設(shè)計安全工業(yè)芯片系統(tǒng)的驗證方法

工業(yè)自動化、物流以及智能電網(wǎng)等很多工業(yè)領(lǐng)域都要求機械設(shè)備和產(chǎn)品具有安全性，經(jīng)過了功能安全認(rèn)證。當(dāng)開發(fā)必須符合全世界安全標(biāo)準(zhǔn)的機械設(shè)備時，靈活性和逐漸增高的安全成本是非常重要的決定因素。

在這些應(yīng)用中，安全要求產(chǎn)生了新的機械開發(fā)過程，增加了電子設(shè)備的復(fù)雜度，一般會導(dǎo)致顯著增加硬件成本，延長了產(chǎn)品面市時間。工業(yè)芯片系統(tǒng)能夠幫助工程師在獲得IEC 61508產(chǎn)品認(rèn)證過程中節(jié)省18個月的設(shè)計時間。具有Altera FPGA等經(jīng)過認(rèn)證的器件意味著，設(shè)計人員可以充分發(fā)揮FPGA的靈活性優(yōu)勢，不用擔(dān)心這些器件能否用于安全應(yīng)用。

設(shè)計挑戰(zhàn)
如果公司計劃將產(chǎn)品銷售到需要符合當(dāng)?shù)匕踩?guī)章制度的國家，這些國家要求有功能安全評估人員的認(rèn)證，例如，新的機械建造規(guī)范(2006/42/EG)，這是產(chǎn)品出口到歐洲必須滿足的要求，那么，這些公司必須在整個設(shè)計過程中采用安全方法，這樣才能參與競爭。工廠操作人員需要對機械設(shè)備進(jìn)行安全操作，以提高效能，例如，在部分機械設(shè)備還在工作時對設(shè)備進(jìn)行維護(hù)，顯著縮短開機和停機時間等。

當(dāng)公司決定開發(fā)安全產(chǎn)品時，必須把安全作為核心系統(tǒng)功能。歷史上，通過冗余控制器或者通信模塊等其他功能，結(jié)合電路來監(jiān)視系統(tǒng)，在系統(tǒng)中增加安全功能。與從開始就針對安全和成本競爭力進(jìn)行優(yōu)化的設(shè)計安全應(yīng)用相比，這些置入的安全組件是事后加入到系統(tǒng)概念中，明顯提高了成本，不夠靈活，無法更新。

開發(fā)安全應(yīng)用的設(shè)計挑戰(zhàn)包括：
• 采用“安全”設(shè)計方法以及安全概念。
• 需要更多的工程投入(時間和技術(shù))，結(jié)果產(chǎn)品推遲面市，提高了總體擁有成本。
• 工程管理，采集所有系統(tǒng)組件的數(shù)據(jù)，根據(jù)安全規(guī)范要求對工程進(jìn)行記錄。

成功設(shè)計的關(guān)鍵是采用經(jīng)過驗證的設(shè)計方法，合格的工具和器件作為產(chǎn)品的一部分，從產(chǎn)品開發(fā)的一開始就考慮安全問題。

典型的應(yīng)用步驟
如果沒有想到安全問題，開發(fā)一個具體應(yīng)用的五個典型設(shè)計步驟包括：
• 體系結(jié)構(gòu)開發(fā)
• 組件選擇
• 應(yīng)用設(shè)計實現(xiàn)
• 集成和測試
• 發(fā)布

第一步是產(chǎn)品體系結(jié)構(gòu)，如圖1所示。對于驅(qū)動器等典型的電機控制應(yīng)用，設(shè)計步驟把系統(tǒng)分成系統(tǒng)控制、通信和實時電機控制功能等部分。例如，對于系統(tǒng)的控制部分和實時部分，體系結(jié)構(gòu)選擇軟件實現(xiàn)，對于通信部分確定使用硬件/軟件方法，以支持實時工業(yè)以太網(wǎng)通信協(xié)議。

圖1.體系結(jié)構(gòu)開發(fā)[!--empirenews.page--]
 

下一步是選擇組件(圖2)。做出決定后，具體實施時，控制軟件可能運行在標(biāo)準(zhǔn)應(yīng)用處理器上，在數(shù)字信號處理器(DSP)上實現(xiàn)實時電機控制部分，而采用基于FPGA的方法實現(xiàn)系統(tǒng)中的通信部分。采用FPGA，系統(tǒng)能夠在可以互換的相同器件中靈活的實現(xiàn)各種工業(yè)以太網(wǎng)標(biāo)準(zhǔn)，例如以太網(wǎng)/IP、EtherCat、PROFINET，或者SERCOS III等。利用靈活的通信部分體系結(jié)構(gòu)，可以定制標(biāo)準(zhǔn)硬件平臺，很容易滿足最終用戶的特殊協(xié)議需求。

圖2.組件選擇
 

確定如何劃分并選擇了組件后，設(shè)計團隊可以針對各自的應(yīng)用展開開發(fā)工作。然后，他們將組件集成為一個完整的系統(tǒng)，測試系統(tǒng)功能，發(fā)布產(chǎn)品。

增加安全性
如果按照產(chǎn)品要求，開發(fā)功能安全設(shè)計，則需要增強其他的工程階段，如圖3黃色部分所示。

圖3.根據(jù)安全步驟而增加的設(shè)計步驟

 
設(shè)計安全應(yīng)用的目的是獲得功能安全認(rèn)證，例如IEC 61508等，因此，這導(dǎo)致工程越來越復(fù)雜。IEC 61508規(guī)范涵蓋了從開發(fā)具體應(yīng)用到產(chǎn)品退出市場的整個安全生命周期。按照安全標(biāo)準(zhǔn)的步驟和過程，則需要簡化與評估人員的通信，以確保能夠清楚的理解安全目標(biāo)、概念、過程和解決方案，滿足安全要求。

工程啟動和風(fēng)險分析
在工程啟動和風(fēng)險分析階段，根據(jù)應(yīng)用的一般要求來確定安全范圍。對于實施階段，確定并梳理和記錄應(yīng)用所需要和能夠?qū)崿F(xiàn)的安全完整性等級(SIL)，作為風(fēng)險分析和評估的基礎(chǔ)。風(fēng)險分析是以后測量的基礎(chǔ)，它表明了對產(chǎn)品邊界的理解，與產(chǎn)品范圍定義密切相關(guān)。它是所需SIL的基礎(chǔ)，詳細(xì)定義了安全功能，以及產(chǎn)品文檔框架。這需要在組件級以及系統(tǒng)級完成。

體系結(jié)構(gòu)開發(fā)
然后，設(shè)計人員開發(fā)體系結(jié)構(gòu)來滿足功能和安全要求。他們對安全要求進(jìn)行提煉，記錄在操作和維護(hù)階段實現(xiàn)的某些功能，確定驗證能否滿足安全要求而需要采取的策略。

安全要求規(guī)范
對于安全驅(qū)動，工程范圍可能包括幾個方面，例如，確定驅(qū)動參數(shù)是否在允許的范圍內(nèi)，或者，安全I/O信號是否是關(guān)鍵事件等。驅(qū)動最基本的安全特性是“安全關(guān)閉”(STO)，以安全方式斷開電機電源。這一過程還可能包括與出現(xiàn)安全事件的整個自動化系統(tǒng)進(jìn)行通信，必須在一定的時間周期內(nèi)進(jìn)行評估，例如，按照一系列步驟順序關(guān)斷整個應(yīng)用。

驗證和認(rèn)證規(guī)劃
驗證規(guī)劃的開發(fā)包括受控失敗插入方法，以測試系統(tǒng)，進(jìn)行其他的監(jiān)控，觀察系統(tǒng)，對比當(dāng)前參數(shù)和預(yù)先確定的參數(shù)，以及允許值。

組件選擇，組件，IP和工具資格
典型的工程都有組件選擇步驟，但是設(shè)計人員應(yīng)確保組件和IP功能適合安全應(yīng)用。重要的是考慮殘留錯誤概率，這是計算產(chǎn)品全部失敗概率(FIT)以及最終SIL的基礎(chǔ)。可以通過收集廣泛應(yīng)用的產(chǎn)品的器件和設(shè)計工具數(shù)據(jù)來實現(xiàn)這一點，這樣，不會出現(xiàn)系統(tǒng)錯誤，能夠可靠使用(例如，對于IP)，還可以通過使用處理器或者FPGA等半導(dǎo)體產(chǎn)品錯誤概率報告以及可靠性信息來實現(xiàn)它。

應(yīng)用設(shè)計實現(xiàn)
通信協(xié)議、FPGA的存儲器接口IP、或者嵌入在FPGA中的Altera Nios® II嵌入式處理器IP等復(fù)雜系統(tǒng)功能，通常用于運行驅(qū)動應(yīng)用中工業(yè)以太網(wǎng)協(xié)議的軟件堆棧，這些都需要進(jìn)行安全應(yīng)用分析、測試和認(rèn)證。

功能/診斷功能
除了實現(xiàn)應(yīng)用程序，還必須在設(shè)計中加入某些功能。這些設(shè)計需要采用時鐘和電源等基本參數(shù)監(jiān)視功能以及數(shù)據(jù)監(jiān)視等復(fù)雜功能，觀察脈沖寬度調(diào)制(PWM)的輸出，從而保證系統(tǒng)正常工作。他們還需要能夠自動發(fā)現(xiàn)錯誤的功能，使系統(tǒng)進(jìn)入安全狀態(tài)?；竟δ馨ūＷC存儲器內(nèi)容不會由于外部影響設(shè)計而發(fā)生改變，監(jiān)視系統(tǒng)時鐘以保證在設(shè)定的系統(tǒng)參數(shù)范圍內(nèi)驅(qū)動設(shè)計(或者由于外部組件的失效導(dǎo)致出現(xiàn)錯誤)，電源正常工作。[!--empirenews.page--]

集成和測試
將每一組件集成到安全驅(qū)動方案中，進(jìn)行測試，實現(xiàn)預(yù)期的系統(tǒng)功能，提供設(shè)定好的安全功能。通過安全驗證，保證所需的安全特性能夠在工作期間發(fā)揮作用，例如，確保外部因素對設(shè)計的安全功能沒有不利影響，偶然的禁用不會影響系統(tǒng)。

安全驗證、認(rèn)證和發(fā)布
在整個過程中，要求與評估人員密切合作，以保證在開發(fā)過程中所進(jìn)行的評估是合理的，提供合適的安全功能。最后，評估人員對產(chǎn)品的安全功能進(jìn)行認(rèn)證，可以向市場推出該產(chǎn)品。

增加預(yù)認(rèn)證安全功能
Altera等半導(dǎo)體供應(yīng)商提供某些步驟幫助實現(xiàn)這一過程，減少了在安全應(yīng)用開發(fā)上的投入。例如，立即使用經(jīng)過功能安全預(yù)認(rèn)證的半導(dǎo)體數(shù)據(jù)、IP、開發(fā)流程和設(shè)計工具等，大幅度縮短整個產(chǎn)品開發(fā)過程，如圖4所示。

圖4.具有預(yù)認(rèn)證安全步驟的設(shè)計步驟

 
Altera投入了近兩年的時間來實現(xiàn)產(chǎn)品認(rèn)證。Altera的SIL 3 (SIL3)功能安全數(shù)據(jù)包包括評估機構(gòu)TÜ Rheinland對Altera工具、IP和器件數(shù)據(jù)的認(rèn)證，縮短并簡化了符合IEC 61508安全應(yīng)用的開發(fā)。經(jīng)過預(yù)認(rèn)證的設(shè)計流程和工具，以及經(jīng)過預(yù)認(rèn)證的嵌入式系統(tǒng)和診斷知識產(chǎn)權(quán)(IP)降低了安全非常重要的工業(yè)應(yīng)用的認(rèn)證風(fēng)險，例如，伺服和逆變驅(qū)動器、安全I(xiàn)/O和PLC以及自動控制器等。

對IP和設(shè)計工具以及器件可靠性數(shù)據(jù)的測試和應(yīng)用數(shù)據(jù)進(jìn)行了總結(jié)和梳理，簡化了功能安全驗證。公司采用TÜV Rheinland認(rèn)可的設(shè)計方法(V-Flow)，以滿足FPGA設(shè)計的特殊需求。功能安全包包括所必須的診斷功能，將其設(shè)計為FPGA IP。功能安全包用戶受益于Altera在TÜV上的前期投入，在工程投入上能夠節(jié)省同樣的時間。

安全驅(qū)動的例子
具有安全I/O的這一驅(qū)動實例采用了Altera認(rèn)證過的FPGA設(shè)計工具Quartus II軟件9.0 SP2，以及所建議的設(shè)計方法實現(xiàn)這一應(yīng)用實例。此外，如圖5所示，這一應(yīng)用使用了兩片F(xiàn)PGA，而沒有采用外部處理器和DSP。該應(yīng)用被劃分成幾個Nios II軟核處理器內(nèi)核。第一個Nios II軟核處理器提供通信堆棧支持，第二個處理系統(tǒng)控制，第三個Nios II處理器集成在電機控制模塊中。對電機控制算法進(jìn)行了劃分，其軟件部分運行在Nios II處理器上，針對這一應(yīng)用而專門開發(fā)的硬件模塊加速電機控制環(huán)的實現(xiàn)。外部安全控制器提供SIL3應(yīng)用所需要的冗余功能。

圖5.安全驅(qū)動的兩片FPGA實現(xiàn)
 

這一解決方案在一片F(xiàn)PGA中結(jié)合了安全控制器和現(xiàn)場總線控制器，使用Altera的SOPC Builder系統(tǒng)集成工具，集成了Nios II軟核處理器、其他通信IP模塊，以及編碼器接口和存儲器接口。

芯片驅(qū)動的安全性
對于FPGA中關(guān)鍵而又常用診斷任務(wù)的底層監(jiān)視功能，這一實例使用了Altera的安全認(rèn)證診斷IP模塊。這些診斷IP設(shè)計滿足IEC 61508規(guī)范要求，完成以下常用診斷功能：
• 循環(huán)冗余校驗(CRC)計算——用于很多系統(tǒng)中，特別適用于現(xiàn)場總線應(yīng)用。
• 提取時鐘檢查——這一內(nèi)核檢查是否有系統(tǒng)時鐘以及時鐘頻率。
• SEU檢查控制器——這一模塊采用了器件中的內(nèi)置軟錯誤檢查硬件，監(jiān)視軟錯誤導(dǎo)致的變化。[!--empirenews.page--]

由于這些硬核IP是在FPGA邏輯區(qū)中實現(xiàn)的，因此，系統(tǒng)處理器不再承擔(dān)這些任務(wù)。在認(rèn)證方法方面，Altera采用了IEC規(guī)范，分析了FPGA設(shè)計方法和相關(guān)要求。從這一分析中，Altera形成了工具流文檔。這一工具流的中心主題是對Altera開發(fā)的FPGA V-Flow的描述，如圖6所示。

圖6.工具流
 

V-Flow及其相關(guān)文檔將Altera FPGA安全應(yīng)用設(shè)計的所有步驟映射到IEC規(guī)范上，滿足其要求。此外，它解釋了哪些設(shè)計步驟采用哪些Altera工具。它涉及到IEC規(guī)范中的某些章節(jié)，以指導(dǎo)用戶依照合適的開發(fā)步驟來開發(fā)安全應(yīng)用。

這包括了評估人員所需要的認(rèn)證文檔和數(shù)據(jù)，以完全符合IEC 61508規(guī)范的格式提供，因此，評估人員很容易處理它們。以正確的格式提供這些文檔節(jié)省了安全工程大量的文檔工作。在所包括的可靠性報告中，Altera對Altera FPGA的可靠性統(tǒng)計信息進(jìn)行了大量的分析，包括所需的全部信息來計算FIT率。

通過重新使用符合預(yù)認(rèn)證兩芯片方法的驅(qū)動系統(tǒng)概念，按照經(jīng)過認(rèn)證的設(shè)計方法、設(shè)計流程、工具和IP，通常能夠加速實現(xiàn)典型的應(yīng)用開發(fā)過程。由于能夠立即使用組件的可靠性數(shù)據(jù)，提供的格式很容易集成到安全認(rèn)證的所有文檔中，因此，加速實現(xiàn)了認(rèn)證過程。在安全設(shè)計和系統(tǒng)設(shè)計中，設(shè)計人員可以充分利用靈活的FPGA設(shè)計集成功能。由于安全已經(jīng)成為具體應(yīng)用的關(guān)鍵需求之一，因此，它含在整個概念中，通過滿足成本和產(chǎn)品及時面市目標(biāo)來實現(xiàn)它。