汽车电子设计为啥这么难？原来是缺了它

安全方法的设计对于降低汽车设计成本至关重要，但是到现在为止，它还是一项正在进行中的工作。

和普通应用相比，为汽车市场设计芯片需要特别大的额外开支，特别是对于安全有着严格要求的芯片。

在验证方面，汽车级芯片需要额外增加6到12个月的验证工作，在设计方面，同样一款处理器，为汽车市场而设计比为移动市场设计需要多出六个月的时间，而且一旦涉及到复杂的电子控制单元或者系统级芯片，这种差异将更加显著。

设计汽车级芯片需要结合有关故障模式、效果、诊断分析（FMEDA）在内的所有报告，从而增加了设计团队的工作量，同时也推迟了获得盈利的时间。

“如果你没有从头就开始考虑这些事情，进展将会更加艰难。” Synopsys的ARC EM处理器产品线经理Angela Raucher表示，“一家从事商业级或者消费级SoC开发的芯片制造商想要进入汽车领域（他们选用的处理器IP不带错误纠正（ECC）），他们需要实现一系列的外围工作。此外，从市场上拿来一个标准微控制器进行改造后用在汽车上，可能需要2到3年的时间。”

这正是安全设计方法学（DFS）的用武之地，这种方法学在安全关键市场已经应用多年，但是对于汽车领域而言，它还算是一个新面孔，因为直到驾驶辅助和自动驾驶出现之前，汽车上的高级芯片通常局限于对安全没有什么要求的信息娱乐系统中。这种情形在过去的几年中发生了巨大的变化，现在，DFS方法学可以用在从子系统级到系统级的方方面面。

“在射频或者雷达技术中，因为物理接口真的很具有挑战性，事情就会变得更加困难。”美国国家仪器公司自动化测试营销总监Luke Schreier表示。“在这些技术挑战中，包括进行空中升级，或者需要建立复杂的天线或者信道模型，或者是一些处理器运算密集型的任务要求-比如大量的数字信号处理任务。这些算法需要进行一系列大型的运算，反映了将尽可能多的射频器件放入CMOS元件中的趋势，或者将尽可能多的模拟器件进行数字化的一般趋势。你期望通过一些其他的手段来发现硅片中的缺陷，然后对其进行补偿或者纠正。”

美国国家仪器公司从事汽车测试和硬件在环技术的开发已经有一段时间，它将汽车的某一部分进行建模，通过模拟仿真的手段避免昂贵和耗时的实车测试。

“当你详细考虑在靠近某个交叉路口、试图不要在一个自动驾驶汽车中撞到一个人这一类的测试中的各种情景模式时，如果你的算法的条件边界比较分明，你仅仅只能在子系统级别上进行一些测试验证，你必须把视角拓展到系统级别上。不过，根据你是OEM还是芯片供应商，你手中的测试类型必须具有一种层次性关系，这样你才可以尽可能多地将一种测试的成果应用到另一个测试上。你肯定不希望OEM厂商的方法学和汽车制造商完全不同。同样的，这个算法有越多部分可以在硅片上进行验证，效果就越好。”Schreier解释称。

同时还需要许多不同的测试能力，而不仅仅是不断提升矢量感知方法或者协议感知方法的效率，原因是需要混合很多种物理激励信号才能够模拟这颗IC在真实世界中可能会遇到的信号和条件类型。

“上述的物理激励可能涉及到摄像头输入，或者所有物理传感器的输入。” Schreier说。“您在算法测试上花费的时间可能和将芯片的物理部分做出来所花的时间一样多。围绕传感器、射频和模拟技术的一些复杂性组合将复杂度提高到了一个完全的维次。即便您可以掌握到晶体管的级别，能将所有这些技术和测试要求在一个封装内结合在一起也是相当复杂的任务。”

还需要做什么？
当开发一个安全相关系统时，一个关键的考虑是最大程度地降低意外行为的风险。在汽车领域中，这更是一个严峻的问题，它增加了整个系统验证过程的复杂性。

“事实上，不可能完全消除风险。但是，将风险降低到一个能够确定潜在后果的可以接受的水平上，是至关重要的。”ARM公司编译器高级产品经理Paul Black说。“这要求开发过程中用到的工具必须是在坚持最大程度地发挥功能的可预测性并将风险最小化的原则下设计、开发、验证和维护的。”

“对于软件工具来说，这种原则通常包括将工具开发过程能够紧密地映射到参考‘V’模型上，这意味着通过结构化的需求和缺陷管理，以及复杂的测试和验证过程，来确保可靠和可信赖的操作。而且这些要求需要能够直接映射到架构、模块设计和集成活动中。” Paul Black进一步解释道。

“目前，这些方法有很大一部分仍然在研究过程中。”Mentor Graphics嵌入式系统部门的首席安全官Robert Bates说，“目前并没有一条固定的路径可供硬件开发人员遵循，也没有一个单一的方式可以使用所有的工具。”

软件同样面临这样的情形。他说，“有很多种方式能够帮助进行安全软件的开发，而工具化基本上是每一种方式都需要的手段。你看看自主驾驶这种事情就会发现，它的软件太复杂了。如果我有一个神经网络或一些其他类型的机器学习系统，而这个系统只是集中在机器学习方面，那么它的安全性将会变得更加难于管理。你不仅需要控制具体实现方案的质量，还需要控制用来训练机器学习的数据质量。”

如果没有一定程度的工具化，这些任务的大部分都无法完成，因为它太大了，人类无法掌控它，Bates指出。“问题在于这里的很多硬件工具化做得非常的初级，软件工具化同样很简单初级。它完全无法和EDA的能力相比较，在这个意义上，现在还无路可走，因为还没有人摸索出道路来。”

其他行业和一部分汽车行业的成员已经将它们的建模环境利用起来，作为其软件开发环境的延伸。他说。“来自MathWorks的Simulink用于MathWorks所有模型的仿真，是一个更加严格的方法，但是问题是，你无法在这样的环境下开发一个应用程序的基本部分，比如，我从来没有发现一个好工具可以对操作系统进行建模，无论是AUTOSAR还是普通的RTOS或类似Linux的复杂操作系统，这些都是手写的。而且，一旦你开始手写，就一发不可收拾了。但是对于应用程序这种级别，它属于一级供应商和OEM厂商在考虑安全性时所考虑的层级，可以更好地利用建模工具实现一定的工具化，因为建模工具可以比较严格地定义它们。”