Skip to main content

简化安全关键型系统设计

随着工业系统变得更为复杂,安全认证便逐渐发展为一项挑战。构建集成系统,将安全关键型特性与非关键特性整合在一起,则尤为困难。开发人员可以借助英特尔® 至强® 处理器 D-1529 应对这项挑战,从而符合 IEC 61508 工业认证要求。这款处理器是专为 SIL 2 认证设计的首款英特尔® 处理器。此功能安全解决方案提供了一个紧密集成的套装,包括了硬件、软件以及简化了安全认证的认证文档,并且使开发人员能够以一个硬件平台来取代冗余的系统,大幅降低了成本。

功能安全基础

在开始了解新款处理器之前,让我们先行回顾一下安全关键型设计的基础知识。设计安全系统始于风险评估。仔细思考 IEC 61508 基于事件发生的可能性及其产生的后果而对风险进行分类的方式(参见图 1)。

图 1. IEC 61508 将风险分为四类。(资料来源:维基百科

为符合 IEC 61508 要求(或任何安全法规),开发人员必须评估确定危险事件的风险。然后,设计系统来避免不可接受的风险,并且通过多种机制来适应必然发生的事件。

首屈一指的认证处理器

为创建稳健的系统,必须在设计之初便考虑安全性。因此,安全始于硬件架构。作为英特尔首款通过 IEC 61508 认证的处理器,英特尔® 至强® 处理器 D-1529 具有通用芯片不具备的各种特性。这些特性包括硬件升级以及软件、工具和文档,可加速 IEC61508 安全完整性等级 (SIL) 1 类和 2 类应用的开发。在芯片前端,处理器集成了广泛的硬件诊断。这些选项包括:

  • 过电压/过电流检测
  • 处理器温度报告
  • 设备检查异常
  • PCIe 高级错误报告
  • 平台控制器中枢 (PCH) 错误逻辑
  • SATA 和 AHCi 诊断

安全特性也集成到支持处理器的软件架构中。可编程错误异常和软件生成的异常使开发人员能够确保可靠地操作应用代码。支持工具包括英特尔® 软件测试库(英特尔® STL)。该库简化了对于离线和在线软件诊断、软件验证和故障注入的支持。

取代冗余的系统

英特尔方法的关键优势是能够通过一个平台来取代冗余的系统。举例来说,Kontron 首席技术官 Laurent Remont 指出通过安全认证的铁路计算机便采用了这种方法。Remont 解释道,传统方法需要使用冗余的处理卡。例如,Kontron 提供了具有冗余刀片(图 2 中的通道 A 和通道 B)的 3U VPX 系统。这两个刀片通过以太网交换机来链接,并且由网关 CPU 刀片监控。为了进一步保证可用性,随后要对整个 3U VPX 系统进行复制。

图 2. Kontron 的铁路计算机包括多层冗余。(资料来源:Kontron)

通过英特尔® 至强® 处理器 D-1529,开发人员可以将通道 A、通道 B、以太网交换机和网关刀片缩小到一个刀片上。现在,在同一处理器上的两个不同内核上即可运行代码,开发人员不需要在其他刀片上运行冗余代码。Remont 指出,此硬件整合不仅依赖英特尔已预先验证的处理器内核来实现独立性和稳健性,而且要依靠英特尔安全库保证的冗余性。在与传统架构相比时,Remont 认为单刀片解决方案的整体可靠性和成本得到显著优化。考虑到许多传统系统使用混合的 CPU 架构来确保可靠性,这样的看法就更有说服力。通过在相同的架构上运行所有工作负载,开发人员可以缩短上市时间,降低总体拥有成本,以及加快认证流程。

通过混合临界运行工作负载

安全认证最复杂的问题之一便是混合临界。复杂的系统具有各种需要符合不同安全要求级别的工作负载,这取决于故障发生的可能性及影响。更加复杂的设计是运用虚拟化,使单个硬件控制器能够协调多台设备的工作负载。各种应用引入 IT/业务工作负载和物联网连接(例如工厂自动化)则增加了另一层复杂度。能够远程监控工厂设备,将实时数据转化为可供利用的情报,即可显著改善运营效率。但是,更智能的制造则要求稳健且安全的实施,而不会危及系统的可靠工作。实现这些高级特性的工作负载可能是第三方软件,并且在编写时可能不符合严格的安全要求。负责优先保障交付的通信库因此破坏关键的实时截止日期,简直不堪设想。为了缓解这种风险,系统需要能够将安全工作负载与“不安全”工作负载隔离并加以保护。换言之,如果用户界面 (UI) 崩溃,则必须遏制故障恶化,防止主系统发生不可预测的情况。同理,如果虚拟化环境中的一台虚拟机宕机,应不致影响共享该环境的其他虚拟机。

使用安全关键型操作系统

出于诸如此类的原因,安全需要成为系统操作系统不可分割的一部分。因此,Wind River 借助其专注安全的 Linux 和 VxWorks 操作系统来支持英特尔® 至强® 处理器 D-1529。这些操作系统为虚拟化环境提供了先进的时间和空间分区功能,针对各种工作负载提供混合临界支持。此外,Wind River 还通过其 Simics 虚拟开发环境提供平台支持。开发人员使用此平台可以在缺少硬件的情况下针对英特尔® 至强® 处理器 D-1529 以及周围系统进行建模(图 3)。

图 3. Wind River Simics 实现了全系统模拟。(资料来源:Wind River

管理复杂性

随着物联网的普及,安全系统设计只会变得更加复杂。在设计之初便考虑安全性并整合全新的安全机制,OEM 便能信心十足地保证其产品满足当下及未来的安全要求。

作者简介

Nicholas Cravotta is a veteran of the electronics industry. He has been technical editor for EDN, Embedded Systems Programming, and Communications Systems Design, and was the founding editor-in-chief of Multimedia Systems Design. During his years as an engineer, he designed hard real-time embedded systems, wrote application software for PCs and workstations, built an operating system from the ground up, and developed in-house software and hardware development and test tools, among many other projects. He has written over 600 published articles and has taught programming and technical writing at UC Berkeley. When he isn’t writing about engineering, he is an award-winning game designer for BlueMatter Games where he focuses on innovative ways to engage people, including the home-version of Escape the Room and Houdini, the reconfigurable disentanglement puzzle. He was recently a contestant on the reality TV show, “The Toy Box” showing the Pinata Backpack.

Profile Photo of Nicholas Cravotta