當前主流的智駕域控硬件方案是 N*SoC+ MCU,那么 MCU 是否可以去掉?
現在 L2+及以上的智能駕駛域控硬件方案的形式主要是:N*SoC+MCU。其中,SoC 一般主要負責感知、全局路徑規劃等,MCU 則負責實時性要求很高的整車控制任務。為什么域控制器電路板上要布置一顆獨立的 MCU 芯片,它的作用是什么,去掉它到底行不行?
一、外掛 MCU 的作用是什么?
在整個智能駕駛解決方案中,外掛 MCU 需滿足功能安全 ASIL D 要求,有多路 CAN 總線接口和高速以太網接口,能與車身傳感器連接,并接收和發送車身 CAN 總線和以太網信息,從而實現域控平臺與整車其它節點進行交互。MCU 主要支持的功能如下:
整車底盤控制功能:作為最后一道關口,對車輛的執行命令進行校驗處理,并對接底盤的控制功能;
狀態監控 :供電模塊狀態、通信狀態、以及交互節點狀態的監控等;
執行最小安全風險策略:當監測到自動駕駛系統發生故障時,外掛 MCU 會及時進入最小安全風險條件,擔負起功能降級、駕駛員接管提醒、安全停車的作用。
二、去掉外掛 MCU,到底行不行
如果打算去掉 MCU,那么原先 MCU 干的“活”誰來接替呢?只能是 SOC 了,那么,現在 SOC 到底有沒有這個能力把 MCU的活全干了呢?按理說是可以的,因為現在很多的 SOC 內部開始集成 MCU 核心-功能安全島,性能也越來越接近外掛的MCU,比如 TDA4VM 內部的功能安全島,已經可以達到 ASILD 等級,在一些情況下是完全可以替代外掛 MCU。
但是為什么現在主流方案依然還是采用 SOC+外掛 MCU 呢?經過找業界相關專家調研咨詢,下面從技術和商業化角度來進行簡單地進行分析總結:
2.1 技術上不是很成熟
雖然越來越多的芯片廠商開始考慮在 SoC 芯片內部內置 MCU 核心,但與傳統成熟工藝的 MCU 相比,內置的 MCU 核心在功能安全、實時性和可靠性方面尚存在一些差距,畢竟任何新技術和新產品都需要一定的時間驗證。
安全性不足,內存有限
英飛凌大中華區智能駕駛市場經理余辰杰曾在一次公開演講中提到:現在的 AI SoC 算力豐富,有 Cortex-A 核、NPU、GPU 等。更有一些 SoC 內部集成一個 MCU 級別的實時鎖步核,稱之為 safety island。它似乎在灌輸一個概念,SoC 里面加了一對鎖步核就是功能安全 ASIL-D 了。其實一對鎖步的實時核跟 ECU 系統,甚至僅僅是芯片自身達到 ASIL – D 等級都不是一個概念。而且受制于 die size,成本等原因,目前一些 safety island 上只集成了非常有限的 RAM。以一個Lockstep R5F 附加 1M SRAM 為例,如果希望程序都運行在 RAM 中,程序的體積受到明顯制約。
“未來單 SoC 的價格會比 SoC+MCU 便宜,即使單 SoC 也能符合功能安全 ASIL D 的要求(目前行業內的大算力 SoC 只能做到 ASIL B),也可以滿足網絡安全要求,但是對于完全自動駕駛安全而言做到‘相對安全’還遠遠不夠,需要做到‘本質安全’,因此筆者認為外掛 MCU 還是非常有必要。”
軟件移植存在風險
單 SoC 芯片方案尚未經過充分的市場驗證,用內置的 MCU 核心去取代外掛 MCU 這種革新式的設計,會有一些風險。
前宇通客車智能網聯副院長彭能嶺認為,之所以現在主流方案還是 SoC +MCU,我覺得大家還是出于一種謹慎的態度,畢竟不同廠家的 MCU 里面的硬件資源以及硬件性能都不會完全一樣。如果把外掛 MCU 的功能移植到內置功能安全島,在軟件的移植過程中會帶來一些風險,比如軟件漏洞、軟件缺陷等。倒不如沿用現在的 SoC+MCU 方案更穩妥。畢竟現在的軟件比以前更復雜,并且國家對產品的安全性、合規性等要求也越來越高。因此,任何車企都不太愿意貿然去冒風險去掉外掛 MCU。
2.2 商業上不是很合算
現階段投資回報率低
主機廠或者 Tier1 已經習慣于把控車等功能放到外掛的 MCU 上去實現,并在上面跑傳統的 AUTOSAR CP 操作系統。現在Tier1 如果打算把外掛 MCU 的功能遷移到內部不但需要投入人力和時間成本,同時也需要滿足一些客觀條件:第一個是SoC 芯片內置 MCU 核心的可靠性和功能安全等級達到了規定要求;第二個是整個軟件平臺也要有對應的方案。從長期來看,這是一個趨勢,但過渡肯定需要時間,需要投入研發成本。
寒武紀行歌產品副總裁劉道福提到,對于現在的車型平臺,主機廠考慮到研發周期的緊迫性,一般不太愿意去嘗試和更換新的架構方案,主機廠已經習慣使用老的架構方案,比如控車用 TC297/397 等,并且這些方案已經很成熟。對于下一代新的平臺,主機廠有更多時間去做研發,會從更高的集成度、更低的量產成本去考慮這件事,可能愿意投入一定的資源去做。在行歌的未來產品中,會考慮將 MCU 功能集成到 SoC 中,從而提高域控制器集成度,降低域控制器的整體 BOM成本。
“目前國內車廠項目的平臺化相對來講沒有海外體系成熟,部分車型項目比較碎片化一些。從 Tier1 的角度來講,如果僅僅是拿到了一個車型或者一個項目,量級可能較小,相應的開發費有限。外掛 MCU 拿掉,雖然硬件上的成本省了一點,但把所有的綜合成本算下來,包括重新匹配 AUTOSAR、以及在 AUTOSAR CP 上部署一些其它軟件等工作算進去,相比沿用已成熟量產的現成方案,估計不太合算。所以它不僅僅是技術層面的可行性問題,更多還需要從商業的角度考慮。”黑芝麻智能產品副總裁丁丁講道。
現階段,外掛 MCU 方案作為成熟方案,具有實現上的便利性和成本上的優勢
外掛的 MCU 已經形成了完整的產業生態和明確的產業分工。英飛凌,NXP 以及瑞薩等傳統 MCU 廠商,MCU 已經做了很多代,各方面都已經比較成熟,在生態鏈上已經有很多合作伙伴。有的合作伙伴負責 MCU 上 AUTOSAR 的適配,有的負責上層應用的開發,已經形成了一個完整的產業鏈條,對于 Tier1 或者車廠來講,只要花錢就能夠找到合作伙伴幫助他們完成。
安霸軟件研發高級總監孫魯毅認為,外掛 MCU 的獨立性更強,Tier1 在它上面開發的一些軟件,做一些基礎性工作,比如 AUTOSAR CP 的適配或基于毫米波雷達的一些功能。基于一顆 MCU 開發的軟硬件可以反復重用,而不用顧慮主控的 SoC芯片究竟選擇的是哪家,進而可以減少 Tier1 的工程量,縮短開發時間、降低開發成本。
三、單 SOC 芯片方案的優勢以及挑戰
當前的智駕域控的主流方案依然是 N*SOC+MCU 的形式,但是,去掉外掛 MCU 在未來是不可忽視的技術趨勢。如果方案中去掉外掛 MCU,并且行車和泊車功能都整合到一個 SOC 里,那么就是理想型的單 SOC 芯片方案了。
3.1 單 SOC 芯片方案的優勢
降低系統復雜度,縮短通訊時延
N*SoC+MCU 的方案不管是片間的通訊,還是硬件的設計,都比較復雜。軟件架構也很難做得很靈活,會存在一些兼容性和適配性的問題。片間雖然可以通過以太網或者 PCIe 進行通訊,但依然存在一定的通訊延遲。而單 soc 芯片方案無所考慮片間之間的通訊連接,主計算的性能核與內置的功能安全島之間共享內存,通信效率比較高,時延要低很多。
有利于整車布置和系統硬件成本的降低
單 SoC 芯片方案,會使得整個系統相對簡單,不僅 BOM 成本能夠有一定程度的節省,同時還可以更好的控制域控制器的設計尺寸,便于整車的空間布置。
有利于整個系統的 OTA 升級
采用單 SoC 芯片方案,那么,跟手機升級流程是類似的——手機里面也是有很多軟件,但他們的 OTA 標準流程是一樣的,所有東西都是通過一個軟件倉庫下載,下載完了進行核對,該升級哪個就升級哪個,這樣流程就會比較簡單。如果是有兩個 SoC,可能有的版本需要考慮均衡性,還得考慮先升級哪一個。并且,升級順序出錯了,就會出問題。如果考慮兩邊一起升級,還需要考慮能不能支持。”
功耗會有一定程度的降低
劉道福認為:“單 SoC 芯片方案的域控制器的功耗表現要好一些。首先,單 SoC 芯片方案能夠避免片間通訊帶來的一些能耗;其次,單 SoC 芯片的域控制器集成度更高,該 SoC 芯片的溢價較高,芯片廠商就有動力去用更先進的工藝,用更先進的工藝便會帶來功耗的減少。”
“功耗實際上是跟驅動電平相關的,芯片一般都是采用 3.3V、1.5V 或者 5V 供電。如果是采用雙芯片的方案,有可能供電電壓不同,就需要匹配兩種不同的電平。即使都是 TTL 電平,有低電壓的 TTL 電平,也有高電壓的 TTL 電平。通常情況下,如果是單芯片方案的話,TTL 電平可以做得更低一些。因此整個系統產生的功耗就可以有一定程度的降低。”彭能嶺從另外一個更細節的技術角度解釋道。
應對外掛 MCU 缺貨帶來的影響
去掉外掛 MCU,采用單 SoC 方案的另外一個最大的推動力源自英飛凌等 MCU 大廠的缺貨。比如,有很多車廠或域控 Tier1都碰到了英飛凌 AURIX 全系列芯片的缺貨。缺貨最直接的后果就是漲價,甚至是漲價都買不到。這種情況下,他們只能無奈“被迫”地去選擇去開發和應用帶有內置 MCU 核心的單 SoC 芯片方案了。
3.2 單 SOC 芯片方案的挑戰
內部基于功能安全上的隔離
對于智能駕駛域控制器單 SoC 芯片方案,主計算的部分和其它部分需要做好功能安全上的隔離,因為一個核心的計算模塊不希望被其它非核心的計算模塊影響到。一般情況下,會按功能安全需求的不同進行劃分,對功能安全有要求的區域與對功能安全沒有要求的要分開,對功能安全要求特別高和對功能安全要求一般的也要分開。
劉道福說:“單 SoC 芯片方案在安全上的挑戰增加了,需要做更嚴格的隔離。首先,SoC 中 MCU 區域的功能安全等級比其他區域要求更高,并且,相比于原來的安全島也會有更多的功能安全設計要求——采用實時核鎖步是最基本的,在一些通路的關鍵電路,甚至會采用 TMR(Triple modular redundancy)電路,在極端情況下,某一個通路出現錯誤時,能通過投票恢復。其次,MCU 區域也需要做更嚴格的隔離,包括時鐘、電源都需要完全獨立,和 SoC 的其他區域進行隔離,避免 SoC 其它區域的故障影響到 MCU 區域。”
彭能嶺也基本認可這一觀點:“對于單 SoC 芯片內部的隔離,不同的公司有不同的做法,比如說內置功能安全島和主計算單元部分要做解耦隔離:電源部分要隔離,計算單元的部分要做隔離。目前常見的隔離手段是光耦器件,但是采用這種手段,在單顆 SoC 上怎么把集成度提升又是一個難題。”
符合要求的理想型 SoC 芯片比較少
據某 Tier1 智駕域控產品經理透露:“單 SoC 域控方案在未來主要適用于中低端車型,因此主機廠在進行 SoC 芯片選型的時候,對成本會比較敏感。這就要求芯片廠商在做芯片設計的時候需要能夠對市場需求充分了解,既不能遺漏需求,也不能過度設計。性能要好、功耗要低,并且價格還要有優勢,從目前來看,能夠滿足市場需求的、高性價比的 SoC 芯片幾乎沒有。”
如果智能駕駛域控要通過 1 顆 SoC 芯片來實現所有的功能,那么需要滿足:
SoC 芯片內部的異構類型要豐富
—AI 加速單元:通常是 GPU 或 NPU 等,承擔大規模浮點數并行計算需求,用于攝像頭、激光雷達等傳感器信息的識別、融合、分類等;
— 通用計算單元:由多個車規級多核 CPU 芯片組成,主要負責一些邏輯運算任務,用于管理軟硬件資源、完成任務調度,同時整合多源數據完成路徑規劃等功能。
— 控制單元:內部應集成 ASIL-D 等級的 MCU 核心,用于替代之前外掛 MCU,實現車輛動力學的橫縱向控制。
— 圖像信號處理單元(ISP):隨著圖像分辨率的不斷提高,增加了攝像頭散熱處理的難度,再加上攝像頭尺寸小型化的發展趨勢,圖像處理單元已經不適合內置在攝像頭,開始逐漸集成到域控制器的 SOC 芯片內部。
支持足夠多的傳感器接入,并能夠提供充足的 CPU 算力和 AI 算力
傳感器接口要豐富,支持多路攝像頭視頻數據接入,多路以太網設備接入(4D 毫米波雷達的主要接口是百兆以太網,激光雷達的主要接口是千兆以太網),多路 CAN 接口設備接入(毫米波雷達)等;
對于低端車型,至少需要 5 個高清攝像頭(泊車至少需要 4 個,行車至少需要 1 個)。而中高端車型配置的行車和泊車攝像頭加起來在 10 個以上,甚至不少車型還同時配置有 4D 毫米波雷達和激光雷達。多源傳感器的接入意味著不僅需要配置相應的接口,同時也需要有足夠大的內存帶寬和充足的算力來保證算法模型的正常運行。
四、從中短期來看,單 SOC 芯片方案是趨勢,但不能 Cover 所有場景
基于芯片技術的發展和不同等級自動駕駛對域控方案的需求,筆者認為,在中短期內,智能駕駛的硬件架構方案未來會出現兩種路線方向:輕量級域控偏向于采用單 SoC 方案;大算力域控支持更高階的智能駕駛功能,對功能安全等級的要求較高,并且需要做系統冗余,所以至少需要另外一個 SoC 用于備份功能,因此,會采用 主 SoC +備份 SoC 的方案,甚至是主域控+副域控制器方案。
4.1 輕量級域控制器 — 單 SoC 芯片方案
輕量級智能駕駛域控制器因受產品定位以及成本的限制,所以對算力的要求(一般在十幾~幾十 TOPS 左右)、傳感器的接入能力以及對功能安全的要求,相比大算力域控制器要低不少。據業內人士透露,量產的國產芯片中就有幾款可以通過單 SoC 芯片支持 L2+級行泊一體方案。比如地平線 J3、行歌 SD5223 、黑芝麻的 A1000 等。
輕量級域控率先采用單 SoC 芯片方案,主要跟其產品定義和應用場景有關。因為它的定位是用于實現 L1~L2+級的駕駛輔助功能。彭能嶺提到 :“L2 級自動駕駛場景一定需要把功能安全等級做那么高么?從合規性的角度,以及產品性能邊界的角度來講,不一定需要。對于 L2 級,國家法規要求駕駛員對安全負責。系統只是在幫助人開車,不需要進入一種最小風險狀態。”
4.2 大算力域控制器— 主 SoC + 備份 SoC/MCU 或者 主域控+副域控方案
為了滿足更高級別自動駕駛功能而設計的大算力域控制器,需要做好域控制器的冗余方案,目前主流的方案有兩種:
a.在一個板子上做主 SoC 芯片和備份 SoC/MCU 芯片(L2+)
b.采用主域控+副域控制器方案(L3 及以上)
據某主機廠的自動駕駛系統專家介紹:“從目前來看,采用單顆 SoC 芯片方案實現系統安全的冗余設計,還沒有比較成熟的方案,最穩妥的做法還是采用主 SoC+備份 SoC/MCU 的方案:一個是主計算單元,做一些常態化的計算,另外一個用于安全監控和應急處理的備份計算單元,當主計算單元出問題了,備份的計算單元用于控車。這是目前比較主流的一種設計方案。”
主 SoC+備份 SoC
A.特斯拉- Autopilot HW3.0 (144TOPS):主板采用雙 FSD 芯片冗余設計,兩顆芯片的供電和數據通道都是獨立且互為備份,減少了功能區故障隱患。兩顆芯片對同樣的數據進行分析,相互驗證、比對分析,再得出最終結論,提高了數據處理的安全性和準確性。
AutoPilot HW3.0 硬件主板(圖片來源 - 特斯拉 AI Day 演講材料)
B.蔚來- 超算平臺 NIO Adam(1016TOPS):該智能駕駛域控平臺采用 4 顆 Orin-X 芯片,包括 2 顆主控芯片+1 顆冗余備份芯片+1 顆群體智能與個性訓練專用芯片。2 主控芯片用于實現 NAD 算法的全棧運算,包含多方案相互校驗感知、多源的高精度定位、多模態的預測與決策;1 冗余備份芯片用于在主控芯片失效的時候,確保車輛的安全。
主域控+ 副域控制器
如果是用于支持 L3 及以上更高級的自動駕駛功能,則需要考慮采用主域控+副域控制器設計方案。因為雙芯片方案也會存在一些問題,畢竟是在一塊板子上,兩顆芯片的位置不會離得特別遠,假如遇到一個強磁場,或者高溫的影響,兩顆芯片很有可能會同時失效。
如果是兩個域控,布置的位置會遠一些,在極端的情況下,他們受到的影響也是獨立的,整個系統的安全性會提高很多。如果是設計兩個兩個完全相同的域控,則成本便會高很多,一般不會采用這樣的設計。為了兼顧成本,一般會選擇另外一個干其它工作的域控“兼職”做智駕域控的“副手”,在主域控出問題的時候,能夠代替主域控實施控車的職責,把車靠邊停下來即可。
A.長城汽車 -GEEP4.0 架構:該架構的硬件平臺由中央計算平臺(CCU)、智能座艙模塊(HUT)、智能駕駛模塊(IDC),以及 3 個區域控制器(VIU_L 、VIU_R 以及 VIU_F)組成。其中 IDC 是智能駕駛的主控制單元,在高階自動駕駛配置下,CCU 可以作為 ICU 域控制器的備份,實現最低風險條件。
B.上汽零束 -銀河全棧 3.0 架構方案:該架構的硬件由兩個高性能計算單元 HPC1 和 HPC2 以及四個區域控制器(ZONE)構成。兩個高性能計算單元中的一個是用于智能座艙和智能駕駛功能,另外一個主要做網關和車控以及 BCM 等功能,另外還承擔智能駕駛的備份功能。
END
相關文章
