用于安全關(guān)鍵系統(tǒng)認證的 RISC-V 實施策略

對于使用基于 RISC-V 的平臺的開發(fā)人員，該架構(gòu)提供了獨特的功能，可幫助實現(xiàn)功能安全和信息安全目標(biāo)。例如，從開放式架構(gòu)到豐富的工具生態(tài)系統(tǒng)，安全關(guān)鍵型軟件團隊看到了滿足 DO-178C 和 ISO 26262 準(zhǔn)則的好處，以及減少合規(guī)工作的機會。

了解如何將 RISC-V 的模塊化、簡單性和可擴展性與行業(yè)標(biāo)準(zhǔn)對應(yīng)起來可能很困難。本文介紹了開發(fā)人員可以利用 RISC-V 實現(xiàn)認證安全關(guān)鍵型系統(tǒng)的合規(guī)性的七種方式。

降低系統(tǒng)復(fù)雜性

RISC-V 的開放標(biāo)準(zhǔn)指令集架構(gòu) （ISA） 與專有架構(gòu)相比具有多項認證優(yōu)勢。例如，其全新的設(shè)計消除了傳統(tǒng)架構(gòu)的傳統(tǒng)兼容性限制，這些限制通常會使安全認證復(fù)雜化。ISA 的小基整數(shù)集允許處理器設(shè)計人員僅實現(xiàn)所需的功能，而不會引入不必要的復(fù)雜性和開銷。

這種簡單性還減少了構(gòu)建和驗證確定性系統(tǒng)及其潛在攻擊面的挑戰(zhàn)，這是認證機構(gòu)的關(guān)鍵考慮因素。

在其免版稅許可下，開發(fā)人員在針對特定使用案例修改 RISC-V 實施時不會產(chǎn)生額外費用。該平臺還不包含敏感 IP，從而限制了制造商對其設(shè)計的潛在責(zé)任。

圖 1.RISC-V 如何實現(xiàn)保護嵌入式系統(tǒng)的左移實踐

軟硬件接口規(guī)范

ISO 26262 要求精確記錄軟硬件接口 （HSI）。RISC-V 的模塊化設(shè)計通過將 ISA 的基本功能與其擴展明確分離來支持這一要求。在為安全功能實施自定義擴展時，團隊可以單獨記錄這些添加內(nèi)容，同時維護基本架構(gòu)的標(biāo)準(zhǔn)接口文檔。這種分離支持接口規(guī)范和驗證的認證要求，并使其更容易捕獲需求可追溯性。

確定性執(zhí)行

DO-178C 確定了對最壞情況執(zhí)行時間 （WCET） 進行分析的必要性，并在 §6.3（軟件審查和分析）、§6.3.4（源代碼的審查和分析）和 §11.20（軟件完成摘要）中進行了討論。EASA AMC 20-193 和 FAA AC 20-193 提供了證明執(zhí)行時間從未超過其分配窗口的指南。

RISC-V 的高速緩存管理策略通過在運行時啟用確定性執(zhí)行，在滿足這些要求方面具有優(yōu)勢。將 2 級高速緩存內(nèi)存映射實施為 RAM 的能力使開發(fā)人員能夠更好地控制系統(tǒng)延遲，并協(xié)助進行認證所需的最壞情況執(zhí)行時間 （WCET） 分析。

實現(xiàn)不同的冗余

RISC-V 的開放式架構(gòu)可幫助開發(fā)人員為需要 DO-178C 設(shè)計保證 A 級 （DAL-A） 的系統(tǒng)實施不同的冗余機制。他們可以在同一系統(tǒng)中采用不同的處理器配置，也可以選擇不同的 RISC-V 供應(yīng)商解決方案，同時保持架構(gòu)一致性。他們還可以選擇對具有不同安全要求和認證級別的混合關(guān)鍵系統(tǒng)使用完全不同的架構(gòu)。

這些方法簡化了共模故障保護所需的認證證據(jù)。

來自不斷增長的生態(tài)系統(tǒng)的支持

不斷壯大的硬件和軟件供應(yīng)商生態(tài)系統(tǒng)認識到 RISC-V 的價值。2023 年，英偉達、高通、晶心、谷歌和其他公司啟動了 RISC-V 軟件生態(tài)系統(tǒng) （RISE） 項目，以加速 RISC-V 在消費電子、數(shù)據(jù)中心和汽車產(chǎn)品中的采用。

RISC-V 開發(fā)工具和驗證環(huán)境的成熟度支持整個開發(fā)生命周期的認證活動。較新的工具，例如用于 RISC-V 架構(gòu)的 LDRA 目標(biāo)許可證包 （TLP），提供安全認證所必需的功能，包括：

• 架構(gòu)特征的需求可追溯性

• 多核代碼覆蓋率分析

• 符合 AMC 20-193 標(biāo)準(zhǔn)的 WCET 測量

• 在模擬和物理 RISC-V 處理器上進行單元級和系統(tǒng)級測試

供應(yīng)商的行業(yè)支持通過高度可靠的工作流程簡化了認證流程，從而減少了整體驗證和文檔編制工作。

安全認證的 IP 內(nèi)核和組件

Microchip、SiFive 和 CAST 等供應(yīng)商提供的預(yù)認證 RISC-V IP 內(nèi)核減少了認證工作。這些組件通常包括集成的安全功能，例如錯誤檢測和糾正、看門狗定時器和內(nèi)存保護單元。在實施這些預(yù)認證內(nèi)核時，開發(fā)團隊可以利用現(xiàn)有文檔，從而縮小所需認證證據(jù)的范圍。

圖 2.LDRA 工具套件與 Microchip 的 PolarFire SoC 集成。

Frontgrade Gaisler 等供應(yīng)商為空間系統(tǒng)等專業(yè)應(yīng)用提供抗輻射 RISC-V 硬件。這拓寬了 RISC-V 的使用案例，使團隊能夠在保持認證嚴(yán)謹性的同時準(zhǔn)確提供所需的內(nèi)容。

降低供應(yīng)鏈風(fēng)險

安全認證流程需要對供應(yīng)鏈完整性進行全面記錄。RISC-V 的開放式模型通過支持多種采購策略來滿足這一要求。開發(fā)團隊可以實施來自不同供應(yīng)商的相同處理器配置，從而促進供應(yīng)鏈多樣性和安全案例文檔。

在記錄持續(xù)的適航性或汽車安全完整性等級 （ASIL） 合規(guī)性時，這種架構(gòu)獨立性對于長生命周期的航空航天和汽車應(yīng)用來說變得非常有價值。在不更改架構(gòu)的情況下更換供應(yīng)商可在組件過時時簡化重新認證流程。

RISC-V 結(jié)合了架構(gòu)優(yōu)勢、擴展的工具支持和預(yù)認證的組件，使 RISC-V 對安全關(guān)鍵型應(yīng)用更具吸引力。通過在實施過程中周到地解決認證要求，嵌入式開發(fā)團隊可以使用 RISC-V 的功能來簡化認證過程，同時確保系統(tǒng)的安全性和可靠性。