嵌入式视觉中要考虑哪些安全性与保密性问题?

在正确的降额条件下工作。您应用的降额水平将取决于选择的常用标准。标准包括国防部 (Mil-STD 1547) 和欧洲太空总署(ESCC-Q-30-11A)。如果您不进行 PSA 分析，就可能在过应力情况下使用器件，造成这些器件成为设备使用寿命的限制因素。根据 FMECA 的预测，这些器件的失效可能导致也可能不会导致系统的损耗或性能衰减。

在分析可靠性的同时，您还能对系统进行威胁分析，根据使用案例确定系统威胁以及对识别出的威胁可能采取的缓解策略。

架构案例分析
在硬件层面，您需要考虑系统功能以及您如何实现功能安全性与保密性。虽然这可以从头开始实现，但更好的方法是选择已经支持这些功能的组件，例如赛灵思 Zynq® All Programmable SoC。

任何 EV 系统的核心都是图像处理流水线。这要求将高带宽处理能力与监视及控制功能相结合。相对于传统的处理器与 FPGA 组合，Zynq 全可编程 SoC 能让我们拥有紧密集成的架构。

这种处理器和逻辑结构之间更紧密的集成不仅能带来更出色的 SAWP-C 解决方案，由于处理器和逻辑结构之间的交互不对外暴露，不给恶意访问或其他访问可乘之机，从而提供更安全的系统。

在电子架构内部，您可使用 Zynq全可编程SoC 的嵌入式安全架构提供安全配置功能。在可编程系统 (PS) 和可编程逻辑 (PL) 中，您可使用三段法确保系统分区的安全性。三段法包括散列消息认证代码 (HMAC)、高级加密标准 (AES) 解密和 RSA 认证。AES 和 HMAC 都使用 256 位私钥，而 RSA 使用 2,048 位密钥。Zynq 全可编程 SoC 的安全架构还允许启用或禁用 JTAG 访问。

当您在为我们的非易失性引导介质生成引导文件和配置分区时，这些安全特性是启用的。还可以定义一个回滚分区，这样如果最初的第一阶段引导加载程序加载其应用失败，就能回滚到存储在不同内存位置的该应用的另一个备份。

在您成功启动设备并开始运行时，我们可以使用 ARM Trust Zone 架构实现正交环境，限制对 Zynq AP SoC 内的硬件功能的访问，包括可编程逻辑 (PL) 外设在内。您还可以细分内存和 L2 缓存，确保安全环境和非安全环境间的交互受到限制。

Zynq AP SoC Secure Boot 和 Trust Zone 实现

如果要在 Zynq AP SoC 的可编程逻辑架构中实现图像处理流水线，您还可以使用 Trust Zone 提供对可编程逻辑架构中的 IP 核的安全或非安全访问。这样您就能够使对图像处理链的关键方面进行安全访问，避免发生对配置的无授权修改。

图像处理流水线可使用定制开发模块或来自 IP 库的模块实现。
部分安全性与保密性实现方案（例如 IEC61508）可能要求彼此隔离设计元，这可能是建立模块冗余，区分安全区域或测试功能的结果。通过使用隔离设计流程 (IDF)，您可以在已确认区域间强制实施物理隔离。在使用 Vivado® Design Suite 时，支持对 Zynq 器件开展这种操作。

用于安全关键型 FPGA 的 IDF 强制政策

如果您想在处理链或其他控制逻辑中实现多数表决，隔离设计流程对您而言就非常有用。使用隔离设计流程可确保冗余模块间的唯一互联是通过可信路径实现的。

在实现设计的时候，您还需要考虑一系列针对器件和工具的设计考虑因素。当然终端应用应用和您的总体工程管理计划将决定采用这些技巧的必要性。

-在内存上使用检错纠错 (EDAC) 码。必要时,该功能还可与擦除功能相结合，定期读取和纠正内存中的数据，不管应用是否正在访问内存。

-在定义控制字时运用汉明(Hamming) 码的不同，增大命令字之间的汉明距离，同时要求实现更多位，有助于提高设计的可靠性。

-对关键命令使用 ARM 和 FIRE 方法，该方法要求动作关键型功能使用两个单独命令。

-在外部通信接口上使用 EDAC 码

-综合性内建测试（BIT）功能能报告系统的健康状态或其他状态Zynq XADC 是 BIT 系统功能非常强大的一个组件，因为通过多路复用器引入外部信号，它能够实现对器件电压和温度的监测。

总结
对您的嵌入式视觉系统应用正确的功能安全工业标准是能够做到的，有相当数量的组件、工具和开发方法可供系统开发人员使用。
要确保我们满足您的 EV 系统的认证要求，您需要从设计之初就开始正确判断适用标准，并生成工程管理计划，定义工程生命周期，用以收集通过认证所需的证据。