智能与无人设备全方位安全将成为一座巨大金矿——功能安全部分

随着诸如智能驾驶汽车、载人/货无人机、无人农机、各种专用和消费机器人等智能与无人设备广泛进入我们的工作和生活，这些设备的安全性已成为了一个值得关注的重要话题。它们的安全运行与设备自身、乘客以及周边的人员和物品的安全密切相关。根据北京华兴万邦管理咨询有限公司的研究，智能设备尤其是无人设备的全方位安全性包括三大方面：功能安全、信息安全和时空安全。大家对信息安全仿佛比较熟悉，对功能安全也有所耳闻，对时空安全比较陌生，但三大类安全都越来越重要，并构成了智能和无人设备的完整安全体系。

为了确保这些智能和无人设备安全可控，设计师在进行系统开发的时候，就必须从供应链的第一环节和最底层的技术源头考虑安全性问题，即梳理从IP核、芯片到开发工具的全流程全方位安全，才能去打造整体安全性更高的系统，不仅可以对设备和消费者/使用者进行最大限度的保护，还将因为避免为不安全付出高昂代价建立新的竞争优势。那么提供与这三大类安全相关的硬件、软件、工具和服务的企业在未来将有巨大的前景。由于篇幅的原因，本文只详细分析功能安全的创新和应用，华兴万邦将在其“华兴万邦技术经济学”公众号上，继续推出有关信息安全和时空安全的深入分析。

功能安全的定义

‌功能安全（Functional Safety）是系统、设备或者核心部件通过主动安全机制去发现潜在的安全威胁，在相应安全等级约定的覆盖率上，以及规定的时间内做出正确响应并采取保护措施，以避免因功能失效导致的人员伤害、环境破坏或财产损失风险‌。近年来，除了汽车、工业和医疗等过去“传统上”就重视功能安全的领域，新兴的诸如机器人和eVOTL等设备也会逐步开始强调功能安全，即通过在系统中设计主动的安全机制，确保系统在检测到潜在危险时能正确执行预定安全功能（如关闭危险源、触发保护）措施等，从而降低的风险。

系统中的主控制器或者处理器是功能安全的第一个着眼点，智能化带来的是越来越多的高性能处理器，如设备中的MCU、MPU、GPU、NPU和CPU芯片等；同时也带来了核心处理器和主控SoC的设计和软件开发都变得更加的复杂，因此无论是系统设计师还是最终消费者，都要建立对设备和核心处理单元进行功能安全认证进行检查的意识；比如了解智能汽车的关键处理单元是否通过了基于ISO 26262标准的ASIL功能安全认证，才能了解系统给驾乘人员和汽车本身提供了何种程度的保护。

因此，功能安全成为了智能和无人设备的基础保障，推动了整个芯片产业链的快速发展和创新，许多硅IP提供商、芯片设计公司和开发工具提供商都在提高产品性能的同时，还在积极推动其车用产品通过严格的ASIL认证，从而帮助智能/无人设备芯片和系统开发者去快速实现功能安全。

硅IP是功能安全的源头

针对智能汽车对高性能计算与功能安全的双重需求，近年来部分xPU供应商也在产品设计中引入了面向功能安全的架构和机制，但是传统的功能安全机制因为需要通过锁步或者备份互检的方式来实现，其中大量的重复电路设计带来了芯片整体成本的大幅度上升。

当然，也有许多厂商在积极推动功能安全方面的创新，以Imagination Technologies不久前推出的DXS GPU IP为例，其在提供汽车主控芯片所需的图形渲染能力和计算性能的同时，通过创新的分布式安全机制在仅增加10%左右芯片面积开销的情况下，实现了功能安全并通过了第三方严格的ASIL-B认证。这类能够高效率支持功能安全的GPU IP，正在成为智能驾驶SoC芯片开发者在竞争中建立优势的关键组件，同时还因为GPU的可编程性为智驾SoC提供了更长的产品生命周期。

除了源自IEC 61508标准的、适用于汽车行业的功能安全标准ISO 26262和相应的ASIL系列认证，近年来随着低空经济和无人飞行器产业的快速的发展，促使更多业内人士关注《航空器机载电子设备硬件设计保障指南（DO-254）》，以及相应的航空电子硬件开发的适航标准框架AMC 20-152A（基本上是DO-254的补充）这两个用于航空设备和飞行器的通用标准，他们是否也会成为开发eVOTL这类低空机载电子设备芯片和硬件的功能安全标准呢？

安全性和可管理是低空经济全面发展的两个前提，尽管无人飞行器的适航要求还并未完全清晰，但是航空工业已经积累了丰富的功能安全经验和测试体系。AMC 20-152A进一步细化了 DO-254 的验证方法，如明确 HDL 代码覆盖率需达到 95% 以上等。所以，选择使用符合这两个标准的IP和芯片，是设计诸如无人飞行设备等新兴系统功能安全的重要考量因素，目前业界也有企业一直致力于开发获得功能安全认证的IP产品。以下为全球领先的IP和验证IP(VIP)开发商SmartDV Technology提供的部分通过了相关安全认证的IP和验证VIP。

芯片设计师应当选用获得功能安全认证的IP产品

不要忘了开发工具

最后，功能安全认证已经通过诸如ISO26262等标准形成了一个全整的流程，因此要获得功能安全认证就要在流程上遵循标准，主要涵盖安全目标定义与架构设计、验证与测试、第三方审核完成认证与文档、以及持续合规管理等关键阶段。‌值得注意的是，工具链认证‌也是功能安全认证的重要组成部分，开发工具也需通过第三方独立认证，以确保代码覆盖率达标，例如Imagination的PowerVR SDK工具链已通过ISO 26262兼容性验证。

随着国内集成电路设计企业不断提升自己的开发能力，并开发价值更高的、立足获得相应功能安全认证的芯片产品，采用全球领先的、已通过‌第三方审核‌的开发工具已成为行业中的一个趋势。这是开发各种智能/无人设备行业及设计师必须关注的重点领域之一，因为是否选用已经获得认证的开发工具，也是系统设计最终获得功能安全认证的重要环节，涉及到产品开发周期和功能安全认证时间。

诸如芯驰科技、紫光同芯、旗芯微半导体、国科环宇、芯科集成和兆易创新等许多国内车用MCU厂商就选择与全球领先的嵌入式开发软件和服务提供商IAR合作，为其下游开发者引入IAR获得认证的工具链。针对越来越多的功能安全需求，IAR的Embedded Workbench工具提供了经过TÜV SÜD认证的功能安全版本，符合ISO 26262等10项功能安全标准，可以帮助车厂和Tier-1等芯片应用企业高效完成功能安全开发与认证，加速产品上市进程。

安全性是未来的金矿

功能安全为许多智能和无人设备提供了保驾护航的重要手段和必要条件，因此需要引起从IP选择、到芯片和系统设计开发等各环节的重视。但是，从目前的行业实践、社会认知和资本市场的态度来看，大家对智能与无人设备的全方位安全问题都很不重视。目前在行业中，还是有很多系统开发商出于成本的考虑，去选择未通过功能安全认证的芯片来开发相关系统。

从社会认知的角度来看，消费者在购买自动驾驶或者辅助驾驶汽车时，即使在经历了那么多血的教训之后，绝大多数消费者也不知道或者不会去要求车厂拿出其主控芯片和整个智驾系统获得的ASIL认证证书，更不用说有多少消费者会去比较不同车厂产品通过的是ASIL-A？还是更高等级的ASIL-B、ASIL-C或ASIL-D认证？

从资本市场来看，智驾题材已经炒过多轮，但是开发与智驾相关的安全芯片产品的上市公司却并未都受到追捧。以央企中国电子信息产业集团在香港的上市公司“中电华大科技（HK:00085）”为例，该公司全资持有的北京中电华大电子设计有限公司是全球第二大、国内第一大的安全芯片（SE芯片）设计企业。该公司是国内首家推出车规级SE芯片（其应用见下图）的企业，但是在不久前举办的2025年MWC上海大会上，笔者去访问的该公司展台工作人员坦承：许多车厂宁愿把钱花在消费者看得见的内饰上，也不愿意去采用华大电子价格为10元的车规级SE芯片上。

由于资本市场上目前对智能设备的安全性价值认知不够，因此中电华大科技的市值一直很低，在其2024年的营收达到了21.7亿元，净利润达到了5.43亿元且分红率一直在30%左右的情况下，全资持有北京中电华大电子这样一家技术领先的安全芯片设计企业的中电华大科技的市值长期低于30亿港元。

所以，这些现象都说明了尽管大家都认识到智能化和无人化的时代已经来临，但是行业人士、消费者和投资人对智能或者无人设备的功能安全、信息安全和时空安全的重视还极不充分。多数消费者在为智能驾驶或者辅助驾驶买单的时候，并不关心这辆汽车是否只有弱保护或者在“裸奔”。除了汽车智驾，未来还会出现时刻就在消费者身边的人形机器人，载人的eVOTL，以及更多的智能无人设备，它们也有可能因故障或者其他风险给人和物带来危害，因此都需要全方位安全性。

当然行业也在快速发展变化，目前在MCU领域中通用产品的竞争已经异常惨烈，所以越来越多的MCU厂商积极开发符合功能安全的高端MCU产品。同时中电华大科技（华大电子）的展台工作人员也表示该公司的SE芯片正在诸如智能网联汽车、车联网、边缘AI终端、智能表计、物联网、移动设备和穿戴产品等许多新的领域开始得到应用；同时三大运营商从今年下半年起，为各种智能终端全面引入eSIM芯片这种安全芯片，还将为安全芯片行业带来全新的机遇。所以尽管目前全方位安全性未受到广泛的重视，但其实正是一座还未被充分发现和发掘的金矿。