用于安全关键系统认证的 RISC

对于使用基于 RISC-V 的平台的开发人员，该架构提供了独特的功能，可帮助实现功能安全和信息安全目标。例如，从开放式架构到丰富的工具生态系统，安全关键型软件团队看到了满足 DO-178C 和 ISO 26262 准则的好处，以及减少合规工作的机会。

本文引用地址：

了解如何将 RISC-V 的模块化、简单性和可扩展性与行业标准对应起来可能很困难。本文介绍了开发人员可以利用 RISC-V 实现认证安全关键型系统的合规性的七种方式。

RISC-V 的开放标准指令集架构 （ISA） 与专有架构相比具有多项认证优势。例如，其全新的设计消除了传统架构的传统兼容性限制，这些限制通常会使安全认证复杂化。ISA 的小基整数集允许处理器设计人员仅实现所需的功能，而不会引入不必要的复杂性和开销。

这种简单性还减少了构建和验证确定性系统及其潜在攻击面的挑战，这是认证机构的关键考虑因素。

在其免版税许可下，开发人员在针对特定使用案例修改 RISC-V 实施时不会产生额外费用。该平台还不包含敏感 IP，从而限制了制造商对其设计的潜在责任。

ISO 26262 要求精确记录软硬件接口 （HSI）。RISC-V 的模块化设计通过将 ISA 的基本功能与其扩展明确分离来支持这一要求。在为安全功能实施自定义扩展时，团队可以单独记录这些添加内容，同时维护基本架构的标准接口文档。这种分离支持接口规范和验证的认证要求，并使其更容易捕获需求可追溯性。

DO-178C 确定了对最坏情况执行时间 （WCET） 进行分析的必要性，并在 §6.3（软件审查和分析）、§6.3.4（源代码的审查和分析）和 §11.20（软件完成摘要）中进行了讨论。EASA AMC 20-193 和 FAA AC 20-193 提供了证明执行时间从未超过其分配窗口的指南。

RISC-V 的高速缓存管理策略通过在运行时启用确定性执行，在满足这些要求方面具有优势。将 2 级高速缓存内存映射实施为 RAM 的能力使开发人员能够更好地控制系统延迟，并协助进行认证所需的最坏情况执行时间 （WCET） 分析。

RISC-V 的开放式架构可帮助开发人员为需要 DO-178C 设计保证 A 级 （DAL-A） 的系统实施不同的冗余机制。他们可以在同一系统中采用不同的处理器配置，也可以选择不同的 RISC-V 供应商解决方案，同时保持架构一致性。他们还可以选择对具有不同安全要求和认证级别的混合关键系统使用完全不同的架构。

这些方法简化了共模故障保护所需的认证证据。

不断壮大的硬件和软件供应商生态系统认识到 RISC-V 的价值。2023 年，英伟达、高通、晶心、谷歌和其他公司启动了 RISC-V 软件生态系统 （RISE） 项目，以加速 RISC-V 在消费电子、数据中心和汽车产品中的采用。

RISC-V 开发工具和验证环境的成熟度支持整个开发生命周期的认证活动。较新的工具，例如用于 RISC-V 架构的 LDRA 目标许可证包 （TLP），提供安全认证所必需的功能，包括：

架构特征的需求可追溯性

多核代码覆盖率分析

符合 AMC 20-193 标准的 WCET 测量

在模拟和物理 RISC-V 处理器上进行单元级和系统级测试

供应商的行业支持通过高度可靠的工作流程简化了认证流程，从而减少了整体验证和文档编制工作。

Microchip、SiFive 和 CAST 等供应商提供的预认证 RISC-V IP 内核减少了认证工作。这些组件通常包括集成的安全功能，例如错误检测和纠正、看门狗定时器和内存保护单元。在实施这些预认证内核时，开发团队可以利用现有文档，从而缩小所需认证证据的范围。

Frontgrade Gaisler 等供应商为空间系统等专业应用提供抗辐射 RISC-V 硬件。这拓宽了 RISC-V 的使用案例，使团队能够在保持认证严谨性的同时准确提供所需的内容。

安全认证流程需要对供应链完整性进行全面记录。RISC-V 的开放式模型通过支持多种采购策略来满足这一要求。开发团队可以实施来自不同供应商的相同处理器配置，从而促进供应链多样性和安全案例文档。

在记录持续的适航性或汽车安全完整性等级 （ASIL） 合规性时，这种架构独立性对于长生命周期的航空航天和汽车应用来说变得非常有价值。在不更改架构的情况下更换供应商可在组件过时时简化重新认证流程。

RISC-V 结合了架构优势、扩展的工具支持和预认证的组件，使 RISC-V 对安全关键型应用更具吸引力。通过在实施过程中周到地解决认证要求，嵌入式开发团队可以使用 RISC-V 的功能来简化认证过程，同时确保系统的安全性和可靠性。