СТА 3/2018

среде разработки FPGA можно модели- ровать даже серьёзные или сложные ошибки. Такая форма эмуляции являет- ся частью процесса разработки FPGA даже в случае, если соответствие требо- ваниям функциональной безопасности не нужно. В этом смысле для FPGA не требуются какие-либо дополнительные усилия. Моделирование также может быть использовано не только для дока- зательства «правильного» поведения в ошибочных ситуациях, но и для под- тверждения корректной реализации тре- буемой функциональности. Таким обра- зом, на базе эмуляции можно создавать полные отчётымоделирования, которые затем могут быть представленыTU .. V или другим сертифицирующим органам. Р АСШИРЕННЫЕ ФУНКЦИИ МОНИТОРИНГА Мониторинг надлежащих условий функционирования также играет суще- ственную роль в критически важных для безопасности областях, поскольку это единственный способ обнаружения сбоев и инициирования соответствую- щих действий. Например, температура и функционирование компонентов или обмен данными должны контролиро- ваться и анализироваться на предмет от- клонений от заданных значений, а в ава- рийной ситуации требуется обеспечить остановку машины или поезда контро- лируемым образом. Однако готовые компоненты для подключения входных и выходных блоков, такие как последо- вательные интерфейсы или GPIO (кон- такты ввода-вывода общего назначе- ния), редко содержат функции монито- ринга, необходимые для обеспечения функциональной безопасности, напри- мер, в соответствии с EN 50129 для же- лезных дорог или с IEC 61508 для элек- тронных систем с функцией безопасно- сти. Но если нет подходящих микро- контроллеров, такие функции можно очень эффективно реализовать в FPGA. Внедрение функций контроля при по- мощи FPGA также имеет преимущества перед микроконтроллерами, которые обусловлены свободным конфигуриро- ванием и хорошей адаптацией к требо- ваниям конкретного применения. Д ОЛГОСРОЧНАЯ ДОСТУПНОСТЬ И СНИЖЕНИЕ РИСКА МОРАЛЬНОГО ИЗНОСА Высказывание «никогда не изменяйте работающую систему» применимо и к функционально безопасным системам. С одной стороны, расходы на проверку функциональной безопасности в соот- ветствии со стандартами очень большие, и такие проверки должны проводиться повторно каждый раз, когда вносятся из- менения, что означает их чрезвычайно высокую стоимость. С другой стороны, при внесении изменений всегда суще- ствует риск появления новой ошибки. По этой причине, особенно на железно- дорожном транспорте и в авиации, си- стемы используются десятилетиями без изменений. Но это требует наличия стра- тегии реагирования на старение компо- нентов, поскольку стандартные компо- ненты для промышленности редко до- ступны более 5–10 лет. FPGA и здесь предлагают решающие преимущества. Дело в том, что реализация каждойфунк- ции осуществляется не определённым компонентом, а программно. В результа- те замены компонентов сравнительно безболезненны, ввиду того что про- граммный код можно перенести в новые FPGA, обеспечив идентичнуюфункцио- нальность. Таким образом, продолжи- тельность проекта более чем 30 лет – не проблема, даже если придётся поменять производителя FPGA. Данный подход к тому же обеспечивает независимость от определённого поставщика. Используя FPGA, всегда можно ин- тегрировать дополнительную функцио- нальность на самой современной плат- форме, модернизировав систему. Эта гибкость, естественно, имеет значение и в начале жизненного цикла продукта: ес- ли некоторые из функций оборудования реализованы в FPGA, то эту часть мож- но в дальнейшем развивать и модерни- зировать. Такая стратегия позволяет сэкономить время при последующих пусконаладочных работах и испытаниях всей системы. З АМЕНА КОМПОНЕНТОВ ПРИ РАБОТЕ В РАСШИРЕННОМ ТЕМПЕРАТУРНОМ ДИАПАЗОНЕ Одно из самых общих требований, особенно в критических областях, – поддержка расширенного диапазона ра- бочих температур, обычно –40…+85°C. Здесь часто возникают проблемы с под- бором подходящих стандартных компо- нентов. Однако в последнее время стало значительно труднее или вообще невоз- можно найти компоненты для выполне- ния различных аппаратных функций при работе в сверхшироком диапазоне –55…+125°C. Надо сказать, что FPGA обеспечивают достаточно широкий диа- пазон, позволяющий работать и при этих экстремальных температурах. Л ЁГКОЕ КОНСТРУИРОВАНИЕ СИСТЕМ , НЕВОСПРИИМЧИВЫХ К СБОЯМ Наиболее важной стратегией сниже- ния риска для системы является избы- точность критически важных компонен- тов, то есть их функционально идентич- ное умножение. Компонент, отказ кото- рого парализует всю систему, называется единой точкой отказа (SPOF – Single Point of Failure). Любой важный строи- тельный блок системы может превра- титься в SPOF. В аэрокосмических при- ложениях, например, серьёзной пробле- мой являются ошибки памяти, вызван- ные космическим излучением. Это при- водит к однобитным (SEU– Single Event Upsets) или многобитным (MBU–Multi- Bit Upsets) ошибкам, когда один или не- сколько битов в элементах памяти ме- няют состояние от 0 к 1 или наоборот. Ес- ли критические компоненты, такие как ЦП, дублированы, это увеличивает функциональную безопасность системы и готовность к работе. Такая избыточ- ность может быть создана с помощью FPGA, преимущество которых в том, что эта логика может быть легко дублирова- на в каждом экземпляре путём копиро- вания и вставки логических блоков IP. В FPGA это резервирование повторяется и позволяет завершить вычисление, если логика IP FPGA отказывает. В результате на основе флэш-FPGA можно реализо- вать устойчивую к SEU-ошибкам логику. В ОЗМОЖНОСТИ РЕАЛЬНОГО ВРЕМЕНИ И ГАРАНТИРОВАННЫЙ ОТКЛИК В критически важной для безопасно- сти среде в дополнение к надёжности ча- сто требуется предсказуемое время вы- полнения. Система должна реагировать на внешнее событие за определённое время даже в наихудшем случае. Однако типичные компьютерные архитектуры используют прерывания и топологии DMA (Direct Memory Access), которые могут отрицательно влиять на время ис- полнения отдельных задач, когда другая задача запрашивает те же ресурсы. Не- обходимое детерминированное поведе- ние, то есть точно предсказуемое по вре- мени, в этом случае становится трудно- достижимым. По этой причине такие ре- шения не используются там, где предъ- являются жёсткие требования реального времени. Однако FPGA поддерживают возможности реального времени, по- скольку они построены на основе парал- лельной логики. Это означает, что раз- ные процессы не конкурируют друг ОБ ЗОР / В С Т РАИВ А ЕМЫЕ СИС Т ЕМЫ СТА 3/2018 19 www.cta.ru