[发明专利]一种基于PRISM的抗SEU的可靠性验证方法

说明书

技术领域

本发明属于计算机系统模型检验领域，具体是航空领域中的嵌入式系统可靠性验证方法。

背景技术

近年来，随着航空航天相关领域技术的不断发展，越来越多的集成电路器件(如卫星中的集成电路)需要在辐射环境下工作。1962年Wallmark和Marcus预测了宇宙射线对微电子器件的影响。1978年，Pickel和Blandford对美国某秘密卫星的存储器系统异常现象进行分析，确认这些异常现象是单粒子翻转(singe-event upset，SEU)引起的。如对单粒子翻转效应不采取一定的防护措施，一旦出现在关键的电子芯片中，其引起的后果可能是灾难性的。在1589次美国卫星异常中，由单粒子翻转效应造成的异常有621起，占39.1％。而我国的“风云一号(B)”卫星由于其主控计算机受到高能带电粒子辐照，发生多次单粒子翻转事件，最终使姿态控制系统失效，过早结束了寿命。因此，相比于其他类型的器件，辐射环境下应用的器件需要有更高的抗辐射的可靠性保障。

目前抗辐射的芯片器件类型主要分为专用集成电路器件(ASIC)、一次性可编程器件(如基于反熔丝的FPGA)、可重复编程器件(如基于SRAM的FPGA，即SRAM-based FPGA)。以航天应用为例，相比较于前两种器件，可重复编程器件拥有前两种器件所不具备的优势。一、成本优势。由于航天应用中的单个应用的器件产量往往很低，对于ASIC器件而言，单个器件的成本相当高昂，而且面向不同的应用必须进行重新设计制造。而SRAM-based FPGA一方面可以批量生产，降低了单个器件的制造成本，另一方面由于基本不用考虑工艺制造问题，大大降低了设计成本、缩短了产品开发周期。二、可重构优势。由于航天应用中的环境复杂性、高成本等因素，可重构特性拥有极高的意义与价值。一方面，若系统在发射后发现设计问题或使用中出现故障，可重构器件只需将修改后的电路远程重新下载，便可以使系统恢复正常，大大提高了系统的可维护性。另一方面，由于系统可重构，便可以根据需要修改更新系统的任务与功能，从而既避免了再次开发，也使航天系统具备了“高智能”。基于上述优点， SRAM-based FPGA已经受到了普遍关注，并且在在许多太空项目中获得应用。如2003年Xilinx 公司的Virtex FPGA(xQvR400oxL成功地应用在火星探测任中，2005年欧洲的金星探测任务也是使用的基于Virtex FPGA(XQVR6OO)的系统。但相比于前两种器件，SRAM-based FPGA更易受到辐射效应中SEU的影响，因此必须对器件进行SEU方面的加固使具有容错能力，以提高系统可靠性。

2011年，中国空间技术研究院载人航天总体部的相关研究人员针对SEU现象提出了一种加固方案，此方案提出了多种措施对FPGA进行可靠性保护，首先是回读比较检测方法，其次是内存刷新(scrubbing)措施，最后是BRAM自纠错宏。这三种措施都是Xilinx公司建议的方法，能有效对抗SEU，提高系统的可靠性系统。印度理工学院(Indian Institute of Technology)提出了一种动态部分重构的方案来对抗单粒子翻转，以提高系统的可靠性。这种方案采用部分重构，基于模块化的设计(RM)对FPGA进行重构，它会将FPGA内容易发生单粒子翻转的逻辑资源重新配置。不但有效的利用了FPGA的资源，而且提高了系统的可靠性。可以看到国内外在FPGA可靠性的研究上都做了很多工作，能在一定程度上提高系统的可靠性。但是即便采用了这些加固方案，最终生产出来的系统未必就符合可靠性标准。因此，在系统正式投入运行之前必须要进过严格的可靠性验证。

形式验证指的是在计算机软硬件系统设计过程中，使用数学方法来证明某个或者某些形式规范或者属性的正确性或者非正确性。对于传统的方法(如simulation)，如何模拟系统中各种可能性行为已经成为了一个经典问题，然而形式化验证在此方面优于simulation，因为形式化方法会通过穷尽系统的状态空间，对给定的形式化规范进行验证。模型检验就是一种成熟的，用来验证有限状态系统正确性的自动化形式验证技术。给定系统的形式化模型和待要验证的规范和属性，模型检验算法就能自动地彻底地探索系统会出现的所有状态，来验证这些规范和属性是否被满足。如果不满足，会举出反例。模型检测技术的使用范围很广泛，如考察系统的安全性、性能或者独立性等。

发明内容