Доверенные АСУ ТП на базе RISC-V: от ядра к экосистеме

В конце ноября Российский Альянс RISC-V при участии «Группы Астра» и Baikal Electronics, собрал на одной площадке разработчиков чипов, производителей АСУ ТП, разработчиков ОС, инструментов разработки и конечных заказчиков. Повод - круглый стол "Доверенные АСУ ТП на базе RISC-V: от технологического ядра к промышленной экосистеме".

Если коротко, обсуждали три вещи:

• насколько RISC-V уже "дозрел" до промышленных контроллеров;

• как строить доверенную (trusted) аппаратную платформу для АСУ ТП;

• что мешает выстроить нормальную кооперацию между теми, кто делает чипы, и теми, кто делает на них ПЛК, счётчики, панели, шкафы.

Ниже - собранное резюме по важным темам, железо, софт, безопасность и организационные выводы из этого разговора.

Почему именно АСУ ТП стали точкой сборки

Контекст у этой истории специфический. В классическом IT цена кристалла критична: ставить дорогой отечественный SoC вместо массового Rockchip - почти всегда боль бизнеса. В АСУ ТП картина иная: стоимость контроллера в составе шкафа, технологической линии или турбины теряется на фоне бюджета и критичности всего проекта. На круглом столе прямо прозвучало: "контроллеры стоят дорого, и процессор может сколько угодно дорого стоить - это будет незаметно на фоне изделия".

Отсюда важный вывод, который, кажется, разделяют многие эксперты из мира АСУ ТП: если запускать новую волну отечественных процессоров, то именно здесь - в промышленной автоматизации - экономика сходится лучше всего.

В Российском Альянсе RISC-V под это уже есть рабочая группа по "открытому" АСУ ТП. Через неё на круглый стол как раз позвали часть участников: производителей ПЛК, систем ввода-вывода, панелей, а также вендоров чипов. Цель, которую модератор сформулировал довольно жёстко: научиться слышать друг друга и сформировать набор критических технологий, которые позволят не просто заменить ушедшие с рынка решения, а сделать отечественное предложение лучше и конкурентоспособнее.

Кто и о чём говорил

Для контекста перечислим ключевые доклады круглого стола:

• Роман Попов (Российский Альянс RISC-V) - вводный доклад о глобальном и российском контексте развития RISC-V, роли рабочей группы по «открытому АСУ ТП» и о том, почему индустриальная автоматизация сейчас - это одна из точек роста архитектуры.

• Владимир Карантаев (Российский Альянс RISC-V) - доклад о доверенных компонентах безопасности в программно-определяемых АСУ ТП: от модели угроз до необходимости аппаратного «корня доверия» и доверенного контура.

• Станислав Шепелев (АО «Микрон») - о линейке микроконтроллеров MIK32 «Амур» на RISC-V и уже реализованных сценариях в промышленной автоматике и IoT.

• Иван Фефилов (АО «НИИЭТ») - о новой линейке RISC-V-микроконтроллеров для АСУ ТП: от массовых изделий до специсполнения и радиационно-стойких вариантов.

• Артём Огурцов (АО «БАЙКАЛ ЭЛЕКТРОНИКС», руководитель Индустриального комитета Альянса RISC-V) - о микроконтроллере Baikal-U (BE-U1000) для приводов и промышленной автоматики и о партнёрских проектах на его базе.

• Роман Мылицын (АО «Группа Астра») - о переносе опыта защищённых ОС в мир RISC-V и о системе сборки MetaAstra для встраиваемых устройств.

Плюс дискуссионные выступления разработчиков RTOS (Embox), контрактных разработчиков электроники и производителей АСУ ТП, которые задали тон большой части обсуждения.

RISC-V + индустрия: почему интерес именно сейчас

На вводной презентации напомнили базовые факты про архитектуру RISC-V:

• открытый стандарт ISA, спецификации в свободном доступе;

• любой может реализовать своё ядро/SoC, не платя роялти за архитектуру;

• вокруг стандарта сложилось RISC-V International - консорциум из тысяч компаний (от NVIDIA и Intel до российских разработчиков).

По оценкам, которые показывали на слайдах, доля RISC-V в мировом выпуске SoC уже приближается к ~10%, а к 2030-2031 годам ожидается рост примерно до четверти рынка (25-26%).

Отдельно обращает на себя внимание то, что значимую часть будущих поставок аналитики связывают именно с индустриальными применениями (датчики, контроллеры, приводы, промышленные шлюзы и т. д.), а не только с потребительской электроникой.

На российском рынке картина гораздо компактнее, но тоже небезынтересная: за полтора-два года с появления первых массовых RISC-V-решений на рынке уже произведено и реализовано более трёх миллионов чипов.

Архитектура АСУ ТП и где там место RISC-V

Чтобы понять, где именно нужны "доверенные" компоненты, участники разложили АСУ ТП по уровням:

• поле: датчики, исполнительные механизмы, приводы, простые контроллеры ввода-вывода;

• контроллерный уровень: ПЛК, специализированные контроллеры защиты, привода, частотники;

• системы РСУ/SCADA: сервера, панели оператора, шлюзы;

• уровень IT-инфраструктуры: серверы историзации, аналитика, интеграция с ERP/МЕС.

На слайдах рабочей группы Альянса было показано, что линейка отечественных RISC-V-ядер (SCR4, SCR5 и далее от Syntacore, BM-310, BI-672 от CloudBEAR) уже позволяет закрыть потребности по вычислительной мощности от нижнего уровня до серверов. Ключевая задача - на базе этих ядер сделать масштабируемую линейку микроконтроллеров и SoC с нужными периферийными блоками и профилями безопасности для конкретных задач АСУ ТП.

Что уже есть в железе: три линии микроконтроллеров

На круглом столе о своих решениях рассказали три ключевых игрока: "Микрон", НИИЭТ и "Байкал Электроникс".

MIK32 "Амур" от "Микрона"

Доклад Станислава Шепелева (АО «Микрон») был про MIK32 «Амур» - первый полностью отечественный микроконтроллер 1-го уровня с ядром на архитектуре RISC-V, разработанный и произведенный в России. Он ориентирован на устройства промышленной автоматизации и IoT: системы мониторинга, сигнализации, телеметрии, умный дом, управление освещением и прочие инфраструктурные решения.

На круглом столе "Микрон" подчеркнул, что:

• MIK32 уже серийно производится, отгружается в массовых партиях и доступен через дистрибьюторов;

• компания активно работает над различными вариантами корпусирования под промышленную автоматику;

• есть полный набор отладочных плат (от "лайтовых" вариантов до более насыщенных), документация и примеры - то, чего обычно не хватает в первых поколениях отечественной ЭКБ.

На Хабре уже появлялись материалы (и еще тут) по практическому использованию МИК32 "Амур" (от отладочных плат ELBEAR до интеграции с Engee и кастомных загрузчиков), что показывает постепенное формирование вокруг него живой экосистемы разработчиков.

Линейка RISC-V-контроллеров НИИЭТ

НИИЭТ традиционно силён в промышленной и спецтехнике. На круглом столе во втором «железном» докладе Иван Фефилов (АО «НИИЭТ») показал линейку из четырёх новых контроллеров на RISC-V, рассчитанных на разные уровни АСУ ТП - от ориентированного на АСУ ТП двухъядерного микроконтроллера (порядка 200 МГц и гигабитный Ethernet) до изделий в металлокерамике и даже радиационно-стойких вариантов.

Отсюда важный для разработчиков вывод: при правильной архитектуре линейки можно начать с дешёвых контроллеров, а потом без смены IP-стека и базового софта мигрировать на более "тяжёлые" чипы для спецприменений - в духе того, как это давно работает в мире ARM.

НИИЭТ также декларирует дорожную карту по переходу на отечественные фабрики и полной локализации производства этой линейки, что критично именно для доверенных АСУ ТП.

Baikal-U (BE-U1000) от "Байкал Электроникс"

Доклад Артёма Огурцова (АО «БАЙКАЛ ЭЛЕКТРОНИКС») был про RISC-V-микроконтроллер Baikal-U (BE-U1000), который компания позиционирует как решение для приводов, промышленной автоматики и смежных задач.

Кратко по характеристикам (по открытым данным и презентации компании):

• три ядра RISC-V: два CloudBEAR BR-350 (до 200 МГц) и одно BM-310 (до 100 МГц);

• до 16 Мбайт флеш-памяти, порядка 192 КБ SRAM;

• набор периферии, явно заточенный под управление электродвигателями и промышленную связь (CAN-FD, PWM, АЦП и т. д.).

По словам представителя "Байкала", уже поставлено свыше 85 тысяч процессоров на гражданский рынок, а новые RISC-V-контроллеры к моменту круглого стола имели более 15 партнёрских проектов в разработке.

Безопасность: от угроз к доверенным компонентам

Отдельный крупный блок дискуссии задал доклад Владимира Карантаева. Состоял он из двух крупных частей. Первая часть была посвящена теме функциональной безопасности (IEC 61508, SIL, отказоустойчивость), а вторая - информационной безопасности (root of trust, криптография, защита от закладок и т. д.).

Программно-определяемая АСУ ТП и новая поверхность атак

В своем докладе Владимир Карантаев рассказал о доверенных компонентах и продемонстрировал схему "программно-определяемой АСУ ТП". На среднем уровне системы появляются ОС общего назначения, гипервизоры, интерпретаторы, JIT-компиляторы - всё то, что мы привыкли видеть в IT и облаках. Только теперь это крутится не где-то в дата-центре, а в непосредственной близости от критических технологических процессов.

Объект защиты меняется радикально: достаточно уязвимости в гипервизоре или интерпретаторе - и это уже не "просто сервер упал", а потенциальная авария на производстве с огромными убытками и последствиями.

Корень доверия и доверенные компоненты безопасности

Второй важный тезис доклада: традиционная постановка задачи "защитим то, что уже есть" в АСУ ТП больше не работает. Нужен аппаратный корень доверия, встроенный в архитектуру изначально - на уровне аппаратуры.

На круглом столе под "доверенным компонентом безопасности" подразумевали примерно следующее:

• аппаратный или аппаратно-программный модуль, который обеспечивает доверенную загрузку;

• защищённое хранение ключей;

• проверку целостности и подлинности прошивок;

• управление жизненным циклом устройств (обновления, отзыв ключей, замена компонентов).

Открытость архитектуры RISC-V здесь играет сразу в две стороны:

• плюс - прозрачная спецификация ISA, возможность сделать свои расширения под отечественные криптоалгоритмы, легче проводить аудит и верификацию;

• минус - нельзя "списать всё" на закрытость ядра: ответственность за реализацию root of trust лежит целиком на разработчике SoC и платформы.

Функциональная безопасность: где “болит” у разработчиков ПЛК

Интересный фрагмент дискуссии - реплика контрактного разработчика электроники, который, отталкиваясь в том числе от тезисов Владимира Карантаева, обратил внимание на разрыв между обещаниями и реальностью:

• для серьёзных ПЛК и приводов нужны решения уровня IEC 61508 (SIL) и IEC 61511;

• текущие российские микроконтроллеры, по его оценке, не позволяют "в лоб" пройти сертификацию в TUV и аналогичных организациях: нет аппаратной поддержки нужных механизмов самоконтроля, нет DSP-сопроцессоров для сложных алгоритмов управления, не хватает Ethernet-подсистем с поддержкой индустриальных протоколов.

На этом фоне показателен пример проекта Imbox - открытой ОС реального времени, которая уже запускается на всех представленных на столе RISC-V-чипах. Авторы утверждают, что под Baikal и НИИЭТ уже поднимают инструментарий, соответствующий требованиям IEC 61508/61511, чтобы в перспективе можно было говорить не только о "железе для АСУ ТП", но и о полноценной сертифицируемой платформе.

ОС и инструменты: Astra Linux Embedded, MetaAstra и не только

ОС в этой истории - это связующее звено между приложением и микроконтроллером/процессором и доклад Романа Мылицына (АО «Группа Астра») логично продолжил линию Владимира Карантаева: если у нас есть аппаратный корень доверия, то операционная система должна уметь с ним работать и не разрушать доверенную цепочку. В докладе Astra Linux прозвучало два важных момента.

Во-первых, у разработчиков АСУ ТП уже сейчас есть опыт эксплуатации защищённых Linux-дистрибутивов на промышленном железе (x86, ARM), и этот опыт нужно переносить на RISC-V-платформы, а не изобретать всё с нуля.

Во-вторых, интересный инструмент - MetaAstra. Это система, которая позволяет интеграторам собирать "свою" версию Astra Linux Embedded для конкретного устройства: выбирать компоненты, конфигурацию ядра, драйверы, сценарии инициализации - при этом не выходя за рамки сертифицируемой базы. Для мира АСУ ТП это прямой путь к типовым, но при этом кастомизируемым образам для ПЛК, шлюзов и панелей на RISC-V.

Экономика: серии, Rockchip и пресловутая "балльная система"

Ещё одна часть обсуждения - сугубо приземлённая, про деньги и госрегулирование. В ходе обсуждения от лица производителей АСУ ТП прозвучало несколько важных моментов:

• Массовые SoC типа Rockchip всегда будут дешевле: они делаются на весь мир и продаются миллионами штук. Российские микроконтроллеры по определению играют в других объёмах, и чудес здесь нет.

• После появления Постановления Правительства №719 производители контроллеров массово "переехали" из категории контроллеров в категорию регуляторов по ОКВЭД, чтобы формально обойти ограничения на использование импортных чипов в ряде АСУ ТП.

В то же время в сегменте электросчётчиков введение балльной системы (когда за использование отечественного процессора, АЦП, интерфейсов и т. п. начисляются баллы при включении в реестр) показало себя как рабочий механизм: это реально меняет поведение производителей, потому что влияет на участие в госзакупках.

Не все участники согласились, что "баллы" - единственный и универсальный путь, но общий посыл понятен: если государство хочет стимулировать использование отечественных RISC-V-контроллеров в АСУ ТП, одних деклараций "импортозамещения" недостаточно, нужны внятные и прозрачные экономические стимулы.

Коммуникация: почему нужен "портал требований"

В какой-то момент обсуждение ушло от конкретных даташитов к более системной вещи: как разработчикам чипов вообще понимать, что нужно производителям ПЛК, панелей, приводов и прочей аппаратуры.

Один из участников предложил вполне приземленную идею:

• сделать публичный портал, куда любой производитель оборудования АСУ ТП может прийти и описать конкретные требования к чипу;

• агрегировать повторяющиеся требования, показывать разработчикам микроэлектроники "тепловую карту" запросов;

• использовать это как входные данные при планировании новых линеек микроконтроллеров и SoC.

Фактически речь идёт о переносе практик product discovery из IT в мир железа: вместо "у нас есть классный чип, придумайте, куда его воткнуть" - "у нас есть пул понятных запросов от производителей шкафов, счётчиков, ПЛК - давайте под них сделаем железо".

Что всё это значит для разработчиков АСУ ТП и ПЛК

Если вы делаете ПЛК, системы противоаварийной защиты, счётчики, промышленную автоматику - что из круглого стола стоит унести лично вам?

1. RISC-V - это уже не эксперимент, а рабочий вариант железа

• Есть как минимум три живые линейки микроконтроллеров (MIK32, линейка НИИЭТ, Baikal-U), доступные в железе и с отладочными платами.

• Под них уже появляется софт: от RTOS (Imbox) до Linux-дистрибутивов и графических языков программирования (типа BearLogica для МИК32). Habr

Можно (и нужно) начинать прототипировать решения именно сейчас, не дожидаясь "идеальных" чипов.

2. Безопасность нельзя "прикрутить потом"

• Если вы работаете в критической инфраструктуре, root of trust, управление ключами и доверенная загрузка должны быть заложены в архитектуру устройства с первого дня, а не добавлены патчами после.

• При выборе чипа имеет смысл сразу смотреть, какие механизмы аппаратной безопасности есть (secure boot, аппаратные криптомодули, защищённая память, механизм обновления).

Иначе вы рискуете прийти на сертификацию по 187-ФЗ, а потом встать перед необходимостью перепроектировать половину устройства.

3. Функциональная безопасность - отдельная проектная работа

Если у вас в ТЗ фигурируют SIL-уровни, IEC 61508/61511/IEC 61508-3:

• закладывайте время и бюджет на анализ соответствия выбранного микроконтроллера этим требованиям;

• следите за развитием инструментов (в частности, за тем, что показывает команда Imbox и другие разработчики RTOS/инструментария).

4. Не игнорируйте рабочую группу Альянса по АСУ ТП

Если вы относитесь к тем, кто обычно "делает на импортных чипах и не лезет в политику", сейчас как раз тот момент, когда имеет смысл вмешаться:

• через рабочую группу "открытое АСУ ТП" в Альянсе можно донести свои требования до разработчиков чипов;

• участие в подобном диалоге - шанс повлиять на будущие линейки микроконтроллеров, вместо того чтобы потом просто выбирать "из того, что сделали без вас".

Вместо заключения

Круглый стол показал, что ситуация уже далеко не на нуле:

• есть реальные чипы на RISC-V в серии;

• есть первые наработки по доверенным компонентам и ОС;

• есть понимание, что без функциональной безопасности и нормальной экономической модели ничего не взлетит.

При этом впереди много работы: от выработки единых требований и roadmap-ов до выстраивания понятной "входной точки" для разработчиков АСУ ТП в мировую (и российскую) RISC-V-экосистему.

С инженерной точки зрения это, возможно, один из редких моментов, когда у отрасли есть шанс повлиять на архитектуру железа и софта под себя, а не только подстраиваться под готовые массовые SoC. Вопрос лишь в том, будут ли этим шансом пользоваться.