雅特生科技ControlSafe：一个安全的嵌入式计算平台

本刊记者 薛士然

嵌入式计算平台的安全性是很多终端应用产品极为关心的一个问题。随着物联网、大数据成为热点之后，这一特性更被业内所看重。雅特生科技前身是艾默生网络能源的嵌入式计算和电源产品部门，2013年从艾默生独立出来后，继续致力于嵌入式计算系统和嵌入式电源的应用开发。

雅特生科技嵌入式计算产品部市场营销副总裁Peter Barlow在介绍公司产品市场定位时表示，雅特生在做产品开发规划的时候，不会将目光聚焦于太多的方向，而是专注于一些对可靠性和安全性要求比较高的苛刻领域作深入的纵向研究，比如通信、工业、军用、航天、政府等。

近日，雅特生推出了经过三年时间研发的Control-Safe安全平台，这是一套可靠性达到99.9999%（仅适用于雅特生科技提供的软硬件，并假设平均修复时间为4小时）的安全系统，符合SIL4安全认证标准，能够满足面向未来的下一代安全计算平台的需要，目前的应用定位于铁路系统，以后也会延伸到其他行业应用。

众所周知，铁路行业的产品对于可靠性的要求极高，甚至有不少公司为了保证可靠性仍在使用英特尔486的处理器。雅特生科技将ControlSafe安全平台的首站应用就瞄准铁路，说明他们对其具备的可靠性是非常有信心的。

ControlSafe安全平台在嵌入式计算方面的创新

据雅特生科技ControlSafe安全平台副总裁Shlomo Pri-Tal介绍，ControlSafe是开放式的，平台上的所有软件对客户都是透明的，能够帮助客户尽可能减少移植已有应用软件时的修改工作，使客户能够最大限度地节约开发产品的时间和资金成本。而且ControlSafe安全平台采用数据同步架构而非时钟同步，从而能保证开发平台的透明性，使得其既能支持高性能的现代处理器，也可确保客户在将来对处理器进行升级时仍能保留相同的输入/输出。

雅特生科技的相关工作人员表示，虽然开放性也会给安全性带来一定的挑战，但是就像手机操作系统的发展一样，铁路中使用的很多平台未来的发展趋势也是逐步走向开放的。ControlSafe以其99.9999%的高可靠性前提保证，向开放性迈出了一大步。

99.9999%的可靠性安全保证关键在于硬件架构

ControlSafe安全平台是由两台完全相同的ControlSafe计算机（CSC）组成的冗余系统，每台CSC都具备故障安全功能。两台CSC之间由一台安全继电器盒（SRB）连接，负责实时监控平台内部两台CSC的运行健康状态。SRB会指定其中一台CSC为“主机”，另一台为备机。当“主机”发生失效时，SRB能够实时检测到故障信号并实施两台CSC之间的状态切换，以确保整个安全系统继续正常运行。在ControlSafe安全平台下，作为“主机”的CSC可以通过客户的应用程序来具体控制数据的输入/输出。而作为“备机”的CSC虽然也运行在同一应用程序下，但除非有特殊的应用定制需求，否则此CSC不会驱动任何数据输出。

除了有两个CSC的冗余系统保证安全之外，运行在每一台CSC里的核心组件也是两片完全相同的CPU模块。ControlSafe安全平台在数据同步模式下采用二取二表决机制，一旦系统运行过程中，“主机”内部的两片CPU模块出现表决不一致的状况，“主机”会立刻将自身的运行状态标定为“非健康”，并向SRB发出相应的状态信号，SRB随即将备用CSC切换为“主机”，出现故障的则被隔离直至重新修复。

因此，ControlSafe安全平台的设计架构能够杜绝将错误数据输出到外部设备。

系统实现升级十分容易

ControlSafe安全平台的所有模块都采用基于Freescale处理器和Wind River Vx Works 653操作系统的相同架构，能够有效简化客户的软件开发环境，提高开发效率，降低开发成本。ControlSafe安全平台能够为客户提供15年的产品寿命以及25年的技术支持和维护服务，所以产品的升级问题就需要特别考虑。Shlomo Pri-Tai表示，在满足客户需要的前提下，ControlSafe会继续升级CPU，系统的扩容也可以通过加载输入/输出扩展盒来完成，而且所有模块都支持软件和固件的远程在线升级，不会对系统的正常运行造成不良影响。

节约客户安全认证成本

苛刻行业对于安全认证的要求是非常严格的，Control-Safe安全平台在软件和硬件方面分别遵循EN 50128 SIL4和EN 50129 SIL4的设计标准，在可靠性、可用性、可维护性和安全性方面遵循EN 50126的相关规定。客户使用ControlSafe安全平台进一步开发时，只需关注于自己所开发应用的安全认证，而且雅特生能够为客户提供全面的安全文档，为客户在系统认证上节约大量成本。

提供一个安全的嵌入式计算系统，这是雅特生科技给客户做出的承诺。