嵌入式视觉 (EV) 体系的广泛运用现已是无所不在,高档驾驶员辅佐体系 (ADAS)、机器视觉、医疗成像、增强实际以及很多其他运用等等, 都离不开一个搞笑的嵌入式体系渠道。
但是, 选用 EV 体系尽管能给终究运用带来显着优势,但也要保证选用该体系后不会形成人身伤亡或财产损失,这对开发人员来说义无反顾。要做到这点,不只要考虑规划的安全性,严厉遵从工程寿数周期和公认规范,还需求考虑 EV 体系的保密性,防止被歹意或其它办法修正。
EV 体系的终端运用是安全性和保密性需求强弱的驱动要素。例如,消费类运用关于安全性和保密性的要求,就比 ADAS 或机器视觉体系的要求低得多。
为在这些规划考虑要素和安全性与保密性要求方面帮忙咱们,职业拟定了多个闻名的国际规范(如 IEC61508),为很多要求功用安全性的电子体系保驾护航。别的,还有更多专用规范,例如用于轿车运用的 ISO26262、用于机器设备的 IEC62061 和用于飞翔运用的 DO178/DO254。此外,依据终究商场的状况,商业运用也要求 CE、UL 或 CSA 标识。这些规范中的每一项都有相应的开发和验证要求,需求落真实组织的工程规划和交给生命周期中以保证合规性。
而 EV 体系的中心是处理内核,该体系一般会选用一个 FPGA 或可编程的 SoC,以用于处理现在提出的一系列问题。
这些规范的实际意义是什么?
许多此类安全规范运用不同的称号界说安全等级,比方 IEC61508 的“安全完整性等级”(SIL)、DO254 的“规划保证等级”(DAL)和 ISO26262 的“轿车 SIL”(ASIL)。在 SIL、DAL 和 ASIL 内包含一系列不同等级,可依据运用的损害程度选用不同的安全等级。一般来说,这些等级是按失效时刻(小时数)界说的,正确的说法是“失效时刻(小时数)”。尽管这些不同的规范整体上保持一致,但也存在如下差异。
安全规范和不同等级
在展开规划剖析时,会演示怎么到达认证要求的等级。工程师习气运用时刻失效(FIT)率,即失效时刻(小时数)的倒数。在 SIL4 和 DAL A 安全等级下运行时,这要求选用正确架构的体系来完成这些要求。
体系考虑要素
安全体系的开发要求超卓的体系工程规划,一起在每个开发层级上合作清晰界说且可盯梢的要求。
如上所述,工程生命周期由终究运用和所需的成果认证一起决议。该生命周期将决议从 EV 体系的概念、出产到处置所采纳的整体工程办法。
在这个生命周期内,您可以界说工程评定门,以操控项目的发展。在这些评定中,由独立技能专家审阅需求、规划、技能陈述和测验成果,以保证规划成熟度足以支撑进入到下一阶段,或是需求进行进一步作业来到达所需的依据规范要求。
图 1:交给与工程生命周期示例
工程方案也要勾勒出每个层级的验证和承认流程,经过实行这一流程取得到达适用规范合规要求的依据。这或许要求在各种环境作业范围、动态振荡与冲击下测验 EV 体系。您乃至或许有必要让 EV 体系承受加快寿数测验,以保证可以到达体系的运用寿数。
当涉及到保密性时,您有必要考虑一系列方面的要素,即工程师在企图保证其规划安全性时面对的高层次问题。这些方面包含如下:
-竞争对手对规划进行逆向工程操作
-未经授权对规划的改动
-未经授权拜访规划中的数据
-未经授权操控或操控终究运用
有多种办法可供您处理一部分此类难题。您可以运用加密比特流,然后操控对规划和制作文件的拜访。或是您可以经过约束对终究产品 JTAG 端口的拜访,一起依据挑选的器材的架构采纳软件保密性办法,可以维护物理规划。
高质量规划
明显您需求依据终端运用运用考虑挑选什么样的组件和制作规范,以保证您契合运用的质量要求。在处理内核方面,您可以运用赛灵思 FPGA 和 SoC 器材,此类器材既契合规范商用质量规范的等级,也契合工业、轿车、航空航天与军用等更苛刻规范的等级。这样经过挑选正确的组件等级,工程师团队从一开端就进步质量。
别的,还有一系列规划技能可供您用于协助满意这些规范的严厉要求。为了力助保证您满意牢靠性要求(也即常称的成功概率),在必要时,您可以运用牢靠性工程技能为体系中的各项功用创立牢靠性方框图,并保证防止任何风险的失效形式和单点失效。在规划本身内,您可以进行失效形式影响与损害性剖析 (FMECA)。展开这一剖析的层级可视运用而定,可以从功用模块级直至组件级。FMECA 将考虑潜在毛病形式、后效和对体系的终究影响,它还将考虑毛病是否能被内置的自检和监控体系检测到。假如您要开发组件级的 FMECA,您就需求考虑规划中每个组件的部件应力剖析 (PSA),以保证组件在正确的降额条件下作业。您运用的降额水平将取决于挑选的常用规范。规范包含国防部 (Mil-STD 1547) 和欧洲太空总署(ESCC-Q-30-11A)。假如您不进行 PSA 剖析,就或许在过应力状况下运用器材,形成这些器材成为设备运用寿数的约束要素。依据 FMECA 的猜测,这些器材的失效或许导致也或许不会导致体系的损耗或功用衰减。
在剖析牢靠性的一起,您还能对体系进行要挟剖析,依据运用事例承认体系要挟以及对识别出的要挟或许采纳的缓解战略。
架构事例剖析
在硬件层面,您需求考虑体系功用以及您怎么完成功用安全性与保密性。尽管这可以从头开端完成,但更好的办法是挑选现已支撑这些功用的组件,例如赛灵思 Zynq® All Programmable SoC。
任何 EV 体系的中心都是图画处理流水线。这要求将高带宽处理才能与监督及操控功用相结合。相关于传统的处理器与 FPGA 组合,Zynq 全可编程 SoC 能让咱们具有严密集成的架构。
这种处理器和逻辑结构之间更严密的集成不只能带来更超卓的 SAWP-C 处理方案,由于处理器和逻辑结构之间的交互不对外露出,不给歹意拜访或其他拜访待机而动,然后供给更安全的体系。
在电子架构内部,您可运用 Zynq全可编程SoC 的嵌入式安全架构供给安全装备功用。在可编程体系 (PS) 和可编程逻辑 (PL) 中,您可运用三段法保证体系分区的安全性。三段法包含散列音讯认证代码 (HMAC)、高档加密规范 (AES) 解密和 RSA 认证。AES 和 HMAC 都运用 256 位私钥,而 RSA 运用 2,048 位密钥。Zynq 全可编程 SoC 的安全架构还答应启用或禁用 JTAG 拜访。
当您在为咱们的非易失性引导介质生成引导文件和装备分区时,这些安全特性是启用的。还可以界说一个回滚分区,这样假如开端的第一阶段引导加载程序加载其运用失利,就能回滚到存储在不同内存方位的该运用的另一个备份。
在您成功发动设备并开端运行时,咱们可以运用 ARM Trust Zone 架构完成正交环境,约束对 Zynq AP SoC 内的硬件功用的拜访,包含可编程逻辑 (PL) 外设在内。您还可以细分内存和 L2 缓存,保证安全环境和非安全环境间的交互受到约束。
Zynq AP SoC Secure Boot 和 Trust Zone 完成
假如要在 Zynq AP SoC 的可编程逻辑架构中完成图画处理流水线,您还可以运用 Trust Zone 供给对可编程逻辑架构中的 IP 核的安全或非安全拜访。这样您就可以使对图画处理链的要害方面进行安全拜访,防止产生对装备的无授权修正。
图画处理流水线可运用定制开发模块或来自 IP 库的模块完成。
部分安全性与保密性完成方案(例如 IEC61508)或许要求互相阻隔规划元,这或许是树立模块冗余,区别安全区域或测验功用的成果。经过运用阻隔规划流程 (IDF),您可以在已承认区域间强制施行物理阻隔。在运用 Vivado® Design Suite 时,支撑对 Zynq 器材展开这种操作。
用于安全要害型 FPGA 的 IDF 强制方针
假如您想在处理链或其他操控逻辑中完成大都表决,阻隔规划流程对您而言就十分有用。运用阻隔规划流程可保证冗余模块间的仅有互联是经过可信途径完成的。
在完成规划的时分,您还需求考虑一系列针对器材和东西的规划考虑要素。当然终端运用运用和您的整体工程办理方案将决议选用这些技巧的必要性。
-在内存上运用检错纠错 (EDAC) 码。必要时,该功用还可与擦除功用相结合,定时读取和纠正内存中的数据,不论运用是否正在拜访内存。
-在界说操控字时运用汉明(Hamming) 码的不同,增大指令字之间的汉明间隔,一起要求完成更多位,有助于进步规划的牢靠性。
-对要害指令运用 ARM 和 FIRE 办法,该办法要求动作要害型功用运用两个独自指令。
-在外部通讯接口上运用 EDAC 码
-综合性内建测验(BIT)功用能陈述体系的健康状况或其他状况Zynq XADC 是 BIT 体系功用十分强壮的一个组件,由于经过多路复用器引进外部信号,它可以完成对器材电压和温度的监测。
总结
对您的嵌入式视觉体系运用正确的功用安全工业规范是可以做到的,有适当数量的组件、东西和开发办法可供体系开发人员运用。
要保证咱们满意您的 EV 体系的认证要求,您需求从规划之初就开端正确判别适用规范,并生成工程办理方案,界说工程生命周期,用以搜集经过认证所需的依据。
