1 范围

      本标准给出了可编程逻辑器件软件安全性设计的指导和建议，并给出了需考虑要点有关的信息。

      本标准适用于可编程逻辑器件软件的系统需求分析、软件需求分析、设计和实现时的安全性设计。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 11457-2006 信息技术 软件工程术语

      GB/T 18349 集成电路/计算机硬件描述语言 Verilog

      GB/T 33781-2017 可编程逻辑器件软件开发通用要求

      GB/T 33783-2017 可编程逻辑器件软件测试指南

3 术语和定义

      GB/T 11457-2006、GB/T 33781-2017和GB/T 33783-2017界定的以及下列术语和定义适用于本文件。

3.1

      可编程逻辑器件 programmable logic device

      允许用户编程（配置）实现所需逻辑功能的器件。

      ［GB/T 33781-2017，定义3.1.1］

3.2

      可编程逻辑器件软件 programmable logic device software

      针对FPGA、CPLD等可编程逻辑器件进行设计而产生的程序、文档和数据。

      ［GB/T 33781-2017，定义3.1.5］

3.3

      软件安全性 software safety

      软件运行不引起系统事故的能力。

3.4

      软件失效 software failure

      软件系统丧失完成规定功能能力的事件。

3.5

      安全关键功能 safety critical function

      针对特定的危险事件，为达到或保持受控设备的安全状态而实现的功能。

3.6

      安全关键可编程逻辑器件软件 safety critical programmable logic device software 具有安全关键功能的可编程逻辑器件软件

3.7

      行波时钟 ripple clock

      当前一级时序逻辑的数据输出被用作下一级时序逻辑的时钟输入时的时钟信号。

4 缩略语

      下列缩略语适用于本文件：

      BDA：双向分析（Bi-Directional Analysis）

      CPLD：复杂可编程逻辑器件（Complex Programmable Logic Device）

      DCM：数字时钟管理（Digital Clock Manager）

      FMEA：故障模式及影响分析（Failure Modeand Effects Analysis）

      FPGA：现场可编程门阵列（Field Programmable Gate Array）

      FTA：故障树分析方法（Fault Tree Analysis）

      HDL：硬件描述语言（Hardware Description Language）

      I/O：输入/输出（Input/Output）

      IP：知识产权（Intellectual Property）

      PLDS：可编程逻辑器件软件（Programmable Logic Device Software）

      PLL：锁相环（Phase Locked Loop）

      VHDL：超高速集成电路硬件描述语言（Very high speed integrated circuit Hardware Description Language)

5 总则

5.1 PLDS安全性设计

      PLDS安全性贯穿于PLDS全生存周期过程，宜与PLDS生存周期过程活动紧密结合。可通过下列过程，保证PLDS设计的安全性：

      a）系统需求分析：

      1）明确系统/分系统中应重点防范的系统危险事件。

      2）根据系统/分系统规格说明和系统/分系统设计说明开展系统级安全性分析，确定PLDS的系统级安全性要求。

      3) 明确提出PLDS的安全性要求，并完全覆盖系统/分系统规格说明和系统/分系统设计说明中的相关要求。

      4) 明确安全等级。系统人员根据系统危险分析结果以及行业相关规定，确定PLDS的安全性等级。

      5）对于安全关键PLDS，安全性需求宜给出重点防范的系统危险事件、失效容限以及安全性保障水平等要求。

      6）给出必要的检错、纠错和容错要求。

      7）对于安全关键PLDS，宜提出失效模式以及规避失效的策略。

      8）根据给出的系统危险事件及失效模式，确定PLDS的安全关键功能。

      b）软件需求分析：

      1）根据系统需求分析时给出的危险事件及失效模式，进一步确认PLDS的安全关键功能。

      2）进一步分析系统危险事件及失效模式，根据需要扩充PLDS的安全关键功能。

      3）明确应完成的规避失效风险的技术措施。

      4）落实系统需求分析时给出的检错、纠错和容错要求。

      5）对于安全关键PLDS，宜使用故障模式及影响分析、故障树分析等方法进行安全性分析。

      6）完全覆盖系统需求分析时提出的安全性要求。

      7）衍生的安全性要求宜反馈到系统需求分析过程，并进一步分析其对于安全性的影响。

      c) 设计和实现：

      1）PLDS设计和实现覆盖软件需求分析时给出的所有安全性要求及措施。

      2）依据设计准则或编码标准开展PLDS设计和实现。

      3）根据可编程逻辑器件的安全关键功能，确定PLDS的安全关键部件和单元。

      4）对安全关键部件和单元进行安全性分析和测试，测试宜覆盖所有的安全性要求。

      5）配置项级别宜明确防止错误扩大化的措施，如数据处理时前一帧错误数据不会影响后续正常数据的处理。

      6）衍生的安全性要求宜反馈到需求分析过程，并进一步分析其对于安全性的影响。

5.2 PLDS更改

      确定PLDS继承性，对已纳入配置管理的受控PLDS的更改宜进行影响域分析，并分析PLDS更改对系统安全的影响，重点关注PLDS更改对时序关系的影响。

5.3 PLDS外购、外协或重用

      安全关键软件采用外购、外协软件或重用软件时，重点关注：

      a）决定重用某PLDS或使用IP核来完成安全关键功能之前，确定其适用性，并充分分析其安全性影响。在PLDS开发过程中，对重用PLDS产品及IP核进行安全性分析和评价，并对其进行验证，确定不存在不可接受的安全性风险。

      b）外协PLDS产品的需方对外协产品的安全性负责，对外协产品的开发过程进行监控，并对外协产品进行安全性分析和评价。

6 需要考虑的因素

6.1 系统需求分析

      在系统需求分析中，分析系统的结构、功能、性能需求、工作环境、实际外部接口时序（考虑外部电路对信号延时的影响）等对PLDS的设计需求，需要明确的内容包括：

      a）应遵循的相关安全性标准。

      b）编程语言建议选用VHDL或 VerVerilog HDL，使用 Verilog HDL宜遵循GB/T 18349中要求。

      c）继承性要求。

      d）可编程逻辑器件的运行环境。

      e）可编程逻辑器件的开发环境。

      f）可编程逻辑器件的功耗要求。

      g）可编程逻辑器件芯片规格。确认选用的可编程逻辑器件的芯片等级、速度等级、设计资源数、工作频率、封装、抗空间辐照等指标满足要求。

      h）系统分配给PLDS功能的合理性分析。分配的软件任务复杂度不宜超出可编程逻辑器件的能力范围。

      i) 使用片上可编程系统要求。若使用片上可编程系统，按软件相关标准分析处理器软件的安全性要求。

      j) 接口和信号要求。给出所有接口和信号描述，明确上电及复位后接口信号状态和管脚绑定要求。

      k）软件可编程要求。针对与软件配合工作的可编程逻辑器件，明确软件对PLDS的操作要求、操作时序以及接口协议，包括可编程寄存器名称、地址、复位状态、读/写操作等。

      1）IP核复用要求。对IP核进行安全性分析、评价及验证，确定其不存在不可接受的安全性风险。

      m）安全性设计要求。如给定的错误情况如何处理。

      n）余量要求。包括时钟频率和可编程逻辑器件逻辑资源、管脚资源使用等。

      o）如有抗空间辐照设计要求，对有单粒子效应敏感的静态随机存储器型可编程逻辑器件宜提出抗单粒子效应防护设计要求，如采用三模冗余设计、纠/检错编码设计、动态刷新等设计方法。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。