作者:Paul Levy,赛灵思工业、视觉、医疗、科学和汽车高级资深功能安全架构师
设计工程师的目标,希望仿真始终能够顺利进行。然而,在针对需要功能安全认证的市场进行设计时,必须注意掌控大局。
这种情况下,设计任务就会比以往更复杂。市场营销与工程团队不仅面临着创造出优秀产品的压力,而且还必须考虑所有适用的安全标准,以确保产品能够满足某种需求。这些安全标准可以针对特定的市场, 也可以针对特定的产品类型, 或者针对特定的产品使用环境。对于那些不熟悉这类挑战的人来说,选择一个值得信赖的第三方工程公司,可以在这一过程中为您提供支持。
功能安全设计的“艺术”,是以最小的实际投资通过所需的认证。独立评估人员需要看到证据,证明设计团队在系统功能和随机硬件故障缓解(基于可靠的危害和风险分析)方面遵循了功能安全标准。对于团队来说,这可能感觉像是在参加一次考试,但是与考试不同的是,他们能够与老师讨论答案,并执行他们的反馈,从而获得可接受的解决方案。要想通过认证评估,团队需要确保所选择的设计路径能够成功。为了帮助解决这个问题,赛灵思已经投资于最先进的验证方法,使用户相信他们所使用的器件总是能够正常工作。这些验证方法已经帮助众多客户成功地完成了这一过程。
在功能性安全市场,这种信心至关重要。能否设定正确的期望值决定了是将产品推向市场还是推倒重来,而重新进行设计可能需要完全不同的组件,还需要额外的时间来学习如何有效地使用这些组件。因此,用证据建立信心是关键。
Zynq® Ultrascale+™ MPSoC 是赛灵思设计的首款兼顾功能安全的器件。通过增强工程流程、测试器件的诊断功能并内置随机硬件容错功能,就可以提供内外部评估团队都可以接受的有关功能的可靠证据。(https://www.xilinx.com/products/technology/functional-safety.html)
同样重要的是,要知道组件的能力范围。由于 FPGA 的特性,需要特别考虑对配置 RAM (CRAM) 的硬化和测试,RAM (CRAM) 是用来存储设计实现方案的 SRAM。外部认证机构在评估包含 FPGA 的设计时,始终需要这方面的可靠保证。为处理这一问题而创建的系统及流程使得提供可靠证据成为可能,教育部门也需要适当地了解设备在功能安全系统中的行为。
赛灵思用于构建 SRAM 的技术采用了业经验证的内部方法。此外,同时使用业界标准的 JEDEC 测试方法来评估可靠性。还应用了长期测试 (Rosetta),以及使用洛斯阿拉莫斯中子科学中心 (Los Alamos Science Center,LANCE) 设施的中子测试、克罗克核实验室 (Crocker Nuclear Laboratory) 的质子测试、麦克莱伦核研究中心 (McClellan Nuclear Research Center) 的热中子测试和使用232钍箔源的阿尔法粒子测试。
赛灵思每年两次在 UG116 器件可靠性报告 (https://www.xilinx.com/support/documentation/user_guides/ug116.pdf) 中公开发布这一数据供大家审阅。
为了使所有产品通过功能安全认证,必须记录系统功能和随机硬件故障率 (FIT)。这需要组件供应商提供一份认证证书来帮助客户实现他们的目标,该证书可以证明在设计组件时使用的系统功能,以及任何固件的系统功能,例如在赛灵思 MPSoC 产品中运行的固件。此外,赛灵思还通过了针对工业市场的 IEC 61508 标准 SIL 4 和针对汽车市场的 ISO 26262 标准 ASLI-D 的工具链认证。这使得客户能够确保其设计实现方案符合所用工具链的安全标准。
此外,还将加速高温工作寿命 (HTOL) 测试用于解决永久性硬件错误率问题。这些测试的结果也每年两次公布在 UG116 器件可靠性报告中。
而且,内置在芯片级的诊断功能,或作为可编程逻辑电路的软 IP 提供的诊断功能,有助于缓解随机硬件故障。
此外,赛灵思 Vivado™ 工具链和编译器通过最高级别的功能安全认证,可以帮助实现系统功能。赛灵思还提供专门针对功能安全的指导文档,这些文档是为了帮助客户通过所需的认证而专门创建的。
安全与单芯片集成
功能安全设备的设计人员通常依赖于系统级架构来解决系统的随机硬件问题,这些问题无法通过单个器件轻松解决。Zynq-UltraScale+MPSoC 通过提供三个不同的计算域(低功耗域、全功耗域和可编程逻辑域)来克服这一问题。由于这些计算域中的每一个都是独立且异构的,因此它们可用来实现单独的安全通道,并可在同一器件上使用冗余来增强设计的诊断功能。与双芯片设计相比,不仅为使用分解规则和冗余的实现方案降低了成本,而且还提高了整体互联可靠性。
图中所示的双通道设计在同一器件中使用两个域。每个域都利用一个锁步处理器来增强其诊断能力,从而支持带诊断功能的二选一结构 (1oo2D)。
为了增强系统功能,每个域将使用不同的设计团队,利用不同的 CPU 架构和不同的编译器。为了提高诊断能力,每个域都采用了锁步处理器,并通过软件的交互比较进一步增强,使随机硬件故障检测能力提高到 99% 以上。此外,使用两个通道还会降低每个通道的标准质量指标。这不仅加快了产品的上市进程,还有助于产品成功通过认证。
网络安全
随着企业运营技术 (OT) 和 IT 领域在新兴的工业物联网 (IIoT) 中逐渐普及,网络攻击的风险越来越大。在这种情况下,显而易见的是,除非系统本身是安全的,否则它们不可能真正实现功能安全。这是目前的功能安全工作组的立场,他们负责推动 IEC 61508 标准的最新修订。
虽然确保功能安全的工作基于危害和风险分析,但内置网络安全是由威胁分析推动的。这种分析用于识别系统的“威胁面”(访问途径)。同时执行面向安全的危害和风险分析以及威胁分析是很重要的,这样就便于理解任何相互作用。单独执行安全评估可能会对安全产生严重后果,例如 CPU 锁定、资源限制或其他可能危及系统安全操作的安全响应。
与成功的功能安全方法一致,在组件供应商和设备开发商之间共享的基础上能够最有效地处理安全问题。因此,除了在芯片和启动过程中设计保护功能外,赛灵思还负责供应链的安全问题,并为运行时接口、隔离设计和建议的设计流程提供接口和指导。这有效地为产品开发者提供了自由,使他们能够将资源集中用在应用级设计引入保护上。
功能安全和安保都是当今互联工业基础设施中的关键问题。它们最好通过涵盖软件、固件和硬件的实现方案组合统一解决,这就允许设备开发者根据个人需求和专业技术来挑选最佳的方法组合。
参考资料
P. Maillard, J. Arver, C. Smith, O. Ballan, M. J. Hart and Y. P. Chen, "Test Methodology & Neutron Characterization of Xilinx 16nm Zynq® UltraScale+™ Multi-Processor System-on-Chip (MPSoC)," 2018 IEEE Radiation Effects Data Workshop (REDW), 2018, pp. 1-4.
https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8584299
来源:赛灵思
