設(shè)計(jì)安全工業(yè)芯片系統(tǒng)的驗(yàn)證方法
設(shè)計(jì)安全應(yīng)用的目的是獲得功能安全認(rèn)證,例如IEC 61508等,因此,這導(dǎo)致工程越來越復(fù)雜。IEC 61508規(guī)范涵蓋了從開發(fā)具體應(yīng)用到產(chǎn)品退出市場(chǎng)的整個(gè)安全生命周期。按照安全標(biāo)準(zhǔn)的步驟和過程,則需要簡化與評(píng)估人員的通信,以確保能夠清楚的理解安全目標(biāo)、概念、過程和解決方案,滿足安全要求。
本文引用地址:http://m.butianyuan.cn/article/136095.htm工程啟動(dòng)和風(fēng)險(xiǎn)分析
在工程啟動(dòng)和風(fēng)險(xiǎn)分析階段,根據(jù)應(yīng)用的一般要求來確定安全范圍。對(duì)于實(shí)施階段,確定并梳理和記錄應(yīng)用所需要和能夠?qū)崿F(xiàn)的安全完整性等級(jí)(SIL),作為風(fēng)險(xiǎn)分析和評(píng)估的基礎(chǔ)。風(fēng)險(xiǎn)分析是以后測(cè)量的基礎(chǔ),它表明了對(duì)產(chǎn)品邊界的理解,與產(chǎn)品范圍定義密切相關(guān)。它是所需SIL的基礎(chǔ),詳細(xì)定義了安全功能,以及產(chǎn)品文檔框架。這需要在組件級(jí)以及系統(tǒng)級(jí)完成。
體系結(jié)構(gòu)開發(fā)
然后,設(shè)計(jì)人員開發(fā)體系結(jié)構(gòu)來滿足功能和安全要求。他們對(duì)安全要求進(jìn)行提煉,記錄在操作和維護(hù)階段實(shí)現(xiàn)的某些功能,確定驗(yàn)證能否滿足安全要求而需要采取的策略。
安全要求規(guī)范
對(duì)于安全驅(qū)動(dòng),工程范圍可能包括幾個(gè)方面,例如,確定驅(qū)動(dòng)參數(shù)是否在允許的范圍內(nèi),或者,安全I(xiàn)/O信號(hào)是否是關(guān)鍵事件等。驅(qū)動(dòng)最基本的安全特性是“安全關(guān)閉”(STO),以安全方式斷開電機(jī)電源。這一過程還可能包括與出現(xiàn)安全事件的整個(gè)自動(dòng)化系統(tǒng)進(jìn)行通信,必須在一定的時(shí)間周期內(nèi)進(jìn)行評(píng)估,例如,按照一系列步驟順序關(guān)斷整個(gè)應(yīng)用。
驗(yàn)證和認(rèn)證規(guī)劃
驗(yàn)證規(guī)劃的開發(fā)包括受控失敗插入方法,以測(cè)試系統(tǒng),進(jìn)行其他的監(jiān)控,觀察系統(tǒng),對(duì)比當(dāng)前參數(shù)和預(yù)先確定的參數(shù),以及允許值。
組件選擇,組件,IP和工具資格
典型的工程都有組件選擇步驟,但是設(shè)計(jì)人員應(yīng)確保組件和IP功能適合安全應(yīng)用。重要的是考慮殘留錯(cuò)誤概率,這是計(jì)算產(chǎn)品全部失敗概率(FIT)以及最終SIL的基礎(chǔ)??梢酝ㄟ^收集廣泛應(yīng)用的產(chǎn)品的器件和設(shè)計(jì)工具數(shù)據(jù)來實(shí)現(xiàn)這一點(diǎn),這樣,不會(huì)出現(xiàn)系統(tǒng)錯(cuò)誤,能夠可靠使用(例如,對(duì)于IP),還可以通過使用處理器或者FPGA等半導(dǎo)體產(chǎn)品錯(cuò)誤概率報(bào)告以及可靠性信息來實(shí)現(xiàn)它。
應(yīng)用設(shè)計(jì)實(shí)現(xiàn)
通信協(xié)議、FPGA的存儲(chǔ)器接口IP、或者嵌入在FPGA中的Altera Nios® II嵌入式處理器IP等復(fù)雜系統(tǒng)功能,通常用于運(yùn)行驅(qū)動(dòng)應(yīng)用中工業(yè)以太網(wǎng)協(xié)議的軟件堆棧,這些都需要進(jìn)行安全應(yīng)用分析、測(cè)試和認(rèn)證。
功能/診斷功能
除了實(shí)現(xiàn)應(yīng)用程序,還必須在設(shè)計(jì)中加入某些功能。這些設(shè)計(jì)需要采用時(shí)鐘和電源等基本參數(shù)監(jiān)視功能以及數(shù)據(jù)監(jiān)視等復(fù)雜功能,觀察脈沖寬度調(diào)制(PWM)的輸出,從而保證系統(tǒng)正常工作。他們還需要能夠自動(dòng)發(fā)現(xiàn)錯(cuò)誤的功能,使系統(tǒng)進(jìn)入安全狀態(tài)?;竟δ馨ūWC存儲(chǔ)器內(nèi)容不會(huì)由于外部影響設(shè)計(jì)而發(fā)生改變,監(jiān)視系統(tǒng)時(shí)鐘以保證在設(shè)定的系統(tǒng)參數(shù)范圍內(nèi)驅(qū)動(dòng)設(shè)計(jì)(或者由于外部組件的失效導(dǎo)致出現(xiàn)錯(cuò)誤),電源正常工作。
集成和測(cè)試
將每一組件集成到安全驅(qū)動(dòng)方案中,進(jìn)行測(cè)試,實(shí)現(xiàn)預(yù)期的系統(tǒng)功能,提供設(shè)定好的安全功能。通過安全驗(yàn)證,保證所需的安全特性能夠在工作期間發(fā)揮作用,例如,確保外部因素對(duì)設(shè)計(jì)的安全功能沒有不利影響,偶然的禁用不會(huì)影響系統(tǒng)。
安全驗(yàn)證、認(rèn)證和發(fā)布
在整個(gè)過程中,要求與評(píng)估人員密切合作,以保證在開發(fā)過程中所進(jìn)行的評(píng)估是合理的,提供合適的安全功能。最后,評(píng)估人員對(duì)產(chǎn)品的安全功能進(jìn)行認(rèn)證,可以向市場(chǎng)推出該產(chǎn)品。
增加預(yù)認(rèn)證安全功能
Altera等半導(dǎo)體供應(yīng)商提供某些步驟幫助實(shí)現(xiàn)這一過程,減少了在安全應(yīng)用開發(fā)上的投入。例如,立即使用經(jīng)過功能安全預(yù)認(rèn)證的半導(dǎo)體數(shù)據(jù)、IP、開發(fā)流程和設(shè)計(jì)工具等,大幅度縮短整個(gè)產(chǎn)品開發(fā)過程,如圖4所示?! ?/p>
Altera投入了近兩年的時(shí)間來實(shí)現(xiàn)產(chǎn)品認(rèn)證。Altera的SIL 3 (SIL3)功能安全數(shù)據(jù)包包括評(píng)估機(jī)構(gòu)TÜ Rheinland對(duì)Altera工具、IP和器件數(shù)據(jù)的認(rèn)證,縮短并簡化了符合IEC 61508安全應(yīng)用的開發(fā)。經(jīng)過預(yù)認(rèn)證的設(shè)計(jì)流程和工具,以及經(jīng)過預(yù)認(rèn)證的嵌入式系統(tǒng)和診斷知識(shí)產(chǎn)權(quán)(IP)降低了安全非常重要的工業(yè)應(yīng)用的認(rèn)證風(fēng)險(xiǎn),例如,伺服和逆變驅(qū)動(dòng)器、安全I(xiàn)/O和PLC以及自動(dòng)控制器等。
對(duì)IP和設(shè)計(jì)工具以及器件可靠性數(shù)據(jù)的測(cè)試和應(yīng)用數(shù)據(jù)進(jìn)行了總結(jié)和梳理,簡化了功能安全驗(yàn)證。公司采用TÜV Rheinland認(rèn)可的設(shè)計(jì)方法(V-Flow),以滿足FPGA設(shè)計(jì)的特殊需求。功能安全包包括所必須的診斷功能,將其設(shè)計(jì)為FPGA IP。功能安全包用戶受益于Altera在TÜV上的前期投入,在工程投入上能夠節(jié)省同樣的時(shí)間。
評(píng)論