當(dāng)今汽車行業(yè)正在加速創(chuàng)新，新能源和自動(dòng)駕駛汽車的發(fā)展越來越快。隨著車輛控制正在從人類控制轉(zhuǎn)變?yōu)檐囕v自主控制，更多的傳感器、攝像頭、雷達(dá)等被應(yīng)用到到汽車系統(tǒng)中，數(shù)據(jù)處理需求也隨之增加，這就需要更大的SoC來提供更多的計(jì)算性能，還要盡可能降低故障率。為了滿足這些需求，行業(yè)急需更先進(jìn)的處理器架構(gòu)。

　　什么是ISO 26262?

　　在汽車行業(yè)有一個(gè)功能安全標(biāo)準(zhǔn)——ISO 26262，該標(biāo)準(zhǔn)定義了不同的汽車安全完整性等級(ASIL)。ISO 26262 標(biāo)準(zhǔn)包括隨機(jī)硬件故障的可接受失效時(shí)間 (FIT) 概念，還規(guī)定了硬件、軟件和組合系統(tǒng)開發(fā)應(yīng)遵循的系統(tǒng)化流程要求，以符合汽車標(biāo)準(zhǔn)。

　　為了幫助ASIL與汽車用例及其安全關(guān)鍵性保持一致，ISO 26262 標(biāo)準(zhǔn)主要參考三大要素：

　　暴露概率：典型駕駛中發(fā)生此事件的頻率

　　駕駛員的可控性：駕駛員應(yīng)對故障的可能性

　　故障的嚴(yán)重性：因故障引發(fā)事故的可能性

　　圖1顯示了如何通過以上幾個(gè)要素來判斷車輛的ASIL安全等級。

　　隨著汽車自動(dòng)駕駛等級的提高，駕駛員的可控性也隨之降低。如果汽車系統(tǒng)中發(fā)生故障，則可能導(dǎo)致碰撞。ISO 26262 將故障分為兩種：

　　系統(tǒng)故障

　　隨機(jī)硬件故障：分為永久性和瞬態(tài)性兩種

　　系統(tǒng)故障在硬件和軟件中都會(huì)出現(xiàn)，所以最好在軟硬件模塊的開發(fā)過程中就要引入安全保護(hù)機(jī)制。在隨機(jī)硬件故障中，永久性故障是指由硬件裝置的磨損引起，發(fā)生(例如：短路)之后會(huì)無限期地(或至少在修復(fù)前)持續(xù)。隨機(jī)故障的故障指標(biāo)是硬件架構(gòu)指標(biāo)，用于測量 SoC 內(nèi)安全機(jī)制的覆蓋范圍，故障指標(biāo)越高，硬件架構(gòu)中故障的風(fēng)險(xiǎn)就越低。

　　所以，為汽車SoC開發(fā)的符合ASIL的IP需要對所有故障類型(包括永久性故障和瞬態(tài)故障)都有保護(hù)作用。具體而言，對于隨機(jī)硬件故障，ASIL級別定義如表1所示。

　　汽車需要更強(qiáng)大的處理能力

　　隨著汽車智能化的發(fā)展，例如，使用了先進(jìn)的雷達(dá)系統(tǒng)，可控性或“主動(dòng)輔助”水平從駕駛員轉(zhuǎn)移到車輛安全系統(tǒng)等，可能會(huì)導(dǎo)致駕駛?cè)藛T對道路的注意力下降，因此對汽車系統(tǒng)的安全提出了更高的要求。

　　例如，在未來的汽車應(yīng)用安全性方面，雷達(dá)發(fā)揮著至關(guān)重要的作用。L1 級自主雷達(dá)系統(tǒng)必須展示出對環(huán)境詳細(xì)狀況的識別能力，包括兩側(cè)車流，以便根據(jù)情況作出反應(yīng)。而具有更高自主性的L2+、L3等的自動(dòng)駕駛功能需要擁有完整的周圍視圖，因此除了前后雷達(dá)傳感器之外，還需要多個(gè)角雷達(dá)和側(cè)雷達(dá)。

　　以上這些雷達(dá)在工作過程中產(chǎn)生了大量的數(shù)據(jù)，需要SoC進(jìn)行提取和處理。傳統(tǒng)上，這些較大SoC中的汽車MCU是基于RISC的架構(gòu)。然而，為了滿足性能要求，系統(tǒng)需要一種具有最先進(jìn)的安全功能的處理器架構(gòu)，這種架構(gòu)是一種平衡了性能、功耗、面積、安全等多個(gè)因素的組合。這種組合將為未來汽車行業(yè)內(nèi)的先進(jìn)安全設(shè)計(jì)以及未來其他生死攸關(guān)的安全應(yīng)用奠定基礎(chǔ)。

　　為汽車選擇更優(yōu)的處理器架構(gòu)

　　由于現(xiàn)有的RISC架構(gòu)的安全關(guān)鍵型MCU無法提供L2+所需的性能。因此，需要將高性能處理器IP內(nèi)核與新的先進(jìn)安全概念相結(jié)合。與RISC架構(gòu)對比，通過使用矢量DSP架構(gòu)，其提供的性能要求是標(biāo)準(zhǔn)RISC內(nèi)核的25倍。這種架構(gòu)還可以與執(zhí)行人工神經(jīng)網(wǎng)絡(luò) (ANN) 的能力相結(jié)合，用虛擬傳感器替換部分物理傳感器，從而降低成本。

　　圖3將標(biāo)準(zhǔn)RISC架構(gòu)與標(biāo)準(zhǔn)FFT內(nèi)核的 512b寬矢量 DSP 架構(gòu)進(jìn)行了比較，從性能和功耗角度來看，我們發(fā)現(xiàn)與 RISC 架構(gòu)相比，矢量DSP架構(gòu)的優(yōu)勢更為顯著。

　　為了滿足汽車實(shí)時(shí)應(yīng)用(如雷達(dá))的性能要求，需要在高性能處理器架構(gòu)上執(zhí)行與上述 FFT 內(nèi)核基準(zhǔn)相似的計(jì)算密集型算法，譬如新思科技 DesignWare? ARC? EV7x 處理器 IP，帶有緊密集成的深度神經(jīng)網(wǎng)絡(luò) (DNN) 引擎。

　　新思科技的DesignWare?ARC? EV7xFS 嵌入式視覺處理器(圖4)完全可編程，融合了軟件解決方案的靈活性和專用硬件的高性能和低功耗等特點(diǎn)。該處理器集成了多達(dá)四個(gè)高性能 32 位標(biāo)量內(nèi)核和 512 位矢量 DSP。它們是完全可編程且可配置的IP內(nèi)核，采用超長指令字 (VLIW)/單指令多數(shù)據(jù) (SIMD) 架構(gòu)，并具有用于浮點(diǎn)和線性代數(shù)/數(shù)學(xué)計(jì)算的優(yōu)化執(zhí)行單元。EV7xFS 處理器針對需要功能安全性的高性能嵌入式信號處理或視覺應(yīng)用進(jìn)行了優(yōu)化。為了快速準(zhǔn)確地執(zhí)行卷積神經(jīng)網(wǎng)絡(luò) (CNN) 或批量的 RNN/LSTM，EV7xFS Processor IP集成了可選的集成式深度神經(jīng)網(wǎng)絡(luò)(DNN) 加速器。

　　為了向汽車設(shè)計(jì)團(tuán)隊(duì)提供更大的靈活性，并滿足不斷變化的要求，ARC EV7xFS處理器提供ASIL就緒“混合”選項(xiàng)，使用戶可以在硅后軟件中選擇高達(dá)ASIL D的安全級別。

　　DesignWare?ARC? EV7xFS 安全包基于以下幾點(diǎn)：

　　集成和可配置的安全功能，高達(dá)ASIL D級別

　　詳細(xì)的IP安全文檔支持基于EV7xFS的系統(tǒng)認(rèn)證，高達(dá)ASIL D級別

　　這些處理器被開發(fā)為獨(dú)立安全單元(SEooC)，這意味著，它們可以展示針對所有故障類型的故障覆蓋的證據(jù)(根據(jù) 26262中概述的指標(biāo))。作為 SEooC，處理器IP的開發(fā)獨(dú)立于與特定項(xiàng)目或系統(tǒng)(例如，車輛、車輛子系統(tǒng)或 OEM 定義的項(xiàng)目)相關(guān)的已定義情境。ARC EV7xFS 處理器是根據(jù)已定義的功能要求、非功能要求、安全要求和使用假設(shè)來開發(fā)的。

　　EV7xFS 處理器的功能安全可通過非常豐富的先進(jìn)硬件安全機(jī)制和非常全面的故障注入驗(yàn)證和 FMEDA 后端注釋軟件測試庫 (STL) 實(shí)現(xiàn)。STL開發(fā)方法是另一項(xiàng)具有創(chuàng)新性的先進(jìn)流程。

　　DesignWareARC功能安全 (FS) 處理器IP支持高達(dá)ASIL D的安全級別，旨在簡化安全攸關(guān)的汽車SoC開發(fā)并加快 ISO 26262 認(rèn)證。該組合包括ARC EM22FS、SEM130FS、HS4xFS 和 EV7xFS 和 VPX5FS 安全處理器，其中集成了硬件安全功能，可檢測系統(tǒng)錯(cuò)誤。

　　結(jié)語

　　由于將SoC作為符合ISO 26262標(biāo)準(zhǔn)的獨(dú)立安全單元(SEooC)進(jìn)行開發(fā)，其內(nèi)置的安全功能必須包括針對系統(tǒng)故障和瞬態(tài)故障的保護(hù)。而只有高性能、支持安全的矢量DSP架構(gòu)，才能實(shí)現(xiàn)下一代車輛主動(dòng)安全系統(tǒng)所需的性能、設(shè)計(jì)成本效益和最高的ASIL 級別。新思科技DesignWare? ARC? EV7xFS 處理器IP，可簡化IP集成商在展示SoC級別的證據(jù)方面的工作和論證，滿足下一代汽車設(shè)計(jì)的這些需求。