智能出行已經(jīng)成為一個非常明顯的發(fā)展趨勢，其中低空經(jīng)濟目前是我國制造業(yè)等領域內(nèi)的最熱話題之一，越來越多的制造商正在考慮開發(fā)新型無人機和飛行汽車等低空設備;同時我國已經(jīng)連續(xù)十多年登頂世界最大汽車產(chǎn)銷國，每年3000萬臺的汽車產(chǎn)銷量足以推動更多的自主創(chuàng)新。由智能化、網(wǎng)聯(lián)化、電氣化和服務化組成的“新四化”不僅影響了汽車行業(yè)的發(fā)展，而且也成為了這兩個領域內(nèi)的廠商打造智能出行解決方案的創(chuàng)新機會。

所有智能出行系統(tǒng)產(chǎn)品都需要新的計算、通信和連接芯片的支撐，例如用于控制的微控制器(MCU)、用于計算的中央處理器(CPU)、用于渲染和人工智能計算的圖形處理器(GPU)和用于可編程計算的現(xiàn)場可編程門陣列(FPGA)等。但是隨之而來的是這些芯片的系統(tǒng)級故障或意外行為可能引起的危險，因此在設計這些芯片和構建系統(tǒng)的時候就需要發(fā)現(xiàn)這些故障或意外，并提供相應的措施來確保這些低空飛行器和汽車芯片功能安全(Functional Safety，亦簡稱FuSa)。

為了保障這些場景中的電子系統(tǒng)能夠滿足功能安全需求，汽車和航空產(chǎn)業(yè)制定了相應的標準。汽車行業(yè)的功能安全標準是ISO 26262，它是一種源自IEC 61508標準，該標準目前隨著汽車智能化程度加速提升而越來越為行業(yè)和用戶所熟知。

航空電子產(chǎn)品則往往適用《航空器機載電子設備硬件設計保障指南(DO-254)》，以及作為其補充的AMC 20-152A標準，它們是工程師在開發(fā)航空機載電子設備硬件時的通用標準，也是設備獲得適航證必須通過的標準。隨著智能網(wǎng)聯(lián)技術的發(fā)展，一些新的標準在智能汽車、低空設備和航空電子設計設計中都被采用，但是主要是集中在信息安全領域，而不是本文討論的功能安全主題，例如ISO 21434網(wǎng)絡安全標準。

為汽車和飛行器芯片的開發(fā)和電路設計建立所需要的功能安全標準，就為相關芯片或者系統(tǒng)的開發(fā)者帶來了明確定義的可靠性指標和操作安全性規(guī)則，從而降低電子電路的運行故障或者意外行為的發(fā)生，同時也為產(chǎn)品開發(fā)商在選擇相應解決方案時提供指導。例如，飛機起落架的控制系統(tǒng)及芯片所需的功能安全等級就要高于飛機上廚房燈光控制系統(tǒng)和芯片的等級。要實現(xiàn)不同的功能安全等級，就要根據(jù)安全要求制定相應的安全策略，并在產(chǎn)品的設計和制造等環(huán)節(jié)開展相應的創(chuàng)新。

汽車功能安全領域內(nèi)的創(chuàng)新開始涌現(xiàn)

在汽車應用中，具體到一款MCU、CPU或者GPU，或以它們?yōu)楹诵牡腟oC或者專用集成電路(ASIC)上，功能安全就是要確保芯片功能按照設計的要求去運行。如果一輛汽車不能按照你設計的功能去執(zhí)行，那諸如目標和指示牌識別、減速剎車或者其他自動駕駛功能可能就會失效，這個時候就很危險并為駕駛員、乘客、路人、車輛和其他財物等帶來了威脅。所以功能安全很重要，但也需要付出一定的成本，比如額外的芯片面積，招聘有經(jīng)驗的設計人員，執(zhí)行嚴格的功能安全研發(fā)流程，進行安全認證等。這一切給汽車芯片設計制造企業(yè)及車廠和一級供應商等環(huán)節(jié)帶來了更高的成本和更多的工作量，使許多車廠最終選擇了忽略或者降低功能安全要求的行為，這在先進駕駛員輔助(ADAS)和自動駕駛(AD)越來越普及的今天帶來了更多不安全因素。

目前市場上主要的功能安全解決方案有兩種：應用最廣泛的一種被稱為“鎖步(lockstep)”解決方案，這是一種比較簡單粗暴的方法，在汽車CPU中被廣泛使用。該方法就是用兩個處理器內(nèi)核等同樣的邏輯來執(zhí)行一個程序以實現(xiàn)同樣的一個功能，由它們同時執(zhí)行并在執(zhí)行完了之后來比較這個結果，看看這兩個結果是否一致。在受到高溫或者高濕影響時，如果這兩個內(nèi)核得到的兩個結果是一致的話，那證明這兩塊邏輯是運行正確的，有關計算和控制還能正確地執(zhí)行。但這種方案帶來代價是什么?代價就是兩套相同的計算和處理單元要消耗多一倍的芯片面積，或者就是面向同樣處理功能的汽車芯片的面積要比傳統(tǒng)的手機芯片的面積要大一倍。

第二種實現(xiàn)功能安全的辦法就是去把同一項工作執(zhí)行兩次，如GPU渲染兩次或者CPU計算兩次，再看一下這兩次數(shù)據(jù)處理運算的結果是否一致。如果兩次運算的結果不同就會發(fā)現(xiàn)錯誤，因為汽車的使用環(huán)境非常復雜，芯片里面有些錯誤是隨機錯誤，那有些錯誤是長期錯誤。對于隨機錯誤，通過重復執(zhí)行兩次比較一下結果，如果是不一樣就上報情況以確認這個功能有問題。這種重復執(zhí)行的方法就可以避免一些隨機錯誤。這樣的方法帶來的結果是什么?因為重復工作所得到的性能就會減到原來的一半，所以這也可能是用戶沒法接受的方案。

因此，無論是鎖步方案還是重復執(zhí)行方案給汽車廠商和芯片廠商都帶來了甚至是沒法接受的挑戰(zhàn)，這也導致了功能安全在許多實際汽車應用中很難得到全面的接收。最主要的原因為性價比，因為芯片面積增加一倍或者是性能降低為二分之一，對于廠商來說它的成本也就增加了一倍。這個增加一倍的成本，最后都要轉(zhuǎn)嫁到消費者頭上，在過去汽車智能化程度比較低的情況下，沒有太多客戶愿意為這個功能安全買單，所以沒有急迫性一直沒有得到全面的應用。但汽車智能化這一趨勢正在迫使行業(yè)做出改變。

不久前，全球汽車GPU領域內(nèi)在功能安全技術方面也出現(xiàn)了一個顛覆性的創(chuàng)新，這種創(chuàng)新被稱為分布式功能安全機制(Distributed Functional Safety)，它利用了GPU的一些特性來非常靈活地實現(xiàn)了功能安全機制：第一個特性是：作為一種并行處理器，GPU里面有一套并行計算的機制，GPU為了掩飾和隱藏延遲，在計算時采用了并行的很多線程或者重復單元;第二個特性就是當一個線程拿不到它要執(zhí)行的資源時，它就會自動地被切換出去或者把它移出執(zhí)行，等到它有資源來到的時候再去執(zhí)行。

根據(jù)這兩個特性，在GPU的一個線程停工等待的時候，就在其中插入一些測試模板或者測試集;利用同樣的測試集，在另一個線程處于等待的時候，也插入同一個測試模板或樣例，然后執(zhí)行這兩個測試。在執(zhí)行完了這兩個線程之后，對比結果就會知道這兩個線程執(zhí)行的結果是否一致，如果有不同就會上報結果提醒系統(tǒng)和用戶審核該功能是否安全;該機制也知道了一項功能具體在哪一個硬件上去執(zhí)行，就保證了這些執(zhí)行的硬件的功能安全。分布式功能安全機制幾乎完全消除了以前的其他兩種機制帶來的性能以及片芯面積損失，大大降低了實現(xiàn)功能安全的代價，它僅僅額外消耗了大概10%的片芯面積，用10%的片芯面積帶來了100%性能，可以實現(xiàn)ASIL B等級的功能安全性。

展望：低空經(jīng)濟興起推動航電功能安全性技術創(chuàng)新

作為一個非常成熟的產(chǎn)業(yè)，航空工業(yè)已經(jīng)為機載電子系統(tǒng)建立了一整套非常完善的適航驗證體系，在開發(fā)相應的航電產(chǎn)品和芯片時，可以根據(jù)這些產(chǎn)品的用途參考DO-254標準和A 20-152標準，以及 在2020和2022年，歐洲航空安全局(EASA)和美國聯(lián)邦航空管理局(FAA)先后發(fā)布的雙方聯(lián)合制定的AMC/AC 20-152A和AC 00-72，新的標準對原有DO-254標準提供了更清晰的補充，以及進行了進一步澄清和指導說明。其他標準還可以參考FAA的Order 8110.105A、Job Aid CEH，以及EASA發(fā)布的SWCEH-001和SWCEH-004。

但是隨著低空飛行設備的廣泛興起，將給航空電子設備產(chǎn)業(yè)帶來六個巨大的變化，包括：產(chǎn)業(yè)規(guī)模的數(shù)量級擴大、應用場景的多樣化、智能技術的全面引入、單位運力成本快速下降、無人化滲透率快速提升和可升級技術的高頻和廣泛使用。這些變化給傳統(tǒng)的適航認證體系和航空電子硬件設計使用都會帶來新的挑戰(zhàn)，并促進相關芯片設計企業(yè)開展創(chuàng)新以新的技術來獲得適航認證，就像我們前面提到的利用GPU的特性來實現(xiàn)ASIL B等級的功能安全一樣。

總之，未來的天地一體智能出行非常值得展望，同時也帶來了許多創(chuàng)新機會，包括推動現(xiàn)有適航認證體系的變革，對機載電子硬件適航策略的重新思考，以及針對適航要求和設備定位規(guī)劃的大量技術創(chuàng)新。這是我國制造業(yè)走向更全面的自主創(chuàng)新和高質(zhì)量發(fā)展的一個難得的機會。