ICS和OT监控系统尽在您的掌握中

极火® SoC FPGA在确凿的RCHD-PF系统模块中的应用

运营技术 （OT） 以及运输和工业控制系统 （ICS） 经常被迫在安全性和更新方面做出让步，以便在不中断的情况下提供关键功能。保持它们的安全、无错误和抗故障并非易事。幸运的是，由于Microchip在安全高效的片上系统（SoC）设计方面的进步，Concruusive Engineering开发了一种专用于该任务的小型器件 - Orchid系列RCHD-PF模块系统，采用PolarFire® SoC FPGA。

对逆境的风险厌恶

21世纪的前几十年对现代运营技术系统进行了前所未有的一系列考验。我们已经看到了针对整个国家电网的定制恶意软件，Bitlocker恶意软件意外感染关键系统，智能汽车漏洞，飞机因设计问题而严重故障，最近的泛欧火车系统锁定 - 这只是冰山一角。随着OT系统变得越来越复杂，保证其持续运行和安全性变得越来越困难。但这可以使用先进的记录和监控设备进行修改，这些设备允许在系统运行期间对其进行连续测试，从而提供抗故障性和对不良事件前所未有的反应时间。

超越默认可靠性

作为一个行业，我们在很大程度上已经从专用的专有黑匣子解决方案过渡到适应单个任务的开源准系统。虽然这解决了许多与安全和维护相关的问题，但软件和硬件系统的日益复杂，加上高昂的更新成本，带来了不同类型的问题。使用外部日志记录和管理引擎系统可以解决这些问题，提供快速调试和错误检测。

背景和遗产

当今OT系统、运输自动化以及监控和数据采集（SCADA）网络的起源在过去汇聚到一个点上。1968年，通用汽车公司根据爱德华·克拉克（Edward R. Clark）的白皮书订购了一种定制设备，以取代他们用于制造车辆变速器的继电器系统。这就是第一个可编程逻辑控制器诞生的方式——在过去的几十年里，这个系统取代了可靠但不灵活的机电继电器逻辑。五年多后，站在巨人的肩膀上，我们正在用软件可配置的工厂、数据驱动的即时制造和全自动运输系统等理念来塑造人类的未来。进入工业4.0。

然而，我们的传统及其所有好处也存在缺点。在运营技术和运输这样规避风险的领域前进并非易事。一个小小的失误就可能冻结整个国家的通信基础设施，或者延迟数十万台的生产，从而对供应链造成连锁破坏。关键基础设施的一次更新可能花费数百万欧元（如果失败则花费数亿欧元），如果无法回滚，则损失数十亿欧元。另一方面，过时的系统可能会在长时间的连续运行中积累问题和意外行为，并对系统的整体安全性产生极其负面的影响。找到正确的平衡通常很困难，如果不是不可能的话。

这造成了不可避免的且不断增长的风险差距。一方面，系统过时的危险，维护成本很高，故障风险每天都在增加。另一方面，与使此类系统保持最新相关的风险和成本，包括测试、认证、现有代码库的迁移和不可预测的停机时间。在这种环境中，运营的风险和成本不断累积，迫在眉睫的故障可能会以前所未有的规模造成致命的后果。我们解决这个问题的唯一方法是承认问题，适应并提供更智能的解决方案来缩小或减少风险差距。

通过硬件监控器实现更智能的可靠性

在Concruusive Engineering，我们一直在思考这样一个更智能的解决方案，一个能够成为现有系统主管的设备，一个远程终端单元或一个功能齐全的SCADA节点，能够作为高能效的边缘计算模块执行各种任务，具有低热足迹。得益于Microchip的PolarFire SoC FPGA，它将实时和具有Linux功能的RISC-V处理器与PolarFire FPGA结构集成在一个超级安全、防篡改的封装中，我们能够将这个想法变为现实。

RCHD-PF SoM：

RCHD-PF-EVAL 评估板：

我们的工作成果是RCHD-PF，这是一个小型的模块系统（SoM），设计时考虑了OT和运输应用。其预期用途是调试具有机器计算机接口、调试日志收集、模拟数据处理、将系统事件与转向系统的模拟输出及其传感器读数相匹配的持续在线系统。但是，由于设备的处理能力，它也可以用作调试器，监督系统，远程终端单元，视觉处理单元或多用途节点，并且根据工作负载，它可以一次执行其中的几项任务。通过应用程序域分离可以实现此类操作的安全性。由于我们提供全栈嵌入式定制交钥匙解决方案，因此该板可以与各种各样的软件一起交付，包括裸机、FreeBSD、基于 Linux 的操作系统、seL4、Zephyr、FreeRTOS 和其他操作系统，并经过必要的内核和驱动程序修改，使系统在其预期的应用中脱颖而出。此外，该开发板的安全性非常出色 - 它可以在对手直接访问的环境中工作，防止代码篡改或机密提取。这对于遗留系统尤其重要 - 在 RCHD-PF 上运行正确设计的测试可以检测受监督系统的不当行为，以检测和防止执行受损代码的后果。为了提高其安全性，它可以完全与受监督系统隔离，确保无法对SoM进行写入访问。此外，SoM 的可更换特性可以提供 OT 设备的就地升级和快速回滚，而不会超过允许的停机时间，通常以分钟为单位，每月或每年。

所有这些都来自遵循最佳系统模块设计实践的设计。RCHD-PF是一个比信用卡小30%的模块，伴随着更大的RCHD-PF-EVAL评估模块，将RCHD-PF的功能扩展到标准化连接器，并提供一些附加功能，如SFP+，使用RCHD-PF的通用通信协议实现。它可以插入提供 PCIe 插槽的现有系统，并通过通用的 4 针 Molex 型连接器在父设备外壳内部供电。我们可以根据客户要求提供评估板的定制外形尺寸，也可以定制RCHD-PF本身。

RCHD-PF支持一系列利用FCVG484插座的Microchip片上系统，提供高达254K LUT的现场可编程门阵列（FPGA）变体。FPGA 能够实现机器视觉和高达 4K 双视频处理。板载RISC-V处理器的工作频率为667 MHz，可提供约2030 CoreMark的性能，比最接近的同类非RISC-V解决方案的效率高出55%。该 SoC 具有 PolarFire 系列的典型防篡改功能，包括差分功率分析和物理不可克隆功能，这使得正确配置的 SoC 不受装备精良的对手最复杂和最昂贵的篡改尝试的影响。

审核编辑：郭婷