嵌入式视觉要考虑哪些安全性与保密性问题

作者：Aaron Behman 和 Adam Taylor

嵌入式视觉 (EV) 系统的广泛应用已经是无所不在，高级驾驶员辅助系统 (ADAS)、机器视觉、医疗成像、增强现实以及众多其他应用等等， 都离不开一个高效的嵌入式系统平台。

　　然而， 采用 EV 系统虽然能给最终应用带来明显优势，但也要确保采用该系统后不会造成人身伤亡或财产损失，这对开发人员来说义不容辞。要做到这点，不仅要考虑设计的安全性，严格遵循工程寿命周期和公认标准，还需要考虑 EV 系统的保密性，防止被恶意或其它方式修改。

　　EV 系统的终端应用是安全性和保密性需求强弱的驱动因素。例如，消费类应用对于安全性和保密性的要求，就比 ADAS 或机器视觉系统的要求低得多。

　　为在这些设计考虑因素和安全性与保密性要求方面协助我们，行业制定了多个知名的国际标准（如 IEC61508），为众多要求功能安全性的电子系统保驾护航。另外，还有更多专用标准，例如用于汽车应用的 ISO26262、用于机器设备的 IEC62061 和用于飞行应用的 DO178/DO254。此外，根据最终市场的情况，商业应用也要求 CE、UL 或 CSA 标识。这些标准中的每一项都有相应的开发和验证要求，需要落实在机构的工程设计和交付生命周期中以确保合规性。

　　而 EV 系统的核心是处理内核，该系统一般会采用一个 FPGA 或可编程的 SoC，以用于解决目前提出的一系列问题。

这些标准的实际意义是什么？
许多此类安全标准使用不同的名称定义安全级别，比如 IEC61508 的“安全完整性级别”（SIL）、DO254 的“设计保障级别”（DAL）和 ISO26262 的“汽车 SIL”（ASIL）。在 SIL、DAL 和 ASIL 内包含一系列不同级别，可根据应用的危害程度采用不同的安全级别。一般来说，这些级别是按失效时间（小时数）定义的，正确的说法是“失效时间（小时数）”。虽然这些不同的标准总体上保持一致，但也存在如下差异。

表1：安全标准和不同级别

在开展设计分析时，会演示如何达到认证要求的级别。工程师习惯使用时间失效（FIT）率，即失效时间（小时数）的倒数。在 SIL4 和 DAL A 安全级别下运行时，这要求采用正确架构的系统来实现这些要求。

系统考虑因素
安全系统的开发要求出色的系统工程设计，同时在每个开发层级上配合明确定义且可跟踪的要求。

　　如上所述，工程生命周期由最终应用和所需的结果认证共同决定。该生命周期将决定从 EV 系统的概念、生产到处置所采取的总体工程方法。

　　在这个生命周期内，您可以定义工程评审门，以控制项目的进展。在这些评审中，由独立技术专家审核需求、设计、技术报告和测试结果，以确保设计成熟度足以支撑进入到下一阶段，或是需要进行进一步工作来达到所需的依据标准要求。

图 1：交付与工程生命周期示例

工程计划也要勾勒出每个层级的验证和确认流程，通过履行这一流程获得达到适用标准合规要求的证据。这可能要求在各种环境工作范围、动态振动与冲击下测试 EV 系统。您甚至可能必须让 EV 系统接受加速寿命测试，以确保能够达到系统的使用寿命。

　　当涉及到保密性时，您必须考虑一系列方面的因素，即工程师在试图确保其设计安全性时面临的高层次问题。这些方面包括如下：
●　竞争对手对设计进行逆向工程 *** 作
●　未经授权对设计的改动
●　未经授权访问设计中的数据
●　未经授权控制或 *** 控最终应用

有多种方法可供您解决一部分此类难题。您可以使用加密比特流，从而控制对设计和制造文件的访问。或是您可以通过限制对最终产品 JTAG 端口的访问，同时根据选择的器件的架构采取软件保密性措施，可以保护物理设计。

高质量设计
显然您需要根据终端应用应用考虑选择什么样的组件和制造标准，以确保您符合应用的质量要求。在处理内核方面，您可以使用赛灵思 FPGA 和 SoC 器件，此类器件既符合标准商用质量标准的等级，也符合工业、汽车、航空航天与军用等更严苛标准的等级。这样通过选择正确的组件等级，工程师团队从一开始就提高质量。