启用集成ADAS域控制器与汽车IP

传统上，用于高级驾驶辅助系统(ADAS)应用的电子控制单元(ecu)被放置在整个汽车中。最新的汽车架构将把用于多个ADAS应用的ecu集成到集中式域，以组合多个ADAS功能。新型集成域控制器ecu利用从汽车远程传感器(如摄像头、激光雷达、雷达和超声波)传输到集成域控制器的数据，由高性能ADAS片上系统(SoC)进行处理。集成ADAS域控制器功能的增加影响了ECU中的ADAS SoC架构，包括SoC级汽车认证，这仍然是设计人员的强制性要求。

集成ADAS域控制器SoC中的IP还必须满足最高的汽车安全完整性级别(asil)，必须在1级和2级温度下进行设计和测试，并且必须完全遵守汽车质量管理流程。此外，在先进的铸造工艺中使用汽车认证的IP也很重要，因为设计人员正在转向更严格的工艺技术，如finfet。

本文重点介绍了新的集成汽车ADAS域控制器SoC架构，并介绍了设计人员如何通过汽车认证IP加速SoC级认证和生产时间。

向集成ADAS域控制器SoC架构的转变
据2016年8月交通安全事实研究报告根据美国国家公路交通安全管理局(NHTSA)的数据，“2015年，美国在公路交通事故中损失了35092人，增长了7.2%，是近50年来的最大增幅。”据分析，这些事故中约94%是由人为错误引起的，其余是由环境和机械故障引起的。减少交通事故的机会使汽车ADAS变得更加重要。自动紧急制动、行人检测、环绕视图、停车辅助、驾驶员睡意检测和凝视检测等ADAS应用程序都可以帮助驾驶员实现安全关键功能，以减少车祸。图1显示了具有集中式ECU的集成ADAS域控制器SoC，其中来自多个传感器的数据传输到中央ECU，然后通过ADAS处理器进行处理。

图1:来自传感器的数据传输到中央ECU并通过视觉处理器进行处理。

在德尔福汽车(现为Aptiv)和奥迪等公司发布的众多新公共产品公告中，可以明显看到向新的集成ADAS域控制器SoC架构发展的趋势。根据这篇文章德尔菲:工业要么数字化，要么消亡沃德斯汽车公司(WardsAuto)的詹姆斯·m·修德(James M. Amend)表示:“德尔福汽车公司认为，汽车的传统架构很快就会不再能够处理增强连接的计算需求，并最终实现完全自动驾驶，但供应商认为他们已经有了解决方案，并希望成为该技术的领先集成商。”在这篇文章中，德尔福高级副总裁兼首席技术官Glen De Vos表示:“我们必须开始将汽车视为一个数字平台，这是一种非常不同的看待汽车的方式。”根据audi.com“现在，中央驾驶辅助控制器(zFAS)首次从传感器数据永久性地形成周围环境的全面图像，用于广泛的辅助功能。这是由互补的传感器系统以及zFAS和雷达控制单元的冗余数据融合所产生的。”

大量的数据正在推动64位处理器在汽车ADAS应用中的应用。从分布式架构到更集中的ECU的转变更加普遍，由于ECU是集成的，ADAS soc变得非常复杂，需要最新的半导体功能、半导体工艺技术以及ADAS域控制器soc的其他技术:

• 以太网可以管理高数据量(包括时间敏感型数据)，并减少点到点连接
• LPDDR4/4x的数据速率高达每秒3200兆比特，这加快了汽车级soc中的DRAM操作速度
• MIPI摄像串行接口和显示串行接口等MIPI标准为成像和显示应用提供了高性能连接
• PCI Express具有高可靠性的处理器到处理器连接，可用于4G无线电或未来的5G无线电和外部ssd
• 5G和IEEE标准，如802.11p，有助于提供地图或图像的实时更新，以及车对车或车对基础设施的通信
• 硬件和软件中的安全协议，用于通过USB、WiFi或蓝牙连接进行数据保护
• 传感器和控制子系统卸载主机处理器并融合传感器数据，以管理传感器提供的不同类型的传感器数据
• 更先进的制造工艺技术，从传统的90纳米(nm)， 65纳米和40纳米，到更先进的16纳米，14纳米，甚至7纳米FinFET工艺

安全关键型应用正在显著增加ADAS soc的采用。但是，ADAS SoC以及集成到SoC中的所有半导体组件(包括IP)都必须符合ISO 26262功能安全标准。

符合ISO 26262功能安全标准要求
ISO 26262是一个标准，在四个不同的汽车安全完整性级别(ASILs)定义了汽车系统故障的影响:a, B, C和D;ASIL D是功能安全的最高级别。ISO 26262标准定义了汽车开发组织在为安全关键系统开发产品时必须实施和遵守的所有流程、开发工作和标准。ISO 26262标准的一个主要目标是通过以下方式最大限度地降低对所有类型的随机硬件故障的敏感性，包括永久性故障或短暂性故障:

• 开发产品时明确功能安全要求
• 将严格应用于开发过程
• 定义安全文化
• 实现安全功能以最大限度地减少硬件故障的影响
• 评估和分析安全特性的影响，以确保减轻硬件故障

业界认可的检验公司，如SGS-TUV Saar，可用于审核产品和流程的符合性和ISO 26262认证。

ISO 26262认证过程包括多个步骤、策略和报告，必须从产品开发之初开始。例如，故障模式效应和诊断分析(FMEDA)是开发团队生成的报告，从功能安全的角度提供了关于遵守ISO 26262的所有信息。该报告是由设计和验证工程师创建的，是ASIL评估的关键组成部分，不仅用于遵从性的证据，而且用于设计目标和开发流程末尾的评级评估。独立于开发组织的指定安全经理，经过充分培训，可监控开发过程、里程碑和产品评审，确保按照标准定义的整个SoC开发流程完成所有文档和可追溯性。FMEDA报告还包括安全特性、开发和验证的摘要。它清楚地记录了产品中包含的安全特性，以及这些产品对注入其中的随机故障的反应。FMEDA报告是强制性的，提供给产品评审过程中涉及的所有各方。

ISO 26262认证是如何实施的
标准SoC或IP产品开发流程从寄存器传输级(RTL)设计开始，然后在最终原型中在硬件和软件中实现、验证和验证。符合ISO 26262标准的开发流程在标准设计流程的基础上增加了额外的步骤，包括在定义核心架构和规范的一开始。设计人员定义了一个安全计划，其中包括安全特性和目标。产品团队和安全经理审查安全计划和策略，以实现最终应用的指定功能安全。通过注入故障进行故障分析以评估安全级别和系统对这些故障的反应是很重要的。FMEDA显示了对永久故障和瞬态故障的故障注入分析，以评估影响。作为ISO 26262认证过程的一部分，分析和评估与安全手册一起明确记录在FMEDA报告中。整个过程如图2所示。

图2:带有额外ISO 26262认证步骤和要求的标准SoC或IP设计示例。

ISO 26262认证过程中的安全手册定义了产品的安全特性，这对产品的运行至关重要。该标准提供了一些安全功能的有效性指南，可以检测可能的故障。知识产权产品设计的安全特性分为三类:保护机制、复制和多样化。

• 保护机制，例如在SoC架构中保护弹性缓冲区的IP之间的接口，数据路径和配置寄存器上的奇偶校验保护，以及写和读的纠错代码保护。
• 复制是一种安全特性类别，包括复制(或三倍)关键模块和使用投票逻辑以确保冗余。
• 各种各样的包括对所有状态寄存器的奇偶校验、单周期脉冲有效性、各种专用中断和对坏状态的热状态机保护。

满足ISO 26262功能安全认证的过程非常严格，从创建FMEDA报告，指定为目标ASIL定义安全特性的安全计划，到聘请安全经理，并与所有利益相关者一起记录和审查每一个里程碑。除了满足ISO 26262功能安全要求外，集成ADAS域控制器SoC开发团队和供应链的其他部分，包括设计IP提供商，必须坚持汽车可靠性和质量要求。

为了满足汽车行业定义的汽车可靠性标准，汽车soc和IP必须设计和测试以满足非常低的缺陷密度，以百万分率(dppm)测量。汽车行业有一个低于1dppm的要求，鼓励设计师在15年的汽车产品生命周期内设定百万分之零缺陷的目标。满足温度等级是另一个可靠性要求。对于ADAS，最高工作温度级别为1级，要求高达125摄氏度的环境温度或150摄氏度的结温。汽车供应链中的每个公司都有一个专有的温度任务配置文件，他们设计和测试他们的产品。为不同ADAS应用开发产品的SoC和IP设计人员在开发过程中会考虑温度任务剖面。不同的要求，如电迁移、晶体管老化和晶体管自热，必须考虑不同器件的温度任务剖面。

总结
这种趋势正在从分布式ADAS电子控制器单元(ecu)转向具有集中式ecu的更加集成的ADAS域控制器。由于数据量大，新的集成域控制器要求更高的计算性能、更低的功耗和更小的密度。采用64位处理器来处理大量数据需要最新的半导体特性、半导体制程技术和IP等其他技术。

由于集成ADAS soc主要用于安全关键型应用，因此设计人员必须遵守ISO 26262功能安全标准。这也适用于集成到ADAS SoC中的汽车IP。设计师可以通过汽车认证的IP加速soc级别的认证，这些IP已经通过了所需的认证流程，并被视为由认可的第三方公司(如SGS-TUV Saar)认证。

Synopsys提供一系列汽车认证IP，这些IP通过了ASIL Ready ISO 26262认证，设计和测试了1级和2级温度，并完全遵循汽车质量管理流程。有关信息，请查看用于汽车SoC的DesignWare IPweb页面。