12月5日-6日,2024全球汽车芯片创新大会在无锡滨湖举办。本届大会以“芯智驱动,协力前行”为主题,由中国汽车工业协会主办,中国汽车工业经济技术信息研究所有限公司联合主办,共设置1场高层峰会、1场大会主旨论坛、3场平行专业论坛、1场定向交流会和1场车芯对接活动,围绕汽车芯片生态建设、市场环境分析、竞争合作及技术创新等方面展开分享和交流,凝聚发展经验和集体智慧,探索解决方案。其中,在12月6日下午举办的“专业论坛三:汽车芯片功能安全及可靠性保障发展论坛”上,北京汽车研究总院电子电器架构部功能与安全技术科科长吕志伟发表精彩演讲。以下内容为现场发言实录:
首先是一个智能网联汽车电子电气架构发展情况的背景,这个大家也都是比较熟悉了,EE架构已经由原来的分布式,向域集中或跨域集中式逐渐演进,最终会实现基于中央计算中心的集中式EE架构。随着架构技术的发展,整车的控制器越来越趋于集中,控制功能也越来越复杂。为了实现复杂的控制功能,整车的软件代码由原来的耦合度极高几万行逐渐增加为几亿行,对于软件硬件解耦的技术也在快速推动实施,因此可以说EE架构的先进性决定了整车智能化的高度,而整车智能化的提升对硬件也提出了更高的需求。
随之而来的是整车的功能数量由几百向几千增加,对每个功能都要进行功能安全的分析,得出相应的功能安全等级。如图即为整车上大量的与安全相关的功能分布,例如车辆的照明、信息娱乐、车身控制、智驾、动力、底盘等系统,其中在智驾、底盘和动力的高安全要求的功能相比以前也有大量的提升,这里重点说明,高的功能安全等级对于成本和开发周期有更高的要求,需要重点关注。
大家都知道,控制系统的模型就是感知、决策和执行;依据控制系统模型,为了实现前面那些功能安全等级,就需要把安全机制融入到三个阶段中,形成安全架构。例如在感知阶段做到硬件冗余或独立供电;决策的时候我们要有双核锁步、fallback或合理性检查;输出时候有冗余的执行器或者正确性校验;同时在传输过程中,也要考虑相关的安全通信设计,上述整个功能安全架构的实现最终需求都会落实到相对应的芯片中。
刚才有专家已经分享了安全架构的典型类型,我重点跟大家说一下。架构1中是一个单通道设计,单通道的设计特点适用于无功能安全或者功能安全要求等级比较低的设计。例如座椅、雨刷这些系统。他的特点就是一个带有诊断能力的单一控制器通道,控制与诊断功能在一个通道内构成输出回路,有的地方也叫1oo1D,但是因为是单通道,对单点失效比较敏感,对他的使用器件也有严格可靠性的要求。
架构二也是一种单通道设计,对于架构二这种形式是在架构一的基础上增加了一路监控单元,为什么要加入监控单元呢,因为此类系统的安全机制和对应的安全功能构成了双点,降低潜伏多点故障失效率,从而实现功能安全等级B的要求。对于车内很多系统,比如说灯光、开关、动力电池输出时候控制继电器的功能实现都可以采用这种方式进行。这种功能在执行的时候,一旦我们发现了有故障现象的出现,必须禁止该功能或产生合适的故障响应;无论什么情况下,故障响应都必须使系统进入某种安全状态。故障排除之后,系统才可以继续正常运行。
如果说有些情况不能进入安全状态,例如动力电池发生了粘连,可能进入不了安全状态,要求要有相应的故障报警信号提示,也算满足安全的要求。
架构三和架构四这两种形式,都属于冗余架构的设计,对于架构三是主回路和冗余回路两路组成,主回路和冗余回路进行比较,某一个回路发生故障的时候,冗余回路可以继续维持系统运行。我们注意这是一个冗余的,并不是全功能的,这个时候功能属于fail degrade的使用情况。
架构四是两路完全一样的,由并联的两个通道构成,两个通道都要求满足安全功能设计。每一路都会具备高诊断覆盖率的形式,我们在运行的时候,这两路的输出结果是进行互相比较的,结果发生了不同,因为每一路都有自己的诊断和监控单元,所以说我们可以很容易分辨出哪一路是出现故障,我们要把出现故障的回路进行停止,另一路可以同时进行正常运行,就实现fail-operation。此外,我们也要重点考虑相关失效分析,也就是共因失效,我们在系统设计过程当中,不能存在某一点失效引起这两路同时发生失效的情况,这样才能满足基本架构的要求,这是对于架构四的设计要求。
基于功能安全等级要求不同,上面说的安全架构应用于车辆的各个系统中,同样该系统中的各类芯片也应满足对应的功能安全要求等级。从表格中可以看到,例如底盘系统中制动和转向功能安全要求为D,不考虑降级使用前提下,在感知决策执行各环节应用的芯片,其相应的功能安全等级要求也是D。通过一层一层的逻辑,把芯片等级安全的要求就这么制定下来了。
下面分别说一下各个环节,对于感知的安全设计,感知的安全设计根据输入类型的不同采用不同的设计方法,总体分为同构和异构两种形式,其中1,即采用相同的传感器以及相同的连接方式,两路信号独立输入到处理单元中,例如汽车轮速信号便属于此类应用;也会有一些传感器是两个类型完全一样的传感器,但是位置不同,即采用同类型的传感器,输出同类型的信号,但不同的位置布置会对信号值产生影响,可能存在差异;例如电池的温度信号,我们在同一时刻所收到的信号数值不一样。由于整车功能越来越复杂,要求越来越多,很多时候看到同一个功能的实现采取不同类型输入传感器的情况,就是4、5、6这三种形式。例如我们在智驾系统中经常看到的,会采取雷达和摄像头两种传感器同时使用的形式。当然这个也存在一些争议,有人认为单一的也行,但是功能安全来说,同时用雷达和摄像头,对前方障碍物的判别就可以同时采用雷达和摄像头输出的总线数据同时加以比较和分析,以弥补夜晚对摄像头的不利或减少金属物体对雷达波的漫反射所以引起的误识别这些问题,保证系统安全性更高、运行更可靠。
对于感知类型的芯片,这里面举了一些例子,运用在不同的系统中,虽然可能应用的类型是一样的,但是应用的位置和每个功能中起到的作用是不一样的,所以安全等级要求和性能要求也是不一样的。比如说激光雷达和毫米波雷达,因为有不同的厂家和供应商,采取控制的方式和逻辑不一样,采取的主方案类型都有差别,落实到具体的零部件的时候,功能安全等级要求也是不一样的,这个都是根据实际的设计来使用。
对于电源系统的功能安全设计主要是来源于智能驾驶和底盘等系统的需求,保障电子电气各系统不因电源失效而产生故障。例如说整车在进行冗余电源设计的时候,我们需要关注的是一定要注意输入的需求是什么,而不是简单地认为一定要采取某种形式,或者说肯定是某种形式。例如自动行功能安全等级要求是D,但是我们有一些变道停车等等都会有相关的要求,根据这些要求,我们要合理设计出冗余电源,设计的时候采取两路都是B,或者一路为A,一路为C来进行相关的设计。
同时大家可以看到很多时候我们主电源是给主负载供电,备用电源是给备用负载供电,两个供电是在同时进行,当某一路电源发生故障的时候,为了保证它对另一路的控制功能不产生反作用,一定要有一个主动断开的装置,就是图里面显示的,需要指出的就是备用电源一定也要有相关监测的功能,就是前面安全架构所提的,有些会觉得我不需要这么严格的设计,但是实际上也需要,如果监测之后,备用电源在维持智驾达到安全状态所需要时间的时候,可以同步监测,当发现备用电源不足以支撑进入更加安全状态的时候,会及时把信息提供给智驾系统,智驾系统进行决策使车辆进入安全状态。以上是对于冗余电源设计的要求。
对于电源类的芯片,这里面也是一些简单的举例,电源种类很多,涉及的功能也很多,不同位置等级安全也不一样,SBC很多情况要求是不一样的,对于不同的功能要求也不一样,我们经常需要做定制化的设计,这是一个特殊的类型。
对于通信类的芯片。各控制器里面都是通过CAN、LIN、ETH进行,所以相对来说比较纯粹或者简单一些,主要是通过AutoSAR定义的要求执行,不光是考虑安全传输,同时也要考虑信息方面的安全,例如对身份的认证,密钥的管理和更新、存储都是要同步考虑的,这两个没有说谁先谁后,提出需求也是同步执行,就是在RTE、BSW、E2E保护封装等环节进行设计。
通信类型的通信类芯片使用场景丰富,芯片功能安全及性能要求也不同。复杂功能对于通信类的芯片都会有安全等级的要求,我们要提醒的就是芯片在满足通信安全的同时,也要满足信息安全要求,包括硬件安全保护等都是不可缺少的,因为整车电子电气的架构比较复杂,电磁干扰比较多,通信芯片的EMC抗干扰能力需要更加关注,以满足通信真正的可靠性。
最后总结一下,随着智能网联汽车的发展,包括功能安全相关标准,包括推荐标准和强制标准都在实施,涉及的硬件软件功能安全需要严格按要求开发部署,整个系统都对芯片提出了功能安全的要求,对于芯片的高算力、高安全等级、功耗、扩展性需求逐步提高,还需要大家协同起来,共同努力,促进芯片功能安全更好实施,促进我们芯片更好、更快、更可靠应用到我们整车上去。
以上就是我的汇报,谢谢大家!
(注:本文根据现场速记整理,未经演讲嘉宾审阅)