠度扮演著關(guān)鍵角色。為確定安全關(guān)鍵電子系統(tǒng)即使在故障情況下亦可用,某些備援及安全功能必須保證可用,另外,電子控制單元(ECU)內(nèi)其中一項主要元件微控制器也必須具備此能力。
依照目前趨勢,對先進駕駛輔助系統(tǒng)(ADAS)的需求不斷提升,加上自動駕駛技術(shù)持續(xù)成長,為相關(guān)汽車系統(tǒng)在耐用度、可用性和功能安全性等方面帶來了新的需求。目前的汽車系統(tǒng)設(shè)計,能在發(fā)生故障時進入失效安全或故障沉默模式。要實現(xiàn)高級自動駕駛或全自動駕駛,汽車需要高可靠度和高可用性,也就是電子系統(tǒng)需要在故障時繼續(xù)維持運作(亦即容錯操作)。這需要一定程度的備援能力,此外也會對所用的微控制器產(chǎn)生新的需求。新世代AURIX微控制器的架構(gòu)經(jīng)過強化,讓備援系統(tǒng)擁有更高效能與更獨立的CPU核心與記憶體,通訊介面速度更快,外殼也更為輕巧。
目前汽車內(nèi)的電子系統(tǒng)一般都為故障沉默模式,也就是駕駛必須在故障時接手汽車的控制權(quán)。根據(jù)第3級和第4級的自動化階段(按SAE/VDI定義),等到未來高級自動駕駛車推出,駕駛就不再需要于故障時介入,也無法介入,這樣一來,駕駛就能在行駛過程中從事其他活動。第5級定義則指完全無駕駛的自動車,這需要完整的備援控制架構(gòu),并支援適當(dāng)?shù)陌踩珮?biāo)準(zhǔn)。
ISO26262護自駕車安全
ISO26262是目前公認的汽車電子系統(tǒng)安全標(biāo)準(zhǔn),半導(dǎo)體公司都透過此標(biāo)準(zhǔn)來設(shè)計安全元件,包括AURIX微控制器、安全感測器、安全電源供應(yīng)器和變頻器驅(qū)動器等。ISO26262于2011年推出時,也將重點放在高可用性和故障沉默系統(tǒng)上。未來幾年內(nèi)推出的新版標(biāo)準(zhǔn)(ISO26262第2版)將明確定義容錯操作系統(tǒng)的特性,以滿足汽車業(yè)不斷產(chǎn)生的新要求。
系統(tǒng)為執(zhí)行容錯操作功能所需要的系統(tǒng)數(shù)量,將視自動化等級及相關(guān)錯誤處理方式而有所不同。目前據(jù)報最常出現(xiàn)的錯誤反應(yīng)為「10秒內(nèi)緊急停止,最長不超過30秒」。這些要求層級與下列致動器有關(guān):剎車、轉(zhuǎn)向,甚至是將汽車與驅(qū)動引擎或馬達解耦。另外,照明和HMI等其他支援致動器也在考量之中,但并非不可或缺。
三重模組備援是一種廣為人知的容錯操作系統(tǒng),又名「三選二」(2-out-of-3, 2oo3),系統(tǒng)包含三個對等的執(zhí)行個體,都執(zhí)行相同的演算法。
二重備援為主要參考標(biāo)準(zhǔn)
三個系統(tǒng)的輸出會相互比對,并用多數(shù)票的方式加以評估(圖1)。這種方法可同時套用到軟體與硬體,為航空業(yè)目前所采用的標(biāo)準(zhǔn)。但此方法也存在著難題,也就是票選系統(tǒng)的復(fù)雜度和安全性。對ECU等即時系統(tǒng)來說,這會大幅提高相關(guān)硬體的復(fù)雜度,進而影響整體成本,因此,目前汽車業(yè)都以「二重備援」為參考標(biāo)準(zhǔn)。
圖1 容錯操作系統(tǒng)的三重模組備援。
二重備援架構(gòu)由兩個獨立的處理通道組成,每個通道皆為故障沉默通道。(圖2)。故障沉默通道通常采用1oo1D架構(gòu)(單一通道具診斷功能)。二重架構(gòu)(亦稱為「2oo2DFS」)可用對稱或非對稱備援的方式實作,這類的2oo2DFS架構(gòu)適用于電子控制單元,尤其是發(fā)生故障時,因為只需要考慮兩端中的任一端即可進行錯誤分析。
圖2 二重備援能提升容錯操作功能實作的成本效益。
剎車系統(tǒng)和轉(zhuǎn)向等應(yīng)用提供了兩種類型的功能:安全關(guān)鍵功能和舒適功能。
由于容錯操作系統(tǒng)著重于安全關(guān)鍵功能,而2oo2DFS具備彈性,因此系統(tǒng)能使用非對稱的架構(gòu),進而將必要元件最佳化。其作法是將較復(fù)雜且高效能的通道用在第一通道,然后將較小、符合成本效益的MCU用于第二通道。第一個通道擁有效能較高的MCU,因此可結(jié)合舒適功能和安全關(guān)鍵功能。而第二個通道使用較小的MCU,只能涵蓋安全關(guān)鍵功能的容錯操作要求。
MCU結(jié)合安全裝置提升系統(tǒng)可用性
高可用性在容錯操作系統(tǒng)中扮演重要角色,尤其是同時具備安全關(guān)鍵功能與舒適性相關(guān)功能的混合型系統(tǒng)。二重架構(gòu)的設(shè)計用意,就是在發(fā)生故障時盡可能維持舒適功能。為此,有廠商開發(fā)了一項晶片組架構(gòu),將微控制器與支援的安全裝置(亦即安全電源供應(yīng)器)結(jié)合在一起,借此提供高系統(tǒng)可用性。
在目前的故障沉默系統(tǒng)中,當(dāng)安全微控制器偵測到嚴(yán)重錯誤時,會將錯誤狀況回報至錯誤腳位,外部支援的安全模組便會檢查錯誤腳位,并在確認錯誤狀況后關(guān)閉系統(tǒng)。圖3說明系統(tǒng)如何安全地回應(yīng)錯誤情況。整個流程是安全的,因為錯誤情況是回報至外部監(jiān)控模組,如此可提高系統(tǒng)可用性,此外,微控制器的錯誤回應(yīng)也能另外設(shè)定。
圖3 結(jié)合安全供應(yīng)模組與AURIX微控制器,使容錯操作系統(tǒng)擁有高可用性。
此方法由英飛凌提出,能善用AURIX安全管理單元(SMU)的優(yōu)點,SMU可分別設(shè)定各錯誤來源的回應(yīng)(中斷、NMI、CPU核心重置、CPU核心閑置或SOC重置)。圖4說明故障沉默的EPS設(shè)計,結(jié)合了AURIX微控制器與TLF35584安全供應(yīng)模組,得以確保高可用性。
圖4 含AURIX微控制器和安全供應(yīng)模組的故障沉默EPS設(shè)計。
容錯操作耗電/成本挑戰(zhàn)高
實作容錯操作系統(tǒng)需要一定程度的備援,也會面臨空間需求、耗電量和成本等方面的挑戰(zhàn)。
新一代的AURIX TC3xx目前提供12 mm×12mm(BGA-196)和14mm×14 mm兩種封裝(TQFP-100),換句話說,兩個BGA-196封裝比兩個TQFP-100版本更不占空間,體積小了3.6倍,所需要的電路板空間比兩個TQFP-100版本少了27%。此外,AURIX的整合式電壓穩(wěn)壓器支援切換式CAP DC/DC拓撲,最多可省下兩個外接MOSFET和電感器的空間及成本。在此拓撲下,運作耗電量足足減少一半。
如先前所述,采用一大一小的非對稱架構(gòu),便能使用較符合成本效益的微控制器,進而降低容錯轉(zhuǎn)移實作的成本。AURIX系列具備較佳的擴充能力和相容性,因此能同時將高階和低階版本運用在同一個設(shè)計之中(圖5)。安全概念、延遲和其他設(shè)計參數(shù)均獲得保留,更有助于簡化設(shè)計。此外,選擇制造商也能簡化供應(yīng)鏈,并降低開發(fā)與認證成本以及軟體開發(fā)工具的成本。
圖5 含兩個AURIX微控制器的容錯操作EPS設(shè)計,可基于成本考量采用非對稱式(一大一小CPU)。
使用AURIX微控制器,可提高容錯轉(zhuǎn)移系統(tǒng)的可用性。所有的AURIX微控制器均采用相同的安全概念,并使用進階的保護機制,像是Lockstep、ECC(錯誤校正碼)受到保護的記憶體,以及前面提到的安全管理單元(SMU)。
新一代AURIX的架構(gòu)經(jīng)過最佳化,進一步改善了可用性,核心之間的獨立性也獲得提升?,F(xiàn)在,核心不論在重置、傳送或閑置模式下均可個別運作,也就是說,故障的核心可自行重置,其他核心則能繼續(xù)照常運作。各核心皆能直接存取其專屬資源,這樣一來,除了容錯操作系統(tǒng)(L3/L4),連系統(tǒng)僅需部分備援的L2等級也能一并提升可用性。
最佳化以達到最高安全性
AURIX系列擁有高效能架構(gòu)和最多六個核心,還有介面、安全性與安全功能,適合汽車業(yè)與工業(yè)電子市場的多種應(yīng)用。新架構(gòu)特別適用于混合式驅(qū)動器和變頻器、電池管理或電壓穩(wěn)壓器。此外,AURIX TC3xx微處理器適用于安全關(guān)鍵應(yīng)用,適用范圍從安全氣囊、剎車、動力方向盤應(yīng)用,到運用雷達或攝影技術(shù)的感測器型系統(tǒng),也能用于高自動等級自動駕駛的網(wǎng)域控制與資料融合應(yīng)用。
TC3xx系列具備可擴充功能(圖6),快閃記憶體容量從1MB到最高16MB,整合式RAM記憶體則從150KB到超過6MB都有。相較于目前最多擁有三個核心的AURIX TC2xx微處理器,TC3xx多核心架構(gòu)最多可提供六個TriCore CPUS,每個核心皆具備完整的300MHz時脈。
圖6 AURIX TC3xx系列可針對不同應(yīng)用來擴充快閃記憶體、RAM和封裝。
自動駕駛需要更快且更安全地連接關(guān)鍵控制單元,包括了中央驅(qū)動電腦以及轉(zhuǎn)向或剎車系統(tǒng)。為了滿足這項需求,新一代AURIX進一步提升了通訊及安全功能,微控制器提供CAN FD、Flexray和可選購的Gigabit乙太網(wǎng)路介面。Evita硬體安全模組(HSM)可執(zhí)行符合ECC256及SHA256的非對稱加密、不同ECU之間的訊息驗證,還有可抵抗惡意軟體的安全開機。
TC3xx微控制器支援自動化/自動駕駛和電動車的實作,提供運算速度、安全性及安全功能的理想組合。擁有最多四個Lockstep核心及最多六個核心,可提供符合ISO 26262安全實作要求的極致運算效能:依照ASIL D要求,最多2400 DMIPS可用于應(yīng)用,前一代裝置僅能提供740 DMIPS。AURIX TC3xx世代裝置向下相容于TC2xx世代。前導(dǎo)裝置TC39x的初代開發(fā)模式,具備300MHz時脈、16MB快閃記憶體和6.9MB SRAM,將提供BGA-516和BGA-292兩種封裝。
(本文作者皆任職于英飛凌)