안전성과 보안, 커넥티드 산업 인프라 환경에 가장 중요한 이슈
[보안뉴스=폴 레비(Paul Levy) 자일링스 기능 안전성 설계 수석 엔지니어] 설계 엔지니어는 시뮬레이션을 통한 기능 확인에 집중하는 경향이 있다. 그러나 기능 안전성 인증이 필요한 시장을 위한 설계의 경우에는 더욱 넓은 관점에서 주의를 기울이는 것이 중요하다.
이 경우 설계 작업은 평소보다 훨씬 더 복잡할 수 있다. 마케팅 및 엔지니어링 팀은 경쟁력 있는 제품 개발에 대한 요구에 대응하면서도, 제품의 용도에 따른 모든 안전 표준을 고려해야 한다. 안전 표준은 시장과 제품의 유형, 사용 환경 등에 따라 달라질 수 있다. 이러한 과제에 익숙하지 않은 사람들은 신뢰할 수 있는 엔지니어링 협력업체로부터 개발 과정에 대한 지원을 받을 수 있다.
[이미지=iclickart]
기능 안전성 설계의 가장 효과적인 방법은 최소한의 실행 가능한 투자로 필요한 인증을 획득하는 것이다. 설계 팀은 신뢰할 수 있는 위험 및 리스크 분석을 기반으로 구조적인 기능 및 임의의 하드웨어 결함에 대해 독립적인 평가자로부터 기능 안전성 표준에 대한 준수 여부를 확인 받아야 한다. 설계 팀에게는 시험과 같은 느낌이 들 수 있겠지만, 감독관과의 논의를 통해 피드백을 구현하고, 충족 가능한 솔루션을 얻을 수 있다. 인증 평가를 통과하기 위해서는 선택한 설계 경로가 성공할 것이라는 확신이 필요하다.
이를 위해 자일링스(Xilinx)는 사용된 디바이스가 항상 의도한 대로 동작할 것이라는 높은 수준의 신뢰도를 제공할 수 있는 최첨단 검증 방법에 투자해 왔으며, 많은 고객이 이 프로세스를 성공적으로 완료할 수 있도록 지원하고 있다.
기능 안전성 시장에서 이러한 신뢰는 매우 중요하다. 적합한 기대치를 설정함으로써 시장에 출시할 수 있는 제품을 구현하거나 또는 제품의 많은 부분을 재설계해야 하거나, 효과적인 사용 방법을 배우는 데 시간이 필요한 다른 부품이 필요하게 될 수도 있다. 따라서 입증할 수 있는 신뢰를 구축하는 것이 중요하다.
징크 울트라스케일+(Zynq®Ultrascale+™) MPSoC는 기능 안전성을 염두에 두고 자일링스가 설계한 첫 번째 디바이스이다. 이는 향상된 엔지니어링 프로세스와 디바이스 진단 기능 테스트, 내장된 임의의 하드웨어 결함 허용범위를 결합해 내부 및 외부 평가팀들이 인정할 수 있는 강력한 입증자료를 제공하는 것이 가능하다.
구성 요소들이 무엇을 수행할 수 있고, 수행할 수 없는지 파악하는 것도 중요하다. FPGA의 특성상 설계 구현을 저장하는 SRAM인 CRAM(Configuration RAM)을 고정하고, 테스트하기 위해서는 특별한 고려가 필요하다. 외부 인증기관은 FPGA가 포함된 설계를 평가할 때 항상 이러한 측면에 대한 확실한 보장을 요구한다. 따라서 이를 처리할 수 있도록 입증 자료를 모두 제공할 수 있는 시스템과 절차를 구축해야 하며, 교육기관 또한 디바이스가 기능 안전성 시스템에서 어떻게 동작하는지를 올바르게 이해해야 한다.
자일링스가 SRAM을 구현하는데 사용하는 기법은 입증된 내부 방법론을 이용하고 있다. 또한 업계 표준 JEDEC 테스트 방법을 이용해 신뢰성을 평가한다. 이외에도 장기성 테스트(Rosetta)는 물론, LANCE(Los Alamos Science Center) 시설에서 사용하는 중성자 테스트와 CNL(Crocker Nuclear Laboratory)의 양성자 테스트, MNRC(McClellan Nuclear Research Center)의 열 중성자 테스트, 토륨(Thorium) 포일 소스를 이용한 알파(Alpha) 입자 테스트 등이 사용된다.
▲CNL(Crocker Nuclear Laboratory)의 양성자 테스트[사진=자일링스]
자일링스는 이러한 데이터를 모든 사람이 검토할 수 있도록 UG116 디바이스 신뢰성 리포트를 통해 연간 2회에 걸쳐 공개하고 있다.
제품의 기능 안전성 인증을 받기 위해서는 구조적인 기능 및 임의의 하드웨어 결함시간(FIT: Failure in Time)을 문서화해야 한다. 구성요소 공급업체는 자일링스의 MPSoC 제품에서 실행되는 펌웨어와 같은 모든 펌웨어의 구조적인 기능과 구성요소의 설계에 사용되는 구조적인 성능을 입증하는 인증서를 제공함으로써 고객이 목표를 달성할 수 있도록 지원해야 한다. 또한, 자일링스는 산업용 시장의 IEC 61508에 대해 최고 SIL 4 인증과 자동차 시장의 ISO 26262에 대한 ASLI-D에 해당하는 툴 체인 인증을 받았다.
가속 HTOL(High-Temperature Operating Life) 테스트는 영구적인 하드웨어 오류율을 해결하는 데 사용된다. 이 테스트 결과는 UG116 디바이스 신뢰성 리포트에 연간 2회 게시된다. 이외에도 실리콘 레벨에 내장되어 있거나 프로그래머블 로직 회로에 소프트 IP 형태로 제공되는 진단 기능은 임의의 하드웨어 결함을 완화하는 데 도움을 준다.
자일링스의 비바도(Vivado™)툴 체인 및 컴파일러는 구조적인 기능을 지원하기 위해 최고 수준의 기능 안전성 인증을 획득했다. 고객이 원하는 인증을 획득할 수 있도록 특별히 개발된 기능 안전성 관련 지침 문서도 제공된다.
안전성 및 단일 칩 통합
기능 안전성 장비 설계자는 일반적으로 단일 디바이스로 쉽게 해결할 수 없는 구조적이고 무작위적인 하드웨어 문제를 해결하기 위해 시스템 레벨 아키텍처를 사용한다. 징크 울트라스케일+ MPSoC는 저전력 도메인(Low Power Domain), 풀 전력 도메인(Full Power Domain), 프로그래머블 로직 도메인 (Programmable Logic Domain)이라는 3개의 개별 컴퓨팅 도메인을 제공해 이를 해결한다. 이러한 각각의 컴퓨팅 도메인은 독립적인 이기종 시스템으로, 별도의 안전 채널을 구현하는데 사용할 수 있으며, 동일한 디바이스에서 중복성을 이용해 설계의 진단 기능을 향상할 수 있다. 이를 통한 분해 규칙과 중복성을 사용해 구현 비용을 절감하는 것은 물론, 투-칩(Two-Chip) 설계와 비교해 전반적인 인터커넥트 신뢰성을 높일 수 있다.
다이어그램에 나타낸 2채널 설계는 동일한 디바이스상에 2개의 도메인을 사용한다. 각 도메인은 진단(1oo2D)을 통해 두 개의 아키텍처 중 하나를 지원하는데 필요한 진단 성능을 향상하기 위해 록-스텝(Lock-Step) 프로세서를 활용한다.
▲단일 칩, 2채널 1oo2D 기능 안전성 구현[이미지=자일링스]
구조적인 기능 향상을 위해 각 도메인은 다른 CPU 아키텍처와 다른 컴파일러를 활용하는 다른 설계 팀에서 사용할 수도 있다. 진단 성능을 향상하기 위해 각 도메인은 소프트웨어에 의한 상호 비교를 이용해 성능을 더욱 향상하고, 임의적인 하드웨어 결함 감지 성능을 99% 이상 향상시킬 수 있는 록-스텝 프로세서를 사용한다. 두 개의 채널을 사용하면, 각 채널은 개별적으로 표준 기반 품질 지수를 낮출 수 있다. 이를 통해 시장 출시 시간을 단축하고, 제품의 성공적인 인증 획득에 대한 부가적인 신뢰성을 높일 수 있다.
안전한 사이버 보안
IIoT(Industrial Internet of Things)가 급성장하면서 엔터프라이즈 OT(Operational Technology) 및 IT 도메인이 상호 연결됨에 따라 사이버 공격의 위험은 더욱 심각해지고 있다. 이러한 상황에서 보안이 완벽하지 못하면, 시스템의 기능 안전성 또한 완벽하게 보장될 수 없다. 이로 인해 기능 안전성 워킹 그룹은 IEC 61508 표준에 대한 차기 개정 작업을 추진하고 있다.
기능 안전성을 보장하기 위한 작업은 위험 및 리스크 분석을 기반으로 하지만, 내장 사이버 보안은 위협 분석을 통해 이뤄진다. 이러한 분석은 시스템의 ‘위협 가능 영역’(액세스 가능 영역)을 식별하는 데 사용된다. 이들 간의 상호작용을 이해하고, 안전 지향적인 위험 및 리스크 분석과 보안 중심의 위협 분석을 동시에 수행하는 것이 중요하다. 보안 평가를 단독으로 수행하면, 시스템의 안전한 동작을 저해할 수 있는 CPU 폐쇄, 리소스 제한 및 다른 보안 대응들로 인해 심각한 결과를 초래할 수 있다.
기능 안전성에 대한 성공적인 접근방식과 함께 구성요소 공급업체와 장비 개발자들 간의 공유가 전제돼야 보안을 가장 효과적으로 처리할 수 있다. 이를 위해 자일링스는 실리콘 및 부트 프로세스에 보안 기능을 설계하는 것과 함께 공급망 측면의 보안까지 고려해 런타임 인터페이스, 절연 설계, 권장 설계 플로우를 위한 인터페이스 및 가이드를 제공하고 있다. 이를 통해 제품 개발자는 자체 리소스를 애플리케이션 레벨의 안전 설계에 주력하는데 집중할 수 있다.
▲제품・시스템의 수명 주기 전반에 걸친 보안[이미지=자일링스]
기능 안전성 및 보안은 모두 오늘날 커넥티드 산업 인프라 환경에 가장 중요한 이슈다. 장비 개발자가 개별 요구와 전문성에 따라 최적의 조합 방식을 선택할 수 있는 소프트웨어, 펌웨어, 하드웨어를 포함한 모든 구현 요소들을 이용해야 가장 효과적으로 문제를 해결할 수 있다.
[글_폴 레비(Paul Levy) 자일링스 기능 안전성 설계 수석 엔지니어]
[참고문헌]
1. P. Maillard, J. Arver, C. Smith, O. Ballan, M. J. Hart and Y. P.Chen, “TestMethodology & Neutron Characterization of Xilinx 16nm Zynq® UltraScale+™ Multi-Processor System-on-Chip(MPSoC), ”2018 IEEE Radiation Effects Data Workshop(REDW), 2018, pp.1-4.
[보안뉴스=폴 레비(Paul Levy) 자일링스 기능 안전성 설계 수석 엔지니어] 설계 엔지니어는 시뮬레이션을 통한 기능 확인에 집중하는 경향이 있다. 그러나 기능 안전성 인증이 필요한 시장을 위한 설계의 경우에는 더욱 넓은 관점에서 주의를 기울이는 것이 중요하다.
이 경우 설계 작업은 평소보다 훨씬 더 복잡할 수 있다. 마케팅 및 엔지니어링 팀은 경쟁력 있는 제품 개발에 대한 요구에 대응하면서도, 제품의 용도에 따른 모든 안전 표준을 고려해야 한다. 안전 표준은 시장과 제품의 유형, 사용 환경 등에 따라 달라질 수 있다. 이러한 과제에 익숙하지 않은 사람들은 신뢰할 수 있는 엔지니어링 협력업체로부터 개발 과정에 대한 지원을 받을 수 있다.
[이미지=iclickart]
기능 안전성 설계의 가장 효과적인 방법은 최소한의 실행 가능한 투자로 필요한 인증을 획득하는 것이다. 설계 팀은 신뢰할 수 있는 위험 및 리스크 분석을 기반으로 구조적인 기능 및 임의의 하드웨어 결함에 대해 독립적인 평가자로부터 기능 안전성 표준에 대한 준수 여부를 확인 받아야 한다. 설계 팀에게는 시험과 같은 느낌이 들 수 있겠지만, 감독관과의 논의를 통해 피드백을 구현하고, 충족 가능한 솔루션을 얻을 수 있다. 인증 평가를 통과하기 위해서는 선택한 설계 경로가 성공할 것이라는 확신이 필요하다.
이를 위해 자일링스(Xilinx)는 사용된 디바이스가 항상 의도한 대로 동작할 것이라는 높은 수준의 신뢰도를 제공할 수 있는 최첨단 검증 방법에 투자해 왔으며, 많은 고객이 이 프로세스를 성공적으로 완료할 수 있도록 지원하고 있다.
기능 안전성 시장에서 이러한 신뢰는 매우 중요하다. 적합한 기대치를 설정함으로써 시장에 출시할 수 있는 제품을 구현하거나 또는 제품의 많은 부분을 재설계해야 하거나, 효과적인 사용 방법을 배우는 데 시간이 필요한 다른 부품이 필요하게 될 수도 있다. 따라서 입증할 수 있는 신뢰를 구축하는 것이 중요하다.
징크 울트라스케일+(Zynq®Ultrascale+™) MPSoC는 기능 안전성을 염두에 두고 자일링스가 설계한 첫 번째 디바이스이다. 이는 향상된 엔지니어링 프로세스와 디바이스 진단 기능 테스트, 내장된 임의의 하드웨어 결함 허용범위를 결합해 내부 및 외부 평가팀들이 인정할 수 있는 강력한 입증자료를 제공하는 것이 가능하다.
구성 요소들이 무엇을 수행할 수 있고, 수행할 수 없는지 파악하는 것도 중요하다. FPGA의 특성상 설계 구현을 저장하는 SRAM인 CRAM(Configuration RAM)을 고정하고, 테스트하기 위해서는 특별한 고려가 필요하다. 외부 인증기관은 FPGA가 포함된 설계를 평가할 때 항상 이러한 측면에 대한 확실한 보장을 요구한다. 따라서 이를 처리할 수 있도록 입증 자료를 모두 제공할 수 있는 시스템과 절차를 구축해야 하며, 교육기관 또한 디바이스가 기능 안전성 시스템에서 어떻게 동작하는지를 올바르게 이해해야 한다.
자일링스가 SRAM을 구현하는데 사용하는 기법은 입증된 내부 방법론을 이용하고 있다. 또한 업계 표준 JEDEC 테스트 방법을 이용해 신뢰성을 평가한다. 이외에도 장기성 테스트(Rosetta)는 물론, LANCE(Los Alamos Science Center) 시설에서 사용하는 중성자 테스트와 CNL(Crocker Nuclear Laboratory)의 양성자 테스트, MNRC(McClellan Nuclear Research Center)의 열 중성자 테스트, 토륨(Thorium) 포일 소스를 이용한 알파(Alpha) 입자 테스트 등이 사용된다.
▲CNL(Crocker Nuclear Laboratory)의 양성자 테스트[사진=자일링스]
자일링스는 이러한 데이터를 모든 사람이 검토할 수 있도록 UG116 디바이스 신뢰성 리포트를 통해 연간 2회에 걸쳐 공개하고 있다.
제품의 기능 안전성 인증을 받기 위해서는 구조적인 기능 및 임의의 하드웨어 결함시간(FIT: Failure in Time)을 문서화해야 한다. 구성요소 공급업체는 자일링스의 MPSoC 제품에서 실행되는 펌웨어와 같은 모든 펌웨어의 구조적인 기능과 구성요소의 설계에 사용되는 구조적인 성능을 입증하는 인증서를 제공함으로써 고객이 목표를 달성할 수 있도록 지원해야 한다. 또한, 자일링스는 산업용 시장의 IEC 61508에 대해 최고 SIL 4 인증과 자동차 시장의 ISO 26262에 대한 ASLI-D에 해당하는 툴 체인 인증을 받았다.
가속 HTOL(High-Temperature Operating Life) 테스트는 영구적인 하드웨어 오류율을 해결하는 데 사용된다. 이 테스트 결과는 UG116 디바이스 신뢰성 리포트에 연간 2회 게시된다. 이외에도 실리콘 레벨에 내장되어 있거나 프로그래머블 로직 회로에 소프트 IP 형태로 제공되는 진단 기능은 임의의 하드웨어 결함을 완화하는 데 도움을 준다.
자일링스의 비바도(Vivado™)툴 체인 및 컴파일러는 구조적인 기능을 지원하기 위해 최고 수준의 기능 안전성 인증을 획득했다. 고객이 원하는 인증을 획득할 수 있도록 특별히 개발된 기능 안전성 관련 지침 문서도 제공된다.
안전성 및 단일 칩 통합
기능 안전성 장비 설계자는 일반적으로 단일 디바이스로 쉽게 해결할 수 없는 구조적이고 무작위적인 하드웨어 문제를 해결하기 위해 시스템 레벨 아키텍처를 사용한다. 징크 울트라스케일+ MPSoC는 저전력 도메인(Low Power Domain), 풀 전력 도메인(Full Power Domain), 프로그래머블 로직 도메인 (Programmable Logic Domain)이라는 3개의 개별 컴퓨팅 도메인을 제공해 이를 해결한다. 이러한 각각의 컴퓨팅 도메인은 독립적인 이기종 시스템으로, 별도의 안전 채널을 구현하는데 사용할 수 있으며, 동일한 디바이스에서 중복성을 이용해 설계의 진단 기능을 향상할 수 있다. 이를 통한 분해 규칙과 중복성을 사용해 구현 비용을 절감하는 것은 물론, 투-칩(Two-Chip) 설계와 비교해 전반적인 인터커넥트 신뢰성을 높일 수 있다.
다이어그램에 나타낸 2채널 설계는 동일한 디바이스상에 2개의 도메인을 사용한다. 각 도메인은 진단(1oo2D)을 통해 두 개의 아키텍처 중 하나를 지원하는데 필요한 진단 성능을 향상하기 위해 록-스텝(Lock-Step) 프로세서를 활용한다.
▲단일 칩, 2채널 1oo2D 기능 안전성 구현[이미지=자일링스]
구조적인 기능 향상을 위해 각 도메인은 다른 CPU 아키텍처와 다른 컴파일러를 활용하는 다른 설계 팀에서 사용할 수도 있다. 진단 성능을 향상하기 위해 각 도메인은 소프트웨어에 의한 상호 비교를 이용해 성능을 더욱 향상하고, 임의적인 하드웨어 결함 감지 성능을 99% 이상 향상시킬 수 있는 록-스텝 프로세서를 사용한다. 두 개의 채널을 사용하면, 각 채널은 개별적으로 표준 기반 품질 지수를 낮출 수 있다. 이를 통해 시장 출시 시간을 단축하고, 제품의 성공적인 인증 획득에 대한 부가적인 신뢰성을 높일 수 있다.
안전한 사이버 보안
IIoT(Industrial Internet of Things)가 급성장하면서 엔터프라이즈 OT(Operational Technology) 및 IT 도메인이 상호 연결됨에 따라 사이버 공격의 위험은 더욱 심각해지고 있다. 이러한 상황에서 보안이 완벽하지 못하면, 시스템의 기능 안전성 또한 완벽하게 보장될 수 없다. 이로 인해 기능 안전성 워킹 그룹은 IEC 61508 표준에 대한 차기 개정 작업을 추진하고 있다.
기능 안전성을 보장하기 위한 작업은 위험 및 리스크 분석을 기반으로 하지만, 내장 사이버 보안은 위협 분석을 통해 이뤄진다. 이러한 분석은 시스템의 ‘위협 가능 영역’(액세스 가능 영역)을 식별하는 데 사용된다. 이들 간의 상호작용을 이해하고, 안전 지향적인 위험 및 리스크 분석과 보안 중심의 위협 분석을 동시에 수행하는 것이 중요하다. 보안 평가를 단독으로 수행하면, 시스템의 안전한 동작을 저해할 수 있는 CPU 폐쇄, 리소스 제한 및 다른 보안 대응들로 인해 심각한 결과를 초래할 수 있다.
기능 안전성에 대한 성공적인 접근방식과 함께 구성요소 공급업체와 장비 개발자들 간의 공유가 전제돼야 보안을 가장 효과적으로 처리할 수 있다. 이를 위해 자일링스는 실리콘 및 부트 프로세스에 보안 기능을 설계하는 것과 함께 공급망 측면의 보안까지 고려해 런타임 인터페이스, 절연 설계, 권장 설계 플로우를 위한 인터페이스 및 가이드를 제공하고 있다. 이를 통해 제품 개발자는 자체 리소스를 애플리케이션 레벨의 안전 설계에 주력하는데 집중할 수 있다.
▲제품・시스템의 수명 주기 전반에 걸친 보안[이미지=자일링스]
기능 안전성 및 보안은 모두 오늘날 커넥티드 산업 인프라 환경에 가장 중요한 이슈다. 장비 개발자가 개별 요구와 전문성에 따라 최적의 조합 방식을 선택할 수 있는 소프트웨어, 펌웨어, 하드웨어를 포함한 모든 구현 요소들을 이용해야 가장 효과적으로 문제를 해결할 수 있다.
[글_폴 레비(Paul Levy) 자일링스 기능 안전성 설계 수석 엔지니어]
[참고문헌]
1. P. Maillard, J. Arver, C. Smith, O. Ballan, M. J. Hart and Y. P.Chen, “TestMethodology & Neutron Characterization of Xilinx 16nm Zynq® UltraScale+™ Multi-Processor System-on-Chip(MPSoC), ”2018 IEEE Radiation Effects Data Workshop(REDW), 2018, pp.1-4.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
