工業(yè)領域對電子設備安全性要求甚嚴，因此產品開發(fā)人員對嵌入式晶片的選擇須格外謹慎;采用已預先通過標準認證的嵌入式方案，不僅可降低系統(tǒng)設計復雜度、減少額外元件使用數(shù)量，更能確保最終產品的安全性，提高市場競爭力。

工業(yè)自動化、物流以及智慧電網等很多工業(yè)領域都要求機械設備和產品具有安全性，通過功能安全認證。當開發(fā)的機械設備必須符合全世界安全標準時，靈活性和逐漸增高的安全成本，是非常重要的決定因素。

在這些應用中，安全要求產生新的機械開發(fā)過程，增加電子設備的復雜度，一般會導致硬體成本的顯著增加，延長產品上市時間。工業(yè)單晶片系統(tǒng)能夠幫助工程師在獲得IEC 61508產品認證過程中節(jié)省十八個月的設計時間。具有現(xiàn)場可編程閘陣列(FPGA)等經過認證的元件，意味著設計人員可以充分發(fā)揮FPGA的靈活性優(yōu)勢，不用擔心這些元件能否用于安全應用。

安全設計擺第一　各類挑戰(zhàn)大又多

如果公司計劃將產品銷售到須要符合當?shù)匕踩?guī)章制度的國家，這些國家要求須有功能安全評估人員的認證，例如新的機械建造規(guī)范(2006/42/EG)，這是產品出口到歐洲必須滿足的要求，那么這些公司必須在整個設計過程中采用安全方法，這樣才能參與競爭。工廠操作人員須要對機械設備進行安全操作以提高效能，例如在部分機械設備還在運作時對設備進行維護，顯著縮短開機和停機的時間等。

當公司決定開發(fā)安全產品時，必須把安全作為核心系統(tǒng)功能。以往，都是透過備用控制器或通訊模組等其他功能，結合電路來監(jiān)視系統(tǒng)，在系統(tǒng)中增加安全功能。與從一開始就針對安全和成本競爭力進行最佳化的設計安全應用相比，這些置入的安全性零組件是事后才加入到系統(tǒng)概念中，明顯地提高成本，不夠靈活也無法更新。

成功設計安全應用的關鍵是采用經過驗證的設計方法，合格的工具和元件作為產品的一部分，從產品開發(fā)的一開始就考慮安全問題。

典型設計步驟　安全考量非重點

如果沒有想到安全問題，開發(fā)一個具體應用的五個典型設計步驟包括：架構開發(fā)、零組件選擇、應用設計實現(xiàn)、整合和測試、發(fā)布。

第一步是產品架構，如圖1所示。對于驅動器等典型的馬達控制應用，設計步驟把系統(tǒng)分成系統(tǒng)控制、通訊和即時馬達控制功能等部分。例如，對于系統(tǒng)的控制部分和即時部分，在架構上選擇用軟體實現(xiàn)，對于通訊部分確定使用硬體/軟體方法，以支援即時工業(yè)乙太網路通訊協(xié)定。

圖1 架構開發(fā)

下一步是選擇零組件(圖2)。做出決定后，具體實施時，控制軟體可能運行在標準應用處理器上，然后在數(shù)位訊號處理器(DSP)上實現(xiàn)即時馬達控制部分，而采用FPGA架構的方法實現(xiàn)系統(tǒng)中的通訊部分。采用FPGA，系統(tǒng)能夠在可以互換的相同元件中靈活地實現(xiàn)各種工業(yè)乙太網路標準，例如乙太網路/IP、EtherCat、PROFINET或SERCOS III等。利用靈活的通訊部分架構，可以訂制標準硬體平臺，很容易滿足最終使用者的特殊通訊協(xié)定需求。

圖2 零組件選擇

確定如何劃分并選擇元件后，設計團隊可以針對各自的應用展開開發(fā)工作。然后，將元件整合為一個完整的系統(tǒng)，測試系統(tǒng)功能，發(fā)布產品。

增加安全性　取得安全認證

如果按照產品要求，開發(fā)功能安全設計，則須增強其他的專案階段，如圖3左起第1、3、4、6、8、10、11方塊部分所示。

圖3 根據(jù)安全步驟而增加的設計步驟

設計安全應用的目的是獲得功能安全認證，例如IEC 61508等，因此導致專案越來越復雜。IEC 61508規(guī)范涵蓋從開發(fā)具體應用到產品退出市場的整個安全生命周期。按照安全標準的步驟和過程，則須要簡化與評估人員的通訊，以確保能夠清楚地理解安全目標、概念、過程和解決方案，滿足安全要求。以下是根據(jù)安全步驟而增加的設計步驟：

.專案啟動和風險分析

在專案啟動和風險分析階段，根據(jù)應用的一般要求來確定安全范圍。對于實施階段，確定并整理和記錄應用所需及能夠實現(xiàn)的安全完整性等級(SIL)，作為風險分析和評估的基礎。風險分析是以后測量的基礎，它表明對產品界限的理解，與產品范圍定義密切相關。它是所需SIL的基礎，詳細定義安全功能，以及產品文件建檔框架，這必須在元件層級和系統(tǒng)層級來完成。

.架構開發(fā)

然后，設計人員開發(fā)架構來滿足功能和安全要求。他們對安全要求進行改善，記錄在操作和維護階段實現(xiàn)的某些功能，確定驗證能否滿足安全要求而須要采取的策略。

.安全要求規(guī)范

對于安全驅動，專案范圍可能包括幾個方面，例如確定驅動參數(shù)是否在允許的范圍內，或者安全輸入輸出(I/O)訊號是否為關鍵事件等。驅動最基本的安全特性是安全關閉(STO)，以安全方式斷開馬達電源。此一過程還可能包括與出現(xiàn)安全事件的整個自動化系統(tǒng)進行通訊，必須在一定的時間周期內進行評估，例如按照一系列步驟順序關閉整個應用。

.驗證和認證規(guī)畫

驗證規(guī)畫的開發(fā)包括受控制的失敗介入方法，以測試系統(tǒng)，進行其他的監(jiān)控，觀察系統(tǒng)，對比當前參數(shù)和預先確定的參數(shù)，以及允許值。

.元件選擇及元件、IP和工具條件

典型的專案都有元件選擇步驟，但是設計人員應確保元件和IP功能適合安全應用。重要的是考慮殘留錯誤概率，這是計算產品全部失敗概率(FIT)以及最終SIL的基礎?？梢酝高^收集廣泛應用的產品的元件和設計工具資料來實現(xiàn)，就不會出現(xiàn)系統(tǒng)錯誤，能夠可靠使用(例如對于IP)，還可以透過使用處理器或FPGA等半導體產品錯誤概率報告，以及可靠性資訊來實現(xiàn)。

.應用設計實現(xiàn)

通訊協(xié)定、FPGA的記憶體介面IP、或者嵌入在FPGA中的嵌入式處理器IP等復雜系統(tǒng)功能，通常用于運行驅動應用中工業(yè)乙太網路通訊協(xié)定的軟體堆疊，這些都須要進行安全應用分析、測試和認證。

.安全/診斷功能

除了實現(xiàn)應用程式外，還必須在設計中加入某些功能。這些設計須要采用時鐘和電源等基本參數(shù)監(jiān)視功能，以及資料監(jiān)視等復雜功能，觀察脈沖寬度調變(PWM)的輸出，進而保證系統(tǒng)正常運作。此外，還需要能夠自動發(fā)現(xiàn)錯誤的功能，讓系統(tǒng)進入安全狀態(tài)?；竟δ馨ūＷC記憶體內容不會由于外部影響設計而發(fā)生改變、監(jiān)視系統(tǒng)時鐘以保證在設定的系統(tǒng)參數(shù)范圍內驅動設計(或是因為外部元件失效導致錯誤出現(xiàn))，以及電源正常運作。

.整合和測試

將每一個元件整合到安全驅動方案中，進行測試，實現(xiàn)預期的系統(tǒng)功能，提供設定好的安全功能。透過安全驗證，保證所需的安全特性能夠在運作期間發(fā)揮作用，例如，確保外部因素對設計的安全功能沒有不利影響，偶然的禁用不會影響系統(tǒng)。

.安全驗證、認證和發(fā)布

在整個過程中，要求與評估人員密切合作，以保證在開發(fā)過程中所進行的評估是合理的，提供合適的安全功能。最后，評估人員對產品的安全功能進行認證，可以向市場推出該產品。

增加預認證安全功能

Altera等半導體供應商提供某些步驟說明實現(xiàn)這一個過程，減少在安全應用開發(fā)上的投入。例如，立即使用經過功能安全預認證的半導體資料、IP、開發(fā)流程和設計工具等，大幅度縮短整個產品開發(fā)過程(圖4)。

圖4 具有預認證安全步驟的設計步驟

Altera投入近兩年的時間來實現(xiàn)產品認證，其SIL 3功能安全資料套件包括評估機構TV Rheinland對Altera工具、IP和元件資料的認證，縮短并簡化符合IEC 61508安全應用的開發(fā)。經過預先認證的設計流程和工具，以及經過預先認證的嵌入式系統(tǒng)和診斷矽智財(IP)，降低了對安全非常重視之工業(yè)應用的認證風險，例如伺服和變頻驅動器、安全I/O和可編程邏輯控制器(PLC)以及自動控制器等。

對IP和設計工具以及元件可靠性資料的測試和應用資料進行總結和整理，簡化了功能安全驗證。采用TV Rheinland認可的設計方法(V-Flow)，可滿足FPGA設計的特殊需求。功能安全套件包括所必須的診斷功能，將其設計為FPGA IP。功能安全套件用戶受益于Altera在TV上的前期投入，在專案投入上能夠節(jié)省同樣的時間。

安全驅動實例示范

具有安全I/O的此一驅動實例采用Altera認證過的FPGA設計工具Quartus II軟體9.0 SP2，以及所建議的設計方法實現(xiàn)這一個應用實例。此外，如圖5所示，這個應用使用兩顆FPGA，而沒有采用外部處理器和DSP。該應用被劃分成幾個Nios II軟式處理器核心。第一個Nios II軟式核心處理器提供通訊堆疊支援，第二個處理系統(tǒng)控制，第三個Nios II處理器整合在馬達控制模組內。對馬達控制演算法進行劃分，其軟體部分運行在Nios II處理器上，針對這個應用而專門開發(fā)的硬體模組加速馬達控制回路的實現(xiàn)。外部安全控制器提供SIL3應用所需要的備用功能。

圖5 安全驅動的兩顆FPGA實現(xiàn)

此一解決方案在一顆FPGA中結合安全控制器和現(xiàn)場匯流排控制器，使用Altera的SOPC Builder系統(tǒng)整合工具，整合Nios II軟式核心處理器、其他通訊IP模組，以及編碼器介面和記憶體介面。

診斷晶片驅動安全性

對于FPGA中關鍵而又常用診斷任務的底層監(jiān)視功能，這個實例使用Altera的安全認證診斷IP模組。這些診斷IP設計滿足IEC 61508規(guī)范要求，完成以下常用診斷功能：

.循環(huán)校驗碼(CRC)運算

應用在許多系統(tǒng)內，特別適用于現(xiàn)場匯流排應用。

.提取時鐘檢查

這個核心檢查是否有系統(tǒng)時鐘及時鐘頻率。

.SEU檢查控制器

此模組采用元件中的內置軟式錯誤檢查硬體，監(jiān)視軟式錯誤導致的變化。

由于這些硬式核心IP是在FPGA邏輯區(qū)中實現(xiàn)，因此系統(tǒng)處理器不再承擔這些任務。在認證方法方面，Altera采用IEC規(guī)范來分析FPGA設計方法和相關要求。從這個分析中，形成工具流程文件檔。此工具流程的中心主題是對Altera開發(fā)的FPGA V-Flow的描述(圖6)。

V-Flow及其相關文件檔將Altera FPGA安全應用設計的所有步驟映射到IEC規(guī)范上，滿足其要求。此外，它解釋哪些設計步驟采用哪些Altera工具。其涉及到IEC規(guī)范中的某些章節(jié)，以指導使用者依照合適的開發(fā)步驟來開發(fā)安全應用。

這包括評估人員所需要的認證文件檔和資料，以提供完全符合IEC 61508規(guī)范的格式，因此評估人員很容易處理它們。以正確的格式提供這些文件檔，可節(jié)省安全專案大量的文件檔工作。在所包括的可靠性報告中，Altera對FPGA可靠性統(tǒng)計資訊進行大量分析，包括所需的全部資訊來計算FIT率。

透過重新使用符合預認證兩顆晶片方法的驅動系統(tǒng)概念，按照經過認證的設計方法、設計流程、工具和IP，通常能夠加速實現(xiàn)典型的應用開發(fā)過程。由于能夠立即使用元件的可靠性資料，提供的格式很容易整合到安全認證的所有文件檔內，因此加速實現(xiàn)認證過程。在安全設計和系統(tǒng)設計中，設計人員可以充分利用靈活的FPGA設計整合功能。由于安全已經成為具體應用的關鍵需求之一，因此它包含在整個概念中，透過滿足成本和產品及時上市目標來實現(xiàn)。