按：汽車行業(yè)進(jìn)軍智能化，汽車搭載的電子/電氣系統(tǒng)數(shù)量也隨之不斷增加。公開數(shù)據(jù)顯示，一輛高端豪華轎車上有多達(dá)70多個(gè)電子控制單元(Electronic Control Unit，ECU)，其中發(fā)動(dòng)機(jī)管理系統(tǒng)、底盤控制系統(tǒng)、制動(dòng)系統(tǒng)等都是安全相關(guān)系統(tǒng)。為了實(shí)現(xiàn)汽車電子/電氣系統(tǒng)的安全設(shè)計(jì)，道路車輛功能安全標(biāo)準(zhǔn)ISO 26262于2011年被正式發(fā)布，其中涉及的系統(tǒng)風(fēng)險(xiǎn)等級(jí)評(píng)估標(biāo)準(zhǔn)——ASIL等級(jí)(Automotive Safety Integrity Level，汽車安全完整性等級(jí))也應(yīng)運(yùn)而生。

隨著智能駕駛、自動(dòng)駕駛風(fēng)口的到來，車用片上系統(tǒng)(SoC)更高的穩(wěn)定性和安全等級(jí)成為汽車的剛需，也順勢(shì)打響了各芯片廠商新一輪布局戰(zhàn)。那么，諸如英偉達(dá)、英特爾、高通、ARM這些芯片巨頭的戰(zhàn)況如何呢?雷鋒網(wǎng)編譯整理了來自EE Times的這篇深度文章，以饗讀者。

不論是那些已經(jīng)普遍裝備在汽車上的ADAS系統(tǒng)模塊，還是某些測(cè)試中的L4自動(dòng)駕駛系統(tǒng)，抑或是仍活在效果圖中的無人駕駛概念車，在爭(zhēng)奪汽車智能化蛋糕的同時(shí)，面向?qū)嶋H應(yīng)用的場(chǎng)景，在對(duì)它們的魯棒性發(fā)出層層考驗(yàn)。ASIL(Automotive Safety Integrity Level，汽車安全完整性等級(jí))，就是檢驗(yàn)功能模塊中片上系統(tǒng)(SoC)半導(dǎo)體安全等級(jí)的重要指標(biāo)之一。

ASIL，是ISO 26262標(biāo)準(zhǔn)中的重要評(píng)價(jià)體系，用于識(shí)別系統(tǒng)危害并對(duì)危害風(fēng)險(xiǎn)等級(jí)進(jìn)行評(píng)估。AISL分為四個(gè)等級(jí)，分別為A、B、C、D，其中A是最低等級(jí)，D是最高等級(jí)。ASIL等級(jí)決定了對(duì)系統(tǒng)安全性的要求，ASIL等級(jí)越高，對(duì)系統(tǒng)的安全性要求越高，為實(shí)現(xiàn)安全付出的代價(jià)越高，意味著硬件的診斷覆蓋率越高，開發(fā)流程越嚴(yán)格，相應(yīng)的開發(fā)成本增加、開發(fā)周期延長(zhǎng)、技術(shù)要求嚴(yán)格。下圖是ASIL等級(jí)評(píng)估的對(duì)照表。可以看出，如果安全等級(jí)到達(dá)D級(jí)，則意味著整個(gè)系統(tǒng)范圍內(nèi)單點(diǎn)故障率不超過1%。

*ASIL等級(jí)評(píng)估對(duì)照表(來源：美國(guó)新思科技公司)

除極少數(shù)達(dá)到ASIL D級(jí)標(biāo)準(zhǔn)的MCU(微控制單元)，芯片供應(yīng)商目前大量出貨，應(yīng)用在ADAS中的系統(tǒng)芯片，安全等級(jí)大多在B或C級(jí)。來自汽車領(lǐng)域獨(dú)立數(shù)據(jù)調(diào)研機(jī)構(gòu)IHS Markit的分析師Luca De Ambroggi指出，“為了在ADAS系統(tǒng)尺度上達(dá)到ASIL D級(jí)，大部分廠商目前的解決方案是利用多枚B-C級(jí)SoC建立一個(gè)冗余系統(tǒng)，通過ASIL分解原則達(dá)到D級(jí)標(biāo)準(zhǔn)。”

不過，這樣的方案也意味著成本的增加，Luca De Ambroggi指出，這樣的方案無法一勞永逸，ASIL D級(jí)認(rèn)證對(duì)于車用芯片廠商而言是必經(jīng)之路，甚至是供應(yīng)商需要花大力攻克的難題，尤其是對(duì)于越發(fā)復(fù)雜的片上系統(tǒng)更是如此。

而在這一點(diǎn)上，許多顛覆性的變革來源于市場(chǎng)中一些新的闖入者——那些沒有任何汽車電子領(lǐng)域經(jīng)驗(yàn)的芯片生產(chǎn)商。為了在自動(dòng)駕駛的風(fēng)口追趕那些汽車領(lǐng)域的市場(chǎng)競(jìng)爭(zhēng)者，他們正在打造“彎道超車”的時(shí)機(jī)。例如，諸如ARM和Synopsys(美國(guó)新思科技，SNPS)的IP核(知識(shí)產(chǎn)權(quán)核，指芯片中某個(gè)可重用模塊)供應(yīng)商正在布局推出面向ASIL D級(jí)的雙核鎖步(Dual Core Lockstep)處理器。

在過去的幾年里，ARM投入重金發(fā)展安全處理器系統(tǒng)方案。2013年，ARM發(fā)布“ARMv8-R”架構(gòu)，支持實(shí)時(shí)嵌入式處理器。架構(gòu)具有即時(shí)運(yùn)算的處理能力，能夠擴(kuò)增多種與安全相關(guān)的解決方案，可用于ADAS、V2V通訊等多個(gè)領(lǐng)域。去年9月，剛剛被軟銀斥資320億美元收購(gòu)的ARM獻(xiàn)上大禮——Cortex-R52處理器，該處理器基于改進(jìn)的ARMv8-R架構(gòu)，為之前Cortex-R5的升級(jí)版，通過了包括ISO 26262在內(nèi)的多項(xiàng)安全標(biāo)準(zhǔn)認(rèn)證。

Synopsys的路徑與之類似。就在幾天前，Synopsys 宣布其ARC EM系列的“安全島”模塊和雙核鎖步處理器已經(jīng)可用，并達(dá)到ASIL準(zhǔn)D級(jí)標(biāo)準(zhǔn)，配備自查安全監(jiān)控以及硬件安全監(jiān)測(cè)性能，如誤差矯正碼等用于檢測(cè)系統(tǒng)失效。

*Synopsys ASIL準(zhǔn)D級(jí)雙核鎖步處理器可重用模塊

Synopsys ARC EM處理器的產(chǎn)品線負(fù)責(zé)人Angela Raucher表示，“隨著越來越多的廠商開始對(duì)汽車市場(chǎng)產(chǎn)生興趣，我們希望通過這種IP核授權(quán)的形式，降低產(chǎn)業(yè)的準(zhǔn)入門檻。”

不過即便如此，對(duì)于加入汽車市場(chǎng)的新玩家，底層實(shí)現(xiàn)仍舊需要重視。分析機(jī)構(gòu)Strategy Analytics全球汽車業(yè)務(wù)負(fù)責(zé)人Ian Riches認(rèn)為，除非IP供應(yīng)商提供所有的設(shè)計(jì)支持和文件集，否則任何一家廠商都應(yīng)該審慎布局面向ASIL D級(jí)應(yīng)用的知識(shí)產(chǎn)權(quán)核。

面向關(guān)鍵性安全應(yīng)用的MCU

一些面向關(guān)鍵性安全需求的應(yīng)用，大浪淘沙般將產(chǎn)業(yè)鏈企業(yè)進(jìn)行了等級(jí)劃分。而這，也成為企業(yè)爭(zhēng)相布局的重要原因。

一些汽車行業(yè)的資深玩家，早已將主要資源投放到面向ASIL D級(jí)MCU的研發(fā)中，試圖在賽道領(lǐng)跑。

Riches說，“主流汽車供應(yīng)商在2015年前，便開始著手研發(fā)ASIL D級(jí)設(shè)備。例如，與NXP(恩智浦)合并前的飛思卡爾早在2012年，便推出面向汽車底盤和安全應(yīng)用的 MPC5643L 32位MCU，拔得行業(yè)頭籌。”

“如果廠商在那時(shí)想要一款A(yù)SIL D級(jí)處理器，ARM可不是最好的選擇。如今，各大傳統(tǒng)汽車供應(yīng)商都不惜重金投入研發(fā)屬于自己的D級(jí)架構(gòu)，時(shí)機(jī)已經(jīng)到了。”

據(jù)IHS資料，ASIL D級(jí)要求ECU在剎車、轉(zhuǎn)向等操作中具有極高的安全性能。

通往 ASIL D級(jí)之路

今年CES展，當(dāng)英偉達(dá)CEO黃仁勛站在舞臺(tái)時(shí)，他向世界展示公司研發(fā)的Xavier芯片產(chǎn)品，號(hào)稱自動(dòng)駕駛汽車的“人工智能超級(jí)計(jì)算機(jī)”。黃仁勛介紹說，這款預(yù)計(jì)年底發(fā)布的片上系統(tǒng)，芯片本身達(dá)到ASIL C級(jí)認(rèn)證標(biāo)準(zhǔn)，但其模塊可通過設(shè)計(jì)實(shí)現(xiàn)ASIL D安全功能。

除此之外，市場(chǎng)還充斥著布局自動(dòng)駕駛汽車“超級(jí)大腦”的各路玩家。

Strategy Analytics的Riches強(qiáng)調(diào)，“即便諸如英偉達(dá)、英特爾、高通等廠商對(duì)汽車市場(chǎng)宣誓了極大的興趣和野心，留給傳統(tǒng)汽車供應(yīng)商的機(jī)會(huì)仍然存在”。

而這個(gè)機(jī)會(huì)，就在于一些面向關(guān)鍵性安全應(yīng)用的MCU上。

以英飛凌為例，其針對(duì)汽車研發(fā)的TriCore內(nèi)核Aurix單片機(jī)，就是英偉達(dá)該模組的一部分。“英飛凌的TriCore內(nèi)核，是使英偉達(dá)解決方案能夠達(dá)到D級(jí)標(biāo)準(zhǔn)的重要組成部分。”

不過，眾多巨頭玩家所布局的汽車“超級(jí)大腦”，往往不是要用在ADAS上，相反，卻轉(zhuǎn)投自動(dòng)駕駛的更大藍(lán)海。諸如NXP的開源自動(dòng)駕駛計(jì)算平臺(tái)Bluebox，以及Renesas(瑞薩電子)64位元車載處理器RCar，都在試圖與現(xiàn)有的車載設(shè)備競(jìng)爭(zhēng)。

我們來看一下NXP講了一個(gè)什么故事。

現(xiàn)今，NXP有兩種架構(gòu)的芯片產(chǎn)品，一部分基于Power Architecture技術(shù)(鎖步架構(gòu)，可達(dá)ASILD級(jí)標(biāo)準(zhǔn))，一部分基于ARM架構(gòu)。對(duì)于未來產(chǎn)品線布局，NXP希望基于現(xiàn)有的ASIL B級(jí)ARM核，應(yīng)用鎖步架構(gòu)達(dá)成ASIL D級(jí)。

*NXP面向ADAS的S32V234架構(gòu)

如今，距離NXP發(fā)布第一款面向通用市場(chǎng)的MPC5643L汽車安全開發(fā)套件已經(jīng)過去5年的時(shí)間，但即便如此，NXP發(fā)言人表示，使產(chǎn)品達(dá)到ASIL D級(jí)仍舊不是一件易事。

NXP在MPC5643L認(rèn)證階段選擇與一家獨(dú)立的機(jī)構(gòu)(Exida)合作，該芯片基于Power架構(gòu)，支持鎖步模式。據(jù)NXP透露，與 Exida的這項(xiàng)合作持續(xù)了一年多的時(shí)間，中間消耗了海量的溝通與協(xié)調(diào)資源。

與此同時(shí)，NXP宣布旗下的“Safe Assure”流程已經(jīng)開發(fā)完成，“Safe Assure”致力于幫助NXP客戶達(dá)到所需要的安全認(rèn)證級(jí)別。NXP宣稱“Safe Assure”從開發(fā)流程、芯片產(chǎn)品，到軟件產(chǎn)品、支持文檔，都以ISO26262 ASIL標(biāo)準(zhǔn)為目標(biāo)研發(fā)，從而可以從系統(tǒng)層面大幅降低獲得安全認(rèn)證的難度。

在那之后，NXP升級(jí)了旗下產(chǎn)品的標(biāo)準(zhǔn)汽車開發(fā)協(xié)議，以達(dá)到ISO 26262對(duì)協(xié)議的要求，該協(xié)議包括內(nèi)置的獨(dú)立安全評(píng)估模塊。

總而言之，ASIL認(rèn)證并不是簡(jiǎn)單的一次性測(cè)試，而是深埋于整個(gè)芯片開發(fā)周期之中的。它不僅有關(guān)于開發(fā)流程中額外添加的安全機(jī)能，還有關(guān)于安全重于一切的企業(yè)文化。在產(chǎn)品的開發(fā)與生產(chǎn)環(huán)節(jié)中，安全管理、安全計(jì)劃、安全時(shí)間、安全評(píng)估、安全思想、安全分析、安全文檔，都是不可或缺的。NXP發(fā)言人如是說。

簡(jiǎn)化流程

以ARM與Synopsys為代表的IP核產(chǎn)業(yè)模式，核心在于大幅削減開發(fā)時(shí)間。芯片廠商在成熟的IP核授權(quán)下，可以迅速設(shè)計(jì)、驗(yàn)證然后發(fā)布用于ADAS或自動(dòng)駕駛的安全SoC。

Synopsys公司的Raucher解釋道： 用于自動(dòng)駕駛的安全SoC芯片，可能需要長(zhǎng)達(dá)六個(gè)月的額外驗(yàn)證時(shí)間。

對(duì)于一般的SoC來說，在芯片的驗(yàn)證流程中，會(huì)首先測(cè)試系統(tǒng)性失效，也就是由芯片/軟件bug以及錯(cuò)誤規(guī)格帶來的失效。但對(duì)安全性有更高要求的SoC，則必須測(cè)試隨機(jī)因素引起的失效，這會(huì)導(dǎo)致測(cè)試工作量的幾何級(jí)增加，錯(cuò)誤可能來自于晶體管失效、電路接觸不良，甚至包括高能粒子與硅元素之間作用產(chǎn)生的軟故障，測(cè)試還需要確認(rèn)這些失效是永久性的、暫時(shí)性的還是潛在的。

而基于上述的背景，如果IP商向芯片廠商提供預(yù)置的、經(jīng)過ASIL D級(jí)驗(yàn)證的處理器，這將會(huì)對(duì)安全Soc開發(fā)十分有幫助。高安全性SoC需要誤差校正和檢測(cè)，需要同步的冗余核來運(yùn)行與主核心相同的代碼，還需要額外的控制單元，用來比較主核心與冗余核心輸出結(jié)果的不同，更需要海量的用于通過ISO 26262標(biāo)準(zhǔn)的文檔。Raucher解釋說。

對(duì)于ARM與Synopsys來說，他們提供的，是架構(gòu)相似的面向ASIL D級(jí)的處理器方案。

ARM這樣描述他們的Coetex-R52方案：

支持雙核鎖步模式運(yùn)行，并附有額外比較器，用于比較雙核心的輸出結(jié)果。

提供額外的多項(xiàng)失效檢測(cè)功能。

面向ASIL-D標(biāo)準(zhǔn)設(shè)計(jì)。

此外，ARM高級(jí)產(chǎn)品市場(chǎng)經(jīng)理Phil Burr還補(bǔ)充道：ARM將為合作廠商提供設(shè)計(jì)流程中全套的面向ASIL-D標(biāo)準(zhǔn)的安全文檔，可以大幅簡(jiǎn)化拿到ASIL-D認(rèn)證的流程。

*ARM Cortex R52 架構(gòu)示意圖

ARM在業(yè)界樹立的口碑，在于它在安全認(rèn)證芯片方面的豐富經(jīng)驗(yàn)，雖然最新Cortex-R52架構(gòu)的芯片還未上市，市場(chǎng)上已經(jīng)有類似的成熟產(chǎn)品。例如，基于ARM的TI TMS570LS10206雙核鎖步設(shè)備，已經(jīng)達(dá)到SIL3認(rèn)證，該認(rèn)證等效于ASIL D級(jí)。

Synopsys也有涉足消費(fèi)電子領(lǐng)域的野心，目前正希望與熟悉ARC核的消費(fèi)電子芯片廠商達(dá)成商業(yè)合作。Synopsys計(jì)劃設(shè)計(jì)能夠同時(shí)切入消費(fèi)電子市場(chǎng)與車載半導(dǎo)體市場(chǎng)的系統(tǒng)級(jí)芯片架構(gòu)。

在Strategic Analysis的Riches看來，“ARM當(dāng)然在試圖擴(kuò)張自己在車載半導(dǎo)體領(lǐng)域的市場(chǎng)份額，同時(shí)，ARM相對(duì)于Synopsys也有著不小的優(yōu)勢(shì)。”

首先，ARM已經(jīng)有面向市場(chǎng)的成型產(chǎn)品;其次，ARM已經(jīng)與大量車用芯片提供商建立了合作關(guān)系。Synopsys面臨的首要挑戰(zhàn)就是建立一個(gè)像ARM一樣的巨型生態(tài)系統(tǒng)，不僅包括第三方在操作系統(tǒng)方面的支持，還包括對(duì)應(yīng)的開發(fā)工具，才能與ARM分庭抗禮。

ASIL-D為何如此緊迫?

如果你的汽車整體符合ISO 26262 ASIL-D級(jí)標(biāo)準(zhǔn)，那意味著在面對(duì)某些臨界安全問題時(shí)，汽車已經(jīng)可以代替你做出決定了。而對(duì)于整車ASIL-B級(jí)標(biāo)準(zhǔn)的汽車來說，汽車只會(huì)提醒駕駛員危險(xiǎn)來臨，具體動(dòng)作需要駕駛員執(zhí)行。

就目前來說，實(shí)際落地的ADAS系統(tǒng)仍需要駕駛員隨時(shí)準(zhǔn)備介入控制。那么，為什么業(yè)界對(duì)ASIL-D級(jí)芯片產(chǎn)生了如此迫切的需求呢? ASIL-D級(jí)的SoC真的有現(xiàn)實(shí)意義么?

NXP相信，問題的答案在汽車OEM廠商身上，因?yàn)镺EM廠商需要在產(chǎn)品魯棒性與開發(fā)速度之間做取舍，而可靠性不足極其容易導(dǎo)致訴訟纏身。

一方面，整個(gè)業(yè)界正在快馬加鞭地部署“高性能計(jì)算系統(tǒng)，為自動(dòng)駕駛決策提供計(jì)算力”;另一方面，自動(dòng)駕駛汽車上品類繁多的汽車控制子系統(tǒng)必須“在保證提供多種智能化功能的同時(shí)，保持高級(jí)別的安全性。”

基于此，在業(yè)界擁抱自動(dòng)駕駛的同時(shí)，OEM廠商正在尋找工程上可行的解決方案。這種方案必須在滿足苛刻安全標(biāo)準(zhǔn)的同時(shí)，提供快速的產(chǎn)品迭代能力，并提供足夠的計(jì)算動(dòng)力。

“符合安全標(biāo)準(zhǔn)的系統(tǒng)級(jí)芯片正是解決這個(gè)棘手問題的最優(yōu)解。“NXP這樣斷言。

汽車領(lǐng)域獨(dú)立數(shù)據(jù)調(diào)研機(jī)構(gòu)IHS Markit的De Ambroggi則從另一個(gè)角度得出了相似的結(jié)論。他認(rèn)為OEM廠商尚未對(duì)ASIL-D提出明確的要求，因?yàn)閺男枨髮用嫔夏壳斑€不緊迫。“但是，如果ASIL D級(jí)別的芯片與普通芯片價(jià)格相同，所有OEM廠商都將很樂意使用并推廣，因?yàn)檫@種方案顯然能夠節(jié)省他們的成本。這不僅可以節(jié)省額外冗余器件的成本，還讓OEM廠商免于應(yīng)對(duì)更復(fù)雜的解決方案，顯然是有前景的。”

與此同時(shí)，ASIL D級(jí)安全標(biāo)準(zhǔn)已經(jīng)是汽車產(chǎn)業(yè)多年的關(guān)注重點(diǎn)了，而ASIL-D標(biāo)準(zhǔn)不僅適用于ADAS或者自動(dòng)駕駛系統(tǒng)，還適用于各種安全相關(guān)的系統(tǒng)，例如剎車系統(tǒng)、轉(zhuǎn)向助力系統(tǒng)等。由此，Riches得出這樣的結(jié)論，那就是在自動(dòng)駕駛系統(tǒng)以外，ASIL D級(jí)芯片還有更大的應(yīng)用空間，相關(guān)需求在未來的幾年里必將保持增長(zhǎng)勢(shì)頭。