具有功能安全 （FuSa） 的應(yīng)用需要更強大的嵌入式計算平臺，因為集成傳感器技術(shù)對性能的要求越來越高。這就是為什么多核處理器（如符合 FuSa 標(biāo)準(zhǔn)的英特爾凌動處理器）在今天如此有吸引力的原因。它們還可用于將非關(guān)鍵功能整合到單個混合關(guān)鍵系統(tǒng)上，這是一個主要優(yōu)勢。如果還有支持這些處理器的FuSa功能的計算機模塊（COM），則OEM將受益于應(yīng)用程序就緒的構(gòu)建塊，這些構(gòu)建塊已經(jīng)完全有資格獲得其客戶應(yīng)用程序的安全認(rèn)證，并且可以擴展到所需的性能。康佳特是最早制造此類COM的公司之一。

態(tài)勢感知傳感器可以說是功能安全應(yīng)用中對更高性能需求不斷增長的最大驅(qū)動力。以協(xié)作機器人環(huán)境為例。在這里，不僅需要符合FuSa標(biāo)準(zhǔn)的傳感器和開關(guān)，以便在機器人進入制造籠時使其停止。相反，必須檢測到任何運動。因此，在制造業(yè)中使用協(xié)作機器人和自主物流車輛也需要處理和分析相機、激光雷達和激光數(shù)據(jù)。這越來越多地涉及人工智能的使用。有時，這些數(shù)據(jù)需要與其他傳感器的地理位置數(shù)據(jù)進行比較，以便在滿足某些預(yù)定義參數(shù)時實現(xiàn)規(guī)避機動。

所有這些都必須實時進行，最重要的是，必須以功能安全的方式進行。并非所有的例子都像自動駕駛汽車那樣復(fù)雜。即使是安裝在由人類駕駛員操作的工業(yè)卡車上的數(shù)字后視鏡也是一個復(fù)雜的傳感器。為了在功能上安全，必須不斷檢查它以驗證其是否正常運行。畢竟，凍結(jié)的圖像可能會導(dǎo)致駕駛員完全誤判情況。

對性能的要求越來越高

誠然，在功能安全環(huán)境中使用的對性能要求很高的功能塊并不總是功能安全的。例如，正在討論如何在沒有ISO26262負(fù)擔(dān)的情況下在車輛中實施環(huán)境檢測[1]。然而，毫無疑問，它們需要比系統(tǒng)的功能安全元件回退到安全側(cè)所需的性能更高的性能來與功能安全的解決方案進行交互。

如今，在需要人工智能態(tài)勢感知的應(yīng)用程序中，主要需要更高的性能。此類系統(tǒng)的實時連接也增加了對快速、低延遲數(shù)據(jù)吞吐量的需求，例如，當(dāng)更高級別的控制邏輯用于通過專用 5G 網(wǎng)絡(luò)連接的自主引導(dǎo)系統(tǒng)時。

混合關(guān)鍵系統(tǒng)呈上升趨勢

與以前常見的FuSa控制器不同，理想的應(yīng)用處理器除了態(tài)勢感知和人工智能之外，還必須能夠托管系統(tǒng)GUI。例如，在移動機器中，這將是駕駛員輔助系統(tǒng)。這就是 x86 技術(shù)對這種混合關(guān)鍵系統(tǒng)非常感興趣的原因。主要是因為人們期望這種通用多核處理器技術(shù)將看到進一步的同質(zhì)發(fā)展。尤其是，因為當(dāng)今這種類型的第一批處理器將控制器與FuSa功能集成在一起。例如，英特爾凌動 x6000E 處理器技術(shù)已經(jīng)有資格支持需要 IEC 61508 安全完整性等級 2 （SIL2） 模擬認(rèn)證的應(yīng)用。

SIL2的應(yīng)用領(lǐng)域包括工業(yè)機器、協(xié)作機器人和工業(yè)4.0產(chǎn)品，如物聯(lián)網(wǎng)網(wǎng)關(guān)和邊緣服務(wù)器。其他市場源于對自主物流車輛的自動化內(nèi)部物流的需求，范圍從工廠移動到自動駕駛中的所有新市場，從農(nóng)業(yè)和建筑機械到智能城市車輛，AUV和UAV。最后但并非最不重要的一點是，目標(biāo)市場還包括醫(yī)療設(shè)備以及用于火車和軌道控制或航空電子設(shè)備的硬件。這些領(lǐng)域需要安全認(rèn)證，例如，防止觸電、火災(zāi)和爆炸、擠壓、碰撞或被碾壓造成的危險或傷害。這使得冗余和實施故障安全流程的能力成為必須的。

功能安全的模塊計算機

因此，嵌入式計算機技術(shù)的制造商越來越多地對其產(chǎn)品進行功能安全認(rèn)證。例如，獨立于供應(yīng)商的標(biāo)準(zhǔn)化機構(gòu) PICMG 負(fù)責(zé) COM-HPC 和 COM Express 等嵌入式計算機外形尺寸，在 2022 年嵌入式世界大會上宣布對 COM-HPC 硬件規(guī)范進行 FuSa 擴展。它定義了信號引腳排列以支持FuSa應(yīng)用。這是能夠支持現(xiàn)代芯片組或片上系統(tǒng) （SoC） 的 FuSa 級安全島所必需的。這是硬件的特殊部分，與主芯片組或SoC以及支持固件和軟件一起分離。

安全島監(jiān)控主芯片組或SoC的狀態(tài)和狀態(tài)，并通過專用的FuSa GPIO和專用的FuSa SPI從接口向FuSa系統(tǒng)安全狀態(tài)代理或安全控制器報告結(jié)果，該接口作為載板上的FuSa SPI主機實現(xiàn)，并準(zhǔn)備安全和狀態(tài)信息以供進一步使用。

(得益于其安全島控制器，英特爾凌動多核處理器技術(shù)支持設(shè)計混合關(guān)鍵系統(tǒng)，在實時虛擬機中托管安全應(yīng)用。它們甚至可以承載復(fù)雜的傳感器技術(shù)，用于態(tài)勢感知。

功能安全的虛擬機

實時系統(tǒng)（RTS）還保證通過其RTS安全管理程序在嵌入式世界中解決FuSa問題，RTS安全管理程序是一種獨立于操作系統(tǒng)的x1處理器技術(shù)Type 86虛擬機管理程序，將獲得功能安全認(rèn)證。它面向基于 x86 多核處理器技術(shù)的混合關(guān)鍵工作負(fù)載，并將在全球范圍內(nèi)提供。將經(jīng)過認(rèn)證的實時虛擬機管理程序與功能安全和不安全的虛擬機以及經(jīng)過認(rèn)證的安全操作系統(tǒng)（如基于 Linux 的 Zephyr 或 QNX）捆綁在一起，它將作為完整的 OEM 包提供。該軟件包適用于配備支持 FuSa 的 x86 處理器的任何商業(yè)或定制嵌入式計算平臺。初始實施將基于集成英特爾安全島的英特爾凌動 x6000E 系列處理器。擴展到基于 11 代智能英特爾酷睿處理器的產(chǎn)品是未來的另一種選擇。

RTS 的目標(biāo)是通過提供預(yù)認(rèn)證平臺，為開發(fā)人員提供最有效的途徑，以實現(xiàn)功能齊全的安全合規(guī)應(yīng)用程序。安全的實時虛擬機管理程序技術(shù)是實現(xiàn)這一點的關(guān)鍵，它將從安全硬件、安全類型 1 虛擬機和安全操作系統(tǒng)到運行多用途操作系統(tǒng)的非安全域的所有內(nèi)容連接起來。最終，應(yīng)用程序開發(fā)人員只需擔(dān)心其應(yīng)用程序的安全關(guān)鍵部分即可獲得功能安全認(rèn)證。

利用此類硬件平臺進行混合關(guān)鍵應(yīng)用設(shè)計的 OEM 可以節(jié)省成本，因為要部署的系統(tǒng)更少，與具有多個系統(tǒng)的安裝相比，這導(dǎo)致平均故障間隔時間 （MTBF） 得到改善。另一個好處是，開發(fā)人員可以在單個芯片或硬件上管理關(guān)鍵和非關(guān)鍵應(yīng)用程序，這有助于應(yīng)用程序開發(fā)和測試，以及這些應(yīng)用程序之間的數(shù)據(jù)交換。盡管采用單系統(tǒng)方法，但這種虛擬機管理程序的實施允許所有非安全關(guān)鍵型應(yīng)用程序不斷更新和修改，而無需重新認(rèn)證安全關(guān)鍵型組件。這絕對至關(guān)重要 - 不僅對于創(chuàng)新，而且對于增強網(wǎng)絡(luò)安全。

用于安全和網(wǎng)絡(luò)安全的實時操作系統(tǒng)

康佳特還確認(rèn)了對功能安全市場進行大量投資的意圖。在更早的步驟中，在 2021 年底，該公司已經(jīng)宣布與歐洲領(lǐng)先的安全實時操作系統(tǒng)提供商 SYSGO 建立戰(zhàn)略合作伙伴關(guān)系。合作的目的不僅是為x86提供解決方案平臺，還為專門針對功能安全和網(wǎng)絡(luò)安全要求量身定制的Arm處理器提供解決方案平臺。根據(jù)設(shè)計的不同，第一個實現(xiàn)可以認(rèn)證到ASIL B或SIL 2，將在x86和基于Arm Cortex的計算機模塊上提供。一個典型的用例是 ISO 26262 定義的脫離上下文的安全元素 （SEooC）。

根據(jù)新的合作協(xié)議提供的全方位服務(wù)旨在簡化和縮短安全關(guān)鍵系統(tǒng)的開發(fā)過程。它包括對各種安全標(biāo)準(zhǔn)的全面認(rèn)證支持，模擬IEC 61508，用于功能安全電子系統(tǒng)。支持的是基于 SYSGO PikeOS 實時操作系統(tǒng)和虛擬機管理程序的平臺，適用于鐵路應(yīng)用 （EN 50129 / EN 50657）、商用和農(nóng)用車輛 （ISO 26262）、民航技術(shù) （DO 254），以及自動化和過程控制 （IEC 61508） 和醫(yī)療應(yīng)用 （IEC 62304） 中的 PLC。

COM 上的英特爾凌動 x6000E 處理器技術(shù)

功能安全的處理器技術(shù)和操作系統(tǒng)/虛擬機管理程序的組合在應(yīng)用程序就緒的計算機模塊上提供時變得特別有吸引力。康佳特在嵌入式世界中展示了這種FuSa構(gòu)建模塊的實例。此 FuSa 演示應(yīng)用程序具有功能安全就緒的 COM Express 迷你模塊 conga-MA7，具有符合 FuSa 標(biāo)準(zhǔn)的英特爾 CPU x6427FE，具有安全島支持，與 RTS 虛擬機管理程序和集成實時 Linux 相結(jié)合。

這個FuSa演示是一個令人印象深刻的證明，證明了康佳特在第一個基于英特爾凌動x6000E處理器技術(shù)（以前代號為Elkhart Lake）的計算機模塊的認(rèn)證過程中已經(jīng)取得了多大的進步。原始設(shè)備制造商已經(jīng)開始將康佳特的功能安全認(rèn)證模塊和BSP以及自己的軟件組件實施到他們的應(yīng)用平臺中。康佳特也隨時準(zhǔn)備協(xié)助OEM客戶進行任何定制，以滿足特定的認(rèn)證要求 - 從組件選擇和載板上的實施，到操作系統(tǒng)和虛擬機管理程序支持，或I / O驅(qū)動程序?qū)嵤?/p>

通過預(yù)認(rèn)證解決方案模塊更快地實現(xiàn)目標(biāo)

為了使模塊計算機獲得安全操作的資格，所有組件以及整個BSP都必須準(zhǔn)備好獲得FuSa認(rèn)證 - 包括安全手冊和所有其他必要的文件。在開發(fā)和測試期間創(chuàng)建的所有組織流程和文檔 - 例如FMEDA（故障模式，影響和診斷分析）以及驗證和確認(rèn)（V&V）過程 - 也必須符合認(rèn)證要求并由外部評估人員審查。康佳特提供所有這些開箱即用，以便客戶可以立即啟動他們的FuSa項目，以更快地進入市場，節(jié)省成本并降低實施風(fēng)險。

因此，基于 x86 的嵌入式多核平臺為功能安全提供了堅實的生態(tài)系統(tǒng)。使這個生態(tài)系統(tǒng)特別突出的是同構(gòu)處理器路線圖，這些路線圖不僅僅局限于一個處理器制造商。標(biāo)準(zhǔn)化計算機模塊還為跨所有處理器插槽和制造商擴展性能奠定了基礎(chǔ)。OEM 部署經(jīng)過功能安全預(yù)認(rèn)證的計算機模塊作為應(yīng)用程序就緒構(gòu)建塊（包括所有相關(guān)軟件組件，如引導(dǎo)加載程序、虛擬機管理程序和 BSP）也可以節(jié)省大量時間和金錢。他們所要做的就是對客戶特定的載板進行認(rèn)證和認(rèn)證調(diào)整。

審核編輯：郭婷