談談下一代EE架構的局限

提到車載智能芯片很多人首先會想到的是自動駕駛相關的AI芯片（又稱MPU）和邏輯運算芯片（又稱MCU）。當前研發的重點在于基于域控制器的整體設計、開發，將其中的算力、帶寬、功率及軟件算法等作為主要的考慮的選型要素。然而，一個自動駕駛相關的芯片還需要統籌考慮到模型適配性、算法運行效率及其安全保障等。其中算法模型適配性需要進行模塊和進程分解，而運行效率則包括進程數據通信、深度學習模型加速、任務調度和資源管理等。而功能安全保障能力有需要更多的場景分析和系統測試。這些都是比芯片本身更消耗人力、物力和財力的。1rCednc

舉個例子，應用在ADAS中的系統芯片，大多數在ASIL-B或C級，為了提升功能安全等級至ASIL D,多數OEM會將多片B和C的芯片建立級聯關系的內核冗余技術，這種技術能力對芯片設計的要求很高。對于某些搭載在單個域控制器芯片的算法而言，由于為了實現高功能安全等級的中央計算能力，其核心實際是在主內核中配備一個影子內核，兩個內核需要同時執行相同的指令，再利用比較器比較出兩者差異，一旦兩個中的內核之一出現計算錯誤，比較器就會啟動糾正措施。1rCednc

如上圖描述了一種基礎的軟件錯誤校驗框架。主SOC和影子SOC都運行相同的SWC軟件模塊，主要SOC運行端通過硬件及軟件模塊的運行日志錯誤搜集器分別搜集其芯片運行的錯誤情況并通過Error Reports報告給整體的系統錯誤處理器。該處理器有兩種錯誤信息處理方式。其一，是同時接收影子SOC所同步運行的SWC結果，并通過比較器進行誤差識別和矯正。矯正后的內容通過關鍵失效處理器對其中的關鍵失效內容Critical Failure進行處理，處理完成的結果可以發送給MCU進行終端失效處理。這類型處理模式實際上是對其進行了雙重保護，確保整體的失效帶來的不利后果降低到最小，這就無形中提升了整個芯片架構在功能安全上的能力。1rCednc

但是，實際應用中，這種鎖步功能的軟件模塊并不是很容易實現，多核鎖步的這種安全架構方式會加大成本與片上系統功耗。鎖步架構對于芯片的設計能力要求高，很多芯片設計能力出眾卻缺乏汽車電子領域經驗的廠商卻十分重視這塊的能力，也試圖參與ASIL D級MCU芯片市場的競爭。1rCednc

此外，一個域控制器中的自動駕駛內嵌芯片可能會涉及深度學習模型的實現、合適邏輯算力的CPU、具備圖像渲染功能的GPU、數字信號處理DSP芯片、圖像信號處理ISP芯片和CV（計算機視覺）芯片等。在芯片基礎上，還有一個支持深度學習模型實現的編譯器，該編譯器需要開發來最大效率地提高芯片的利用率，避免處理器等待或者數據瓶頸堵塞。如上，具備挑戰性的問題包含如下三個：1rCednc

1）如何在模塊和進程分解中將算法進行適配？1rCednc

2）如何在進程數據通信、深度學習模型加速、任務調度和資源管理等方面提高自動駕駛軟件的運行效率？1rCednc

3）如何通過設計合理的工程架構（如開發系統冗余模式）提升在功能安全/預期功能安全的保障能力？1rCednc

這里需要注意線控底盤技術雖然有如上各種優勢，然而，這一先進的技術也會面臨電子軟件或硬件故障所帶來的各種隱患。這相對于曾經的純機械式執行控制系統來說，卻是拿執行效率換取執行可靠性，對于功能安全要求高的場景來說還是十分不利的。1rCednc

因此，為了規避如上可能存在的風險，也只能在滑板底盤軟件算法和分布式硬件部件上創建多重冗余，才能保證在故障情況下維持住其基本的執行器功能。這里的冗余正是之前在L3系統設計中強調的雙冗余執行系統。如ESP制動過程通常會搭載主ESP控制器，也包括冗余控制器iBooster（博世）或MKC one（大陸）等；又如EPS系統中部分廠家如捷泰、奈斯特、萬都等轉向供應商就開發了雙控轉向系統。1rCednc

軟件定義汽車時代的興起，需要一種集中的、抽象的、強大的計算架構，這就需要一種新的系統硬件架構來完成這一使命。以服務導向的軟件系統構架（SOA）將成為主流，以SOA/SOME-IP為脈絡支撐起汽車以服務為出發點和差異化競爭的整車E/E架構。在經歷功能域控、區域域控等階段后，將催生真正的汽車大腦：中央計算單元。并與MEC（多接入邊緣計算）以及云計算組成協同式解決方案，避免車端算力需求無限增長。但是，這類集中式架構卻在過程中存在一定的固有缺陷。在架構設計過程中需要十分明確的關注其中的不確定性因素，避免產生一些不可預知的后果。1rCednc