本刊記者 薛士然

嵌入式計(jì)算平臺(tái)的安全性是很多終端應(yīng)用產(chǎn)品極為關(guān)心的一個(gè)問(wèn)題。隨著物聯(lián)網(wǎng)、大數(shù)據(jù)成為熱點(diǎn)之后，這一特性更被業(yè)內(nèi)所看重。雅特生科技前身是艾默生網(wǎng)絡(luò)能源的嵌入式計(jì)算和電源產(chǎn)品部門(mén)，2013年從艾默生獨(dú)立出來(lái)后，繼續(xù)致力于嵌入式計(jì)算系統(tǒng)和嵌入式電源的應(yīng)用開(kāi)發(fā)。

雅特生科技嵌入式計(jì)算產(chǎn)品部市場(chǎng)營(yíng)銷(xiāo)副總裁Peter Barlow在介紹公司產(chǎn)品市場(chǎng)定位時(shí)表示，雅特生在做產(chǎn)品開(kāi)發(fā)規(guī)劃的時(shí)候，不會(huì)將目光聚焦于太多的方向，而是專(zhuān)注于一些對(duì)可靠性和安全性要求比較高的苛刻領(lǐng)域作深入的縱向研究，比如通信、工業(yè)、軍用、航天、政府等。

近日，雅特生推出了經(jīng)過(guò)三年時(shí)間研發(fā)的Control-Safe安全平臺(tái)，這是一套可靠性達(dá)到99.9999%（僅適用于雅特生科技提供的軟硬件，并假設(shè)平均修復(fù)時(shí)間為4小時(shí)）的安全系統(tǒng)，符合SIL4安全認(rèn)證標(biāo)準(zhǔn)，能夠滿(mǎn)足面向未來(lái)的下一代安全計(jì)算平臺(tái)的需要，目前的應(yīng)用定位于鐵路系統(tǒng)，以后也會(huì)延伸到其他行業(yè)應(yīng)用。

眾所周知，鐵路行業(yè)的產(chǎn)品對(duì)于可靠性的要求極高，甚至有不少公司為了保證可靠性仍在使用英特爾486的處理器。雅特生科技將ControlSafe安全平臺(tái)的首站應(yīng)用就瞄準(zhǔn)鐵路，說(shuō)明他們對(duì)其具備的可靠性是非常有信心的。

ControlSafe安全平臺(tái)在嵌入式計(jì)算方面的創(chuàng)新

據(jù)雅特生科技ControlSafe安全平臺(tái)副總裁Shlomo Pri-Tal介紹，ControlSafe是開(kāi)放式的，平臺(tái)上的所有軟件對(duì)客戶(hù)都是透明的，能夠幫助客戶(hù)盡可能減少移植已有應(yīng)用軟件時(shí)的修改工作，使客戶(hù)能夠最大限度地節(jié)約開(kāi)發(fā)產(chǎn)品的時(shí)間和資金成本。而且ControlSafe安全平臺(tái)采用數(shù)據(jù)同步架構(gòu)而非時(shí)鐘同步，從而能保證開(kāi)發(fā)平臺(tái)的透明性，使得其既能支持高性能的現(xiàn)代處理器，也可確?？蛻?hù)在將來(lái)對(duì)處理器進(jìn)行升級(jí)時(shí)仍能保留相同的輸入/輸出。

雅特生科技的相關(guān)工作人員表示，雖然開(kāi)放性也會(huì)給安全性帶來(lái)一定的挑戰(zhàn)，但是就像手機(jī)操作系統(tǒng)的發(fā)展一樣，鐵路中使用的很多平臺(tái)未來(lái)的發(fā)展趨勢(shì)也是逐步走向開(kāi)放的。ControlSafe以其99.9999%的高可靠性前提保證，向開(kāi)放性邁出了一大步。

99.9999%的可靠性安全保證關(guān)鍵在于硬件架構(gòu)

ControlSafe安全平臺(tái)是由兩臺(tái)完全相同的ControlSafe計(jì)算機(jī)（CSC）組成的冗余系統(tǒng)，每臺(tái)CSC都具備故障安全功能。兩臺(tái)CSC之間由一臺(tái)安全繼電器盒（SRB）連接，負(fù)責(zé)實(shí)時(shí)監(jiān)控平臺(tái)內(nèi)部?jī)膳_(tái)CSC的運(yùn)行健康狀態(tài)。SRB會(huì)指定其中一臺(tái)CSC為“主機(jī)”，另一臺(tái)為備機(jī)。當(dāng)“主機(jī)”發(fā)生失效時(shí)，SRB能夠?qū)崟r(shí)檢測(cè)到故障信號(hào)并實(shí)施兩臺(tái)CSC之間的狀態(tài)切換，以確保整個(gè)安全系統(tǒng)繼續(xù)正常運(yùn)行。在ControlSafe安全平臺(tái)下，作為“主機(jī)”的CSC可以通過(guò)客戶(hù)的應(yīng)用程序來(lái)具體控制數(shù)據(jù)的輸入/輸出。而作為“備機(jī)”的CSC雖然也運(yùn)行在同一應(yīng)用程序下，但除非有特殊的應(yīng)用定制需求，否則此CSC不會(huì)驅(qū)動(dòng)任何數(shù)據(jù)輸出。

除了有兩個(gè)CSC的冗余系統(tǒng)保證安全之外，運(yùn)行在每一臺(tái)CSC里的核心組件也是兩片完全相同的CPU模塊。ControlSafe安全平臺(tái)在數(shù)據(jù)同步模式下采用二取二表決機(jī)制，一旦系統(tǒng)運(yùn)行過(guò)程中，“主機(jī)”內(nèi)部的兩片CPU模塊出現(xiàn)表決不一致的狀況，“主機(jī)”會(huì)立刻將自身的運(yùn)行狀態(tài)標(biāo)定為“非健康”，并向SRB發(fā)出相應(yīng)的狀態(tài)信號(hào)，SRB隨即將備用CSC切換為“主機(jī)”，出現(xiàn)故障的則被隔離直至重新修復(fù)。

因此，ControlSafe安全平臺(tái)的設(shè)計(jì)架構(gòu)能夠杜絕將錯(cuò)誤數(shù)據(jù)輸出到外部設(shè)備。

系統(tǒng)實(shí)現(xiàn)升級(jí)十分容易

ControlSafe安全平臺(tái)的所有模塊都采用基于Freescale處理器和Wind River Vx Works 653操作系統(tǒng)的相同架構(gòu)，能夠有效簡(jiǎn)化客戶(hù)的軟件開(kāi)發(fā)環(huán)境，提高開(kāi)發(fā)效率，降低開(kāi)發(fā)成本。ControlSafe安全平臺(tái)能夠?yàn)榭蛻?hù)提供15年的產(chǎn)品壽命以及25年的技術(shù)支持和維護(hù)服務(wù)，所以產(chǎn)品的升級(jí)問(wèn)題就需要特別考慮。Shlomo Pri-Tai表示，在滿(mǎn)足客戶(hù)需要的前提下，ControlSafe會(huì)繼續(xù)升級(jí)CPU，系統(tǒng)的擴(kuò)容也可以通過(guò)加載輸入/輸出擴(kuò)展盒來(lái)完成，而且所有模塊都支持軟件和固件的遠(yuǎn)程在線(xiàn)升級(jí)，不會(huì)對(duì)系統(tǒng)的正常運(yùn)行造成不良影響。

節(jié)約客戶(hù)安全認(rèn)證成本

苛刻行業(yè)對(duì)于安全認(rèn)證的要求是非常嚴(yán)格的，Control-Safe安全平臺(tái)在軟件和硬件方面分別遵循EN 50128 SIL4和EN 50129 SIL4的設(shè)計(jì)標(biāo)準(zhǔn)，在可靠性、可用性、可維護(hù)性和安全性方面遵循EN 50126的相關(guān)規(guī)定?？蛻?hù)使用ControlSafe安全平臺(tái)進(jìn)一步開(kāi)發(fā)時(shí)，只需關(guān)注于自己所開(kāi)發(fā)應(yīng)用的安全認(rèn)證，而且雅特生能夠?yàn)榭蛻?hù)提供全面的安全文檔，為客戶(hù)在系統(tǒng)認(rèn)證上節(jié)約大量成本。

提供一個(gè)安全的嵌入式計(jì)算系統(tǒng)，這是雅特生科技給客戶(hù)做出的承諾。