当系统正常运行时间具有最高优先级时,FPGA 被证明是极其可靠和通用的嵌入式组件。
安全关键系统不能失败,因为如果失败,后果可能是致命的。许多悲惨的事故说明了这一点,例如 2008 年在加利福尼亚州查茨沃斯发生的灾难性火车相撞事故,当时两辆迎面而来的火车在单轨铁路段上迎头相撞。最近的事件是亚利桑那州一辆自动驾驶优步汽车造成的致命事故。在这种情况下,技术故障意味着车辆在与行人相撞之前没有停下来。
Therac-25 放射装置于 1980 年代在美国和加拿大的几家诊所使用,是安全关键医疗系统出现故障时可能发生的情况的一个例子。该设备有一个软件引起的故障,导致几名患者受到极端甚至有时是致命的过量照射。即使是“日常”安全系统,例如工业电力和加工厂中的交通信号灯或控制系统,如果控制电子设备出现缺陷,也会造成巨大的损害。
对电子元件的高要求
为了保护人类生命并避免环境灾难,必须不惜一切代价避免安全关键系统故障。对所有使用的组件的要求特别高。根据应用的不同,此类系统还必须在恶劣的环境中工作,在某些情况下设计为冗余,并始终在定义的(确定的)时间段内做出响应,以确保对危险事件做出可靠的反应。为此,必须监控安全关键系统的功能,以便始终对偏差测量、不一致的数据或其负面影响做出适当的反应。如果最坏的情况发生,安全关键组件还必须确保系统始终在安全方面发生故障。
作为一项规则,市场上的大多数分立元件不支持所需的监控功能,但通常非常重要——例如,为了符合电子系统的某些安全标准。即使提供支持,长期项目也面临着长期可用性的挑战,以避免高额的改造后续成本。例如,这适用于铁路部门的安全解决方案,其中组件经常使用数十年。
该硬件问题的解决方案是在软件中映射安全关键功能。这种方法解决了过时问题,因为软件可以相对容易地迁移到新硬件。并不是万能的灵丹妙药。一方面,确定大量源代码的安全性非常复杂。确保确定性行为也不是一件容易的事,因为这需要对整体硬件/软件解决方案的实时能力进行全面测试。由于所有这些原因,安全关键系统的开发人员越来越多地转向现场可编程门阵列 (FPGA)。
FPGA 和功能安全
由于其功能设计,FPGA 非常适合安全关键要求。提供所有必要的功能,在安全关键型工业系统中作为电子元件有着着特别重要的作用。例如,利用 FPGA,即使符合相关的安全标准,也可以根据具体的行业特定要求定制安全功能。一个决定性的优势在于 FPGA 的灵活结构;由多个功能单元或 IP 构建块组成,可以组合以满足给定的要求,无需每次都从头开始开发解决方案。例如,此类 IP 构建块用于 MEN Mikro Elektronik K 卡(K1、K2 和 K7),以通过更多 K 卡有效扩展 menTCS 系列。
如果 FPGA 是较大单元(处理器板或带有计算机或扩展模块的载板)的一部分,则在 FPGA 内进行功能修改以满足特定应用需求或所需安全级别相对容易,而无需重新设计整个电路板。这种灵活性意味着单一的硬件解决方案可以适应的应用。
通过设计实现功能安全
FPGA 还可以在开发安全关键系统期间节省成本和时间。使用可用工具,系统板开发人员可以轻松测试 FPGA 的错误行为。例如,可以在 FPGA 开发环境中模拟更复杂的错误,然后修改系统,使其在发生错误时显示所需的行为。除了模拟错误行为之外,开发工具当然也可以用来证明 FPGA 设计的功能是否正确。为此,电路板供应商可以为 OEM 提供在其各个行业进行认证所需的参考材料和文档,从而使 OEM 更容易实施和认证解决方案。
监控功能和扩展温度范围
FPGA 的另一个优势是电路板制造商可以根据给定的要求集成对安全关键系统非常重要的控制和监视功能。虽然温度测量或组件监控功能是各种安全关键电子系统标准中的默认要求,但提供的功能并不总是相同的。例如,用于安全关键系统的 FPGA 系统板通常被批准在 –40°C 至 85°C 的温度范围内使用。但制造商 MEN Mikro Elektronik 还提供完整的认证解决方案,其中集成了 FPGA,适用于从 –55°C 到 125°C 的极宽温度范围。如果可以通过 FPGA 灵活调整所需的板卡监控逻辑,则可以减少板卡开发人员的工程工作量,
具有附加投票功能的冗余
恶劣环境中的环境影响,例如宇宙射线对飞机电子设备的影响,可能导致组合逻辑中称为单事件瞬变 (SET) 的毛刺以及从 0 到 1 的位翻转,反之亦然,称为单事件瞬变- 寄存器元件和存储单元中的事件翻转 (SEU),从而危及整个安全系统的功能。
使用 FPGA,可以创建多个功能相同的冗余组件,并增加投票功能。如果这些冗余组件中的一个返回不正确的值——例如,由宇宙射线引起——会被其正常运行的组件使用投票功能否决。通过使用适当的开发工具简单方便地复制组件,可以在由功能相同的 IP 块组成的单个 FPGA 中相对容易地实现这种功能冗余。
当然,也可以对多个 FPGA 进行冗余布线。在这种情况下,原始 FPGA 的 IP 逻辑也可以以相对较少的工作量转移到冗余 FPGA 组件中。这使系统能够缓解甚至与硬件相关的 FPGA 故障。
确定性信号处理
安全关键系统依赖于对时间敏感、确定性的信号处理,因为实时处理在所有常见的安全关键应用中都起着非常重要的作用。
非确定性信号处理可能会产生致命的后果。FPGA 是确定性电路。每个 I/O 进程在 FPGA 上都有自己的电路,并采用其精确定义的时间路径。由于 FPGA 的并行结构,竞争过程——在最坏的情况下可能会相互阻碍——可以通过设计来避免。即使在高频下,此类系统的响应时间也是可精确预测和确定的——例如,在监控现场总线、以太网和/或 PCIe 的信号一致性以检测可能导致安全关键系统做出错误决策的传输错误时。
功能长期可用性
FPGA 还有另一个优势:因为功能是基于软件的,所以也是超长期项目的理想选择。今天生产的大多数电子元件最迟在 10 年后往往会过时。例如,这个问题会影响到铁路部门,该部门的系统通常会持续使用数十年。
由于 FPGA 的功能主要在于软件,如果旧的 FPGA 不再可用,可以移植到更新的 FPGA。使用基于 FPGA 安全逻辑的嵌入式计算板的 OEM 客户不会遇到过时问题;即使以前使用的 FPGA 不再可用,电路板制造商也可以在很长一段时间内提供功能相同的嵌入式逻辑。
建议将 FPGA 用于安全关键的嵌入式计算机系统——从标准 CPU 和扩展模块到客户特定系统——以满足铁路、航空、医疗和工业技术等众多领域的高 SIL 安全要求.
