笔趣阁(biquge321.com)更新快,无弹窗!
功能安全框架能不能初始化?和整车的通信总线能不能握手?自动驾驶模型的推理延迟能不能满足要求?
「刷系统。」他说。
老周把一块装着天枢OS车机版的固态硬碟插到主板上,按下复位键。屏幕上开始滚动更密集的日志——内核加载丶驱动初始化丶服务启动丶安全模块自检。
三分钟后,天行者的中控屏幕亮了。
不是完整的界面,只是最底层的启动画面——天枢OS的LOGO下面有一行小字:「功能安全模式·验证中」。画面不是很流畅,帧率明显偏低,但能亮,能响应触摸,能和仪表盘通信。
秦峥伸手在中控屏幕上划了一下,调出天程晶片的运行状态页。CPU温度五十二度,GPU温度四十八度,NPU温度四十五度,核心电压正常,功耗二十三瓦。所有数字都在预期范围内。
「第一步完成。」他说,语气里没有喜悦,只有一种冷静的确认。「接下来跑功能安全诊断。」
功能安全诊断是天程车规晶片样车集成的核心关卡。天权5车规版在设计时就按照ISO26262ASIL-D的最高功能安全等级要求来做的,但实验室里的仿真验证和真实整车环境中的诊断覆盖度是两回事。
老周调出功能安全诊断套件,开始跑第一组用例——电源管理单元的故障注入测试。套件会模拟各种电源异常,看晶片的安全机制能不能在规定时间内检测到并进入安全状态。
第一组:核心电压过压。模拟电压从一点二伏缓慢升高到一点五伏。天程晶片的电压监控电路在一点三二伏时触发了预警,在一点三八伏时触发了故障响应,系统在零点八毫秒内完成了上下文保存并进入安全状态。通过。
第二组:核心电压欠压。模拟电压从一点二伏缓慢降到零点九伏。监控电路在一点零八伏时触发预警,在零点九八伏时触发故障响应,系统在一点二毫秒内完成安全关断。通过。
第三组:时钟丢失。模拟外部晶振信号中断。天程晶片的内部时钟监控电路在二百微秒内检测到异常,自动切换到备用RC振荡器,系统继续运行,性能下降但功能完整。通过。
前三组都通过了,但秦峥的表情没有放松。他知道真正难的不是这些常规故障,而是那些在实验室里很难模拟丶但在真实车辆上可能会出现的复合故障。
果然,跑到第四组的时候,问题出现了。
第四组是通信总线的故障注入——模拟CAN总线的消息丢失和校验错误。天程晶片通过CAN总线与整车的车身控制器丶刹车系统丶转向系统通信。测试套件会在总线上随机注入错误帧,看晶片的错误处理机制能不能正确识别并隔离故障。
前五分钟,一切正常。晶片的错误检测逻辑捕获了每一个注入的错误帧,记录到日志中,但没有触发安全响应——因为这些错误不影响核心功能。
第六分钟,老周注入了一个更复杂的故障模式——连续五个有效帧中插入一个错误帧,重复一百次。这种模式模拟的是某个传感器间歇性故障导致的通信质量下降。
天程晶片的处理逻辑在第三十七次重复时出现了一个小问题——错误帧处理模块的缓存满了,导致后续几个错误帧被丢弃,没有记录到日志中。但核心功能没有受影响,安全状态也没有被触发。
「这不是功能安全问题,是诊断完整性问题。」章宸看了日志后说,「错误帧太多,处理模块的缓存溢出,丢了一些日志。但错误帧本身已经被总线控制器识别并丢弃了,没有进入上层应用。所以对功能安全没有影响,只是我们丢了几条诊断记录。」
秦峥把这个问题记在了测试报告的「待改进」栏里,但没有把它列为阻塞问题。诊断记录丢失不会影响行车安全,只是会给售后故障分析带来一些不便。
真正的阻塞问题出现在第七组测试——自动驾驶模型推理的实时性验证。
天程晶片的NPU引擎需要在规定时间内完成自动驾驶模型的推理,输出控制指令。天行者的要求是:从传感器数据输入到控制指令输出,端到端延迟不超过五十毫秒。
在实验室的仿真环境中,天程晶片的NPU引擎跑这个模型的平均延迟是三十八毫秒,最差延迟四十四毫秒,满足要求。
但在样车集成的真实环境中,老周跑完第一轮实测后,屏幕上显示的数字让所有人都沉默了。
平均延迟四十七毫秒,最差延迟六十三毫秒。
六十三毫秒,超过了五十毫秒的要求。
「哪里来的延迟?」秦峥的声音不大,但每个字都带着重量。
老周调出了延迟分解图。数据从摄像头和雷达进入天程晶片,经过预处理丶NPU推理丶后处理丶控制指令生成,每一个环节的延迟都被精确测量。
预处理:六毫秒。和实验室一致。
NPU推理:二十