使用FPGA实现ADAS设计的功能安全考虑
加入技术交流群
图3.单前端摄像机系统实例
图3显示了单前端摄像机系统实例的高级结构图。由一个外部电源管理电路为Cyclone V SoC提供电源。当供电电压不在额定工作范围内时,单独的电压监控功能会产生复位。外部非易失存储器连接至四路串行外设(quad SPI)模组,系统启动过程中装入应用程序,配置FPGA时会使用这些模组。执行应用程序代码,存储数据和图像帧时,Altera使用DDR存储器。通过SPI连接外部微控制器,进行目标探测和最终决策,通过CAN接口与汽车底盘的其他部分进行通信。
图4.Cyclone V SoC模组视图
应用中所使用的图像处理器模组如图4所示。视频端口接收来自图像传感器的数据,将其传送至图像预处理模块。这一模块展示了底层图像处理。在这个例子中,数据通过图像预处理模块后,通过FPGA至HPS (F2H)桥接被写入到DDR存储器中,也可以传送至下一级,实现的效率更高。第二级是中间级处理,由各种图像处理模块来完成。通过HPS至FPGA (H2F)桥接读出以前存储在DDR存储器中的数据,再次将其写入到DDR存储器中。在这个例子中,由HPS完成高级处理。
现在,让我们了解一下用于探测设计中不同区域是否有故障的诊断功能。文中所讨论的一些诊断功能能够探测到永久故障,而有的只能探测到瞬时故障,也有的能够探测各种故障。瞬时故障是一种出现后又消失的故障。对于这一分析,Altera应考虑实现某些功能时存储器中出现的故障,以及实现功能时逻辑中可能出现的故障。
在应用软件使用图像传感器之前,应对其进行配置,在应用程序执行过程中不断修改配置以适应不同的光照条件。图像传感器对于应用操作非常关键,因此,建议在容错时间间隔(FTTI)期间对其配置至少进行一次检查。这并不一定能够覆盖传感器的所有可能的故障,但是,可以管理好配置寄存器组。
汽车中使用的某些传感器支持用户在每一图像帧的辅助扫描线中传送某些配置寄存器数据。通过这一功能,用户可以检查每一帧的传感器设置,不需要通过I2C接口来读取寄存器。传送帧数据时就可以在FPGA中实现这种检查,而不需要在CPU上花费财力。
通过底层图像处理时,一个像素的变化不太可能对实际应用的行为产生很大的影响,因此,在很多情况下,可以忽略这类故障。但是,会导致帧丢失或者整个帧被损坏的故障是必须被检查到的。
大部分图像传感器含有传送定义好的测试帧的功能,不需要传送正常的图像数据。定义好输入数据后,也就定义了图像处理模块的输出数据。然后进行后续测试。例如,通过对输出数据进行循环冗余校验(CRC),找到系统中出现的任何永久故障。这种测试覆盖了整个数据通路中的永久故障。
另外,还应该探测到FPGA中一个模块向另一个模块传输数据时数据的变化。前面提到的测试码型或者测试帧方法涵盖了大部分永久故障,但是,探测不到瞬时故障。而各种传输或者信息冗余技术能够探测到这类故障。
中间层图像处理实现了边沿或者角探测算法,还可以应用特征提取算法。因此,只查看图像中关注的特征,减少了生成数据。数据减少后,由于故障会导致后续处理步骤中丢失目标,因此,丢失特征的风险增大了。
高级图像处理阶段包括目标探测和目标分类。从软件术语的角度来讲,这一级主要是控制代码,因此,非常适合在CPU上运行。HPS采用了几种硬件功能(例如,ECC、MMU、看门狗),在HPS中进行故障诊断。
功能安全重要的另一面是确保减少系统性故障。这通过使用可靠的开发过程和工具来实现。ISO26262标准详细规定了功能安全的管理要求,例如,对安全生命周期和支持过程中不同的行为进行一致性测量,类似配置和修改管理。如果所使用的工具有可能造成应用故障,那么就应该分析这些工具,进行测量以减小故障发生的概率。
ADAS是确保越来越拥挤的道路更加安全的下一波创新。这些系统的性能需求给现有以及未来的标准商用货架(COTS)产品带来了挑战,而可编程FPGA在这方面有很大的优势。实现专用诊断能够扩大系统的诊断覆盖。很多COTS产品在设计时并没有体现功能安全,而通过使用具有功能安全的平台和开发环境,与擅长功能安全的合作伙伴合作,这些都有利于系统的整体实现。
评论