一种基于空管s模式机载应答机fpga编译码软件的安全性设计方法

引言：在空中交通管制系统中，二次雷达监视系统在空中交通管制、目标识别、目标跟踪等方面广泛应用。二次雷达监视飞机是由地面询问机和应答机合作完成的。

参考航空无线电委员会（RTCA）订制的RTCA/DO－181等标准标准，系统分解到FPGA的功能为询问码脉冲鉴别、产生静默时间、进行识别码或高度码的编码、应答速率控制等。

FPGA软件安全性：software safety，是FPGA为确保自身逻辑的正确性、一致性和可靠性，根据被划分的安全等级，对系统运行时可能出现的各种危险因素采取相应的预防、响应和处理等措施的一种特性。

综上所述，提高应答机的FPGA安全性至关重要。

本文提出了一种应答机FPGA软件的安全性设计方法，主要分为以下步骤实现：

a）分析FPGA软件的安全性需求；

b）提出FPGA软件编码安全性要求和实现方法；c）提出FPGA软件设计安全性要求和实现方法；d）追溯FPGA软件安全性矩阵。

值，造成FPGA静默时间功能错误；

（4）FPGA在应答编码时，可能编码值与终端设备下发的值不一致，造成FPGA编码功能错误；

（5）FPGA在应答编码时，可能产生的应答门信号无法覆盖应答编码脉冲信号，造成FPGA编码功能错误；

（6）FPGA在应答编码时，可能对常规C模式应答编码时超出编码范围，造成FPGA编码功能错误；

（7）FPGA在应答速率限制处理时，可能生成超过设定值长度的应答限制时间，造成应答机性能下降；

（8）FPGA在编译码工作时，可能将工作模式跳转到待机模式，造成编译码功能失效；

（9）FPGA在工作时，可能发生故障，造成应答机失效；（10）FPGA在外部通信时，可能出现接口处理错误，造成通信失败。

2 应答机FPGA软件安全性设计

2.1 概述

FPGA软件安全性设计主要分为软件功能结构、设计约束、处理流程、设计策略和安全性编码共5个部分。2.2 软件结构

应答机FPGA软件应采用模块化结构设计，模块化设计主要特点是将一个大设计划分为小模块，逐一设计和调试，当小模块达到安全性要求后再组合，以此保证软件的整体安全性。建议应答机FPGA软件根据功能建立相应功能模块，顶层对模块进行层级化调用，模块分布如图1所示。

1 应答机FPGA软件安全性需求分析

应答机FPGA软件在产品设计阶段时应对FPGA功能、接口、性能等所有可能存在的、导致不安全状态的条件和潜在的失效隐患进行分析并确定安全性需求。要求安全性需求应具有正确性、可测试性和可追溯性，具体内容如下：

（1）FPGA在译码时，可能将A/C/S全呼模式询问信号当作常规模式询问信号进行译码，造成FPGA译码功能错误；

（2）FPGA在S模式询问信号进行CRC校验处理时，可能对地址不符合设定值的询问信号继续应答，造成FPGA点名功能失效；

（3）FPGA在静默时间处理时，可能生成时间长度超过设定

图1 应答机FPGA软件模块组成

• 53 •

ELECTRONICS WORLD・探索与观察2.3 设计约束

应答机FPGA软件安全性设计约束主要分为时序约束、接口约束和资源约束，具体内容如下：

（1）时序约束：FPGA软件与外部通信时，要求接口处理时序以全局时钟为基准。FPGA生成的信号时序根据FPGA芯片手册的要求确定保持时间、占空比等约束；

（2）接口约束：FPGA软件要求使用全局时钟接口接收外部晶振时钟，其他输入输出端口根据应答机硬件设计图进行定位；

（3）资源约束：FPGA应根据规模选择适合的FPGA型号，一方面要避免资源浪费造成功耗、体积等不必要消耗，另一方面要避免资源不足导致FPGA逻辑功能或时序实现不满足要求。2.4 处理流程

机载应答机FPGA软件安全性设计主要分为预防、响应、容错和上报共4个部分。针对各种危险，FPGA软件要建立预防，及时响应，容错处理，结果上报，具体的处理流程如图2所示。

图2 FPGA软件安全性设计的处理流程

2.5 设计策略

针对安全性需求安全需求分析提出的问题，本文提出以下安全性设计策略：

（1）FPGA在译码时应对常规模式询问和A/C/S全呼模式询问进行信号监控处理，禁止同时输出以上模式的译码标志信号；

（2）FPGA在S模式询问信号进行CRC校验时应进行点名处理，禁止对不符合设定地址的询问进行编码；

（3）FPGA在静默时间处理时应对静默时间长度进行计时，当静默时间因为未知原因超过设定时间时，FPGA应进行系统恢复；

（4）FPGA在应答编码时应将应答门信号的有效时间提前于应答脉冲，禁止应答门和应答脉冲同时有效输出；

• 54 •

（5）FPGA在应答编码时应对终端下发的编码数据进行存储，禁止编码时改变编码数据；

（6）FPGA在应答编码应对终端下发的常规C模式数据进行检查，禁止对下发的错误数据进行编码；

（7）FPGA在应答速率限制处理时应对限制长度进行计时，当限制长度时间因为未知原因超过设定时间时，FPGA应进行系统恢

复；

（8）FPGA在编译码工作时，禁止切换到待机模式，应完成当前编译码后再切换；

（9）FPGA应对应答机系统提供自检信息用于监控FPGA状态，如心跳报文等；

（10）FPGA应分析外部接口特性和时序要求，进行接口信号错误检查、同步处理、校验处理和纠错处理等措施。2.6 安全性编码

应答机FPGA软件建议采用verilog语言编码，应严格按照安全编码规范进行编码，为FPGA软件设计提供安全保障。安全编码规则如下：

（1）FPGA禁止模块名与信号名重复；（2）FPGA禁止顶层模块出现逻辑粘连；

（3）FPGA端口定义和类型声明时要求遵循verilog-2001规则；

（4）FPGA要求采用全局时钟信号、调用IP时钟资源进行时钟处理；

（5）FPGA要求生成内复位信号对信号进行异步复位，同步释放处理；

（6）FPGA要求对外部输入信号必须进行同步处理；（7）FPGA在设计状态机时要求设置初始状态和默认状态；（8）FPGA在使用运算符和赋值语句时要求保证所有信号数据位宽一致；

（9）FPGA在使用阻塞赋值和非阻塞赋值时禁止出现冒险竞争现象；

（10）FPGA在使用条件语句时禁止生成锁存器。

3 结束语

FPGA软件安全性工作贯穿于FPGA软件生存周期全过程，与FPGA软件工程过程活动紧密结合。对应答机FPGA软件进行安全

性设计，可确保FPGA满足系统提出的功能要求、发现FPGA的错误、保证FPGA质量，提高空管S模式应答机的可靠性。

作者简介：刘嘉，女，副主任设计师，主要负责空管电子产品可编程逻辑器件FPGA测试。