雅特生科技ControlSafe：一個安全的嵌入式計算平臺

本刊記者 薛士然

嵌入式計算平臺的安全性是很多終端應用產品極為關心的一個問題。隨著物聯網、大數據成為熱點之后，這一特性更被業內所看重。雅特生科技前身是艾默生網絡能源的嵌入式計算和電源產品部門，2013年從艾默生獨立出來后，繼續致力于嵌入式計算系統和嵌入式電源的應用開發。

雅特生科技嵌入式計算產品部市場營銷副總裁Peter Barlow在介紹公司產品市場定位時表示，雅特生在做產品開發規劃的時候，不會將目光聚焦于太多的方向，而是專注于一些對可靠性和安全性要求比較高的苛刻領域作深入的縱向研究，比如通信、工業、軍用、航天、政府等。

近日，雅特生推出了經過三年時間研發的Control-Safe安全平臺，這是一套可靠性達到99.9999%（僅適用于雅特生科技提供的軟硬件，并假設平均修復時間為4小時）的安全系統，符合SIL4安全認證標準，能夠滿足面向未來的下一代安全計算平臺的需要，目前的應用定位于鐵路系統，以后也會延伸到其他行業應用。

眾所周知，鐵路行業的產品對于可靠性的要求極高，甚至有不少公司為了保證可靠性仍在使用英特爾486的處理器。雅特生科技將ControlSafe安全平臺的首站應用就瞄準鐵路，說明他們對其具備的可靠性是非常有信心的。

ControlSafe安全平臺在嵌入式計算方面的創新

據雅特生科技ControlSafe安全平臺副總裁Shlomo Pri-Tal介紹，ControlSafe是開放式的，平臺上的所有軟件對客戶都是透明的，能夠幫助客戶盡可能減少移植已有應用軟件時的修改工作，使客戶能夠最大限度地節約開發產品的時間和資金成本。而且ControlSafe安全平臺采用數據同步架構而非時鐘同步，從而能保證開發平臺的透明性，使得其既能支持高性能的現代處理器，也可確保客戶在將來對處理器進行升級時仍能保留相同的輸入/輸出。

雅特生科技的相關工作人員表示，雖然開放性也會給安全性帶來一定的挑戰，但是就像手機操作系統的發展一樣，鐵路中使用的很多平臺未來的發展趨勢也是逐步走向開放的。ControlSafe以其99.9999%的高可靠性前提保證，向開放性邁出了一大步。

99.9999%的可靠性安全保證關鍵在于硬件架構

ControlSafe安全平臺是由兩臺完全相同的ControlSafe計算機（CSC）組成的冗余系統，每臺CSC都具備故障安全功能。兩臺CSC之間由一臺安全繼電器盒（SRB）連接，負責實時監控平臺內部兩臺CSC的運行健康狀態。SRB會指定其中一臺CSC為“主機”，另一臺為備機。當“主機”發生失效時，SRB能夠實時檢測到故障信號并實施兩臺CSC之間的狀態切換，以確保整個安全系統繼續正常運行。在ControlSafe安全平臺下，作為“主機”的CSC可以通過客戶的應用程序來具體控制數據的輸入/輸出。而作為“備機”的CSC雖然也運行在同一應用程序下，但除非有特殊的應用定制需求，否則此CSC不會驅動任何數據輸出。

除了有兩個CSC的冗余系統保證安全之外，運行在每一臺CSC里的核心組件也是兩片完全相同的CPU模塊。ControlSafe安全平臺在數據同步模式下采用二取二表決機制，一旦系統運行過程中，“主機”內部的兩片CPU模塊出現表決不一致的狀況，“主機”會立刻將自身的運行狀態標定為“非健康”，并向SRB發出相應的狀態信號，SRB隨即將備用CSC切換為“主機”，出現故障的則被隔離直至重新修復。

因此，ControlSafe安全平臺的設計架構能夠杜絕將錯誤數據輸出到外部設備。

系統實現升級十分容易

ControlSafe安全平臺的所有模塊都采用基于Freescale處理器和Wind River Vx Works 653操作系統的相同架構，能夠有效簡化客戶的軟件開發環境，提高開發效率，降低開發成本。ControlSafe安全平臺能夠為客戶提供15年的產品壽命以及25年的技術支持和維護服務，所以產品的升級問題就需要特別考慮。Shlomo Pri-Tai表示，在滿足客戶需要的前提下，ControlSafe會繼續升級CPU，系統的擴容也可以通過加載輸入/輸出擴展盒來完成，而且所有模塊都支持軟件和固件的遠程在線升級，不會對系統的正常運行造成不良影響。

節約客戶安全認證成本

苛刻行業對于安全認證的要求是非常嚴格的，Control-Safe安全平臺在軟件和硬件方面分別遵循EN 50128 SIL4和EN 50129 SIL4的設計標準，在可靠性、可用性、可維護性和安全性方面遵循EN 50126的相關規定。客戶使用ControlSafe安全平臺進一步開發時，只需關注于自己所開發應用的安全認證，而且雅特生能夠為客戶提供全面的安全文檔，為客戶在系統認證上節約大量成本。

提供一個安全的嵌入式計算系統，這是雅特生科技給客戶做出的承諾。