内容提要：本文重点介绍了新的汽车ADAS域控制器SoC架构，以及设计人员如何利用车规级认证IP加快其SoC级认证和量产时间。

最新的ADAS功能对汽车的系统架构产生了重大影响。以前，各种ADAS应用的ECU布置在整个汽车中：前向防撞ECU在挡风玻璃上、超声波和泊车ECU在后面。各个ECU将多个ADAS应用集中到域中，组合成全部ADAS功能。新型中央域控制器ECU直接接收从汽车远端传感器（如摄像头、激光雷达、雷达、超声波和其他传感器）传输过来的数据，由高性能ADAS SoC进行处理。集成的ADAS域控制器SoC需要更高的算力，更少的功耗和更小的面积。

中央ADAS域控制器功能的增加会影响ECU中的SoC架构，包括车规级认证，这仍然是设强制性要求。此外，SoC中的IP还必须满足汽车安全完整性等级(ASIL)，必须针对1级和2级温度进行设计和测试，并且必须完全遵守汽车质量管理流程。为了满足新的SoC架构的功率和性能要求，设计人员正在转向更严格的工艺技术，例如FinFET，这使得在高级代工工艺中使用车规级认证IP变得更加重要。

本文重点介绍了新的汽车ADAS域控制器SoC架构，以及设计人员如何利用车规级认证IP加快其SoC级认证和量产时间。

向集中ADAS域控制器SoC架构的转变

据分析，道路交通事故中绝大部分是由人为错误引起的，其余是由环境和机械故障引起的。减少车祸使汽车ADAS变得更加重要。自动紧急制动、行人检测、环视、泊车辅助、驾驶员疲劳检测和视线检测是众多ADAS应用的案例，这些应用程序可帮助驾驶员提供安全关键功能以减少车祸。图1显示了带有集中式ECU的ADAS域控制器SoC，其中众多传感器的数据传输到中央ECU，然后再通过ADAS处理器进行处理。

图1：来自传感器的数据传输到中央ECU并通过处理器进行处理

集中ADAS域控制器SoC架构的趋势，在Delphi Automotive（现为Aptiv）和Audi等公司的众多新发布产品公告中表现很明显。根据WardsAuto的James M. Amend的文章《Delphi：行业必须走向数字化或死亡》所表述：“Delphi Automotive很快就会看到，车辆的传统架构将不再能够处理更高连接性的计算需求并最终完全自动驾驶，但他们认为自己有一个解决方案，并希望成为该技术的领先集成商。”在文章中，Delphi高级副总裁兼首席技术官Glen De Vos说：“我们必须开始将汽车视为一个数字平台，这是一种非常不同的汽车思维方式。”据audi.com称，“现在，中央驾驶员辅助控制器(zFAS)首次从传感器数据中永久形成周围环境的综合图像，以实现广泛的辅助功能。这是由补充的传感器系统，zFAS的数据融合以及雷达ECU创建的。”

·海量数据正在推动汽车ADAS应用采用64位处理器。从分布式架构到更集中的ECU的转变更为普遍，由于ECU是集成的，ADAS SoC变得非常复杂，需要最新的半导体性能、半导体工艺技术以及ADAS域控制器SoC的其他技术：

·采用以太网管理包括时间敏感数据在内的大数据量，减少点对点布线

·LPDDR4/4x以高达3200MB/s及更高的速率运行，从而加快了汽车级SoC中的DRAM运行

·MIPI标准，如MIPI相机串行接口和显示串行接口，在成像和显示应用程序中提供高性能连接

·PCI Express为4G无线通信或未来的5G无线通信和外部SSD提供高可靠性的处理器到处理器连接

·5G和IEEE标准，如802.11p，用于提供进出云的地图或图像的实时更新，以及车对车或车对基础设施的通信

·硬件和软件中的网络安全协议，用于保护通过USB、WiFi或蓝牙连接的数据

·传感器和控制子系统减轻主机处理器压力，并融合传感器数据，以管理传感器提供的不同类型的数据

·更先进的制造工艺技术，从传统的90纳米、65纳米和40纳米到更先进的16纳米、14纳米甚至7纳米FinFET工艺

安全关键应用正在显著增加ADAS SoC的采用率。但是，ADAS SoC以及包括集成到SoC中的IP在内的所有半导体组件，都必须符合ISO 26262功能安全标准。

满足ISO 26262功能安全标准要求

ISO 26262是一个标准，定义了汽车系统故障对四个不同汽车安全完整性等级(ASIL)的影响：A、B、C和D；ASIL D是最高级别的功能安全。ISO 26262标准定义了汽车开发组织在为安全关键系统开发产品时必须实施和遵守的所有流程、开发工作和标准。ISO 26262标准的关键目标之一是通过以下方式最大限度地减少对所有类型的随机硬件故障的脆弱性，包括永久故障和瞬时故障：

·开发产品时定义功能安全要求

·严格实施开发过程

·定义安全文化

·实施安全功能，以尽量减少硬件故障的影响

·评估和分析安全功能的影响，以确保降低硬件故障风险

ISO 26262认证过程包括多个步骤、规则和报告，并且必须从产品开发的初始阶段开始。例如，开发团队生成的故障模式影响和诊断分析(FMEDA)报告，从功能安全角度提供了有关遵守ISO 26262的所有信息。该报告由设计和验证工程师创建，是ASIL评估的关键组成部分，不仅用于证明合规性，还用于设计目标和开发结束时的流程评审。专职的安全经理与开发组织分开，他们接受过全面培训能，能够监控开发过程、里程碑和产品审查，确保在标准定义的整个SoC开发流程中完成所有文档和可追溯性。FMEDA报告还包括对安全特性、开发和验证的总结。它清楚地记录了产品中包含的安全特性，以及这些产品如何对注入其中的随机故障作出反应。FMEDA报告是强制性的，并提供给参与产品审查过程的所有各方。

如何实施ISO 26262认证

标准SoC或IP产品开发流程始于RTL设计，然后在最终的原型中进行硬件和软件的实施，确认和验证。符合ISO 26262的开发增加了额外的步骤，包括在定义核心架构和规范的初始阶段。设计人员定义了一个包括安全功能和目标的安全计划。产品团队和安全经理审查安全计划和策略，以实现最终应用的功能安全。其中很重要的是通过故障注入以及系统对这些故障的反应进行安全等级分析和故障分析。FMEDA包含了永久和瞬时故障的故障注入分析，以评估影响。作为ISO 26262认证过程的一部分，分析和评估在FMEDA报告中进行了清晰的文档化，FMEDA报告以及安全手册是ISO 26262认证的一部分。

ISO 26262认证过程中的安全手册定义了产品的安全特性，这对产品的运行至关重要。该标准提供了一些关于可以检测可能故障的安全功能有效性的指南。IP产品设计的安全特性分为三类：保护机制、冗余和多样性。

·保护机制，例如对SoC架构中IP之间的接口进行弹性缓存保护，对数据路径和配置寄存器进行奇偶校验保护，对写入和读取的纠错码保护。

·复制是一种安全功能类别，包括复制（或三重复制）关键模块并使用投票逻辑来确保冗余。

·多样性包括所有状态寄存器的奇偶校验、单周期脉冲有效性、各种专用中断和针对不良状态机的热状态机保护。

满足ISO 26262功能安全认证的过程非常严格，从创建FMEDA报告、定义特定安全目标ASIL特性的安全计划，到聘请安全经理，并与所有利益相关者一起记录和审查每个里程碑。除了满足ISO 26262功能安全要求外， SoC开发团队和供应链的其余部分（包括IP提供商），还必须遵守汽车可靠性和质量要求。

为满足汽车行业定义的汽车可靠性标准，必须设计和测试汽车SoC和IP，以满足极低的缺陷密度：以百万分之几的缺陷数(dppm)衡量的缺陷密度。汽车行业要求小于1 dppm，鼓励设计人员设定在15年产品生命周期内dppm为零的目标。满足温度等级是另一个可靠性要求。对于ADAS，最高级别的工作温度为1级，需要高达125摄氏度的环境温度或150摄氏度的结温。汽车供应链中的每家公司都有自己设计和测试产品的专有温度任务曲线。为不同ADAS应用开发产品的SoC和IP设计人员，在开发过程中要考虑温度任务曲线。此外，必须根据不同器件的温度任务曲线考虑不同的要求，例如电迁移、晶体管老化和晶体管自热。

总结

从分布式ECU，转变为集中式ECU的集成度更高的域控制器已经是大势所趋。由于数据量大，新型集成域控制器需要更高的计算性能、更低的功耗和更小的体积。采用64位处理器来处理大量数据需要最新的半导体特性、半导体工艺以及IP等其他技术。

由于ADAS SoC用于安全关键型应用，因此设计人员必须遵守ISO 26262功能安全标准。这也适用于集成到ADAS SoC中的汽车IP。设计人员可以使用已通过所需认证流程的IP加速其SoC级认证。

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！