強化雷達與功能安全設計　ADAS防護性能更出色

圖1　汽車雷達應用

此外，汽車雷達還可以啟動更多重要的功能，如碰撞警告、緊急制動，甚至撞擊預警偵測系統等，藉由它們觸發安全帶張力計或其他主動或被動安全功能。顯而易見，透過後面這些功能，電子控制系統須要達到最高的功能安全等級，因為此系統無須駕駛員干預，最終都會令汽車轉向或煞車。

這種創新的雷達技術正不斷應用在行動工控機、起重機、工廠安全設備等其他應用中，這些應用領域都需要嚴密的安全保護。耦合雷達與機器視覺也可以創建一個強大的組合，這兩種技術相輔相成，能建立更準確和更可靠的系統。當視覺被遮擋時，雷達可在雨水、霧氣和污垢環境下運行。此外，雷達還可以進一步延長其偵測距離以及偵測到非直接視線中的事件。結合機器視覺、雷達和一些智慧感測器融合演算法的系統，能充分利用這兩種傳感技術帶來的好處。

77GHz雷達技術擔綱碰撞警告要角

在碰撞警告系統中，77GHz發射器發出的訊號將被車身前方的物體反射，然後由分布在車身各處的多個接收器捕獲。該發射器發出頻率調製的連續波訊號，亦即在一個固定時段中，頻率隨著典型的三角波訊號而上下變化。由於無線電波是以恆定的光速進行傳播的，因此測量發射波和接收波之間的頻率差異(即隨時間而變化的頻率斜率)就可以計算出傳播距離。速度測量採用都普勒效應(Doppler Effect)，即所觀察到的反射訊號頻率與發出的頻率不同。

雷達系統並不是新亮點。新亮點是汽車製造商想在最近幾年內將這個系統內置在中階汽車中，因此該系統必須是低成本、高品質的。這意味著從昂貴的專業雷達系統向標準汽車設備類型的一個很大轉變。工程人員面臨的挑戰是一方面要降低成本，另一方面要實際提高產品品質並減少每百萬件的瑕疵元件。這種轉變如圖2的「品質與成本行銷價值圖」所示。

這個行銷價值圖顯示，從高成本、良好品質之系統向中低成本、更高品質之系統的轉變。為了實現這一目標，開發商必須應對很多挑戰。

圖2　行銷價值圖

兼顧雷達成本及品質挑戰不小

傳統雷達採用旋轉天線，這是基於物體空間映射的原理。這種方案可能適合具有昂貴控制系統的大型系統，但肯定不適用於汽車批量生產。消除旋轉天線的一個解決方案就是，將相控陣列或接線天線用於多通道發射和接收通道。空分天線將接收有輕微時差的反射訊號，這種訊號可用於重新建構物體位置，而毋須使用行動天線。不過，這種接線天線的缺點，是需要多個發射和接收通道來連接天線；典型系統將採用類似四個發射天線和十六個接收天線；但從經濟角度來說，重複十六次接收電路和四次發射電路並不可行。

這時另一個創新就派上用場。例如飛思卡爾(Freescale)沒有採用射頻(RF)差分電路，而是開發了一個專用射頻BiCMOS技術，它的效能足以將77GHz射頻電路整合到單晶片上。飛思卡爾從開發高效能矽鍺碳(SiGe:C)180奈米(nm)技術開始，還開發了專用的300GHz Fmax射頻電晶體，能用以處理晶片上的77GHz雷達訊號。結合類比和數位互補式金屬氧化物半導體(CMOS)電路，此一技術支援全面整合多通道77GHz系統單晶片(SoC)，因此晶片整合可抵消多通道開銷成本。

進階封裝技術提升競爭力

圖3　RCP封裝中的各層

具備77GHz固態矽技術是一個優勢，但在印刷電路板(PCB)上處理和報告這類訊號，卻又是另一個挑戰。傳統封裝寄生阻抗在高頻率時會破壞訊號資訊，應對這個問題的一種方法是採用精密引線焊接技術將裸晶片焊接在專用印刷電路板上，而不是採用典型封裝和更高成本的波峰焊接技術。這時名為重分配晶片封裝(Redistributed Chip Package, RCP)的全新先進封裝技術就派上用場了(圖3)。

圖4　77GHz雷達發射器裸晶片

RCP採用粗光刻技術而不是印刷電路板型材料將銅互連層裝配在晶片或多晶片系統上。這種無基板的封裝技術具有更低的電容和電感寄生行為。與裸晶片焊接技術相比，透過具有合格效能的此一封裝可以在77GHz時路由高頻率訊號(圖4)。其優點是，傳統印刷電路板的整套工具可用於焊接這個元件，這意味著成本將可降低。

在接收端，在38GHz時整合了典型的四個接收通道與一個本地振盪器，以及輸出差分中頻，如此一來，無需低雜訊放大器(LNA)就能實現13dB的典型雜訊係數，這有助於保持低功耗、高線性度。

功能安全微控制器居間協調

微控制器(MCU)用來控制射頻雷達發射器和處理從接收器傳來的資料。如果考慮到應用的關 鍵安全性質，就須要採用功能安全微控制器。系統工程師所面臨的挑戰是所構建的系統必須能夠防止危險故障的發生，或至少在出現故障時能夠有效地進行控制。危險故障可能來自隨機硬體故障、系統硬體故障或系統軟體故障。

功能安全標準IEC 61508和汽車適用的ISO 26262標準適用於確保一般工業和汽車應用中的電子系統是完全安全的。IEC 61508標準定義四個完全安全完整性等級(SIL)，其中SIL 4表示最嚴格的安全等級。ISO標準定義了四個汽車安全完整性等級(ASIL)，其中ASIL D表示最嚴格的安全等級。每個等級對應一個出現安全功能故障的可能性目標範圍。

SIL和ASIL等級之間沒有直接的對應關係，但是ISO 26262將安全流程和要求推向更深的層 次。在整個設計過程的一開始，就必須收集憑證，證明該產品是依據標準進行開發的。發現的任何潛在偏差都必須記錄，以確保能夠採取足夠的挽救措施。

它們採用不同的方法來實現安全微控制器。傳統的方法是採用兩個獨立的微控制器複製完全不同的控制器上的軟體。相同的軟體可以在每個微控制器上運行，然後比較運行結果。如果結果相同，則一切正常；如果不相同，那麼系統就知道有錯誤，要麼解決它或使系統進入安全狀態。另一個選擇是，一個微控制器只能運行安全軟體並監控正在運行應用軟體的另一個微控制器。

採用獨立的微控制器，所設計的系統必須從一開始就設計和實施安全系統。

與之相反，現在市場上已有預認證的微控制器可供使用。這些解決方案主要偵測和減少單點故障、潛在故障和非獨立故障；這透過在微控制器、電源管理IC和感測器中內置的安全功能實現，包括自檢、監控和基於硬體的冗餘。微控制器的冗餘設計，適用於下列關鍵元件，如具有延遲鎖步功能的多個中央處理器(CPU)計算內核、輸入/輸出(I/O)處理器內核、直接記憶體存取控制器、中斷控制器、雙交叉開關匯流排系統、記憶體保護單元、故障資訊採集單元、快閃記憶體和隨機存取記憶體(RAM)控制器、周邊匯流排橋、系統和看門狗計時器以及端到端改錯碼。

圖5　雙核鎖步微控制器結構圖

資料複製領域的主要優勢是微控制器可偵測較頻繁發生的軟錯誤等單點故障，不僅偵測內核中的，也偵測關鍵的子模組中的錯誤。

微控制器也為內核、記憶體、交叉開關、通訊模組和周邊提供內置自檢(BIST)機制。此外，該元件進行了優化，可防止時鐘或電壓電源問題誘發的共因失效。微控制器提供偵測時鐘偏差的硬體模組以及主電壓的硬體監控，如內部核心電壓和快閃記憶體電源電壓。

雙核鎖步微控制器(圖5)在軟體級和系統級內不會減少實施安全措施的需求，如非常獨立地監控軟體路徑計算的輸出值。然而，在更高整合度的其他方面，這些微控制器不會提供關注點分離來進行驗證。在基於多個單核微控制器的解決方案中，偵測和控制隨機硬體故障的能力很大程度上取決於軟體。

雙核鎖步微控制器可以獨立於軟體在硬體層面驗證，以及確認計算基礎架構與功能安全有關的關鍵屬性，因為計算基礎架構以整合形式提供，它也代表一個整合的安全機制。這是軟硬體協同設計過程內一個顯著好處。此外，關注點分離有利於快速定位問題。如果觸發了監控雙核鎖步的安全機制，那麼原因可能歸結為硬體級的隨機硬體故障，同時如果觸發軟體監控，則原因可能歸結為系統級故障或軟體中的系統性故障。

雙核鎖步微控制器方法提供一個潛在的可用性優勢。在現代微控制器中，內核面積越來越小，遠低於整個微控制器的5%，而微控制器做為一個整體，通常分配到隨機硬體故障的概率指標(PMHF)約為1%。因此，內核占比起初約為該區域的0.05%。但是，必須要確保內核的正確運行，才能在軟體中實施前向恢復技術，才能解決影響PMHF的其餘99.95%的因素，保證系統的可用性。此外，雙核鎖步微控制器提供適當的基礎設施來實施多個充分獨立的通 道。

功能安全配套元件角色重要

圖6　SBC故障安全器

為支援針對功能安全應用的完整系統解決方案，某些廠商開發了一類配套的電源系統基礎晶片(SBC)，它結合了針對微控制器開發的安全監控作用和電源生成兩種功能(圖6)。

這些SBC元件為微控制器和其他系統負荷提供電源，並透過低功耗省電模式優化能耗。此外，它們通常還整合實體層介面和串列周邊介面，採用微控制器進行控制和診斷。微控制器和類比系統基礎晶片組合在一起可視為一個獨立安全單元(SEooC)，有利於評估系統安全性。這種架構能夠減少系統級元件的數量，滿足功能安全需求，並增強可靠性。

它採取不間斷電源、故障安全輸入監控關鍵訊號、故障安全輸出驅動故障安全狀態、用於進階時鐘監控的看門狗等四種安全措施，確保微控制器和SBC之間的交互。

當與微控制器相結合時，每個安全措施可以進行優化，以實現最高的安全效能水準。在系統級，微控制器提出的安全檢查機制可由SBC元件透過故障採集控制單元(FCCU)的雙穩協定來監控。這種IC交叉檢驗，如對監控定時的查詢等，可對系統進行外部偵測，做為額外的措施，進一步確保故障偵測。為了符合系統基礎晶片系列的安全架構，可以透過一個專用的故障安全輸出為安全狀態啟動提供冗餘路徑。當發生故障情況時，這些輸出將應用設置為確定性狀態，以彌補微控制器故障安全輸出。

這些硬體實施方案幫助軟體工程師簡化了軟體架構，且實施的軟體發展策略側重於使用單一的微控制器方法來確保安全性。

留意系統與晶片組符合性

功能安全符合性可在系統級實現，它是系統設計人員的職責。微控制器和SBC晶片組是獨立於泊車系統、進階駕駛員輔助系統或行動吊車等最終應用之外單獨設計的，因而該晶片組可以視為一個SEooC來進行開發。SEooC是一個安全相關的元件，而不是在特性車輛功能或最終應用背景下而開發的，可按照定製指南開發符合ISO 26262標準的SEooC元件。

(本文作者任職於飛思卡爾)