丹尼爾·伯納爾

共同作者：CoreAVI首席銷售和市場官Dan Joncas
Mark Armamy ，Arm汽車媒體軟件架構師

每年的新車型都會為數字儀表板帶來新的設計。數字集群包括安全內容以及確保驅動顯示器的電子設備符合ISO 26262 ASIL B安全標準的機制。這些設計達到了與模擬儀表組相同的安全要求，很好地達到了目的，這主要是由較小的安全微控制器提供的信號和檔位。當前儀表盤設計所采用的安全機制位于顯示屏一側，足以滿足此安全要求。下一代車輛顯示器將開始基于傳感器數據納入更復雜的安全內容，這些數據主要由高級駕駛員輔助系統（ADAS）驅動，該系統為操作員提供實時感知系統反饋。這樣的一個例子可能是以圍繞檢測到的物體或障礙物的邊界框的形式。這種類型的顯示為駕駛員提供了增強的態勢感知能力。

為了滿足對更復雜的安全內容的必然需求，Arm推出了其新的高性能圖形處理單元（Mali-G78AE），具有新的靈活分區功能，并增加了安全軟件堆棧VkCore Functional Safety Suite的支持。在Arm，CoreAVI的 支持下開發將適用于Arm最新Mali-G78AE GPU IP的全面圖形和計算驅動程序和庫套件推向市場，這些套件將經過認證可用于ISO 26262 ASIL D應用程序。通過具備安全功能的應用處理器，Mali-G78AE和VkCore功能安全套件為汽車一級和OEM提供了基礎，使他們能夠設計具有安全功能的GPU硬件加速的安全駕駛艙HMI。下一代汽車HMI建立在具有安全功能的硬件和軟件的基礎上，汽車設計人員將使用它們來建立消費者對ADAS和自動系統的信心。

從安全發展中吸取的教訓

航空電子行業和航空電子駕駛艙也經歷了類似的發展。多功能觸摸屏顯示器已經取代了過去的儀表和指示器。高性能SoC不僅用于向駕駛員傳達基本信息，而且還可以在人機界面（HMI）中獲得增強的視野和增強的態勢感知能力，從而使飛行員能夠直觀地解釋大量不同的信息。與航空電子行業的發展類似，隨著時間的推移，這些高可靠性和安全性至關重要的汽車系統中使用的GPU和相關軟件驅動程序將采用更多具有安全性的電子產品。這些新系統滿足特定目的，旨在滿足功能安全標準，可進行確定性計算(也就是說,序列的狀態持續提供相同的輸出給定相同的輸入)和?軟件將符合MISRA-C指南編寫的安全關鍵軟件按照ISO 26262等安全標準。

應用用例

當前汽車領域的一個趨勢是將多個駕駛艙功能合并到一個駕駛艙域控制器(CDC)中。CDC是一個平臺，在這個平臺上，多個傳統車輛ECU可以合并為一個單一ECU上的軟件工作負載。在單個系統上同時運行安全和非安全工作負載(混合臨界性)是CDC的另一個價值主張。在CDC上配置具有適當資源以滿足性能和安全需求的工作負載，對系統架構師來說一直是一項挑戰。為共享資源(如內存控制器和設備)提供適當的系統服務質量(QoS)特性是很重要的。通常，具有確定性計算截止日期的工作負載可能無法與其他工作負載共享資源——對于確定性安全HMI工作負載來說是這樣的。Arm Mali-G78AE靈活分區特性是一個創新的特性，它允許在啟動時將GPU分割為1、2或4個適當大小的GPU。這些gpu可以分配給不同的工作負載。在下面的例子中，在引導時Mali-G78AE GPU可以配置為4個GPU。可以分配給一個GPU安全儀表組的渲染,第二個GPU可以分配給安全呈現一個增強現實的抬頭顯示器(HUD),第三個GPU可以分配給安全計算支持司機監控系統(DMS),第四個GPU可以分配給IVI OS，例如Automotive Grade Linux（AGL）或Android Automotive。

安全HMI架構

ISO 26262 ASIL B認證圖形的用例并不是新的，在現有的設計中得到了支持。在儀器集群中集成安全內容和非安全內容是很常見的。在當前的系統中，渲染可以由質量管理(QM)硬件和軟件來執行。安全裝置是一個ASIL B安全監視器，用于確認安全內容的正確呈現和顯示。最常見的方法是在顯示控制器中使用專用硬件，為屏幕的一個小區域生成CRC。此CRC與應用程序提供的參考CRC值進行比較。如果它們匹配，您就知道QM圖形系統工作正常，與安全相關的內容也會正確顯示。
這種方法適用于簡單的內容像風標和動力傳動系統齒輪位置。在這些情況下，安全內容在輸出、位置和呈現在專用屏幕區域中是可預測的。不幸的是，如果不滿足這個標準，這種方法就不能很好地擴展。不符合這些標準的例子有:動態的泄密、自定義背景上的泄密，以及安全內容是動態的HMIs上的新用例。這將在未來的ADAS和自動感知系統中很常見，這些系統與操作員進行通信，將檢測和識別的物體包圍起來。
為了支持未來的可擴展方法，設計過渡到支持安全應用程序運行在安全合格的應用程序核心上的系統架構。這包括符合ASIL B標準的圖形子系統，即符合安全標準的GPU硬件和軟件驅動程序。這為滿足ASIL要求的HMIs的無限創新提供了基礎。用戶界面可以安全渲染與GPU加速在其適當的領域(ASIL B或ASIL QM)，然后最終的HMI可以安全合成安全顯示。

安全HMI應用程序開發

航空電子領域的安全應用利用了OpenGL安全關鍵(SC) API啟用的GPU加速。用于Mali-G78AE的VkCore功能安全套件將支持OpenGL?SC 1.0.1、2.0和Khronos小組正在開發的Vulkan SC 1.0 API。目前，最先進的載體HMIs利用了OpenGL ES和Vulkan api。過渡到安全渲染將嚴格為安全內容。HMI設計者將利用HMI工具，這些工具支持一個工作流，允許為安全和非安全呈現域標記某些數據和/或表面。HMI工具合作伙伴的生態系統將支持從ASIL QM HMIs到由安全HMIs組成的安全HMIs的簡單過渡的工作流程。Arm的HMI合作伙伴生態系統非常幸運，包括但不限于以下內容:

Altia公司的嵌入式軟件工程師Jason Lewis說:

“軟件安全標準為軟件開發增加了巨大的價值，但也增加了成本。?Altia將利用Arm的安全呈現創新減少部署安全人機界面解決方案的成本和復雜性。”

ANSYS的產品營銷經理Xavier Fornari說:

“與行業領袖CoreAVI和Arm密切合作，Ansys能夠提供基于模型的合格代碼生成技術在一個完整的解決方案堆棧安全和認證嵌入式顯示器，這需要更多的安全關鍵和任務關鍵軟件的ADAS和自動駕駛車輛。”

DiSTI公司UX/UI技術副總裁Christopher Giordano說:

“我們對Arm的新Mali-G78AE和VkCore功能安全套件將對汽車行業產生的影響感到興奮。憑借20多年的功能安全專業知識，DiSTI憑借我們的GL Studio UI工具被授予Arm汽車開發者社區的注冊會員，該工具在5年前率先成為市場上通過ISO 26262 ASIL D認證的市場。結合我們最近更新的ASIL D認證，我們希望繼續與Arm和CoreAVI在其行業領先的GPU和驅動程序版本上進行長期成功的合作，以期將具有成本效益的對安全性至關重要的UX / UI開發引入汽車OEM及其供應商”

Jussi Lehtinen，右邊的CTO說

“汽車系統正變得越來越復雜，與此同時，客戶對豐富的圖形和直觀的用戶體驗的期望也在增長。”與僅依賴于驗證的系統相比，標準的、可認證的api(如Open GL SC)簡化了向新系統的遷移，并使更高級的用例能夠可視化。安全渲染允許ASIL和非ASIL UI內容的無縫集成，并通過更豐富的圖形和更流暢的動態內容動畫改善用戶體驗，最終推動HMI的創新。

強大的伙伴關系

航空航天界的伙伴關系對于滿足每年安全飛行全球數百萬人的雄心勃勃的要求至關重要。技術已經變得如此復雜，以至沒有任何一家公司或實體可以“了解全部”或“全部完成”。在航空航天世界中，政府，原始設備制造商（OEM）和眾多供應商密切合作以實現共同的目標。另一方面，汽車行業的合作伙伴關系更側重于供應鏈的協調，而不是技術領域的和諧。隨著汽車系統變得更加自治，以及人工智能和機器學習變得越來越普遍，汽車界的技術合作伙伴關系將變得越來越普遍。舉個例子，CoreAVI（作為安全關鍵應用平臺IP的供應商）已經在整個航空電子供應鏈中建立了合作伙伴關系。CoreAVI與Arm的合作在汽車市場也遵循同樣的傳統。

總結

飛機座艙和汽車座艙的共同歷史以及技術采用的發展都基于人機交互的基礎。隨著飛行員和駕駛員的任務變得越來越復雜，安全性變得越來越重要，人們需要使用技術來幫助實現這些目標。隨著技術變得越來越復雜，與這些系統的開發相關的認證過程也變得越來越嚴格。這兩個市場（汽車和航空航天）一直相互學習。當今的技術已經變得如此復雜，操作員對這些系統的“依賴”變得如此普遍，以至于汽車和航空航天之間知識和經驗的共享比以往任何時候都更加重要。

支持安全渲染，安全計算，安全合成和安全顯示的汽車平臺將使過渡到HMI和其他用例的更安全應用程序處理成為可能。對于具有負責向車輛操作員傳達與安全相關的態勢感知信息的汽車UI設計人員而言，擁有可擴展的，可安全認證的硬件和軟件架構以及基于標準的應用程序API將變得越來越重要。使用支持ASIL B的硬件和軟件的技術和系統設計模式將有助于提供更安全的系統設計，而不會限制創新的步伐。Arm致力于通過開放標準以及必要的硬件和軟件支持來構建生態系統，以實現低成本，可擴展且安全的汽車駕駛艙和車輛電子設備。

審核編輯 黃昊宇