如何让自动驾驶汽车变得可靠

随着更高水平的驾驶辅助系统的部署，汽车芯片、子系统和整车的未知数量正在增加，这引发了人们对如何提高这些系统可靠性的新担忧和新方法。

高级驾驶辅助系统(ADAS)将需要检测物体、动物和人，它们将用于停车辅助、夜视和防撞。如果一切按计划进行，它们将提高汽车的安全性，降低危险事故的风险。

但ADAS涉及很多技术。其中一些已经经过了多年的实地测试，比如传感器和摄像头。其中一些是全新的，比如在最新的工艺节点上开发的先进处理器，以及用于持续感知和收集环境数据的智能软件。最重要的是，收集到的数据必须实时处理。ADAS系统正在进一步发展，以创建一个使用车对基础设施(V2I)和车对车(V2V)通信的智能系统网络，为自动驾驶铺平道路。

总的来说，这是一个前所未有的系统复杂性和集成水平。但挑战远不止让这些系统正常运行。他们还必须优雅地、按计划地失败。所有这些都必须在很长一段时间内发生，或者在车辆作为一种服务的情况下，在较短的时间内几乎连续使用。

谷歌解决方案营销副总裁乔治•扎菲罗普洛斯(George Zafiropoulos)表示:“目前最先进的技术是获取数据国家仪器。“下一个挑战是弄清楚大数据分析能让你用这些数据做什么。你能找到一些你不一定在寻找的有用的东西吗?这是即将到来的下一波浪潮——智能地指出趋势和相关性。就像每个学科一样，人们需要分析的数据太多了。你要从这些数据中寻找洞见。”

图1:测试ADAS系统。来源:美国国家仪器公司

Zafiropoulos说，这需要一种非常不同的设计方法。“作为工程师，我们对设计严加保护。但如果你对所有事情都加以保护，就会导致效率低下。如果你能在保证可靠性和性能的同时减少保护措施，那将带来巨大的价值。”

提高可靠性
这里重要的术语是可靠性，它是一种随时间推移的质量衡量标准。虽然这在理论上听起来很简单，但现实是ADAS涉及许多不同的组件。因此，它需要作为一个系统进行模拟和测试，并且需要从非常高的级别考虑该数据。

在这些系统中，什么会导致故障，即使是几分之一秒的故障?答案可能是任何问题，从软件方面处理某些情况的经验不足，到硬件方面的电源完整性、电迁移、热、应力、电磁遵从性和静电放电。

ADAS芯片封装系统(CPS)的热可靠性被认为是关键任务，因为这些系统需要在恶劣的热环境下持续使用10年以上，其中引擎盖下的温度可高达150°C。英特尔半导体业务部副总裁兼首席策略师Vic Kulkarni表示，这需要多物理场工具和方法来管理热量，这可能会加剧电迁移，以及在先进封装(如ADAS AI系统)中实现的芯片封装系统的热致应力分析有限元分析软件。

图2:芯片和封装联合仿真的热分析。来源:有限元分析软件

支持这些先进技术的电子元件的数量急剧增加。现在需要考虑的问题包括为人工智能芯片(基本上是自动驾驶汽车的中枢大脑)提供高功率、先进的封装，以及为这些人工智能系统提供信息的所有通信和数据收集系统。ADAS对热可靠性的要求非常高，因为典型的工作温度范围为-40°C至50°C，而某些ADAS和电源管理系统的器件结温可能高达135°C至150°C。

Kulkarni说:“热可靠性是最严峻的挑战，因为引擎盖下的电子系统不能超过最高工作温度，并且极易受到热诱发应力和热感知电迁移效应的影响。”

为了成为ADAS市场上可靠的解决方案，并确保车辆及其乘员的安全，产品必须满足以下要求，根据汽车业务发展和架构总监Andrew Klaus的说法迈威尔公司，：

• 通过车辆的数据流必须是安全的，系统必须设计为防止恶意攻击或对数据的危害。一个完全安全的以太网交换机是至关重要的。
• 半导体组件必须通过严格的质量和长期可靠性测试，例如AEC-Q100以及oem和Tier 15规定的更严格的测试。
• 通信信号必须对车辆的高噪声环境具有鲁棒性。这需要测试，如大电流注入，瞬态噪声，带状线，和其他抗扰度和发射测试CISPR，ISO，IEC，以及每个OEM指定的其他测试。
• 关键电子控制单元(ecu)之间的通信即使在不利条件下也必须满足极低的误码率(BER)，这可能需要使用前向纠错方案，例如Reed-Solomon。
• 安全关键系统必须通过ASIL需求，可能包括冗余。
• 数据必须保证在需要时到达处理ECU，这可能包括IEEE 802.1时间敏感网络标准中规定的延迟控制、时间同步、流量整形、带宽保证和可预测性等功能。

包装效果
先进的包装是一个复杂的因素。在ADAS系统中，扇形晶圆级封装被用于缩小占地面积、降低功耗和提高性能。2.5 d基于中介程序的包，以及3 d-ics通过散布在芯片周围的硅通孔，为提高ADAS系统的性能提供了其他选择。虽然所有这些都已在商业上使用，但没有一种在恶劣的汽车条件下进行过长时间的广泛测试。

图3:单芯片ADAS的FOWLP封装结构。ADAS系统可以包括多个芯片，垂直堆叠或并排堆叠在一个封装中。来源:有限元分析软件

现场测试对于ADAS应用中的电子设备是必要的，但它是耗时的。此外，它并不总能揭示此类复杂系统中的所有潜在故障机制，这些机制可能因流程节点、在单个节点上运行的制造、甚至制造期间或之后的物流处理而异。

“一个关键的贡献领域涉及到特定的硅实现和相关的工艺节点，”尼尔斯特劳德，先进技术营销总监说手臂。“任何系统都可能出现永久性或暂时性的故障。在ADAS系统中，电子设备对驾驶员的安全负责，因此，无论是摄像头、传感器融合还是驱动系统，都必须能够检测到这些故障，并采取适当的措施来避免危险情况的发生。”

然而，这说起来容易做起来难。对自动驾驶的疯狂追捧又增加了另一个层面的不确定性。ADAS是全新和现有技术的集合，将用于安全关键型消费者市场，这是一种新技术。几乎所有对安全至关重要的市场——航空航天、医疗和工业——都在消费者世界之外，它们的行动程序和速度也完全不同。

“军事和航空航天界要慢得多，但你必须把所有东西都记录下来，比如流程和程序，”波音公司执行副总裁乔恩·辛斯基(Jon Sinskie)说天体电子学。“在半导体领域也是如此，只不过半导体的发展速度要快得多。即时定制的能力，以及在我们进行过程中记录它的能力，是这两个世界结合在一起的地方。这需要在可重复的基础上迅速完成。所以我们在这个领域可能有70个工具，其中30个对它们进行了修改。这需要后勤管理，你必须在军事领域提供后勤管理。你需要在全球范围内进行20年的物流变革。”

这就需要用一种完全不同的方式来处理这些问题。

“你的制造工艺是否足够好，以至于你出货的绝大多数产品都是好的?或者你是否有足够的质量防火墙，以至于尽管它可能不是世界上最完美的制造环境，但所有可能有问题的部件都可以被过滤掉，”三星全球营销副总裁戴维·帕克(David Park)说最优+。“这就是大数据分析发挥作用的地方，以确保设备的质量，并确保它们按照设计师和公司预期的方式运行。”

每一步都很重要
虽然可以在事后发现问题，但真正的挑战是首先要避免问题。

“当你谈论ADAS的可靠性时，那是ISO 26262朴槿惠说。“可靠性与其说是制造问题，不如说是设计问题。电子学往往是二元的。他们要么工作，要么不工作。当你有像转向这样的液压机械系统时，例如，在一辆旧车里，如果你让动力转向液变低，当你转动方向盘时就会发出可怕的刺耳的噪音。但这并不是说方向盘突然失灵，你就撞车了。你可以是那种忽略方向盘上刺耳的声音的人，但有声音和其他反馈线索表明方向盘出了问题。现在的汽车都是线控式的。你转动方向盘，但你是在与某种传感器对抗，这种传感器会接收到“哦，你说我需要转动方向盘”，然后汽车就会转动方向盘。你的刹车踏板和刹车、油门踏板和引擎油门之间没有任何联系。 Those don’t exist anymore. Like airplanes, it’s all fly-by-wire. Reliability comes in when you just can’t have it like your computer giving you the blue screen of death. When you’re driving a car that’s drive-by-wire, that’s an unacceptable outcome. Someone’s going to die.”

如今的设计团队正试图制造这样的电子设备:如果发生了灾难性的故障，系统会以某种方式让司机把车开到安全的地方，以便进行维修。

他指出:“制造方面的担忧包括确保出货的产品不符合半导体供应商的质量要求，这与可靠性有很大不同。”“如果有人制造了一个本质上不可靠的芯片，比如它应该使用10年，但实际上只能使用3年，制造测试过程会说，‘你通过了所有的测试，所以你很好，它可以工作。“但可靠性是附加的，这就是为什么要进行老化测试，以确保芯片的使用寿命达到预期寿命。”

Silexica首席执行官马克西米利安•奥登达尔(Maximilian Odendahl)指出，当然，可靠性是一个宽泛的术语，因为它既包括硬件，也包括软件。“例如，硬件中存在锁步模式，其中多个核心在动力总成的功能安全方面做同样的事情已经很长时间了。现在我们讨论的是在设计芯片时增加大量模糊测试，使其安全可靠，抵御黑客攻击。”

在软件方面，可靠性等同于设计可以信任的程度。“我能在多大程度上信任我的软件?”从方差来看，它有多可靠?我的软件中有多少动态行为?”奥登达尔断言，这里的主要问题是，过去一切都是静态的。“我静态地定义了调度，我有静态代码生成器，一切都是经过认证的。这个目标很简单。现在，有了ADAS或深度学习，这种静态行为就会停止，因为我需要所有的性能。如果一切都是静态的，如果我可以预先计算一切，这是一个非常简单的算法。既然一切都在向更动态的行为转变，人们就会对如何控制这种动态行为产生巨大的担忧。 Do I actually know how much dynamic behavior I have? Is it completely dynamic? If it is, then it is not deterministic any more. If it’s not deterministic any more, how can I make sure it is reliable? How can I make sure it still works in all the scenarios, and all the different use cases?”

标准确实有帮助。随着AUTOSAR的经典版本，欧洲出现了一个新的标准，自适应AUTOSAR，因为原来的AUTOSAR不能扩展到ADAS应用。

他解释说:“对于那些有很多动态行为的应用程序来说，他们需要尽可能多的性能，核心问题是他们想要性能和动态行为，但他们不知道如何控制它，也没有办法调试它。”“我写了一次，想知道这是一个现实的场景，还是我只是幸运?现在，我开始讨论所有“常规”计算的问题——不是这种非常具体的老式汽车计算，而是常规的c++编程，这就是采用这种新标准的全部意义。我们正处在所有问题都得到解决的阶段，但现在我们又遇到了这些无法控制的复杂行为。不管我是跟oem还是跟Tier 15谈，这都是一个巨大的风险，所以答案是什么?要么我可以通过工具控制它，要么他们回到静态状态，这正是他们创建这个新标准的原因。”

因此，可靠性的定义已经爆炸，因为整个问题都爆炸了。Odendahl说。“这不仅仅是因为我有固定的动力系统和软件，而且它不是静态的。这意味着有那么多新的可能性，那么多的场景。在10亿个不同的场景中，曲柄手柄的上下移动与ADAS算法非常不同，它需要在所有场景中都有效。这意味着软件变化很快，需要应对，这意味着可靠性和不确定性越来越大。”

同时，这在很大程度上取决于应用程序的细节。Geoff Tate，首席执行官Flex Logix，指出根据系统的不同部分，有不同级别的安全要求。“(原始设备制造商和一级供应商)正在寻找技术解决方案——他们如何在特定的时间框架内以特定的成本处理数据以实现他们所寻找的目标?然后，这必须与安全要求相覆盖。错误的代价是什么?错误的代价越高，安全水平就越高。在汽车应用领域，人们普遍认为，汽车工程团队习惯于使用商业应用程序，然后调整其架构以复制或三倍功能，以达到他们所需的安全水平。”

泰特说，系统的响应时间也有很大的关系。“一种可以使用的方法，可以追溯到很久以前的月球飞行，就是实现三个计算单元，用一个盒子来比较输出。他们投票，如果其中一个有错误，可能是错误的，两个有相似输出的是正确的，你使用多数输出。我们也见过有两个单元的应用，它们投票。如果他们的投票结果相同，你就可以非常有信心地认为没有出现错误。如果存在不匹配，则其中一个显然是错误的，但您不知道是哪一个，因此必须刷新管道、重置和重新处理，这在某些情况下是可以接受的，但在其他情况下则不然，这取决于安全级别和响应时间。如果你在做一些超实时的事情，比如刹车系统，或者一个必须决定撞上哪个障碍物的系统，你可能需要使用三次重复的方法。你没有时间重新计算。”

结论
一直以来，ADAS都更像是消费者和安全关键市场之间的交叉点，这个极其复杂的ADAS谜题有很多部分。从芯片和软件设计到验证、数据管理、系统验证、遵守标准和制造质量控制——所有这些都必须在第一次就正确地完成。这些都是巨大的系统挑战，同时也为技术供应商带来了巨大的机遇。

-Ed Sperling对该报道也有贡献。

有关的故事
汽车供应商:不仅仅是芯片
并非所有汽车行业的供应商都提供半导体和系统级产品。
技术讲座:ISO 26262
汽车标准有什么新变化，如何设计出安全故障的汽车。
先进包装进入汽车领域
随着oem厂商寻求差异化和更快的上市时间，供应链将发生剧变。
技术讲座:DO-254
看看航空航天的安全关键标准，以及它对汽车电子的意义。
汽车公司的无名科技
音频技术正与自动驾驶汽车和车对基础设施通信一起取得长足进步。