摘要
本文详细探讨了具有功能安全和网络安全能力的汽车应用功能安全半导体芯片设计,重点关注软件定义汽车(SDV)架构。研究了半导体芯片中人工智能 / 机器学习加速器的集成,以提高实时性能、安全合规性和预测性故障检测能力。随着现代汽车系统复杂性的增加,满足(ASIL-B)汽车安全完整性等级 B 标准对于确保关键系统的可靠性和安全性至关重要。我们探索了一种新型半导体芯片的设计,该芯片能够无缝集成人工智能 / 机器学习模型,包括深度学习、强化学习和异常检测,以实时预测、识别和缓解故障。文章还强调了容错机制的重要性,包括冗余内核和 N 模块冗余(NMR),以确保在故障发生时能够继续运行。此外,我们讨论了人工智能 - 机器学习加速器(如 ASIC、TPU 和 FPGA)如何在汽车环境中显著提高处理效率、减少延迟并增强能源效率。还涉及了网络安全等关键考虑因素,以防范潜在的系统漏洞,同时保持对 ASIL-B 安全需求的合规性。
引言
随着对自动驾驶汽车(AVs)、高级驾驶辅助系统(ADAS)和软件定义汽车(SDVs)(图 1)需求的增长,汽车行业正经历着变革性的转变。这些车辆需要复杂且高度可靠的计算系统,能够处理来自各种传感器、摄像头和其他输入设备的大量数据,特别是在具备功能安全和网络安全能力的情况下。这些系统的核心是半导体芯片,它们负责执行车辆安全高效运行所需的计算任务。随着行业的发展,对半导体芯片的需求日益增长,这些芯片不仅要提供高计算能力,还要遵守严格的功能安全标准,确保其在关键任务环境中能够可靠运行。本文重点关注一种新型功能安全半导体芯片的设计,该芯片集成了人工智能 / 机器学习加速器,以满足 ASIL-B 汽车安全完整性等级 B 的要求,并为软件定义汽车提供高性能、安全性和效率(图 2)。
图1:软件定义的车辆架构——高级概述
图2:软件定义的车辆生态系统
本研究中探索的半导体芯片设计通过将人工智能 / 机器学习硬件加速器直接集成到芯片架构中,代表了一项重大的技术创新。在半导体芯片中利用深度学习模型、强化学习和预测分析,可以实现低延迟的实时传感器数据处理。通过使用人工智能 / 机器学习加速器,如专用集成电路(ASICs)、张量处理单元(TPUs)和现场可编程门阵列(FPGAs),该芯片能够高效处理软件定义汽车智能决策所需的计算密集型任务(图 1)。这些加速器旨在优化来自摄像头、雷达、激光雷达和超声波传感器的大量数据处理,这些是实现碰撞避免、自适应巡航控制和自主导航等高级车辆功能的关键输入。
本研究的核心是强大的功能安全设计,旨在满足 ASIL-B 必不可少的可靠性和容错要求。为确保高水平的操作安全性,该芯片设计采用了冗余处理单元和双核架构,每个内核负责独立处理安全关键任务。当一个处理单元发生故障时,系统可以通过切换到备用单元继续运行,实现无缝故障转移,并确保车辆即使在出现故障时仍能正常运行。此外,使用 N 模块冗余(NMR)增强了系统检测、隔离和从错误中恢复的能力。这些特性使该芯片能够满足 ASIL-B 标准,确保即使在存在故障的情况下,安全关键功能也能保持正常。该芯片的架构还设计为支持传感器融合,结合来自多个来源的数据,以提供对车辆环境更全面的理解。应用人工智能算法处理和解释融合数据,实现实时决策并提高态势感知能力。例如,当车辆在交通中行驶时,该芯片处理来自各种传感器的输入,以确定最佳路径、调整速度并对动态障碍物做出响应。这种基于来自多个传感器的聚合数据做出智能决策的能力,确保车辆能够在复杂环境中自主运行,同时保持安全性。
半导体芯片的网络安全是设计的另一个关键方面。随着软件定义汽车越来越依赖人工智能,网络攻击的风险也在增加。为缓解这一威胁,该芯片集成了基于硬件的安全功能,如安全启动、数据加密和篡改检测。这些功能确保芯片免受恶意干扰,维护人工智能算法的完整性,并保护车辆的关键系统。
本文还探讨了所提出的半导体芯片的可扩展性,强调该架构如何适应自动驾驶和智能交通系统未来的需求。人工智能 / 机器学习加速器使该芯片具有灵活性,能够处理随着车辆发展而日益复杂的任务。这种适应性至关重要,因为汽车行业将继续创新并引入新的自主功能,如 4 级 / 5 级自动驾驶和车联网(V2X)通信。该芯片设计还为未来的车载人工智能系统奠定了基础,这些系统将实现车辆与其环境之间的无缝交互。
方法论
本研究中针对汽车应用功能安全的半导体芯片设计方法论,侧重于一种系统化方法,以确保芯片满足所需的(ASIL-B)汽车安全完整性等级 B 标准,同时集成先进的人工智能 / 机器学习加速器,实现高效的实时决策。该方法论分为几个关键阶段:
系统需求分析:第一阶段涉及理解和定义功能安全需求,包括汽车应用(特别是自动驾驶和高级驾驶辅助系统(ADAS))所需的容错能力、冗余和实时处理。
设计规范:基于安全和性能需求制定半导体芯片设计规范。这包括选择合适的人工智能 / 机器学习加速器,如能够处理计算密集型任务同时确保低延迟处理和能效的 ASIC 和 FPGA。
冗余和容错设计:为确保符合 ASIL-B,芯片架构集成了双核处理器、N 模块冗余(NMR)和故障检测机制。这使得即使其中一个处理单元出现故障,芯片仍能继续运行。
人工智能 / 机器学习集成:将人工智能和机器学习模型嵌入芯片,以实现关键任务(如碰撞避免、路径规划和目标识别)的实时推理。对这些模型的性能进行准确性、功耗和处理速度方面的评估。
仿真和验证:进行严格的仿真,以根据功能安全指标验证芯片的性能。这些仿真测试芯片对各种故障场景的响应,并确保在不同故障条件下保持安全关键功能。
网络安全措施:集成芯片启用的安全功能,如安全启动、数据加密和篡改检测,以保护芯片免受网络威胁,确保功能和人工智能系统在运行期间保持完好。这种方法论确保半导体芯片既具有功能安全性,又具备人工智能驱动能力,为下一代自动驾驶汽车提供可靠、高性能的解决方案。表 1 提供了软件定义汽车的能力和特性。
表 1:软件定义汽车的能力和关键特性
问题陈述
随着汽车行业向软件定义汽车(SDV)转型,同时确保功能安全和网络安全是一项重大挑战。软件定义汽车对软件和连接性的依赖日益增加,使车辆面临新的安全风险和网络安全威胁。缺乏一个集成的、强大的框架来解决运行安全性和针对网络攻击的保护问题,威胁到这些车辆的可靠性、功能安全和网络安全。这一问题因需要管理实时系统失效、防范不断演变的网络威胁以及在所有情况下维护乘客、道路使用者和关键车辆功能的安全而变得更加复杂。
解决该问题的影响
增强安全性:通过结合功能安全和网络安全措施,软件定义汽车可以为乘客、行人和道路使用者实现更高水平的安全,确保关键系统即使在不利条件或攻击下也能按预期运行。
提高对软件定义汽车的信任:全面的功能安全和网络安全方法将建立消费者对软件定义汽车的信心(图 5),确保驾驶员信任车辆的自主系统和连接功能。
法规合规:应对这些挑战可确保符合全球汽车功能安全和网络安全法规,允许软件定义汽车在不同市场更广泛地采用。
抵御网络攻击的韧性:强大的网络安全措施将保护车辆免受未经授权的访问,降低远程攻击的风险,并保护敏感的用户数据,减轻与联网汽车相关的日益增长的威胁。
研究目标
开发集成框架:为解决软件定义汽车架构中的功能安全和网络安全问题,需要一个全面的集成框架,能够检测、缓解和响应与安全相关的故障和网络攻击。
确保符合功能安全和网络安全标准:该框架必须符合功能安全标准(如 ISO 26262)和网络安全标准(如 ISO/SAE 21434、UNECE WP.29),以确保车辆功能安全和网络安全的统一方法。
实时响应机制:软件定义汽车架构应整合实时监控和响应机制,以处理出现的系统故障和网络威胁,确保车辆控制和驾驶员安全不受损害。
安全通信和数据保护:为防范网络威胁,特别是在车联网(V2X)和空中下载(OTA)系统中,该架构应整合强大的加密、认证和安全通信协议。表 2 提供了安全通信环境中的功能安全和网络安全关键指标。
表 2:功能安全和网络安全关键指标
研究工作的主要贡献
功能安全
人工智能驱动的故障检测:人工智能和机器学习的使用显著增强了软件定义汽车检测关键车辆系统(如制动、转向和传感器)失效的能力。这实现了失效的早期检测和缓解,将停机时间减少高达 30%,并提高了整体安全性。
预测性维护:通过利用人工智能 / 机器学习进行预测性维护,软件定义汽车可以在潜在系统失效发生之前对其进行预测,从而实现主动维修。这将意外车辆失效减少 30-50%,并有助于将维护成本降低 25%。
自主安全功能:人工智能提升了自动驾驶系统的性能,使事故减少 40-50%。基于人工智能的应急系统在成功应对危机方面也表现出 15-20% 的改进,为乘客和道路使用者提供额外保护。表 3 提供了在自主安全能力背景下软件定义汽车的系统性能。
主要结果摘要
芯片的性能指标
表 3:软件定义汽车的系统性能
网络安全
实时威胁检测:机器学习算法实时监控和响应网络攻击。检测未经授权访问或恶意入侵的能力已提高 80-90%,在大多数情况下,威胁可在 1 秒内识别。
安全车联网通信:人工智能在保护车辆与外部系统之间的通信网络(车联网)方面发挥着重要作用,有效防止数据欺骗和未经授权的访问尝试,有效性达 98%。这将整体系统可靠性提高了 10 倍。
空中下载更新安全性:通过在空中下载更新过程中集成人工智能 / 机器学习模型,本文提供了一种检测恶意软件更新的方法,将安全性提高 50-70%。对潜在有害的空中下载更新的检测是自动化的,减少了人为干预和相关错误。
人工智能 - 机器学习集成实现全面安全保障
人工智能在自主决策中的应用:人工智能在决策中的作用使软件定义汽车能够动态适应驾驶环境,避免碰撞的成功率达 99.9%,并将能源效率优化 10-15%。
网络物理完整性:人工智能 / 机器学习系统监控软件定义汽车的软件和硬件组件(图 5),确保它们协调工作,而不会损害安全性。这有助于安全关键系统实现 99.99% 的 uptime,并将安全风险降低多达 50%(图 4)。
主动漏洞管理:人工智能模型识别系统漏洞并支持及时修补,将潜在威胁的暴露减少 40-60%。这种主动方法确保在漏洞被利用之前得到解决(图 3)。
图3:现有的汽车系统架构
图4:新兴的中央计算分区系统架构
图5:仿真验证的开发环境和工具链
现有架构
传统架构领域架构
系统设计架构
具有功能安全和网络安全的软件定义汽车(SDV)的系统设计架构集成了多个关键组件,以确保车辆能够安全、可靠、高效地运行。这些组件协同工作,实时处理车辆功能和安全威胁的复杂性。以下是关键架构组件的摘要:
· 集中式车辆控制单元(VCU)。
· 传感器融合和感知层。
· 空中下载(OTA)更新系统。
· 车载通信基础设施。
· 人工智能和机器学习(AI/ML)层。
· 车联网(V2X)通信系统。
· 用于监控和事件响应的安全运营中心(SOC)。
· 冗余和安全关键系统。
· 嵌入式功能安全与网络安全模块。
· 用于数据和控制的云集成。
功能安全和网络安全评估
开发和验证环境
在软件定义汽车(SDV)架构中,确保功能安全和网络安全对车辆的整体功能安全、网络安全和可靠性至关重要。以下是用于评估这两个领域有效性的评估指标摘要,以及基于一篇关于软件定义汽车的研究文章的假设结果。开发环境具有标记为 1-6 的关键组件(图 6)。
图6:功能安全和网络安全互连
功能安全评估指标
安全完整性等级(SIL)
定义:根据失效可能性衡量关键车辆系统(如制动、转向)的可靠性和安全性。
指标:安全完整性等级(SIL 1 至 SIL 4),其中 SIL 4 是最高安全等级。
评估:架构的安全关键系统必须满足适当的安全完整性等级标准,以确保这些系统的失效率最小化。
自动驾驶控制和紧急制动等关键系统达到了 SIL 3。
· SIL 4 适用于备用安全系统,如转向控制和应急电源管理。
非关键系统为 SIL 2,确保在安全性和成本效益之间取得平衡。
故障检测和响应时间
定义:衡量系统检测故障并做出响应以确保车辆安全的时间。
指标:故障检测和响应时间(以毫秒或秒为单位)。
评估:安全关键系统(如紧急制动、转向控制)的实时故障检测、诊断和缓解 。
结果
· 平均故障检测时间:<50 毫秒。
· 安全关键失效的响应时间:<100 毫秒,确保快速启动备用系统或故障保护。
符合安全标准
(例如,ISO 26262)
定义:评估车辆架构是否符合国际安全标准,如道路车辆的 ISO 26262。
指标:符合 ISO 26262 合规需求的安全关键系统的百分比。
评估:验证安全关键系统的设计、验证和运行是否符合所需的安全标准。
结果
制动、转向和自动驾驶控制等安全关键系统 100% 符合 ISO 26262。
网络安全评估指标
漏洞评估和风险等级
定义:衡量系统内识别的潜在漏洞数量及其严重程度(图 7)。
指标:基于被利用风险的漏洞评分(低、中、高)。
评估:安全评估识别软件和硬件系统的漏洞,并分配风险评分以指导缓解工作。
图7:网络安全加密芯片的子组件
结果
· 低漏洞评分:在软件中识别出 4 个漏洞,其中 1 个高严重性漏洞(立即修补)。
· 中漏洞评分:识别出 8 个漏洞,大多数与通信协议相关,均通过加密和安全通信方法缓解。
入侵检测和防御系统(IDPS)有效性
定义:衡量车辆网络安全系统检测和阻止恶意活动或入侵的能力。
指标:检测率(检测到的网络攻击百分比)和误报率(被标记为威胁的良性活动百分比)。
评估:入侵检测和防御系统(IDPS)必须实时检测恶意尝试,并最大限度地减少对正常操作的干扰。
结果
· 检测率:95% 的网络攻击(包括远程黑客尝试)实时检测到。
· 误报率:<2%,确保不会因过多警报而影响车辆正常运行。
空中下载(OTA)安全评估
定义:评估通过空中下载(OTA)传输的软件更新的安全性,以确保没有恶意代码注入车辆。
指标:成功、安全的 OTA 更新的百分比。
评估:OTA 更新应进行加密和签名,以保证完整性并防止篡改。表 2 提供了 OTA 安全能力的功能安全和网络安全关键指标。
结果
· OTA 成功率:100% 安全更新交付。
无 OTA 更新受损情况:所有更新均通过数字签名和端到端加密进行验证。
结论
为基于人工智能 / 机器学习的软件定义汽车(SDV)架构设计的半导体芯片是汽车行业的一项关键进步,为自动驾驶和智能车辆系统提供了支持。这些芯片旨在满足高性能计算(HPC)需求,实时处理大量传感器数据。凭借内置的人工智能 / 机器学习能力,这些芯片有助于实现预测性维护、异常检测和实时决策,这对于安全高效的自动驾驶至关重要。
功能安全是其设计的关键,确保制动和转向等关键系统符合 ISO 26262 标准和安全完整性等级(SIL),保证车辆在出现故障的情况下仍能安全运行。这些芯片还集成了强大的网络安全措施,包括入侵检测系统、安全的 OTA 更新和车联网(V2X)通信加密,确保车辆系统的完整性、机密性和可用性,抵御网络威胁。
这些半导体芯片的高性能计算能力支持超低延迟处理和高准确性,为动态驾驶环境中的近实时决策提供了可能。随着车辆越来越依赖人工智能 / 机器学习驱动的系统,这些芯片提供了支持复杂自动驾驶算法所需的算力,同时保持严格的功能安全和网络安全标准。
对软件定义汽车(SDV)架构中功能安全和网络安全的评估表明,故障检测、冗余、OTA 安全和车联网(V2X)通信安全等关键组件的性能符合预期标准。功能安全指标凸显了高水平的安全性,关键系统和备用系统分别符合 SIL 3 和 SIL 4 标准。相比之下,网络安全指标展示了强大的防御机制,实现了高检测率和极少的误报。这些评估的结合强调了软件定义汽车架构的可靠性、安全性和安保性,使其能够应对操作风险、网络威胁和低交通流量时段的情况。
总体而言,设计具有人工智能 / 机器学习、功能安全和网络安全能力的半导体芯片代表了未来软件定义汽车的核心。它们提高了车辆的性能、功能安全和网络安全,支持在日益互联的世界中全自主、高安全性和高效车辆的发展。这些功能的集成确保了汽车系统的可靠性和韧性,使其成为下一代汽车发展的关键。
本文由豆包软件翻译,如有不当之处请参照原文
下载请扫二维码:
