來源 |十一號組織

知圈 | 進(jìn)“滑板底盤群”請加微yanzhi-6,備注底盤

在智駕域控制器內(nèi)，AI芯片是當(dāng)之無愧的霸道總裁，直接決定了智駕域控制器的武功高低，間接反映了主機(jī)廠的地位尊卑。而可以培養(yǎng)霸道總裁的英偉達(dá)、地平線、高通、Mobileye等技校也是開足了馬力，不斷刷新霸道總裁的技能包，時刻準(zhǔn)備為分久必合的混戰(zhàn)局面畫上一個句號。

但在已量產(chǎn)或即將量產(chǎn)的智駕域控制器中，不管是量產(chǎn)夭折（帶L3功能的配置）Audi A8上搭載的zFAS，還是已量產(chǎn)小鵬P7上搭載的IPU03，在智駕域控制器PCB版上的遠(yuǎn)郊之處，我們總能發(fā)現(xiàn)AI芯片身邊還有一顆其貌不揚但舉止非凡的MCU，像極了霸道總裁身邊那個平凡的灰姑娘，并直接決定了智駕域控制器的文化水平高低。

細(xì)究之下，這顆MCU承擔(dān)的職責(zé)全是功能安全等級要求高的重任，有用它來承擔(dān)自動駕駛功能激活期間的車輛控制功能，有用它來承擔(dān)自動駕駛系統(tǒng)故障時的降級策略，有用它來檢測智駕域內(nèi)系統(tǒng)的運行狀態(tài)，有用它來承擔(dān)與車內(nèi)通訊的網(wǎng)關(guān)功能……

這類MCU民間喜歡稱之為安全核，具有常人所不具有一些安全特性，使其默默充當(dāng)自動駕駛安全的守門員。自動駕駛黑話圈第十九期，筆者就帶領(lǐng)大家一起欣賞這顆MCU具有了什么樣的特性，才讓其可以承擔(dān)如此重要的安全使命。

安全機(jī)制

在功能安全的圣經(jīng)ISO26262中，違背硬件安全初心的故障類型包括：單點故障、殘余故障、兩點故障、潛伏故障和多點故障等。

單點故障：無法被安全機(jī)制探測到的硬件故障，一旦發(fā)生，將直接違背硬件安全初心；

殘余故障：硬件部分設(shè)計有安全機(jī)制，但安全機(jī)制無法做到100%診斷覆蓋，殘余故障便是未被診斷覆蓋的那部分漏網(wǎng)之魚，一旦發(fā)生，也將直接違背硬件安全初心；

兩點故障：某個故障，平時人畜無害，但當(dāng)鐘意的姑娘出現(xiàn)在球場邊，才會變成大殺四方的詹姆斯。由于沒有安全機(jī)制，也將直接違背硬件安全初心；

多點故障：一家子（>2）團(tuán)聚時才生產(chǎn)生共鳴，引起硬件的故障，具有違背安全初心的風(fēng)險；

潛伏故障：多點故障中未被安全機(jī)制診斷覆蓋到的故障，具有違背安全初心的風(fēng)險。

要想減少故障，提高硬件的功能安全等級，增加安全機(jī)制是一種行之有效的方案。安全機(jī)制用于探測故障，控制/避免失效，來維持預(yù)期功能，保持安全狀態(tài)。但是針對硬件某一部分增加了安全機(jī)制，并不代表一定安全，安全機(jī)制也有一個診斷覆蓋率的問題。

診斷覆蓋率是指在硬件要素失效率中，元器件失效率可以被安全機(jī)制診斷出來 的百分比，典型值有60%、 90%和 99%。診斷覆蓋率可通過硬件可能發(fā)生的殘余故障或者是潛伏故障進(jìn)行評估。

在《ISO26262-5 2018 產(chǎn)品開發(fā)：硬件層面》的附錄D中，列舉了處理器采用不同安全機(jī)制對應(yīng)的診斷覆蓋率。而在硬件冗余可采用的安全機(jī)制里，雙核鎖步、非對稱冗余、編碼計算作為三種典型的高診斷覆蓋率技術(shù)被推薦使用，也是安全核在硬件層面主要采用的技術(shù)。