具有功能安全 （FuSa） 的應用需要更強大的嵌入式計算平臺，因為集成傳感器技術對性能的要求越來越高。這就是為什么多核處理器（如符合 FuSa 標準的英特爾凌動處理器）在今天如此有吸引力的原因。它們還可用于將非關鍵功能整合到單個混合關鍵系統上，這是一個主要優勢。如果還有支持這些處理器的FuSa功能的計算機模塊（COM），則OEM將受益于應用程序就緒的構建塊，這些構建塊已經完全有資格獲得其客戶應用程序的安全認證，并且可以擴展到所需的性能。康佳特是最早制造此類COM的公司之一。

態勢感知傳感器可以說是功能安全應用中對更高性能需求不斷增長的最大驅動力。以協作機器人環境為例。在這里，不僅需要符合FuSa標準的傳感器和開關，以便在機器人進入制造籠時使其停止。相反，必須檢測到任何運動。因此，在制造業中使用協作機器人和自主物流車輛也需要處理和分析相機、激光雷達和激光數據。這越來越多地涉及人工智能的使用。有時，這些數據需要與其他傳感器的地理位置數據進行比較，以便在滿足某些預定義參數時實現規避機動。

所有這些都必須實時進行，最重要的是，必須以功能安全的方式進行。并非所有的例子都像自動駕駛汽車那樣復雜。即使是安裝在由人類駕駛員操作的工業卡車上的數字后視鏡也是一個復雜的傳感器。為了在功能上安全，必須不斷檢查它以驗證其是否正常運行。畢竟，凍結的圖像可能會導致駕駛員完全誤判情況。

對性能的要求越來越高

誠然，在功能安全環境中使用的對性能要求很高的功能塊并不總是功能安全的。例如，正在討論如何在沒有ISO26262負擔的情況下在車輛中實施環境檢測[1]。然而，毫無疑問，它們需要比系統的功能安全元件回退到安全側所需的性能更高的性能來與功能安全的解決方案進行交互。

如今，在需要人工智能態勢感知的應用程序中，主要需要更高的性能。此類系統的實時連接也增加了對快速、低延遲數據吞吐量的需求，例如，當更高級別的控制邏輯用于通過專用 5G 網絡連接的自主引導系統時。

混合關鍵系統呈上升趨勢

與以前常見的FuSa控制器不同，理想的應用處理器除了態勢感知和人工智能之外，還必須能夠托管系統GUI。例如，在移動機器中，這將是駕駛員輔助系統。這就是 x86 技術對這種混合關鍵系統非常感興趣的原因。主要是因為人們期望這種通用多核處理器技術將看到進一步的同質發展。尤其是，因為當今這種類型的第一批處理器將控制器與FuSa功能集成在一起。例如，英特爾凌動 x6000E 處理器技術已經有資格支持需要 IEC 61508 安全完整性等級 2 （SIL2） 模擬認證的應用。

SIL2的應用領域包括工業機器、協作機器人和工業4.0產品，如物聯網網關和邊緣服務器。其他市場源于對自主物流車輛的自動化內部物流的需求，范圍從工廠移動到自動駕駛中的所有新市場，從農業和建筑機械到智能城市車輛，AUV和UAV。最后但并非最不重要的一點是，目標市場還包括醫療設備以及用于火車和軌道控制或航空電子設備的硬件。這些領域需要安全認證，例如，防止觸電、火災和爆炸、擠壓、碰撞或被碾壓造成的危險或傷害。這使得冗余和實施故障安全流程的能力成為必須的。

功能安全的模塊計算機

因此，嵌入式計算機技術的制造商越來越多地對其產品進行功能安全認證。例如，獨立于供應商的標準化機構 PICMG 負責 COM-HPC 和 COM Express 等嵌入式計算機外形尺寸，在 2022 年嵌入式世界大會上宣布對 COM-HPC 硬件規范進行 FuSa 擴展。它定義了信號引腳排列以支持FuSa應用。這是能夠支持現代芯片組或片上系統 （SoC） 的 FuSa 級安全島所必需的。這是硬件的特殊部分，與主芯片組或SoC以及支持固件和軟件一起分離。

安全島監控主芯片組或SoC的狀態和狀態，并通過專用的FuSa GPIO和專用的FuSa SPI從接口向FuSa系統安全狀態代理或安全控制器報告結果，該接口作為載板上的FuSa SPI主機實現，并準備安全和狀態信息以供進一步使用。

(得益于其安全島控制器，英特爾凌動多核處理器技術支持設計混合關鍵系統，在實時虛擬機中托管安全應用。它們甚至可以承載復雜的傳感器技術，用于態勢感知。

功能安全的虛擬機

實時系統（RTS）還保證通過其RTS安全管理程序在嵌入式世界中解決FuSa問題，RTS安全管理程序是一種獨立于操作系統的x1處理器技術Type 86虛擬機管理程序，將獲得功能安全認證。它面向基于 x86 多核處理器技術的混合關鍵工作負載，并將在全球范圍內提供。將經過認證的實時虛擬機管理程序與功能安全和不安全的虛擬機以及經過認證的安全操作系統（如基于 Linux 的 Zephyr 或 QNX）捆綁在一起，它將作為完整的 OEM 包提供。該軟件包適用于配備支持 FuSa 的 x86 處理器的任何商業或定制嵌入式計算平臺。初始實施將基于集成英特爾安全島的英特爾凌動 x6000E 系列處理器。擴展到基于 11 代智能英特爾酷睿處理器的產品是未來的另一種選擇。

RTS 的目標是通過提供預認證平臺，為開發人員提供最有效的途徑，以實現功能齊全的安全合規應用程序。安全的實時虛擬機管理程序技術是實現這一點的關鍵，它將從安全硬件、安全類型 1 虛擬機和安全操作系統到運行多用途操作系統的非安全域的所有內容連接起來。最終，應用程序開發人員只需擔心其應用程序的安全關鍵部分即可獲得功能安全認證。

利用此類硬件平臺進行混合關鍵應用設計的 OEM 可以節省成本，因為要部署的系統更少，與具有多個系統的安裝相比，這導致平均故障間隔時間 （MTBF） 得到改善。另一個好處是，開發人員可以在單個芯片或硬件上管理關鍵和非關鍵應用程序，這有助于應用程序開發和測試，以及這些應用程序之間的數據交換。盡管采用單系統方法，但這種虛擬機管理程序的實施允許所有非安全關鍵型應用程序不斷更新和修改，而無需重新認證安全關鍵型組件。這絕對至關重要 - 不僅對于創新，而且對于增強網絡安全。

用于安全和網絡安全的實時操作系統

康佳特還確認了對功能安全市場進行大量投資的意圖。在更早的步驟中，在 2021 年底，該公司已經宣布與歐洲領先的安全實時操作系統提供商 SYSGO 建立戰略合作伙伴關系。合作的目的不僅是為x86提供解決方案平臺，還為專門針對功能安全和網絡安全要求量身定制的Arm處理器提供解決方案平臺。根據設計的不同，第一個實現可以認證到ASIL B或SIL 2，將在x86和基于Arm Cortex的計算機模塊上提供。一個典型的用例是 ISO 26262 定義的脫離上下文的安全元素 （SEooC）。

根據新的合作協議提供的全方位服務旨在簡化和縮短安全關鍵系統的開發過程。它包括對各種安全標準的全面認證支持，模擬IEC 61508，用于功能安全電子系統。支持的是基于 SYSGO PikeOS 實時操作系統和虛擬機管理程序的平臺，適用于鐵路應用 （EN 50129 / EN 50657）、商用和農用車輛 （ISO 26262）、民航技術 （DO 254），以及自動化和過程控制 （IEC 61508） 和醫療應用 （IEC 62304） 中的 PLC。

COM 上的英特爾凌動 x6000E 處理器技術

功能安全的處理器技術和操作系統/虛擬機管理程序的組合在應用程序就緒的計算機模塊上提供時變得特別有吸引力。康佳特在嵌入式世界中展示了這種FuSa構建模塊的實例。此 FuSa 演示應用程序具有功能安全就緒的 COM Express 迷你模塊 conga-MA7，具有符合 FuSa 標準的英特爾 CPU x6427FE，具有安全島支持，與 RTS 虛擬機管理程序和集成實時 Linux 相結合。

這個FuSa演示是一個令人印象深刻的證明，證明了康佳特在第一個基于英特爾凌動x6000E處理器技術（以前代號為Elkhart Lake）的計算機模塊的認證過程中已經取得了多大的進步。原始設備制造商已經開始將康佳特的功能安全認證模塊和BSP以及自己的軟件組件實施到他們的應用平臺中。康佳特也隨時準備協助OEM客戶進行任何定制，以滿足特定的認證要求 - 從組件選擇和載板上的實施，到操作系統和虛擬機管理程序支持，或I / O驅動程序實施。

通過預認證解決方案模塊更快地實現目標

為了使模塊計算機獲得安全操作的資格，所有組件以及整個BSP都必須準備好獲得FuSa認證 - 包括安全手冊和所有其他必要的文件。在開發和測試期間創建的所有組織流程和文檔 - 例如FMEDA（故障模式，影響和診斷分析）以及驗證和確認（V&V）過程 - 也必須符合認證要求并由外部評估人員審查。康佳特提供所有這些開箱即用，以便客戶可以立即啟動他們的FuSa項目，以更快地進入市場，節省成本并降低實施風險。

因此，基于 x86 的嵌入式多核平臺為功能安全提供了堅實的生態系統。使這個生態系統特別突出的是同構處理器路線圖，這些路線圖不僅僅局限于一個處理器制造商。標準化計算機模塊還為跨所有處理器插槽和制造商擴展性能奠定了基礎。OEM 部署經過功能安全預認證的計算機模塊作為應用程序就緒構建塊（包括所有相關軟件組件，如引導加載程序、虛擬機管理程序和 BSP）也可以節省大量時間和金錢。他們所要做的就是對客戶特定的載板進行認證和認證調整。

審核編輯：郭婷