2022瑞萨电子车规级MCU采用日本IP公司的RISC-V CPU-ISO 26262-ASIL-D
2021年11月日本东京NSITEXE, Inc.总裁兼首席执行官Yukihide Niimi宣布 ,公司基于 RISC-V 的带有矢量扩展(DFP:Data Flow Processor)的并行处理器 IPDR1000C已授权瑞萨电子用于 RH850/U2B 微控制器 (MCU),这是一组功能强大的新型汽车 MCU。据介绍,RH850/U2B MCU 旨在满足日益增长的将多个应用程序集成到单个芯片中的需求,并为不断发展的电气电子 (E/E) 架构实现统一的电子控制单元 (ECU)。跨域 RH850/U2B MCU 兼具高性能、灵活性、无干扰性和安全性,专为满足车辆运动所需的严苛工作负载而打造,包括混合动力 ICE 和 xEV 牵引逆变器、高端区域控制、连接网关和域控制应用。RH850/U2B MCU 部分配备了 DR1000C,这是一种基于 RISC-V 的并行处理器 IP,带有矢量扩展(DFP:数据流处理器),由 NSITEXE, Inc. 授权作为加速器。DR1000C 非常适合卸载针对安全关键系统的汽车 MCU 所需的重载算术处理(模型预测控制、实时建模、传感器数据处理等)。多达 16 个硬件线程可以有效利用矢量处理器,从而实现极高的功耗性能。
DR1000C 是全球首款(截至 2021 年 6 月 30 日)符合 ISO 26262 车辆功能安全标准的 ASIL D 安全要求级别的RISC-V 处理器,并已获得 SGS-TüV 的 ISO 26262 ASIL D Ready 认证。具体来说,它是一种并行处理器,经过优化设计,通过多线程机制和向量指令来卸载车辆控制微机 (MPU) 需要执行的密集计算。通过集成 DR1000C,车辆控制 MPU 可以应对模型预测控制等高级控制算法,并满足日益严格的清洁能源法律法规。符合 ASIL D 标准的 DR1000C-SDK(软件开发套件)提供安全和准确的线程控制以及内存保护和时间保护功能。通过利用这些功能和符合 ISO 26262 的工具链,用户可以专注于应用程序开发,从而缩短开发时间。SDK 中包含的线程控制软件具有安全关键系统所需的各种功能,例如实时任务的优先执行和线程执行监控。DR1000C-HSK(硬件安全套件)提供故障模式影响和诊断分析 (FMEDA)、安全手册、安全案例报告和 ISO 26262 相关文档。它减少了分析汽车 MCU 的功能安全以及获得其认证所需的时间。DR1000C 基于 ISO 9001 质量管理体系开发,满足严格的汽车质量要求。
DR1000C 不仅适用于车辆控制 MPU,还适用于各种嵌入式系统,例如工业设备,包括工厂自动化和传感器处理,包括雷达。其开发和评估状况得到了日本和欧洲半导体厂商的深入评价。
瑞萨电子汽车数字产品营销部副总裁 Naoki Yoshida表示,实现高级车辆控制所需的 MCU 处理工作量正在增加。通过采用 NSITEXE DFP(DR1000C) 作为加速器,RH850/U2B 可以实现卸载计算繁重的操作和安全关键的实时系统。我们相信瑞萨电子现在将能够提供平台来为需要高性能、精度和可靠性的区域和域控制应用构建先进的汽车系统。
NSITEXE, Inc. 首席技术官杉本秀树则强调,在 NSITEXE,开发工作的重点是三大支柱——多功能性、效率和功能安全——并考虑到了大量的未来趋势。DR1000C 将这些实现为基于 MIMD 的高性能嵌入式矢量处理器,具有高功能安全性,适用于希望高效、合理、安全地控制嵌入式系统的用户。
DR1000C 不仅为绿色能源的汽车应用提供高效的处理能力和可靠性,还为工厂自动化和医疗等领域需要高度安全的许多嵌入式系统提供高效的处理能力和可靠性。
基于对高功能安全性的努力以及其创新的处理器技术,NSITEXE能支持智能移动和 MaaS,从而以丰富人们生活的方式改变世界。
值得一提的是,NSITEXE 是一家 成立于 2017 年的IP 供应商,前身是从 DENSO 公司分拆出来的,专门从事高级处理器的开发。该公司开发支持功能安全的基于 RISC-V 的处理器 IP。高效、高质量的半导体 IP 支持广泛的应用,为下一代半导体技术的发展做出贡献。
关键字:MCU 汽车电子 日本RISC-V 瑞萨电子
参考文献:
【1】ISO 26262-1:2011
Road vehicles — Functional safety— Part 1: Vocabulary
【2】ISO 26262-1:2018
Road vehicles — Functional safety — Part 1: Vocabulary
【3】KEEPING SAFE ON THE ROADS: SERIES OF STANDARDS FOR VEHICLE ELECTRONICS FUNCTIONAL SAFETY JUST UPDATED
【4】ISO 26262 - Functional Safety (FuSa)
Dependable electronics based on Functional Safety
【5】道路车辆功能安全标准-ISO 26262 , ISO 26262是基于IEC 61508
(由国际电工委员会发布的“电气/电子/可编程电子安全相关系统的功能安全”,即Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, or E/E/PES))适配而来的道路车辆功能安全方面的标准,在2011年正式发布,最新版本在2018年发布。
最新的2018版包含12个部分(2011版本只有10个部分):
Part 1 名词解释(Vocabulary)
Part 2 功能安全管理(Management of functional safety)
Part 3 概念阶段(Concept phase)
Part 4 产品开发:系统层级(Product development at the system level)
Part 5 产品开发:硬件层级(Product development at the hardware level)
Part 6 产品开发:软件层级(Product development at the software level)
Part 7 生产与运行(Production and operation)
Part 8 支援过程(Supporting processes)
Part 9 车辆安全完整性等级导向与安全导向分析(Automotive Safety Integrity Level-oriented and safety-oriented analyses)
Part 10 ISO 26262 指南(Guideline on ISO 26262)
Part 11 ISO26262应用于半导体指南(Guidelines on application of ISO 26262 to semiconductors)
Part 12 ISO26262应用于摩托的适配(Adaptation of ISO 26262 for motorcycles)
ISO26262包括一个或多个电子电气系统并且安装于不超过3.5吨的乘用车;不应用于安装在特殊目的的的车辆上的电子电气系统,比如残 疾人车辆;不应用于非安全相关的电子电气系统;不应用于非电子电气的系统,比如液压、机械等。
ISO26262贯穿于整个车辆的生命周期(概念->规范->设计->测试->验证->成品->维修->销毁),自身形成一个“安全生命周期”(包含管理、开发、生产、运营、服务、退出过程)。
车辆功能安全(FS)的要求:
在正常条件及存在故障条件下,控制设备、系统的安全功能必须都能够保证;随机失效、系统失效、级联失效、共因失效不会导致安全系统的错误功能,从而导致:
• 人的伤害或死亡
• 环境的污染
• 设备或财产的损失
车辆安全完整性等级ASIL:
ASIL等级的定义是为了对失效后带来的风险进行评估和量化以达到安
全目标,其全称是Automotive Safety Integration Level--汽车安全完整性等级。这个概念来源于
IEC61508,其通过失效概率的方式定义了安全完整性等级(SIL)。但是在汽车界只有硬件随机失效可以通过统计数字评估失效概率,软件失效却难以量化,因此26262根据汽车的特点定义了ASIL。
ASIL的评定一般是在产品概念设计阶段对系统进行危害分析和风险评估,识别出系统的危害,如果系统的安全风险越大,对应的安全要求级别就越高,其具有的ASIL的等级也越高。ASIL分为QM,A、B、C、D五个等级,ASIL D是最高的汽车安全完整性等级,对功能安全的要求最高。
L4无人驾驶汽车的ECU都要求是ASIL-D的? L4无人驾驶汽车的ECU都要求是ASIL-D的?
页:
[1]