智能出行為功能安全創(chuàng)新帶來全新的天地

智能出行已經(jīng)成為一個非常明顯的發(fā)展趨勢，其中低空經(jīng)濟(jì)目前是我國制造業(yè)等領(lǐng)域內(nèi)的最熱話題之一，越來越多的制造商正在考慮開發(fā)新型無人機(jī)和飛行汽車等低空設(shè)備;同時我國已經(jīng)連續(xù)十多年登頂世界最大汽車產(chǎn)銷國，每年3000萬臺的汽車產(chǎn)銷量足以推動更多的自主創(chuàng)新。由智能化、網(wǎng)聯(lián)化、電氣化和服務(wù)化組成的“新四化”不僅影響了汽車行業(yè)的發(fā)展，而且也成為了這兩個領(lǐng)域內(nèi)的廠商打造智能出行解決方案的創(chuàng)新機(jī)會。

所有智能出行系統(tǒng)產(chǎn)品都需要新的計(jì)算、通信和連接芯片的支撐，例如用于控制的微控制器(MCU)、用于計(jì)算的中央處理器(CPU)、用于渲染和人工智能計(jì)算的圖形處理器(GPU)和用于可編程計(jì)算的現(xiàn)場可編程門陣列(FPGA)等。但是隨之而來的是這些芯片的系統(tǒng)級故障或意外行為可能引起的危險，因此在設(shè)計(jì)這些芯片和構(gòu)建系統(tǒng)的時候就需要發(fā)現(xiàn)這些故障或意外，并提供相應(yīng)的措施來確保這些低空飛行器和汽車芯片功能安全(Functional Safety，亦簡稱FuSa)。

為了保障這些場景中的電子系統(tǒng)能夠滿足功能安全需求，汽車和航空產(chǎn)業(yè)制定了相應(yīng)的標(biāo)準(zhǔn)。汽車行業(yè)的功能安全標(biāo)準(zhǔn)是ISO 26262，它是一種源自IEC 61508標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)目前隨著汽車智能化程度加速提升而越來越為行業(yè)和用戶所熟知。

航空電子產(chǎn)品則往往適用《航空器機(jī)載電子設(shè)備硬件設(shè)計(jì)保障指南(DO-254)》，以及作為其補(bǔ)充的AMC 20-152A標(biāo)準(zhǔn)，它們是工程師在開發(fā)航空機(jī)載電子設(shè)備硬件時的通用標(biāo)準(zhǔn)，也是設(shè)備獲得適航證必須通過的標(biāo)準(zhǔn)。隨著智能網(wǎng)聯(lián)技術(shù)的發(fā)展，一些新的標(biāo)準(zhǔn)在智能汽車、低空設(shè)備和航空電子設(shè)計(jì)設(shè)計(jì)中都被采用，但是主要是集中在信息安全領(lǐng)域，而不是本文討論的功能安全主題，例如ISO 21434網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

為汽車和飛行器芯片的開發(fā)和電路設(shè)計(jì)建立所需要的功能安全標(biāo)準(zhǔn)，就為相關(guān)芯片或者系統(tǒng)的開發(fā)者帶來了明確定義的可靠性指標(biāo)和操作安全性規(guī)則，從而降低電子電路的運(yùn)行故障或者意外行為的發(fā)生，同時也為產(chǎn)品開發(fā)商在選擇相應(yīng)解決方案時提供指導(dǎo)。例如，飛機(jī)起落架的控制系統(tǒng)及芯片所需的功能安全等級就要高于飛機(jī)上廚房燈光控制系統(tǒng)和芯片的等級。要實(shí)現(xiàn)不同的功能安全等級，就要根據(jù)安全要求制定相應(yīng)的安全策略，并在產(chǎn)品的設(shè)計(jì)和制造等環(huán)節(jié)開展相應(yīng)的創(chuàng)新。

汽車功能安全領(lǐng)域內(nèi)的創(chuàng)新開始涌現(xiàn)

在汽車應(yīng)用中，具體到一款MCU、CPU或者GPU，或以它們?yōu)楹诵牡腟oC或者專用集成電路(ASIC)上，功能安全就是要確保芯片功能按照設(shè)計(jì)的要求去運(yùn)行。如果一輛汽車不能按照你設(shè)計(jì)的功能去執(zhí)行，那諸如目標(biāo)和指示牌識別、減速剎車或者其他自動駕駛功能可能就會失效，這個時候就很危險并為駕駛員、乘客、路人、車輛和其他財(cái)物等帶來了威脅。所以功能安全很重要，但也需要付出一定的成本，比如額外的芯片面積，招聘有經(jīng)驗(yàn)的設(shè)計(jì)人員，執(zhí)行嚴(yán)格的功能安全研發(fā)流程，進(jìn)行安全認(rèn)證等。這一切給汽車芯片設(shè)計(jì)制造企業(yè)及車廠和一級供應(yīng)商等環(huán)節(jié)帶來了更高的成本和更多的工作量，使許多車廠最終選擇了忽略或者降低功能安全要求的行為，這在先進(jìn)駕駛員輔助(ADAS)和自動駕駛(AD)越來越普及的今天帶來了更多不安全因素。

目前市場上主要的功能安全解決方案有兩種：應(yīng)用最廣泛的一種被稱為“鎖步(lockstep)”解決方案，這是一種比較簡單粗暴的方法，在汽車CPU中被廣泛使用。該方法就是用兩個處理器內(nèi)核等同樣的邏輯來執(zhí)行一個程序以實(shí)現(xiàn)同樣的一個功能，由它們同時執(zhí)行并在執(zhí)行完了之后來比較這個結(jié)果，看看這兩個結(jié)果是否一致。在受到高溫或者高濕影響時，如果這兩個內(nèi)核得到的兩個結(jié)果是一致的話，那證明這兩塊邏輯是運(yùn)行正確的，有關(guān)計(jì)算和控制還能正確地執(zhí)行。但這種方案帶來代價是什么?代價就是兩套相同的計(jì)算和處理單元要消耗多一倍的芯片面積，或者就是面向同樣處理功能的汽車芯片的面積要比傳統(tǒng)的手機(jī)芯片的面積要大一倍。

第二種實(shí)現(xiàn)功能安全的辦法就是去把同一項(xiàng)工作執(zhí)行兩次，如GPU渲染兩次或者CPU計(jì)算兩次，再看一下這兩次數(shù)據(jù)處理運(yùn)算的結(jié)果是否一致。如果兩次運(yùn)算的結(jié)果不同就會發(fā)現(xiàn)錯誤，因?yàn)槠嚨氖褂铆h(huán)境非常復(fù)雜，芯片里面有些錯誤是隨機(jī)錯誤，那有些錯誤是長期錯誤。對于隨機(jī)錯誤，通過重復(fù)執(zhí)行兩次比較一下結(jié)果，如果是不一樣就上報(bào)情況以確認(rèn)這個功能有問題。這種重復(fù)執(zhí)行的方法就可以避免一些隨機(jī)錯誤。這樣的方法帶來的結(jié)果是什么?因?yàn)橹貜?fù)工作所得到的性能就會減到原來的一半，所以這也可能是用戶沒法接受的方案。

因此，無論是鎖步方案還是重復(fù)執(zhí)行方案給汽車廠商和芯片廠商都帶來了甚至是沒法接受的挑戰(zhàn)，這也導(dǎo)致了功能安全在許多實(shí)際汽車應(yīng)用中很難得到全面的接收。最主要的原因?yàn)樾詢r比，因?yàn)樾酒娣e增加一倍或者是性能降低為二分之一，對于廠商來說它的成本也就增加了一倍。這個增加一倍的成本，最后都要轉(zhuǎn)嫁到消費(fèi)者頭上，在過去汽車智能化程度比較低的情況下，沒有太多客戶愿意為這個功能安全買單，所以沒有急迫性一直沒有得到全面的應(yīng)用。但汽車智能化這一趨勢正在迫使行業(yè)做出改變。

不久前，全球汽車GPU領(lǐng)域內(nèi)在功能安全技術(shù)方面也出現(xiàn)了一個顛覆性的創(chuàng)新，這種創(chuàng)新被稱為分布式功能安全機(jī)制(Distributed Functional Safety)，它利用了GPU的一些特性來非常靈活地實(shí)現(xiàn)了功能安全機(jī)制：第一個特性是：作為一種并行處理器，GPU里面有一套并行計(jì)算的機(jī)制，GPU為了掩飾和隱藏延遲，在計(jì)算時采用了并行的很多線程或者重復(fù)單元;第二個特性就是當(dāng)一個線程拿不到它要執(zhí)行的資源時，它就會自動地被切換出去或者把它移出執(zhí)行，等到它有資源來到的時候再去執(zhí)行。

根據(jù)這兩個特性，在GPU的一個線程停工等待的時候，就在其中插入一些測試模板或者測試集;利用同樣的測試集，在另一個線程處于等待的時候，也插入同一個測試模板或樣例，然后執(zhí)行這兩個測試。在執(zhí)行完了這兩個線程之后，對比結(jié)果就會知道這兩個線程執(zhí)行的結(jié)果是否一致，如果有不同就會上報(bào)結(jié)果提醒系統(tǒng)和用戶審核該功能是否安全;該機(jī)制也知道了一項(xiàng)功能具體在哪一個硬件上去執(zhí)行，就保證了這些執(zhí)行的硬件的功能安全。分布式功能安全機(jī)制幾乎完全消除了以前的其他兩種機(jī)制帶來的性能以及片芯面積損失，大大降低了實(shí)現(xiàn)功能安全的代價，它僅僅額外消耗了大概10%的片芯面積，用10%的片芯面積帶來了100%性能，可以實(shí)現(xiàn)ASIL B等級的功能安全性。

展望：低空經(jīng)濟(jì)興起推動航電功能安全性技術(shù)創(chuàng)新

作為一個非常成熟的產(chǎn)業(yè)，航空工業(yè)已經(jīng)為機(jī)載電子系統(tǒng)建立了一整套非常完善的適航驗(yàn)證體系，在開發(fā)相應(yīng)的航電產(chǎn)品和芯片時，可以根據(jù)這些產(chǎn)品的用途參考DO-254標(biāo)準(zhǔn)和A 20-152標(biāo)準(zhǔn)，以及 在2020和2022年，歐洲航空安全局(EASA)和美國聯(lián)邦航空管理局(FAA)先后發(fā)布的雙方聯(lián)合制定的AMC/AC 20-152A和AC 00-72，新的標(biāo)準(zhǔn)對原有DO-254標(biāo)準(zhǔn)提供了更清晰的補(bǔ)充，以及進(jìn)行了進(jìn)一步澄清和指導(dǎo)說明。其他標(biāo)準(zhǔn)還可以參考FAA的Order 8110.105A、Job Aid CEH，以及EASA發(fā)布的SWCEH-001和SWCEH-004。

但是隨著低空飛行設(shè)備的廣泛興起，將給航空電子設(shè)備產(chǎn)業(yè)帶來六個巨大的變化，包括：產(chǎn)業(yè)規(guī)模的數(shù)量級擴(kuò)大、應(yīng)用場景的多樣化、智能技術(shù)的全面引入、單位運(yùn)力成本快速下降、無人化滲透率快速提升和可升級技術(shù)的高頻和廣泛使用。這些變化給傳統(tǒng)的適航認(rèn)證體系和航空電子硬件設(shè)計(jì)使用都會帶來新的挑戰(zhàn)，并促進(jìn)相關(guān)芯片設(shè)計(jì)企業(yè)開展創(chuàng)新以新的技術(shù)來獲得適航認(rèn)證，就像我們前面提到的利用GPU的特性來實(shí)現(xiàn)ASIL B等級的功能安全一樣。

總之，未來的天地一體智能出行非常值得展望，同時也帶來了許多創(chuàng)新機(jī)會，包括推動現(xiàn)有適航認(rèn)證體系的變革，對機(jī)載電子硬件適航策略的重新思考，以及針對適航要求和設(shè)備定位規(guī)劃的大量技術(shù)創(chuàng)新。這是我國制造業(yè)走向更全面的自主創(chuàng)新和高質(zhì)量發(fā)展的一個難得的機(jī)會。