當今汽車行業正在加速創新，新能源和自動駕駛汽車的發展越來越快。隨著車輛控制正在從人類控制轉變為車輛自主控制，更多的傳感器、攝像頭、雷達等被應用到到汽車系統中，數據處理需求也隨之增加，這就需要更大的SoC來提供更多的計算性能，還要盡可能降低故障率。為了滿足這些需求，行業急需更先進的處理器架構。

　　什么是ISO 26262？

　　在汽車行業有一個功能安全標準——ISO 26262，該標準定義了不同的汽車安全完整性等級(ASIL)。ISO 26262 標準包括隨機硬件故障的可接受失效時間 (FIT) 概念，還規定了硬件、軟件和組合系統開發應遵循的系統化流程要求，以符合汽車標準。

　　為了幫助ASIL與汽車用例及其安全關鍵性保持一致，ISO 26262 標準主要參考三大要素：

　　暴露概率：典型駕駛中發生此事件的頻率

　　駕駛員的可控性：駕駛員應對故障的可能性

　　故障的嚴重性：因故障引發事故的可能性

　　圖1顯示了如何通過以上幾個要素來判斷車輛的ASIL安全等級。

　　圖1：以車輛前向碰撞警告系統為例，其暴露概率 (E4)、可控性 (C3) 和嚴重性 (S3) 共同決定了其需要符合 ASIL D安全等級

　　隨著汽車自動駕駛等級的提高，駕駛員的可控性也隨之降低。如果汽車系統中發生故障，則可能導致碰撞。ISO 26262 將故障分為兩種：

　　系統故障

　　隨機硬件故障：分為永久性和瞬態性兩種

　　系統故障在硬件和軟件中都會出現，所以最好在軟硬件模塊的開發過程中就要引入安全保護機制。在隨機硬件故障中，永久性故障是指由硬件裝置的磨損引起，發生（例如：短路）之后會無限期地（或至少在修復前）持續。隨機故障的故障指標是硬件架構指標，用于測量 SoC 內安全機制的覆蓋范圍，故障指標越高，硬件架構中故障的風險就越低。

　　所以，為汽車SoC開發的符合ASIL的IP需要對所有故障類型（包括永久性故障和瞬態故障）都有保護作用。具體而言，對于隨機硬件故障，ASIL級別定義如表1所示。

　　表 1：ASIL級別的故障指標

　　汽車需要更強大的處理能力

　　隨著汽車智能化的發展，例如，使用了先進的雷達系統，可控性或“主動輔助”水平從駕駛員轉移到車輛安全系統等，可能會導致駕駛人員對道路的注意力下降，因此對汽車系統的安全提出了更高的要求。

　　例如，在未來的汽車應用安全性方面，雷達發揮著至關重要的作用。L1 級自主雷達系統必須展示出對環境詳細狀況的識別能力，包括兩側車流，以便根據情況作出反應。而具有更高自主性的L2+、L3等的自動駕駛功能需要擁有完整的周圍視圖，因此除了前后雷達傳感器之外，還需要多個角雷達和側雷達。

　　以上這些雷達在工作過程中產生了大量的數據，需要SoC進行提取和處理。傳統上，這些較大SoC中的汽車MCU是基于RISC的架構。然而，為了滿足性能要求，系統需要一種具有最先進的安全功能的處理器架構，這種架構是一種平衡了性能、功耗、面積、安全等多個因素的組合。這種組合將為未來汽車行業內的先進安全設計以及未來其他生死攸關的安全應用奠定基礎（圖2）。

　　圖2. 微處理器 PPA 三角形與安全覆蓋

　　為汽車選擇更優的處理器架構

　　由于現有的RISC架構的安全關鍵型MCU無法提供L2+所需的性能。因此，需要將高性能處理器IP內核與新的先進安全概念相結合。與RISC架構對比，通過使用矢量DSP架構，其提供的性能要求是標準RISC內核的25倍。這種架構還可以與執行人工神經網絡 (ANN) 的能力相結合，用虛擬傳感器替換部分物理傳感器，從而降低成本。

　　圖3將標準RISC架構與標準FFT內核的 512b寬矢量 DSP 架構進行了比較，從性能和功耗角度來看，我們發現與 RISC 架構相比，矢量DSP架構的優勢更為顯著。

　　圖 3：與FFT的RISC 相比，矢量 DSP 架構的性能和功效優勢

　　為了滿足汽車實時應用（如雷達）的性能要求，需要在高性能處理器架構上執行與上述 FFT 內核基準相似的計算密集型算法，譬如新思科技 DesignWare? ARC? EV7x 處理器 IP，帶有緊密集成的深度神經網絡 (DNN) 引擎。

　　新思科技的DesignWare?ARC? EV7xFS 嵌入式視覺處理器（圖4）完全可編程，融合了軟件解決方案的靈活性和專用硬件的高性能和低功耗等特點。該處理器集成了多達四個高性能 32 位標量內核和 512 位矢量 DSP。它們是完全可編程且可配置的IP內核，采用超長指令字 (VLIW)/單指令多數據 (SIMD) 架構，并具有用于浮點和線性代數/數學計算的優化執行單元。EV7xFS 處理器針對需要功能安全性的高性能嵌入式信號處理或視覺應用進行了優化。為了快速準確地執行卷積神經網絡 (CNN) 或批量的 RNN/LSTM，EV7xFS Processor IP集成了可選的集成式深度神經網絡(DNN) 加速器。

　　為了向汽車設計團隊提供更大的靈活性，并滿足不斷變化的要求，ARC EV7xFS處理器提供ASIL就緒“混合”選項，使用戶可以在硅后軟件中選擇高達ASIL D的安全級別。

　　DesignWare?ARC? EV7xFS 安全包基于以下幾點：

　　集成和可配置的安全功能，高達ASIL D級別

　　詳細的IP安全文檔支持基于EV7xFS的系統認證，高達ASIL D級別

　　這些處理器被開發為獨立安全單元(SEooC)，這意味著，它們可以展示針對所有故障類型的故障覆蓋的證據（根據 26262中概述的指標）。作為 SEooC，處理器IP的開發獨立于與特定項目或系統（例如，車輛、車輛子系統或 OEM 定義的項目）相關的已定義情境。ARC EV7xFS 處理器是根據已定義的功能要求、非功能要求、安全要求和使用假設來開發的。

　　圖 4：新思科技 DesignWare EV7xFS 嵌入式視覺處理器

　　EV7xFS 處理器的功能安全可通過非常豐富的先進硬件安全機制和非常全面的故障注入驗證和 FMEDA 后端注釋軟件測試庫 (STL) 實現。STL開發方法是另一項具有創新性的先進流程。

　　DesignWareARC功能安全 (FS) 處理器IP支持高達ASIL D的安全級別，旨在簡化安全攸關的汽車SoC開發并加快 ISO 26262 認證。該組合包括ARC EM22FS、SEM130FS、HS4xFS 和 EV7xFS 和 VPX5FS 安全處理器，其中集成了硬件安全功能，可檢測系統錯誤。

　　結語

　　由于將SoC作為符合ISO 26262標準的獨立安全單元（SEooC）進行開發，其內置的安全功能必須包括針對系統故障和瞬態故障的保護。而只有高性能、支持安全的矢量DSP架構，才能實現下一代車輛主動安全系統所需的性能、設計成本效益和最高的ASIL 級別。新思科技DesignWare? ARC? EV7xFS 處理器IP，可簡化IP集成商在展示SoC級別的證據方面的工作和論證，滿足下一代汽車設計的這些需求。