Bezpieczeństwo

Functional Safety Island (FSI)

2010AktywnyAktualizacja: 23 czerwca 2026Opublikowany

Functional Safety Island (FSI) to izolowany podsystem na układzie SoC zaprojektowany do deterministycznego wykonywania zadań krytycznych dla bezpieczeństwa zgodnie z IEC 61508 SIL 3 lub ISO 26262 ASIL D — niezależnie od głównego rdzenia obliczeniowego.

Kluczowa innowacja

Izolowany sprzętowo podsystem on-SoC zaprojektowany jako odporna na awarie wyspa bezpieczeństwa funkcjonalnego — uruchamia certyfikowane (IEC 61508, ISO 26262) zadania krytyczne dla bezpieczeństwa niezależnie od głównego stosu obliczeniowego, eliminując potrzebę osobnego mikrokontrolera safety.

Kategoria

Bezpieczeństwo

Poziom abstrakcji

Building block

Poziom operacji

Element architekturySterowanie robotemWdrożenieSystem

Zastosowania

Cooperative safety humanoidów — praca obok ludzi bez fizycznych barier (Agility Digit gen 5, NVIDIA Halos)Pojazdy autonomiczne — ASIL D safety supervisor monitorujący decyzje stosu AIRoboty współpracujące (cobots) — limit prędkości i siły zgodny z ISO/TS 15066Medyczne roboty chirurgiczne — nadzór trajektorii narzędzi i emergency stopRoboty rolnicze i drony autonomiczne z fail-safe behavior w trybie awaryjnymPrzemysłowe AMR pracujące w środowiskach z ludźmi (intralogistyka szpitalna)

Jak działa

(1) FSI integruje 2+ rdzenie Lockstep z dedykowanym schedulerem, ECC memory, watchdogs i izolacją zasilania/zegara w obrębie głównego SoC. (2) Krytyczne dla bezpieczeństwa funkcjonalnego zadania (np. limity prędkości, e-stop, nadzór sensoryczny) są uruchamiane wyłącznie na FSI z safety-rated runtime (np. Halos OS, QNX, AUTOSAR Adaptive). (3) Komunikacja z aplikacjami na głównych rdzeniach odbywa się przez safety-aware shared memory lub bezpieczne kanały IPC z weryfikacją integralności. (4) Awaria głównego SoC nie wpływa na FSI — robot wchodzi w bezpieczny stan awaryjny (safe state) sterowany z FSI.

Rozwiązany problem

FSI rozwiązuje problem niezdolności klasycznych SoC application-grade (Linux + GPU + NPU) do osiągnięcia certyfikacji bezpieczeństwa funkcjonalnego na poziomie SIL 3 / ASIL D. Bez FSI lub osobnego safety MCU robot pracujący obok ludzi nie może uzyskać certyfikatu, więc wymaga fizycznych barier (workcells) ograniczających wdrożenia. FSI redukuje też koszty BOM eliminując zewnętrzny MCU safety.

Kluczowe mechanizmy

Lockstep CPU cores: dwa identyczne rdzenie wykonują te same instrukcje, porównywarka wykrywa rozbieżność

ECC + Parity: pamięć z korekcją błędów + parzystość na magistralach danych

Watchdog timers: niezależne timery wykrywające zawieszenia software

Built-In Self-Test (BIST): testy diagnostyczne wykonywane przy starcie i online

Izolowane domeny zasilania i zegara: awaria głównego SoC nie propaguje do FSI

Safety-rated runtime: certyfikowany OS (QNX, VxWorks, Halos OS) zgodny z IEC 61508 lub ISO 26262

Safe state machine: deterministyczne przejście do bezpiecznego stanu awaryjnego przy detekcji błędu

Mocne strony i ograniczenia

Mocne strony

✓Umożliwia certyfikację SIL 3 / ASIL D dla systemów łączących AI compute z safety

✓Eliminuje zewnętrzny MCU safety — niższy BOM, mniejsza powierzchnia, mniej kabli

✓Determinizm twardego czasu rzeczywistego dla zadań krytycznych dla bezpieczeństwa

✓Izolacja awarii: błąd w stosie AI nie wpływa na safety supervisor

✓Sprawdzony wzorzec branżowy od 2010 (motoryzacja), przeniesiony do robotyki w 2020s

✓Pozwala na cooperative safety humanoidów bez fizycznych barier

✓Pojedyncza certyfikacja chipu pokrywa wiele zastosowań downstream (efekt skali)

Ograniczenia

✗Ograniczona moc obliczeniowa: rdzenie Lockstep są wolniejsze niż application cores (kosztem determinizmu)

✗Wymaga safety-rated OS i toolchain certyfikacji — wysokie koszty deweloperskie dla producentów chipów

✗Pełna certyfikacja SoC z FSI to wieloletni proces (TÜV, exida) — duża bariera wejścia

✗FSI sama w sobie nie wystarcza — wymaga zewnętrznych certyfikowanych czujników i całego stosu safety

✗Komunikacja FSI ↔ application cores przez safe IPC dodaje latencję — kompromis between safety i performance

✗Brak standaryzacji: każdy producent (NVIDIA, Tesla, Mobileye, Infineon, NXP) implementuje FSI inaczej

✗Nie zastępuje fizycznych zabezpieczeń (functional safety nie znosi ISO 13849 do zera) — to warstwa nakładana, nie alternatywa

Komponenty

Lockstep CPU PairGłówny mechanizm detekcji awarii sprzętowych w trakcie wykonania zadań krytycznych.

Dwa identyczne rdzenie procesora wykonujące dokładnie te same instrukcje równolegle, z porównywarką detekującą rozbieżność w wynikach (sygnatura awarii sprzętowej lub błędu pamięci). Standard dla ASIL D w motoryzacji (np. ARM Cortex-R52, Cortex-R82 w trybie split-lock).

ECC Memory + ParityOchrona przed cichą korupcją pamięci powodowaną przez promieniowanie kosmiczne i degradację sprzętu.

Pamięć z korekcją błędów (Error Correcting Code, np. Hamming + SECDED) i parzystością na magistralach danych. Wykrywa i koryguje błędy pojedynczych bitów (single-event upset), detekuje błędy wielobitowe jako awarie.

Watchdog Timer SystemDetekcja zawieszenia software i wymuszenie deterministycznego przejścia do safe state.

Niezależny od głównego CPU timer wymagający okresowego kicku od oprogramowania. Brak kicka w wyznaczonym oknie czasowym oznacza zawieszenie software i wywołuje przejście do safe state lub reset systemu. Często windowed watchdog z dolnym i górnym oknem.

Oficjalna

Power + Clock IsolationZapewnienie funkcjonalnej niezależności FSI od głównego stosu obliczeniowego.

Osobne domeny zasilania i zegara dla FSI vs główne rdzenie SoC. Awaria zasilania głównego (np. zwarcie GPU) nie wyłącza FSI — robot bezpiecznie się zatrzymuje. Klucz dla wymogu independence w IEC 61508.

Implementacja

Pułapki implementacyjne

Niewystarczająca niezależność FSI od głównego SoCWysoka

Wymóg independence w IEC 61508 / ISO 26262 wymaga że awaria głównego SoC nie może propagować do FSI. Współdzielone zasilanie, magistrala lub zegar narusza tę zasadę i unieważnia certyfikację SIL 3 / ASIL D.

Rozwiązanie:Pełna izolacja domen zasilania (osobne LDO/PMIC), zegara (osobny PLL) i magistral. Komunikacja FSI ↔ application cores wyłącznie przez safe IPC z weryfikacją integralności. Wczesny audyt architektury przez TÜV.

Uruchamianie niecertyfikowanego OS na FSIWysoka

Zwykły Linux uruchomiony na FSI nie czyni systemu certyfikowanym SIL 3 — wymagany jest safety-rated runtime (QNX, VxWorks Cert, NVIDIA Halos OS) z dedykowaną walidacją toolchainu i konfiguracji.

Rozwiązanie:Wybór certyfikowanego OS od początku projektu (nie próba dokleić Linux po fakcie). Konfiguracja safety zgodna z safety manual dostawcy OS. Walidacja runtime'u na docelowym SoC przez TÜV/exida.

Mylne zakładanie że FSI sama wystarczaŚrednia

FSI to budulec, nie kompletne rozwiązanie. Pełna certyfikacja wymaga też redundantnych certyfikowanych sensorów, safety-rated software stack, safe state machines, audytowanej dokumentacji i procesów rozwoju zgodnych z funkcjonalną kulturą safety (IEC 61508 Part 1).

Rozwiązanie:Pełna analiza HAZOP / FMEA / FTA dla całego stosu safety. Plan certyfikacji obejmujący wszystkie warstwy, nie tylko sprzęt. Współpraca z notified body od fazy koncepcyjnej.

Ewolucja

Oryginalny paper · 2010 · IEC International Standard · International Electrotechnical Commission (IEC TC 65)

IEC 61508 — Functional safety of electrical/electronic/programmable electronic safety-related systems (ed. 2.0, 2010)

International Electrotechnical Commission (IEC TC 65)

2000

IEC 61508 ed.1 — pierwsza wersja standardu bezpieczeństwa funkcjonalnego

Pierwsza wersja IEC 61508 ustanawia framework SIL 1-4 dla systemów elektrycznych/elektronicznych. Choć nie wspomina FSI explicite, definiuje wymogi niezależności i fault detection, które staną się fundamentem dla FSI.

2010

Infineon AURIX TC27x — pierwsza komercyjna FSI z Lockstep dla automotive ASIL D

Punkt przełomowy

Infineon wprowadza rodzinę AURIX TC27x z TriCore Lockstep i zintegrowaną Safety Management Unit. Pierwszy szeroko stosowany SoC z FSI dedykowany dla motoryzacji w klasie ASIL D. Wzorzec adoptowany przez NXP S32 i TI TDA.

2018

ISO 26262:2018 — pełne wymagania ASIL D dla zintegrowanych SoC z FSI

Druga edycja ISO 26262 wprowadza szczegółowe wymogi dla mixed-criticality SoC, w których FSI współistnieje z application cores. Definiuje SoTIF (Safety of the Intended Functionality), pożyczany później w robotyce.

2022

ARM Cortex-R82 — pierwszy 64-bit Lockstep core dla FSI nowej generacji

ARM Cortex-R82 wprowadza 64-bitową architekturę z Split-Lock mode, łącząc wymagania safety z performance dla nowej generacji autonomous driving i robotyki przemysłowej.

2025

NVIDIA IGX Thor — FSI klasy IEC 61508 SIL 3 dla robotyki

Punkt przełomowy

NVIDIA IGX Thor (premiera 28.10.2025) integruje FSI z architekturą Blackwell, łącząc 5581 TFLOPS AI compute z certyfikowalnym fault-tolerant safety island. Pierwszy SoC AI-grade dedykowany robotyce z FSI klasy SIL 3.

2026

Agility Digit gen 5 z Halos Core na FSI — pierwsza komercyjna cooperative safety dla humanoidów

Piąta generacja humanoida Digit od Agility Robotics (planowana na 4Q 2026) wykorzystuje FSI na NVIDIA IGX Thor uruchamiając NVIDIA Halos OS. Pierwsze komercyjne wdrożenie humanoida pracującego obok ludzi bez fizycznych barier opiera się na FSI jako fundament certyfikacji.