車載COST信息處理平臺的設計與實現(xiàn)
原創(chuàng)性聲明
本小組聲明所呈交的電子設計作品文章是該小組所有成員在導師指導下進行的創(chuàng)新設計工作及取得的研究成果。盡我所知,除了文中特別加以標注和致謝的地方外,論文中不包含其他人已經發(fā)表和撰寫過的研究成果。
電子設計題目: 車載COTS信息處理平臺的設計與實現(xiàn)
電子設計小組組員簽名: 黃影 李毅 劉東 李瑞 日期: 二OO六年三月十九日
作者簡介:
黃影,男(1983-),國防科技大學計算機學院,碩士研究生
李毅,女(1981-),國防科技大學計算機學院,碩士研究生
劉東,男(1980-),國防科技大學計算機學院,博士研究生
李瑞,男(1977-),國防科技大學計算機學院,博士研究生
指導老師:
張春元,男(1964-),國防科技大學計算機學院教授,博士生導師
通訊地址:湖南省長沙市國防科技大學六院五隊,郵編410073
聯(lián)系電話:黃影13723858300 李毅13574842498
E-mail:yinghuangying@nudt.edu.cn necklacemary@163.com
Design and Implementation of The On-Board Information Processing Platform Based on COTS
HUANG Ying , LI Yi and ZHANG Chun-yuan
Department of Computer
National University of Defense Technology
Changsha Hunan 410073
P.R.China
Abstract:Fault-tolerant technique is a key way to improve reliability of computer system, which is more and more widely applied in design and development of computers under on-board environment. An embedded resolvent of the on-board information processing system based on COTS was presented and implemented. In allusion to abominable environment, a multi-level fault-tolerant mechanism based-on FPGA, which has greatly improved system’s reliability and stability, were implemented, by using Altera's EP1C6Q240C8 and EP1C4F400C8. In addition, an abnormal-current-resisting protection circuit was designed with both chip-level and board-level's detections. With reliability greatly enhanced to fit the need, the system was high-performance, low-cost and small-volume.
Key words: COTS;Dual Fault-Tolerant;FPGA
車載COST信息處理平臺的設計與實現(xiàn)
黃影,李毅,劉東,李瑞,張春元
(國防科技大學計算機學院,長沙,410073)
摘要:容錯技術是提高計算機系統(tǒng)可靠性的重要手段,廣泛應用于各種抗惡劣環(huán)境計算機的設計中。本文提出并實現(xiàn)了一種基于COTS技術的車載信息處理系統(tǒng)的嵌入式解決方案。針對可能的惡劣工作環(huán)境,使用Altera的EP1C6Q240C8和EP1C4F400C8芯片設計實現(xiàn)了基于FPGA的多級容錯技術,并采用芯片和板級兩級監(jiān)測大電流保護電路,有效地提高了系統(tǒng)的可靠性和穩(wěn)定性,滿足了該信息處理系統(tǒng)性能高、成本低和體積小的要求。
關鍵詞:COTS;雙機容錯;FPGA
中圖分類號:TP302.8 文獻標志碼:A
1 引言
嵌入式系統(tǒng)是泛計算領域的重要組成部分,是嵌入式對象宿主體系中完成某種特定功能的專用計算機系統(tǒng)。嵌入式系統(tǒng)有體積小、功耗低、集成度高和子系統(tǒng)能通信融合的優(yōu)點。隨著汽車技術的發(fā)展以及微處理器技術的不斷進步,在汽車電子技術中得到了廣泛應用。目前,從車身控制、底盤控制、發(fā)動機管理、主被動安全系統(tǒng)到車載娛樂、信息系統(tǒng)都離不開嵌入式技術的支持[1]。
車載信息處理平臺作為汽車商業(yè)應用領域和計算機領域結合的產物,設計的目標之一就是成本低、質量小以及研制周期短,使用COTS(Cost-Off-The-Shelf,商用現(xiàn)貨)的元器件和開發(fā)工具可以更好的支持這一思想。通過多級容錯技術的應用,本文設計并實現(xiàn)了一個能夠惡劣輻射環(huán)境的嵌入式系統(tǒng),能夠應用在車載電子信息處理系統(tǒng)中。
COTS技術的引入是當前嵌入式系統(tǒng)設計開發(fā)的一個趨勢,在軍用和商用領域都有著廣闊的應用前景。采用商用微處理器具有運算速度快、軟件編程平臺完善、應用軟件多、系統(tǒng)組成靈活等特點,但如何保證其在惡劣環(huán)境中的高可靠性、高穩(wěn)定性和高性能,是一個具有挑戰(zhàn)性的課題。
2 車載信息處理平臺的設計與實現(xiàn)
2.1 系統(tǒng)結構及功能設計
2.1.1硬件平臺結構及其功能
車載信息處理平臺作為汽車控制系統(tǒng)的核心,是一個典型的實時嵌入式系統(tǒng),負責汽車的電子控制和數(shù)據(jù)通訊等。該平臺系統(tǒng)的硬件平臺結構如圖1所示,主要包括嵌入式處理器和外圍設備。
圖 1車載信息處理平臺總體結構圖
從圖1中可以看出,嵌入式車載信息處理平臺實現(xiàn)了模塊化結構。外部存儲器有兩種,一是Flash存儲器,用于存放系統(tǒng)程序和用戶程序,因為這些程序有可能需要在線更新,因此采用可擦寫的Flash存儲器;二是SRAM控制器,用于存放臨時的數(shù)據(jù),因為系統(tǒng)運行時頻率很高,必須采用高速SRAM,提高數(shù)據(jù)讀寫的速度,以免其成為系統(tǒng)的瓶頸。
由于外設數(shù)量眾多,數(shù)據(jù)量大,接口類型各異,本設計采用USB 2.0接口作為硬件平臺對外部設備的統(tǒng)一接口,將各種外設的數(shù)據(jù)轉換成統(tǒng)一的信號,經同一設備接口發(fā)往嵌入式硬件平臺,如此可簡化接口的設計,并方便其采集數(shù)據(jù)。
如圖2所示,為嵌入式硬件平臺的體系結構圖。該平臺共分為四個模塊:
圖 2 硬件平臺體系結構圖
處理器(CPU)模塊
CPU模塊是信息處理平臺任務處理的核心,負責車載電子設備控制和數(shù)據(jù)通信等信息的處理,此外系統(tǒng)軟件也在CPU板中運行。為了提高整個系統(tǒng)的可靠性,對CPU擬采用系統(tǒng)級的雙機容錯設計方案,故設計中有兩個相同的CPU模塊。有關雙機容錯機制的方案可參見本文2.2節(jié)。系統(tǒng)所需的有線網口和用于外接USB無線網卡的USB接口設計在兩塊CPU板中。
接口模塊(仲裁器模塊)
主要完成兩個功能:一是負責監(jiān)控雙機工作情況,并完成雙機容錯的仲裁器功能;二是負責向系統(tǒng)外部提供各種所需的設備接口,其中包括兩個串口和一個USB接口。
電源模塊
電源系統(tǒng)是一個相對獨立的系統(tǒng),負責供電和功耗管理,并對系統(tǒng)的其他部分進行實時檢測。當其他系統(tǒng)發(fā)生異常時,嵌入式硬件平臺可以檢測到并對其進行重啟,但當嵌入式硬件平臺本身發(fā)生異常時,只能由電源系統(tǒng)對其進行重啟。
2.1.2軟件平臺結構及其功能
軟件平臺則包括應用軟件和操作系統(tǒng),軟件通過數(shù)據(jù)結構、算法和通訊協(xié)議實現(xiàn)汽車電子控制策略,硬件則為軟件提供了運行平臺,執(zhí)行具體控制。
如圖3所示,嵌入式系統(tǒng)軟件是整個嵌入式硬件系統(tǒng)上電啟動后在操作系統(tǒng)上啟動的系統(tǒng)程序,該系統(tǒng)程序與嵌入式硬件平臺集成后,使整個系統(tǒng)成為完整意義上的信息處理平臺,在此之上完成用戶程序的啟動和停止,使具有雙機容錯功能的平臺能夠完成全部工作(詳見2.2.2節(jié))。 {{分頁}}
嵌入式軟件也是操作系統(tǒng)中用戶程序與底層硬件之間的接口,它負責操作CPU、FPGA等硬件,并根據(jù)硬件的狀態(tài)采取相應的措施,從而為系統(tǒng)中的用戶程序提供底層的服務支持。
圖 3 軟件平臺結構
2.2 可靠性設計
作為基于COTS的信息處理平臺而言,可靠性和穩(wěn)定性是影響整個嵌入式系統(tǒng)性能的關鍵因素。因此,針對惡劣的工作環(huán)境,容錯技術是應用COTS器件的關鍵所在。本文對系統(tǒng)COTS器件的特點進行了可靠性加固設計
2.2.1 基于FPGA的多級容錯機制
為適應工作環(huán)境提高系統(tǒng)的可靠性和穩(wěn)定性,本文提出并實現(xiàn)了基于FPGA的多級容錯機制:系統(tǒng)級基于FPGA的雙機容錯系統(tǒng);模塊級基于FPGA的RAM和FLASH的抗SEU容錯;芯片級針對FPGA的抗SEU容錯設計。通過該體系結構的多級容錯機制提高整個系統(tǒng)的抗SEU能力。
系統(tǒng)級—基于FPGA的雙機容錯系統(tǒng)方案
本文提出的基于FPGA的雙機容錯機制(溫備)[2]硬件設計結構如圖4所示??撮T狗監(jiān)控電路(WDT0和WDT1)和仲裁器(ARBITER)都是雙機容錯系統(tǒng)中的關鍵部分,分別負責對雙機工作情況進行監(jiān)控和通信控制等雙機信號的仲裁。兩個CPU通過中間的接口板(仲裁器)來實現(xiàn)基于溫備的雙機容錯系統(tǒng),以此實現(xiàn)系統(tǒng)級的冗余容錯功能。同時,F(xiàn)PGA系統(tǒng)(即接口板)還負責提供系統(tǒng)與外界通信的接口(即由FPGA仲裁后的接口)。
圖 4 基于FPGA的雙機容錯設計結構圖
在系統(tǒng)上電時,啟動操作系統(tǒng)。隨后在操作系統(tǒng)上加載嵌入式系統(tǒng)軟件[3][4],即AT91RM9200(ARM處理器)驅動程序和守護程序。如圖5所示,守護程序啟動后,根據(jù)仲裁器判斷系統(tǒng)的主機標志(MS,Master Symbol),從而決定是否啟動用戶控制運行的用戶程序。如果守護程序獲得本機為主機的標志,則啟動用戶程序;反之,如果守護程序獲得當前本機為備機的標志,則不啟動用戶程序。
圖 5 守護程序工作流程圖
當機組正常工作時,守護程序通過AT91RM9200驅動程序向仲裁器模塊上的外部Watchdog監(jiān)控模塊發(fā)送心跳信號,即信號WDI。仲裁器模塊上的外部Watchdog監(jiān)控模塊通過兩臺機組發(fā)送的心跳信號判斷當前雙機容錯系統(tǒng)的工作狀態(tài)。如果經過特定的時間后,仲裁器模塊上的Watchdog模塊沒有收到機組發(fā)送的心跳信號,則將會向另一臺機組發(fā)送中斷請求信號IS。如果另一臺機組為備機,則備機上的守護程序隨即啟動用戶程序,使故障機重啟后進入備機狀態(tài)。如果另一臺機組為主機,則主機繼續(xù)正常工作,故障機將會通過重啟嘗試故障的修復。
模塊級—基于FPGA的SDRAM和FLASH的TMR容錯技術
由于RAM和FLASH都是存儲器,在惡劣環(huán)境中工作,存儲單元易發(fā)生單位翻轉效應,因此采取三模冗余(Triple Module Redundancy,TMR)技術來提高RAM和FLASH等存儲器的可靠性。如圖6所示,F(xiàn)lash的TMR原理圖(RAM與此相同)。
圖 6 FLASH的TMR原理圖
芯片級—FPGA的重配置容錯設計
作為系統(tǒng)可靠性的瓶頸,F(xiàn)PGA的容錯設計是關鍵。設計原理如下:FPGA內部對輸入輸出的I/O信號均使用在FPGA邏輯單元內部的三模冗余,以保證數(shù)據(jù)信號和控制信號在通過FPGA內部邏輯處理時,不受電子干擾等因素的影響(嵌入式系統(tǒng)的集成度高,易發(fā)生干擾)。如圖7所示,為FPGA的容錯設計原理圖:
圖 7 FPGA的容錯設計結構示意圖
輸入信號B經FPGA內部處理前先轉存至B1、B2、B3三個FPGA的內部存儲單元中;在信號B1、B2、B3經過FPGA邏輯處理之前都分別經過了比較器進行比較。如果發(fā)現(xiàn)比較結果不一致,那么某個信號所在的邏輯單元可能發(fā)生錯誤。狀態(tài)寄存器保存比較器比較后的結果并由控制邏輯判斷出錯的存儲單元,并由控制邏輯自動(通過圖中的CE使能信號)屏蔽出錯的存儲單元發(fā)出來的數(shù)據(jù)。此時整個系統(tǒng)由一個三模冗余轉化成一個雙機比較,只有該對信號比較結果一致時可通過多路選擇器輸出至邏輯處理單元進行對數(shù)據(jù)的處理;否則假如其中又有一個存儲單元受到影響而發(fā)生了錯誤,那么控制邏輯判斷出錯誤,向外界發(fā)送一個RST中斷信號,使配置芯片向FPGA進行全局重新配置,回到原來的三模冗余狀態(tài)。如果三個比較器自身發(fā)生錯誤,那么比較后的輸出有誤, 可以由控制邏輯判斷糾正。如果控制邏輯發(fā)生了錯誤,那么只能發(fā)送RST信號,等待外部電路對之進行重新配置。其中狀態(tài)寄存器中存放比較器的比較結果,從而可以由控制邏輯判斷。為了保證控制邏輯的可靠性,可以通過設置看門狗的方法,對其進行檢測。如果該控制邏輯遇到故障出錯則看門狗計數(shù)器超時,發(fā)送超時信號給配置電路使其對FPGA重新配置。
2.2.2 系統(tǒng)的過流監(jiān)測保護電路設計
通常消除大電流的辦法是當大電流發(fā)生時重啟電源,即:監(jiān)測大電流的過流監(jiān)視器裝置;自動斷電和恢復的開關電路(即重啟電源)。
如圖8所示,本文設計的消除大電流電路工作原理如下:
圖 8過流監(jiān)測與保護電路原理圖
若流入負載電路的電流未超過設定的閾值電壓,則電流檢測放大器輸出的電壓經分壓后的Voutin小于極限值,內部電壓比較器輸出低電平(從COUT1),于是P溝道MOSFET管導通,即負載的供電電路連通,正常工作;若流入負載電路的電流超過了設定的閾值電流,則由Rsense檢測的電壓經電流檢測放大器放大后,使輸出電壓Vout經分壓Voutin后大于極限值,內部電壓比較器翻轉,COUT1輸出高電平,使P溝道MOSFET管截止,于是負載的供電電路切斷。內部電壓比較器為輸出鎖存型,一旦翻轉,則輸出高電平鎖存,電路保持斷開狀態(tài),即負載斷電;大電流消失后,內部電壓比較器復位,COUT1輸出低電平,P溝道MOSFET管導通,負載加電重新工作。
從圖2中可以看到,本設計對每個模塊中的關鍵芯片都有過流監(jiān)控器,一旦監(jiān)測到大電流的發(fā)生,由監(jiān)控器發(fā)送出錯信號至電源模塊。電源模塊立即對出現(xiàn)大電流的芯片進行斷電重啟的保護。{{分頁}}
2.3 實現(xiàn)
如圖9所示,為實現(xiàn)后的車載信息處理平臺及其子板的實物圖。該平臺由CPU板(兩塊)、電源板和接口板四部分組成,并通過PC104總線接口連接在一起。
圖 9 車載COTS信息處理平臺原型實物圖
CPU板
如圖9右下角所示,CPU板包括處理器AT91RM9200、FPGA芯片EP1C4F400C8、存儲器、總線等處理器資源,具有有線以太網口、USB接口等外設接口;為了便于調試,還配備了調試串口。CPU板在功能上,保留必須的外設接口。除此之外,為了提高CPU板的可靠性,對板上關鍵芯片設計大電流過流檢測和保護電路,存儲器的TMR冗余技術,CPU的可靠性則是采取設計中的板級雙機容錯技術加以實現(xiàn)。
接口板
如圖7右上角所示,接口板主要包括Altera EP1C6Q240C8的FPGA芯片、兩個RS232串口和一個USB2.0接口為信息處理平臺提供與外部設備連接的各種接口。為了與雙機容錯方案兼容,接口板需要對兩塊CPU板串口信號和USB信號的仲裁,因此,接口板中設計有FPGA芯片用于完成該功能。接口板為信息處理平臺提供系統(tǒng)功能監(jiān)控電路,Watchdog監(jiān)控模塊在接口板中實現(xiàn),與此配合的雙機容錯仲裁器功能在FPGA中實現(xiàn)。接口板是系統(tǒng)級容錯功能的核心,是接口模塊的實現(xiàn),其硬件結構處于整個系統(tǒng)的咽喉部位,除了對接口板所需的電源提供過流檢測和保護外,接口板還實現(xiàn)了FPGA的重配置容錯功能,以防止接口板中FPAG芯片受到干擾而引起的錯誤。在串口信號的仲裁等實現(xiàn)上,TTL電平的串口信號、USB信號從兩塊CPU板直接輸出,經過PC104接口引腳的電氣連接,傳送到接口板。
電源板
電源板為接口板和CPU板提供可靠穩(wěn)定的電源,通過PC104總線接口分別向接口板和CPU板分別供電;電源板為整個硬件系統(tǒng)提供大電流檢測和防護的功能,以減小或消除惡劣環(huán)境對嵌入式硬件系統(tǒng)產生的大電流效應;此外,各個子板中關鍵電路或芯片(如FPGA)也設計有過流檢測電路,這些檢測電路與電源板上的檢測電路一起成為該嵌入式平臺的電源管理模塊。結合工作特點,系統(tǒng)的電源管理和功耗管理在電源板中實現(xiàn):通過控制各個子板的電源供應,可以根據(jù)實際使用情況分配功率。
PC104總線接口
PC104總線接口仿照ISA接口定義,是應用于嵌入式領域的ISA總線標準,其獨特的機械結構增強了嵌入式硬件的機械強度,為系統(tǒng)提供一個可靠穩(wěn)定的工作平臺[5]。接口板和CPU板的過流信號經過PC104接口傳送到電源板。電源板對接口板和兩塊CPU板分別供電,各個子板所需的電源在PC104接口中的引腳各不相同,為電源管理和功耗管理提供了便利。
3 結果分析與討論
本文最終實現(xiàn)了基于COTS的車載信息處理平臺。如圖10所示,利用CPU板的調試串口和終端顯示,通過加載裁減后的linux操作系統(tǒng)、運行應用軟件等測試證明該平臺都工作正常符合設計要求。
圖 10 CPU板(主備機)調試終端顯示的工作狀態(tài)
實驗結果表明,系統(tǒng)采用32位的AT91RM9200處理器芯片,當主頻為180MHz時,處理器能力達到200MIPS;能夠提供32M SDRAM和16M FLASH的存儲空間;系統(tǒng)可外接兩路RS232串口,并且能夠外接多達127個設備的USB接口(通過USB HUB),為系統(tǒng)提供了足夠的設備擴展能力;除去接口電纜等外圍插件,整個系統(tǒng)約重450克,體積約1cm3;整個系統(tǒng)在正常工作時的功耗約為3W以內。因此,該系統(tǒng)具有顯著的低功耗、低成本和體積小的優(yōu)勢。
由于車載信息處理平臺的工作環(huán)境,本文通過對系統(tǒng)進行從芯片至板級的一系列旨在提高可靠性的加固設計來提高系統(tǒng)的可靠性。但由于實驗條件限制,該平臺未能在真實的車載環(huán)境中測試其抗輻射能力。因此,還需要通過故障注入技術模擬環(huán)境對系統(tǒng)可靠性指標檢驗后,才能應用在車載環(huán)境中。盡管如此,該車載信息處理平臺已能夠為車載電子設備的應用以及軟件的設計和開發(fā)提供有效的調試和驗證環(huán)境。
4 結語
綜合成本、性能和體積等諸多因素的限制,基于COTS器件的車載信息處理平臺在商用領域的應用將越來越廣泛。由于COTS器件構建的系統(tǒng)運行在惡劣環(huán)境中,會影響系統(tǒng)的可靠性和穩(wěn)定性。COTS器件本身可靠性不高,只能通過可靠性加固技術增強其穩(wěn)定性,消除影響,或盡快從影響中恢復。本文對可能引發(fā)的各種系統(tǒng)可靠性問題進行了分析和有效地處理:針對大電流,采用芯片和板級的兩極過流監(jiān)控和防護技術對系統(tǒng)進行保護和恢復;采用基于FPGA的多級容錯機制提高整個系統(tǒng)的穩(wěn)定性和可靠性。最后在此基礎上實現(xiàn)了車載信息處理平臺的設計方案。
由于試驗環(huán)境和條件所限,該信息處理平臺未能在真正的車載環(huán)境下進行測試,但各子系統(tǒng)都經過模擬驗證測試,且雙機系統(tǒng)溫備份工作良好。在以后的工作中,將對整個系統(tǒng)進行可靠性量化分析并逐步完善,并對各種可靠性加固方法進行進一步的容錯性能研究,使該平臺最終能在實際的車載環(huán)境中正常工作。
參考文獻
[1] 何瑋等.汽車嵌入式SoC系統(tǒng)的應用與發(fā)展.電子技術應用,2005(4)
[2] 黃影等.基于FPGA的雙級容錯系統(tǒng)設計與實現(xiàn).深圳大學學報,2006(2)
[3] 金西等.嵌入式linux技術及其應用.計算機應用,2007(7)
[4] 師明珠.嵌入式應用系統(tǒng)軟件設計技術研究.計算機工程與應用,2002(7)
[5] 易碧金.PC/104/嵌入式計算機在儀器中的應用前景分析.石油儀器,1999(2)
評論