設計安全工業(yè)芯片系統的驗證方法

　　設計安全應用的目的是獲得功能安全認證，例如IEC 61508等，因此，這導致工程越來(lái)越復雜。IEC 61508規范涵蓋了從開(kāi)發(fā)具體應用到產(chǎn)品退出市場(chǎng)的整個(gè)安全生命周期。按照安全標準的步驟和過(guò)程，則需要簡(jiǎn)化與評估人員的通信，以確保能夠清楚的理解安全目標、概念、過(guò)程和解決方案，滿(mǎn)足安全要求。

　　工程啟動(dòng)和風(fēng)險分析

　　在工程啟動(dòng)和風(fēng)險分析階段，根據應用的一般要求來(lái)確定安全范圍。對于實(shí)施階段，確定并梳理和記錄應用所需要和能夠實(shí)現的安全完整性等級(SIL)，作為風(fēng)險分析和評估的基礎。風(fēng)險分析是以后測量的基礎，它表明了對產(chǎn)品邊界的理解，與產(chǎn)品范圍定義密切相關(guān)。它是所需SIL的基礎，詳細定義了安全功能，以及產(chǎn)品文檔框架。這需要在組件級以及系統級完成。

　　體系結構開(kāi)發(fā)

　　然后，設計人員開(kāi)發(fā)體系結構來(lái)滿(mǎn)足功能和安全要求。他們對安全要求進(jìn)行提煉，記錄在操作和維護階段實(shí)現的某些功能，確定驗證能否滿(mǎn)足安全要求而需要采取的策略。

　　安全要求規范

　　對于安全驅動(dòng)，工程范圍可能包括幾個(gè)方面，例如，確定驅動(dòng)參數是否在允許的范圍內，或者，安全I/O信號是否是關(guān)鍵事件等。驅動(dòng)最基本的安全特性是“安全關(guān)閉”(STO)，以安全方式斷開(kāi)電機電源。這一過(guò)程還可能包括與出現安全事件的整個(gè)自動(dòng)化系統進(jìn)行通信，必須在一定的時(shí)間周期內進(jìn)行評估，例如，按照一系列步驟順序關(guān)斷整個(gè)應用。

　　驗證和認證規劃

　　驗證規劃的開(kāi)發(fā)包括受控失敗插入方法，以測試系統，進(jìn)行其他的監控，觀(guān)察系統，對比當前參數和預先確定的參數，以及允許值。

　　組件選擇，組件，IP和工具資格

　　典型的工程都有組件選擇步驟，但是設計人員應確保組件和IP功能適合安全應用。重要的是考慮殘留錯誤概率，這是計算產(chǎn)品全部失敗概率(FIT)以及最終SIL的基礎?？梢酝ㄟ^(guò)收集廣泛應用的產(chǎn)品的器件和設計工具數據來(lái)實(shí)現這一點(diǎn)，這樣，不會(huì )出現系統錯誤，能夠可靠使用(例如，對于IP)，還可以通過(guò)使用處理器或者FPGA等半導體產(chǎn)品錯誤概率報告以及可靠性信息來(lái)實(shí)現它。

　　應用設計實(shí)現

　　通信協(xié)議、FPGA的存儲器接口IP、或者嵌入在FPGA中的Altera Nios® II嵌入式處理器IP等復雜系統功能，通常用于運行驅動(dòng)應用中工業(yè)以太網(wǎng)協(xié)議的軟件堆棧，這些都需要進(jìn)行安全應用分析、測試和認證。

　　功能/診斷功能

　　除了實(shí)現應用程序，還必須在設計中加入某些功能。這些設計需要采用時(shí)鐘和電源等基本參數監視功能以及數據監視等復雜功能，觀(guān)察脈沖寬度調制(PWM)的輸出，從而保證系統正常工作。他們還需要能夠自動(dòng)發(fā)現錯誤的功能，使系統進(jìn)入安全狀態(tài)?；竟δ馨ūＷC存儲器內容不會(huì )由于外部影響設計而發(fā)生改變，監視系統時(shí)鐘以保證在設定的系統參數范圍內驅動(dòng)設計(或者由于外部組件的失效導致出現錯誤)，電源正常工作。

　　集成和測試

　　將每一組件集成到安全驅動(dòng)方案中，進(jìn)行測試，實(shí)現預期的系統功能，提供設定好的安全功能。通過(guò)安全驗證，保證所需的安全特性能夠在工作期間發(fā)揮作用，例如，確保外部因素對設計的安全功能沒(méi)有不利影響，偶然的禁用不會(huì )影響系統。

　　安全驗證、認證和發(fā)布

　　在整個(gè)過(guò)程中，要求與評估人員密切合作，以保證在開(kāi)發(fā)過(guò)程中所進(jìn)行的評估是合理的，提供合適的安全功能。最后，評估人員對產(chǎn)品的安全功能進(jìn)行認證，可以向市場(chǎng)推出該產(chǎn)品。

　　增加預認證安全功能

　　Altera等半導體供應商提供某些步驟幫助實(shí)現這一過(guò)程，減少了在安全應用開(kāi)發(fā)上的投入。例如，立即使用經(jīng)過(guò)功能安全預認證的半導體數據、IP、開(kāi)發(fā)流程和設計工具等，大幅度縮短整個(gè)產(chǎn)品開(kāi)發(fā)過(guò)程，如圖4所示?！　?/p>

 

　　Altera投入了近兩年的時(shí)間來(lái)實(shí)現產(chǎn)品認證。Altera的SIL 3 (SIL3)功能安全數據包包括評估機構TÜ Rheinland對Altera工具、IP和器件數據的認證，縮短并簡(jiǎn)化了符合IEC 61508安全應用的開(kāi)發(fā)。經(jīng)過(guò)預認證的設計流程和工具，以及經(jīng)過(guò)預認證的嵌入式系統和診斷知識產(chǎn)權(IP)降低了安全非常重要的工業(yè)應用的認證風(fēng)險，例如，伺服和逆變驅動(dòng)器、安全I/O和PLC以及自動(dòng)控制器等。

　　對IP和設計工具以及器件可靠性數據的測試和應用數據進(jìn)行了總結和梳理，簡(jiǎn)化了功能安全驗證。公司采用TÜV Rheinland認可的設計方法(V-Flow)，以滿(mǎn)足FPGA設計的特殊需求。功能安全包包括所必須的診斷功能，將其設計為FPGA IP。功能安全包用戶(hù)受益于A(yíng)ltera在TÜV上的前期投入，在工程投入上能夠節省同樣的時(shí)間。