“功能安全（Functional Safety）”研究的是機(jī)器發(fā)生故障或運行環(huán)境中斷時如何降低其對人和設(shè)備造成的危害的方法和措施。試想一下，在剛剛結(jié)束的 2018年的足球世界杯（2018 FIFA）中，如果我們將這種研究應(yīng)用到足球比賽中，裁判員就有能力和權(quán)力在他們覺得有犯規(guī)行為時暫停比賽。當(dāng)然，這也不能讓他總能發(fā)現(xiàn)所有犯規(guī)并且總能作出正確的判罰。

用功能安全領(lǐng)域的說法，這些錯誤被稱為隨機(jī)硬件或系統(tǒng)性故障，這些誤判可能決定比賽的成敗，當(dāng)然這取決于你站在比賽的哪一方，所以在理想的體育競技里，我們需要能夠預(yù)見這些可能發(fā)生的誤判問題，并及時避免。功能安全設(shè)計就是致力于解決系統(tǒng)設(shè)計中類似的問題，這些問題的代價可能是災(zāi)難性的或致命的，比如機(jī)器未能檢測到那些敞開的軌排從而導(dǎo)致操作人員收到傷害，又或者鐵路道口出現(xiàn)故障導(dǎo)致火車撞上公交車。從本質(zhì)上講，功能安全設(shè)計旨在試圖預(yù)測系統(tǒng)可能出現(xiàn)故障的方式，以及當(dāng)故障發(fā)生時可以執(zhí)行的備用計劃。

持續(xù)升溫的功能安全系統(tǒng)需求

正如人們所預(yù)期的那樣，功能安全系統(tǒng)的設(shè)計要遵循一定的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)由官方管理機(jī)構(gòu)或者被廣泛認(rèn)可的權(quán)威機(jī)構(gòu)制定并發(fā)布。比較著名的權(quán)威機(jī)構(gòu)有UL、ISO和IEC等，他們的存在促進(jìn)了安全規(guī)范的完善和更新，比如安全完整性等級（SIL）定義了降低風(fēng)險的目標(biāo)水平，這些權(quán)威機(jī)構(gòu)的努力推動了最先進(jìn)的設(shè)計，并使得很多不同的行業(yè)開始關(guān)注功能安全設(shè)計。毫無疑問，飛機(jī)和汽車就遵循了政府制定的嚴(yán)格的安全標(biāo)準(zhǔn)，比如汽車?yán)锏陌踩珰饽乙约昂笠曠R設(shè)計。在房屋建造領(lǐng)域，房屋改造必須遵循建筑規(guī)范，新房完工后還必須通過UL認(rèn)證的電氣標(biāo)準(zhǔn)。隨著技術(shù)的演進(jìn)，系統(tǒng)變得越來越復(fù)雜，符合功能安全標(biāo)準(zhǔn)的行業(yè)和最終應(yīng)用會越來越多，自動駕駛汽車和機(jī)器人的時代已經(jīng)到來，當(dāng)然這些系統(tǒng)必須能夠證明它們不能（也不會）傷害人類。

功能安全是復(fù)雜的

功能安全設(shè)計很大程度上是基于對系統(tǒng)如何發(fā)生故障以及發(fā)生故障后需要采取哪些措施的深刻理解來實現(xiàn)的，這是一項非常復(fù)雜的任務(wù)，并且被認(rèn)為是系統(tǒng)工程領(lǐng)域的難點，它涉及到的技術(shù)包括了諸多規(guī)范的設(shè)計方法。廣泛采用的一個方法是應(yīng)用冗余，關(guān)鍵系統(tǒng)組件會被復(fù)制備份從而增強(qiáng)其可靠性。例如一個應(yīng)用程序可以在兩個獨立的處理器上執(zhí)行，從而檢查輸出結(jié)果是否相同，如果一個處理器輸出的是非預(yù)期的結(jié)果，系統(tǒng)就會知道其中存在一定的錯誤。然而多組件通常會帶來成本的提升，同時也會對功耗和性能帶來挑戰(zhàn)。不過不用擔(dān)心，接下來，賽靈思系統(tǒng)工程師和架構(gòu)師將會幫助大家降低這些方法的復(fù)雜性。

賽靈思簡化功能安全設(shè)計和認(rèn)證

賽靈思根據(jù)實際情況提供了基于器件的打包式解決方案，從而幫助用戶克服功能安全系統(tǒng)設(shè)計的復(fù)雜性挑戰(zhàn)，而且能夠滿足IEC 61508、DO-254以及ISO 26262等標(biāo)準(zhǔn)所規(guī)定的各種認(rèn)證要求。這種預(yù)先架構(gòu)的設(shè)計和驗證解決方案可以極大的縮短公司項目的開發(fā)時間，并且消除用戶在嘗試實現(xiàn)功能過程中產(chǎn)生的相關(guān)成本花費和風(fēng)險等。

對于OEM廠商來說需要做的是確定選擇哪種器件。在性能和功耗方面通用CPU和GPU確實無法與ASIC或FPGA器件競爭，尤其對于一些實時性，低延遲類的任務(wù)。片上可編程系統(tǒng)芯片（SoC），比如Xilinx Zynq UltraScale+ MPSoC則具有最高的整體性價比，在單個器件中集成多個ARM CPU，同時具有一定的靈活性和可擴(kuò)展性，可以根據(jù)所執(zhí)行的不同任務(wù)動態(tài)地進(jìn)行調(diào)整設(shè)計。

賽靈思提供的器件和工具集支持容錯設(shè)計

賽靈思器件還具備硬件隔離特性，這使得安全和非安全的任務(wù)可以同時在一塊芯片上執(zhí)行，同時，設(shè)計的更新不會干擾或接觸已經(jīng)獲得安全認(rèn)證的部分。通過容錯設(shè)計來控制系統(tǒng)故障模式的能力需要一種能夠控制故障擴(kuò)散的方法。賽靈思隔離設(shè)計流程（見下圖）在FPGA模塊層就提供了故障容器，支持單個芯片的容錯處理。

上個月賽靈思剛剛結(jié)束了在歐洲和北美舉辦的一年一度的功能安全工作會議（FSWG），如果你錯過了這些免費的活動，你可以向當(dāng)?shù)刭愳`思的技術(shù)銷售代表了解更多詳情，確保明年會議舉辦之前進(jìn)行注冊或者參加9月25-26日在上海和9月27-28日在深圳即將舉辦的活動。

沒有功能安全設(shè)計就無從談系統(tǒng)安全，你可以保存賽靈思不久將舉辦的安全工作組會議（XSWG）日期，北美地區(qū)（科羅拉多:10月16 - 17,華盛頓特區(qū):11月6日至7日），歐洲（慕尼黑:12月18日至19日）以及第一屆賽靈思安全設(shè)計工作室聯(lián)合賽靈思開發(fā)者大會舉行的活動。