为汽车故障做计划

汽车行业正在经历一些根本性的转变，因为它正在从传统的孤立的方式转向优雅的失败，放慢向完全自动驾驶的进化，并重新思考如何以合理的成本实现其目标。

对于传统汽车制造商来说，这意味着要从电子行业借鉴一些行之有效的策略，而不是试图发展传统的汽车策略。因此，尽管汽车制造商在过去18年里一直在努力实现零故障，但像waymo这样的公司——最初是谷歌的自动驾驶汽车项目——选择了廉价的现成零件，因为他们知道所有零件都会出故障，而解决这个问题的最佳方法就是增加冗余。

“现在每个人都应该采用最便宜的零部件并将其引入系统设计，这听起来有点误导，但这意味着我们必须在设计时考虑故障安全，”福特汽车副总裁伯克哈德·胡恩克(Burkhard Huhnke)说Synopsys对此．“必须有一个系统持续地观察运行系统功能中发生的事情，比如自检、监控、校正和故障保险。在出现故障的情况下，假设有一台计算机计算汽车的路径，通过它的双重冗余，它做出了一个决定，计算机1说，“是”，计算机2说，“不是”。“然后，系统需要能够做出故障保险决策，这意味着将汽车停在路肩。”你可能有几秒钟的时间——可能是10秒或15秒，这取决于你的速度——来做决定。”

几十年来，汽车行业一直在设计中加入预警系统。Huhnke说:“如果出现故障，如果出现错误指示灯，你需要能够安全停车，多年来这一直是汽车行业的设计规则。”他指出，这阻碍了创新的步伐。“你通常认为不应该冒太大的风险设计一个可能会延迟创新过程的故障安全系统。目前的行业非常清楚这一点，这就是为什么他们围绕这些制定了法规和标准，即ASIL和ISO 26262，必须根据新的要求进行调整。但这是监管和标准化的基础，在这种情况下非常重要。”

挑战在于如何以合理的成本混合这些不同的方法，而这正是计算机行业非常有效的地方。RAID(廉价或独立磁盘的冗余阵列)驱动器背后的基本概念是使用多个廉价磁盘驱动器来实现与更昂贵的磁盘驱动器相同的可靠性，特别是IBM为其大型计算机销售的那些磁盘驱动器。

德拉科汽车公司(Drako Motors)和鹰眼网络公司(Eagle Eye Networks)的首席执行官迪恩•德拉科(Dean Drako)表示:“整个想法是，你可以使用便宜的东西，只要有足够的数量，基本上就能达到高可靠性。”“你必须有一些复杂的软件才能做到这一点。这是计算机行业最早使用冗余和廉价材料来实现可靠性的地方之一。”

他说，谷歌也因在计算机上做同样的事情而闻名。“基本上，他们设计的东西是这样的，他们真的不在乎其中一台电脑是否出了故障，这种方法在很多方面都非常不同。他们不是当时唯一这样做的人，但有这种变化，‘我们不要去买5万美元的服务器，确保它超级可靠。让我们买50个1000美元的服务器，如果其中5个坏了，那又怎样?其他45台仍在运行，一切都很好，因为软件重新配置了一切，所以一切都很好，因为我们在系统中内置了冗余。”

如今，大多数提供云服务的公司仍在使用冗余，如Amazon S3、Amazon EC2、Salesforce.com和Eagle Eye Networks。其理念是，计算机随时可能出现故障。

“我们必须在系统中建立冗余，这样即使这些廉价计算机中的一台坏了，一切都能继续运行。数据库是多余的，服务器是多余的，文件存储是多余的，”德拉科说。“这在设计上又进了一步，如果你采用Salesforce.com、亚马逊(Amazon.com)或鹰眼网络(Eagle Eye Networks)这样的系统。在不同的计算机上实现的功能可能有300到3000个，它们都在相互通信。由于网络、计算机和存储的不可靠，软件已经开始了基本的试错开发。因为你别无选择，只能假设它会从其他参与者那里得到不好的东西，它不会正常工作，网络会崩溃，一切都会崩溃，但我必须继续做我的工作，像Waymo这样的公司正在将这种思维方式转化为汽车自动驾驶世界。他们正试图将这种技术应用到汽车行业，做所有冗余的事情，所以如果这款相机失败了，我们仍然可以接受，因为我们有足够多的其他相机。”

例如，在自动驾驶汽车中，前面安装了四个摄像头。这辆车只需要两个就能运行。如果其中一个失败了，系统就不那么好了，但它仍然是安全的。但如果还有两个失败，那么汽车就必须关闭设备，以一种优雅的方式失败。

优雅故障的概念假设一切都会在某个时刻坏掉，但飞行器仍然必须安全运行。几十年前，航空航天业将故障率从0.000001%提高到0.01%，并采用了这一概念，因为它可以用同样的钱设计10枚火箭或火星车。虽然一两个人会失败，但他们会获得八次成功，而不是一次。

德拉科说:“如果你想设计出永远不会失败的东西，它会变得非常昂贵。“如果我们在系统中有足够的冗余，我们就可以使用便宜的组件。如果他们失败了，也没关系。”

系列开发挑战
这只是自动驾驶和辅助驾驶需要转变思维的一部分。汽车制造商的整个开发周期需要改变。

Synopsys汽车和虚拟解决方案业务开发和产品营销高级总监Marc Serughetti说:“从很大程度上说，传统的串行开发的生产力正在下降，因为你不能简单地在一个文档中捕获所有的需求。”“汽车原始设备制造商必须更多地考虑他们在电子设备本身方面所需的专业知识，以及这些系统的复杂性。另一方面，半导体公司，特别是在功能安全的背景下，不能孤立地思考。你必须考虑如何应用某些东西。现在半导体公司和原始设备制造商之间的合作正在发生巨大的变化，显然，第一级供应商在其中所扮演的角色也在发生变化。这里发生的很多变化正在影响工程师的工作方式，但更重要的是，他们如何在不同公司之间进行合作。”

Huhnke指出，一些原始设备制造商已经跟上了潮流。“他们明白左移位汽车OEM对硬件和软件能力的要求，以及这些系统的高度复杂性，这些系统需要从SoC到系统再到车辆的全面设计开始。这需要与EDA行业进行直接对话。由于成本压力导致了对最高级别集成的极度需求，因此必须尽早与EDA公司进行谈判，提供功能安全的汽车构建模块，同时也为故障安全模式做好准备。”

福特汽车机械分析部新移动解决方案总监Puneet Sinha指出，汽车生态系统中需要密切合作，包括车辆的每个部分，甚至包括电池和充电选项Mentor是西门子旗下的企业．“在过去，原始设备制造商不必担心加油站的类型，但现在涉及到充电基础设施时，这很重要，因为最终，客户体验将发挥作用。例如，有人可能会说特斯拉的优势不只是汽车。许多公司正在生产或能够生产电动汽车。但是充电基础设施是什么呢?这是特斯拉相对于许多其他原始设备制造商的最大优势，也是初创公司的新进入者——甚至是试图在电动汽车行业站稳脚跟的老牌原始设备制造商——必须努力解决的问题。”

事情发生
然而，意外的极端情况总是会突然出现。

“无论你做了多少测试，无论你做了多少验证，仍然可能有你还没有发现的场景，”Bob Siller说，Bob Siller是微软的产品营销总监Achronix．“Waymo总是说他们有数百万英里的驾驶经验。在某种程度上，获得每一个场景都是不可行的。一辆特斯拉撞上了一辆白色的半挂卡车，在背景下，这辆车看不清它。你怎么知道每一辆车的每一种颜色，以及太阳落山的具体光学角度?”

这就是硬件可编程性在汽车领域越来越受欢迎的原因。“冗余设计可以让我们知道什么时候失败是真正的失败，而不是一次性的失败，”Siller说。”嵌入式FPGA你可以设计逻辑的双路径，它们可以相互验证，所以你基本上可以有一个自定义的算法来验证一个数据流，然后有一个并行的路径来接受相同的数据并验证它。你可以在同一个设备上做这个，或者在物理上有两个运行相同算法的独立设备，这将只是在嵌入式FPGA中运行。你可以根据自己的需要定制。”

另一种处理意外情况的方法是无线更新，特斯拉采用了这种方法。“但如果你意识到一辆车出了故障，你如何在整个车队中部署它?”银问道。“在很大程度上，它是在软件的意义上完成的，对吧?特斯拉将推出新的CPU算法或固件更新。但是对于嵌入式FPGA，你可以改变硬件配置，这是一个不同的范例。你可以改变数据路径，如何根据算法学习来处理数据，并重新配置FPGA，而不需要召回设备。显然，这对汽车制造商来说是一笔巨大的成本节省，因为他们不必进行召回，而且他们可以通过无线更新。”

监控系统功能安全性或冗余的其他新方法可能包括片上传感器或监视器，以提供对系统的另一个级别的观察。目标是能够检测到系统中的变化，如果它们正在走向故障，并确保传感器正常工作，以提供这种数据。

该公司首席执行官Stephen Crosher表示:“传感器本身会进行一些自我检查，以确保它们提供可靠的读数，因此在系统接近故障时，你不会错过任何故障。Moortec．“有趣的事情之一是，现在有如此多的消耗性技术被引入汽车。这在娱乐界已经发生了多年，现在我们看到人工智能也被拉进来了。这提高了我们需要设计的标准和水平，不仅在系统层面，而且在知识产权块的水平。从本质上讲，我们必须同时为数据中心和汽车设计，也可能是手机和汽车，因为界限正在变得越来越模糊。”

更大的芯片
随着车辆ecu功能的整合，芯片也变得越来越大。事实上，它们比手机中的任何芯片都要大得多，也更复杂，而且上面有更多的大脑，英特尔营销副总裁库尔特·舒勒指出Arteris IP．“它们更像是你在数据中心里找到的东西，但它就在你的车里。它必须从电池中获取能量，而且不能有太多的热量，所以他们面临着各种不同的挑战。然后，如果你看看做这些事情的设计团队，随着设计方法的变化，以预测失败，这就是传统半导体公司难以适应的原因，这些公司已经在位多年，已经做了汽车芯片。”

这些公司大多在过去做过小型的、10万个大门的设计。

Shuler说:“它足够小，你可以做所有的分析，所有的功能安全文档，直到比特级别。”“你真的可以确保这个东西是安全的。问题是，这种方法对于处理20亿门芯片是无用的，这些芯片可以查看来自这些廉价摄像头、廉价激光雷达和廉价雷达的所有信息，这些信息必须将这些不完善的信息转化为真正有意义的现实愿景。”

这也是许多公司都在考虑构建平台的原因之一。可以有一个机箱和多个芯片，每个芯片都有一个专门的功能。

Shuler说:“你想要尽可能多地重用架构，因为从功能安全的角度来看，所有这些都需要分析，你可以重用它们。”“当你开始看SOTIF(预期功能的安全性)和所有系统级AI的东西，这让它更容易被描述。你正在消除一些可变性，所以你可以专注于一个已知的好底盘，一个已知的好架构。通信、内存、一些CPU集群和通用处理——所有这些都成为一个通用的机箱，或者一个通用的架构，其他设计特定的东西可以插入其中。这是一种能做得更好的方法，因为你在重复使用它。你不能像以前的微控制器那样，看着整个20亿的门芯片，看着每一笔交易中的每一个比特。”

简单地说，自底向上的方法本身不能很好地工作，自顶向下的方法也不行。他说:“由此产生的方法更多的是一种共享平台、共享底盘类型的方法，在这种方法中，你不仅可以重用硬件功能，还可以重用功能安全机制，并对这些功能部分进行分析。”“这对每个人来说都是一个巨大的变化，非常不同。那些在汽车行业工作了30年的人，他们不得不改变，因为，例如，在互连中，我们做互连的故障注入。这是整体SoC分析的一个组成部分。我们的客户配置我们的互连。我们有时不知道这个配置是什么，或者将要是什么，但我们的分析是他们在分析中内部使用的东西。如果你选择这些大芯片中的一个，在网表级别上进行故障注入，在门级别上，它就变成了一个需要花费数百万美元的故障注入模拟器许可证并行运行的过程，并且需要花费许多壶咖啡来进行多年的故障注入活动。”

ISO 26262规范已经适应了这一点，因为故障注入可以在比后合成更高的级别上完成，并且可以在RTL功能级别上运行。“尽管如此，让一些汽车行业的人接受这是一个挑战，但它正在取得进展，”他补充说。

l未来的书
Mentor的Sinha说，未来10年肯定会是一段激动人心的旅程，可以看到汽车行业如何变化，以及哪些公司将成为赢家。“当我们观察世界上发生的这种活动时，很明显，能够理解、掌握并正确重视电气、电子和机械等不同学科之间的连接的公司从一开始就在一起，而不是继续用汽车行业在过去一百年里一直在做的那种孤立的方式来做事，这些公司才更有机会获胜，无论是人类驾驶的电动汽车，还是4级或5级电动汽车。这些不同领域之间的互联性，包括我们如何设计这些车辆，如何生产这些车辆，以及如何消费这些车辆的体验，所有这些都必须以互联的方式，而不是孤立的方式，成为讨论的一部分。”

相关故事和视频
制造5级汽车芯片的挑战
构建一个单一芯片来处理未来汽车的自动功能的挑战横跨整个设计过程的许多领域。
自动驾驶汽车正在重塑科技世界
甚至在全自动驾驶汽车上路之前，汽车行业的各个层面就已经发生了重大变化。
汽车安全关键设计“，
在芯片和系统级别上查找故障。
汽车系统设计
如何在汽车中制造和更新芯片。
在汽车中构建高效的推理引擎
如何快速建模芯片，包括极端情况。
汽车知识中心