英飞凌大中华区副总徐辉:半导体是电动汽车智能化最核心、最底层的技术
能见APP讯:2017年1月14日中国电动汽车百人会(2017)在京召开。英飞凌大中华区副总裁徐辉在“核心技术与关键部件暨新能源汽车小镇论坛”峰会上发言。他表示整个联网、车网联还有汽车交通设施紧密地结合,必须把汽车从原来封闭的系统做成非常开放的系统,这对我们是非常大的挑战,在挑战过程中,半导体必须起到最核心、最底层技术实现的基础。
以下为嘉宾发言实录:
大家早上好!首先非常开心今天能再次来到百人会的论坛,能分享英飞凌对整个行业发展的看法和观点。
今天在吴主任的领导下,演讲嘉宾分工比较明确,今天我想谈一谈半导体如何支持整个汽车行业创新。正好中车的丁总也把功率半导体IGBT这方面讲了,我更多从我们的角度出发,功能安全和信息安全正好分开了,不用重复听两次。
首先,大家听到过一句话,汽车行业创新有70%-80%是由电子创造的,真正电子技术的实现要靠半导体技术真正落实到技术的实际操作。看到业界的发展,这两天从领导到各位嘉宾也谈到汽车行业的发展,不管四化还是欧阳老师讲的六化,最核心的变化无非是将来的汽车不再是之前想象的单独的操作系统,而是会变成我们说的互联网或整个大数据中不可分割的部分。从动力来讲,会往新能源汽车方向迅速转换;同整个联网、车网联还有汽车交通设施紧密地结合,必须把汽车从原来封闭的系统做成非常开放的系统,这对我们是非常大的挑战。
在挑战过程中,半导体必须起到最核心、最底层技术实现的基础,下面列举粉色或紫色的这些都是半导体的实际技术,不管是大家熟悉的雷达或是微处理器的技术,所有这些必须在半导体层面先实现,才能最终到车上、到实际操作层面实现。
最终半导体需要引领四大方向。从现在熟知的高级辅助驾驶ADAS到将来实现的自动驾驶,再到新能源汽车,再到将来联网的汽车到最终安全的防范,功率器件需要起到非常核心的作用。
首先先谈一下关于ADAS系统。之所以今天ADAS有很大的进展,从安全的角度,希望所有自动驾驶的汽车能够达到无事故,这是最终最高级的目的。从我们看到安全标准的制订,欧洲的NCAP是现在我们看到对整个系统最高的要求,其中NCAP要求安装ADAS各个系统是强制性的要求。不止是保护乘驾人员的安全,更多涉及到行人的安全,道路设施安全,必须作为一个整体,必须要求最好的ADAS系统才能够完成这些安全的保护。
从最基础的原理来讲,ADAS还是蛮简单的,无非是通过传感器的系统,不管摄像头、雷达,最终把信号通过传感器传输到计算的部分,就是微处理器。从图像处理到信息处理计算,最终到控制器的层面,不管动力控制、安全控制,最终做执行,不管自动转向、变速箱、刹车,从原理上是相当简单的。但真正实施为什么非常复杂?无非说将来所有自动驾驶核心就是传感器的技术。自动驾驶需要用无数各种类型的传感器,不管激光雷达或一般的雷达或摄像头,所有的技术能够把车从前到后360度整个的包围,把车所有的部分,甚至一些驾驶员看不到的部分,都能够完全地覆盖住,通过各种先进的传感器的技术,能够感知到长距离、短距离甚至盲点的监测,能够把所有接近车和交通信号的信息能够传感到整个车核心的处理器里。
这就牵涉到一个相当复杂的整体系统。从原理上来讲,刚才讲到环境感知部分,从信号输入,包括导航的输入,最终需要用车的判断,目前是靠驾驶员来判断。判断之后作出决定,将来的自动驾驶是判断决定的这部分,HMI部分是由车自动操作系统执行,最终实现到驾驶操作,不管刹车、转向还是各个操作的部分,这个其实是自动驾驶核心技术的原理。
谈到这个回到今天想讲的主题关于功能安全。大家知道从整个安全的角度上,汽车行业在这20多年取得了实质性的进步。最早讲的被动安全、主动安全的概念。最早是被动安全,最经典案例是安全气囊,被动方向如果受到撞击,通过安全气囊爆破保护乘驾人员安全。今天发展到主动安全,通过系统的设计去主动地防护事故的发生,这是我们说的主动安全。
自动驾驶为什么更复杂?因为自动驾驶完全去掉乘驾人员判断的工作。今天我们有Back up(支持)系统,你的所有系统最终由驾驶员作出最终判断,即使有自动泊车系统,自动泊车系统不工作,驾驶员可以马上承接任务。最终自动驾驶没有Back up(支持)系统,由车操作所有情况。是今天谈的Fail-Operational(安全操作),即使是系统发生故障、事故的情况下,车不能只做安全功能,在事故发生系统发生故障的情况下,车可以有操作性。车不像手机可以停机重新开机,车驾驶过程中必须要能够重新操作。这是今天所谓最终的功能安全,要实现Fail-Operational(安全操作)的层级。在关键操作中,比如刹车、转向和所有自动驾驶,相关功能必须达到Fail-Operational(安全操作),在关键时效情况下,时间非常短、可能30秒甚至更短的情况下,车可以完全自动判定和自动安全的防范,能够保证所有系统都可以最终达到安全的功能。
从技术上来讲,目前刚才讲到所有系统无非是要有一个最终的Back up(支持)的系统。今天驾驶员可以作为Back up(支持)系统,将来自动驾驶。比如车里设置比较简单的系统,如果系统发生故障就关掉,将来自动驾驶需要做到有两套系统同时运行,达到Dual Fail Safe,第一套系统主系统,第二套系统随时检查第一套系统安全操作:第一套系统发现任何问题,第二套系统马上Take over,达到最终的安全需求。对最终自动驾驶来讲,不能达到完全安全的要求了,这要探讨是不是参考相关行业,现在还要看航空航天:今天的飞机是采取一套叫做Triple Modular Redundancy。它是有三套系统并行的,三套系统里有一套是主系统,另外两套同时检查第一套系统的安全运行,一旦两套系统同时发现第一套系统操作发生故障,需要判定第二套系统可以Take over,在第二套系统做操作时,第三套系统作为第二套系统的Back up(支持)。这个其实是最终目标,这当然会在系统上增加很多成本、增加很多复杂性,最终要达到百分之百的安全,或真正零事故必须往这个方向考虑。只有两套系统第一套系统失效,第二套系统完全工作,没有一套系统能做检测。真正达到Fail-Operational(安全操作)完全自动驾驶必须借鉴整个系统的安全保护,最终大家在汽车行业探讨的功能安全,到底怎么操作最终达到功能安全最终的目的。
新能源汽车更需要达到更高的功能安全要求,去年在百人会论坛上我讲过这个话题,新能源汽车对功率器件和整个系统需要更高的性能表现。因为在充电时,所有系统还是在工作的,等于车是在24小时工作,不像传统汽车发动机不发动了,车就可以休息。新能源汽车对所有系统和所有的器件需要更高的等级,估算甚至要3-4倍的要求。新能源汽车更需要达到更高的功能安全的要求。
简单谈一下安防保护。
大家知道现在所说的车联网,最终能够跟大数据相连,需要把车的系统能够跟网络相连、能够跟大数据相连、能够跟所有交通设施相关联。考虑到信息安全的问题,怎么去做安防保护?怎么能够保证车内的系统和整个网络安全的信息能够最终起到安防的作用?
从架构上来讲,无非是在车内关键的一些架构做一些安全保护,通过微处理器内部集成做加密模块、加密功能。上网这部分和网络连接,和交通设施连接和跟大数据相连接,需要分离式的器件,能对这一部分进行保护。举一个相对比较简单的例子,最热门远程软件更新(SOTA)过程分成两部,第一部分是把需要更新的软件先下载到车上,第二部是在车内更新。
第一个过程中,在任何时候都可以做,甚至车在运行的过程中都可以操作。而软件的下载是下载到车内中央的存储器里,驾驶员不需要参与,驾驶员甚至不需要做任何的操作。而在这个过程中需要加密保护,是确认下载的信息是对的,而车辆操作不受任何影响。
第二部分是下载到中央处理器之后,真正在车内相关的控制器上更新这个软件,是更需要安全保护的一个过程。目前建议在这个过程不能在驾驶的过程中操作,可能会产生很大的影响和安全的问题。所以建议现在看到的操作都是在驾驶员确认可以下载的时候,而钥匙是需要Energyi Off的状态,过程中是需要供电的,进行软件更新,不能很长,最多是15分钟之内,驾驶员不能离开车做其他操作。这个过程相对比较短,说明数据下载到车上需要比较快的流程。在这之后有下载端的确认。
从安防保护的角度,有三步。
第一步从车厂存储下载到中央处理器,有两步的安防保护:一部分要求TPM确认这是我想要的车厂A,对应车是车厂A的车,可以对口用TPM检查下载的数据是我需要、我接收的。
第二步是网络安全部分,网络下载过程中需要用加密过程保证数据本身是安全的。车内会有微处理器加密模块。这是相对应的,最后确认中央存储器可以接受数据,数据下载过程也是安全的。
最终中央处理器存储器下载到第二步,下载到相关的控制器里,在这个过程中,两个微处理器上的加密芯片或加密的模块是会相对应,下载的数据是安全的,而且我下载的也是相对应的控制器,最终实现下载的过程。
从我们可以看到的远程软件更新的角度,数据安全和保护是非常关键的过程,也是必须有相关的不同的硬件和软件的配合才能够实现的。从流程上我们看到是这样的。
最终作为总结,我们认为在整个汽车电动化和智能化的过程中,为整个系统的安全,就是刚才谈到的功能安全的概念和整个安防保护是必须并行的。如果只有你把车做得功能很安全,但信息不安全很可能造成很大的危险。而两个方向都是并行的,最终才能保证乘驶人员和整个行驶过程和道路交通的设施是安全的,只有在安防和安全两个两个同时并行的情况下,才能达到我们安防的目的。今天想讲的就是这些。谢谢大家!
如果您从事储能、新能源相关工作,希望在能见发布重要新闻或加入相关行业交流群,请联系能见储能研究员冯优手机:18611722885微信:fengyou0311
