瑞萨电子为无人驾驶汽车推出硬件故障探测及预警技术

瑞萨电子近期宣布推出为汽车运算系统的功能安全而研发的硬件故障探测及预警技术。与此同时，还成功开发出一种支持ISO26262 ASIL B汽车功能安全标准、采用16纳米FinFET工艺的汽车运算片上系统(SoC)原型机。

近来在汽车无人驾驶系统的研发方面进行了大力投入，预计2020年将迎来无人驾驶时代。由国际标准化组织(ISO)颁布的ISO26262道路车辆功能安全标准对3.5吨以下汽车的安全相关系统的电子和/或软件的整个安全生命周期下了定义，包括特别推荐减少随机硬件错误，包括硬件安全系统的诊断和/或具体使用。

当在驾驶过程中发生内部故障时，无人驾驶车辆的汽车运算系统应能够安全地停车或继续安全驾驶。因此，尽管汽车运算系统SoC比早先的SoC更大规模且功能更复杂，能够在短时间内高速处理大量来自摄像头或其他传感器的数据，但依然需要具备一定的安全机制。检测硬件故障的方法包括重复逻辑和自测试等。对于这些大型SoC而言，复杂的功能和频繁的运行很难对所有功能进行重复逻辑。而如果要对大型SoC进行可靠性高的自测试，就必须长时间关闭自主驾驶及其它操作所需的相关功能。

为了解决这些问题，瑞萨研发出了基于最先进技术的自测试机制的硬件故障检测技术。利用该技术，即使是自主驾驶系统所采用的大型SoC也能满足ISO26262ASIL B汽车功能安全标准的要求，比如诊断覆盖率。

此外，瑞萨还开发出一种预测和抑制因硬件故障导致瞬时电压下降的系统，能够有效防止此类故障的发生。

新开发技术的主要特点如下：

(1)支持时间分割和独立模块测试的运行中自测试系统。

检测运行时发生的随机硬件故障的方法之一是停止SoC自身程序的运行并进行自测试(运行中自测试)。这一方法适用于大型电路，因为它能在没有多余逻辑电路的情况下检测硬件故障。此外，与仅适用于软件的自测试相比，使用内建自测试(BIST)硬件可以减少测试时间。然而，实行运行自测试需要停止 SoC的正常功能，且应用程序不能在此时间段启动。此外，随着SoC功能日益复杂且型号增加，测试时间越来越长，可能导致延长期内自主驾驶运行功能的关闭。

为了解决这一问题，瑞萨在CPU与GPU功能模块里使用了BIST系统，并为BIST系统在模块中集成了控制器。此外，瑞萨开发出可使运行中自测试以时间分片进行运行的功能。这一功能可以支持音频处理，使处理过程的中断短于2ms成为可能。通过以下步骤实现这一点：(1)在包括4个CPU的CPU群中某个CPU上运行自测试，在其余的3个CPU上继续程序运行;(2)将GPU自测试分割成多重区域，以时间分片的方式运行这些区域。

瑞萨通过将因测试而导致的SoC无法使用的中断时间及其持续期最小化，使其比安全功能运行可能被中断的容忍时间更短，这让在更复杂、更大规格的SoC上实现ISO26262 ASIL B功能安全标准(如诊断覆盖率)成为可能。

(2)抑制电压下降引起硬件故障的系统

有时SoC逻辑电路的过度运行会导致瞬时电压下降。随着逻辑电路运行频率增加，电路内运行振幅增大，电压下降越来越明显。此前的设计运用了提供足够的电压保证以应对最大程度的电压不足的方法。但是，由更精密加工工艺与更高运行频率所造成的低供电电压使得在设计中提供足够的电压裕量变得很困难。

瑞萨开发出以下三个系统以解决这个问题：

超高速电压采样系统

瑞萨开发出高速电压采样系统，将随着电压不同而存在传输时间变化的可变延迟电路与一个根据数字信号转化为时间差的时数转化器结合起来。这种电压抽样系统可以与最高的CPU时钟以同样2GHz运行。

电压下降预测系统

这一系统根据电压抽样系统中获取的电压信息提前四个周期预测电压下降。如果预测的电压值低于提前设定的阈值，时钟供给应当被停止。

高功能计时控制系统

系统结合时钟门控电路与时钟分频电路，在接受到时钟停止请求后立即停止时钟供应来抑制电压下降。通过从停止时钟请求前的频率更低的频率开始增加频率逐渐恢复时钟供应的方式，最小化由重启时钟供应带来的电压下降。

通过结合利用这三个系统，可提前探测可能发生的电压下降，并防止由此导致的硬件故障。

基于硬件故障探测和预测技术，瑞萨采用16纳米FinFET工艺研发出支持ISO26262 ASIL B汽车功能安全标准的汽车运算系统SoC。SoC具有异质的多核结构，包含具有三种类型的9个CPU。它同时也提供强大处理能力的图形处理器(GPU)。

瑞萨希望提供汽车运算系统发展平台，使用这些技术引导无人驾驶时代的到来，致力于开发安全环保型汽车。