1 范圍

      本標準給出了可編程邏輯器件軟件安全性設計的指導和建議，并給出了需考慮要點有關的信息。

      本標準適用于可編程邏輯器件軟件的系統需求分析、軟件需求分析、設計和實現時的安全性設計。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 11457-2006 信息技術 軟件工程術語

      GB/T 18349 集成電路/計算機硬件描述語言 Verilog

      GB/T 33781-2017 可編程邏輯器件軟件開發通用要求

      GB/T 33783-2017 可編程邏輯器件軟件測試指南

3 術語和定義

      GB/T 11457-2006、GB/T 33781-2017和GB/T 33783-2017界定的以及下列術語和定義適用于本文件。

3.1

      可編程邏輯器件 programmable logic device

      允許用戶編程（配置）實現所需邏輯功能的器件。

      ［GB/T 33781-2017，定義3.1.1］

3.2

      可編程邏輯器件軟件 programmable logic device software

      針對FPGA、CPLD等可編程邏輯器件進行設計而產生的程序、文檔和數據。

      ［GB/T 33781-2017，定義3.1.5］

3.3

      軟件安全性 software safety

      軟件運行不引起系統事故的能力。

3.4

      軟件失效 software failure

      軟件系統喪失完成規定功能能力的事件。

3.5

      安全關鍵功能 safety critical function

      針對特定的危險事件，為達到或保持受控設備的安全狀態而實現的功能。

3.6

      安全關鍵可編程邏輯器件軟件 safety critical programmable logic device software 具有安全關鍵功能的可編程邏輯器件軟件

3.7

      行波時鐘 ripple clock

      當前一級時序邏輯的數據輸出被用作下一級時序邏輯的時鐘輸入時的時鐘信號。

4 縮略語

      下列縮略語適用于本文件：

      BDA：雙向分析（Bi-Directional Analysis）

      CPLD：復雜可編程邏輯器件（Complex Programmable Logic Device）

      DCM：數字時鐘管理（Digital Clock Manager）

      FMEA：故障模式及影響分析（Failure Modeand Effects Analysis）

      FPGA：現場可編程門陣列（Field Programmable Gate Array）

      FTA：故障樹分析方法（Fault Tree Analysis）

      HDL：硬件描述語言（Hardware Description Language）

      I/O：輸入/輸出（Input/Output）

      IP：知識產權（Intellectual Property）

      PLDS：可編程邏輯器件軟件（Programmable Logic Device Software）

      PLL：鎖相環（Phase Locked Loop）

      VHDL：超高速集成電路硬件描述語言（Very high speed integrated circuit Hardware Description Language)

5 總則

5.1 PLDS安全性設計

      PLDS安全性貫穿于PLDS全生存周期過程，宜與PLDS生存周期過程活動緊密結合。可通過下列過程，保證PLDS設計的安全性：

      a）系統需求分析：

      1）明確系統/分系統中應重點防范的系統危險事件。

      2）根據系統/分系統規格說明和系統/分系統設計說明開展系統級安全性分析，確定PLDS的系統級安全性要求。

      3) 明確提出PLDS的安全性要求，并完全覆蓋系統/分系統規格說明和系統/分系統設計說明中的相關要求。

      4) 明確安全等級。系統人員根據系統危險分析結果以及行業相關規定，確定PLDS的安全性等級。

      5）對于安全關鍵PLDS，安全性需求宜給出重點防范的系統危險事件、失效容限以及安全性保障水平等要求。

      6）給出必要的檢錯、糾錯和容錯要求。

      7）對于安全關鍵PLDS，宜提出失效模式以及規避失效的策略。

      8）根據給出的系統危險事件及失效模式，確定PLDS的安全關鍵功能。

      b）軟件需求分析：

      1）根據系統需求分析時給出的危險事件及失效模式，進一步確認PLDS的安全關鍵功能。

      2）進一步分析系統危險事件及失效模式，根據需要擴充PLDS的安全關鍵功能。

      3）明確應完成的規避失效風險的技術措施。

      4）落實系統需求分析時給出的檢錯、糾錯和容錯要求。

      5）對于安全關鍵PLDS，宜使用故障模式及影響分析、故障樹分析等方法進行安全性分析。

      6）完全覆蓋系統需求分析時提出的安全性要求。

      7）衍生的安全性要求宜反饋到系統需求分析過程，并進一步分析其對于安全性的影響。

      c) 設計和實現：

      1）PLDS設計和實現覆蓋軟件需求分析時給出的所有安全性要求及措施。

      2）依據設計準則或編碼標準開展PLDS設計和實現。

      3）根據可編程邏輯器件的安全關鍵功能，確定PLDS的安全關鍵部件和單元。

      4）對安全關鍵部件和單元進行安全性分析和測試，測試宜覆蓋所有的安全性要求。

      5）配置項級別宜明確防止錯誤擴大化的措施，如數據處理時前一幀錯誤數據不會影響后續正常數據的處理。

      6）衍生的安全性要求宜反饋到需求分析過程，并進一步分析其對于安全性的影響。

5.2 PLDS更改

      確定PLDS繼承性，對已納入配置管理的受控PLDS的更改宜進行影響域分析，并分析PLDS更改對系統安全的影響，重點關注PLDS更改對時序關系的影響。

5.3 PLDS外購、外協或重用

      安全關鍵軟件采用外購、外協軟件或重用軟件時，重點關注：

      a）決定重用某PLDS或使用IP核來完成安全關鍵功能之前，確定其適用性，并充分分析其安全性影響。在PLDS開發過程中，對重用PLDS產品及IP核進行安全性分析和評價，并對其進行驗證，確定不存在不可接受的安全性風險。

      b）外協PLDS產品的需方對外協產品的安全性負責，對外協產品的開發過程進行監控，并對外協產品進行安全性分析和評價。

6 需要考慮的因素

6.1 系統需求分析

      在系統需求分析中，分析系統的結構、功能、性能需求、工作環境、實際外部接口時序（考慮外部電路對信號延時的影響）等對PLDS的設計需求，需要明確的內容包括：

      a）應遵循的相關安全性標準。

      b）編程語言建議選用VHDL或 VerVerilog HDL，使用 Verilog HDL宜遵循GB/T 18349中要求。

      c）繼承性要求。

      d）可編程邏輯器件的運行環境。

      e）可編程邏輯器件的開發環境。

      f）可編程邏輯器件的功耗要求。

      g）可編程邏輯器件芯片規格。確認選用的可編程邏輯器件的芯片等級、速度等級、設計資源數、工作頻率、封裝、抗空間輻照等指標滿足要求。

      h）系統分配給PLDS功能的合理性分析。分配的軟件任務復雜度不宜超出可編程邏輯器件的能力范圍。

      i) 使用片上可編程系統要求。若使用片上可編程系統，按軟件相關標準分析處理器軟件的安全性要求。

      j) 接口和信號要求。給出所有接口和信號描述，明確上電及復位后接口信號狀態和管腳綁定要求。

      k）軟件可編程要求。針對與軟件配合工作的可編程邏輯器件，明確軟件對PLDS的操作要求、操作時序以及接口協議，包括可編程寄存器名稱、地址、復位狀態、讀/寫操作等。

      1）IP核復用要求。對IP核進行安全性分析、評價及驗證，確定其不存在不可接受的安全性風險。

      m）安全性設計要求。如給定的錯誤情況如何處理。

      n）余量要求。包括時鐘頻率和可編程邏輯器件邏輯資源、管腳資源使用等。

      o）如有抗空間輻照設計要求，對有單粒子效應敏感的靜態隨機存儲器型可編程邏輯器件宜提出抗單粒子效應防護設計要求，如采用三模冗余設計、糾/檢錯編碼設計、動態刷新等設計方法。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。