一种基于FPGA的高安全性ARINC818卡设计.docxVIP

一种基于FPGA的高安全性ARINC818卡设计 0 引言于2007年航空电子工程委员会(AEEC)发布的航空电子数字视频总线在航空电子应用中ARINC818的实现广泛使用FPGA(Field Programmable Gate Array)1 适航认证的安全性要求不同于军机的高战术技术性能要求，安全性是民用飞机研发的重要考量和出发点之一。在民航领域广泛应用和适用的标准SAE ARP 4761 《民用运输系统和设备安全性分析程序的指导方针和方法》、SAE ARP 4754A 《民用飞机与系统研制指南》从飞机的架构方面系统化的安全性分析、安全性的分配、故障探测和分析等方法进行了详细规定。目前CCAR适航标准的1309条，其中与安全性评估相关的CCAR-25(R3)1309内容如下：（a）飞机系统与有关部件的设计，在单独考虑以及与其它系统一同考虑的情况下，必须符合下列规定：（1）发生任何妨碍飞机继续安全飞行与着陆的实效条件的概率极小（b）必须通过分析，必要时通过适当的地面，飞行或模拟试验来表明符合本条(a)的规定。这种分析必须考虑下列情况：（1）可能的失效模式，包括外界原因造成的故障和损坏；（2）对机组的警告信号，所需的纠正动作以及对故障的检测能力。综合上述法规的要求，安全性设计是对于安全性目标的一个综合性的处理方法。对于具体的功能模块而言在满足系统功能要求的基础上，首先消除潜在危险或者将设计的危险降至最小，其次通过保护性设计控制危险，设计探测和警告功能。下文将介绍其硬件架构并分析A级ARINC818接收卡的失效模式,相应的缓减策略将被评估。2 ARINC818接收模块电路设计2.1高安全性的ARINC818模块物理架构ARINC818接收电路物理架构如图1所示，该接收电路包含两个物理接口：COTSWORKS公司RCP光模块作为接收接口和TI公司的TFP401作为DVI发送接口。ARINC818接收电路使用Xilinx Arctix7系列FPGA完成符合ARINC818协议的视频数据的接收以及DVI接口的视频数据输出的接口转化功能。其中采用Cypress公司位宽为9bit 的SRAM芯片作为视频数据缓冲器，看门狗电路完成FPGA电路复位和重新加载功能。其次ARINC818接收电路通过数字离散量上报该模块工作状态给与之互连的系统。这些数字离散信号包含电路工作状态信号和外部状态确认信号，以便于外部清晰判断和处理该模块的工作状态是否正常等。2.2 ARINC818模块安全需求架构分析如图1所示，该模块使用基于SRAM的FPGA器件作为逻辑功能的载体，该器件由一个非易失的NOR型FLASH芯片配置。FLASH芯片也易于受到单粒子翻转事件(SEU)影响的原因，因此应增加额外的设计或者自动恢复的方法减轻SEU风险。在本设计中有两个方面易于SEU影响：第一个是ARINC818到DVI的数据路径；第二个是FPGA芯片的配置路径。在ARINC818到DVI接口的数据流路径上的各个子电路可能存在的故障模式或者失效如下：如图1所示，区域1——RCP模块中：a) 光模块故障导致接受的视频流污损；b) 光模块故障导致无法识别8b10b错误；c) 光模块故障不能识别光信号丧失或光功耗不满足要求。区域2——SRAM模块中：a) SRAM芯片因SEU、热等原因缓冲视频数据被污损b) SRAM芯片故障缓冲数据中ECC位错误区域3——FPGA模块中：a) 无视频数据输出，输出黑屏b) 视频数据输出异常，包含视频数据有误，视频显示异常或冻结区域4——看门狗模块中：a)看门狗电路故障不能产生复位信号，导致FPGA不能完成重新加载操作b) 看门狗电路不能发起FPGA的重新加载操作区域5——视频编码模块中：a) DVI编码芯片不能发送视频数据和控制信号b) DVI编码芯片产生退化的视频即使在来自FPGA的输入数据是正确的情况下c) DVI编码芯片没有接受到来自FPGA的有效数据；ARINC818卡的故障树的顶事件为显示信息的丧失或冻结。基于该故障模式经过板卡级的FMEA分析结论为：光模块、视频编码芯片以及时钟芯片等芯片的可靠性相对较高，主要的风险来自于FPGA芯片以及SRAM芯片。对于光模块、SRAM、看门狗芯片、FPGA存在故障均可给出故障提示或者明显的预警。唯有视频编码芯片的故障依赖下一级电路来判断。2.3高安全性的ARINC818电路设计ARINC818接收电路兼容3G和1G链路，提供给FPGA 159.375MHz和106.25MHz两路差分参考时钟。100MHz输入时钟用于FPGA输出符合VESA MTS1.0