机载电子跨时钟域同步电路验证及可靠性分析.docx

? ? 机载电子跨时钟域同步电路验证及可靠性分析 ? ? 范毓洋, 邓智, 李子航 (1.中国民航大学 民航航空器适航审定技术重点实验室, 天津 300300; 2.中国民航大学 适航学院, 天津 300300) 随着机载电子设备复杂性增加、机载电子芯片设计规模的扩大，集成电路设计中跨时钟域信号传输也逐渐增多。而信号跨时钟域传输不可避免地会在电路中引入亚稳态[1]，若亚稳态处理不当，则可能给电路带来数据丢失、位错、重汇聚等风险，造成设备关键功能的丧失或错误。如时钟检查电路功能丧失[2]、飞机显示图像异常、AFDX交换机数据错误等。更严重的是，若亚稳态沿信号通道上的寄存器级联传播，可能造成芯片烧毁的严重后果。如某航天器在为期一年多的地面测试中突然出现故障，经分析发现，航天器出现故障的原因是跨时钟域电路传输引入亚稳态，亚稳态传播导致片上大量MOS(metal oxide semiconductor)管同时工作致使电路板烧毁[3]。 目前电子设计技术的进步和一些机载电子设计部门的扩张，客观上也增大了设计中发生亚稳态问题的可能性。如一些硬件综合工具支持软件工程师使用高级语言设计硬件电路，与使用RLT代码进行电路设计相比，跨时钟域电路的亚稳态问题更容易被设计人员忽略[4]。另外，机载电子设计部门因为人员快速扩张，员工技术水平良莠不齐，不仅使得在设计过程中容易出现同步器功能设计错误，也使得同行评审质量下降，不能依靠评审有效发现问题。且随着特征尺寸的下降、新设计技术的出现[5]，芯片电压下降、时钟频率和数据频率提高、同步路径增多，导致芯片中已有的功能正确的跨时钟域信号同步器的可靠性下降。若这些同步设计不经过可靠性评估而直接应用到航空领域，则会产生安全隐患。虽然目前跨时钟同步电路的问题存在的可能性增大，但是目前的机载电子的验证活动中，常常会忽视掉针对跨时钟域传输功能和可靠性的验证活动。 FAA Order 8110.105 A提及了机载电子硬件需进行最好或最坏情况下时序分析[6]。但是Order 8110.105 A及DO-254标准中都未具体提及如何验证跨时钟域时序问题[7]。而机载电子行业针对机载复杂电子硬件验证活动是基于需求开展的。时钟相关的需求一般只会描述各个时钟的时钟频率、占空比、抖动等内容。针对这些时钟需求的验证一般通过时序仿真和静态时序分析来进行覆盖。因此基于需求的验证及对应的验证方法并不能有效发现跨时钟域传输的问题。若未在设计活动中把概要设计或详细设计中明确的跨时钟域路径反馈到衍生需求，或未在概要设计中明确描述跨时钟路径及同步策略方法，则针对跨时钟域的验证活动很容易被忽视。若把亚稳态问题带到终端产品上去，则可能会使机载设备产生安全隐患。 因此，为了减少亚稳态问题发生概率，保证同步正确性，需要对跨时钟域电路可能带来的问题(同步器可靠性问题[8-9]、同步器结构问题[5,9-10]、跨时钟域数据传输协议问题[5,11]、重汇聚[5,12-13]问题)进行全面验证。而跨时钟域信号验证通常只能对多个实际电路进行长期测试以发现亚稳态隐患。但由于亚稳态造成的故障具有偶发性和不可重现性，极大增加了电子硬件的研制时间和验证成本。如果直接使用国外专用CDC分析软件(如spyglass，questa-CDC)，在高安全等级机载电子电路验证活动(例如DAL A，B)中需承担工具成本及使用此工具所需的工具鉴定[14]活动所带来的时间和经济成本。另外，由于航空单粒子问题，常常要求使用三模冗余对跨时钟域模块进行加固设计[15]，但目前的专用CDC分析软件不支持三模跨时钟同步电路验证，容易出现错误的验证结果，给验证活动带来问题。 针对此情况，本文对跨时钟域同步可能存在的问题开展全面的验证方法研究，提出了一套基于传统FPGA(field programmable gate array)设计工具、功能仿真工具的RTL级验证、板级加速测试和计算评估相结合的跨时钟域验证的解决方法。该方法有较强的实用性和适用性，能够有效弥补专用工具缺陷，在机载电子设计早期发现并评估潜在的跨时钟域传输风险，达到降低安全隐患的目的。 1 方法概述 完整的跨时钟域同步电路验证及可靠性分析方法主要包括RTL级验证、板级加速测试、计算评估三部分，具体验证流程如图1所示。 图1 验证流程图 RTL级验证(包括结构分析、协议验证、重汇聚验证)旨在证明跨时钟域信号传输所使用的同步方法功能正确，保证了单比特的使能信号或多比特的数据信号能传输到目的时钟域，且不出现数据丢失。 板级加速测试通过构建加速亚稳态生成环境获取亚稳态相关数据，并根据板级测试所得亚稳态相关数据计算出亚稳态参数值。 对于航空机载设备电路的设计，需对这些功能正确的同步电路的可靠性进行分析。为评估电路可靠性，需通过亚稳态参数计算