Теме UP! Как определить целостность конфигурации в ПЛИС Xilinx серии Spartan? ... Читая документацию (ug380) про конфигурацию spartan six
Тоесть на выходе мы имеем реальное текущее состояние ячеек. Конечно возлагание на внешнее устройство функций сравнивания прошивки и сброса ПЛИС, ограничивается надежностью этого устройства. Фактически мы можем похоронить заживо полностью рабочее устройство (в медицине такая практика была)... Вообще 100%-но гарантировать, что устройство исправно никто не может. Здесь важно определить степень параноидальности и выбрать самый оптимальный (надежный) вариант.
Мне интересно мнение разработчиков, которые проектировали системы повышенной безопасности (типа 10exp-12)... как они боролись с данной проблемой? Читая документацию Xilinx вижу как сильно они позаботились о загрузке правильной конфигурации. Неужели они не позаботились о ее целостности и сохранности? Если есть внутренние устройства CRC, WatchDog, Reset on error... неужели нельзя было сделать работу CRC циклическим для проверки целостности внутренней конфигурации (может это оно и есть? CONFIG POST_CRC_ACTION = [HALT | CONTINUE]) . Ведь бывают же случаи частичного разрушения кристалла, "зависания" (залипания) ПЛИС ... Или может быть такая ситуация, когда выгорела ножка ПЛИС, а конфигурация в полном порядке... как тогда быть, господа разработчики?

А ведь существует возможность внешнего контроля работоспособности модулька! Взять компакт- ПиСиАй. Там во внешний мир зарезервированы сигналы Джитага для граничного сканирования. Пром-компьютер имеет возможность быстрого контроля подключённого к себе модулька(Всю цепочку БИС, что на борту модуля) на предмет годности паек, целостности линий, а в пределе, проверку сквозного функционирования нужных частей проекта (не в реальном времени) , перезаливки памяти и ,если оставить в проекте тестовые блочки, считывание-запись памяти в ПЛИСине, как в штатном режиме SignalProbe. Да тут можно нагородить любые варианты! Вот только стоить это будет дорого!!!
Вот и по внешним признакам жизни модулька тоже можно убедиться в правильности своего модулька. Опять таки через граничное сканирование. Существует целая наука по организации тестопригодности изделий.

Насколько я понял, вопрос ТС находится в сфере обеспечения безопасности
в течении жизненного цикла прибора на ПЛИС. К сожалению уровень 10е-12
на сегодня не может обеспечить ни один известный полупроводник, а для
сложных микросхем этот уровень составляет 10е-5 ... 10е-7. Вторым вопросом
является принимаемая модель отказов с ее обязательными ограничениями.
Если рассматривать весь спектр отказов включая "отгоревшие ножки", то скорее
всего прийдется использовать 2х-3х избыточность, + учитывать отказы по общей
причине (т.е. раздельные блоки питания, ПЗУ и т.д.). Основной проблемой я вижу
степень соответствия исправной конфигурации и работоспособности прибора.
Т.е. сгоревший выходной полевик на ножке скорее всего не убьет конфигурацию -
что тогда будем считать прибор исправным?
Тогда нужен внешний арбитр, у которого в свою очередь целый веер своих глюков.
Есть правда теория динамических парафазных автоматов на базе одного кристалла,
но к сожалению провести достоверные натурные тесты для подтверждения даже
уровня 10е-10 пока мне не удалось.

М-да...это всё мне напоминает избитый философский вопрос кто же будет охранять охранника?


Так для этого и был поднят вопрос => Что оптимальнее?


Увы, если б можно было проводить Boundary scan (граничное сканирование) в процессе работы "модлуька" так чтобы это не мешало остальной работе - было бы очень кстати...

Чудес не бывает. Вам обязательно нужен внешний наблюдатель.

Хотя-бы по косвенным признакам. Вводите в систему тестовые циклы одновременно с рабочими.

А что вам мешает так и сделать? Без ганичного,- в лоб. В Альтере вставочки(доступные через ДЖИТАГ) легко делаются в любое место. Чисто организационный вопрос!

А почему бы вам не перейти на ACTEL? Одноразово прошили и останется только проблема контакта ножек и внешнего мира...

Сообщение отредактировал Мур - Apr 4 2011, 06:37

Да, я согласен, но как писалось выше то есть надежность собаки, которая охраняет охранника ниже или такая же.

Если ПЛИС будет проверять сама себя на отказ, кому надо такое устройство?

Читаем внимательнее вопрос и не оффтопим

У отечественных ПЛИС серии 5576 (кроме первой) есть режим циклического реконфигурирования без выхода из пользовательского режима и режим циклической верификации конфигурационной памяти с индикацией ошибки на специальном служебном выводе. Если Вам хватит ресурсов этих ПЛИС, то можно и на них посмотреть.

Послушайте, Внешяя =дежурная собака= может быть нормальным охранником? Мои друзья всегда закладывали вотч-дог к ПЛИС(на всякий случай) для перезаливки при пропаже динамики по одной из линий. Просто и эффективно!


Я не о том говорил. ПЛИС всё равно что обрабатывать. Я предложил забрасывать извне тестовую задачу. Внешний арбитр знает какой цикл рабочий а какой тестовый. Самому себя проверять-нонсенс!


Извините, увлёкся!...

Есть такая функция, мы её используем:
http://www.xilinx.com/support/documentatio...uides/ug332.pdf
Под заголовком "Post-Configuration CRC (Extended Spartan-3A Family Only)". Об этом писал уважаемый Igor_S:

здесь ранее писали про то, что альтеравские девайсы имеют блок CRC, но возникли два вопроса:
1)так как этот блок находится в плис, что как пролетит супер заряженная частица и нарушит его работу?
можно как-нибудь прочесть cfm у плис и сравнить с тем, что у неё в озу и на основании этого сделать вывод о правильности работы?
или есть только один вариант, через некоторое время постоянно передергивать питание, что бы происходило чтение в озу?

2)предположим, что придумана какая-то система резервирования, которая в случае отказа, допустим перепрошивает плис.
как (и возможно ли это) убедиться в том, что если отказ возникнет, система действительно сработает?

Как итог всему выше сказанному могу только написать:"Вероятность чего-либо всё равно остается от неё никуда не деться. У нас существует целый отдел, который занимается вопросами вероятности отказа разрабатываемых приборов. Полностью безотказной работы устройства вы не добьётесь НИКОГДА!!!
Поэтому опирайтесь исключительно на цифры. У разных частей ПЛИС вероятность отказа разная даже внутри кристалла, для регистров - она своя, для блочной памяти - своя. Если надо заказчику вероятность 10е-11, то разрабатывайте систему защиты от отказов в соответствии с требованиями!".

Если не определились с семейством ПЛИС, то посмотрите FLASH ПЛИС Actel. В отличии от Альтеры и Xilinx у них конфигурация не сбивается от помех или скачков питания. Даже от радиции она не сбивается. И не надо будет ломать голову над этой проблемой.

Как отмечалось выше у Xilinx есть функция проверки CRC конфигурации кристалла. Т.е. внутренний сторож проверяет сохранность конфигурации, сравнивая текущее CRC кристалла с эталонным, которое считывается при загрузке. При не совпадении CRC выдается ошибка (выход типа open drain) и если я не ошибаюсь, то имеется возможность перезапука.
Данная опция есть у SPARTAN 3A и выше.

А простой монитор сигнала DONE не спасет? Вот еще можно почитать на тему: http://www.xilinx.com/support/documentatio...es/xapp1088.pdf .

А мне вот думается, что цифры по надежности - это полное шаманство и профанация. И методики расчета - тоже полная туфта. Ну, то есть, есть теория, которая построена на аксиоматике теории вероятностей, а есть практика, в которой нет никаких аксиом. Поэтому создание надежной техники - искусство, и только огромный опыт предыдущих поколений методом проб и ошибок позволяет не городить охранника для охранника для охранника (и т.д.), а сказать, что вот функциональный сбой по факту, и вот меры по его восстановлению за заданный интервал времени.

Когда я спрашиваю взрослых людей, много лет занимающихся разработкой ответственной техники, о том, как практически убедиться в эффективности своих мер по повышению надежности, то они ничего внятного ответить не могут. Элементная база устаревает морально и снимается с производства быстрее, чем желаемый срок ее надежного функционирования. Как можно в таких условиях что-то исправить на основе измеренной на практике статистики, а не придуманной теоретиками?! Я уже не говорю о том, что при нашем "порядке" две партии изделий с интервалом год могут и не собрать совершенно одинаково, детали другой партии или вообще замены на другого производителя, платы другой партии, монтаж на оборудовании, отработавшем еще год без обслуживания, другие паяльные материалы.

Поэтому я считаю, что правы те, кто говорит, что не надо проверять целостность конфигурации ПЛИС, а надо проверять целостность обрабатываемых данных. Система будет надежнее, если она не будет понапрасну перезагружаться, если откажет конфигурация ячеек, которые вообще не участвуют в проекте.