Altera FPGA設計安全工業(yè)芯片系統(tǒng)的驗證方法

工業(yè)自動化、物流以及智能電網等很多工業(yè)領域都要求機械設備和產品具有安全性，經過了功能安全認證。當開發(fā)必須符合全世界安全標準的機械設備時，靈活性和逐漸增高的安全成本是非常重要的決定因素。

在這些應用中，安全要求產生了新的機械開發(fā)過程，增加了電子設備的復雜度，一般會導致顯著增加硬件成本，延長了產品面市時間。工業(yè)芯片系統(tǒng)能夠幫助工程師在獲得IEC 61508產品認證過程中節(jié)省18個月的設計時間。具有Altera FPGA等經過認證的器件意味著，設計人員可以充分發(fā)揮FPGA的靈活性優(yōu)勢，不用擔心這些器件能否用于安全應用。

設計挑戰(zhàn)

如果公司計劃將產品銷售到需要符合當地安全規(guī)章制度的國家，這些國家要求有功能安全評估人員的認證，例如，新的機械建造規(guī)范(2006/42/EG)，這是產品出口到歐洲必須滿足的要求，那么，這些公司必須在整個設計過程中采用安全方法，這樣才能參與競爭。工廠操作人員需要對機械設備進行安全操作，以提高效能，例如，在部分機械設備還在工作時對設備進行維護，顯著縮短開機和停機時間等。

當公司決定開發(fā)安全產品時，必須把安全作為核心系統(tǒng)功能。歷史上，通過冗余控制器或者通信模塊等其他功能，結合電路來監(jiān)視系統(tǒng)，在系統(tǒng)中增加安全功能。與從開始就針對安全和成本競爭力進行優(yōu)化的設計安全應用相比，這些置入的安全組件是事后加入到系統(tǒng)概念中，明顯提高了成本，不夠靈活，無法更新。

開發(fā)安全應用的設計挑戰(zhàn)包括：
?采用“安全”設計方法以及安全概念。
?需要更多的工程投入(時間和技術)，結果產品推遲面市，提高了總體擁有成本。
?工程管理，采集所有系統(tǒng)組件的數據，根據安全規(guī)范要求對工程進行記錄。

成功設計的關鍵是采用經過驗證的設計方法，合格的工具和器件作為產品的一部分，從產品開發(fā)的一開始就考慮安全問題。

典型的應用步驟
如果沒有想到安全問題，開發(fā)一個具體應用的五個典型設計步驟包括：
?體系結構開發(fā)
?組件選擇
?應用設計實現(xiàn)
?集成和測試
?發(fā)布

第一步是產品體系結構，如圖1所示。對于驅動器等典型的電機控制應用，設計步驟把系統(tǒng)分成系統(tǒng)控制、通信和實時電機控制功能等部分。例如，對于系統(tǒng)的控制部分和實時部分，體系結構選擇軟件實現(xiàn)，對于通信部分確定使用硬件/軟件方法，以支持實時工業(yè)以太網通信協(xié)議。

圖1.體系結構開發(fā)

下一步是選擇組件(圖2)。做出決定后，具體實施時，控制軟件可能運行在標準應用處理器上，在數字信號處理器(DSP)上實現(xiàn)實時電機控制部分，而采用基于FPGA的方法實現(xiàn)系統(tǒng)中的通信部分。采用FPGA，系統(tǒng)能夠在可以互換的相同器件中靈活的實現(xiàn)各種工業(yè)以太網標準，例如以太網/IP、EtherCat、PROFINET，或者SERCOS III等。利用靈活的通信部分體系結構，可以定制標準硬件平臺，很容易滿足最終用戶的特殊協(xié)議需求。

圖2.組件選擇

確定如何劃分并選擇了組件后，設計團隊可以針對各自的應用展開開發(fā)工作。然后，他們將組件集成為一個完整的系統(tǒng)，測試系統(tǒng)功能，發(fā)布產品。

增加安全性
如果按照產品要求，開發(fā)功能安全設計，則需要增強其他的工程階段，如圖3黃色部分所示。

圖3.根據安全步驟而增加的設計步驟

設計安全應用的目的是獲得功能安全認證，例如IEC 61508等，因此，這導致工程越來越復雜。IEC 61508規(guī)范涵蓋了從開發(fā)具體應用到產品退出市場的整個安全生命周期。按照安全標準的步驟和過程，則需要簡化與評估人員的通信，以確保能夠清楚的理解安全目標、概念、過程和解決方案，滿足安全要求。

工程啟動和風險分析
在工程啟動和風險分析階段，根據應用的一般要求來確定安全范圍。對于實施階段，確定并梳理和記錄應用所需要和能夠實現(xiàn)的安全完整性等級(SIL)，作為風險分析和評估的基礎。風險分析是以后測量的基礎，它表明了對產品邊界的理解，與產品范圍定義密切相關。它是所需SIL的基礎，詳細定義了安全功能，以及產品文檔框架。這需要在組件級以及系統(tǒng)級完成。

體系結構開發(fā)
然后，設計人員開發(fā)體系結構來滿足功能和安全要求。他們對安全要求進行提煉，記錄在操作和維護階段實現(xiàn)的某些功能，確定驗證能否滿足安全要求而需要采取的策略。

安全要求規(guī)范
對于安全驅動，工程范圍可能包括幾個方面，例如，確定驅動參數是否在允許的范圍內，或者，安全I/O信號是否是關鍵事件等。驅動最基本的安全特性是“安全關閉”(STO)，以安全方式斷開電機電源。這一過程還可能包括與出現(xiàn)安全事件的整個自動化系統(tǒng)進行通信，必須在一定的時間周期內進行評估，例如，按照一系列步驟順序關斷整個應用。

驗證和認證規(guī)劃
驗證規(guī)劃的開發(fā)包括受控失敗插入方法，以測試系統(tǒng)，進行其他的監(jiān)控，觀察系統(tǒng)，對比當前參數和預先確定的參數，以及允許值。

組件選擇，組件，IP和工具資格
典型的工程都有組件選擇步驟，但是設計人員應確保組件和IP功能適合安全應用。重要的是考慮殘留錯誤概率，這是計算產品全部失敗概率(FIT)以及最終SIL的基礎。可以通過收集廣泛應用的產品的器件和設計工具數據來實現(xiàn)這一點，這樣，不會出現(xiàn)系統(tǒng)錯誤，能夠可靠使用(例如，對于IP)，還可以通過使用處理器或者FPGA等半導體產品錯誤概率報告以及可靠性信息來實現(xiàn)它。

應用設計實現(xiàn)
通信協(xié)議、FPGA的存儲器接口IP、或者嵌入在FPGA中的Altera Nios? II嵌入式處理器IP等復雜系統(tǒng)功能，通常用于運行驅動應用中工業(yè)以太網協(xié)議的軟件堆棧，這些都需要進行安全應用分析、測試和認證。

功能/診斷功能
除了實現(xiàn)應用程序，還必須在設計中加入某些功能。這些設計需要采用時鐘和電源等基本參數監(jiān)視功能以及數據監(jiān)視等復雜功能，觀察脈沖寬度調制(PWM)的輸出，從而保證系統(tǒng)正常工作。他們還需要能夠自動發(fā)現(xiàn)錯誤的功能，使系統(tǒng)進入安全狀態(tài)。基本功能包括保證存儲器內容不會由于外部影響設計而發(fā)生改變，監(jiān)視系統(tǒng)時鐘以保證在設定的系統(tǒng)參數范圍內驅動設計(或者由于外部組件的失效導致出現(xiàn)錯誤)，電源正常工作。

集成和測試
將每一組件集成到安全驅動方案中，進行測試，實現(xiàn)預期的系統(tǒng)功能，提供設定好的安全功能。通過安全驗證，保證所需的安全特性能夠在工作期間發(fā)揮作用，例如，確保外部因素對設計的安全功能沒有不利影響，偶然的禁用不會影響系統(tǒng)。

安全驗證、認證和發(fā)布
在整個過程中，要求與評估人員密切合作，以保證在開發(fā)過程中所進行的評估是合理的，提供合適的安全功能。最后，評估人員對產品的安全功能進行認證，可以向市場推出該產品。

增加預認證安全功能
Altera等半導體供應商提供某些步驟幫助實現(xiàn)這一過程，減少了在安全應用開發(fā)上的投入。例如，立即使用經過功能安全預認證的半導體數據、IP、開發(fā)流程和設計工具等，大幅度縮短整個產品開發(fā)過程，如圖4所示。

圖4.具有預認證安全步驟的設計步驟

Altera投入了近兩年的時間來實現(xiàn)產品認證。Altera的SIL 3 (SIL3)功能安全數據包包括評估機構Tü Rheinland對Altera工具、IP和器件數據的認證，縮短并簡化了符合IEC 61508安全應用的開發(fā)。經過預認證的設計流程和工具，以及經過預認證的嵌入式系統(tǒng)和診斷知識產權(IP)降低了安全非常重要的工業(yè)應用的認證風險，例如，伺服和逆變驅動器、安全I/O和PLC以及自動控制器等。

對IP和設計工具以及器件可靠性數據的測試和應用數據進行了總結和梳理，簡化了功能安全驗證。公司采用TüV Rheinland認可的設計方法(V-Flow)，以滿足FPGA設計的特殊需求。功能安全包包括所必須的診斷功能，將其設計為FPGA IP。功能安全包用戶受益于Altera在TüV上的前期投入，在工程投入上能夠節(jié)省同樣的時間。

安全驅動的例子
具有安全I/O的這一驅動實例采用了Altera認證過的FPGA設計工具Quartus II軟件9.0 SP2，以及所建議的設計方法實現(xiàn)這一應用實例。此外，如圖5所示，這一應用使用了兩片F(xiàn)PGA，而沒有采用外部處理器和DSP。該應用被劃分成幾個Nios II軟核處理器內核。第一個Nios II軟核處理器提供通信堆棧支持，第二個處理系統(tǒng)控制，第三個Nios II處理器集成在電機控制模塊中。對電機控制算法進行了劃分，其軟件部分運行在Nios II處理器上，針對這一應用而專門開發(fā)的硬件模塊加速電機控制環(huán)的實現(xiàn)。外部安全控制器提供SIL3應用所需要的冗余功能。

圖5.安全驅動的兩片F(xiàn)PGA實現(xiàn)

這一解決方案在一片F(xiàn)PGA中結合了安全控制器和現(xiàn)場總線控制器，使用Altera的SOPC Builder系統(tǒng)集成工具，集成了Nios II軟核處理器、其他通信IP模塊，以及編碼器接口和存儲器接口。

芯片驅動的安全性
對于FPGA中關鍵而又常用診斷任務的底層監(jiān)視功能，這一實例使用了Altera的安全認證診斷IP模塊。這些診斷IP設計滿足IEC 61508規(guī)范要求，完成以下常用診斷功能：
?循環(huán)冗余校驗(CRC)計算——用于很多系統(tǒng)中，特別適用于現(xiàn)場總線應用。
?提取時鐘檢查——這一內核檢查是否有系統(tǒng)時鐘以及時鐘頻率。
?SEU檢查控制器——這一模塊采用了器件中的內置軟錯誤檢查硬件，監(jiān)視軟錯誤導致的變化。

由于這些硬核IP是在FPGA邏輯區(qū)中實現(xiàn)的，因此，系統(tǒng)處理器不再承擔這些任務。在認證方法方面，Altera采用了IEC規(guī)范，分析了FPGA設計方法和相關要求。從這一分析中，Altera形成了工具流文檔。這一工具流的中心主題是對Altera開發(fā)的FPGA V-Flow的描述，如圖6所示。

圖6.工具流

V-Flow及其相關文檔將Altera FPGA安全應用設計的所有步驟映射到IEC規(guī)范上，滿足其要求。此外，它解釋了哪些設計步驟采用哪些Altera工具。它涉及到IEC規(guī)范中的某些章節(jié)，以指導用戶依照合適的開發(fā)步驟來開發(fā)安全應用。

這包括了評估人員所需要的認證文檔和數據，以完全符合IEC 61508規(guī)范的格式提供，因此，評估人員很容易處理它們。以正確的格式提供這些文檔節(jié)省了安全工程大量的文檔工作。在所包括的可靠性報告中，Altera對Altera FPGA的可靠性統(tǒng)計信息進行了大量的分析，包括所需的全部信息來計算FIT率。

通過重新使用符合預認證兩芯片方法的驅動系統(tǒng)概念，按照經過認證的設計方法、設計流程、工具和IP，通常能夠加速實現(xiàn)典型的應用開發(fā)過程。由于能夠立即使用組件的可靠性數據，提供的格式很容易集成到安全認證的所有文檔中，因此，加速實現(xiàn)了認證過程。在安全設計和系統(tǒng)設計中，設計人員可以充分利用靈活的FPGA設計集成功能。由于安全已經成為具體應用的關鍵需求之一，因此，它含在整個概念中，通過滿足成本和產品及時面市目標來實現(xiàn)它。