極火? SoC FPGA在確鑿的RCHD-PF系統(tǒng)模塊中的應(yīng)用

運(yùn)營技術(shù) （OT） 以及運(yùn)輸和工業(yè)控制系統(tǒng) （ICS） 經(jīng)常被迫在安全性和更新方面做出讓步，以便在不中斷的情況下提供關(guān)鍵功能。保持它們的安全、無錯誤和抗故障并非易事。幸運(yùn)的是，由于Microchip在安全高效的片上系統(tǒng)（SoC）設(shè)計(jì)方面的進(jìn)步，Concruusive Engineering開發(fā)了一種專用于該任務(wù)的小型器件 - Orchid系列RCHD-PF模塊系統(tǒng)，采用PolarFire? SoC FPGA。

對逆境的風(fēng)險厭惡

21世紀(jì)的前幾十年對現(xiàn)代運(yùn)營技術(shù)系統(tǒng)進(jìn)行了前所未有的一系列考驗(yàn)。我們已經(jīng)看到了針對整個國家電網(wǎng)的定制惡意軟件，Bitlocker惡意軟件意外感染關(guān)鍵系統(tǒng)，智能汽車漏洞，飛機(jī)因設(shè)計(jì)問題而嚴(yán)重故障，最近的泛歐火車系統(tǒng)鎖定 - 這只是冰山一角。隨著OT系統(tǒng)變得越來越復(fù)雜，保證其持續(xù)運(yùn)行和安全性變得越來越困難。但這可以使用先進(jìn)的記錄和監(jiān)控設(shè)備進(jìn)行修改，這些設(shè)備允許在系統(tǒng)運(yùn)行期間對其進(jìn)行連續(xù)測試，從而提供抗故障性和對不良事件前所未有的反應(yīng)時間。

超越默認(rèn)可靠性

作為一個行業(yè)，我們在很大程度上已經(jīng)從專用的專有黑匣子解決方案過渡到適應(yīng)單個任務(wù)的開源準(zhǔn)系統(tǒng)。雖然這解決了許多與安全和維護(hù)相關(guān)的問題，但軟件和硬件系統(tǒng)的日益復(fù)雜，加上高昂的更新成本，帶來了不同類型的問題。使用外部日志記錄和管理引擎系統(tǒng)可以解決這些問題，提供快速調(diào)試和錯誤檢測。

背景和遺產(chǎn)

當(dāng)今OT系統(tǒng)、運(yùn)輸自動化以及監(jiān)控和數(shù)據(jù)采集（SCADA）網(wǎng)絡(luò)的起源在過去匯聚到一個點(diǎn)上。1968年，通用汽車公司根據(jù)愛德華·克拉克（Edward R. Clark）的白皮書訂購了一種定制設(shè)備，以取代他們用于制造車輛變速器的繼電器系統(tǒng)。這就是第一個可編程邏輯控制器誕生的方式——在過去的幾十年里，這個系統(tǒng)取代了可靠但不靈活的機(jī)電繼電器邏輯。五年多后，站在巨人的肩膀上，我們正在用軟件可配置的工廠、數(shù)據(jù)驅(qū)動的即時制造和全自動運(yùn)輸系統(tǒng)等理念來塑造人類的未來。進(jìn)入工業(yè)4.0。

然而，我們的傳統(tǒng)及其所有好處也存在缺點(diǎn)。在運(yùn)營技術(shù)和運(yùn)輸這樣規(guī)避風(fēng)險的領(lǐng)域前進(jìn)并非易事。一個小小的失誤就可能凍結(jié)整個國家的通信基礎(chǔ)設(shè)施，或者延遲數(shù)十萬臺的生產(chǎn)，從而對供應(yīng)鏈造成連鎖破壞。關(guān)鍵基礎(chǔ)設(shè)施的一次更新可能花費(fèi)數(shù)百萬歐元（如果失敗則花費(fèi)數(shù)億歐元），如果無法回滾，則損失數(shù)十億歐元。另一方面，過時的系統(tǒng)可能會在長時間的連續(xù)運(yùn)行中積累問題和意外行為，并對系統(tǒng)的整體安全性產(chǎn)生極其負(fù)面的影響。找到正確的平衡通常很困難，如果不是不可能的話。

這造成了不可避免的且不斷增長的風(fēng)險差距。一方面，系統(tǒng)過時的危險，維護(hù)成本很高，故障風(fēng)險每天都在增加。另一方面，與使此類系統(tǒng)保持最新相關(guān)的風(fēng)險和成本，包括測試、認(rèn)證、現(xiàn)有代碼庫的遷移和不可預(yù)測的停機(jī)時間。在這種環(huán)境中，運(yùn)營的風(fēng)險和成本不斷累積，迫在眉睫的故障可能會以前所未有的規(guī)模造成致命的后果。我們解決這個問題的唯一方法是承認(rèn)問題，適應(yīng)并提供更智能的解決方案來縮小或減少風(fēng)險差距。

通過硬件監(jiān)控器實(shí)現(xiàn)更智能的可靠性

在Concruusive Engineering，我們一直在思考這樣一個更智能的解決方案，一個能夠成為現(xiàn)有系統(tǒng)主管的設(shè)備，一個遠(yuǎn)程終端單元或一個功能齊全的SCADA節(jié)點(diǎn)，能夠作為高能效的邊緣計(jì)算模塊執(zhí)行各種任務(wù)，具有低熱足跡。得益于Microchip的PolarFire SoC FPGA，它將實(shí)時和具有Linux功能的RISC-V處理器與PolarFire FPGA結(jié)構(gòu)集成在一個超級安全、防篡改的封裝中，我們能夠?qū)⑦@個想法變?yōu)楝F(xiàn)實(shí)。

RCHD-PF SoM：

RCHD-PF-EVAL 評估板：

我們的工作成果是RCHD-PF，這是一個小型的模塊系統(tǒng)（SoM），設(shè)計(jì)時考慮了OT和運(yùn)輸應(yīng)用。其預(yù)期用途是調(diào)試具有機(jī)器計(jì)算機(jī)接口、調(diào)試日志收集、模擬數(shù)據(jù)處理、將系統(tǒng)事件與轉(zhuǎn)向系統(tǒng)的模擬輸出及其傳感器讀數(shù)相匹配的持續(xù)在線系統(tǒng)。但是，由于設(shè)備的處理能力，它也可以用作調(diào)試器，監(jiān)督系統(tǒng)，遠(yuǎn)程終端單元，視覺處理單元或多用途節(jié)點(diǎn)，并且根據(jù)工作負(fù)載，它可以一次執(zhí)行其中的幾項(xiàng)任務(wù)。通過應(yīng)用程序域分離可以實(shí)現(xiàn)此類操作的安全性。由于我們提供全棧嵌入式定制交鑰匙解決方案，因此該板可以與各種各樣的軟件一起交付，包括裸機(jī)、FreeBSD、基于 Linux 的操作系統(tǒng)、seL4、Zephyr、FreeRTOS 和其他操作系統(tǒng)，并經(jīng)過必要的內(nèi)核和驅(qū)動程序修改，使系統(tǒng)在其預(yù)期的應(yīng)用中脫穎而出。此外，該開發(fā)板的安全性非常出色 - 它可以在對手直接訪問的環(huán)境中工作，防止代碼篡改或機(jī)密提取。這對于遺留系統(tǒng)尤其重要 - 在 RCHD-PF 上運(yùn)行正確設(shè)計(jì)的測試可以檢測受監(jiān)督系統(tǒng)的不當(dāng)行為，以檢測和防止執(zhí)行受損代碼的后果。為了提高其安全性，它可以完全與受監(jiān)督系統(tǒng)隔離，確保無法對SoM進(jìn)行寫入訪問。此外，SoM 的可更換特性可以提供 OT 設(shè)備的就地升級和快速回滾，而不會超過允許的停機(jī)時間，通常以分鐘為單位，每月或每年。

所有這些都來自遵循最佳系統(tǒng)模塊設(shè)計(jì)實(shí)踐的設(shè)計(jì)。RCHD-PF是一個比信用卡小30%的模塊，伴隨著更大的RCHD-PF-EVAL評估模塊，將RCHD-PF的功能擴(kuò)展到標(biāo)準(zhǔn)化連接器，并提供一些附加功能，如SFP+，使用RCHD-PF的通用通信協(xié)議實(shí)現(xiàn)。它可以插入提供 PCIe 插槽的現(xiàn)有系統(tǒng)，并通過通用的 4 針 Molex 型連接器在父設(shè)備外殼內(nèi)部供電。我們可以根據(jù)客戶要求提供評估板的定制外形尺寸，也可以定制RCHD-PF本身。

RCHD-PF支持一系列利用FCVG484插座的Microchip片上系統(tǒng)，提供高達(dá)254K LUT的現(xiàn)場可編程門陣列（FPGA）變體。FPGA 能夠?qū)崿F(xiàn)機(jī)器視覺和高達(dá) 4K 雙視頻處理。板載RISC-V處理器的工作頻率為667 MHz，可提供約2030 CoreMark的性能，比最接近的同類非RISC-V解決方案的效率高出55%。該 SoC 具有 PolarFire 系列的典型防篡改功能，包括差分功率分析和物理不可克隆功能，這使得正確配置的 SoC 不受裝備精良的對手最復(fù)雜和最昂貴的篡改嘗試的影響。

審核編輯：郭婷