许多汽车的应用都受到全新产业趋势所驱动,亦即CASE四个字母分各自代表的网联化(Connected)、自动化(Automated)、共享(Shared)和电气化(Electrified)。互联汽车使用先进的LTE和5G网络来增加网络带宽并驱动更高分辨率的显示器。先进的自动化,让新的应用程序有更充分的时间运用更高解析、更丰富的联网显示器以及联网传感器。共享是自动化的自然结果,让应用程序由互连的GPU和ECU,有更多机会采用端到端相机和显示器。电气化需要低功率的照明和高效率的显示器。传统的汽车应用程序,持续要求提高相机和帧率的分辨率,同时降低功耗和电气干扰容限。
MIPI联盟发布了A-PHY,同时推出了MIPI汽车用SerDes解决方案(MIPI Automotive SerDes Solutions,MASS)。针对日益增加的相机、传感器和显示器,MASS将为汽车原始设备制造商(OEM)及其供应商提供端对端高效能连接解决方案,以支持先进驾驶辅助系统(ADAS)、互联车载信息娱乐系统(IVI),以及最终的全自动驾驶车辆等汽车应用。这些解决方案在协议层级具有前所未有的内建功能安全,将帮助汽车厂商集成新出现的安全功能,例如低延迟倒车相机、车道维持和标牌检测传感器以及360度相机、激光雷达和雷达系统。MASS还将支持多种高分辨率仪器、控制和娱乐显示器。
下面以汽车座舱的特定显示器为例,说明MASS如何让显示器得以支持更严格的功能安全目标。从下图中看到一个位置较低(low profile),广角的汽车相机传感器,搭配嵌入式显示器,取代了传统的乘客座侧后视镜。改用数字后视镜之后,先进的光学系统减少了驾驶人的盲点,在夜间、低能见度、恶劣天气条件下也依然能发挥作用。它还具有额外的传感器功能,能侦测驾驶人可能看不到的物体和汽车。
如下图,汽车ECU分析了感测数据,并在屏幕上数字呈现了额外的安全标志和警告符号。这项应用中的车载显示器具有严格的安全目标,需要基于适当汽车危害分析的ASIL-D认证。要能如此完整汇整,需要额外的像素信息,确保能符合ISO26262确立的ASIL-D定义。
MASS系列规范专为端到端的功能安全和未来的安全而设计。图中左侧的镜头雷达使用MASS规范来获取数据,并通过功能安全和安全协议予以保护,标记来自传感器和ECU的完整图标,再到显示器。不同区块分别通过A-PHY SerDes接口完成这一切。ECU图像讯号和图形显示处理器会协助显示器产生新的像素输出数据。通过A-PHY SerDes,MASS规范可以替显示处理器输出的像素提供安全保障,最终来到玻璃显示器的部分。端到端MASS的作法有时称为玻璃到玻璃,因为它从传感器捕捉到光的瞬间启动,一直到光线离开显示器为止。
ISO26262系列为汽车功能安全标准。在许多其他参考设计和要求中,这些标准定义了属于汽车领域中,以汽车安全完整性级别(automotive safety integrity level,ASILs)的风险基础方法(risk-based approach),简称ASIL。ASIL用于检索适用的ISO26262规范,用于避免在应用安全目标定义中的不合理剩余风险(unreasonable residual risk)。MASS显示器规范采用ISO26262 Part5产品开发的硬件层级规范,作为显示器绘图管线的安全基础。具体来说,附录D丰富提供诊断覆盖率的详细指南信息,能针对合规所需的单点故障和潜在故障指标进行诊断评估,同时也能评估随机硬件故障所导致的安全目标违规情况。
显示器安全工程师在尝试符合显示器安全目标时可以参考,附件D提供了硬件故障模式分析。表D6定义了适用于MASS规范下的显示器接口的安全机制和关键性能测量建议。
下面四行以及红框文字概述的机制,可结合起来提供高级、典型、可实现的诊断覆盖率。这些机制包括:使用CRC-32编码的信息冗余、使用独特16码的分帧计数器以及使用倒数计时机制的超时监控。如表中最后一行所述,这三种机制的组合提供了可实现的高覆盖率。
MIPI的显示服务扩充功能(Display Services Extensions)或说DSE规范定义了一种新的数据封包、如同附件D表D6中描述的安全机制类型。在DSI-2协议编码器把像素转换为位的过程中,计算出来这些服务扩充封包(简称SEP)。
SEP标头和结尾数据封包,也保护DSI-2短数据封包的命令和控制接口。DSI-2的MIPI协议适配层,定义了SEP数据封包的需求;当DSI-2长短数据封包转换为A-Packets、数据分帧并通过A-PHY发送时,也必须通过DSI-2的MIPI协议适配层。在DSI-2长数据封包(long packets)定义的影片中,SEP数据封包被置放在每个结束与开始的行列的起始点。如下图。
DSI-2长数据封包的有效载荷和SEP标头,用于计算位于SEP结尾中的CRC-32值。这些数据封包组合起来,形成新的播放有效载荷,构成一组新的、可能会通过A-PHY传输的DSI-2长数据封包。DSI-2短数据封包的转换,也是通过一样的过程。下图说明了SEP标头和结尾数据封包,如何包覆DSI-2的短数据封包和长数据封包。
SEP数据包头的前32个位(EPH zero),包含了定义SEP有效载荷格式的eDP(扩展数据类型)。DSE规范目前支持MIPI DSI-2和MIPI PAL,适用VESA、eDP、DP、SEP的有效载荷类型。EPH-2内含SEP 16位信息计数器。
SEP 2.0版本,是第一个通过配置功能安全显示器、并以分帧会话传送的数据封包,针对每个已传输的SEP数据封包,发送器也会逐步增强。显示器应用程序,可能会选择在每行活动影片开始时、或在SEP数据封包传输过程中以其他应用程序指定的特定时间,重置信息计数器。
信息计数器的关键,是要标记出唯一且具有单调递增值的SEP数据封包。如果终端显示接收端译码了SEP信息计数器,并跳过、重复或错过了下一个序号值,就必须声明(assert)错误条件,采取适当的系统层级行动,例如显示器上闪烁错误警告。要实现超时监控(time out monitoring),也可以在既定数量的垂直接收讯号范围内,通过显示器追踪译码的SEP信息计数器值的有效性。帧率为已知,因此垂直接收器之间的SEP信息计数器值的数量会指示主机是否已在给定阈值内停止发送显示数据,这对于特定的安全图标至关重要。
下面解释MASS显示器的功能安全性,以及未来在安全系统层级的作法。如下图,上面显示了最适合目前既有ECU和显示器的网桥间MASS解决方案。左侧的ECU会生成源像素数据,使用标准MIPI DSI-2或VESA eDP原生接口,连接到A-PHY发射网桥。以蓝色箭头表示。A-PHY SerDes发射器会通过MIPI协议适配层或PAL规范,把原生像素串流转换为A-Packet,并受功能安全、安全或HDC保护。A-PHY SerDes会接收、验证A-Packets的功能安全、安全性、HDCP完整性,然后通过相同的PAL规格把A-Packets转回原生DSI-2或eDP像素。在这个例子中,FuSa和安全性只建立在MIPI A-PHY网桥之间。
下侧的图勾勒出完全整合A-PHY的MASS显示架构,在显示器像素的生成过程中加入功能安全和系统安全,并通过A-PHY连结到最终端,直到显示器译码数据并发送到屏幕。这是MASS端到端显示器解决方案的典型案例,因为完全整合的A-PHY案例不需要A-PHY SerDes网桥。不过要等到市场完全采用这种解决方案,还需要时间。
不整合A-PHY SerDes网桥也可以达到MASS端到端功能安全和安全性,只需把整合的MIPI显示服务扩充功能规范,应用在下一代DSI-2 ECU内嵌协议生成器中。
把垂直协议栈区格式展开来,针对服务扩充数据封包(SEP)从ECU显示源到最终显示玻璃端保护像素有效负载,提供低阶讯息。左侧有四个主要模块,显示源、A-PHY接收网桥、A-PHY发送网桥和最终显示接收器。黑色粗箭头表示主要实体连接:在C-和D-PHY连接之间、源和网桥之间、以及A-PHY发送器和接收器之间。右侧是堆栈区,右侧栈区中每一层的详细有效载荷细分。如下图。
下图是依据之前详细的显示器协议栈区顶部展开的,左侧大块是ECU显示DSI-2源生成器,会生成显示像素并通过C-PHY或D-PHY的原生DSI-2,发送到外部A-PHY网桥。
ECU像素帧缓冲区中的第一个模块,包含要送往显示接收器的最终合成数据。在最右侧,可以看到像素显示缓冲区从上到下按光栅顺序扫描,生成绿色的显示数据字节,用于计算服务扩充封包中的显示值。
SEP增强包头(EPH)和增强包尾(EPF)含有基于绿色有效载荷的CRC和其他SEP字段数据。新的SEP、加上数据字节讯息,形成了传统DSI-2长数据封包的全新有效载荷。要注意的是,命令和控制讯息也受到SEP标头和尾目标保护,形成与DSI-2短数据封包类似的有效载荷。这些DSI-2数据封包遵循传统的报头和页脚结构,并通过相应MIPI规范中定义的C-PHY或D-PHY发送。在显示接收器块上,步骤相反过来,并会逐一验证DSI-2和SEP页眉和页脚的正确性。如果显示接收器检测到错误,MASS显示系列不会指定ECU源或显示接收器应如何反应,只会说明必须适当地处理并报告错误。
下图中左侧,是DSI-2接收器传送到A-PHY发送器。在右侧,是A-PHY接收器回到DSI-2发送器。左边的网桥收到DSI-2长封包和短封包,通过DSI-2或PAL规格的协议适配层,将之转换为正确格式的A-Packets,以供A-PHY传输。在右侧方块里执行的步骤则相反,重新产生C-PHY或D-PHY发送的原始DSI-2长短数据封包。最右侧的协议有效负载叙述,说明如何复原DSI-2数据封包并分帧为A-Packets。A-PHY规范也叙述了相关细节。
传统汽车ECU显示源仅产生原生的DSI-2或VESA EDP,仍可以利用MASS显示规范来提供功能安全及安全性,未来也能提供A-PHY网桥间的安全性。
下图说明了使用DSI-2和C-PHY或D-PHY发射器的MIPI传统显示源和接收器。该ECU连接到外部DSI-2到A-PHY网桥。传统ECU具有传统的DSI-2接口,协议中并未加入FuSa或安全性。一旦A-PHY网桥接收到数据,DSI-2的协议适配层会在像素数据通过A-PHY SerDes接口传输之前,通过DSE规范增加功能安全性,并在未来增加安全性。
下图显示了传统VESA发射器的类似配置。在A-PHY传输数据前,协议适配层或VESA EDP增加了功能安全性,未来也会加强安全性。
MASS应用已经完整整合A-PHY的全新ECU。这些搭载完整整合MASS显示规范的新ECU,可以利用到完整端到端功能安全性的优势,未来也能享受协议适配层使用的显示服务扩充的安全性。
下面两张图中,协议适配层在像素协议和编码管道启动时,就完全整合到ECU里,以此确保DSI-2和VESA都能包含功能安全,未来在DSI-2和VESA DP原生串流中包含安全性。像素串流在A-PHY中全程受到保护,直到最终的像素协议译码器,再到玻璃显示部分。
MASS的安全及指导原则。MIPI安全性基于三个指导原则。第一:PHY,第二:协议,第三:范围。这些是MASS协议的三个指导原则。
MIPI的安全性,实践CSI-2和DSI-2协议的扩充,让它可以在许多生态系统中广泛使用。藉由将安全性附加到协议中,实现端到端范围的安全性。可以在图的上部看到桥到桥和端到端数据保护。
接下来看MASS规范。两个主要应用—相机和显示器。相机、光学雷达和雷达可以视为同一类。显示器分两种规格,MIPI DSI-2和VESA DisplayPort。可以在栈区中看到MIPI安全(含有同一层内的功能安全和安全保护),直接附加在CSI-2、DSI-2和Display Port协议之上。最下面显示了A-PHY数据链接层和物理层。安全性基本上是在协议层级实现,达成前述的端到端范围。
根本上来说,安全性包括三个关键要素:数据身份验证,在组件之间建立信任级别;讯息完整性,确保讯息在传输过程中没有被修改;机密性,藉由加密实现。
依据下面显示的MIPI 1:5模型,来参考MIPI中的数据保护。安全是由中央控制器以一对一的方式与其他组件进行管理,而非偏向点对点类型的安全模型。例如,数据安全可以在控制器#1或其网桥#2中启动,并在#4或#5中终止。相机安全可以反向启动,从#5或#4开始,并在#1控制器或其网桥中终止。
接下来将详细讨论1:5模型。下图更详细地显示了1:5模型。从图形上看,可以在相机中看到一个显示器,标记为#5,通过网桥#4连接到A-PHY网络。A-PHY网络另一端是其他网桥,分别连接到SOC,#2和#1。因此可以看到在特定时间内,特定系统中这些组件有会有许多不同变体。
右下角可以看到全部五个,一次两个,以不同方式排列。系统要求包括了身份验证完整性和加密。某些系统要求从在根本上是基于端到端的范围,亦即协议层确保安全的能力。显示器和相机的数据层和控制层自然都有相关安全需求。另外还可以进行一个很灵活的操作。例如,在菊花链拓朴(daisy chain topology)的显示器情况下,其中多个显示器以菊花链拓朴连接到控制器,一些显示器可能是DSI-2,另一些可能是DisplayPort,并且安全性不会因为端对端的方式有所妥协。
MIPI安全框架,通常称为ABC模型。有1:5模型和ABC模型。在最上层,C层提供身份验证凭据。这是一个整合器功能——可以想象一枚USB快闪硬盘把密钥推给每个组件。也可以根据整合商的需要,通过无线或以太网络连接进行自动化。目前这不在MIPI规范中,MIPI指定了B层级和A层级。可以把B层级设想为称为SSMC(系统安全管理控制器)的软件功能。底部的A层级则是在更高级别的B层级控制下执行数据保护。可以想象成这是进行加密的硬件,完整保护讯息,支持三种不同级别的安全性A-PHY、相机的CCI,以及显示器和相机数据层的SEP安全。
MIPI的安全规范采用简称为SPDM的DMTF.org规范,业界多个组织也采用DMTF,包括PCI-SIG、CXL、NVMe,以及新近的MIPI。SPDM参考TLS模式建立,TLS正是全球网络使用的安全框架。
基本上有两大步骤。在通讯初始化(hand shake)之后建立经验证的会话密钥,然后发送会话密钥,保护数据层和控制层的数据。SPDM讯息再次采通用定义,但在MIPI情况中,这些讯息通过DSI、CSI-2以及CCI或I2C传送,以便单独保护每个传输,如图所示。
有关MIPI SEP格式部分,MIPI安全的关键要素之一就是服务扩充封包。SEP格式由一个SEP标头和一个封装有效载荷的尾标组成。有效载荷包括CSI-2和DSI-2。
右下角可以看到,本机协议有其本机数据包头和本机数据包页脚。这是市面上常见的CSI-2和DSI-2实践。上面的SEP标头,标记了所有安全控制,包括HDCP和功能安全。页脚包含完整性校验值或MAC以及CRC的关键元素。这里的有效载荷,一般由CSI-2包或DSI-2包组成,受到保护时就能立即传输出去。
端到端应用程序级别。是MIPI安全的一项关键组成。参照TLS模式建立MIPI安全,并将MIPI服务扩展放置在应用层、源头和接收器。基本上会尽量以端到端的方式,从像素源传到像素接收器。
下图中左侧有两个范例,说明由C-PHY、D-PHY从应用源到应用接收器的传输。右侧也是一样,但携带了远程A-PHY。紫色圆点说明了端到端的性质,就是在应用程序流程中,像素在何处被创建、在何处被消耗。
MASS规范为当今初版的CSE和DSE的相机和显示器,提供了功能安全解决方案。这些完整规范可供MIPI会员使用。CSE v1.0和DSE v1.0规范正在更新,支持CSI-2、DSI-2以及CCI(I2C)边带的安全性。MIPI安全性的关键要素之一,是协议本身的安全性置于何处,才能达成使用或不使用中间网桥的端到端数据保护。如此也得以运用,像是TLS的传输层安全性,与MACsec等连接层安全性形成对比。
原文始发于微信公众号(智车Robot):车载SerDes解决方案(MASS)的功能安全
