智能出行為功能安全創(chuàng)新帶來(lái)全新的天地

智能出行已經(jīng)成為一個(gè)非常明顯的發(fā)展趨勢(shì)，其中低空經(jīng)濟(jì)目前是我國(guó)制造業(yè)等領(lǐng)域內(nèi)的最熱話題之一，越來(lái)越多的制造商正在考慮開(kāi)發(fā)新型無(wú)人機(jī)和飛行汽車等低空設(shè)備;同時(shí)我國(guó)已經(jīng)連續(xù)十多年登頂世界最大汽車產(chǎn)銷國(guó)，每年3000萬(wàn)臺(tái)的汽車產(chǎn)銷量足以推動(dòng)更多的自主創(chuàng)新。由智能化、網(wǎng)聯(lián)化、電氣化和服務(wù)化組成的“新四化”不僅影響了汽車行業(yè)的發(fā)展，而且也成為了這兩個(gè)領(lǐng)域內(nèi)的廠商打造智能出行解決方案的創(chuàng)新機(jī)會(huì)。

所有智能出行系統(tǒng)產(chǎn)品都需要新的計(jì)算、通信和連接芯片的支撐，例如用于控制的微控制器(MCU)、用于計(jì)算的中央處理器(CPU)、用于渲染和人工智能計(jì)算的圖形處理器(GPU)和用于可編程計(jì)算的現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)等。但是隨之而來(lái)的是這些芯片的系統(tǒng)級(jí)故障或意外行為可能引起的危險(xiǎn)，因此在設(shè)計(jì)這些芯片和構(gòu)建系統(tǒng)的時(shí)候就需要發(fā)現(xiàn)這些故障或意外，并提供相應(yīng)的措施來(lái)確保這些低空飛行器和汽車芯片功能安全(Functional Safety，亦簡(jiǎn)稱FuSa)。

為了保障這些場(chǎng)景中的電子系統(tǒng)能夠滿足功能安全需求，汽車和航空產(chǎn)業(yè)制定了相應(yīng)的標(biāo)準(zhǔn)。汽車行業(yè)的功能安全標(biāo)準(zhǔn)是ISO 26262，它是一種源自IEC 61508標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)目前隨著汽車智能化程度加速提升而越來(lái)越為行業(yè)和用戶所熟知。

航空電子產(chǎn)品則往往適用《航空器機(jī)載電子設(shè)備硬件設(shè)計(jì)保障指南(DO-254)》，以及作為其補(bǔ)充的AMC 20-152A標(biāo)準(zhǔn)，它們是工程師在開(kāi)發(fā)航空機(jī)載電子設(shè)備硬件時(shí)的通用標(biāo)準(zhǔn)，也是設(shè)備獲得適航證必須通過(guò)的標(biāo)準(zhǔn)。隨著智能網(wǎng)聯(lián)技術(shù)的發(fā)展，一些新的標(biāo)準(zhǔn)在智能汽車、低空設(shè)備和航空電子設(shè)計(jì)設(shè)計(jì)中都被采用，但是主要是集中在信息安全領(lǐng)域，而不是本文討論的功能安全主題，例如ISO 21434網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

為汽車和飛行器芯片的開(kāi)發(fā)和電路設(shè)計(jì)建立所需要的功能安全標(biāo)準(zhǔn)，就為相關(guān)芯片或者系統(tǒng)的開(kāi)發(fā)者帶來(lái)了明確定義的可靠性指標(biāo)和操作安全性規(guī)則，從而降低電子電路的運(yùn)行故障或者意外行為的發(fā)生，同時(shí)也為產(chǎn)品開(kāi)發(fā)商在選擇相應(yīng)解決方案時(shí)提供指導(dǎo)。例如，飛機(jī)起落架的控制系統(tǒng)及芯片所需的功能安全等級(jí)就要高于飛機(jī)上廚房燈光控制系統(tǒng)和芯片的等級(jí)。要實(shí)現(xiàn)不同的功能安全等級(jí)，就要根據(jù)安全要求制定相應(yīng)的安全策略，并在產(chǎn)品的設(shè)計(jì)和制造等環(huán)節(jié)開(kāi)展相應(yīng)的創(chuàng)新。

汽車功能安全領(lǐng)域內(nèi)的創(chuàng)新開(kāi)始涌現(xiàn)

在汽車應(yīng)用中，具體到一款MCU、CPU或者GPU，或以它們?yōu)楹诵牡腟oC或者專用集成電路(ASIC)上，功能安全就是要確保芯片功能按照設(shè)計(jì)的要求去運(yùn)行。如果一輛汽車不能按照你設(shè)計(jì)的功能去執(zhí)行，那諸如目標(biāo)和指示牌識(shí)別、減速剎車或者其他自動(dòng)駕駛功能可能就會(huì)失效，這個(gè)時(shí)候就很危險(xiǎn)并為駕駛員、乘客、路人、車輛和其他財(cái)物等帶來(lái)了威脅。所以功能安全很重要，但也需要付出一定的成本，比如額外的芯片面積，招聘有經(jīng)驗(yàn)的設(shè)計(jì)人員，執(zhí)行嚴(yán)格的功能安全研發(fā)流程，進(jìn)行安全認(rèn)證等。這一切給汽車芯片設(shè)計(jì)制造企業(yè)及車廠和一級(jí)供應(yīng)商等環(huán)節(jié)帶來(lái)了更高的成本和更多的工作量，使許多車廠最終選擇了忽略或者降低功能安全要求的行為，這在先進(jìn)駕駛員輔助(ADAS)和自動(dòng)駕駛(AD)越來(lái)越普及的今天帶來(lái)了更多不安全因素。

目前市場(chǎng)上主要的功能安全解決方案有兩種：應(yīng)用最廣泛的一種被稱為“鎖步(lockstep)”解決方案，這是一種比較簡(jiǎn)單粗暴的方法，在汽車CPU中被廣泛使用。該方法就是用兩個(gè)處理器內(nèi)核等同樣的邏輯來(lái)執(zhí)行一個(gè)程序以實(shí)現(xiàn)同樣的一個(gè)功能，由它們同時(shí)執(zhí)行并在執(zhí)行完了之后來(lái)比較這個(gè)結(jié)果，看看這兩個(gè)結(jié)果是否一致。在受到高溫或者高濕影響時(shí)，如果這兩個(gè)內(nèi)核得到的兩個(gè)結(jié)果是一致的話，那證明這兩塊邏輯是運(yùn)行正確的，有關(guān)計(jì)算和控制還能正確地執(zhí)行。但這種方案帶來(lái)代價(jià)是什么?代價(jià)就是兩套相同的計(jì)算和處理單元要消耗多一倍的芯片面積，或者就是面向同樣處理功能的汽車芯片的面積要比傳統(tǒng)的手機(jī)芯片的面積要大一倍。

第二種實(shí)現(xiàn)功能安全的辦法就是去把同一項(xiàng)工作執(zhí)行兩次，如GPU渲染兩次或者CPU計(jì)算兩次，再看一下這兩次數(shù)據(jù)處理運(yùn)算的結(jié)果是否一致。如果兩次運(yùn)算的結(jié)果不同就會(huì)發(fā)現(xiàn)錯(cuò)誤，因?yàn)槠嚨氖褂铆h(huán)境非常復(fù)雜，芯片里面有些錯(cuò)誤是隨機(jī)錯(cuò)誤，那有些錯(cuò)誤是長(zhǎng)期錯(cuò)誤。對(duì)于隨機(jī)錯(cuò)誤，通過(guò)重復(fù)執(zhí)行兩次比較一下結(jié)果，如果是不一樣就上報(bào)情況以確認(rèn)這個(gè)功能有問(wèn)題。這種重復(fù)執(zhí)行的方法就可以避免一些隨機(jī)錯(cuò)誤。這樣的方法帶來(lái)的結(jié)果是什么?因?yàn)橹貜?fù)工作所得到的性能就會(huì)減到原來(lái)的一半，所以這也可能是用戶沒(méi)法接受的方案。

因此，無(wú)論是鎖步方案還是重復(fù)執(zhí)行方案給汽車廠商和芯片廠商都帶來(lái)了甚至是沒(méi)法接受的挑戰(zhàn)，這也導(dǎo)致了功能安全在許多實(shí)際汽車應(yīng)用中很難得到全面的接收。最主要的原因?yàn)樾詢r(jià)比，因?yàn)樾酒娣e增加一倍或者是性能降低為二分之一，對(duì)于廠商來(lái)說(shuō)它的成本也就增加了一倍。這個(gè)增加一倍的成本，最后都要轉(zhuǎn)嫁到消費(fèi)者頭上，在過(guò)去汽車智能化程度比較低的情況下，沒(méi)有太多客戶愿意為這個(gè)功能安全買(mǎi)單，所以沒(méi)有急迫性一直沒(méi)有得到全面的應(yīng)用。但汽車智能化這一趨勢(shì)正在迫使行業(yè)做出改變。

不久前，全球汽車GPU領(lǐng)域內(nèi)在功能安全技術(shù)方面也出現(xiàn)了一個(gè)顛覆性的創(chuàng)新，這種創(chuàng)新被稱為分布式功能安全機(jī)制(Distributed Functional Safety)，它利用了GPU的一些特性來(lái)非常靈活地實(shí)現(xiàn)了功能安全機(jī)制：第一個(gè)特性是：作為一種并行處理器，GPU里面有一套并行計(jì)算的機(jī)制，GPU為了掩飾和隱藏延遲，在計(jì)算時(shí)采用了并行的很多線程或者重復(fù)單元;第二個(gè)特性就是當(dāng)一個(gè)線程拿不到它要執(zhí)行的資源時(shí)，它就會(huì)自動(dòng)地被切換出去或者把它移出執(zhí)行，等到它有資源來(lái)到的時(shí)候再去執(zhí)行。

根據(jù)這兩個(gè)特性，在GPU的一個(gè)線程停工等待的時(shí)候，就在其中插入一些測(cè)試模板或者測(cè)試集;利用同樣的測(cè)試集，在另一個(gè)線程處于等待的時(shí)候，也插入同一個(gè)測(cè)試模板或樣例，然后執(zhí)行這兩個(gè)測(cè)試。在執(zhí)行完了這兩個(gè)線程之后，對(duì)比結(jié)果就會(huì)知道這兩個(gè)線程執(zhí)行的結(jié)果是否一致，如果有不同就會(huì)上報(bào)結(jié)果提醒系統(tǒng)和用戶審核該功能是否安全;該機(jī)制也知道了一項(xiàng)功能具體在哪一個(gè)硬件上去執(zhí)行，就保證了這些執(zhí)行的硬件的功能安全。分布式功能安全機(jī)制幾乎完全消除了以前的其他兩種機(jī)制帶來(lái)的性能以及片芯面積損失，大大降低了實(shí)現(xiàn)功能安全的代價(jià)，它僅僅額外消耗了大概10%的片芯面積，用10%的片芯面積帶來(lái)了100%性能，可以實(shí)現(xiàn)ASIL B等級(jí)的功能安全性。

展望：低空經(jīng)濟(jì)興起推動(dòng)航電功能安全性技術(shù)創(chuàng)新

作為一個(gè)非常成熟的產(chǎn)業(yè)，航空工業(yè)已經(jīng)為機(jī)載電子系統(tǒng)建立了一整套非常完善的適航驗(yàn)證體系，在開(kāi)發(fā)相應(yīng)的航電產(chǎn)品和芯片時(shí)，可以根據(jù)這些產(chǎn)品的用途參考DO-254標(biāo)準(zhǔn)和A 20-152標(biāo)準(zhǔn)，以及 在2020和2022年，歐洲航空安全局(EASA)和美國(guó)聯(lián)邦航空管理局(FAA)先后發(fā)布的雙方聯(lián)合制定的AMC/AC 20-152A和AC 00-72，新的標(biāo)準(zhǔn)對(duì)原有DO-254標(biāo)準(zhǔn)提供了更清晰的補(bǔ)充，以及進(jìn)行了進(jìn)一步澄清和指導(dǎo)說(shuō)明。其他標(biāo)準(zhǔn)還可以參考FAA的Order 8110.105A、Job Aid CEH，以及EASA發(fā)布的SWCEH-001和SWCEH-004。

但是隨著低空飛行設(shè)備的廣泛興起，將給航空電子設(shè)備產(chǎn)業(yè)帶來(lái)六個(gè)巨大的變化，包括：產(chǎn)業(yè)規(guī)模的數(shù)量級(jí)擴(kuò)大、應(yīng)用場(chǎng)景的多樣化、智能技術(shù)的全面引入、單位運(yùn)力成本快速下降、無(wú)人化滲透率快速提升和可升級(jí)技術(shù)的高頻和廣泛使用。這些變化給傳統(tǒng)的適航認(rèn)證體系和航空電子硬件設(shè)計(jì)使用都會(huì)帶來(lái)新的挑戰(zhàn)，并促進(jìn)相關(guān)芯片設(shè)計(jì)企業(yè)開(kāi)展創(chuàng)新以新的技術(shù)來(lái)獲得適航認(rèn)證，就像我們前面提到的利用GPU的特性來(lái)實(shí)現(xiàn)ASIL B等級(jí)的功能安全一樣。

總之，未來(lái)的天地一體智能出行非常值得展望，同時(shí)也帶來(lái)了許多創(chuàng)新機(jī)會(huì)，包括推動(dòng)現(xiàn)有適航認(rèn)證體系的變革，對(duì)機(jī)載電子硬件適航策略的重新思考，以及針對(duì)適航要求和設(shè)備定位規(guī)劃的大量技術(shù)創(chuàng)新。這是我國(guó)制造業(yè)走向更全面的自主創(chuàng)新和高質(zhì)量發(fā)展的一個(gè)難得的機(jī)會(huì)。