融合高性能处理器IP核与最新的安全概念。
费格斯·凯西、斯里尼·克里什纳斯瓦米著
随着各家公司竞相成为安全和自动驾驶汽车的市场领导者,当今汽车行业的创新正在加速。随着车辆控制从人类转向车辆的主动安全系统,更多的传感器——摄像头、雷达、激光雷达等——被添加到汽车系统中。更多的传感器需要更大的soc提供更高的计算性能,以处理额外的传入数据,并以最小的失败几率这样做。因此,自动驾驶汽车在处理性能和安全要求方面需要一个数量级的提高。这些较大的soc需要最先进的处理器架构,以提供所需的处理性能和最高的汽车安全完整性级别(ASIL)。
带有传感器的安全系统的一个例子是基于雷达的自适应巡航控制和车道定心。提高安全级别会导致系统成本的增加,例如,包括物理传感器以满足这些标准。雷达应用在未来汽车应用的安全中起着至关重要的作用。L1自动雷达系统必须对环境(包括侧面交通)有详细的了解,并根据情况做出反应。具有更高自主程度的自动驾驶功能(例如L2+, L3,…)需要拥有完整的环绕视图,这导致除了前后雷达传感器外,还需要多个角落和侧面雷达。这两个例子都表明需要从给定的传感器信号中提取越来越多的信息。需要更多的传感器,必须在每个传感器上提取(计算)更多的信息,数据需要越来越多的处理能力。
传统上,这些大型SoC中的汽车mcu都是基于RISC的架构。然而,为了满足基于雷达的主动安全系统等系统的性能要求,需要一个具有最先进安全功能的处理器架构,以平衡性能、功率、面积和安全结果的组合。这种结合为未来汽车行业的先进安全设计奠定了基础,也为其他未来生活必需的安全应用奠定了基础,例如,在您的社区中,机器人和无人机涉及人类互动的潜力(图1)。
在汽车行业,ISO 26262:2018标准详细概述了功能安全,该标准定义了不同的汽车安全完整性级别(ASILs)。ISO 26262包含随机硬件故障的可接受故障时间(FIT)概念,还定义了硬件、软件和组合系统开发应遵循的系统过程要求,以符合汽车标准。
为了帮助ASIL与汽车用例及其安全关键性保持一致,ISO 26262标准分为3个特定领域:
图2显示了如何计算适当的ASIL安全级别,使用一个车辆前方碰撞预警系统的例子,该系统对安全性的需求不断增加,导致对ASIL D的需求。
图2:正向碰撞预警系统的概率(E4)、可控性(C3)和严重性(S3)导致ASIL D需求。
对于前方碰撞预警系统的用例,由于一辆车很可能会在路上遇到另一辆车,因此暴露的概率很高。在这个用例中,驾驶员的可控性降低了,因为系统的目的是在驾驶员发现安全问题之前通知驾驶员潜在的碰撞。此外,随着自动驾驶水平的提高,驾驶员的可控性降低。故障的严重程度很高,因为系统的故障可能导致碰撞。
在ISO 26262标准中,相关的安全故障类型细分为:
系统故障适用于硬件和软件,介绍了通过硬件和软件开发的模块。永久性硬件故障是由硬件设备的磨损引起的,故障在发生后会无限期地持续(或至少在修复之前),例如短路。随机故障的故障度量是一种硬件架构度量,用于测量SoC内安全机制的覆盖范围。故障度量越高,硬件架构中的故障风险就越低。
为汽车soc开发的符合ASIL标准的IP需要展示对所有故障类型的保护,包括卡在故障和瞬态故障。具体来说,对于随机硬件故障,ASIL级别的定义如表1所示。
随着ADAS系统从被动辅助能力发展到主动辅助能力,例如,通过使用先进的雷达系统,向前碰撞预警系统转变为碰撞避免系统(CAS),可控性或“主动辅助”的水平正在从驾驶员转移到车辆安全系统。因此,如果支持车道前方碰撞预警系统的雷达系统之前根据暴露概率、驾驶员可控性和故障严重程度被评级为ASIL B, ISO 26262, CAS系统将项目移动到更高的安全级别,因为可控性发生变化。这一结论通过最近报道的车辆碰撞得到了进一步验证,这些ADAS系统功能导致驾驶员对道路的注意力降低,间接后果是增加了对这些系统的安全要求。
现有的安全关键型mcu无法提供所需的性能来提供L2+功能,因此需要将高性能处理器IP核与最新的安全概念相融合。下面RISC和矢量DSP架构之间的基准比较有助于证明这一点。这种架构可以通过安全支持的矢量DSP实现,在标准RISC内核上提供高达25倍的性能要求。这种架构结合了DSP并行性和安全机制,避免了使用暴力同步来实现所需的ASIL。这种架构与执行人工神经网络(ANN)的能力相结合,可以通过将一些物理传感器替换为虚拟传感器来降低成本。
将标准的RISC架构与标准FFT内核的512b宽矢量DSP架构进行比较,我们可以从性能和功耗角度看到矢量DSP架构相对于RISC架构的显著优势。
图3:用于FFTs的矢量DSP架构相对于RISC的性能和功率效率优势。
为了满足汽车实时应用(如雷达)的性能要求,与上述FFT内核基准相似的计算密集型算法在高性能处理器架构(如Synopsys DesignWare ARC EV7x processor IP)上执行,并紧密集成深度神经网络(DNN)引擎。
DesignWare ARC EV7xFS嵌入式视觉处理器的安全性(图4)完全可编程,并将软件解决方案的灵活性与专用硬件的高性能和低功耗相结合。DesignWare ARC EV7xFS处理器集成了多达4个高性能32位标量核和512位矢量dsp。它们是完全可编程和可配置的IP核,利用非常长的指令字(VLIW)/单指令多数据(SIMD)架构,优化浮点和线性代数/数学计算的执行单元。EV7xFS处理器针对需要功能安全的高性能嵌入式信号处理或视觉应用进行了优化。EV7xFS处理器IP包括一个可选的集成深度神经网络(DNN)加速器,用于快速、准确地执行卷积神经网络(cnn)或批处理rnn /LSTMs。
为了为汽车设计团队提供更大的灵活性,并满足不断变化的需求,ARC EV7xFS处理器提供了ASIL- ready“混合”选项,使用户能够在软件中选择所需的安全级别,最高可达ASIL D后硅。
DesignWare ARC EV7xFS安全包基于以下几点。
处理器被开发为上下文安全元素(SEooC),这意味着它们可以证明所有故障类型的故障覆盖的证据(根据26262中概述的指标)。作为一个SEooC,处理器IP的开发独立于与特定项目或系统(例如,车辆、车辆子系统或oem定义的项目)相关的已定义上下文。ARC EV7xFS处理器基于已定义的功能需求、非功能需求、安全需求和使用假设进行开发。
图4:Synopsys DesignWare EV7xFS嵌入式视觉处理器。
EV7xFS处理器的功能安全性可以通过丰富的最先进的硬件安全机制和非常全面的、经过故障注入验证和FMEDA反注释的软件测试库(STL)实现。STL开发方法是另一个创新的最先进的过程。
DesignWare ARC功能安全(FS)处理器IP支持最高达ASIL- d的ASIL级别,以简化安全关键型汽车SoC开发并加速ISO 26262认证。该产品系列包括ARC EM22FS、SEM130FS、HS4xFS、EV7xFS和VPX5FS安全处理器,具有集成硬件安全功能,可检测系统错误。
下一代车辆主动安全系统需要高性能安全矢量DSP架构,以实现性能、设计成本效率和最高ASIL要求的结合。由于将SoC开发为符合ISO 26262标准的SEooC,需要对所有故障类型的故障覆盖提供可证明的证据,因此内置安全功能必须包括对系统故障和瞬态故障的保护。这将简化IP集成商的努力和论证,以显示SoC级别的演示证据。
Srini Krishnaswami是Synopsys ASIC数字设计高级经理。
我想和Synopsys的ASIC数字设计高级经理Srini Krishnaswami讨论一下在2022年10月给我的学生做讲座的可能性