雷鋒網(wǎng)按：汽車行業(yè)進軍智能化，汽車搭載的電子/電氣系統(tǒng)數(shù)量也隨之不斷增加。公開數(shù)據(jù)顯示，一輛高端豪華轎車上有多達70多個電子控制單元（Electronic Control Unit，ECU），其中發(fā)動機管理系統(tǒng)、底盤控制系統(tǒng)、制動系統(tǒng)等都是安全相關(guān)系統(tǒng)。為了實現(xiàn)汽車電子/電氣系統(tǒng)的安全設(shè)計，道路車輛功能安全標準ISO 26262于2011年被正式發(fā)布，其中涉及的系統(tǒng)風險等級評估標準——ASIL等級（Automotive Safety Integrity Level，汽車安全完整性等級）也應(yīng)運而生。

隨著智能駕駛、自動駕駛風口的到來，車用片上系統(tǒng)（SoC）更高的穩(wěn)定性和安全等級成為汽車的剛需，也順勢打響了各芯片廠商新一輪布局戰(zhàn)。那么，諸如英偉達、英特爾、高通、ARM這些芯片巨頭的戰(zhàn)況如何呢？雷鋒網(wǎng)編譯整理了來自EE Times的這篇深度文章，以饗讀者。 

不論是那些已經(jīng)普遍裝備在汽車上的ADAS系統(tǒng)模塊，還是某些測試中的L4自動駕駛系統(tǒng)，抑或是仍活在效果圖中的無人駕駛概念車，在爭奪汽車智能化蛋糕的同時，面向?qū)嶋H應(yīng)用的場景，在對它們的魯棒性發(fā)出層層考驗。ASIL（Automotive Safety Integrity Level，汽車安全完整性等級），就是檢驗功能模塊中片上系統(tǒng)（SoC）半導(dǎo)體安全等級的重要指標之一。

ASIL，是ISO 26262標準中的重要評價體系，用于識別系統(tǒng)危害并對危害風險等級進行評估。AISL分為四個等級，分別為A、B、C、D，其中A是最低等級，D是最高等級。ASIL等級決定了對系統(tǒng)安全性的要求，ASIL等級越高，對系統(tǒng)的安全性要求越高，為實現(xiàn)安全付出的代價越高，意味著硬件的診斷覆蓋率越高，開發(fā)流程越嚴格，相應(yīng)的開發(fā)成本增加、開發(fā)周期延長、技術(shù)要求嚴格。下圖是ASIL等級評估的對照表。可以看出，如果安全等級到達D級，則意味著整個系統(tǒng)范圍內(nèi)單點故障率不超過1%。

*ASIL等級評估對照表（來源：美國新思科技公司）

除極少數(shù)達到ASIL D級標準的MCU（微控制單元），芯片供應(yīng)商目前大量出貨，應(yīng)用在ADAS中的系統(tǒng)芯片，安全等級大多在B或C級。來自汽車領(lǐng)域獨立數(shù)據(jù)調(diào)研機構(gòu)IHS Markit的分析師Luca De Ambroggi指出，“為了在ADAS系統(tǒng)尺度上達到ASIL D級，大部分廠商目前的解決方案是利用多枚B-C級SoC建立一個冗余系統(tǒng)，通過ASIL分解原則達到D級標準。”

不過，這樣的方案也意味著成本的增加，Luca De Ambroggi指出，這樣的方案無法一勞永逸，ASIL D級認證對于車用芯片廠商而言是必經(jīng)之路，甚至是供應(yīng)商需要花大力攻克的難題，尤其是對于越發(fā)復(fù)雜的片上系統(tǒng)更是如此。

而在這一點上，許多顛覆性的變革來源于市場中一些新的闖入者——那些沒有任何汽車電子領(lǐng)域經(jīng)驗的芯片生產(chǎn)商。為了在自動駕駛的風口追趕那些汽車領(lǐng)域的市場競爭者，他們正在打造“彎道超車”的時機。例如，諸如ARM和Synopsys（美國新思科技，SNPS）的IP核（知識產(chǎn)權(quán)核，指芯片中某個可重用模塊）供應(yīng)商正在布局推出面向ASIL D級的雙核鎖步(Dual Core Lockstep)處理器。

在過去的幾年里，ARM投入重金發(fā)展安全處理器系統(tǒng)方案。2013年，ARM發(fā)布“ARMv8-R”架構(gòu)，支持實時嵌入式處理器。架構(gòu)具有即時運算的處理能力，能夠擴增多種與安全相關(guān)的解決方案，可用于ADAS、V2V通訊等多個領(lǐng)域。去年9月，剛剛被軟銀斥資320億美元收購的ARM獻上大禮——Cortex-R52處理器，該處理器基于改進的ARMv8-R架構(gòu)，為之前Cortex-R5的升級版，通過了包括ISO 26262在內(nèi)的多項安全標準認證。

Synopsys的路徑與之類似。就在幾天前，Synopsys 宣布其ARC EM系列的“安全島”模塊和雙核鎖步處理器已經(jīng)可用，并達到ASIL準D級標準，配備自查安全監(jiān)控以及硬件安全監(jiān)測性能，如誤差矯正碼等用于檢測系統(tǒng)失效。

*Synopsys ASIL準D級雙核鎖步處理器可重用模塊

Synopsys ARC EM處理器的產(chǎn)品線負責人Angela Raucher表示，“隨著越來越多的廠商開始對汽車市場產(chǎn)生興趣，我們希望通過這種IP核授權(quán)的形式，降低產(chǎn)業(yè)的準入門檻?！?/p>

不過即便如此，對于加入汽車市場的新玩家，底層實現(xiàn)仍舊需要重視。分析機構(gòu)Strategy Analytics全球汽車業(yè)務(wù)負責人Ian Riches認為，除非IP供應(yīng)商提供所有的設(shè)計支持和文件集，否則任何一家廠商都應(yīng)該審慎布局面向ASIL D級應(yīng)用的知識產(chǎn)權(quán)核。

面向關(guān)鍵性安全應(yīng)用的MCU

一些面向關(guān)鍵性安全需求的應(yīng)用，大浪淘沙般將產(chǎn)業(yè)鏈企業(yè)進行了等級劃分。而這，也成為企業(yè)爭相布局的重要原因。

一些汽車行業(yè)的資深玩家，早已將主要資源投放到面向ASIL D級MCU的研發(fā)中，試圖在賽道領(lǐng)跑。

Riches說，“主流汽車供應(yīng)商在2015年前，便開始著手研發(fā)ASIL D級設(shè)備。例如，與NXP（恩智浦）合并前的飛思卡爾早在2012年，便推出面向汽車底盤和安全應(yīng)用的 MPC5643L  32位MCU，拔得行業(yè)頭籌?！?/p>

“如果廠商在那時想要一款A(yù)SIL D級處理器，ARM可不是最好的選擇。如今，各大傳統(tǒng)汽車供應(yīng)商都不惜重金投入研發(fā)屬于自己的D級架構(gòu)，時機已經(jīng)到了?！?/p>

據(jù)IHS資料，ASIL D級要求ECU在剎車、轉(zhuǎn)向等操作中具有極高的安全性能。

通往 ASIL D級之路

今年CES展，當英偉達CEO黃仁勛站在舞臺時，他向世界展示公司研發(fā)的Xavier芯片產(chǎn)品，號稱自動駕駛汽車的“人工智能超級計算機”。黃仁勛介紹說，這款預(yù)計年底發(fā)布的片上系統(tǒng)，芯片本身達到ASIL C級認證標準，但其模塊可通過設(shè)計實現(xiàn)ASIL D安全功能。

 

除此之外，市場還充斥著布局自動駕駛汽車“超級大腦”的各路玩家。

Strategy Analytics的Riches強調(diào)，“即便諸如英偉達、英特爾、高通等廠商對汽車市場宣誓了極大的興趣和野心，留給傳統(tǒng)汽車供應(yīng)商的機會仍然存在”。

而這個機會，就在于一些面向關(guān)鍵性安全應(yīng)用的MCU上。

以英飛凌為例，其針對汽車研發(fā)的TriCore內(nèi)核Aurix單片機，就是英偉達該模組的一部分?！坝w凌的TriCore內(nèi)核，是使英偉達解決方案能夠達到D級標準的重要組成部分。”

不過，眾多巨頭玩家所布局的汽車“超級大腦”，往往不是要用在ADAS上，相反，卻轉(zhuǎn)投自動駕駛的更大藍海。諸如NXP的開源自動駕駛計算平臺Bluebox，以及Renesas（瑞薩電子）64位元車載處理器RCar，都在試圖與現(xiàn)有的車載設(shè)備競爭。

我們來看一下NXP講了一個什么故事。

現(xiàn)今，NXP有兩種架構(gòu)的芯片產(chǎn)品，一部分基于Power Architecture技術(shù)（鎖步架構(gòu)，可達ASILD級標準），一部分基于ARM架構(gòu)。對于未來產(chǎn)品線布局，NXP希望基于現(xiàn)有的ASIL B級ARM核，應(yīng)用鎖步架構(gòu)達成ASIL D級。

*NXP面向ADAS的S32V234架構(gòu)

如今，距離NXP發(fā)布第一款面向通用市場的MPC5643L汽車安全開發(fā)套件已經(jīng)過去5年的時間，但即便如此，NXP發(fā)言人表示，使產(chǎn)品達到ASIL D級仍舊不是一件易事。    

NXP在MPC5643L認證階段選擇與一家獨立的機構(gòu)（Exida）合作，該芯片基于Power架構(gòu)，支持鎖步模式。據(jù)NXP透露，與 Exida的這項合作持續(xù)了一年多的時間，中間消耗了海量的溝通與協(xié)調(diào)資源。

與此同時，NXP宣布旗下的“Safe Assure”流程已經(jīng)開發(fā)完成，“Safe Assure”致力于幫助NXP客戶達到所需要的安全認證級別。NXP宣稱“Safe Assure”從開發(fā)流程、芯片產(chǎn)品，到軟件產(chǎn)品、支持文檔，都以ISO26262 ASIL標準為目標研發(fā)，從而可以從系統(tǒng)層面大幅降低獲得安全認證的難度。

在那之后，NXP升級了旗下產(chǎn)品的標準汽車開發(fā)協(xié)議，以達到ISO 26262對協(xié)議的要求，該協(xié)議包括內(nèi)置的獨立安全評估模塊。

總而言之，ASIL認證并不是簡單的一次性測試，而是深埋于整個芯片開發(fā)周期之中的。它不僅有關(guān)于開發(fā)流程中額外添加的安全機能，還有關(guān)于安全重于一切的企業(yè)文化。在產(chǎn)品的開發(fā)與生產(chǎn)環(huán)節(jié)中，安全管理、安全計劃、安全時間、安全評估、安全思想、安全分析、安全文檔，都是不可或缺的。NXP發(fā)言人如是說。

簡化流程

以ARM與Synopsys為代表的IP核產(chǎn)業(yè)模式，核心在于大幅削減開發(fā)時間。芯片廠商在成熟的IP核授權(quán)下，可以迅速設(shè)計、驗證然后發(fā)布用于ADAS或自動駕駛的安全SoC。

Synopsys公司的Raucher解釋道： 用于自動駕駛的安全SoC芯片，可能需要長達六個月的額外驗證時間。

對于一般的SoC來說，在芯片的驗證流程中，會首先測試系統(tǒng)性失效，也就是由芯片/軟件bug以及錯誤規(guī)格帶來的失效。但對安全性有更高要求的SoC，則必須測試隨機因素引起的失效，這會導(dǎo)致測試工作量的幾何級增加，錯誤可能來自于晶體管失效、電路接觸不良，甚至包括高能粒子與硅元素之間作用產(chǎn)生的軟故障，測試還需要確認這些失效是永久性的、暫時性的還是潛在的。

而基于上述的背景，如果IP商向芯片廠商提供預(yù)置的、經(jīng)過ASIL D級驗證的處理器，這將會對安全Soc開發(fā)十分有幫助。高安全性SoC需要誤差校正和檢測，需要同步的冗余核來運行與主核心相同的代碼，還需要額外的控制單元，用來比較主核心與冗余核心輸出結(jié)果的不同，更需要海量的用于通過ISO 26262標準的文檔。Raucher解釋說。

對于ARM與Synopsys來說，他們提供的，是架構(gòu)相似的面向ASIL D級的處理器方案。

ARM這樣描述他們的Coetex-R52方案：

• 支持雙核鎖步模式運行，并附有額外比較器，用于比較雙核心的輸出結(jié)果。

• 提供額外的多項失效檢測功能。

• 面向ASIL-D標準設(shè)計。

此外，ARM高級產(chǎn)品市場經(jīng)理Phil Burr還補充道：ARM將為合作廠商提供設(shè)計流程中全套的面向ASIL-D標準的安全文檔，可以大幅簡化拿到ASIL-D認證的流程。

*ARM Cortex R52 架構(gòu)示意圖

ARM在業(yè)界樹立的口碑，在于它在安全認證芯片方面的豐富經(jīng)驗，雖然最新Cortex-R52架構(gòu)的芯片還未上市，市場上已經(jīng)有類似的成熟產(chǎn)品。例如，基于ARM的TI TMS570LS10206雙核鎖步設(shè)備，已經(jīng)達到SIL3認證，該認證等效于ASIL D級。 

Synopsys也有涉足消費電子領(lǐng)域的野心，目前正希望與熟悉ARC核的消費電子芯片廠商達成商業(yè)合作。Synopsys計劃設(shè)計能夠同時切入消費電子市場與車載半導(dǎo)體市場的系統(tǒng)級芯片架構(gòu)。

在Strategic Analysis的Riches看來，“ARM當然在試圖擴張自己在車載半導(dǎo)體領(lǐng)域的市場份額，同時，ARM相對于Synopsys也有著不小的優(yōu)勢?！?/p>

首先，ARM已經(jīng)有面向市場的成型產(chǎn)品；其次，ARM已經(jīng)與大量車用芯片提供商建立了合作關(guān)系。Synopsys面臨的首要挑戰(zhàn)就是建立一個像ARM一樣的巨型生態(tài)系統(tǒng)，不僅包括第三方在操作系統(tǒng)方面的支持，還包括對應(yīng)的開發(fā)工具，才能與ARM分庭抗禮。

ASIL-D為何如此緊迫？

如果你的汽車整體符合ISO 26262 ASIL-D級標準，那意味著在面對某些臨界安全問題時，汽車已經(jīng)可以代替你做出決定了。而對于整車ASIL-B級標準的汽車來說，汽車只會提醒駕駛員危險來臨，具體動作需要駕駛員執(zhí)行。

就目前來說，實際落地的ADAS系統(tǒng)仍需要駕駛員隨時準備介入控制。那么，為什么業(yè)界對ASIL-D級芯片產(chǎn)生了如此迫切的需求呢？ ASIL-D級的SoC真的有現(xiàn)實意義么？

NXP相信，問題的答案在汽車OEM廠商身上，因為OEM廠商需要在產(chǎn)品魯棒性與開發(fā)速度之間做取舍，而可靠性不足極其容易導(dǎo)致訴訟纏身。

一方面，整個業(yè)界正在快馬加鞭地部署“高性能計算系統(tǒng)，為自動駕駛決策提供計算力”；另一方面，自動駕駛汽車上品類繁多的汽車控制子系統(tǒng)必須“在保證提供多種智能化功能的同時，保持高級別的安全性。”

基于此，在業(yè)界擁抱自動駕駛的同時，OEM廠商正在尋找工程上可行的解決方案。這種方案必須在滿足苛刻安全標準的同時，提供快速的產(chǎn)品迭代能力，并提供足夠的計算動力。

“符合安全標準的系統(tǒng)級芯片正是解決這個棘手問題的最優(yōu)解?！癗XP這樣斷言。

汽車領(lǐng)域獨立數(shù)據(jù)調(diào)研機構(gòu)IHS Markit的De Ambroggi則從另一個角度得出了相似的結(jié)論。他認為OEM廠商尚未對ASIL-D提出明確的要求，因為從需求層面上目前還不緊迫。“但是，如果ASIL D級別的芯片與普通芯片價格相同，所有OEM廠商都將很樂意使用并推廣，因為這種方案顯然能夠節(jié)省他們的成本。這不僅可以節(jié)省額外冗余器件的成本，還讓OEM廠商免于應(yīng)對更復(fù)雜的解決方案，顯然是有前景的?！?/p>

與此同時，ASIL D級安全標準已經(jīng)是汽車產(chǎn)業(yè)多年的關(guān)注重點了，而ASIL-D標準不僅適用于ADAS或者自動駕駛系統(tǒng)，還適用于各種安全相關(guān)的系統(tǒng)，例如剎車系統(tǒng)、轉(zhuǎn)向助力系統(tǒng)等。由此，Riches得出這樣的結(jié)論，那就是在自動駕駛系統(tǒng)以外，ASIL D級芯片還有更大的應(yīng)用空間，相關(guān)需求在未來的幾年里必將保持增長勢頭。

雷鋒網(wǎng)相關(guān)推薦：英飛凌CEO專訪：什么造就了自動駕駛汽車的“零失效”？

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。