作者：Paul S.Levy, 賽靈思功能安全系統(tǒng)高級(jí)工程師

“功能安全（Functional Safety）”研究的是機(jī)器發(fā)生故障或運(yùn)行環(huán)境中斷時(shí)如何降低其對(duì)人和設(shè)備造成的危害的方法和措施。

用功能安全領(lǐng)域的說(shuō)法，這些錯(cuò)誤被稱為隨機(jī)硬件或系統(tǒng)性故障，這些誤判可能決定比賽的成敗，當(dāng)然這取決于你站在比賽的哪一方，所以在理想的體育競(jìng)技里，我們需要能夠預(yù)見(jiàn)這些可能發(fā)生的誤判問(wèn)題，并及時(shí)避免。功能安全設(shè)計(jì)就是致力于解決系統(tǒng)設(shè)計(jì)中類似的問(wèn)題，這些問(wèn)題的代價(jià)可能是災(zāi)難性的或致命的，比如機(jī)器未能檢測(cè)到那些敞開(kāi)的軌排從而導(dǎo)致操作人員收到傷害，又或者鐵路道口出現(xiàn)故障導(dǎo)致火車撞上公交車。從本質(zhì)上講，功能安全設(shè)計(jì)旨在試圖預(yù)測(cè)系統(tǒng)可能出現(xiàn)故障的方式，以及當(dāng)故障發(fā)生時(shí)可以執(zhí)行的備用計(jì)劃。

正如人們所預(yù)期的那樣，功能安全系統(tǒng)的設(shè)計(jì)要遵循一定的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)由官方管理機(jī)構(gòu)或者被廣泛認(rèn)可的權(quán)威機(jī)構(gòu)制定并發(fā)布。比較著名的權(quán)威機(jī)構(gòu)有UL、ISO和IEC等，他們的存在促進(jìn)了安全規(guī)范的完善和更新，比如安全完整性等級(jí)（SIL）定義了降低風(fēng)險(xiǎn)的目標(biāo)水平，這些權(quán)威機(jī)構(gòu)的努力推動(dòng)了最先進(jìn)的設(shè)計(jì)，并使得很多不同的行業(yè)開(kāi)始關(guān)注功能安全設(shè)計(jì)。毫無(wú)疑問(wèn)，飛機(jī)和汽車就遵循了政府制定的嚴(yán)格的安全標(biāo)準(zhǔn)，比如汽車?yán)锏陌踩珰饽乙约昂笠曠R設(shè)計(jì)。在房屋建造領(lǐng)域，房屋改造必須遵循建筑規(guī)范，新房完工后還必須通過(guò)UL認(rèn)證的電氣標(biāo)準(zhǔn)。隨著技術(shù)的演進(jìn)，系統(tǒng)變得越來(lái)越復(fù)雜，符合功能安全標(biāo)準(zhǔn)的行業(yè)和最終應(yīng)用會(huì)越來(lái)越多，自動(dòng)駕駛汽車和機(jī)器人的時(shí)代已經(jīng)到來(lái)，當(dāng)然這些系統(tǒng)必須能夠證明它們不能（也不會(huì)）傷害人類。

功能安全設(shè)計(jì)很大程度上是基于對(duì)系統(tǒng)如何發(fā)生故障以及發(fā)生故障后需要采取哪些措施的深刻理解來(lái)實(shí)現(xiàn)的，這是一項(xiàng)非常復(fù)雜的任務(wù)，并且被認(rèn)為是系統(tǒng)工程領(lǐng)域的難點(diǎn)，它涉及到的技術(shù)包括了諸多規(guī)范的設(shè)計(jì)方法。廣泛采用的一個(gè)方法是應(yīng)用冗余，關(guān)鍵系統(tǒng)組件會(huì)被復(fù)制備份從而增強(qiáng)其可靠性。例如一個(gè)應(yīng)用程序可以在兩個(gè)獨(dú)立的處理器上執(zhí)行，從而檢查輸出結(jié)果是否相同，如果一個(gè)處理器輸出的是非預(yù)期的結(jié)果，系統(tǒng)就會(huì)知道其中存在一定的錯(cuò)誤。然而多組件通常會(huì)帶來(lái)成本的提升，同時(shí)也會(huì)對(duì)功耗和性能帶來(lái)挑戰(zhàn)。不過(guò)不用擔(dān)心，接下來(lái)，賽靈思系統(tǒng)工程師和架構(gòu)師將會(huì)幫助大家降低這些方法的復(fù)雜性。

賽靈思根據(jù)實(shí)際情況提供了基于器件的打包式解決方案，從而幫助用戶克服功能安全系統(tǒng)設(shè)計(jì)的復(fù)雜性挑戰(zhàn)，而且能夠滿足IEC 61508、DO-254以及ISO 26262等標(biāo)準(zhǔn)所規(guī)定的各種認(rèn)證要求。這種預(yù)先架構(gòu)的設(shè)計(jì)和驗(yàn)證解決方案可以極大的縮短公司項(xiàng)目的開(kāi)發(fā)時(shí)間，并且消除用戶在嘗試實(shí)現(xiàn)功能過(guò)程中產(chǎn)生的相關(guān)成本花費(fèi)和風(fēng)險(xiǎn)等。

對(duì)于OEM廠商來(lái)說(shuō)需要做的是確定選擇哪種器件。在性能和功耗方面通用CPU和GPU確實(shí)無(wú)法與ASIC或FPGA器件競(jìng)爭(zhēng)，尤其對(duì)于一些實(shí)時(shí)性，低延遲類的任務(wù)。片上可編程系統(tǒng)芯片（SoC），比如Xilinx Zynq UltraScale+ MPSoC則具有最高的整體性價(jià)比，在單個(gè)器件中集成多個(gè)ARM CPU，同時(shí)具有一定的靈活性和可擴(kuò)展性，可以根據(jù)所執(zhí)行的不同任務(wù)動(dòng)態(tài)地進(jìn)行調(diào)整設(shè)計(jì)。

賽靈思器件還具備硬件隔離特性，這使得安全和非安全的任務(wù)可以同時(shí)在一塊芯片上執(zhí)行，同時(shí)，設(shè)計(jì)的更新不會(huì)干擾或接觸已經(jīng)獲得安全認(rèn)證的部分。通過(guò)容錯(cuò)設(shè)計(jì)來(lái)控制系統(tǒng)故障模式的能力需要一種能夠控制故障擴(kuò)散的方法。賽靈思隔離設(shè)計(jì)流程（見(jiàn)下圖）在FPGA模塊層就提供了故障容器，支持單個(gè)芯片的容錯(cuò)處理。