12月5日-6日，2024全球汽车芯片创新大会在无锡滨湖举办。本届大会以“芯智驱动，协力前行”为主题，由中国汽车工业协会主办，中国汽车工业经济技术信息研究所有限公司联合主办，共设置1场高层峰会、1场大会主旨论坛、3场平行专业论坛、1场定向交流会和1场车芯对接活动，围绕汽车芯片生态建设、市场环境分析、竞争合作及技术创新等方面展开分享和交流，凝聚发展经验和集体智慧，探索解决方案。其中，在12月6日下午举办的“专业论坛三：汽车芯片功能安全及可靠性保障发展论坛”上，安波福互联与安全工程总监吴俊发表精彩演讲。以下内容为现场发言实录：

　　安波福是一个每天都跟芯片使用打交道的企业，所以我这里主要是结合当前电子电气架构各种各样的小模块都在往中央区域控制下做集成，在这个大背景下，我们做ECU的设计，对于芯片，包括从硬件到软件各种各样的应用上的分享。
　　这个图，我相信大家都见过，2022年年底之前，安波福和绝大部分的车商都一样，基本上只关注汽车这块，2022年底安波福收购了风河，风河操作系统大家不是特别熟悉，实际上是行业内隐形的王者，不管是航空、航天、军工都会用到。
　　ISO 26262我相信大家都看到很多，我本人也是在ISO 26262出来之后跟专家们一起讨论了一下，我们今天主要关注Part11，我今天重要讲的就是怎么去用这个芯片。
　　这是安波福做所有的ECU的设计跟功能安全相关的流程，大概的情况其实跟正常的产品开发没有特别大的区别，大家可以看到从系统级包含硬件和软件的，硬件和软件对芯片的要求是最多的，本身功能安全就是为了预防电子件的失效，不管是单点还是多点的。
　　我们在做设计功能上有几个角色，这个角色不一定是单独的组织，可能是比较灵活的，但是在执行任务过程当中是比较独立的角色，首先是功能安全经理。这个角色我相信大家都能够理解，等会儿我把所有的角色介绍完之后，再分享一下安波福在做这个过程当中的心得体会。
　　二是系统工程师，特别重要，需要把安全需求的落地，就分两大块，一个是硬件，一个是软件。具体到硬件落实就需要硬件负责人做功能安全相关的设计，软件这边安波福一直强调把功能安全所有的每一个理念和角色嵌入到正常的开发微模型过程当中。
　　这是一系列的交付物，我相信这也是行业内大家都比较认可的，我就不做一一介绍了。
　　这张图我想跟大家多聊一下，很多的Tier1都强调自研，这个图特别重要，也是我们摸爬滚打很多年的经验教训，跟大家进行分享。
　　首先功能安全不是一个单独的需要成立一个专家组，然后把它独立开的，独立开可能有一个形式，让你找到单点的联系人，找到牵头人，但是更重要的事情是把功能安全的每一个环节、每一个流程嵌到日常的工作开发当中，这一点特别重要。如果我们前期就把功能安全完全嵌入到开发过程当中，要花的成本和工作量是在最左边的，如果往右，我们先开发，到最后快要量产发现功能安全的目标不达标，再倒过来做的话，成本相当可观。
　　这张图看似只是一张图，其实背后是很多赤裸裸的金钱和时间的教训，所以这是一个点要跟大家分享的。
　　还有一个点就是前面说了有安全经理，也有硬件，也有软件，也有系统，这个时候我们特别要注意不能忽略功能安全经理的定义，我们发现很多的Tier1，很多的OEM功能安全经理更多是汇报工作，本身不参与太多的角色，更多的时候还是软件、硬件这些人去做，这是一个很大的误区，功能安全经理如果只干汇报的工作，其实不需要，我们本来项目执行就有，功能安全经理要有自己发挥重要的作用，要让整个公司、产品的设计有比较好的体验，不能让他简单做一个汇报工作。这是角色分工方面的。
　　前面跟大家说了电子电气架构都在变化，都在往中央计算到区域控制的大趋势下，传统的不管哪一个域的控制都面临一个问题，我们就以做区域控制器举例，原来可能ASIL B就够了，现在有各种各样的功能集成进来，这个时候对原来的开发提出了很大的挑战。
　　这是风险等级，我相信今天在座的都是专家，我就不多讲了，就是ASIL D到ASIL B怎么分解。
　　这里面有一个概念，上面这个图是没有任何的容错机制，就是一个传统的，没有考虑过功能安全的设计，下面已经考虑了一定功能安全，下面这个每个人都想要，行业又很卷，又不想要成本，只想要结果，这个过程当中会有一些考量。
　　（如图）这张图需要两个独立的ECU，两套电路、两个逻辑实现，这个成本是很高的，有没有一个折中的方案，我们的解决方案就是用诊断的电路替换完全一模一样的设计。这样我们可以既要、又要、还要，可以在这个路上更进一步。
　　硬件安全架构设计，这个也是我们对于芯片也好，对于整个系统来说，为了达到功能安全的要求，也为了功能安全之间的模块没有什么太大的影响做了一系列的措施，大家可以稍微看一下，比较经典的就是锁步，对功能要求比较高的时候就要锁步。ECC存储监控也要做一个flash、RAM也要做一定的监控。其实这些对于绝大部分功能安全等级B的芯片来说这些功能都有，但是我们强调起来就是这个对ECC非常重要。
　　（如图）这就是ZCU当中非常经典的，真的功能安全出现问题，单点失效了，需要有一个保障，这个保障就在这个地方，通过这个来实现。再就是MCU的看门狗电路有一定的功能安全限制，提升功能安全等级就要加一个PMIC的电路。
　　功能安全在没有发生之前，我们需要做哪些事情来保障监测机制，一旦发生以后要做哪些事情来达到要求，这是我想重点分享的，就是FFI，这个有几大方面，在功能安全不管是硬件也好，还是软件也好，执行的时候有时序的干扰，这个在SOC上情况更多，在MCU上面情况稍微少一点，现在有了ZCU有了大集成以后，软件开发的人员和软件开发代码量成指数级爆发性的增长，这种情况下就会出现执行和时序干扰的情况，我们会发现一个软件开发，当前一个ZCU开发是30-50人，后面再有方案的时候，不是30、50人，可能是300人、500人同时开发，就很难保证时序能够做好，按照这个要求来。
　　安全机制来说，不管是其他的操作系统都有安全机制的保护，但是我们认为还不够完善，后面会重点讲一下安波福的解决方案。
　　内存干扰也是一样的，要有MPU，如果没有MPU没有办法实现混合功能安全等级的控制。
　　信息交换除了E2E以外，也有很多各种各样的保护措施。
　　这是我们功能安全混合功能安全情况下，域控制器怎么去设计FFI，左边是我怎么设计这个系统，当我集成了ASIL D的时候，我把B变成D，这个技术可行性不太容易实现。右边是实际工作过程当中发现的，没有办法保证所有的都是满足同一个安全等级，我们怎么办呢？解决方案就是基座、OS、底层驱动需要满足最高的功能安全等级，一些应用可以做划分，其实这个划分涉及两个方案，一个是硬件的硬隔离，还有芯片的硬隔离，大算力芯片的制作，也是有比较好的提示作用。
　　（如图）这是我们做分区开发时候两种实现方式，大家可以看到灰色的模块都是要求有功能安全的，标了safe字样，你可能有一些不同ASIL等级放在右边。优点就是成本比较低，如果说成本比较高的时候，会出现什么情况，还是模块集成越来越多，越来越复杂的时候，系统开销比较大，你需要通过safe RTE去做开销RTE负荷越来越重的时候，这种方案就有局限性。这种情况我们认为当你的组件比较多，你又需要有混合的功能安全等级模块出现的时候，我们认为这种方法会比较好，当然这种方法的缺点很明显，对于整个开发流程成本要求比较高。其实我们现在跟很多的AUTOSAR协议栈的供应商协商，他们倾向于把最底层的东西做成ASIL D，就可以直接面对挑战。
　　（如图）这个工具的名字叫ENOS，方案的目的就是让AUTOSAR的运行按照我们期望的形式运行，而不用担心很多人同时开发，时序会乱，执行的顺序会乱，这个特别重要，尤其是对于智驾ADAS开发是有逻辑顺序的，这个执行完了以后，这一系列的顺序不能变，智驾的逻辑处理，首先要从摄像头和传感器得到一些输入，根据规控的算法来控制这个车是刹车还是加速，还是转向，这个不能接受有混淆的情况，所以我们提出这个解决方案，这个解决方案包含一系列的工具链，这个工具链是支持VECTOR，也支持EB的，我们也跟国产的协议栈供应商合作，力求能够让它在每一个协议栈都能工作起来。
　　左边这个是没有ENOS传统的工作流程，你把BSW去做配置，生成代码，这个时候会接管所有执行的顺序，这个更多的时候依赖的是Tier1也好，OEM自研的也好，更多依赖工程师的经验，他知道这个任务这么排布的，这个没有问题的。右边就是把ENOS流程加进去以后，让工程师的经验不再成为整个项目执行的瓶颈。
　　（如图）大家可以看一下大概是这样的流程，因为我们能够嵌入到BSW里面去，所以可以做虚拟的仿真，当板子还没有来的时候，可以提前把时序做起来。
　　（如图）这是一个可视化的图形界面，我相信现在业内有很多基于确定性调度的模块，其实在CPU AUTOSAR里面做确定性调度的，我们了解到市面上还没有，我们想法就是可以嵌到MCU里面去，就像开发MCAL一样，你的芯片完美适配了这个功能安全调度你不用担心安全等级的芯片要求，尤其是对大的域控制器来说，这个确定性调度特别重要。黄色的部分是通讯，深蓝色的是执行，大家可以看到每一个都是非常接地气的5毫秒、10毫秒、20毫秒，这个红色的部分就是先后顺序，通过这个工具可以提前把关键路径的任务输出，都提前定义好，我们就可以可视化的确定这些东西都是确定的，执行都是确定的，就可以避免很多安全事故的发生。
　　我分享的就是这些，谢谢！
　　（注：本文根据现场速记整理，未经演讲嘉宾审阅）