智能无人设备从IP核到系统的全流程功能安全问题初探

【导(dǎo)语(yǔ)】随(suí)着(zhe)智(zhì)能(néng)无(wú)人(rén)设(shè)备(bèi)的(de)广(guǎng)泛(fàn)应(yīng)用(yòng)，功(gōng)能(néng)安(ān)全问(wèn)题(tí)日(rì)益(yì)凸(tū)显(xiǎn)。为(wèi)确(què)保(bǎo)这(zhè)些(xiē)设(shè)备(bèi)的(de)安(ān)全可(kě)控(kòng)，功(gōng)能(néng)安(ān)全成(chéng)为(wèi)系(xì)统(tǒng)设(shè)计(jì)中(zhōng)的(de)重(zhòng)要(yào)考(kǎo)量(liàng)。从(cóng)无(wú)人(rén)机(jī)到(dào)智(zhì)能(néng)驾(jià)驶(shǐ)汽(qì)车(chē)，再(zài)到(dào)各(gè)类(lèi)机(jī)器(qì)人(rén)，功(gōng)能(néng)安(ān)全通(tōng)过(guò)主动(dòng)安(ān)全机(jī)制(zhì)预(yù)防(fáng)潜(qián)在(zài)威(wēi)胁(xié)，保(bǎo)护(hù)人(rén)员(yuán)、环(huán)境(jìng)和(hé)财(cái)产(chǎn)安(ān)全。本(běn)文将(jiāng)深(shēn)入(rù)探(tàn)讨(tǎo)功(gōng)能(néng)安(ān)全在(zài)智(zhì)能(néng)无(wú)人(rén)设(shè)备(bèi)领(lǐng)域的(de)应(yīng)用(yòng)与(yǔ)挑(tiāo)战(zhàn)，介(jiè)绍(shào)相(xiāng)关的(de)标(biāo)准(zhǔn)、认(rèn)证(zhèng)流(liú)程(chéng)以(yǐ)及(jí)行(xíng)业(yè)趋(qū)势(shì)，旨(zhǐ)在(zài)提(tí)升(shēng)读(dú)者(zhě)对(duì)功(gōng)能(néng)安(ān)全重(zhòng)要(yào)性(xìng)的(de)认(rèn)识(shi)。

作(zuò)者(zhě)：空(kōng)军(jūn)工(gōng)程(chéng)大(dà)学(xué)信(xìn)息(xi)与(yǔ)导(dǎo)航(háng)学(xué)院(yuàn)四(sì)大(dà)队(duì)12队(duì) 成(chéng)明(míng)

随(suí)着(zhe)诸(zhū)如(rú)无(wú)人(rén)机(jī)、智(zhì)能(néng)驾(jià)驶(shǐ)汽(qì)车(chē)、无(wú)人(rén)农(nóng)机(jī)、各(gè)种(zhǒng)专(zhuān)用(yòng)和(hé)消(xiāo)费(fèi)机(jī)器(qì)人(rén)等(děng)智(zhì)能(néng)无(wú)人(rén)设(shè)备(bèi)广(guǎng)泛(fàn)进(jìn)入(rù)我(wǒ)们(men)的(de)工(gōng)作(zuò)和(hé)生(shēng)活(huó)，这(zhè)些(xiē)设(shè)备(bèi)的(de)功(gōng)能(néng)安(ān)全问(wèn)题(tí)成(chéng)为(wèi)了(le)一(yī)个(gè)值(zhí)得(de)关注(zhù)的(de)重(zhòng)要(yào)话(huà)题(tí)。为(wèi)了(le)确(què)保(bǎo)这(zhè)些(xiē)智(zhì)能(néng)化(huà)和(hé)无(wú)人(rén)化(huà)设(shè)备(bèi)的(de)安(ān)全可(kě)控(kòng)，设(shè)计(jì)师(shī)在(zài)进(jìn)行(xíng)系(xì)统(tǒng)开(kāi)发(fā)的(de)时(shí)候(hou)，就(jiù)必(bì)须(xū)重(zhòng)视(shì)从(cóng)流(liú)程(chéng)的(de)第(dì)一(yī)步(bù)和(hé)最(zuì)底(dǐ)层(céng)的(de)技(jì)术(shù)源(yuán)头(tóu)考(kǎo)虑(lǜ)功(gōng)能(néng)安(ān)全问(wèn)题(tí)，才(cái)能(néng)去(qù)打(dǎ)造(zào)综(zōng)合(hé)安(ān)全性(xìng)更(gèng)高(gāo)的(de)系(xì)统(tǒng)，对(duì)设(shè)备(bèi)和(hé)消(xiāo)费(fèi)者(zhě)/使(shǐ)用(yòng)者(zhě)进(jìn)行(xíng)最(zuì)大(dà)限(xiàn)度(dù)的(de)保(bǎo)护(hù)。

‌功(gōng)能(néng)安(ān)全（Functional Safety）是(shì)系(xì)统(tǒng)、设(shè)备(bèi)或(huò)者(zhě)核(hé)心(xīn)部(bù)件(jiàn)通(tōng)过(guò)主动(dòng)安(ān)全机(jī)制(zhì)去(qù)发(fā)现(xiàn)潜(qián)在(zài)的(de)安(ān)全威(wēi)胁(xié)，在(zài)相(xiāng)应(yīng)安(ān)全等(děng)级(jí)约(yuē)定(dìng)的(de)覆(fù)盖(gài)率(lǜ)上(shàng)，以(yǐ)及(jí)时(shí)间(jiān)内(nèi)做(zuò)出(chū)正(zhèng)确(què)响(xiǎng)应(yīng)并(bìng)采取(qǔ)保(bǎo)护(hù)措(cuò)施(shī)，以(yǐ)避(bì)免(miǎn)因(yīn)功(gōng)能(néng)失(shī)效(xiào)导(dǎo)致(zhì)的(de)人(rén)员(yuán)伤(shāng)害(hài)、环(huán)境(jìng)破(pò)坏(huài)或(huò)财(cái)产(chǎn)损(sǔn)失(shī)风(fēng)险(xiǎn)‌。近(jìn)年(nián)来(lái)，除(chú)了(le)汽(qì)车(chē)、工(gōng)业(yè)和(hé)医(yī)疗(liáo)等(děng)过(guò)去(qù)“传(chuán)统(tǒng)上(shàng)”就(jiù)重(zhòng)视(shì)功(gōng)能(néng)安(ān)全的(de)领(lǐng)域，新(xīn)兴(xìng)的(de)诸(zhū)如(rú)机(jī)器(qì)人(rén)和(hé)无(wú)人(rén)机(jī)等(děng)设(shè)备(bèi)也(yě)逐(zhú)步(bù)开(kāi)始(shǐ)强(qiáng)调(diào)功(gōng)能(néng)安(ān)全，即(jí)通(tōng)过(guò)在(zài)系(xì)统(tǒng)中(zhōng)设(shè)计(jì)主动(dòng)的(de)安(ān)全机(jī)制(zhì)，确(què)保(bǎo)系(xì)统(tǒng)在(zài)检(jiǎn)测(cè)到(dào)潜(qián)在(zài)危(wēi)险(xiǎn)时(shí)能(néng)正(zhèng)确(què)执(zhí)行(xíng)预(yù)定(dìng)安(ān)全功(gōng)能(néng)（如(rú)关闭(bì)危(wēi)险(xiǎn)源(yuán)、触(chù)发(fā)保(bǎo)护(hù)措(cuò)施(shī)等(děng)），从(cóng)而(ér)降(jiàng)低(dī)的(de)风(fēng)险(xiǎn)。

系(xì)统(tǒng)中(zhōng)主要(yào)的(de)控(kòng)制(zhì)器(qì)或(huò)者(zhě)处(chù)理(lǐ)器(qì)是(shì)功(gōng)能(néng)安(ān)全第(dì)一(yī)个(gè)着(zhe)眼(yǎn)点(diǎn)，智(zhì)能(néng)化(huà)带(dài)来(lái)的(de)是(shì)越(yuè)来(lái)越(yuè)多(duō)的(de)高(gāo)性(xìng)能(néng)处(chù)理(lǐ)器(qì)，如(rú)设(shè)备(bèi)中(zhōng)的(de)MCU、MPU、GPU、NPU和(hé)CPU芯(xīn)片(piàn)等(děng)；同(tóng)时(shí)也(yě)带(dài)来(lái)了(le)核(hé)心(xīn)处(chù)理(lǐ)器(qì)或(huò)者(zhě)主控(kòng)SoC设(shè)计(jì)和(hé)开(kāi)发(fā)都(dōu)变(biàn)得(de)更(gèng)加(jiā)的(de)复(fù)杂(zá)，因(yīn)此(cǐ)无(wú)论(lùn)是(shì)系(xì)统(tǒng)设(shè)计(jì)师(shī)还(hái)是(shì)最(zuì)终(zhōng)消(xiāo)费(fèi)者(zhě)，都(dōu)要(yào)建(jiàn)立(lì)对(duì)设(shè)备(bèi)和(hé)系(xì)统(tǒng)核(hé)心(xīn)处(chù)理(lǐ)单(dān)元(yuán)或(huò)者(zhě)处(chù)理(lǐ)器(qì)进(jìn)行(xíng)功(gōng)能(néng)安(ān)全认(rèn)证(zhèng)检(jiǎn)查(chá)的(de)思(sī)维(wéi)。比(bǐ)如(rú)随(suí)着(zhe)汽(qì)车(chē)的(de)智(zhì)能(néng)化(huà)程度快速走向L3和L4，更是要看其关键处理单元是否通过了基于ISO 26262标准定义的、通过ASIL等级量化的功能安全风险测试，才能从最基础的计算器件开始对驾乘人员和汽车本身进行保护。

当然，智能化带来了集成电路行业的快速发展，许多半导体知识产权（IP）提供商、芯片公司和开发工具提供商的产品都在提供高性能的同时，还通过了严格的ASIL认证，从而帮助智能/无人设备芯片和系统开发者去快速实现功能安全。例如，在智能驾驶和自动驾驶主控芯片领域中，图形处理器（GPU）——因为其兼顾高算力和灵活性，可以为智驾芯片设计公司和系统开发者提供更长的产品生命周期而得到广泛的欢迎，因此无论在设计智驾SoC芯片而选择GPU时，还是主机厂及其Tier-1供应商在选择智驾方案时，都要去核实最基础的GPU内核是否通过相应的功能安全认证。

针对汽车智能化市场对高性能计算与功能安全的双重需求，近年来部分GPU IP供应商也在产品设计中引入了面向功能安全的架构机制。例如某些GPU产品通过增加硬件冗余设计与实时监测机制，实现了与ISO 26262标准中ASIL-B等级相对应的功能安全能力。以Imagination Technologies DXS GPU IP为例，其在保障图形渲染和计算性能的同时，通过分布式安全机制在有限的面积开销下实现了功能安全支持，并通过了相关第三方认证。这类支持功能安全的GPU IP，逐步成为智能驾驶SoC芯片开发者在考虑系统安全性设计时的重要构成元素之一。

除了源自IEC 61508标准的、适用于汽车行业的功能安全标准ISO 26262和相应的ASIL系列认证，近年来随着低空经济和无人飞行器产业的快速的发展，《航空器机载电子设备硬件设计保障指南（DO-254）》，以及相应的航空电子硬件开发的适航标准框架AMC 20-152A（基本上是DO-254的补充）这两个用于航空设备和飞行器的通用标准，成为开发航空机载电子设备硬件的功能安全标准。

安全性和可管理是低空经济全面发展的两个前提，尽管无人飞行器的适航要求还并未完全清晰，但是航空工业已经积累了丰富的功能安全管控经验。例如，AMC 20-152A进一步细化了 DO-254 的验证方法，例如明确 HDL 代码覆盖率需达到 95% 以上等。所以，选择使用符合这两个标准的IP和芯片，是设计诸如无人飞行设备等新兴系统的重要功能安全考量，也有不少基础技术提供商一直致力于开发相应的产品。以下为全球领先的IP提供商SmartDV Technology提供的部分通过了相关安全认证的IP和验证IP（VIP）。

最后，功能安全认证已经通过ISO26262等标准形成了一个覆盖全流程的机制，因此获得功能安全认证就要在流程上遵循标准化框架，主要涵盖安全目标定义与架构设计、验证与测试、第三方审核完成认证与文档、以及持续合规管理等关键阶段。‌值得注意的是，工具链认证‌也是功能安全认证的重要组成部分，开发工具需通过第三方独立认证，以确保代码覆盖率达标（HDL代码覆盖率≥95%），例如Imagination的PowerVR SDK工具链已通过ISO 26262兼容性验证。

随着国内集成电路设计企业不断提升自己的开发能力，并开发价值更高的、需要获得相应功能安全认证的芯片产品，采用全球领先的、已通过‌第三方审核‌的开发工具已成为行业中的一个趋势。

诸如芯驰科技、紫光同芯、旗芯微半导体、国科环宇、芯科集成和兆易创新等许多国内车用MCU厂商就选择与全球领先的嵌入式开发软件和服务提供商IAR合作，为其开发者引入IAR获得认证的工具链。针对越来越多的功能安全需求，IAR的Embedded Workbench工具提供了经过TÜV SÜD认证的功能安全版本，符合ISO 26262等10项功能安全标准，可以帮助车厂和Tier-1等芯片应用企业高效完成功能安全开发与认证，加速产品上市进程。

总结

功能安全是为许多智能无人设备保驾护航的重要措施，因此需要引起从IP到芯片和系统等各环节的重视，除了获得由权威机构在进行全流程审核，覆盖开发流程、测试报告及安全案例完整性之后获得ASIL等级证书之外，设计文档、测试数据、工具认证和持续合规管理都非常重要。