在自動駕駛的發(fā)展過程中����,安全和可靠度扮演著關鍵角色。為確定安全關鍵電子系統(tǒng)即使在故障情況下亦可用����,某些備援及安全功能必須保證可用,另外���,電子控制單元(ECU)內其中一項主要元件微控制器也必須具備此能力�����。
依照目前趨勢�,對先進駕駛輔助系統(tǒng)(ADAS)的需求不斷提升����,加上自動駕駛技術持續(xù)成長,為相關汽車系統(tǒng)在耐用度�����、可用性和功能安全性等方面帶來了新的需求���。目前的汽車系統(tǒng)設計�,能在發(fā)生故障時進入失效安全或故障沉默模式��。要實現(xiàn)高級自動駕駛或全自動駕駛��,汽車需要高可靠度和高可用性�,也就是電子系統(tǒng)需要在故障時繼續(xù)維持運作(亦即容錯操作)。這需要一定程度的備援能力�����,此外也會對所用的微控制器產生新的需求�。新世代AURIX微控制器的架構經過強化,讓備援系統(tǒng)擁有更高效能與更獨立的CPU核心與記憶體����,通訊介面速度更快�����,外殼也更為輕巧���。
目前汽車內的電子系統(tǒng)一般都為故障沉默模式,也就是駕駛必須在故障時接手汽車的控制權����。根據(jù)第3級和第4級的自動化階段(按SAE/VDI定義),等到未來高級自動駕駛車推出���,駕駛就不再需要于故障時介入��,也無法介入����,這樣一來�����,駕駛就能在行駛過程中從事其他活動�����。第5級定義則指完全無駕駛的自動車,這需要完整的備援控制架構�����,并支援適當?shù)陌踩珮藴省?/p>
ISO26262護自駕車安全
ISO26262是目前公認的汽車電子系統(tǒng)安全標準�����,半導體公司都透過此標準來設計安全元件���,包括AURIX微控制器、安全感測器���、安全電源供應器和變頻器驅動器等�。ISO26262于2011年推出時�����,也將重點放在高可用性和故障沉默系統(tǒng)上��。未來幾年內推出的新版標準(ISO26262第2版)將明確定義容錯操作系統(tǒng)的特性�����,以滿足汽車業(yè)不斷產生的新要求。
系統(tǒng)為執(zhí)行容錯操作功能所需要的系統(tǒng)數(shù)量���,將視自動化等級及相關錯誤處理方式而有所不同����。目前據(jù)報最常出現(xiàn)的錯誤反應為「10秒內緊急停止�����,最長不超過30秒」��。這些要求層級與下列致動器有關:剎車��、轉向�,甚至是將汽車與驅動引擎或馬達解耦。另外�����,照明和HMI等其他支援致動器也在考量之中�����,但并非不可或缺。
三重模組備援是一種廣為人知的容錯操作系統(tǒng)��,又名「三選二」(2-out-of-3, 2oo3)����,系統(tǒng)包含三個對等的執(zhí)行個體,都執(zhí)行相同的演算法�。
二重備援為主要參考標準
三個系統(tǒng)的輸出會相互比對,并用多數(shù)票的方式加以評估(圖1)�。這種方法可同時套用到軟體與硬體,為航空業(yè)目前所采用的標準�����。但此方法也存在著難題����,也就是票選系統(tǒng)的復雜度和安全性���。對ECU等即時系統(tǒng)來說�����,這會大幅提高相關硬體的復雜度�,進而影響整體成本,因此���,目前汽車業(yè)都以「二重備援」為參考標準�����。
圖1 容錯操作系統(tǒng)的三重模組備援����。
二重備援架構由兩個獨立的處理通道組成��,每個通道皆為故障沉默通道�����。(圖2)�。故障沉默通道通常采用1oo1D架構(單一通道具診斷功能)。二重架構(亦稱為「2oo2DFS」)可用對稱或非對稱備援的方式實作�,這類的2oo2DFS架構適用于電子控制單元,尤其是發(fā)生故障時�����,因為只需要考慮兩端中的任一端即可進行錯誤分析����。
圖2 二重備援能提升容錯操作功能實作的成本效益���。
剎車系統(tǒng)和轉向等應用提供了兩種類型的功能:安全關鍵功能和舒適功能。
由于容錯操作系統(tǒng)著重于安全關鍵功能���,而2oo2DFS具備彈性���,因此系統(tǒng)能使用非對稱的架構,進而將必要元件最佳化��。其作法是將較復雜且高效能的通道用在第一通道�����,然后將較小���、符合成本效益的MCU用于第二通道。第一個通道擁有效能較高的MCU��,因此可結合舒適功能和安全關鍵功能���。而第二個通道使用較小的MCU�����,只能涵蓋安全關鍵功能的容錯操作要求���。
MCU結合安全裝置提升系統(tǒng)可用性
高可用性在容錯操作系統(tǒng)中扮演重要角色����,尤其是同時具備安全關鍵功能與舒適性相關功能的混合型系統(tǒng)����。二重架構的設計用意,就是在發(fā)生故障時盡可能維持舒適功能���。為此��,有廠商開發(fā)了一項晶片組架構���,將微控制器與支援的安全裝置(亦即安全電源供應器)結合在一起,借此提供高系統(tǒng)可用性���。
在目前的故障沉默系統(tǒng)中�����,當安全微控制器偵測到嚴重錯誤時���,會將錯誤狀況回報至錯誤腳位���,外部支援的安全模組便會檢查錯誤腳位,并在確認錯誤狀況后關閉系統(tǒng)����。圖3說明系統(tǒng)如何安全地回應錯誤情況。整個流程是安全的��,因為錯誤情況是回報至外部監(jiān)控模組���,如此可提高系統(tǒng)可用性�,此外�����,微控制器的錯誤回應也能另外設定����。
圖3 結合安全供應模組與AURIX微控制器����,使容錯操作系統(tǒng)擁有高可用性��。
此方法由英飛凌提出����,能善用AURIX安全管理單元(SMU)的優(yōu)點����,SMU可分別設定各錯誤來源的回應(中斷、NMI����、CPU核心重置、CPU核心閑置或SOC重置)�����。圖4說明故障沉默的EPS設計����,結合了AURIX微控制器與TLF35584安全供應模組,得以確保高可用性�����。
圖4 含AURIX微控制器和安全供應模組的故障沉默EPS設計。
容錯操作耗電/成本挑戰(zhàn)高
實作容錯操作系統(tǒng)需要一定程度的備援�����,也會面臨空間需求����、耗電量和成本等方面的挑戰(zhàn)。
新一代的AURIX TC3xx目前提供12 mm×12mm(BGA-196)和14mm×14 mm兩種封裝(TQFP-100)���,換句話說���,兩個BGA-196封裝比兩個TQFP-100版本更不占空間,體積小了3.6倍����,所需要的電路板空間比兩個TQFP-100版本少了27%。此外��,AURIX的整合式電壓穩(wěn)壓器支援切換式CAP DC/DC拓撲���,最多可省下兩個外接MOSFET和電感器的空間及成本����。在此拓撲下���,運作耗電量足足減少一半�。
如先前所述�,采用一大一小的非對稱架構,便能使用較符合成本效益的微控制器����,進而降低容錯轉移實作的成本。AURIX系列具備較佳的擴充能力和相容性�����,因此能同時將高階和低階版本運用在同一個設計之中(圖5)����。安全概念、延遲和其他設計參數(shù)均獲得保留�,更有助于簡化設計。此外����,選擇制造商也能簡化供應鏈,并降低開發(fā)與認證成本以及軟體開發(fā)工具的成本�����。
圖5 含兩個AURIX微控制器的容錯操作EPS設計,可基于成本考量采用非對稱式(一大一小CPU)���。
使用AURIX微控制器�����,可提高容錯轉移系統(tǒng)的可用性�����。所有的AURIX微控制器均采用相同的安全概念���,并使用進階的保護機制,像是Lockstep�����、ECC(錯誤校正碼)受到保護的記憶體��,以及前面提到的安全管理單元(SMU)�。
新一代AURIX的架構經過最佳化,進一步改善了可用性,核心之間的獨立性也獲得提升?����,F(xiàn)在����,核心不論在重置�����、傳送或閑置模式下均可個別運作�,也就是說,故障的核心可自行重置�����,其他核心則能繼續(xù)照常運作���。各核心皆能直接存取其專屬資源�����,這樣一來�,除了容錯操作系統(tǒng)(L3/L4),連系統(tǒng)僅需部分備援的L2等級也能一并提升可用性�。
最佳化以達到最高安全性
AURIX系列擁有高效能架構和最多六個核心,還有介面����、安全性與安全功能,適合汽車業(yè)與工業(yè)電子市場的多種應用����。新架構特別適用于混合式驅動器和變頻器、電池管理或電壓穩(wěn)壓器�。此外,AURIX TC3xx微處理器適用于安全關鍵應用�����,適用范圍從安全氣囊����、剎車、動力方向盤應用����,到運用雷達或攝影技術的感測器型系統(tǒng),也能用于高自動等級自動駕駛的網域控制與資料融合應用����。
TC3xx系列具備可擴充功能(圖6)��,快閃記憶體容量從1MB到最高16MB����,整合式RAM記憶體則從150KB到超過6MB都有���。相較于目前最多擁有三個核心的AURIX TC2xx微處理器,TC3xx多核心架構最多可提供六個TriCore CPUS���,每個核心皆具備完整的300MHz時脈���。
圖6 AURIX TC3xx系列可針對不同應用來擴充快閃記憶體、RAM和封裝����。
自動駕駛需要更快且更安全地連接關鍵控制單元,包括了中央驅動電腦以及轉向或剎車系統(tǒng)��。為了滿足這項需求���,新一代AURIX進一步提升了通訊及安全功能�����,微控制器提供CAN FD���、Flexray和可選購的Gigabit乙太網路介面�����。Evita硬體安全模組(HSM)可執(zhí)行符合ECC256及SHA256的非對稱加密���、不同ECU之間的訊息驗證,還有可抵抗惡意軟體的安全開機�����。
TC3xx微控制器支援自動化/自動駕駛和電動車的實作����,提供運算速度、安全性及安全功能的理想組合����。擁有最多四個Lockstep核心及最多六個核心,可提供符合ISO 26262安全實作要求的極致運算效能:依照ASIL D要求��,最多2400 DMIPS可用于應用,前一代裝置僅能提供740 DMIPS���。AURIX TC3xx世代裝置向下相容于TC2xx世代�����。前導裝置TC39x的初代開發(fā)模式�����,具備300MHz時脈�、16MB快閃記憶體和6.9MB SRAM��,將提供BGA-516和BGA-292兩種封裝��。
(本文作者皆任職于英飛凌)
