引言

現(xiàn)場(chǎng)可編程門(mén)陣列（Field Programmable Gate Array, FPGA）是基于SRAM的一種硬件電路可重配置電子邏輯器件，可通過(guò)將硬件描述語(yǔ)言編譯生成的硬件配置比特流編程到FPGA中，而使其硬件邏輯發(fā)生改變。FPGA在電子設(shè)計(jì)中的靈活性和通用性使其在航天、通信、醫(yī)療和工控等重要領(lǐng)域得到了廣泛的應(yīng)用。然而，F(xiàn)PGA中的硬件邏輯電路容易受到SEU（Single Event Upset）和SETs（Single Event Transients）故障的影響，從而導(dǎo)致系統(tǒng)失效。FPGA電路失效降低了基于FPGA的嵌入式系統(tǒng)的穩(wěn)定性和壽命，同時(shí)會(huì)嚴(yán)重限制它在生產(chǎn)和生活各個(gè)方面的應(yīng)用范圍。系統(tǒng)備份、系統(tǒng)故障恢復(fù)和系統(tǒng)多模冗余設(shè)計(jì)是防止系統(tǒng)失效的有效方法。FPGA動(dòng)態(tài)局部可重構(gòu)技術(shù)是一種可應(yīng)用于系統(tǒng)故障恢復(fù)的新興技術(shù)，它可以在FPGA系統(tǒng)運(yùn)行的過(guò)程中，動(dòng)態(tài)地改變FPGA內(nèi)部的部分邏輯電路塊的邏輯功能，同時(shí)又不會(huì)影響其他邏輯的正常運(yùn)轉(zhuǎn)；二模冗余技術(shù)是一種典型的系統(tǒng)冗余容錯(cuò)設(shè)計(jì)方法，它為系統(tǒng)的重要模塊設(shè)置備份模塊，保證系統(tǒng)出現(xiàn)故障時(shí)依然可以穩(wěn)定可靠地運(yùn)轉(zhuǎn)?；谏鲜鏊枷?，本文設(shè)計(jì)了一種基于FPGA動(dòng)態(tài)可重構(gòu)技術(shù)的二模冗余MIPS處理器。

1 總體方案

Xilinx公司的XC5VLX110T開(kāi)發(fā)板是一個(gè)內(nèi)含ML509芯片、具備內(nèi)部邏輯塊可動(dòng)態(tài)配置能力的FPGA開(kāi)發(fā)板。Verilog是一種結(jié)構(gòu)化可綜合的硬件描述語(yǔ)言，通過(guò)它可以很快地實(shí)現(xiàn)數(shù)字邏輯電路的結(jié)構(gòu)級(jí)系統(tǒng)建模。本文以Xilinx公司的XC5VLX110T開(kāi)發(fā)板作為系統(tǒng)開(kāi)發(fā)平臺(tái)，以Verilog語(yǔ)言開(kāi)發(fā)了一種基于二模冗余結(jié)構(gòu)的MIPS處理器系統(tǒng)。系統(tǒng)整體結(jié)構(gòu)如圖1所示。

系統(tǒng)的主要組成部分如表1所列。

IMEM是一個(gè)采用Xilinx公司IP生成器生成的FPGA內(nèi)建存儲(chǔ)器，由于MIPS處理器運(yùn)行過(guò)程中不會(huì)改變指令存儲(chǔ)器的內(nèi)容，所以它被設(shè)計(jì)為無(wú)時(shí)鐘門(mén)控的單端口只讀存儲(chǔ)器，存放MIPS處理器系統(tǒng)要執(zhí)行的指令。IMEM的數(shù)據(jù)位寬為32位，存儲(chǔ)深度為1 024。DMEM同樣也是使用IP生成器生成的存儲(chǔ)器，它存放MIPS處理器執(zhí)行過(guò)程中所需的數(shù)據(jù)，是具有時(shí)鐘邊沿控制和使能控制的可讀寫(xiě)單端口存儲(chǔ)器。DMEM的數(shù)據(jù)位寬為32位，存儲(chǔ)深度為1 024。MIPS模塊是一個(gè)包含完整數(shù)據(jù)通路、ALU和控制邏輯的使用Verilog語(yǔ)言描述的單周期MIPS處理器，它的指令集大小為32，所有的指令均為整型操作指令。此處理器模塊含有指令存儲(chǔ)器和數(shù)據(jù)存儲(chǔ)器外部接口，它是系統(tǒng)核心模塊，所以被設(shè)計(jì)為FPGA中的可重構(gòu)區(qū)域。ERR_VERIF模塊是故障檢測(cè)模塊，它能對(duì)兩MIPS系統(tǒng)的執(zhí)行結(jié)果進(jìn)行對(duì)比，并生成相應(yīng)的故障控制信號(hào)；BIST模塊也稱(chēng)為內(nèi)建自測(cè)試模塊，只有系統(tǒng)發(fā)生故障時(shí)，此模塊才啟動(dòng)運(yùn)行。它用來(lái)測(cè)試各子系統(tǒng)的正確性，并輸出測(cè)試結(jié)果。

在圖1中，以虛線(xiàn)框起來(lái)的部分為FPGA中的可重構(gòu)區(qū)域。圖中有兩個(gè)可重構(gòu)區(qū)域，上一個(gè)區(qū)域?yàn)橹髯酉到y(tǒng)區(qū)，下面一個(gè)區(qū)域?yàn)橹髯酉到y(tǒng)區(qū)的備份區(qū)。

2 工作原理

系統(tǒng)上電復(fù)位后，在兩MIPS內(nèi)部邏輯均正常的情況下，系統(tǒng)執(zhí)行過(guò)程為：指令存儲(chǔ)器根據(jù)系統(tǒng)復(fù)位后的指令執(zhí)行地址將指令從IMEM中取出，送入兩個(gè)MIPS系統(tǒng)中；兩個(gè)MIPS處理器分別在指令的指示下完成相應(yīng)的工作，然后將執(zhí)行結(jié)果輸出到ERR_VERIF模塊、DMEM和IMEM模塊；ERR_VERIF模塊分析系統(tǒng)是否正常運(yùn)轉(zhuǎn)，然后將分析結(jié)果信息輸出到FPGA上的LED燈A上。

當(dāng)其中一個(gè)MIPS處理器的內(nèi)部邏輯發(fā)生故障時(shí)，可假定為圖1中上方的主MIPS區(qū)域故障。系統(tǒng)執(zhí)行過(guò)程為：ERR_VERIF故障檢測(cè)模塊檢測(cè)到系統(tǒng)的子區(qū)域出現(xiàn)故障，然后發(fā)出故障位置檢測(cè)控制信號(hào)；此時(shí)，BIST模塊接收到檢測(cè)控制信息后，啟動(dòng)內(nèi)建自測(cè)試系統(tǒng)，將故障測(cè)試向量輸入MIPS系統(tǒng)。在開(kāi)啟了BIST模塊后，系統(tǒng)的指令輸入將不再來(lái)自IMEM模塊，而是由BIST模塊提供。同時(shí)，指令的執(zhí)行結(jié)果也不會(huì)寫(xiě)回到DMEM模塊中，而是反饋到BIST模塊中。MIPS根據(jù)測(cè)試向量進(jìn)行運(yùn)算，然后將運(yùn)算結(jié)果反饋給BIST單元。BIST單元的測(cè)試要進(jìn)行多次，以確保對(duì)故障的準(zhǔn)確判斷。BIST得到執(zhí)行結(jié)果后，對(duì)測(cè)試結(jié)果進(jìn)行分析并判定當(dāng)前MIPS系統(tǒng)是否正常運(yùn)行，最后分別將分析結(jié)果輸出到FPGA上的LED燈B、C上。

ERR_VERIF模塊的故障分析方法為比較法。它將執(zhí)行同樣指令且同步運(yùn)行的兩個(gè)子系統(tǒng)的執(zhí)行結(jié)果進(jìn)行比較，當(dāng)發(fā)現(xiàn)結(jié)果不一致時(shí)，就表示其中一個(gè)子系統(tǒng)出現(xiàn)了故障，這時(shí)需要使用BIST模塊去主動(dòng)定位故障位置。而B(niǎo)IST進(jìn)行故障分析的方法與ERR_VERIF模塊使用的方法本質(zhì)上是相同的，但是實(shí)現(xiàn)方式不同。BIST模塊將被測(cè)試模塊產(chǎn)生的輸出與BIST內(nèi)部存儲(chǔ)好的預(yù)期的輸出進(jìn)行比較，來(lái)測(cè)試被測(cè)模塊是否出現(xiàn)故障。

檢測(cè)出的故障情況有3種：主子系統(tǒng)故障、備份子系統(tǒng)工作正常；主子系統(tǒng)正常、備份子系統(tǒng)故障；主系統(tǒng)子系統(tǒng)和備份子系統(tǒng)均出錯(cuò)。BIST模塊檢測(cè)出故障情況后，會(huì)將故障情況顯示于故障燈（也就是A、B、C）上。當(dāng)3個(gè)故障燈中有燈亮?xí)r，則表示系統(tǒng)出現(xiàn)故障。燈A、B亮，表示主子系統(tǒng)出現(xiàn)故障；燈A、C亮，表示備份子系統(tǒng)出現(xiàn)故障；燈A、B、C亮，表示兩子系統(tǒng)均出現(xiàn)了故障。在出現(xiàn)故障后，系統(tǒng)會(huì)根據(jù)具體情況，對(duì)系統(tǒng)輸出進(jìn)行調(diào)整。當(dāng)主子系統(tǒng)出現(xiàn)故障而備份子系統(tǒng)未出現(xiàn)故障時(shí)，系統(tǒng)輸出則來(lái)自備份子系統(tǒng)；當(dāng)備份子系統(tǒng)出現(xiàn)故障而主子系統(tǒng)未出現(xiàn)故障，系統(tǒng)輸出則來(lái)自主子系統(tǒng)。當(dāng)兩子系統(tǒng)都出現(xiàn)了問(wèn)題時(shí)，則需要停機(jī)維護(hù)。當(dāng)其中一個(gè)子系統(tǒng)出現(xiàn)故障時(shí)，需要將無(wú)故障的子系統(tǒng)比特流重新下載入FPGA系統(tǒng)中。在下載時(shí)，系統(tǒng)的工作無(wú)需停止。