英飛凌徐輝:半導體是未來技術創(chuàng)新發(fā)展的基礎
1月14日-15日,2017中國電動汽車百人會論壇在釣魚臺國賓館舉行,騰訊汽車作為戰(zhàn)略合作媒體將進行全程直播。會上,英飛凌科技(中國)有限公司大中華區(qū)副總裁徐輝進行了主題演講。
本文引用地址:http://butianyuan.cn/article/201701/343034.htm以下為發(fā)言實錄:
大家早上好!首先非常開心今天能再次來到百人會的論壇,能分享英飛凌對整個行業(yè)發(fā)展的看法和觀點。
今天在吳主任的領導下,演講嘉賓分工比較明確,今天我想談一談半導體如何支持整個汽車行業(yè)創(chuàng)新。正好中車的丁總也把功率半導體IGBT這方面講了,我更多從我們的角度出發(fā),功能安全和信息安全正好分開了,不用重復聽兩次。
首先,大家聽到過一句話,汽車行業(yè)創(chuàng)新有70%-80%是由電子創(chuàng)造的,真正電子技術的實現(xiàn)要靠半導體技術真正落實到技術的實際操作??吹綐I(yè)界的發(fā)展,這兩天從領導到各位嘉賓也談到汽車行業(yè)的發(fā)展,不管四化還是歐陽老師講的六化,最核心的變化無非是將來的汽車不再是之前想象的單獨的操作系統(tǒng),而是會變成我們說的互聯(lián)網(wǎng)或整個大數(shù)據(jù)中不可分割的部分。從動力來講,會往新能源汽車方向迅速轉換;同整個聯(lián)網(wǎng)、車網(wǎng)聯(lián)還有汽車交通設施緊密地結合,必須把汽車從原來封閉的系統(tǒng)做成非常開放的系統(tǒng),這對我們是非常大的挑戰(zhàn)。
在挑戰(zhàn)過程中,半導體必須起到最核心、最底層技術實現(xiàn)的基礎,下面列舉粉色或紫色的這些都是半導體的實際技術,不管是大家熟悉的雷達或是微處理器的技術,所有這些必須在半導體層面先實現(xiàn),才能最終到車上、到實際操作層面實現(xiàn)。
最終半導體需要引領四大方向。從現(xiàn)在熟知的高級輔助駕駛ADAS到將來實現(xiàn)的自動駕駛,再到新能源汽車,再到將來聯(lián)網(wǎng)的汽車到最終安全的防范,功率器件需要起到非常核心的作用。
首先先談一下關于ADAS系統(tǒng)。之所以今天ADAS有很大的進展,從安全的角度,希望所有自動駕駛的汽車能夠達到無事故,這是最終最高級的目的。從我們看到安全標準的制訂,歐洲的NCAP是現(xiàn)在我們看到對整個系統(tǒng)最高的要求,其中NCAP要求安裝ADAS各個系統(tǒng)是強制性的要求。不止是保護乘駕人員的安全,更多涉及到行人的安全,道路設施安全,必須作為一個整體,必須要求最好的ADAS系統(tǒng)才能夠完成這些安全的保護。
從最基礎的原理來講,ADAS還是蠻簡單的,無非是通過傳感器的系統(tǒng),不管攝像頭、雷達,最終把信號通過傳感器傳輸?shù)接嬎愕牟糠?,就是微處理器。從圖像處理到信息處理計算,最終到控制器的層面,不管動力控制、安全控制,最終做執(zhí)行,不管自動轉向、變速箱、剎車,從原理上是相當簡單的。但真正實施為什么非常復雜?無非說將來所有自動駕駛核心就是傳感器的技術。自動駕駛需要用無數(shù)各種類型的傳感器,不管激光雷達或一般的雷達或攝像頭,所有的技術能夠把車從前到后360度整個的包圍,把車所有的部分,甚至一些駕駛員看不到的部分,都能夠完全地覆蓋住,通過各種先進的傳感器的技術,能夠感知到長距離、短距離甚至盲點的監(jiān)測,能夠把所有接近車和交通信號的信息能夠傳感到整個車核心的處理器里。
這就牽涉到一個相當復雜的整體系統(tǒng)。從原理上來講,剛才講到環(huán)境感知部分,從信號輸入,包括導航的輸入,最終需要用車的判斷,目前是靠駕駛員來判斷。判斷之后作出決定,將來的自動駕駛是判斷決定的這部分,HMI部分是由車自動操作系統(tǒng)執(zhí)行,最終實現(xiàn)到駕駛操作,不管剎車、轉向還是各個操作的部分,這個其實是自動駕駛核心技術的原理。
談到這個回到今天想講的主題關于功能安全。大家知道從整個安全的角度上,汽車行業(yè)在這20多年取得了實質(zhì)性的進步。最早講的被動安全、主動安全的概念。最早是被動安全,最經(jīng)典案例是安全氣囊,被動方向如果受到撞擊,通過安全氣囊爆破保護乘駕人員安全。今天發(fā)展到主動安全,通過系統(tǒng)的設計去主動地防護事故的發(fā)生,這是我們說的主動安全。
自動駕駛為什么更復雜?因為自動駕駛完全去掉乘駕人員判斷的工作。今天我們有Backup(支持)系統(tǒng),你的所有系統(tǒng)最終由駕駛員作出最終判斷,即使有自動泊車系統(tǒng),自動泊車系統(tǒng)不工作,駕駛員可以馬上承接任務。最終自動駕駛沒有Backup(支持)系統(tǒng),由車操作所有情況。是今天談的Fail-Operational(安全操作),即使是系統(tǒng)發(fā)生故障、事故的情況下,車不能只做安全功能,在事故發(fā)生系統(tǒng)發(fā)生故障的情況下,車可以有操作性。車不像手機可以停機重新開機,車駕駛過程中必須要能夠重新操作。這是今天所謂最終的功能安全,要實現(xiàn)Fail-Operational(安全操作)的層級。在關鍵操作中,比如剎車、轉向和所有自動駕駛,相關功能必須達到Fail-Operational(安全操作),在關鍵時效情況下,時間非常短、可能30秒甚至更短的情況下,車可以完全自動判定和自動安全的防范,能夠保證所有系統(tǒng)都可以最終達到安全的功能。
從技術上來講,目前剛才講到所有系統(tǒng)無非是要有一個最終的Backup(支持)的系統(tǒng)。今天駕駛員可以作為Backup(支持)系統(tǒng),將來自動駕駛。比如車里設置比較簡單的系統(tǒng),如果系統(tǒng)發(fā)生故障就關掉,將來自動駕駛需要做到有兩套系統(tǒng)同時運行,達到DualFailSafe,第一套系統(tǒng)主系統(tǒng),第二套系統(tǒng)隨時檢查第一套系統(tǒng)安全操作:第一套系統(tǒng)發(fā)現(xiàn)任何問題,第二套系統(tǒng)馬上Takeover,達到最終的安全需求。對最終自動駕駛來講,不能達到完全安全的要求了,這要探討是不是參考相關行業(yè),現(xiàn)在還要看航空航天:今天的飛機是采取一套叫做TripleModularRedundancy。它是有三套系統(tǒng)并行的,三套系統(tǒng)里有一套是主系統(tǒng),另外兩套同時檢查第一套系統(tǒng)的安全運行,一旦兩套系統(tǒng)同時發(fā)現(xiàn)第一套系統(tǒng)操作發(fā)生故障,需要判定第二套系統(tǒng)可以Takeover,在第二套系統(tǒng)做操作時,第三套系統(tǒng)作為第二套系統(tǒng)的Backup(支持)。這個其實是最終目標,這當然會在系統(tǒng)上增加很多成本、增加很多復雜性,最終要達到百分之百的安全,或真正零事故必須往這個方向考慮。只有兩套系統(tǒng)第一套系統(tǒng)失效,第二套系統(tǒng)完全工作,沒有一套系統(tǒng)能做檢測。真正達到Fail-Operational(安全操作)完全自動駕駛必須借鑒整個系統(tǒng)的安全保護,最終大家在汽車行業(yè)探討的功能安全,到底怎么操作最終達到功能安全最終的目的。
新能源汽車更需要達到更高的功能安全要求,去年在百人會論壇上我講過這個話題,新能源汽車對功率器件和整個系統(tǒng)需要更高的性能表現(xiàn)。因為在充電時,所有系統(tǒng)還是在工作的,等于車是在24小時工作,不像傳統(tǒng)汽車發(fā)動機不發(fā)動了,車就可以休息。新能源汽車對所有系統(tǒng)和所有的器件需要更高的等級,估算甚至要3-4倍的要求。新能源汽車更需要達到更高的功能安全的要求。
簡單談一下安防保護。
大家知道現(xiàn)在所說的車聯(lián)網(wǎng),最終能夠跟大數(shù)據(jù)相連,需要把車的系統(tǒng)能夠跟網(wǎng)絡相連、能夠跟大數(shù)據(jù)相連、能夠跟所有交通設施相關聯(lián)??紤]到信息安全的問題,怎么去做安防保護?怎么能夠保證車內(nèi)的系統(tǒng)和整個網(wǎng)絡安全的信息能夠最終起到安防的作用?
從架構上來講,無非是在車內(nèi)關鍵的一些架構做一些安全保護,通過微處理器內(nèi)部集成做加密模塊、加密功能。上網(wǎng)這部分和網(wǎng)絡連接,和交通設施連接和跟大數(shù)據(jù)相連接,需要分離式的器件,能對這一部分進行保護。舉一個相對比較簡單的例子,最熱門遠程軟件更新(SOTA)過程分成兩部,第一部分是把需要更新的軟件先下載到車上,第二部是在車內(nèi)更新。
第一個過程中,在任何時候都可以做,甚至車在運行的過程中都可以操作。而軟件的下載是下載到車內(nèi)中央的存儲器里,駕駛員不需要參與,駕駛員甚至不需要做任何的操作。而在這個過程中需要加密保護,是確認下載的信息是對的,而車輛操作不受任何影響。
第二部分是下載到中央處理器之后,真正在車內(nèi)相關的控制器上更新這個軟件,是更需要安全保護的一個過程。目前建議在這個過程不能在駕駛的過程中操作,可能會產(chǎn)生很大的影響和安全的問題。所以建議現(xiàn)在看到的操作都是在駕駛員確認可以下載的時候,而鑰匙是需要EnergyiOff的狀態(tài),過程中是需要供電的,進行軟件更新,不能很長,最多是15分鐘之內(nèi),駕駛員不能離開車做其他操作。這個過程相對比較短,說明數(shù)據(jù)下載到車上需要比較快的流程。在這之后有下載端的確認。
從安防保護的角度,有三步。
第一步從車廠存儲下載到中央處理器,有兩步的安防保護:一部分要求TPM確認這是我想要的車廠A,對應車是車廠A的車,可以對口用TPM檢查下載的數(shù)據(jù)是我需要、我接收的。
第二步是網(wǎng)絡安全部分,網(wǎng)絡下載過程中需要用加密過程保證數(shù)據(jù)本身是安全的。車內(nèi)會有微處理器加密模塊。這是相對應的,最后確認中央存儲器
可以接受數(shù)據(jù),數(shù)據(jù)下載過程也是安全的。
最終中央處理器存儲器下載到第二步,下載到相關的控制器里,在這個過程中,兩個微處理器上的加密芯片或加密的模塊是會相對應,下載的數(shù)據(jù)是安全的,而且我下載的也是相對應的控制器,最終實現(xiàn)下載的過程。
從我們可以看到的遠程軟件更新的角度,數(shù)據(jù)安全和保護是非常關鍵的過程,也是必須有相關的不同的硬件和軟件的配合才能夠實現(xiàn)的。從流程上我們看到是這樣的。
最終作為總結,我們認為在整個汽車電動化和智能化的過程中,為整個系統(tǒng)的安全,就是剛才談到的功能安全的概念和整個安防保護是必須并行的。如果只有你把車做得功能很安全,但信息不安全很可能造成很大的危險。而兩個方向都是并行的,最終才能保證乘駛人員和整個行駛過程和道路交通的設施是安全的,只有在安防和安全兩個兩個同時并行的情況下,才能達到我們安防的目的。今天想講的就是這些。謝謝大家!
評論