隨著汽車智能化程度的快速提高,大量新的處理器和系統(tǒng)級(jí)芯片(SoC)被廣泛引入到車輛中,無論是在駕駛還是座艙等場景,,無論采用域控制器模式還是新興的中央控制單元模式,都無一例外地在考慮加入更加智能化的新功能,。但是隨之而來的是這些控制單元中的相關(guān)芯片的系統(tǒng)級(jí)故障或意外行為可能引起的危險(xiǎn),因此需要發(fā)現(xiàn)這些故障或可能的意外并提供相應(yīng)的保護(hù)措施,這個(gè)過程就是為汽車芯片建立和提供功能安全(Functional Safety,亦簡稱FuSa)解決方案,。
具體到一款微控制器(MCU)、中央處理器(CPU)或者圖形處理器(GPU)或以它們?yōu)楹诵牡腟oC或者專用集成電路(ASIC)上,,功能安全就是要確保芯片功能按照設(shè)計(jì)的要求去運(yùn)行,因?yàn)槿绻惠v汽車不能按照你設(shè)計(jì)的功能去執(zhí)行,,那汽車的諸如目標(biāo)和指示牌識(shí)別,、剎車或者其他自動(dòng)加速功能可能就會(huì)失效,這個(gè)時(shí)候就很危險(xiǎn)并為駕駛員,、乘客,、路人、車輛和其他財(cái)物等帶來了威脅,。所以功能安全很重要,,但也需要付出一定的成本,比如額外的芯片面積,,招聘有經(jīng)驗(yàn)的設(shè)計(jì)人員,,執(zhí)行嚴(yán)格的功能安全研發(fā)流程,進(jìn)行安全認(rèn)證等,。
圖一,、Imagination DXS汽車GPU在提供領(lǐng)先的圖形處理能力和AI算力的同時(shí),還打造了創(chuàng)新的分布式功能安全機(jī)制,,為相關(guān)領(lǐng)域內(nèi)的創(chuàng)新提供了一種全新的模式和思路
在實(shí)際工作中,,汽車芯片功能安全覆蓋了一顆芯片的規(guī)格制定、策略與方法選擇,、芯片研發(fā),、機(jī)制驗(yàn)證、芯片生產(chǎn),、下游系統(tǒng)設(shè)計(jì)和運(yùn)行等產(chǎn)品定義及實(shí)現(xiàn),,以及生命周期內(nèi)的所有活動(dòng)及管理過程,同時(shí)還需要通過ISO26262等功能安全測(cè)試,。這一切給汽車芯片設(shè)計(jì)制造企業(yè)及車廠和一級(jí)供應(yīng)商等環(huán)節(jié)帶來了更高的成本和更多的工作量,,使許多車廠最終選擇了忽略或者降低功能安全要求的行為,這在先進(jìn)駕駛員輔助(ADAS)和自動(dòng)駕駛(AD)越來越普及的今天帶來了更多不安全因素,,因此汽車芯片在功能安全領(lǐng)域內(nèi)迫切需要能夠降低成本和工作量的創(chuàng)新,。
現(xiàn)有的汽車功能安全策略和實(shí)施方法
目前市場上主要的功能安全解決方案有兩種:應(yīng)用最廣泛的一種被稱為“鎖步(lockstep)”解決方案,,這是一種比較簡單粗暴的方法,在汽車CPU中被廣泛使用,。該方法就是用兩個(gè)處理器內(nèi)核等同樣的邏輯來執(zhí)行一個(gè)程序以實(shí)現(xiàn)同樣的一個(gè)功能,,由它們同時(shí)執(zhí)行并在執(zhí)行完之后來比較這個(gè)結(jié)果,看看這兩個(gè)結(jié)果是否一致,。在受到高溫或者高濕影響時(shí),,如果這兩個(gè)內(nèi)核得到的兩個(gè)結(jié)果是一致的話,那證明這兩塊邏輯是運(yùn)行正確的,,有關(guān)計(jì)算和控制還能正確地執(zhí)行,。
圖二、鎖步架構(gòu)原理圖(圖片來源:《車規(guī)芯片——雙核鎖步介紹》)
但這種方案帶來的代價(jià)是什么,?代價(jià)就是兩套相同的計(jì)算和處理單元要消耗多一倍的芯片面積,,或者就是面向同樣處理功能的汽車芯片的面積要比傳統(tǒng)的手機(jī)芯片的面積要大一倍。這種成本大幅提升對(duì)于大部分的客戶是沒法接受的,,因?yàn)閷?duì)于芯片開發(fā)商來說,,一款芯片最重要的成本來自于其片芯的面積(die size)。如果為實(shí)現(xiàn)一個(gè)新的功能,,最終需要增加一倍的片芯面積就意味著在一張8英寸或者12英寸上能夠切出來的芯片數(shù)量減少了超過一半,。
第二種實(shí)現(xiàn)功能安全的辦法就是去把同一項(xiàng)工作執(zhí)行兩次,如GPU渲染兩次或者CPU計(jì)算兩次,,再看一下這兩次數(shù)據(jù)處理運(yùn)算的結(jié)果是否一致,。如果兩次運(yùn)算的結(jié)果不同就會(huì)發(fā)現(xiàn)錯(cuò)誤,因?yàn)槠嚨氖褂铆h(huán)境非常復(fù)雜,,芯片里面有些錯(cuò)誤是隨機(jī)錯(cuò)誤,,有些錯(cuò)誤是長期錯(cuò)誤。對(duì)于隨機(jī)錯(cuò)誤,,通過重復(fù)執(zhí)行兩次比較一下結(jié)果,,如果是不一樣就上報(bào)情況以確認(rèn)這個(gè)功能有問題。這種重復(fù)執(zhí)行的方法就可以避免一些隨機(jī)錯(cuò)誤,。這樣的方法帶來的結(jié)果是什么,?因?yàn)橹貜?fù)工作所得到的性能就會(huì)減到原來的一半,所以這也可能是用戶沒法接受的方案,。
圖三,、主從式處理器驗(yàn)證方式(圖片來源:《車規(guī)級(jí)處理器中的LockStep技術(shù)》)
圖四、內(nèi)部驗(yàn)證方式(圖片來源:《車規(guī)級(jí)處理器中的LockStep技術(shù)》)
因此,,無論是鎖步方案還是重復(fù)執(zhí)行方案給汽車廠商和芯片廠商都帶來了甚至是沒法接受的挑戰(zhàn),,這也導(dǎo)致了功能安全在許多實(shí)際汽車應(yīng)用中很難得到全面的接收。最主要的原因?yàn)樾詢r(jià)比,因?yàn)樾酒娣e增加一倍或者是性能降低為二分之一,,對(duì)于廠商來說它的成本也就增加了一倍,。這個(gè)增加一倍的成本,最后都要轉(zhuǎn)嫁到消費(fèi)者頭上,,在過去汽車智能化程度比較低的情況下,,沒有太多客戶愿意為這個(gè)功能安全買單,所以沒有急迫性一直沒有得到全面的應(yīng)用,。但汽車智能化這一趨勢(shì)正在迫使行業(yè)做出改變,。
創(chuàng)新的分布式功能安全機(jī)制帶來全新的模式
不久前,全球領(lǐng)先的圖形處理器及相關(guān)硅知識(shí)產(chǎn)權(quán)(IP)提供商Imagination Technologies發(fā)布的一款新型汽車GPU就為功能安全領(lǐng)域內(nèi)的創(chuàng)新帶來了全新的思路,。搭載該公司的GPU IP產(chǎn)品的設(shè)備的出貨量已經(jīng)超過了130億臺(tái),,同時(shí)在車載GPU行業(yè)已經(jīng)耕耘了超過20年,因此無論是該公司在GPU領(lǐng)域內(nèi)的成就,,還是新一代汽車GPU產(chǎn)品的功能安全性能都值得關(guān)注,。我們來研究分析其新發(fā)布的全新一代GPU產(chǎn)品Imagination DXS GPU在功能安全方面的創(chuàng)新。
圖五,、Imagination DXS GPU的三大創(chuàng)新
DXS GPU是目前汽車應(yīng)用領(lǐng)域內(nèi)性能最高,同時(shí)具有完善功能安全的GPU,,完美地匹配了今天汽車對(duì)于中央計(jì)算的要求,。它首先是一個(gè)強(qiáng)大的圖形處理器,可以支持車內(nèi)所有的屏幕娛樂和交互能力,。無論是位于駕駛艙前部的圖顯儀表盤和大屏幕,,還是后面后座的娛樂顯示,DXS的硬件性能比前一代提升了50%,。由于軟硬件上協(xié)同的投入,,對(duì)于AI的這一塊的性能提升遠(yuǎn)遠(yuǎn)超過50%,它提供了遠(yuǎn)高于CPU的計(jì)算性能,,同時(shí)提供了遠(yuǎn)遠(yuǎn)高于NPU以及這類加速器SoC的編程靈活性,。
除了性能之外,DXS GPU的最重要?jiǎng)?chuàng)新就是全新的功能安全解決方案:分布式功能安全機(jī)制(Distributed Functional Safety),。DXS GPU中創(chuàng)新的分布式安全機(jī)制幾乎完全消除了以前的其他功能安全方案實(shí)現(xiàn)安全機(jī)制帶來的性能以及片芯面積損失,,大大降低了實(shí)現(xiàn)功能安全的代價(jià),它僅僅額外消耗了大概10%的片芯面積,,用10%的片芯面積帶來了100%性能,。這是廣受芯片開發(fā)廠商所歡迎的創(chuàng)新,因?yàn)橛梅浅P〉拇鷥r(jià)實(shí)現(xiàn)了功能安全,,解決了汽車芯片的一個(gè)非常重要的問題,。
圖六、分布式功能安全機(jī)制與雙核鎖步和重復(fù)執(zhí)行兩種方案的對(duì)比
DXS GPU是怎么成功地解決這個(gè)問題的呢?Imagination作為一個(gè)傳統(tǒng)的GPU玩家,,對(duì)GPU怎么運(yùn)行非常清楚,,所以利用了GPU的一些特性來非常靈活地實(shí)現(xiàn)了功能安全機(jī)制。首先一個(gè)特性是:作為一種并行處理器,,GPU里面有一套并行計(jì)算的機(jī)制,,GPU為了掩飾和隱藏延遲,在計(jì)算時(shí)采用了并行的很多線程或者重復(fù)單元,。第二個(gè)特性就是當(dāng)一個(gè)線程拿不到它要執(zhí)行的資源時(shí),,它就會(huì)自動(dòng)地被切換出去或者把它移出執(zhí)行,等到它有資源來到的時(shí)候再去執(zhí)行,。
根據(jù)這兩個(gè)特性,,在GPU的一個(gè)線程停工等待的時(shí)候,就在其中插入一些測(cè)試模板或者測(cè)試集,;利用同樣的測(cè)試集,,在另一個(gè)線程處于等待的時(shí)候,也插入同一個(gè)測(cè)試模板或樣例,,然后執(zhí)行這兩個(gè)測(cè)試,。在執(zhí)行完這兩個(gè)線程之后,對(duì)比結(jié)果就會(huì)知道這兩個(gè)線程執(zhí)行的結(jié)果是否一致,,如果有不同就會(huì)上報(bào)結(jié)果提醒系統(tǒng)和用戶審核該功能是否安全,;該機(jī)制也知道了一項(xiàng)功能具體在哪一個(gè)硬件上去執(zhí)行,就保證了這些執(zhí)行的硬件的功能安全,。DXS GPU可以在相關(guān)等級(jí)上一直保證這些硬件的功能正確,,沒有受到環(huán)境、濕度,、溫度的影響,。當(dāng)然,Imagination還為DXS GPU提供了其他的機(jī)制來保證邏輯模塊以及存儲(chǔ)模塊的功能正確,。
目前,,行業(yè)在汽車功能安全方面已經(jīng)建立了完善的標(biāo)準(zhǔn)、測(cè)試方法和分級(jí)標(biāo)定,。在ISO26262標(biāo)準(zhǔn)中,,根據(jù)嚴(yán)重度S、暴露概率E和可控性C三個(gè)因素,,制定了汽車安全完整性等級(jí)(Automotive Safety Integration Level,,ASIL)體系,分為A,、B,、C、D四個(gè)等級(jí)。作為常用的安全等級(jí)衡量標(biāo)準(zhǔn),,ASIL A最低,,ASIL D最高,等級(jí)越高意味著該產(chǎn)品失效后可能引起的安全風(fēng)險(xiǎn)越大,。Imagination DXS GPU可實(shí)現(xiàn)ASIL B等級(jí)的功能安全性,。
圖七、Imagination DXS GPU實(shí)現(xiàn)ASIL B等級(jí)功能安全性
總結(jié)
隨著汽車新四化的不斷推進(jìn),,汽車中的芯片數(shù)量將快速增加,。除了關(guān)注這些芯片的算力和連接帶寬等性能之外,同樣重要的是打造和推出全新的功能安全解決方案,。Imagination結(jié)合GPU這種處理器的架構(gòu)特點(diǎn),,利用GPU的計(jì)算模式來打造了創(chuàng)新的分布式功能安全機(jī)制,消除了以前的其他功能安全方案實(shí)現(xiàn)機(jī)制帶來的性能以及片芯面積損失,,為電子行業(yè)在相關(guān)領(lǐng)域內(nèi)的創(chuàng)新提供了一種全新的模式和思路,。
更多精彩內(nèi)容歡迎點(diǎn)擊==>>電子技術(shù)應(yīng)用-AET<<