ИСПОЛЬЗОВАНИЕ ПРОГРАММИРУЕМЫХ ЛОГИЧЕСКИХ ИНТЕГРАЛЬНЫХ СХЕМ В РАЗРАБОТКЕ ОТКАЗОУСТОЙЧИВЫХ СИСТЕМ

По мере роста количества промышленного оборудования, контролируемого электроникой, растет и вероятность отказа оборудования, и возможность причинения вреда здоровью и имуществу. В оборудование, для предотвращения функционального сбоя, встраиваются системы безопасности, которые обеспечивают в случае сбоя системы его отключение и оповещение обслуживающего персонала о неисправностях. Примерами данных систем в промышленном оборудовании представляют собой датчики загазованности воздуха в окружающей среде, роботы-помощники сборочного конвейера, защита от утечки топлива в котельных установках и т.д. Данные системы часто включают в себя программируемые логические интегральные схемы (далее ПЛИС), которые играют ключевую роль в оценке безопасности. Так ПЛИС анализируют получаемую информацию о состоянии оборудования или среды для расчета возможных сбоев. Эти устройства невосприимчивы к одиночным сбоям и позволяют разработчикам систем безопасности значительно упростить свои конструкции.

Озабоченность по поводу функциональной безопасности породила создание новых стандартов и правил. В 1998 году Международная электротехническая комиссия (МЭК) представила документ 61508 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью», устанавливающий международный стандарт функциональной безопасности промышленного оборудования. Хотя и невозможно производить электронное оборудование, которое никогда не выходит из строя, можно предпринять шаги для уменьшения вероятности отказа. Идея стандарта безопасности заключается в снижении возможного сбоя в системе до приемлемого уровня. Для этого стандарты функциональной безопасности устанавливают требования к проектированию, процессам и методам, а также мерам по разработке управляемого оборудования (EUC) и их систем управления. Чтобы соответствовать стандарту МЭК 61508, функциональные системы безопасности не должны превышать норм отказов, установленных стандартом для уровня безопасности (SIL) системы.

Хотя компания может заявить, что ее продукт соответствует требованиям МЭК 61508, многие клиенты требуют сертификации нейтральной третьей стороной, такой как немецкая TÜV Rheinland Group. Сегодня TÜV пользуется самой высокой репутацией в сертификации устройств МЭК 61508 и средств разработки программного обеспечения. Эта группа сертификации обеспечивает высочайшее принятие устройств машиностроителем и владельцами заводов по всему миру.

Существует много общего между процессами проектирования специализированных интегральных схем (СИС) и программного обеспечения. При разработке программного обеспечения, связанного с безопасностью, для предотвращения и управления систематическими отказами МЭК 61508 рекомендует использовать V-модель (рис. 1), которая требует, чтобы процесс проектирования был хорошо структурирован, а программное обеспечение обладало модульной структурой.

Рисунок 1. Структура жизненного цикла разработки СИС (V-модель)

Одной или несколькими составляющих в функциональной системе безопасности может быть ПЛИС, которая также должна следовать V-модели разработки. Одним из примеров является V-модель ПЛИС Microsemi, которая квалифицируется TÜV Rheinland как отвечающая требованиям жизненного цикла разработки МЭК 61508.

Однако для обеспечения безопасности системы ПО само по себе не может гарантировать безопасность, поскольку его правильное выполнение зависит от аппаратного обеспечения системы. Много факторов которые влияют на правильную деятельность системы включая интенсивность отказов, использование, продукцию и программировать. Требования к функциональной безопасности системы охватывают все аспекты компонентов, включая программное и аппаратное обеспечение, которые имеют высокую целостность, механизмы самотестирования и отказоустойчивое состояние. В конце концов, дизайнеры достигнут среднего уровня вероятности отказа для объекта разработки, который классифицируется по его SIL. Наиболее распространенным для промышленных разработок является SIL3, который определяет один сбой как минимум за 11 тысяч лет. Инженеры, а также программисты проверяют целостность системы, организуют самотестирование системы и определют отказоустойчивые состояния, соответствующие уровню SIL.

Чтобы оценить целостность системы, проектировщики должны учитывать несколько факторов, таких как сбои во времени, отказ элементной базы, примером которого может быть неисправность системы питания. Чтобы помочь проектировщикам в расчете этих факторов, многие производители ПЛИС указывают время работы на отказ. Эти расчеты основаны на фактических часах работы, используемых им ПЛИС. Кроме того, некоторые программные компоненты также обеспечивают проверенные в использовании расчеты.

Одной из областей, в которых основанные на флэш-памяти ПЛИС имеют основное преимущество перед SRAM-ПЛИС, является их память конфигурации, защищенная от одиночных сбоев (далее SEU). Только ПЛИС, предлагающие флэш-конфигурацию логических элементов (LE), будут защищены. ПЛИС, которые имеют флеш-память и загружают в SRAM при включении, будут по-прежнему иметь эффекты SEU. На рисунке 2 сравниваются частоты отказов FPGA на основе SRAM с альтернативами на основе флэш-памяти, которые позволяют разработчикам систем снизить частоту отказов, поскольку SEU для этих устройств равен нулю.

Рисунок 2. Сравнение ПЛИС с различными видами памяти

Тесты должны быть реализованы в системе для обнаружения систематических или случайных сбоев. Как правило, каждый компонент анализируется, чтобы увидеть, насколько отказ элемента влияет на его поведение. Это самотестирование обеспечивает вероятность обнаружения сбоя. Тесты памяти проверяются на наличие потенциальных точек отказа, таких как отказавшие ячейки памяти (статические сбои) и битовые перевороты (стохастические сбои). Система должна реализовать правильную стратегию испытаний, а также соответствующие реактивные меры в этой концепции безопасности.

Все ПЛИС могут иметь перевороты регистра, но для устройств на базе SRAM данные явления встречаются чаще. Их склонная к SEU структура может вызывать сбои маршрутизации или логические ошибки, что требует от разработчиков реализации проектов на основе тройной модульной избыточности (TMR). Чувствительная к безопасности логика требует тройного дублирования с логикой большинством контактов на выходах. При использовании ПЛИС на основе флэш-памяти эта логика TMR часто не требуется из-за иммунной структуры SEU. Реализация TMR в SRAM ПЛИС увеличивает логику, используемую для проекта, а также энергопотребление, так как для работы в проекте требуется дополнительная логика.

Рисунок 3. Пример схемы TMR

В случае сбоя или повреждения данных, связанных с безопасностью, система должна перейти в безопасное состояние. Проще всего определить безопасное состояние как выключение питания, но для многих систем время простоя не допускается. Если источник питания отключен? вероятно, это повлияет на SRAM ПЛИС. Часто это требует полного перезапуска системы. Здесь снова flash-ПЛИС имеет преимущество своей энергонезависимой конфигурации и мгновенное включение. Эта возможность может позволить системе быстрее реагировать на сбой и потенциально может позволить системе поддерживать более медленное безопасное состояние вместо полного отключения питания. Мгновенное включение ПЛИС на основе flash также может позволить поддерживать более низкие режимы питания. Система может работать в режиме ожидания с меньшим энергопотреблением, и при необходимости ПЛИС возможно быстро включить и инициализировать систему для полной работы.

Разработка функциональных систем безопасности требует особого внимания к деталям и поэтапному проектированию. С flash-ПЛИС, которые сертифицированы на МЭК 61508, инженеры могут полагаться на эту технологию и поддержку программного обеспечения для оптимизации оценок безопасности. Невосприимчивость к SEU и возможность исключить потребность в логике TMR, flash-ПЛИС убедительный выбор для значительного упрощения конструкций систем безопасности.

Список литературы:

1. Норенков И.П. Основы автоматического проектирования: Учеб. пособие для вузов. - М.: изд-во МГТУ, 2012. – 389 с.
2. Поляков А. К. Языки VHDL и VERILOG в проектировании цифровой аппаратуры. - М.: СОЛОН-Пресс, 2003. – 314 с.
3. Грушвицкий Р.И., Мурсаев А.X. Угрюмов Е.П. Проектирование систем на микросхемах программируемой логики. 2-е изд., перераб. и доп. – СПб.: БХВ-Петербург, 2006. – 800 с.