安全计算机模块：功能安全性能更高

具有功能安全 （FuSa） 的应用需要更强大的嵌入式计算平台，因为集成传感器技术对性能的要求越来越高。这就是为什么多核处理器（如符合 FuSa 标准的英特尔凌动处理器）在今天如此有吸引力的原因。它们还可用于将非关键功能整合到单个混合关键系统上，这是一个主要优势。如果还有支持这些处理器的FuSa功能的计算机模块（COM），则OEM将受益于应用程序就绪的构建块，这些构建块已经完全有资格获得其客户应用程序的安全认证，并且可以扩展到所需的性能。康佳特是最早制造此类COM的公司之一。

态势感知传感器可以说是功能安全应用中对更高性能需求不断增长的最大驱动力。以协作机器人环境为例。在这里，不仅需要符合FuSa标准的传感器和开关，以便在机器人进入制造笼时使其停止。相反，必须检测到任何运动。因此，在制造业中使用协作机器人和自主物流车辆也需要处理和分析相机、激光雷达和激光数据。这越来越多地涉及人工智能的使用。有时，这些数据需要与其他传感器的地理位置数据进行比较，以便在满足某些预定义参数时实现规避机动。

所有这些都必须实时进行，最重要的是，必须以功能安全的方式进行。并非所有的例子都像自动驾驶汽车那样复杂。即使是安装在由人类驾驶员操作的工业卡车上的数字后视镜也是一个复杂的传感器。为了在功能上安全，必须不断检查它以验证其是否正常运行。毕竟，冻结的图像可能会导致驾驶员完全误判情况。

对性能的要求越来越高

诚然，在功能安全环境中使用的对性能要求很高的功能块并不总是功能安全的。例如，正在讨论如何在没有ISO26262负担的情况下在车辆中实施环境检测[1]。然而，毫无疑问，它们需要比系统的功能安全元件回退到安全侧所需的性能更高的性能来与功能安全的解决方案进行交互。

如今，在需要人工智能态势感知的应用程序中，主要需要更高的性能。此类系统的实时连接也增加了对快速、低延迟数据吞吐量的需求，例如，当更高级别的控制逻辑用于通过专用 5G 网络连接的自主引导系统时。

混合关键系统呈上升趋势

与以前常见的FuSa控制器不同，理想的应用处理器除了态势感知和人工智能之外，还必须能够托管系统GUI。例如，在移动机器中，这将是驾驶员辅助系统。这就是 x86 技术对这种混合关键系统非常感兴趣的原因。主要是因为人们期望这种通用多核处理器技术将看到进一步的同质发展。尤其是，因为当今这种类型的第一批处理器将控制器与FuSa功能集成在一起。例如，英特尔凌动 x6000E 处理器技术已经有资格支持需要 IEC 61508 安全完整性等级 2 （SIL2） 模拟认证的应用。

SIL2的应用领域包括工业机器、协作机器人和工业4.0产品，如物联网网关和边缘服务器。其他市场源于对自主物流车辆的自动化内部物流的需求，范围从工厂移动到自动驾驶中的所有新市场，从农业和建筑机械到智能城市车辆，AUV和UAV。最后但并非最不重要的一点是，目标市场还包括医疗设备以及用于火车和轨道控制或航空电子设备的硬件。这些领域需要安全认证，例如，防止触电、火灾和爆炸、挤压、碰撞或被碾压造成的危险或伤害。这使得冗余和实施故障安全流程的能力成为必须的。

功能安全的模块计算机

因此，嵌入式计算机技术的制造商越来越多地对其产品进行功能安全认证。例如，独立于供应商的标准化机构 PICMG 负责 COM-HPC 和 COM Express 等嵌入式计算机外形尺寸，在 2022 年嵌入式世界大会上宣布对 COM-HPC 硬件规范进行 FuSa 扩展。它定义了信号引脚排列以支持FuSa应用。这是能够支持现代芯片组或片上系统 （SoC） 的 FuSa 级安全岛所必需的。这是硬件的特殊部分，与主芯片组或SoC以及支持固件和软件一起分离。

安全岛监控主芯片组或SoC的状态和状态，并通过专用的FuSa GPIO和专用的FuSa SPI从接口向FuSa系统安全状态代理或安全控制器报告结果，该接口作为载板上的FuSa SPI主机实现，并准备安全和状态信息以供进一步使用。

(得益于其安全岛控制器，英特尔凌动多核处理器技术支持设计混合关键系统，在实时虚拟机中托管安全应用。它们甚至可以承载复杂的传感器技术，用于态势感知。

功能安全的虚拟机

实时系统（RTS）还保证通过其RTS安全管理程序在嵌入式世界中解决FuSa问题，RTS安全管理程序是一种独立于操作系统的x1处理器技术Type 86虚拟机管理程序，将获得功能安全认证。它面向基于 x86 多核处理器技术的混合关键工作负载，并将在全球范围内提供。将经过认证的实时虚拟机管理程序与功能安全和不安全的虚拟机以及经过认证的安全操作系统（如基于 Linux 的 Zephyr 或 QNX）捆绑在一起，它将作为完整的 OEM 包提供。该软件包适用于配备支持 FuSa 的 x86 处理器的任何商业或定制嵌入式计算平台。初始实施将基于集成英特尔安全岛的英特尔凌动 x6000E 系列处理器。扩展到基于 11 代智能英特尔酷睿处理器的产品是未来的另一种选择。

RTS 的目标是通过提供预认证平台，为开发人员提供最有效的途径，以实现功能齐全的安全合规应用程序。安全的实时虚拟机管理程序技术是实现这一点的关键，它将从安全硬件、安全类型 1 虚拟机和安全操作系统到运行多用途操作系统的非安全域的所有内容连接起来。最终，应用程序开发人员只需担心其应用程序的安全关键部分即可获得功能安全认证。

利用此类硬件平台进行混合关键应用设计的 OEM 可以节省成本，因为要部署的系统更少，与具有多个系统的安装相比，这导致平均故障间隔时间 （MTBF） 得到改善。另一个好处是，开发人员可以在单个芯片或硬件上管理关键和非关键应用程序，这有助于应用程序开发和测试，以及这些应用程序之间的数据交换。尽管采用单系统方法，但这种虚拟机管理程序的实施允许所有非安全关键型应用程序不断更新和修改，而无需重新认证安全关键型组件。这绝对至关重要 - 不仅对于创新，而且对于增强网络安全。

用于安全和网络安全的实时操作系统

康佳特还确认了对功能安全市场进行大量投资的意图。在更早的步骤中，在 2021 年底，该公司已经宣布与欧洲领先的安全实时操作系统提供商 SYSGO 建立战略合作伙伴关系。合作的目的不仅是为x86提供解决方案平台，还为专门针对功能安全和网络安全要求量身定制的Arm处理器提供解决方案平台。根据设计的不同，第一个实现可以认证到ASIL B或SIL 2，将在x86和基于Arm Cortex的计算机模块上提供。一个典型的用例是 ISO 26262 定义的脱离上下文的安全元素 （SEooC）。

根据新的合作协议提供的全方位服务旨在简化和缩短安全关键系统的开发过程。它包括对各种安全标准的全面认证支持，模拟IEC 61508，用于功能安全电子系统。支持的是基于 SYSGO PikeOS 实时操作系统和虚拟机管理程序的平台，适用于铁路应用 （EN 50129 / EN 50657）、商用和农用车辆 （ISO 26262）、民航技术 （DO 254），以及自动化和过程控制 （IEC 61508） 和医疗应用 （IEC 62304） 中的 PLC。

COM 上的英特尔凌动 x6000E 处理器技术

功能安全的处理器技术和操作系统/虚拟机管理程序的组合在应用程序就绪的计算机模块上提供时变得特别有吸引力。康佳特在嵌入式世界中展示了这种FuSa构建模块的实例。此 FuSa 演示应用程序具有功能安全就绪的 COM Express 迷你模块 conga-MA7，具有符合 FuSa 标准的英特尔 CPU x6427FE，具有安全岛支持，与 RTS 虚拟机管理程序和集成实时 Linux 相结合。

这个FuSa演示是一个令人印象深刻的证明，证明了康佳特在第一个基于英特尔凌动x6000E处理器技术（以前代号为Elkhart Lake）的计算机模块的认证过程中已经取得了多大的进步。原始设备制造商已经开始将康佳特的功能安全认证模块和BSP以及自己的软件组件实施到他们的应用平台中。康佳特也随时准备协助OEM客户进行任何定制，以满足特定的认证要求 - 从组件选择和载板上的实施，到操作系统和虚拟机管理程序支持，或I / O驱动程序实施。

通过预认证解决方案模块更快地实现目标

为了使模块计算机获得安全操作的资格，所有组件以及整个BSP都必须准备好获得FuSa认证 - 包括安全手册和所有其他必要的文件。在开发和测试期间创建的所有组织流程和文档 - 例如FMEDA（故障模式，影响和诊断分析）以及验证和确认（V&V）过程 - 也必须符合认证要求并由外部评估人员审查。康佳特提供所有这些开箱即用，以便客户可以立即启动他们的FuSa项目，以更快地进入市场，节省成本并降低实施风险。

因此，基于 x86 的嵌入式多核平台为功能安全提供了坚实的生态系统。使这个生态系统特别突出的是同构处理器路线图，这些路线图不仅仅局限于一个处理器制造商。标准化计算机模块还为跨所有处理器插槽和制造商扩展性能奠定了基础。OEM 部署经过功能安全预认证的计算机模块作为应用程序就绪构建块（包括所有相关软件组件，如引导加载程序、虚拟机管理程序和 BSP）也可以节省大量时间和金钱。他们所要做的就是对客户特定的载板进行认证和认证调整。

审核编辑：郭婷