內容提要：本文重點介紹了新的汽車ADAS域控制器SoC架構，以及設計人員如何利用車規級認證IP加快其SoC級認證和量產時間。

最新的ADAS功能對汽車的系統架構產生了重大影響。以前，各種ADAS應用的ECU布置在整個汽車中：前向防撞ECU在擋風玻璃上、超聲波和泊車ECU在后面。各個ECU將多個ADAS應用集中到域中，組合成全部ADAS功能。新型中央域控制器ECU直接接收從汽車遠端傳感器（如攝像頭、激光雷達、雷達、超聲波和其他傳感器）傳輸過來的數據，由高性能ADAS SoC進行處理。集成的ADAS域控制器SoC需要更高的算力，更少的功耗和更小的面積。

中央ADAS域控制器功能的增加會影響ECU中的SoC架構，包括車規級認證，這仍然是設強制性要求。此外，SoC中的IP還必須滿足汽車安全完整性等級(ASIL)，必須針對1級和2級溫度進行設計和測試，并且必須完全遵守汽車質量管理流程。為了滿足新的SoC架構的功率和性能要求，設計人員正在轉向更嚴格的工藝技術，例如FinFET，這使得在高級代工工藝中使用車規級認證IP變得更加重要。

本文重點介紹了新的汽車ADAS域控制器SoC架構，以及設計人員如何利用車規級認證IP加快其SoC級認證和量產時間。

向集中ADAS域控制器SoC架構的轉變

據分析，道路交通事故中絕大部分是由人為錯誤引起的，其余是由環境和機械故障引起的。減少車禍使汽車ADAS變得更加重要。自動緊急制動、行人檢測、環視、泊車輔助、駕駛員疲勞檢測和視線檢測是眾多ADAS應用的案例，這些應用程序可幫助駕駛員提供安全關鍵功能以減少車禍。圖1顯示了帶有集中式ECU的ADAS域控制器SoC，其中眾多傳感器的數據傳輸到中央ECU，然后再通過ADAS處理器進行處理。

圖1：來自傳感器的數據傳輸到中央ECU并通過處理器進行處理

集中ADAS域控制器SoC架構的趨勢，在Delphi Automotive（現為Aptiv）和Audi等公司的眾多新發布產品公告中表現很明顯。根據WardsAuto的James M. Amend的文章《Delphi：行業必須走向數字化或死亡》所表述：“Delphi Automotive很快就會看到，車輛的傳統架構將不再能夠處理更高連接性的計算需求并最終完全自動駕駛，但他們認為自己有一個解決方案，并希望成為該技術的領先集成商。”在文章中，Delphi高級副總裁兼首席技術官Glen De Vos說：“我們必須開始將汽車視為一個數字平臺，這是一種非常不同的汽車思維方式。”據audi.com稱，“現在，中央駕駛員輔助控制器(zFAS)首次從傳感器數據中永久形成周圍環境的綜合圖像，以實現廣泛的輔助功能。這是由補充的傳感器系統，zFAS的數據融合以及雷達ECU創建的。”

·海量數據正在推動汽車ADAS應用采用64位處理器。從分布式架構到更集中的ECU的轉變更為普遍，由于ECU是集成的，ADAS SoC變得非常復雜，需要最新的半導體性能、半導體工藝技術以及ADAS域控制器SoC的其他技術：

·采用以太網管理包括時間敏感數據在內的大數據量，減少點對點布線

·LPDDR4/4x以高達3200MB/s及更高的速率運行，從而加快了汽車級SoC中的DRAM運行

·MIPI標準，如MIPI相機串行接口和顯示串行接口，在成像和顯示應用程序中提供高性能連接

·PCI Express為4G無線通信或未來的5G無線通信和外部SSD提供高可靠性的處理器到處理器連接

·5G和IEEE標準，如802.11p，用于提供進出云的地圖或圖像的實時更新，以及車對車或車對基礎設施的通信

·硬件和軟件中的網絡安全協議，用于保護通過USB、WiFi或藍牙連接的數據

·傳感器和控制子系統減輕主機處理器壓力，并融合傳感器數據，以管理傳感器提供的不同類型的數據

·更先進的制造工藝技術，從傳統的90納米、65納米和40納米到更先進的16納米、14納米甚至7納米FinFET工藝

安全關鍵應用正在顯著增加ADAS SoC的采用率。但是，ADAS SoC以及包括集成到SoC中的IP在內的所有半導體組件，都必須符合ISO 26262功能安全標準。

滿足ISO 26262功能安全標準要求

ISO 26262是一個標準，定義了汽車系統故障對四個不同汽車安全完整性等級(ASIL)的影響：A、B、C和D；ASIL D是最高級別的功能安全。ISO 26262標準定義了汽車開發組織在為安全關鍵系統開發產品時必須實施和遵守的所有流程、開發工作和標準。ISO 26262標準的關鍵目標之一是通過以下方式最大限度地減少對所有類型的隨機硬件故障的脆弱性，包括永久故障和瞬時故障：

·開發產品時定義功能安全要求

·嚴格實施開發過程

·定義安全文化

·實施安全功能，以盡量減少硬件故障的影響

·評估和分析安全功能的影響，以確保降低硬件故障風險

ISO 26262認證過程包括多個步驟、規則和報告，并且必須從產品開發的初始階段開始。例如，開發團隊生成的故障模式影響和診斷分析(FMEDA)報告，從功能安全角度提供了有關遵守ISO 26262的所有信息。該報告由設計和驗證工程師創建，是ASIL評估的關鍵組成部分，不僅用于證明合規性，還用于設計目標和開發結束時的流程評審。專職的安全經理與開發組織分開，他們接受過全面培訓能，能夠監控開發過程、里程碑和產品審查，確保在標準定義的整個SoC開發流程中完成所有文檔和可追溯性。FMEDA報告還包括對安全特性、開發和驗證的總結。它清楚地記錄了產品中包含的安全特性，以及這些產品如何對注入其中的隨機故障作出反應。FMEDA報告是強制性的，并提供給參與產品審查過程的所有各方。

如何實施ISO 26262認證

標準SoC或IP產品開發流程始于RTL設計，然后在最終的原型中進行硬件和軟件的實施，確認和驗證。符合ISO 26262的開發增加了額外的步驟，包括在定義核心架構和規范的初始階段。設計人員定義了一個包括安全功能和目標的安全計劃。產品團隊和安全經理審查安全計劃和策略，以實現最終應用的功能安全。其中很重要的是通過故障注入以及系統對這些故障的反應進行安全等級分析和故障分析。FMEDA包含了永久和瞬時故障的故障注入分析，以評估影響。作為ISO 26262認證過程的一部分，分析和評估在FMEDA報告中進行了清晰的文檔化，FMEDA報告以及安全手冊是ISO 26262認證的一部分。

ISO 26262認證過程中的安全手冊定義了產品的安全特性，這對產品的運行至關重要。該標準提供了一些關于可以檢測可能故障的安全功能有效性的指南。IP產品設計的安全特性分為三類：保護機制、冗余和多樣性。

·保護機制，例如對SoC架構中IP之間的接口進行彈性緩存保護，對數據路徑和配置寄存器進行奇偶校驗保護，對寫入和讀取的糾錯碼保護。

·復制是一種安全功能類別，包括復制（或三重復制）關鍵模塊并使用投票邏輯來確保冗余。

·多樣性包括所有狀態寄存器的奇偶校驗、單周期脈沖有效性、各種專用中斷和針對不良狀態機的熱狀態機保護。

滿足ISO 26262功能安全認證的過程非常嚴格，從創建FMEDA報告、定義特定安全目標ASIL特性的安全計劃，到聘請安全經理，并與所有利益相關者一起記錄和審查每個里程碑。除了滿足ISO 26262功能安全要求外， SoC開發團隊和供應鏈的其余部分（包括IP提供商），還必須遵守汽車可靠性和質量要求。

為滿足汽車行業定義的汽車可靠性標準，必須設計和測試汽車SoC和IP，以滿足極低的缺陷密度：以百萬分之幾的缺陷數(dppm)衡量的缺陷密度。汽車行業要求小于1 dppm，鼓勵設計人員設定在15年產品生命周期內dppm為零的目標。滿足溫度等級是另一個可靠性要求。對于ADAS，最高級別的工作溫度為1級，需要高達125攝氏度的環境溫度或150攝氏度的結溫。汽車供應鏈中的每家公司都有自己設計和測試產品的專有溫度任務曲線。為不同ADAS應用開發產品的SoC和IP設計人員，在開發過程中要考慮溫度任務曲線。此外，必須根據不同器件的溫度任務曲線考慮不同的要求，例如電遷移、晶體管老化和晶體管自熱。

總結

從分布式ECU，轉變為集中式ECU的集成度更高的域控制器已經是大勢所趨。由于數據量大，新型集成域控制器需要更高的計算性能、更低的功耗和更小的體積。采用64位處理器來處理大量數據需要最新的半導體特性、半導體工藝以及IP等其他技術。

由于ADAS SoC用于安全關鍵型應用，因此設計人員必須遵守ISO 26262功能安全標準。這也適用于集成到ADAS SoC中的汽車IP。設計人員可以使用已通過所需認證流程的IP加速其SoC級認證。

作者：牛喀網專欄作者
牛喀網文章，未經授權不得轉載！