搭载ISO 26262认证IP的集成ADAS域控制器SoC

作者:Ron DiGiuseppe,Synopsys公司产品营销经理

新型汽车高级驾驶辅助系统(ADAS)应用的普及对最新一代汽车的系统架构带来了显著影响。传统上,用于个别ADAS应用的电子控制单元(ECU)已经存在于汽车内:位于挡风玻璃上的前方防撞ECU,驻车辅助超声波传感器,以及后台的处理器。ECU将多个ADAS应用集成到集中的域中,以组合多项ADAS功能。新类型的集成域控制器ECU利用汽车远程传感器(例如摄像头、激光雷达、雷达、超声波和其他传感器)传输到集成域控制器中的数据,并由一套高性能ADAS片上系统(SoC)处理这些数据。集成的ADAS域控制器SoC需要更高级的计算性能,同时还必须消耗更少的电力而且只能占有更小的面积。

集成ADAS域控制器不断提升的功能影响到ECU中ADAS SoC的架构,这包括SoC级别的汽车认证,此认证仍然是对设计人员的一项必备要求。此外,集成ADAS域控制器SoC中的IP还必须满足最高的汽车安全完整性等级(ASIL),必须针对1级和2级温度进行设计和测试,并且必须完全遵守汽车质量管理流程。此外,为了满足新型集成ADAS域控制器SoC架构的功耗和性能要求,设计人员正在转向更严格的工艺技术,例如FinFET,这使得在先进的代工工艺中采用通过汽车认证的IP更为重要。

本文重点介绍了新型集成汽车ADAS域控制器SoC架构,并介绍了设计人员如何利用通过汽车认证的IP加快其SoC级别认证并缩短投产时间。

 

转向集成的ADAS域控制器SoC架构

根据美国国家高速公路交通安全管理局(NHTSA)2016年8月发布的“交通安全事实研究报告”,“2015年,美国道路交通事故中死亡35,092人,增长7.2%,这是近50年来最大的增幅。”据分析,这些事故中约94%是由于人为错误造成的,其余的则是由于环境和机械问题造成的。减少汽车事故的迫切要求使得汽车ADAS变得更加重要。自动紧急制动、行人检测、环绕视图、驻车辅助、驾驶员困倦检测以及注视检测等众多ADAS应用都能够通过对安全至关重要的功能为驾驶员提供帮助,以减少车祸的发生。图1显示了一套搭载集中式ECU的集成ADAS域控制器SoC,其中来自众多传感器的数据被传输到一个中央ECU,然后通过一个ADAS处理器进行处理。

图1:来自传感器的数据传输到中央ECU并通过视觉处理器进行处理

图1:来自传感器的数据传输到中央ECU并通过视觉处理器进行处理

技术集成商”。在该文章中,Delphi高级副总裁兼首席技术官Glen De Vos表示:“我们必须开始考虑把汽车视为一个数字平台,而这是一种截然不同的思考汽车的方式”。根据audi.com的说法,“现在,有史以来第一次,中央驾驶辅助控制器(zFAS)能够确定无疑地利用来自传感器数据构建出周围环境的全面影像 – 这可以用于广泛的辅助功能。这得益于互补的传感器系统,以及zFAS和雷达控制单元中的冗余数据融合。”
 

海量的数据正在促使汽车ADAS应用采用64位处理器。从分布式架构向更集中的ECU的转变更显得是大势所趋,而且由于集成了ECU,ADAS SoC变得非常复杂,这就需要采用最新的半导体特性、半导体工艺技术以及其他用于ADAS域控制器SoC的技术:
 

  • 以太网管理着包括时间敏感型数据在内的海量数据,并减少了点对点连线
  • LPDDR4/4x以高达每秒3200兆比特及以上的数据传输速率运行,这推升了汽车级SoC中DRAM的操作速度
  • 诸如MIPI相机串行接口和显示器串行接口等MIPI标准在成像和显示应用中提供高性能连接能力
  • PCI Express为4G无线通信或未来的5G无线通信以及外部SSD提供了高可靠性的“处理器到处理器”连接能力
  • 5G以及诸如802.11p等IEEE标准有助于在云端以及“车辆到车辆”或“车辆到基础设施”通信中提供地图或图像的实时更新
  • 硬件和软件安全协议为通过USB、WiFi或蓝牙连接传递的数据提供保护
  • 传感器和控制子系统减轻了主机处理器的负担,并融合了各种传感器数据,以管理由传感器提供的不同类型的传感器数据 
  • 制造工艺技术不断进步,从传统的90纳米(nm)、65纳米和40纳米发展到更先进的16纳米、14纳米,甚至7纳米FinFET工艺


安全关键型应用正在显著推动ADAS SoC的普及。但是,ADAS SoC以及所有半导体组件(包括集成在SoC中的IP)都必须符合ISO 26262功能安全性标准。

符合ISO 26262功能安全性标准的要求

ISO 26262标准把汽车系统发生故障的后果规定为四种不同的汽车安全完整性等级(ASIL):A,B,C和D。ASIL D级是最高级别的功能安全性。ISO 26262标准还规定了汽车开发企业在开发用于安全关键性系统的产品时必须实施并遵守的所有流程、开发工作和标准。ISO 26262标准的一个关键目标是通过以下方式把发生各类随机硬件故障(包括永久故障或瞬时故障)的易感性(susceptibility)降至最低程度:

 

  • 在开发产品时规定功能安全性要求
  • 在开发流程中应用严格标准
  • 定义一种安全性文化
  • 实施安全性功能,以尽量减少硬件故障的影响
  • 评估和分析安全性功能的影响,以确保能够减轻硬件故障


一些获得行业认可的检验公司,例如SGS-TUV Saar公司,可以帮助审核产品和流程是否符合ISO 26262标准以及通过该标准的认证。


ISO 26262认证过程包含多个步骤、策略和报告,并且必须从产品开发的最初阶段开始。例如,故障模式影响和诊断分析(FMEDA)是需要开发团队撰写的一份报告,该报告从功能安全性角度提供了有关遵守ISO 26262标准的所有信息。该报告由设计和验证工程师撰写,是ASIL评估的关键组成部分,不仅仅是为了证明合规性,而且还涉及到设计目标以及在开发流程结束时进行的评级评估。与开发组织相独立的指定安全性管理人员需要经过充分培训来监控整个开发过程、里程碑和产品评审,以确保所有的文档和可追溯性按照相关标准的规定在整个SoC开发流程中是完整的。FMEDA报告还包括对各种安全性功能以及它们的开发和验证进行的总结。它清楚地记录了产品中所包含的安全性功能,以及这些产品如何对注入其中的随机故障做出反应。FMEDA报告是强制性的,并提供给参与产品评审过程的所有相关方。

ISO 26262认证是如何实施的

标准的SoC或IP产品开发流程从寄存器传输级(RTL)设计开始,然后在最终原型中通过硬件和软件进行实施、检验(verified)和验证(validated)。符合ISO 26262的开发过程在标准的设计过程之上增加了额外的步骤,包括在最开始时定义一套核心架构和规范。设计人员制定一份包含安全性功能和目标的安全计划。产品团队和安全经理审查该安全计划和策略,以便在最终应用中实现所指定的功能安全性。进行故障分析非常重要,其方式是注入故障来评估安全水平以及系统对这些故障的反应。FMEDA提供关于永久故障和瞬时故障两种情形的故障注入分析结果,以评估相关影响。FMEDA报告中明确记录了分析和评估结果,这是ISO 26262认证过程的一部分,另外还需要提供安全手册。整个过程如图2所示。

图2:包含额外ISO 26262认证步骤和要求的一项标准SoC或IP设计示例

图2:包含额外ISO 26262认证步骤和要求的一项标准SoC或IP设计示例

ISO 26262认证过程中的安全手册定义了产品的安全性功能,这对于产品的运行至关重要。该标准就能够检测可能故障的安全性功能的有效性提供了一些指导。针对IP产品设计的安全性功能分为三类:保护机制、复制和各种其他功能(various)。
 

  • 保护机制,例如保护SoC架构中的IP之间的接口,以及保护弹性缓冲区、在数据路径和配置寄存器上提供奇偶校验保护、为写入和读取提供纠错码保护。
  • 复制是一种安全功能类别,其包括对关键模块进行二次复制(或三次复制)以及采用表决逻辑来确保冗余。
  • 各种其他功能(various)包括对所有的状态寄存器进行奇偶校验、单周期脉冲有效性、各种专用中断,以及为坏状态提供热状态机保护。
     

通过ISO 26262功能安全性认证的过程非常严格,涉及许多方面:撰写FMEDA报告,指定一份针对目标ASIL定义安全性功能的安全计划,聘用一名安全经理,记录并与所有利益相关方共同审查每个阶段性成果。除满足ISO 26262的功能安全性要求之外,集成ADAS域控制器SoC开发团队以及供应链的其余部分(包括设计IP提供商)都必须遵守汽车可靠性和质量要求。
 

为了满足汽车行业规定的汽车可靠性标准,汽车SoC和IP必须经过设计和测试,以实现非常低的缺陷密度,该密度以“每百万产品缺陷数”(dppm)来衡量。汽车行业要求低于1ppm,并鼓励设计人员以汽车产品15年使用寿命中每百万产品零缺陷为目标。满足温度等级要求是另一项可靠性要求。对于ADAS而言,工作温度的最高级别是1级,它要求高达125摄氏度的环境温度或者150摄氏度的结温。汽车供应链中的每家企业都有一份专有的温度任务配置文件,他们根据此文件设计和测试其产品。为不同ADAS应用开发产品的SoC和IP设计人员在他们的开发过程中应当考虑这些温度任务配置文件。对于不同器件的温度任务配置文件,还必须考虑各种不同的要求,例如电迁移、晶体管老化以及晶体管自热等。

 

总结

技术发展趋势正在从分布式ADAS电子控制器单元(ECU)转向搭载集中式ECU的更加集成的ADAS域控制器。由于数据量巨大,新型集成域控制器需要更高的计算性能、更低的功耗和更小的密度。如果采用64位处理器来处理大量数据,则需要最新的半导体特性、半导体工艺技术以及其他诸如IP的技术。
 

由于集成ADAS SoC主要用于安全关键性应用,设计人员必须遵守ISO 26262功能安全性标准。这也适用于集成到ADAS SoC之中的汽车IP。设计人员可以借助于已通过汽车认证的IP来加快其SoC层次的认证。所谓已通过汽车认证的IP,是指已经完成了规定的认证流程并被认为获得了第三方公认机构(例如SGS TUV Saar)认可的IP。

Synopsys公司提供一系列通过汽车认证的IP,它们获得了面向ASIL的ISO 26262认证,经过设计和测试能够满足1级和2级温度要求,并完全遵守汽车质量管理流程。有关详细信息,请查看面向汽车SoC的DesignWare IP网页。