1 范圍

      本標(biāo)準(zhǔn)給出了可編程邏輯器件軟件安全性設(shè)計的指導(dǎo)和建議，并給出了需考慮要點有關(guān)的信息。

      本標(biāo)準(zhǔn)適用于可編程邏輯器件軟件的系統(tǒng)需求分析、軟件需求分析、設(shè)計和實現(xiàn)時的安全性設(shè)計。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 11457-2006 信息技術(shù) 軟件工程術(shù)語

      GB/T 18349 集成電路/計算機(jī)硬件描述語言 Verilog

      GB/T 33781-2017 可編程邏輯器件軟件開發(fā)通用要求

      GB/T 33783-2017 可編程邏輯器件軟件測試指南

3 術(shù)語和定義

      GB/T 11457-2006、GB/T 33781-2017和GB/T 33783-2017界定的以及下列術(shù)語和定義適用于本文件。

3.1

      可編程邏輯器件 programmable logic device

      允許用戶編程（配置）實現(xiàn)所需邏輯功能的器件。

      ［GB/T 33781-2017，定義3.1.1］

3.2

      可編程邏輯器件軟件 programmable logic device software

      針對FPGA、CPLD等可編程邏輯器件進(jìn)行設(shè)計而產(chǎn)生的程序、文檔和數(shù)據(jù)。

      ［GB/T 33781-2017，定義3.1.5］

3.3

      軟件安全性 software safety

      軟件運(yùn)行不引起系統(tǒng)事故的能力。

3.4

      軟件失效 software failure

      軟件系統(tǒng)喪失完成規(guī)定功能能力的事件。

3.5

      安全關(guān)鍵功能 safety critical function

      針對特定的危險事件，為達(dá)到或保持受控設(shè)備的安全狀態(tài)而實現(xiàn)的功能。

3.6

      安全關(guān)鍵可編程邏輯器件軟件 safety critical programmable logic device software 具有安全關(guān)鍵功能的可編程邏輯器件軟件

3.7

      行波時鐘 ripple clock

      當(dāng)前一級時序邏輯的數(shù)據(jù)輸出被用作下一級時序邏輯的時鐘輸入時的時鐘信號。

4 縮略語

      下列縮略語適用于本文件：

      BDA：雙向分析（Bi-Directional Analysis）

      CPLD：復(fù)雜可編程邏輯器件（Complex Programmable Logic Device）

      DCM：數(shù)字時鐘管理（Digital Clock Manager）

      FMEA：故障模式及影響分析（Failure Modeand Effects Analysis）

      FPGA：現(xiàn)場可編程門陣列（Field Programmable Gate Array）

      FTA：故障樹分析方法（Fault Tree Analysis）

      HDL：硬件描述語言（Hardware Description Language）

      I/O：輸入/輸出（Input/Output）

      IP：知識產(chǎn)權(quán)（Intellectual Property）

      PLDS：可編程邏輯器件軟件（Programmable Logic Device Software）

      PLL：鎖相環(huán)（Phase Locked Loop）

      VHDL：超高速集成電路硬件描述語言（Very high speed integrated circuit Hardware Description Language)

5 總則

5.1 PLDS安全性設(shè)計

      PLDS安全性貫穿于PLDS全生存周期過程，宜與PLDS生存周期過程活動緊密結(jié)合?？赏ㄟ^下列過程，保證PLDS設(shè)計的安全性：

      a）系統(tǒng)需求分析：

      1）明確系統(tǒng)/分系統(tǒng)中應(yīng)重點防范的系統(tǒng)危險事件。

      2）根據(jù)系統(tǒng)/分系統(tǒng)規(guī)格說明和系統(tǒng)/分系統(tǒng)設(shè)計說明開展系統(tǒng)級安全性分析，確定PLDS的系統(tǒng)級安全性要求。

      3) 明確提出PLDS的安全性要求，并完全覆蓋系統(tǒng)/分系統(tǒng)規(guī)格說明和系統(tǒng)/分系統(tǒng)設(shè)計說明中的相關(guān)要求。

      4) 明確安全等級。系統(tǒng)人員根據(jù)系統(tǒng)危險分析結(jié)果以及行業(yè)相關(guān)規(guī)定，確定PLDS的安全性等級。

      5）對于安全關(guān)鍵PLDS，安全性需求宜給出重點防范的系統(tǒng)危險事件、失效容限以及安全性保障水平等要求。

      6）給出必要的檢錯、糾錯和容錯要求。

      7）對于安全關(guān)鍵PLDS，宜提出失效模式以及規(guī)避失效的策略。

      8）根據(jù)給出的系統(tǒng)危險事件及失效模式，確定PLDS的安全關(guān)鍵功能。

      b）軟件需求分析：

      1）根據(jù)系統(tǒng)需求分析時給出的危險事件及失效模式，進(jìn)一步確認(rèn)PLDS的安全關(guān)鍵功能。

      2）進(jìn)一步分析系統(tǒng)危險事件及失效模式，根據(jù)需要擴(kuò)充PLDS的安全關(guān)鍵功能。

      3）明確應(yīng)完成的規(guī)避失效風(fēng)險的技術(shù)措施。

      4）落實系統(tǒng)需求分析時給出的檢錯、糾錯和容錯要求。

      5）對于安全關(guān)鍵PLDS，宜使用故障模式及影響分析、故障樹分析等方法進(jìn)行安全性分析。

      6）完全覆蓋系統(tǒng)需求分析時提出的安全性要求。

      7）衍生的安全性要求宜反饋到系統(tǒng)需求分析過程，并進(jìn)一步分析其對于安全性的影響。

      c) 設(shè)計和實現(xiàn)：

      1）PLDS設(shè)計和實現(xiàn)覆蓋軟件需求分析時給出的所有安全性要求及措施。

      2）依據(jù)設(shè)計準(zhǔn)則或編碼標(biāo)準(zhǔn)開展PLDS設(shè)計和實現(xiàn)。

      3）根據(jù)可編程邏輯器件的安全關(guān)鍵功能，確定PLDS的安全關(guān)鍵部件和單元。

      4）對安全關(guān)鍵部件和單元進(jìn)行安全性分析和測試，測試宜覆蓋所有的安全性要求。

      5）配置項級別宜明確防止錯誤擴(kuò)大化的措施，如數(shù)據(jù)處理時前一幀錯誤數(shù)據(jù)不會影響后續(xù)正常數(shù)據(jù)的處理。

      6）衍生的安全性要求宜反饋到需求分析過程，并進(jìn)一步分析其對于安全性的影響。

5.2 PLDS更改

      確定PLDS繼承性，對已納入配置管理的受控PLDS的更改宜進(jìn)行影響域分析，并分析PLDS更改對系統(tǒng)安全的影響，重點關(guān)注PLDS更改對時序關(guān)系的影響。

5.3 PLDS外購、外協(xié)或重用

      安全關(guān)鍵軟件采用外購、外協(xié)軟件或重用軟件時，重點關(guān)注：

      a）決定重用某PLDS或使用IP核來完成安全關(guān)鍵功能之前，確定其適用性，并充分分析其安全性影響。在PLDS開發(fā)過程中，對重用PLDS產(chǎn)品及IP核進(jìn)行安全性分析和評價，并對其進(jìn)行驗證，確定不存在不可接受的安全性風(fēng)險。

      b）外協(xié)PLDS產(chǎn)品的需方對外協(xié)產(chǎn)品的安全性負(fù)責(zé)，對外協(xié)產(chǎn)品的開發(fā)過程進(jìn)行監(jiān)控，并對外協(xié)產(chǎn)品進(jìn)行安全性分析和評價。

6 需要考慮的因素

6.1 系統(tǒng)需求分析

      在系統(tǒng)需求分析中，分析系統(tǒng)的結(jié)構(gòu)、功能、性能需求、工作環(huán)境、實際外部接口時序（考慮外部電路對信號延時的影響）等對PLDS的設(shè)計需求，需要明確的內(nèi)容包括：

      a）應(yīng)遵循的相關(guān)安全性標(biāo)準(zhǔn)。

      b）編程語言建議選用VHDL或 VerVerilog HDL，使用 Verilog HDL宜遵循GB/T 18349中要求。

      c）繼承性要求。

      d）可編程邏輯器件的運(yùn)行環(huán)境。

      e）可編程邏輯器件的開發(fā)環(huán)境。

      f）可編程邏輯器件的功耗要求。

      g）可編程邏輯器件芯片規(guī)格。確認(rèn)選用的可編程邏輯器件的芯片等級、速度等級、設(shè)計資源數(shù)、工作頻率、封裝、抗空間輻照等指標(biāo)滿足要求。

      h）系統(tǒng)分配給PLDS功能的合理性分析。分配的軟件任務(wù)復(fù)雜度不宜超出可編程邏輯器件的能力范圍。

      i) 使用片上可編程系統(tǒng)要求。若使用片上可編程系統(tǒng)，按軟件相關(guān)標(biāo)準(zhǔn)分析處理器軟件的安全性要求。

      j) 接口和信號要求。給出所有接口和信號描述，明確上電及復(fù)位后接口信號狀態(tài)和管腳綁定要求。

      k）軟件可編程要求。針對與軟件配合工作的可編程邏輯器件，明確軟件對PLDS的操作要求、操作時序以及接口協(xié)議，包括可編程寄存器名稱、地址、復(fù)位狀態(tài)、讀/寫操作等。

      1）IP核復(fù)用要求。對IP核進(jìn)行安全性分析、評價及驗證，確定其不存在不可接受的安全性風(fēng)險。

      m）安全性設(shè)計要求。如給定的錯誤情況如何處理。

      n）余量要求。包括時鐘頻率和可編程邏輯器件邏輯資源、管腳資源使用等。

      o）如有抗空間輻照設(shè)計要求，對有單粒子效應(yīng)敏感的靜態(tài)隨機(jī)存儲器型可編程邏輯器件宜提出抗單粒子效應(yīng)防護(hù)設(shè)計要求，如采用三模冗余設(shè)計、糾/檢錯編碼設(shè)計、動態(tài)刷新等設(shè)計方法。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。