用于安全關(guān)鍵系統(tǒng)認(rèn)證的 RISC-V 實(shí)施策略

對(duì)于使用基于 RISC-V 的平臺(tái)的開發(fā)人員，該架構(gòu)提供了獨(dú)特的功能，可幫助實(shí)現(xiàn)功能安全和信息安全目標(biāo)。例如，從開放式架構(gòu)到豐富的工具生態(tài)系統(tǒng)，安全關(guān)鍵型軟件團(tuán)隊(duì)看到了滿足 DO-178C 和 ISO 26262 準(zhǔn)則的好處，以及減少合規(guī)工作的機(jī)會(huì)。

了解如何將 RISC-V 的模塊化、簡(jiǎn)單性和可擴(kuò)展性與行業(yè)標(biāo)準(zhǔn)對(duì)應(yīng)起來可能很困難。本文介紹了開發(fā)人員可以利用 RISC-V 實(shí)現(xiàn)認(rèn)證安全關(guān)鍵型系統(tǒng)的合規(guī)性的七種方式。

降低系統(tǒng)復(fù)雜性

RISC-V 的開放標(biāo)準(zhǔn)指令集架構(gòu) （ISA） 與專有架構(gòu)相比具有多項(xiàng)認(rèn)證優(yōu)勢(shì)。例如，其全新的設(shè)計(jì)消除了傳統(tǒng)架構(gòu)的傳統(tǒng)兼容性限制，這些限制通常會(huì)使安全認(rèn)證復(fù)雜化。ISA 的小基整數(shù)集允許處理器設(shè)計(jì)人員僅實(shí)現(xiàn)所需的功能，而不會(huì)引入不必要的復(fù)雜性和開銷。

這種簡(jiǎn)單性還減少了構(gòu)建和驗(yàn)證確定性系統(tǒng)及其潛在攻擊面的挑戰(zhàn)，這是認(rèn)證機(jī)構(gòu)的關(guān)鍵考慮因素。

在其免版稅許可下，開發(fā)人員在針對(duì)特定使用案例修改 RISC-V 實(shí)施時(shí)不會(huì)產(chǎn)生額外費(fèi)用。該平臺(tái)還不包含敏感 IP，從而限制了制造商對(duì)其設(shè)計(jì)的潛在責(zé)任。

圖 1.RISC-V 如何實(shí)現(xiàn)保護(hù)嵌入式系統(tǒng)的左移實(shí)踐

軟硬件接口規(guī)范

ISO 26262 要求精確記錄軟硬件接口 （HSI）。RISC-V 的模塊化設(shè)計(jì)通過將 ISA 的基本功能與其擴(kuò)展明確分離來支持這一要求。在為安全功能實(shí)施自定義擴(kuò)展時(shí)，團(tuán)隊(duì)可以單獨(dú)記錄這些添加內(nèi)容，同時(shí)維護(hù)基本架構(gòu)的標(biāo)準(zhǔn)接口文檔。這種分離支持接口規(guī)范和驗(yàn)證的認(rèn)證要求，并使其更容易捕獲需求可追溯性。

確定性執(zhí)行

DO-178C 確定了對(duì)最壞情況執(zhí)行時(shí)間 （WCET） 進(jìn)行分析的必要性，并在 §6.3（軟件審查和分析）、§6.3.4（源代碼的審查和分析）和 §11.20（軟件完成摘要）中進(jìn)行了討論。EASA AMC 20-193 和 FAA AC 20-193 提供了證明執(zhí)行時(shí)間從未超過其分配窗口的指南。

RISC-V 的高速緩存管理策略通過在運(yùn)行時(shí)啟用確定性執(zhí)行，在滿足這些要求方面具有優(yōu)勢(shì)。將 2 級(jí)高速緩存內(nèi)存映射實(shí)施為 RAM 的能力使開發(fā)人員能夠更好地控制系統(tǒng)延遲，并協(xié)助進(jìn)行認(rèn)證所需的最壞情況執(zhí)行時(shí)間 （WCET） 分析。

實(shí)現(xiàn)不同的冗余

RISC-V 的開放式架構(gòu)可幫助開發(fā)人員為需要 DO-178C 設(shè)計(jì)保證 A 級(jí) （DAL-A） 的系統(tǒng)實(shí)施不同的冗余機(jī)制。他們可以在同一系統(tǒng)中采用不同的處理器配置，也可以選擇不同的 RISC-V 供應(yīng)商解決方案，同時(shí)保持架構(gòu)一致性。他們還可以選擇對(duì)具有不同安全要求和認(rèn)證級(jí)別的混合關(guān)鍵系統(tǒng)使用完全不同的架構(gòu)。

這些方法簡(jiǎn)化了共模故障保護(hù)所需的認(rèn)證證據(jù)。

來自不斷增長(zhǎng)的生態(tài)系統(tǒng)的支持

不斷壯大的硬件和軟件供應(yīng)商生態(tài)系統(tǒng)認(rèn)識(shí)到 RISC-V 的價(jià)值。2023 年，英偉達(dá)、高通、晶心、谷歌和其他公司啟動(dòng)了 RISC-V 軟件生態(tài)系統(tǒng) （RISE） 項(xiàng)目，以加速 RISC-V 在消費(fèi)電子、數(shù)據(jù)中心和汽車產(chǎn)品中的采用。

RISC-V 開發(fā)工具和驗(yàn)證環(huán)境的成熟度支持整個(gè)開發(fā)生命周期的認(rèn)證活動(dòng)。較新的工具，例如用于 RISC-V 架構(gòu)的 LDRA 目標(biāo)許可證包 （TLP），提供安全認(rèn)證所必需的功能，包括：

• 架構(gòu)特征的需求可追溯性

• 多核代碼覆蓋率分析

• 符合 AMC 20-193 標(biāo)準(zhǔn)的 WCET 測(cè)量

• 在模擬和物理 RISC-V 處理器上進(jìn)行單元級(jí)和系統(tǒng)級(jí)測(cè)試

供應(yīng)商的行業(yè)支持通過高度可靠的工作流程簡(jiǎn)化了認(rèn)證流程，從而減少了整體驗(yàn)證和文檔編制工作。

安全認(rèn)證的 IP 內(nèi)核和組件

Microchip、SiFive 和 CAST 等供應(yīng)商提供的預(yù)認(rèn)證 RISC-V IP 內(nèi)核減少了認(rèn)證工作。這些組件通常包括集成的安全功能，例如錯(cuò)誤檢測(cè)和糾正、看門狗定時(shí)器和內(nèi)存保護(hù)單元。在實(shí)施這些預(yù)認(rèn)證內(nèi)核時(shí)，開發(fā)團(tuán)隊(duì)可以利用現(xiàn)有文檔，從而縮小所需認(rèn)證證據(jù)的范圍。

圖 2.LDRA 工具套件與 Microchip 的 PolarFire SoC 集成。

Frontgrade Gaisler 等供應(yīng)商為空間系統(tǒng)等專業(yè)應(yīng)用提供抗輻射 RISC-V 硬件。這拓寬了 RISC-V 的使用案例，使團(tuán)隊(duì)能夠在保持認(rèn)證嚴(yán)謹(jǐn)性的同時(shí)準(zhǔn)確提供所需的內(nèi)容。

降低供應(yīng)鏈風(fēng)險(xiǎn)

安全認(rèn)證流程需要對(duì)供應(yīng)鏈完整性進(jìn)行全面記錄。RISC-V 的開放式模型通過支持多種采購(gòu)策略來滿足這一要求。開發(fā)團(tuán)隊(duì)可以實(shí)施來自不同供應(yīng)商的相同處理器配置，從而促進(jìn)供應(yīng)鏈多樣性和安全案例文檔。

在記錄持續(xù)的適航性或汽車安全完整性等級(jí) （ASIL） 合規(guī)性時(shí)，這種架構(gòu)獨(dú)立性對(duì)于長(zhǎng)生命周期的航空航天和汽車應(yīng)用來說變得非常有價(jià)值。在不更改架構(gòu)的情況下更換供應(yīng)商可在組件過時(shí)時(shí)簡(jiǎn)化重新認(rèn)證流程。

RISC-V 結(jié)合了架構(gòu)優(yōu)勢(shì)、擴(kuò)展的工具支持和預(yù)認(rèn)證的組件，使 RISC-V 對(duì)安全關(guān)鍵型應(yīng)用更具吸引力。通過在實(shí)施過程中周到地解決認(rèn)證要求，嵌入式開發(fā)團(tuán)隊(duì)可以使用 RISC-V 的功能來簡(jiǎn)化認(rèn)證過程，同時(shí)確保系統(tǒng)的安全性和可靠性。