作者：Paul S.Levy, 賽靈思功能安全系統(tǒng)高級工程師

“功能安全（Functional Safety）”研究的是機(jī)器發(fā)生故障或運(yùn)行環(huán)境中斷時如何降低其對人和設(shè)備造成的危害的方法和措施。

用功能安全領(lǐng)域的說法，這些錯誤被稱為隨機(jī)硬件或系統(tǒng)性故障，這些誤判可能決定比賽的成敗，當(dāng)然這取決于你站在比賽的哪一方，所以在理想的體育競技里，我們需要能夠預(yù)見這些可能發(fā)生的誤判問題，并及時避免。功能安全設(shè)計就是致力于解決系統(tǒng)設(shè)計中類似的問題，這些問題的代價可能是災(zāi)難性的或致命的，比如機(jī)器未能檢測到那些敞開的軌排從而導(dǎo)致操作人員收到傷害，又或者鐵路道口出現(xiàn)故障導(dǎo)致火車撞上公交車。從本質(zhì)上講，功能安全設(shè)計旨在試圖預(yù)測系統(tǒng)可能出現(xiàn)故障的方式，以及當(dāng)故障發(fā)生時可以執(zhí)行的備用計劃。

正如人們所預(yù)期的那樣，功能安全系統(tǒng)的設(shè)計要遵循一定的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)由官方管理機(jī)構(gòu)或者被廣泛認(rèn)可的權(quán)威機(jī)構(gòu)制定并發(fā)布。比較著名的權(quán)威機(jī)構(gòu)有UL、ISO和IEC等，他們的存在促進(jìn)了安全規(guī)范的完善和更新，比如安全完整性等級（SIL）定義了降低風(fēng)險的目標(biāo)水平，這些權(quán)威機(jī)構(gòu)的努力推動了最先進(jìn)的設(shè)計，并使得很多不同的行業(yè)開始關(guān)注功能安全設(shè)計。毫無疑問，飛機(jī)和汽車就遵循了政府制定的嚴(yán)格的安全標(biāo)準(zhǔn)，比如汽車?yán)锏陌踩珰饽乙约昂笠曠R設(shè)計。在房屋建造領(lǐng)域，房屋改造必須遵循建筑規(guī)范，新房完工后還必須通過UL認(rèn)證的電氣標(biāo)準(zhǔn)。隨著技術(shù)的演進(jìn)，系統(tǒng)變得越來越復(fù)雜，符合功能安全標(biāo)準(zhǔn)的行業(yè)和最終應(yīng)用會越來越多，自動駕駛汽車和機(jī)器人的時代已經(jīng)到來，當(dāng)然這些系統(tǒng)必須能夠證明它們不能（也不會）傷害人類。

功能安全設(shè)計很大程度上是基于對系統(tǒng)如何發(fā)生故障以及發(fā)生故障后需要采取哪些措施的深刻理解來實(shí)現(xiàn)的，這是一項(xiàng)非常復(fù)雜的任務(wù)，并且被認(rèn)為是系統(tǒng)工程領(lǐng)域的難點(diǎn)，它涉及到的技術(shù)包括了諸多規(guī)范的設(shè)計方法。廣泛采用的一個方法是應(yīng)用冗余，關(guān)鍵系統(tǒng)組件會被復(fù)制備份從而增強(qiáng)其可靠性。例如一個應(yīng)用程序可以在兩個獨(dú)立的處理器上執(zhí)行，從而檢查輸出結(jié)果是否相同，如果一個處理器輸出的是非預(yù)期的結(jié)果，系統(tǒng)就會知道其中存在一定的錯誤。然而多組件通常會帶來成本的提升，同時也會對功耗和性能帶來挑戰(zhàn)。不過不用擔(dān)心，接下來，賽靈思系統(tǒng)工程師和架構(gòu)師將會幫助大家降低這些方法的復(fù)雜性。

賽靈思根據(jù)實(shí)際情況提供了基于器件的打包式解決方案，從而幫助用戶克服功能安全系統(tǒng)設(shè)計的復(fù)雜性挑戰(zhàn)，而且能夠滿足IEC 61508、DO-254以及ISO 26262等標(biāo)準(zhǔn)所規(guī)定的各種認(rèn)證要求。這種預(yù)先架構(gòu)的設(shè)計和驗(yàn)證解決方案可以極大的縮短公司項(xiàng)目的開發(fā)時間，并且消除用戶在嘗試實(shí)現(xiàn)功能過程中產(chǎn)生的相關(guān)成本花費(fèi)和風(fēng)險等。

對于OEM廠商來說需要做的是確定選擇哪種器件。在性能和功耗方面通用CPU和GPU確實(shí)無法與ASIC或FPGA器件競爭，尤其對于一些實(shí)時性，低延遲類的任務(wù)。片上可編程系統(tǒng)芯片（SoC），比如Xilinx Zynq UltraScale+ MPSoC則具有最高的整體性價比，在單個器件中集成多個ARM CPU，同時具有一定的靈活性和可擴(kuò)展性，可以根據(jù)所執(zhí)行的不同任務(wù)動態(tài)地進(jìn)行調(diào)整設(shè)計。

賽靈思器件還具備硬件隔離特性，這使得安全和非安全的任務(wù)可以同時在一塊芯片上執(zhí)行，同時，設(shè)計的更新不會干擾或接觸已經(jīng)獲得安全認(rèn)證的部分。通過容錯設(shè)計來控制系統(tǒng)故障模式的能力需要一種能夠控制故障擴(kuò)散的方法。賽靈思隔離設(shè)計流程（見下圖）在FPGA模塊層就提供了故障容器，支持單個芯片的容錯處理。