一種基于Flash型FPGA的高可靠系統(tǒng)設計

摘要:本文以星載測控系統(tǒng)為背景，提出了一種基于 Actel Flash FPGA的高可靠設計方案。采用不易發(fā)生單粒子翻轉的 flash FPGA芯片，結合 FPGA內部的改進型三模冗余、分區(qū)設計和降級重構，實現(xiàn)了高實時、高可靠的系統(tǒng)。

2 引言

在復雜的空間環(huán)境中存在各種高能粒子和宇宙射線，星載系統(tǒng)的電子器件容易發(fā)生單粒子翻轉等錯誤，造成整個系統(tǒng)的崩潰。對于星載系統(tǒng)而言，可靠性是非常重要的一項性能指標。在系統(tǒng)研制時，必須保證系統(tǒng)在局部出現(xiàn)故障時屏蔽和容忍錯誤，把錯誤造成的損失降到昀低。比較常用的可靠性措施包括選用抗擾等級高的元器件和適當?shù)钠帘卧O計等，但是這些措施都無法絕對預防永久性故障的發(fā)生，為了滿足衛(wèi)星可靠性的要求必須進行冗余設計。

本文中的設計就采用 Flash型 FPGA取代了 SRAM型 FPGA，前者在結構上的特點決定了它不容易發(fā)生單粒子翻轉等錯誤，從而在固件上提高了可靠性。同時采用了改進型的 TMR冗余設計，在保障可靠性的同時也兼顧了實時性。

3 基本思想和系統(tǒng)實現(xiàn)

3.1 Flash型 FPGA概述目前廣泛用于電子產(chǎn)品的 FPGA（Field－Programmable Gate Array,現(xiàn)場可編程門陣列）主要有反熔絲型、SRAM型和 Flash型三種。反熔絲型 FPGA利用熔絲點的通斷來存儲編程信息，只能燒寫一次，可靠性很高，但是同時開發(fā)成本也很高，一般只在成熟正品中使用。

SRAM型 FPGA使用非常廣泛，它的可編程單元是六管結構，編程信息是保存在附加的 PROM里的，每次上電時從 PROM中加載到 FPGA中，斷電后編程內容消失。在航天應用中，SRAM型 FPGA昀大的缺點是容易發(fā)生單粒子翻轉(Single Event Upset, SEU），以及上電加載過程中容易產(chǎn)生錯誤指令。

Flash型 FPGA的可編程單元是兩個三極管組成的 flash開關，其中一個只在編程時起傳感器作用，另一個控制開關的通斷，兩個管子共享的浮柵門存儲了編程信息。 Flash型 FPGA無需附加 PROM，上電時間也很短，另外 flash相比于 SRAM不容易出現(xiàn)單粒子翻轉，因此 Flash型 FPGA很適合航天應用。

本文中的遙控系統(tǒng)采用 Actel公司的 ProASIC plus系列的 APA300芯片。

3.2 系統(tǒng)描述

本文主要實現(xiàn)了高可靠遙控系統(tǒng)中將地面和星載計算機發(fā)送的串行碼字譯碼成對應通道指令脈沖的功能，全部功能在一塊 FPGA中實現(xiàn)。遙控電路板上采用兩塊相同的 FPGA進行雙機熱備份，通過 54LVC244選擇輸出。每塊 FPGA內部又采用了下面描述的改進型 TMR設計。該系統(tǒng)完成了遙控譯碼的功能，各指令響應正常。

本文重點介紹 FPGA片內的改進型 TMR冗余設計。

3.3 改進型 TMR設計

三模冗余（TMR）是一種常用的容錯技術，把需要容錯的部分復制三份，然后由表決器根據(jù)多數(shù)表決原則輸出結果。TMR屬于靜態(tài)冗余技術，它能夠掩蓋 1個子系統(tǒng)的錯誤，而不能修復錯誤。當 2個或 2個以上的子系統(tǒng)出錯，或者表決器出錯時，TMR系統(tǒng)將輸出錯誤的結果。TMR技術的優(yōu)點是簡單易行，對于瞬時出現(xiàn)的錯誤具有良好的容錯效果，但是代價是付出了 3倍的面積開銷。

本文設計中采用的改進型 TMR，實質上是一種 3+n模冗余，N個子系統(tǒng)中昀多只有三個子系統(tǒng)同時處于運行狀態(tài)，其余的 N-3個子系統(tǒng)作為備份隊列，當某個子系統(tǒng)出現(xiàn)錯誤時，表決模塊用備份的子系統(tǒng)替換下錯誤的子系統(tǒng)，繼續(xù)維持 TMR結構。當已無備份可用時， 3模冗余系統(tǒng)可以進行降級重構，由 3模冗余降級為 1模。由于延長了三模冗余系統(tǒng)的工作時間，整個系統(tǒng)的可靠性得到了很大提高。

考慮到資源消耗與可靠性提高的平衡，本文設計中采用了 3+1模結構，也就是 3模冗余， 1模備份。3+1模結構的工作方式為：正常時進行三模冗余表決輸出，出現(xiàn)第 1次永久性故障時表決處理模塊能夠檢測出錯誤，在輸出正常信號的同時用備用子系統(tǒng)替換故障子系統(tǒng)，繼續(xù)維持 TMR結構；出現(xiàn)第 2 次永久故障時，表決處理模塊仍然能夠檢測出錯誤，在輸出正常信號的同時切除故障子系統(tǒng)，自動降級為單模工作直至單模子系統(tǒng)完全損壞。這種 3+1模結構借鑒了軟件容錯中的恢復塊技術和動態(tài)冗余結構，能夠容忍至少 2個子系統(tǒng)錯誤。由于 APA300實現(xiàn)遙控系統(tǒng)資源余量較大，采用了單片 FPGA片內冗余的方案，進一步簡化了系統(tǒng)的復雜度。

3+1模結構的狀態(tài)轉移圖如下， TMR、SMR和 Failure三個狀態(tài)分別代表三模冗余、單模工作和系統(tǒng)失效。

在設計中，通過冗余單元的互鎖機制(Inter-Lock, IL)來防止錯誤數(shù)據(jù)通過冗余單元邊界傳播，為此采用了分區(qū)約束的方法進行布局布線設計。分區(qū)設計不僅能夠隔離錯誤，而且可以充分利用 APA300的 Spine分布，減少路徑延遲。

在用戶約束文件 GCF文件中作如下約束：

這四條語句把 U1~U4四個子系統(tǒng)分別限制在一個 spine內，除了全局時鐘線和輸入輸出線以外，子系統(tǒng)之間沒有直接的連接，這樣分區(qū)布局布線以后就能夠有效地隔離錯誤。

在保證可靠性的同時，3+1模設計昀大程度的保證了輸出的實時性，不需要經(jīng)過關機等待周期、重發(fā)指令周期或者輸出不確定周期，能夠連續(xù)輸出正確結果直到系統(tǒng)完全倒向錯誤狀態(tài)。為了避免系統(tǒng)重構時過快降級，考慮到很多錯誤是瞬時出現(xiàn)又隨即恢復的軟錯誤，因此設定錯誤出現(xiàn)一定次數(shù)（例如 3次）以后才去掉故障模塊。

對于 3+1模結構，可靠性提高的代價是付出了 4倍的資源開銷，另外輸出時間延遲會略有增加，因為關鍵路徑上的表決器增加了判斷、替換的邏輯單元。因此這種結構只適用于資源充裕、系統(tǒng)頻率不高的場合。在空間應用系統(tǒng)中，工作速度往往不是昀重要的，因而 3+1模結構實質上是用速度換面積（可靠性），在資源不足的情況下可以只對關鍵模塊、錯誤敏感率高的模塊進行冗余，以節(jié)省資源。

4 系統(tǒng)可靠性分析

假設單機的可靠性為（運行 5年后） , 普通 TMR和本文中改進型 TMR的可靠性分別為。由于 2個以上子系統(tǒng)同時發(fā)生錯誤的概率很小，假定同一時刻昀多只有一個子系統(tǒng)發(fā)生錯誤。

TMR可以容忍 1個子系統(tǒng)錯誤，可靠性相當于 3個子系統(tǒng)都正常的可靠性加上某一個子系統(tǒng)錯誤、其它兩個子系統(tǒng)正常的可靠性：

同理，改進型 TMR的可靠性相當于以下三種情況的可靠性之和：

1）4個子系統(tǒng)都正常

2）1個子系統(tǒng)錯誤，其它 3個子系統(tǒng)正常

3）2個子系統(tǒng)錯誤，其它 2個子系統(tǒng)正常

取一系列的 R0值（0≤R0≤1），按（1）（2）兩式計算出 RTMR和 RTMR+1如下表 1：

由表 1可以看出， 3+1模結構的可靠性遠高于 3模冗余和單模工作，特別是在子模塊可靠性降低的情況下提高可靠性的效果更為顯著。

5 結論

本文提出了一種基于 Flash型 FPGA的高可靠系統(tǒng)解決方案，改進型的 TMR冗余利用片內備份的子系統(tǒng)替換出錯的系統(tǒng)，能夠長期維持 TMR系統(tǒng)，有效地提高可靠性。本文所述思想同樣適用于多芯片 /多機情況下的冗余方案。本系統(tǒng)即將應用于某航天型號設備中，經(jīng)過初步聯(lián)試證明本系統(tǒng)能夠滿足可靠性和性能的要求。

本文作者創(chuàng)新點：1、將 Flash FPGA用于星載測控系統(tǒng)，提高了固件可靠性；2、改進型 TMR（3+1模冗余）改善了三模冗余的不足，延長了系統(tǒng)使用時間，大大提高了系統(tǒng)的可靠性。