在北美和歐洲，UL 或 CE 標(biāo)志是大多數(shù)家庭熟悉的景象。鮮為人知的是這些標(biāo)志所代表的含義，以及制造商必須遵循的嚴(yán)格流程才能獲得這些標(biāo)志的資格。這些嚴(yán)格流程背后的一個(gè)關(guān)鍵動(dòng)機(jī)是安全性，它適用于設(shè)備和機(jī)械，從手持電動(dòng)工具、電梯、鐵路系統(tǒng)和工廠車間的機(jī)器人到核能、石油和天然氣設(shè)施。安全在后一組中至關(guān)重要，但人們?nèi)粘Ｊ褂玫脑O(shè)備也受到了類似的關(guān)注和關(guān)注。

業(yè)界所謂的“功能安全”背后的目標(biāo)是限制對(duì)操作或使用設(shè)備和機(jī)械的人員造成身體傷害或健康影響的風(fēng)險(xiǎn)。設(shè)備不僅必須正確運(yùn)行以響應(yīng)輸入，而且還必須安全地管理任何操作員錯(cuò)誤、硬件故障或環(huán)境變化。雖然功能安全涵蓋端到端系統(tǒng)，但控制子系統(tǒng)側(cè)重于傳感器、可編程邏輯控制功能和驅(qū)動(dòng)子系統(tǒng)。以下內(nèi)容涵蓋了對(duì)控制子系統(tǒng)架構(gòu)的功能安全影響，以及 QorIQ 多核處理解決方案如何通過提高機(jī)器生產(chǎn)力來更有效地滿足安全要求。

讓機(jī)器安全

涵蓋功能安全的標(biāo)準(zhǔn)由每個(gè)國(guó)家的管理機(jī)構(gòu)指定。對(duì)于歐盟國(guó)家，基準(zhǔn)是 IEC 61508。在北美，執(zhí)行 ISO 13849 規(guī)范。獲得認(rèn)證的過程涉及確定所需的安全功能、潛在危險(xiǎn)和所需的任何降低風(fēng)險(xiǎn)的許多步驟。這有助于確定 ICE 61508 所需的安全完整性等級(jí) （SIL） 或 ISO 13849 的性能等級(jí) （PL）。該過程中的其他關(guān)鍵因素包括硬件容錯(cuò) （HFT） 或故障設(shè)備的數(shù)量可以容忍，以及安全故障分?jǐn)?shù) （SFF），它是系統(tǒng)在安全狀態(tài)下發(fā)生故障的概率。這些方面的責(zé)任在于具有適當(dāng)技能的工程師，他們喜歡標(biāo)準(zhǔn)，

HFT 和 SFF 很重要，因?yàn)樗鼈兪亲酉到y(tǒng)冗余和診斷能力的量度。HFT 取決于系統(tǒng)中使用的冗余量和投票策略。SFF 是衡量?jī)?nèi)置診斷的故障安全設(shè)計(jì)和質(zhì)量的指標(biāo)。

圖 1 顯示了具有兩種投票架構(gòu)和診斷功能之一的雙冗余系統(tǒng)（2 個(gè)中的 1 個(gè)帶有診斷功能，或 1oo2D）。1oo2D 意味著兩個(gè)通道將處理相同的輸入并請(qǐng)求某個(gè)動(dòng)作。投票者將比較來自兩個(gè)通道的請(qǐng)求，但僅使用來自具有良好診斷的通道的數(shù)據(jù)。此實(shí)現(xiàn)還提供了對(duì) 1oo1D 的冗余回退。

圖 1：確保系統(tǒng)安全需要額外/重復(fù)的硬件資源。這里展示的是雙冗余系統(tǒng)的 1oo2D 架構(gòu)。1oo2D 架構(gòu)允許投票者從兩個(gè)診斷通道中的任何一個(gè)中比較和選擇最佳輸入數(shù)據(jù)。

診斷將報(bào)告軟件或隨機(jī)故障、不正確的操作員輸入或由環(huán)境影響引起的常見故障（由 EMC、振動(dòng)、溫度或壓力變化引起的內(nèi)存或數(shù)據(jù)總線損壞）。在 QorIQ 多核處理器的情況下，可以在使用本地高速緩存/內(nèi)存的內(nèi)核上實(shí)現(xiàn)通道。此處將使用的基本硬件功能是糾錯(cuò)碼 （ECC） 和內(nèi)存奇偶校驗(yàn)。確保系統(tǒng)安全需要額外的處理性能來提供實(shí)時(shí)計(jì)算和診斷。復(fù)制硬件資源提供了必要的冗余，以增加系統(tǒng)在發(fā)生故障時(shí)達(dá)到安全狀態(tài)的可能性。

冗余和實(shí)時(shí)診斷

這就是設(shè)備或機(jī)器制造商面臨的挑戰(zhàn)：添加冗余對(duì)硬件成本有直接影響，因?yàn)樗鼈鹘y(tǒng)上涉及復(fù)制控制器模塊或處理器組件。這導(dǎo)致兩個(gè)問題：

可以在不復(fù)制硬件的情況下提供功能安全嗎？

更智能、更集成的診斷能否同時(shí)幫助管理功能安全和生產(chǎn)力？

為了更詳細(xì)地說明第二個(gè)問題，請(qǐng)考慮裝配線上的機(jī)器人。機(jī)器人由光幕保護(hù)。

2a和2b之間有明顯的區(qū)別。第一個(gè)說明了操作員有受傷風(fēng)險(xiǎn)并且機(jī)器人應(yīng)該斷電或停止的事件。在第二個(gè)插圖中，情況并非如此，也許放慢機(jī)器人的速度就足夠了。一個(gè)可以區(qū)分的系統(tǒng)將提高生產(chǎn)力，因?yàn)樗梢员３职踩部梢员３稚a(chǎn)線的運(yùn)轉(zhuǎn)。在這種情況下，可以使用額外的光幕來指定“緩沖區(qū)”和“操作”區(qū)域，或者基于視覺的系統(tǒng)可能是答案。在這兩種情況下，控制器現(xiàn)在都需要考慮額外的傳感器輸入以及必須實(shí)時(shí)執(zhí)行的額外處理。

考慮 QorIQ 多核處理器

這兩個(gè)問題的部分解決方案在于 QorIQ 多核處理器，這是一系列處理平臺(tái)，從單核、雙核和四核到多核，均基于集成雙精度浮點(diǎn)的 32 位或 64 位 Power Architecture 內(nèi)核觀點(diǎn)。圖 3（第 16 頁(yè)）顯示了可編程控制和安全功能如何在單個(gè) QorIQ 多核處理器上共存。不同的功能可以使用共享或?qū)Ｓ没ミB、內(nèi)存和 I/O 資源在此架構(gòu)上運(yùn)行。硬件強(qiáng)制允許不同的功能在不受其他內(nèi)核或外部主機(jī)上的其他功能干擾的情況下運(yùn)行。

圖 3： QorIQ 多核平臺(tái)上的硬件實(shí)施允許可編程控制功能和安全功能存在于同一處理器上而不會(huì)受到干擾。注意：共享內(nèi)存和排隊(duì)系統(tǒng)也可通過 PCIe 和 sRIO 供外部實(shí)體使用。

安全應(yīng)用中的主要元素是通道。在這里，實(shí)現(xiàn)通道的硬件需要提供某種形式的隔離。在 QorIQ 多核處理器中，通道將由在設(shè)備上物理實(shí)例化的核心復(fù)合體構(gòu)建。核心復(fù)合體有兩層緩存（第 1 層（I/D 緩存）和第 2 層（L2 緩存）），以不同的模式使用允許本地存儲(chǔ)。這與單個(gè)內(nèi)核的內(nèi)存管理單元 （MMU）、硬件管理程序和虛擬化支持以及外圍訪問管理單元 （PAMU） 相結(jié)合，確保賦予軟件任務(wù)的權(quán)限對(duì)硬件可見，從而允許強(qiáng)制執(zhí)行隔離。

硬件管理程序和虛擬化支持隔離邏輯容器

PAMU 在處理器中隔離智能外圍設(shè)備，如以太網(wǎng)控制器、加密加速和其他設(shè)備。這有效地允許將 QorIQ 多核處理器視為一組具有自己智能 I/O 和內(nèi)存的獨(dú)立 CPU。

與任何 CPU 一樣，內(nèi)核會(huì)收到內(nèi)核復(fù)合體中硬件檢測(cè)到的異常通知；例如，核心定時(shí)器或看門狗定時(shí)器中的單個(gè)或多個(gè) ECC 錯(cuò)誤。內(nèi)核還可以了解內(nèi)核復(fù)合體之外的設(shè)備異常，例如內(nèi)部和外部存儲(chǔ)器的 ECC 錯(cuò)誤或存儲(chǔ)器違規(guī)。對(duì)設(shè)備的所有外部存儲(chǔ)器映射訪問也受到 PAMU 的監(jiān)控，這將阻止和標(biāo)記未經(jīng)授權(quán)的訪問嘗試。異常可以路由到設(shè)備中的任意數(shù)量的內(nèi)核，并且可以在外部進(jìn)行標(biāo)記。因此，使用核心復(fù)合體的通道可能會(huì)將與其相關(guān)的異常路由到其自身和/或另一個(gè)內(nèi)部監(jiān)視器（另一個(gè)核心），或外部監(jiān)視器，例如 PCI Express （PCIe） 或串行 RapidIO 塊上的主控。

除了檢測(cè)上述標(biāo)準(zhǔn)硬件錯(cuò)誤的設(shè)備外，QorIQ 信任架構(gòu)還提供了從通電開始建立安全可信節(jié)點(diǎn)的能力，也稱為加密啟動(dòng)。這使硬件能夠驗(yàn)證設(shè)備上任何地方的內(nèi)存代碼或靜態(tài)數(shù)據(jù)塊，以便在設(shè)備的正常運(yùn)行時(shí)間期間進(jìn)行更改，從而創(chuàng)建一種硬件方法來補(bǔ)充通常在軟件中運(yùn)行的診斷例程之一。

內(nèi)部處理器通信支持集成診斷

在安全應(yīng)用中，通道之間的通信很可能通過黑色通道實(shí)現(xiàn)，在多核平臺(tái)的情況下，黑色通道位于處理器內(nèi)部。為了幫助 QorIQ 多核處理器內(nèi)部的通信，內(nèi)核之間存在三個(gè)獨(dú)立的通信路徑：

受 MMU/PAMU 保護(hù)的共享內(nèi)存

將各個(gè)物理端口鏈接到每個(gè)核心復(fù)合體的硬件排隊(duì)系統(tǒng)

內(nèi)核間消息寄存器*

這種多核方法與離散解決方案相比具有許多優(yōu)勢(shì)，允許多個(gè)安全通道和組件或模塊的整合。該集成提高了診斷能力，進(jìn)而支持更好的機(jī)器可用性和生產(chǎn)力。

審核編輯：郭婷