1、 Imagination Technologies 1White Paper作者：Dan Wilkinson，Imagination 技术首席研究员2024年5月分布式功能安全的创新与突破 Imagination Technologies 2本白皮书阐述了Imagination在未来关键安全产品中即将推出的硬件功能安全方面的创新。这些正在申请专利的技术针对的是需要达到汽车安全完整性等级(ASIL)-B保护级别的处理核，同时力求在面积、功耗和性能成本上达到最佳表现。它概述了针对CPU和GPU核的全新分布式安全机制(DSM)，这些机制能满足ASIL-B安全要求，相较于传统方法，其开销降低了两到三倍

2、。虽然本文档中的概念主要针对汽车产品，但在工业环境以及大型超规模或超级计算机处理集群中，硬件故障检测同样变得日益重要；所有这些技术都可以推广应用于这些领域。ASIL-B与ASIL-D的定义ASIL（Automotive Safety Integrity Level，汽车安全完整性等级）简单来说，就是针对车辆特定功能在考虑潜在危险与运行情境下的所需安全风险降低程度。在确定ASIL等级时，ISO 26262标准定义了一个风险模型，该模型考虑了多个因素，包括在特定运行情况下遭遇危险的概率、驾驶员在发生故障时对车辆的可控性，以及如果故障导致不良事件时事故的严重性。相比于ASIL-D级别的开发，ASIL

3、-B级别的开发在设计和开发周期中的要求较低，因为它们旨在减轻不同级别的安全风险。大致而言，ASIL-B级别可以认为是整个控制回路中包含了一名驾驶员，大多数事件一般可通过该驾驶员进行控制；而与ASIL-D级别相关的事件则被认为是不可控的，甚至是全自动化的情况，这就要求车辆控制系统（包括硬件和软件）承担更多的责任，以确保安全。对于硬件开发，尤其是半导体开发，ISO 26262标准允许将开发视为“脱离上下文的安全元素”（SEooC，Safety Element out of Context），同时也指出在这个系统层次上的设备面向通用设备，如CPU或GPU核。此外，还有一系列目标硬件架构指标，这些指标

4、实际上是对危险故障检测诊断覆盖率的衡量标准。目标指标可见表1：介绍架构指标目标ASIL-B ASIL-D 备注单点故障指标（SPFM）90%99%预期危险故障的诊断覆盖率潜在故障指标 (LFM)60%90%预期的诊断覆盖率针对那些未被驾驶员检测到或感知到的危险多点故障随机硬件故障的概率指标 (PMHF)10-7/hr 10-8/hr 目标概率可靠性：尽管高可靠性本身并不能确保安全，但所有系统都应设计为安全失败（fail-safe）。表1：ASIL-B 和 ASIL-D 开发的架构指标目标 Imagination Technologies 3考虑到ASIL-D级别下对危险故障检测极其严苛的要求，

5、通常情况下，根据ISO 26262标准的建议，最可行的安全机制一般采用复制冗余的形式，即重复执行工作负载，并结合某种机制来对比结果，以此检测任一路径中可能发生的任何错误。这种方法对永久性和瞬态故障都有极高的鲁棒性。尽管ASIL-B的要求不像ASIL-D那样严格，但实际上，单点故障检测90%的目标通常已经很难达成，以至于在很多情况下，两次执行并对比输出结果的方法仍然常见。在其他情况下，工程师们可能会退而求其次，认为足够多的故障会自然变得可观察，并且是可控的，从而使故障覆盖率目标得以满足，并据此声称达到了ASIL目标。对于ASIL-B解决方案，这两种方法逐渐显得不够令人满意：一是由于“运行两次”方

6、法涉及到显著的时间或面积开销，导致车辆OEM不得不无意中要求半导体性能的提升，以支持高级车辆功能；另外，基于主观论证的方法由于其模糊性和在不断变化和复杂的使用场景中的通用性不足，也面临挑战。本白皮书将重点介绍Imagination Technologies提出的新概念，其指出在不增加“运行两次”方法所涉及的面积或时间/功耗开销的情况下，提供符合ASIL-B的解决方案，同时提供可靠的方法来证明已实现所需的故障覆盖水平。CPU 锁步介绍 在传统的汽车双核锁步（DCLS）CPU解决方案中，通常针对ASIL-D要求，方法是仅复制处理核心，而不是复制其基于SRAM的缓存内存和互连，这些内存和互连通过奇偶