ControlSafe安全計算平台白皮書：專為列控和信號系統量身打造

軌道世界 RailWorld

開放｜共享｜價值

ControlSafefe?安全計算平台白皮書：專為列控和信號系統量身打造

ControlSafe?安全平台是一個適用於列車控制和信號系統的防故障計算系統平台。這個已獲發SIL4認證的平台不但具有極高的容錯能力，而且還有量產供貨。有關產品全部共用同一安全架構，包括採用二取二的表決機制和數據同步架構，是開發軌旁、車站和車載安全設備的理想解決方案。

1 嵌入式系統的功能安全需求與標準

隨著越來越多的自動化設備投入市場，例如各種無人駕駛系統，包含有飛機、軌道交通、汽車等等，人們對嵌入式系統安全的需求也在迅速增加。為了滿足這些功能需求，一系列的安全標準被創建了出來。通過這些公開的標準，設備廠家和系統工程師們通過符合規範的流程，可以有效地控制風險，從而消除用戶對安全的顧慮。

現有的功能安全標準按行業可以分為下面幾類：

由於各個標準分級並無完全的統一性，這裡只是基本是按功能安全的風險控制等級來劃分。需要指出的是在面對具體的應用場景的時候，功能安全也會體現為不同的控制要求，比如：對列車來說，主動停車就是一種導向安全操作；而對於飛機，安全狀態應該是保持飛行。這些安全需求要在系統設計階段就導入，並指導開發全過程，而前述的安全標準可以給予工程師在安全架構選擇和開發要求方面很好的指引。如同其他標準體系一樣，業界也有多家認證機構為設備廠家提供體系審核和認證服務。

2 嵌入式計算機的功能安全架構

隨著越來越多智能化的器件（CPU，MCU）被大量應用到不同的系統中去。如何設計嵌入式計算機的功能安全架構成為工程師的重要工作。

首要面臨的第一個決定就是確定邊界，意思是在這個邊界上用戶可以期望得到嵌入式計算機的確定性行為。從處理器地址數據匯流排，到通用外部數據介面，均可以用於作為計算機單元的確定性邊界。（如圖 1，使用數據地址匯流排為確定性邊界）。

但是由於現代處理器越來越多使用內置的 PLL，加上多線程的應用，在地址數據匯流排上去實現確定性邊界變得幾乎不可能。這種情況下通用外部數據介面就成為確定性邊界的一個較好的選擇。（如圖 2）

值得指出的是確定性邊界選擇對計算機硬體尺寸，成本有較大約束。供應鏈和市場部門應加大參與力度。

其次是同步方式的選擇，通過同步為下一步的表決創造條件。開發者可以在數據同步，程序鎖步同步，程序主動同步等方案中選擇。這裡的選擇會對系統軟體開發有著深遠的影響，因而一個值得遵循的策略是：設計為軟體服務。對應用軟體來說，底層的同步對應用透明是非常有吸引力的。程序鎖步同步由於對應用程序透明，可以很好的適配各種處理器（如圖 3）。尤其在現代處理器中，可以進一步使用程序鬆散鎖步同步方式，在保持了應用可移植的同時，也有很好的開放結構，便於升級和維護。

再次是表決方式的選擇。開發者常面對的選擇是二取二，或者是三取二，使用同構還是異構模式。應該說這種選擇主要和應用相關，並沒有一成不變的框架。可以看到的是近年來，隨著對大量已有安全應用的回顧，人們發現異構表決方式對採用其他失效排查技術檢測出的失效進行容錯的效果不佳，而帶來的開發成本上升是顯著的。至於二取二和三取二，大家可以參見下面的對比表。（如表 2）

最後在這些選擇的基礎上進行量化與收斂。在選取完架構的同時，必須通過量化的模型來得到確定性的系統指標。雖然從功能安全的角度，系統安全工程師首要考慮的是：潛在的失效模式及後果分析，然而作為一個能得到市場認可的產品設計必須同時把高可用性有機地結合進量化的過程。通過建立失效模型，計算出安全失效分數。並依據系統架構開發出合適的馬爾科夫模型，由此完善狀態機的牽引圖譜，計算出可用性指標。這些量化指標會用於反饋並指導系統架構的調整。（如圖 4）

因而這是一個循環過程，其最終收斂速度取決於開發團隊的經驗和系統成本的限制。最終的輸出成果應該體現在產品的安全手冊和安全用例里。

無論採用何種架構搭建功能安全嵌入式計算機，開發者最終會發現為功能安全完整性貢獻最大的是失效檢測，而當你拿不定主意時，簡單的設計往往就是安全的設計。

3 嵌入式計算機的功能安全新挑戰

隨著半導體線寬向 7nm 邁進，工程師們彷彿看到了摩爾定律的夕陽。為突破物理的限制，量子計算，多核，人工智慧神經網路都作為新的探索被引入到通用嵌入式系統中。然而對面向功能安全的嵌入式系統來說，在提高了性能的同時，也帶來了新的挑戰。例如對於多核系統，底層軟體多採用虛擬化技術，如何在虛擬化層實現為功能安全的服務？再一個例子是大量使用的基於神經網路的 AI 決策系統，為了達到模型泛化，避免出現過 擬合的情況，學習結束後推送到嵌入式系統中應用的 「推斷」(Inference) 網路內部是隱含了系統的辨識關係，它究竟表現為何種形式，對外界系統是不可知的。只要神經網路的輸出能夠逼近同樣輸入信號激勵下輸出，就認為神經網路已充分體現出實際系統的特性、完成了對原系統的辨識。那如何來構建系統的 FMEA 並計算出 SFF？

無疑當選擇更多的時候，只有各個市場主體更加專註才是勝出的法寶。系統開發商對於基於 COTS 的通用功能安全嵌入式計算平台的充滿期待。目前一些主流廠家例如雅特生公司已經發布了通過 SIL4 預認證的ControlSafe? 平台，這些可擴展的系統基於開放工業標準，同時預留了面向未來的可升級架構，可以有效保護用戶的投資。系統用戶通過採用通用功能安全平台得以釋放資源，聚焦在應用專有的領域，避免陷入以有限的資源應對無限的失效場景困境，把功能安全產品加速推向市場。

參考文獻：

1. Eric Verhulst, Jose de la Vara, Bernhard Sputh, Vincenzo De Florio; From Safety Integrity Level to Assured Reliability and Resilience Level for Compositional Safety Critical Systems; ICSSEA 2013-4

3. 袁樹風、孔力、程葳、劉文中；模糊神經網路建模 方法在煤矸石識別系統中的應用；選煤技術 2001-2 第一期

雅特生科技(Artesyn Embedded Technologies)誠邀您於2018年6月13日至15日蒞臨2018北京國際城市軌道交通展覽會 -中國國際展覽中心(北京，三元橋館)，3608-9展位，與我們共同體驗雅特生科技基於鐵路應用的先進產品和解決方案。

屆時，雅特生科技會展出基於軌道交通和鐵路應用的 ControlSafe??系列四款不同的安全平台，分別為 ControlSafe 安全平台、ControlSafe 擴展平台、ControlSafe車載系統平台及 ControlSafe 小型車載系統平台。ControlSafe 安全平台、ControlSafe擴展平台及 ControlSafe 車載系統平台已獲發SIL4 認證，雅特生科技也正計劃為 ControlSafe 小型車載系統平台申請有關認證。

同時，雅特生科技還將展出專為鐵路應用設計的新一代高效電源轉換產品。

敬請撥冗出席！活動詳情如下：

日期：2018年6月13日至15日

地點：中國國際展覽中心 (北京，三元橋館) 3608-9展位

素材來源：雅特生科技

工業新媒體系列/Industry Media

————————————————————

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！