来源 |十一号组织
知圈 | 进“滑板底盘群”请加微yanzhi-6,备注底盘
在智驾域控制器内,AI芯片是当之无愧的霸道总裁,直接决定了智驾域控制器的武功高低,间接反映了主机厂的地位尊卑。而可以培养霸道总裁的英伟达、地平线、高通、Mobileye等技校也是开足了马力,不断刷新霸道总裁的技能包,时刻准备为分久必合的混战局面画上一个句号。
但在已量产或即将量产的智驾域控制器中,不管是量产夭折(带L3功能的配置)Audi A8上搭载的zFAS,还是已量产小鹏P7上搭载的IPU03,在智驾域控制器PCB版上的远郊之处,我们总能发现AI芯片身边还有一颗其貌不扬但举止非凡的MCU,像极了霸道总裁身边那个平凡的灰姑娘,并直接决定了智驾域控制器的文化水平高低。
细究之下,这颗MCU承担的职责全是功能安全等级要求高的重任,有用它来承担自动驾驶功能激活期间的车辆控制功能,有用它来承担自动驾驶系统故障时的降级策略,有用它来检测智驾域内系统的运行状态,有用它来承担与车内通讯的网关功能……
这类MCU民间喜欢称之为安全核,具有常人所不具有一些安全特性,使其默默充当自动驾驶安全的守门员。自动驾驶黑话圈第十九期,笔者就带领大家一起欣赏这颗MCU具有了什么样的特性,才让其可以承担如此重要的安全使命。
安全机制
在功能安全的圣经ISO26262中,违背硬件安全初心的故障类型包括:单点故障、残余故障、两点故障、潜伏故障和多点故障等。
单点故障:无法被安全机制探测到的硬件故障,一旦发生,将直接违背硬件安全初心;
残余故障:硬件部分设计有安全机制,但安全机制无法做到100%诊断覆盖,残余故障便是未被诊断覆盖的那部分漏网之鱼,一旦发生,也将直接违背硬件安全初心;
两点故障:某个故障,平时人畜无害,但当钟意的姑娘出现在球场边,才会变成大杀四方的詹姆斯。由于没有安全机制,也将直接违背硬件安全初心;
多点故障:一家子(>2)团聚时才生产生共鸣,引起硬件的故障,具有违背安全初心的风险;
潜伏故障:多点故障中未被安全机制诊断覆盖到的故障,具有违背安全初心的风险。
要想减少故障,提高硬件的功能安全等级,增加安全机制是一种行之有效的方案。安全机制用于探测故障,控制/避免失效,来维持预期功能,保持安全状态。但是针对硬件某一部分增加了安全机制,并不代表一定安全,安全机制也有一个诊断覆盖率的问题。
诊断覆盖率是指在硬件要素失效率中,元器件失效率可以被安全机制诊断出来 的百分比,典型值有60%、 90%和 99%。诊断覆盖率可通过硬件可能发生的残余故障或者是潜伏故障进行评估。
在《ISO26262-5 2018 产品开发:硬件层面》的附录D中,列举了处理器采用不同安全机制对应的诊断覆盖率。而在硬件冗余可采用的安全机制里,双核锁步、非对称冗余、编码计算作为三种典型的高诊断覆盖率技术被推荐使用,也是安全核在硬件层面主要采用的技术。
