丹尼尔·伯纳尔
共同作者:CoreAVI首席销售和市场官Dan Joncas
Mark Armamy ,Arm汽车媒体软件架构师
每年的新车型都会为数字仪表板带来新的设计。数字集群包括安全内容以及确保驱动显示器的电子设备符合ISO 26262 ASIL B安全标准的机制。这些设计达到了与模拟仪表组相同的安全要求,很好地达到了目的,这主要是由较小的安全微控制器提供的信号和档位。当前仪表盘设计所采用的安全机制位于显示屏一侧,足以满足此安全要求。下一代车辆显示器将开始基于传感器数据纳入更复杂的安全内容,这些数据主要由高级驾驶员辅助系统(ADAS)驱动,该系统为操作员提供实时感知系统反馈。这样的一个例子可能是以围绕检测到的物体或障碍物的边界框的形式。这种类型的显示为驾驶员提供了增强的态势感知能力。
为了满足对更复杂的安全内容的必然需求,Arm推出了其新的高性能图形处理单元(Mali-G78AE),具有新的灵活分区功能,并增加了安全软件堆栈VkCore Functional Safety Suite的支持。在Arm,CoreAVI的 支持下开发将适用于Arm最新Mali-G78AE GPU IP的全面图形和计算驱动程序和库套件推向市场,这些套件将经过认证可用于ISO 26262 ASIL D应用程序。通过具备安全功能的应用处理器,Mali-G78AE和VkCore功能安全套件为汽车一级和OEM提供了基础,使他们能够设计具有安全功能的GPU硬件加速的安全驾驶舱HMI。下一代汽车HMI建立在具有安全功能的硬件和软件的基础上,汽车设计人员将使用它们来建立消费者对ADAS和自动系统的信心。
从安全发展中吸取的教训
航空电子行业和航空电子驾驶舱也经历了类似的发展。多功能触摸屏显示器已经取代了过去的仪表和指示器。高性能SoC不仅用于向驾驶员传达基本信息,而且还可以在人机界面(HMI)中获得增强的视野和增强的态势感知能力,从而使飞行员能够直观地解释大量不同的信息。与航空电子行业的发展类似,随着时间的推移,这些高可靠性和安全性至关重要的汽车系统中使用的GPU和相关软件驱动程序将采用更多具有安全性的电子产品。这些新系统满足特定目的,旨在满足功能安全标准,可进行确定性计算(也就是说,序列的状态持续提供相同的输出给定相同的输入)和 软件将符合MISRA-C指南编写的安全关键软件按照ISO 26262等安全标准。
应用用例
当前汽车领域的一个趋势是将多个驾驶舱功能合并到一个驾驶舱域控制器(CDC)中。CDC是一个平台,在这个平台上,多个传统车辆ECU可以合并为一个单一ECU上的软件工作负载。在单个系统上同时运行安全和非安全工作负载(混合临界性)是CDC的另一个价值主张。在CDC上配置具有适当资源以满足性能和安全需求的工作负载,对系统架构师来说一直是一项挑战。为共享资源(如内存控制器和设备)提供适当的系统服务质量(QoS)特性是很重要的。通常,具有确定性计算截止日期的工作负载可能无法与其他工作负载共享资源——对于确定性安全HMI工作负载来说是这样的。Arm Mali-G78AE灵活分区特性是一个创新的特性,它允许在启动时将GPU分割为1、2或4个适当大小的GPU。这些gpu可以分配给不同的工作负载。在下面的例子中,在引导时Mali-G78AE GPU可以配置为4个GPU。可以分配给一个GPU安全仪表组的渲染,第二个GPU可以分配给安全呈现一个增强现实的抬头显示器(HUD),第三个GPU可以分配给安全计算支持司机监控系统(DMS),第四个GPU可以分配给IVI OS,例如Automotive Grade Linux(AGL)或Android Automotive。
安全HMI架构
ISO 26262 ASIL B认证图形的用例并不是新的,在现有的设计中得到了支持。在仪器集群中集成安全内容和非安全内容是很常见的。在当前的系统中,渲染可以由质量管理(QM)硬件和软件来执行。安全装置是一个ASIL B安全监视器,用于确认安全内容的正确呈现和显示。最常见的方法是在显示控制器中使用专用硬件,为屏幕的一个小区域生成CRC。此CRC与应用程序提供的参考CRC值进行比较。如果它们匹配,您就知道QM图形系统工作正常,与安全相关的内容也会正确显示。
这种方法适用于简单的内容像风标和动力传动系统齿轮位置。在这些情况下,安全内容在输出、位置和呈现在专用屏幕区域中是可预测的。不幸的是,如果不满足这个标准,这种方法就不能很好地扩展。不符合这些标准的例子有:动态的泄密、自定义背景上的泄密,以及安全内容是动态的HMIs上的新用例。这将在未来的ADAS和自动感知系统中很常见,这些系统与操作员进行通信,将检测和识别的物体包围起来。
为了支持未来的可扩展方法,设计过渡到支持安全应用程序运行在安全合格的应用程序核心上的系统架构。这包括符合ASIL B标准的图形子系统,即符合安全标准的GPU硬件和软件驱动程序。这为满足ASIL要求的HMIs的无限创新提供了基础。用户界面可以安全渲染与GPU加速在其适当的领域(ASIL B或ASIL QM),然后最终的HMI可以安全合成安全显示。
安全HMI应用程序开发
航空电子领域的安全应用利用了OpenGL安全关键(SC) API启用的GPU加速。用于Mali-G78AE的VkCore功能安全套件将支持OpenGL®SC 1.0.1、2.0和Khronos小组正在开发的Vulkan SC 1.0 API。目前,最先进的载体HMIs利用了OpenGL ES和Vulkan api。过渡到安全渲染将严格为安全内容。HMI设计者将利用HMI工具,这些工具支持一个工作流,允许为安全和非安全呈现域标记某些数据和/或表面。HMI工具合作伙伴的生态系统将支持从ASIL QM HMIs到由安全HMIs组成的安全HMIs的简单过渡的工作流程。Arm的HMI合作伙伴生态系统非常幸运,包括但不限于以下内容:
Altia公司的嵌入式软件工程师Jason Lewis说:
“软件安全标准为软件开发增加了巨大的价值,但也增加了成本。 Altia将利用Arm的安全呈现创新减少部署安全人机界面解决方案的成本和复杂性。”
ANSYS的产品营销经理Xavier Fornari说:
“与行业领袖CoreAVI和Arm密切合作,Ansys能够提供基于模型的合格代码生成技术在一个完整的解决方案堆栈安全和认证嵌入式显示器,这需要更多的安全关键和任务关键软件的ADAS和自动驾驶车辆。”
DiSTI公司UX/UI技术副总裁Christopher Giordano说:
“我们对Arm的新Mali-G78AE和VkCore功能安全套件将对汽车行业产生的影响感到兴奋。凭借20多年的功能安全专业知识,DiSTI凭借我们的GL Studio UI工具被授予Arm汽车开发者社区的注册会员,该工具在5年前率先成为市场上通过ISO 26262 ASIL D认证的市场。结合我们最近更新的ASIL D认证,我们希望继续与Arm和CoreAVI在其行业领先的GPU和驱动程序版本上进行长期成功的合作,以期将具有成本效益的对安全性至关重要的UX / UI开发引入汽车OEM及其供应商”
Jussi Lehtinen,右边的CTO说
“汽车系统正变得越来越复杂,与此同时,客户对丰富的图形和直观的用户体验的期望也在增长。”与仅依赖于验证的系统相比,标准的、可认证的api(如Open GL SC)简化了向新系统的迁移,并使更高级的用例能够可视化。安全渲染允许ASIL和非ASIL UI内容的无缝集成,并通过更丰富的图形和更流畅的动态内容动画改善用户体验,最终推动HMI的创新。
强大的伙伴关系
航空航天界的伙伴关系对于满足每年安全飞行全球数百万人的雄心勃勃的要求至关重要。技术已经变得如此复杂,以至没有任何一家公司或实体可以“了解全部”或“全部完成”。在航空航天世界中,政府,原始设备制造商(OEM)和众多供应商密切合作以实现共同的目标。另一方面,汽车行业的合作伙伴关系更侧重于供应链的协调,而不是技术领域的和谐。随着汽车系统变得更加自治,以及人工智能和机器学习变得越来越普遍,汽车界的技术合作伙伴关系将变得越来越普遍。举个例子,CoreAVI(作为安全关键应用平台IP的供应商)已经在整个航空电子供应链中建立了合作伙伴关系。CoreAVI与Arm的合作在汽车市场也遵循同样的传统。
总结
飞机座舱和汽车座舱的共同历史以及技术采用的发展都基于人机交互的基础。随着飞行员和驾驶员的任务变得越来越复杂,安全性变得越来越重要,人们需要使用技术来帮助实现这些目标。随着技术变得越来越复杂,与这些系统的开发相关的认证过程也变得越来越严格。这两个市场(汽车和航空航天)一直相互学习。当今的技术已经变得如此复杂,操作员对这些系统的“依赖”变得如此普遍,以至于汽车和航空航天之间知识和经验的共享比以往任何时候都更加重要。
支持安全渲染,安全计算,安全合成和安全显示的汽车平台将使过渡到HMI和其他用例的更安全应用程序处理成为可能。对于具有负责向车辆操作员传达与安全相关的态势感知信息的汽车UI设计人员而言,拥有可扩展的,可安全认证的硬件和软件架构以及基于标准的应用程序API将变得越来越重要。使用支持ASIL B的硬件和软件的技术和系统设计模式将有助于提供更安全的系统设计,而不会限制创新的步伐。Arm致力于通过开放标准以及必要的硬件和软件支持来构建生态系统,以实现低成本,可扩展且安全的汽车驾驶舱和车辆电子设备。
审核编辑 黄昊宇
全部0条评论
快来发表一下你的评论吧 !