智能无人设备从IP核到系统的全流程功能安全问题初探

空军工程大学信息与导航学院四大队12队 成明

随着诸如无人机、智能驾驶汽车、无人农机、各种专用和消费机器人等智能无人设备广泛进入我们的工作和生活，这些设备的功能安全问题成为了一个值得关注的重要话题。为了确保这些智能化和无人化设备的安全可控，设计师在进行系统开发的时候，就必须重视从流程的第一步和最底层的技术源头考虑功能安全问题，才能去打造综合安全性更高的系统，对设备和消费者/使用者进行最大限度的保护。

?功能安全（Functional Safety）是系统、设备或者核心部件通过主动安全机制去发现潜在的安全威胁，在相应安全等级约定的覆盖率上，以及时间内做出正确响应并采取保护措施，以避免因功能失效导致的人员伤害、环境破坏或财产损失风险?。近年来，除了汽车、工业和医疗等过去“传统上”就重视功能安全的领域，新兴的诸如机器人和无人机等设备也逐步开始强调功能安全，即通过在系统中设计主动的安全机制，确保系统在检测到潜在危险时能正确执行预定安全功能（如关闭危险源、触发保护措施等），从而降低的风险。

系统中主要的控制器或者处理器是功能安全第一个着眼点，智能化带来的是越来越多的高性能处理器，如设备中的MCU、MPU、GPU、NPU和CPU芯片等；同时也带来了核心处理器或者主控SoC设计和开发都变得更加的复杂，因此无论是系统设计师还是最终消费者，都要建立对设备和系统核心处理单元或者处理器进行功能安全认证检查的思维。比如随着汽车的智能化程度快速走向L3和L4，更是要看其关键处理单元是否通过了基于ISO 26262标准定义的、通过ASIL等级量化的功能安全风险测试，才能从最基础的计算器件开始对驾乘人员和汽车本身进行保护。

当然，智能化带来了集成电路行业的快速发展，许多半导体知识产权（IP）提供商、芯片公司和开发工具提供商的产品都在提供高性能的同时，还通过了严格的ASIL认证，从而帮助智能/无人设备芯片和系统开发者去快速实现功能安全。例如，在智能驾驶和自动驾驶主控芯片领域中，图形处理器（GPU）——因为其兼顾高算力和灵活性，可以为智驾芯片设计公司和系统开发者提供更长的产品生命周期而得到广泛的欢迎，因此无论在设计智驾SoC芯片而选择GPU时，还是主机厂及其Tier-1供应商在选择智驾方案时，都要去核实最基础的GPU内核是否通过相应的功能安全认证。

针对汽车智能化市场对高性能计算与功能安全的双重需求，近年来部分GPU IP供应商也在产品设计中引入了面向功能安全的架构机制。例如某些GPU产品通过增加硬件冗余设计与实时监测机制，实现了与ISO 26262标准中ASIL-B等级相对应的功能安全能力。以Imagination Technologies DXS GPU IP为例，其在保障图形渲染和计算性能的同时，通过分布式安全机制在有限的面积开销下实现了功能安全支持，并通过了相关第三方认证。这类支持功能安全的GPU IP，逐步成为智能驾驶SoC芯片开发者在考虑系统安全性设计时的重要构成元素之一。

除了源自IEC 61508标准的、适用于汽车行业的功能安全标准ISO 26262和相应的ASIL系列认证，近年来随着低空经济和无人飞行器产业的快速的发展，《航空器机载电子设备硬件设计保障指南（DO-254）》，以及相应的航空电子硬件开发的适航标准框架AMC 20-152A（基本上是DO-254的补充）这两个用于航空设备和飞行器的通用标准，成为开发航空机载电子设备硬件的功能安全标准。

安全性和可管理是低空经济全面发展的两个前提，尽管无人飞行器的适航要求还并未完全清晰，但是航空工业已经积累了丰富的功能安全管控经验。例如，AMC 20-152A进一步细化了 DO-254 的验证方法，例如明确 HDL 代码覆盖率需达到 95% 以上等。所以，选择使用符合这两个标准的IP和芯片，是设计诸如无人飞行设备等新兴系统的重要功能安全考量，也有不少基础技术提供商一直致力于开发相应的产品。以下为全球领先的IP提供商SmartDV Technology提供的部分通过了相关安全认证的IP和验证IP（VIP）。

最后，功能安全认证已经通过ISO26262等标准形成了一个覆盖全流程的机制，因此获得功能安全认证就要在流程上遵循标准化框架，主要涵盖安全目标定义与架构设计、验证与测试、第三方审核完成认证与文档、以及持续合规管理等关键阶段。?值得注意的是，工具链认证?也是功能安全认证的重要组成部分，开发工具需通过第三方独立认证，以确保代码覆盖率达标（HDL代码覆盖率≥95%），例如Imagination的PowerVR SDK工具链已通过ISO 26262兼容性验证。

随着国内集成电路设计企业不断提升自己的开发能力，并开发价值更高的、需要获得相应功能安全认证的芯片产品，采用全球领先的、已通过?第三方审核?的开发工具已成为行业中的一个趋势。

诸如芯驰科技、紫光同芯、旗芯微半导体、国科环宇、芯科集成和兆易创新等许多国内车用MCU厂商就选择与全球领先的嵌入式开发软件和服务提供商IAR合作，为其开发者引入IAR获得认证的工具链。针对越来越多的功能安全需求，IAR的Embedded Workbench工具提供了经过T?V S?D认证的功能安全版本，符合ISO 26262等10项功能安全标准，可以帮助车厂和Tier-1等芯片应用企业高效完成功能安全开发与认证，加速产品上市进程。

总结

功能安全是为许多智能无人设备保驾护航的重要措施，因此需要引起从IP到芯片和系统等各环节的重视，除了获得由权威机构在进行全流程审核，覆盖开发流程、测试报告及安全案例完整性之后获得ASIL等级证书之外，设计文档、测试数据、工具认证和持续合规管理都非常重要。

审核编辑 黄宇