【导语】随着智能无人设备的广泛应用，功能安全问题日益凸显。为确保这些设备的安全可控，功能安全成为系统设计中的重要考量。从无人机到智能驾驶汽车，再到各类机器人，功能安全通过主动安全机制预防潜在威胁，保护人员、环境和财产安全。本文将深入探讨功能安全在智能无人设备领域的应用与挑战，介绍相关的标准、认证流程以及行业趋势，旨在提升读者对功能安全重要性的认识。

作者：空军工程大学信息与导航学院四大队12队 成明

随着诸如无人机、智能驾驶汽车、无人农机、各种专用和消费机器人等智能无人设备广泛进入我们的工作和生活，这些设备的功能安全问题成为了一个值得关注的重要话题。为了确保这些智能化和无人化设备的安全可控，设计师在进行系统开发的时候，就必须重视从流程的第一步和最底层的技术源头考虑功能安全问题，才能去打造综合安全性更高的系统，对设备和消费者/使用者进行最大限度的保护。

‌功能安全（Functional Safety）是系统、设备或者核心部件通过主动安全机制去发现潜在的安全威胁，在相应安全等级约定的覆盖率上，以及时间内做出正确响应并采取保护措施，以避免因功能失效导致的人员伤害、环境破坏或财产损失风险‌。近年来，除了汽车、工业和医疗等过去“传统上”就重视功能安全的领域，新兴的诸如机器人和无人机等设备也逐步开始强调功能安全，即通过在系统中设计主动的安全机制，确保系统在检测到潜在危险时能正确执行预定安全功能（如关闭危险源、触发保护措施等），从而降低的风险。

系统中主要的控制器或者处理器是功能安全第一个着眼点，智能化带来的是越来越多的高性能处理器，如设备中的MCU、MPU、GPU、NPU和CPU芯片等；同时也带来了核心处理器或者主控SoC设计和开发都变得更加的复杂，因(yīn)此(cǐ)无(wú)论(lùn)是(shì)系(xì)统(tǒng)设(shè)计(jì)师(shī)还(hái)是(shì)最(zuì)终(zhōng)消(xiāo)费(fèi)者(zhě)，都(dōu)要(yào)建(jiàn)立(lì)对(duì)设(shè)备(bèi)和(hé)系(xì)统(tǒng)核(hé)心(xīn)处(chù)理(lǐ)单(dān)元(yuán)或(huò)者(zhě)处(chù)理(lǐ)器(qì)进(jìn)行(xíng)功(gōng)能(néng)安(ān)全认(rèn)证(zhèng)检(jiǎn)查(chá)的(de)思(sī)维(wéi)。比(bǐ)如(rú)随(suí)着(zhe)汽(qì)车(chē)的(de)智(zhì)能(néng)化(huà)程(chéng)度(dù)快(kuài)速(sù)走(zǒu)向(xiàng)L3和(hé)L4，更(gèng)是(shì)要(yào)看(kàn)其(qí)关键处(chù)理(lǐ)单(dān)元(yuán)是(shì)否(fǒu)通(tōng)过(guò)了(le)基(jī)于(yú)ISO 26262标(biāo)准(zhǔn)定(dìng)义(yì)的(de)、通(tōng)过(guò)ASIL等(děng)级(jí)量(liàng)化(huà)的(de)功(gōng)能(néng)安(ān)全风(fēng)险(xiǎn)测(cè)试(shì)，才(cái)能(néng)从(cóng)最(zuì)基(jī)础(chǔ)的(de)计(jì)算(suàn)器(qì)件(jiàn)开(kāi)始(shǐ)对(duì)驾(jià)乘(chéng)人(rén)员(yuán)和(hé)汽(qì)车(chē)本(běn)身(shēn)进(jìn)行(xíng)保(bǎo)护(hù)。

当(dāng)然(rán)，智(zhì)能(néng)化(huà)带(dài)来(lái)了(le)集成(chéng)电(diàn)路行(xíng)业(yè)的(de)快(kuài)速(sù)发(fā)展(zhǎn)，许(xǔ)多(duō)半(bàn)导(dǎo)体(tǐ)知(zhī)识(shi)产(chǎn)权(quán)（IP）提(tí)供(gōng)商(shāng)、芯(xīn)片(piàn)公(gōng)司(sī)和(hé)开(kāi)发(fā)工(gōng)具(jù)提(tí)供(gōng)商(shāng)的(de)产(chǎn)品(pǐn)都(dōu)在(zài)提(tí)供(gōng)高(gāo)性(xìng)能(néng)的(de)同(tóng)时(shí)，还(hái)通(tōng)过(guò)了(le)严(yán)格(gé)的(de)ASIL认(rèn)证(zhèng)，从(cóng)而(ér)帮(bāng)助(zhù)智(zhì)能(néng)/无(wú)人(rén)设(shè)备(bèi)芯(xīn)片(piàn)和(hé)系(xì)统(tǒng)开(kāi)发(fā)者(zhě)去(qù)快(kuài)速(sù)实(shí)现(xiàn)功(gōng)能(néng)安(ān)全。例(lì)如(rú)，在(zài)智(zhì)能(néng)驾(jià)驶(shǐ)和(hé)自(zì)动(dòng)驾(jià)驶(shǐ)主控(kòng)芯(xīn)片(piàn)领(lǐng)域中(zhōng)，图(tú)形(xíng)处(chù)理(lǐ)器(qì)（GPU）——因(yīn)为(wèi)其(qí)兼(jiān)顾(gù)高(gāo)算(suàn)力(lì)和(hé)灵(líng)活(huó)性(xìng)，可(kě)以(yǐ)为(wèi)智(zhì)驾(jià)芯(xīn)片(piàn)设(shè)计(jì)公(gōng)司(sī)和(hé)系(xì)统(tǒng)开(kāi)发(fā)者(zhě)提(tí)供(gōng)更(gèng)长(zhǎng)的(de)产(chǎn)品(pǐn)生(shēng)命(mìng)周(zhōu)期(qī)而(ér)得(de)到(dào)广(guǎng)泛(fàn)的(de)欢(huan)迎(yíng)，因(yīn)此(cǐ)无(wú)论(lùn)在(zài)设(shè)计(jì)智(zhì)驾(jià)SoC芯(xīn)片(piàn)而(ér)选(xuǎn)择(zé)GPU时(shí)，还(hái)是(shì)主机(jī)厂(chǎng)及(jí)其(qí)Tier-1供(gōng)应(yīng)商(shāng)在(zài)选(xuǎn)择(zé)智(zhì)驾(jià)方(fāng)案(àn)时(shí)，都(dōu)要(yào)去(qù)核(hé)实(shí)最(zuì)基(jī)础(chǔ)的(de)GPU内(nèi)核(hé)是(shì)否(fǒu)通(tōng)过(guò)相(xiāng)应(yīng)的(de)功(gōng)能(néng)安(ān)全认证。

针对汽车智能化市场对高性能计算与功能安全的双重需求，近年来部分GPU IP供应商也在产品设计中引入了面向功能安全的架构机制。例如某些GPU产品通过增加硬件冗余设计与实时监测机制，实现了与ISO 26262标准中ASIL-B等级相对应的功能安全能力。以Imagination Technologies DXS GPU IP为例，其在保障图形渲染和计算性能的同时，通过分布式安全机制在有限的面积开销下实现了功能安全支持，并通过了相关第三方认证。这类支持功能安全的GPU IP，逐步成为智能驾驶SoC芯片开发者在考虑系统安全性设计时的重要构成元素之一。

除了源自IEC 61508标准的、适用于汽车行业的功能安全标准ISO 26262和相应的ASIL系列认证，近年来随着低空经济和无人飞行器产业的快速的发展，《航空器机载电子设备硬件设计保障指南（DO-254）》，以及相应的航空电子硬件开发的适航标准框架AMC 20-152A（基本上是DO-254的补充）这两个用于航空设备和飞行器的通用标准，成为开发航空机载电子设备硬件的功能安全标准。

安全性和可管理是低空经济全面发展的两个前提，尽管无人飞行器的适航要求还并未完全清晰，但(dàn)是航空工业已经积累了丰富的功能安全管控经验。例如，AMC 20-152A进一步细化了 DO-254 的验证方法，例如明确 HDL 代码覆盖率需达到 95% 以上等。所以，选择使用符合这两个标准的IP和芯片，是设计诸如无人飞行设备等新兴系统的重要功能安全考量，也有不少基础技术提供商一直致力于开发相应的产品。以下为全球领先的IP提供商SmartDV Technology提供的部分通过了相关安全认证的IP和验证IP（VIP）。

最(zuì)后(hòu)，功(gōng)能(néng)安(ān)全认(rèn)证(zhèng)已(yǐ)经通过ISO26262等标准形成了一个覆盖全流程的机制，因此获得功能安全认证就要在流程上遵循标准化框架，主要涵盖安全目标定义与架构设计、验证与测试、第三方审核完成认证与文档、以及持续合规管理等关键阶段。‌值得注意的是，工具链认证‌也是功能安全认证的重要组成部分，开发工具需通过第三方独立认证，以确保代码覆盖率达标（HDL代码覆盖率≥95%），例如Imagination的PowerVR SDK工具链已通过ISO 26262兼容性验证。

随着国内集成电路设计企业不断提升自己的开发能力，并开发价值更(gèng)高(gāo)的(de)、需(xū)要(yào)获(huò)得(de)相(xiāng)应(yīng)功(gōng)能(néng)安(ān)全认(rèn)证(zhèng)的(de)芯(xīn)片(piàn)产(chǎn)品(pǐn)，采用(yòng)全球(qiú)领(lǐng)先(xiān)的(de)、已(yǐ)通(tōng)过(guò)‌第(dì)三(sān)方(fāng)审(shěn)核(hé)‌的(de)开(kāi)发(fā)工(gōng)具(jù)已(yǐ)成(chéng)为(wèi)行(xíng)业(yè)中(zhōng)的(de)一(yī)个(gè)趋(qū)势(shì)。

诸(zhū)如(rú)芯(xīn)驰(chí)科(kē)技(jì)、紫(zǐ)光(guāng)同(tóng)芯(xīn)、旗(qí)芯(xīn)微(wēi)半(bàn)导(dǎo)体(tǐ)、国(guó)科(kē)环(huán)宇(yǔ)、芯(xīn)科(kē)集成(chéng)和(hé)兆(zhào)易(yì)创(chuàng)新(xīn)等(děng)许(xǔ)多(duō)国(guó)内(nèi)车(chē)用(yòng)MCU厂(chǎng)商(shāng)就(jiù)选(xuǎn)择(zé)与(yǔ)全球(qiú)领(lǐng)先(xiān)的(de)嵌(qiàn)入(rù)式(shì)开(kāi)发(fā)软(ruǎn)件(jiàn)和(hé)服(fú)务(wu)提(tí)供(gōng)商(shāng)IAR合(hé)作(zuò)，为(wèi)其(qí)开(kāi)发(fā)者(zhě)引(yǐn)入(rù)IAR获(huò)得(de)认(rèn)证(zhèng)的(de)工(gōng)具(jù)链(liàn)。针(zhēn)对(duì)越(yuè)来(lái)越(yuè)多(duō)的(de)功(gōng)能(néng)安(ān)全需(xū)求(qiú)，IAR的(de)Embedded Workbench工(gōng)具(jù)提(tí)供(gōng)了(le)经(jīng)过(guò)TÜV SÜD认(rèn)证(zhèng)的(de)功(gōng)能(néng)安(ān)全版(bǎn)本(běn)，符(fú)合(hé)ISO 26262等(děng)10项(xiàng)功(gōng)能(néng)安(ān)全标(biāo)准(zhǔn)，可(kě)以(yǐ)帮(bāng)助(zhù)车(chē)厂(chǎng)和(hé)Tier-1等(děng)芯(xīn)片(piàn)应(yīng)用(yòng)企(qǐ)业(yè)高(gāo)效(xiào)完(wán)成(chéng)功(gōng)能(néng)安(ān)全开发与认证，加速产品上市进程。

总结

功能安全是为许多智能无人设备保驾护航的重要措施，因此需要引起从IP到芯片和系统等各环节的重视，除了获得由权威机构在进行全流程审核，覆盖开发流程、测试报告及安全案例完整性之后获得ASIL等级证书之外，设计文档、测试数据、工具认证和持续合规管理都非常重要。