使用QorIQ多核處理器管理機器安全和生產力

在北美和歐洲，UL 或 CE 標志是大多數(shù)家庭熟悉的景象。鮮為人知的是這些標志所代表的含義，以及制造商必須遵循的嚴格流程才能獲得這些標志的資格。這些嚴格流程背后的一個關鍵動機是安全性，它適用于設備和機械，從手持電動工具、電梯、鐵路系統(tǒng)和工廠車間的機器人到核能、石油和天然氣設施。安全在后一組中至關重要，但人們日常使用的設備也受到了類似的關注和關注。

業(yè)界所謂的“功能安全”背后的目標是限制對操作或使用設備和機械的人員造成身體傷害或健康影響的風險。設備不僅必須正確運行以響應輸入，而且還必須安全地管理任何操作員錯誤、硬件故障或環(huán)境變化。雖然功能安全涵蓋端到端系統(tǒng)，但控制子系統(tǒng)側重于傳感器、可編程邏輯控制功能和驅動子系統(tǒng)。以下內容涵蓋了對控制子系統(tǒng)架構的功能安全影響，以及 QorIQ 多核處理解決方案如何通過提高機器生產力來更有效地滿足安全要求。

讓機器安全

涵蓋功能安全的標準由每個國家的管理機構指定。對于歐盟國家，基準是 IEC 61508。在北美，執(zhí)行 ISO 13849 規(guī)范。獲得認證的過程涉及確定所需的安全功能、潛在危險和所需的任何降低風險的許多步驟。這有助于確定 ICE 61508 所需的安全完整性等級 （SIL） 或 ISO 13849 的性能等級 （PL）。該過程中的其他關鍵因素包括硬件容錯 （HFT） 或故障設備的數(shù)量可以容忍，以及安全故障分數(shù) （SFF），它是系統(tǒng)在安全狀態(tài)下發(fā)生故障的概率。這些方面的責任在于具有適當技能的工程師，他們喜歡標準，

HFT 和 SFF 很重要，因為它們是子系統(tǒng)冗余和診斷能力的量度。HFT 取決于系統(tǒng)中使用的冗余量和投票策略。SFF 是衡量內置診斷的故障安全設計和質量的指標。

圖 1 顯示了具有兩種投票架構和診斷功能之一的雙冗余系統(tǒng)（2 個中的 1 個帶有診斷功能，或 1oo2D）。1oo2D 意味著兩個通道將處理相同的輸入并請求某個動作。投票者將比較來自兩個通道的請求，但僅使用來自具有良好診斷的通道的數(shù)據(jù)。此實現(xiàn)還提供了對 1oo1D 的冗余回退。

圖 1：確保系統(tǒng)安全需要額外/重復的硬件資源。這里展示的是雙冗余系統(tǒng)的 1oo2D 架構。1oo2D 架構允許投票者從兩個診斷通道中的任何一個中比較和選擇最佳輸入數(shù)據(jù)。

診斷將報告軟件或隨機故障、不正確的操作員輸入或由環(huán)境影響引起的常見故障（由 EMC、振動、溫度或壓力變化引起的內存或數(shù)據(jù)總線損壞）。在 QorIQ 多核處理器的情況下，可以在使用本地高速緩存/內存的內核上實現(xiàn)通道。此處將使用的基本硬件功能是糾錯碼 （ECC） 和內存奇偶校驗。確保系統(tǒng)安全需要額外的處理性能來提供實時計算和診斷。復制硬件資源提供了必要的冗余，以增加系統(tǒng)在發(fā)生故障時達到安全狀態(tài)的可能性。

冗余和實時診斷

這就是設備或機器制造商面臨的挑戰(zhàn)：添加冗余對硬件成本有直接影響，因為它傳統(tǒng)上涉及復制控制器模塊或處理器組件。這導致兩個問題：

可以在不復制硬件的情況下提供功能安全嗎？

更智能、更集成的診斷能否同時幫助管理功能安全和生產力？

為了更詳細地說明第二個問題，請考慮裝配線上的機器人。機器人由光幕保護。

2a和2b之間有明顯的區(qū)別。第一個說明了操作員有受傷風險并且機器人應該斷電或停止的事件。在第二個插圖中，情況并非如此，也許放慢機器人的速度就足夠了。一個可以區(qū)分的系統(tǒng)將提高生產力，因為它可以保持安全，也可以保持生產線的運轉。在這種情況下，可以使用額外的光幕來指定“緩沖區(qū)”和“操作”區(qū)域，或者基于視覺的系統(tǒng)可能是答案。在這兩種情況下，控制器現(xiàn)在都需要考慮額外的傳感器輸入以及必須實時執(zhí)行的額外處理。

考慮 QorIQ 多核處理器

這兩個問題的部分解決方案在于 QorIQ 多核處理器，這是一系列處理平臺，從單核、雙核和四核到多核，均基于集成雙精度浮點的 32 位或 64 位 Power Architecture 內核觀點。圖 3（第 16 頁）顯示了可編程控制和安全功能如何在單個 QorIQ 多核處理器上共存。不同的功能可以使用共享或專用互連、內存和 I/O 資源在此架構上運行。硬件強制允許不同的功能在不受其他內核或外部主機上的其他功能干擾的情況下運行。

圖 3： QorIQ 多核平臺上的硬件實施允許可編程控制功能和安全功能存在于同一處理器上而不會受到干擾。注意：共享內存和排隊系統(tǒng)也可通過 PCIe 和 sRIO 供外部實體使用。

安全應用中的主要元素是通道。在這里，實現(xiàn)通道的硬件需要提供某種形式的隔離。在 QorIQ 多核處理器中，通道將由在設備上物理實例化的核心復合體構建。核心復合體有兩層緩存（第 1 層（I/D 緩存）和第 2 層（L2 緩存）），以不同的模式使用允許本地存儲。這與單個內核的內存管理單元 （MMU）、硬件管理程序和虛擬化支持以及外圍訪問管理單元 （PAMU） 相結合，確保賦予軟件任務的權限對硬件可見，從而允許強制執(zhí)行隔離。

硬件管理程序和虛擬化支持隔離邏輯容器

PAMU 在處理器中隔離智能外圍設備，如以太網控制器、加密加速和其他設備。這有效地允許將 QorIQ 多核處理器視為一組具有自己智能 I/O 和內存的獨立 CPU。

與任何 CPU 一樣，內核會收到內核復合體中硬件檢測到的異常通知；例如，核心定時器或看門狗定時器中的單個或多個 ECC 錯誤。內核還可以了解內核復合體之外的設備異常，例如內部和外部存儲器的 ECC 錯誤或存儲器違規(guī)。對設備的所有外部存儲器映射訪問也受到 PAMU 的監(jiān)控，這將阻止和標記未經授權的訪問嘗試。異?？梢月酚傻皆O備中的任意數(shù)量的內核，并且可以在外部進行標記。因此，使用核心復合體的通道可能會將與其相關的異常路由到其自身和/或另一個內部監(jiān)視器（另一個核心），或外部監(jiān)視器，例如 PCI Express （PCIe） 或串行 RapidIO 塊上的主控。

除了檢測上述標準硬件錯誤的設備外，QorIQ 信任架構還提供了從通電開始建立安全可信節(jié)點的能力，也稱為加密啟動。這使硬件能夠驗證設備上任何地方的內存代碼或靜態(tài)數(shù)據(jù)塊，以便在設備的正常運行時間期間進行更改，從而創(chuàng)建一種硬件方法來補充通常在軟件中運行的診斷例程之一。

內部處理器通信支持集成診斷

在安全應用中，通道之間的通信很可能通過黑色通道實現(xiàn)，在多核平臺的情況下，黑色通道位于處理器內部。為了幫助 QorIQ 多核處理器內部的通信，內核之間存在三個獨立的通信路徑：

受 MMU/PAMU 保護的共享內存

將各個物理端口鏈接到每個核心復合體的硬件排隊系統(tǒng)

內核間消息寄存器*

這種多核方法與離散解決方案相比具有許多優(yōu)勢，允許多個安全通道和組件或模塊的整合。該集成提高了診斷能力，進而支持更好的機器可用性和生產力。

審核編輯：郭婷