工业领域对电子设备安全性要求甚严,因此产品开发人员对嵌入式晶片的选择须格外谨慎;采用已预先通过标准认证的嵌入式方案,不仅可降低系统设计复杂度、减少额外元件使用数量,更能确保最终产品的安全性,提高市场竞争力。
工业自动化、物流以及智慧电网等很多工业领域都要求机械设备和产品具有安全性,通过功能安全认证。当开发的机械设备必须符合全世界安全标准时,灵活性和逐渐增高的安全成本,是非常重要的决定因素。
在这些应用中,安全要求产生新的机械开发过程,增加电子设备的复杂度,一般会导致硬体成本的显著增加,延长产品上市时间。工业单晶片系统能够帮助工程师在获得IEC 61508产品认证过程中节省十八个月的设计时间。具有现场可编程闸阵列(FPGA)等经过认证的元件,意味着设计人员可以充分发挥FPGA的灵活性优势,不用担心这些元件能否用于安全应用。
安全设计摆第一 各类挑战大又多
如果公司计划将产品销售到须要符合当地安全规章制度的国家,这些国家要求须有功能安全评估人员的认证,例如新的机械建造规范(2006/42/EG),这是产品出口到欧洲必须满足的要求,那么这些公司必须在整个设计过程中采用安全方法,这样才能参与竞争。工厂操作人员须要对机械设备进行安全操作以提高效能,例如在部分机械设备还在运作时对设备进行维护,显著缩短开机和停机的时间等。
当公司决定开发安全产品时,必须把安全作为核心系统功能。以往,都是透过备用控制器或通讯模组等其他功能,结合电路来监视系统,在系统中增加安全功能。与从一开始就针对安全和成本竞争力进行最佳化的设计安全应用相比,这些置入的安全性零组件是事后才加入到系统概念中,明显地提高成本,不够灵活也无法更新。
成功设计安全应用的关键是采用经过验证的设计方法,合格的工具和元件作为产品的一部分,从产品开发的一开始就考虑安全问题。
典型设计步骤 安全考量非重点
如果没有想到安全问题,开发一个具体应用的五个典型设计步骤包括:架构开发、零组件选择、应用设计实现、整合和测试、发布。
第一步是产品架构,如图1所示。对于驱动器等典型的马达控制应用,设计步骤把系统分成系统控制、通讯和即时马达控制功能等部分。例如,对于系统的控制部分和即时部分,在架构上选择用软体实现,对于通讯部分确定使用硬体/软体方法,以支援即时工业乙太网路通讯协定。
图1 架构开发
下一步是选择零组件(图2)。做出决定后,具体实施时,控制软体可能运行在标准应用处理器上,然后在数位讯号处理器(DSP)上实现即时马达控制部分,而采用FPGA架构的方法实现系统中的通讯部分。采用FPGA,系统能够在可以互换的相同元件中灵活地实现各种工业乙太网路标准,例如乙太网路/IP、EtherCat、PROFINET或SERCOS III等。利用灵活的通讯部分架构,可以订制标准硬体平台,很容易满足最终使用者的特殊通讯协定需求。
图2 零组件选择
确定如何划分并选择元件后,设计团队可以针对各自的应用展开开发工作。然后,将元件整合为一个完整的系统,测试系统功能,发布产品。
增加安全性 取得安全认证
如果按照产品要求,开发功能安全设计,则须增强其他的专案阶段,如图3左起第1、3、4、6、8、10、11方块部分所示。
图3 根据安全步骤而增加的设计步骤
设计安全应用的目的是获得功能安全认证,例如IEC 61508等,因此导致专案越来越复杂。IEC 61508规范涵盖从开发具体应用到产品退出市场的整个安全生命周期。按照安全标准的步骤和过程,则须要简化与评估人员的通讯,以确保能够清楚地理解安全目标、概念、过程和解决方案,满足安全要求。以下是根据安全步骤而增加的设计步骤:
.专案启动和风险分析
在专案启动和风险分析阶段,根据应用的一般要求来确定安全范围。对于实施阶段,确定并整理和记录应用所需及能够实现的安全完整性等级(SIL),作为风险分析和评估的基础。风险分析是以后测量的基础,它表明对产品界限的理解,与产品范围定义密切相关。它是所需SIL的基础,详细定义安全功能,以及产品文件建档框架,这必须在元件层级和系统层级来完成。
.架构开发
然后,设计人员开发架构来满足功能和安全要求。他们对安全要求进行改善,记录在操作和维护阶段实现的某些功能,确定验证能否满足安全要求而须要采取的策略。
.安全要求规范
对于安全驱动,专案范围可能包括几个方面,例如确定驱动参数是否在允许的范围内,或者安全输入输出(I/O)讯号是否为关键事件等。驱动最基本的安全特性是安全关闭(STO),以安全方式断开马达电源。此一过程还可能包括与出现安全事件的整个自动化系统进行通讯,必须在一定的时间周期内进行评估,例如按照一系列步骤顺序关闭整个应用。
.验证和认证规画
验证规画的开发包括受控制的失败介入方法,以测试系统,进行其他的监控,观察系统,对比当前参数和预先确定的参数,以及允许值。
.元件选择及元件、IP和工具条件
典型的专案都有元件选择步骤,但是设计人员应确保元件和IP功能适合安全应用。重要的是考虑残留错误概率,这是计算产品全部失败概率(FIT)以及最终SIL的基础。可以透过收集广泛应用的产品的元件和设计工具资料来实现,就不会出现系统错误,能够可靠使用(例如对于IP),还可以透过使用处理器或FPGA等半导体产品错误概率报告,以及可靠性资讯来实现。
.应用设计实现
通讯协定、FPGA的记忆体介面IP、或者嵌入在FPGA中的嵌入式处理器IP等复杂系统功能,通常用于运行驱动应用中工业乙太网路通讯协定的软体堆叠,这些都须要进行安全应用分析、测试和认证。
.安全/诊断功能
除了实现应用程式外,还必须在设计中加入某些功能。这些设计须要采用时钟和电源等基本参数监视功能,以及资料监视等复杂功能,观察脉冲宽度调变(PWM)的输出,进而保证系统正常运作。此外,还需要能够自动发现错误的功能,让系统进入安全状态。基本功能包括保证记忆体内容不会由于外部影响设计而发生改变、监视系统时钟以保证在设定的系统参数范围内驱动设计(或是因为外部元件失效导致错误出现),以及电源正常运作。
.整合和测试
将每一个元件整合到安全驱动方案中,进行测试,实现预期的系统功能,提供设定好的安全功能。透过安全验证,保证所需的安全特性能够在运作期间发挥作用,例如,确保外部因素对设计的安全功能没有不利影响,偶然的禁用不会影响系统。
.安全验证、认证和发布
在整个过程中,要求与评估人员密切合作,以保证在开发过程中所进行的评估是合理的,提供合适的安全功能。最后,评估人员对产品的安全功能进行认证,可以向市场推出该产品。
增加预认证安全功能
Altera等半导体供应商提供某些步骤说明实现这一个过程,减少在安全应用开发上的投入。例如,立即使用经过功能安全预认证的半导体资料、IP、开发流程和设计工具等,大幅度缩短整个产品开发过程(图4)。
图4 具有预认证安全步骤的设计步骤
Altera投入近两年的时间来实现产品认证,其SIL 3功能安全资料套件包括评估机构TV Rheinland对Altera工具、IP和元件资料的认证,缩短并简化符合IEC 61508安全应用的开发。经过预先认证的设计流程和工具,以及经过预先认证的嵌入式系统和诊断矽智财(IP),降低了对安全非常重视之工业应用的认证风险,例如伺服和变频驱动器、安全I/O和可编程逻辑控制器(PLC)以及自动控制器等。
对IP和设计工具以及元件可靠性资料的测试和应用资料进行总结和整理,简化了功能安全验证。采用TV Rheinland认可的设计方法(V-Flow),可满足FPGA设计的特殊需求。功能安全套件包括所必须的诊断功能,将其设计为FPGA IP。功能安全套件用户受益于Altera在TV上的前期投入,在专案投入上能够节省同样的时间。
安全驱动实例示范
具有安全I/O的此一驱动实例采用Altera认证过的FPGA设计工具Quartus II软体9.0 SP2,以及所建议的设计方法实现这一个应用实例。此外,如图5所示,这个应用使用两颗FPGA,而没有采用外部处理器和DSP。该应用被划分成几个Nios II软式处理器核心。第一个Nios II软式核心处理器提供通讯堆叠支援,第二个处理系统控制,第三个Nios II处理器整合在马达控制模组内。对马达控制演算法进行划分,其软体部分运行在Nios II处理器上,针对这个应用而专门开发的硬体模组加速马达控制回路的实现。外部安全控制器提供SIL3应用所需要的备用功能。
图5 安全驱动的两颗FPGA实现
此一解决方案在一颗FPGA中结合安全控制器和现场汇流排控制器,使用Altera的SOPC Builder系统整合工具,整合Nios II软式核心处理器、其他通讯IP模组,以及编码器介面和记忆体介面。
诊断晶片驱动安全性
对于FPGA中关键而又常用诊断任务的底层监视功能,这个实例使用Altera的安全认证诊断IP模组。这些诊断IP设计满足IEC 61508规范要求,完成以下常用诊断功能:
.循环校验码(CRC)运算
应用在许多系统内,特别适用于现场汇流排应用。
.提取时钟检查
这个核心检查是否有系统时钟及时钟频率。
.SEU检查控制器
此模组采用元件中的内置软式错误检查硬体,监视软式错误导致的变化。
由于这些硬式核心IP是在FPGA逻辑区中实现,因此系统处理器不再承担这些任务。在认证方法方面,Altera采用IEC规范来分析FPGA设计方法和相关要求。从这个分析中,形成工具流程文件档。此工具流程的中心主题是对Altera开发的FPGA V-Flow的描述(图6)。
V-Flow及其相关文件档将Altera FPGA安全应用设计的所有步骤映射到IEC规范上,满足其要求。此外,它解释哪些设计步骤采用哪些Altera工具。其涉及到IEC规范中的某些章节,以指导使用者依照合适的开发步骤来开发安全应用。
这包括评估人员所需要的认证文件档和资料,以提供完全符合IEC 61508规范的格式,因此评估人员很容易处理它们。以正确的格式提供这些文件档,可节省安全专案大量的文件档工作。在所包括的可靠性报告中,Altera对FPGA可靠性统计资讯进行大量分析,包括所需的全部资讯来计算FIT率。
透过重新使用符合预认证两颗晶片方法的驱动系统概念,按照经过认证的设计方法、设计流程、工具和IP,通常能够加速实现典型的应用开发过程。由于能够立即使用元件的可靠性资料,提供的格式很容易整合到安全认证的所有文件档内,因此加速实现认证过程。在安全设计和系统设计中,设计人员可以充分利用灵活的FPGA设计整合功能。由于安全已经成为具体应用的关键需求之一,因此它包含在整个概念中,透过满足成本和产品及时上市目标来实现。
