顯示系統中圖形處理器的適航符合性方法

闞 進

（中國航空無線電電子研究所，上海 200241）

顯示系統中圖形處理器的適航符合性方法

闞 進

（中國航空無線電電子研究所，上海 200241）

研究了顯示系統中圖形處理器（GPU）承擔的功能特性，分析了適航審定面臨的問題，提出了恰當的設計保證措施，以確保系統不會產生危害性誤導性信息，滿足適航性要求。

商用貨架產品；圖形處理芯片；顯示系統；設計保證；適航審定

商用貨架產品（COTS）圖形處理器（GPU）當前已在C919等機型的顯示系統中獲得采用，然而它不具備令人信服的航空或安全關鍵領域的歷史服役數據，這為適航審定帶來了挑戰。

GPU最初是為非航空領域的圖形密集型應用設計，如視頻游戲和計算機制圖。新一代的GPU設備能夠提供的功能和兼容性顯著增加，機載顯示系統充分利用這一成果，將以前在主系統處理器上運行軟件實現的功能轉換為由這類高速硬件設備實現。這主要是由于GPU特殊的硬件架構突出了對CPU的優勢：擁有高帶寬的獨立顯存；浮點運算性能高；幾何處理能力強；適合處理并行計算任務；適合進行重復計算；適合圖像或視頻處理任務；能夠大幅度降低系統成本。

當COTS GPU承擔重要任務其失效影響會到顯示系統安全性時，申請人必須向審定方證明其安全性并保持適航性。本文提出恰當的保證措施以解決該問題。

1 顯示系統中GPU的功能特性

顯示系統以機載總線或網絡為橋梁與機載其他系統交聯[1]，接受各個航空電子系統的數據、參數以及狀態信息，完成視頻、圖像等處理，以數據、字符、圖形、圖像等方式通過機載電子顯示器呈現給駕駛員，提供飛行指引、態勢感知、系統保障與維護等功能，同時駕駛員能通過控制儀表版對各子系統完成控制輸入。隨著技術的革新，顯示系統傳統的圖形信號處理機加終端顯示器的架構，轉變為以集成兩者功能的智能顯示器為主的物理構成。圖1展示了顯示系統數據處理的簡圖。

GPU是人機交互的核心部件之一，接受來自CPU的顯示指令進行渲染和加速處理。GPU重要功能之一是生成顯示符號，符號（包括直線、圓、曲線、刻度、磅值、字母、數字、表格、地圖）是由微小的直線或向量所構成的[2]。如果CPU想畫一個二維圖形，只需要發一條指令給GPU，例如“以坐標位置（x1，y1）為起點處畫一條長度為r，相對X軸的角為θ的向量”，GPU就可以迅速計算出該圖形的矢量終點坐標（x2，y2），并在顯示器上指定位置畫出相應的圖形，畫完后通知CPU，然后等待CPU發出下一條圖形指令。GPU符號產生及顯示過程見圖2[2]。

GPU在向量計算方面能夠獲得比CPU高出10倍的計算效率[3]，而且其可編程性和強大的處理能力，使其可用于快速地實現各種數字信號處理算法，成為目前圖像處理系統的最佳選擇。

2 GPU面臨適航審定時必須考慮的因素

為航空項目選擇合適的GPU時，要考慮的重要因素不僅僅是GPU滿足或超出所需性能以及運行環境的要求，還包括元器件缺件管理解決方案，GPU供應商的設計支持以及支撐軟件的可用性，特別地，需要滿足適航當局嚴苛的審定要求。

因為存在潛在的設計錯誤，在機載顯示系統中使用GPU可能會影響安全性運行，同時還存在以下適航方面的問題：

典型GPU使用多個異步運行的嵌入式微處理器，單個GPU可能包含百萬數量級的晶體管，因此GPU不能被認為是簡單設備；

COTS GPU不會遵照RTCA DO-254《機載電子硬件的設計保證指導》或國際認證機構認可的其他設計保證標準的指導進行研制；

依靠驗證活動或者逆向工程使這些芯片符合RTCA DO-254不具備可操作性；

這類芯片生命周期很短，使用服役歷史來證明GPU沒有設計錯誤是很困難的。

3 顯示系統中GPU的適航符合性方法

COTSGPU原本為非航空、非安全—關鍵市場研發，適航取證申請人想要獲取足夠必要的文檔數據證明GPU的研制符合RTCA DO-254第5章要求的電子硬件研制流程是不現實的。本文通過研究國內外的最佳實踐，推薦一些可行的適航符合性方法。

3.1 RTCA DO-254對COTS的通用指導

RTCA DO-254第11.2和11.3章包含了一些信息，指導在航電系統中如何選擇特殊的COTS，以及從產品服役歷史中如何盡可能地獲取審定置信度。RTCA DO-254對特殊COTS的要求總結如下：

明確電子元器件管理準則：當選用一款GPU時，應考慮供應商追蹤記錄、質量控制、器件可靠性，以及分析芯片功能的適宜性；

策劃如何解決以下問題：缺少GPU研制保證數據、批次間不同的芯片性能參數差異、以及取證后持續適航階段的重新設計或者供應商停止生產；

收集產品服役經驗：在相似的使用領域或者安全關鍵的非航空運行環境中的使用經驗也可以用來獲取。收集正式的文檔（例如規范、資料表、使用手冊、勘誤表等），有效的問題報告和解決機制，決定芯片實際失效概率的方法等等都是獲取適航置信度的措施。

3.2 GPU的特定符合性方法

針對顯示系統中GPU的特性，還應從初始適航[4]和持續適航兩個階段采取特定的符合性方法。

3.2.1 減緩GPU產生的危害性誤導信息

開發機載顯示系統面臨的主要問題之一是如何避免向機組人員展示有害的誤導性信息（HMI），本質上是對數據完整性的要求。顯示錯誤的數據和圖像凍結會造成HMI，HMI可能會觸發錯誤或缺失駕駛艙警報。如果該錯誤信息未被標記為無效數據，則會導致飛行機組根據該錯誤數據進行不當和潛在的危險行為，或在應采取行動時沒有采取恰當措施，從而對飛機造成危害。

GPU存在對HMI造成影響的可能性，原因如下：一是GPU內部的硬件故障；二是GPU內部的設計錯誤；三是對外部事件的失敗或不適當的反應，如電磁干擾、閃電、高運行溫度，或超出標稱值的輸入電壓。這些GPU失效將導致其實際生成的圖符與CPU指令預期模式之間的差異。

基于上述分析，需要采用架構減緩的手段證明顯示系統中使用的GPU顯示HMI的概率與危害度等級（災難的、危害的、嚴重的）相對應。架構減緩的宗旨是GPU產生的HMI應當被探測到，并且不會被允許顯示到顯示器上，或者標示為無效數據而引起機組的注意。

架構減緩措施有多種形式，都應當獨立于GPU，可以依靠駐留在信息處理與控制模塊中的監控軟件實現，也可以在GPU后端增加可編程邏輯器件實現。如圖3所示，完整性監控軟件通過開放式圖形程序接口（OpenGL）驅動、實時操作系統和CPU向GPU發出指令，繪制“測試用圖像”存儲于幀緩存0中，接著通過端對端的高速互連總線例如PCIe提取“測試用圖象”進行比較處理，可以選擇一塊顯示像素與命令像素進行比較，也可以從“測試用圖象”解算循環冗余碼校驗（CRC）與已知的CRC值進行比較。

當像素比較或CRC監控失敗時，應通過恰當的方式提示飛行員，例如重置GPU、向另一個智能顯示器發送并顯示該信息、或者觸發聲音警報。這樣能有效地發現和處理GPU失效。

RTCA DO-254的附錄B，雖然不是針對COTS芯片的，但其提供的功能故障路徑分析法、架構減緩法和高級驗證法都可以在設計采用GPU作為重要元器件的顯示系統時使用。

3.2.2 保證顯示系統的可用性

依據ARP 4754A《民用飛機和系統開發指南》的要求，應采用故障樹分析（FTA）等分析和計算的方法證明使用GPU的顯示系統提供所需的顯示功能的可用性/失效概率與危害性評估的等級（災難的、危害的、嚴重的）匹配。一般采用多個顯示器冗余的方案降低系統的失效率，提高可用性。

如果顯示系統故障樹為GPU采用特定的失效率，系統開發人員應該為此失效率的采信提供確鑿的數據或其他適當理由，及時與適航當局溝通，確定一個可接受的預計計算失效率或確定一個適當的經驗值。

系統開發人員應防止由于單個共同故障誘因或級聯失效導致顯示系統不能滿足可用性要求。這不僅包括GPU中故障和設計錯誤，也包括支持GPU運行的外圍硬件。喪失冷卻空氣、極端振動或機械“沖擊”等事件，不應造成多個顯示器的喪失，除非該事件的概率與其危害度等級相匹配。

安裝在飛機上的備份飛行儀器不應使用與主顯示系統相同的GPU，以防止由于共同的失效模式造成同時喪失主顯示器和備份儀表飛行器。

3.2.3 確保OpenGL驅動軟件的合規性

如圖3所示，GPU工作需要在主系統處理器中執行多個復雜的軟件驅動程序。某些軟件包可以從實現OpenGL圖形應用程序的第三方供應商處獲得，然而這些驅動程序的核心部分均不開放，形成黑盒。這是適航審定不可接受的狀態。系統開發商有責任證明軟件驅動符合RTCA DO-178B《機載系統和設備審定中的軟件考慮》的規定（或其它可接受的符合性方法）。在評估圖形發生器和驅動程序的選型以及開發設計時應該注意解決軟件設計保證事宜。

3.2.4 分析未使用到的GPU功能

最新一代的COTS GPU應用范圍廣泛，極有可能包含機載顯示系統中不需要使用的功能。適航審定文件中應描述關于GPU功能使用情況的明確信息，包括哪些在顯示系統設計中使用了，哪些未被使用到。系統開發商應采取措施（例如分析或健壯性測試等方法）確保GPU未使用的功能將不會對顯示數據的完整性和可用性產生不利影響；或者用有效的資料證明當未使用的功能被無意中使用或被激活時造成的故障率與該故障的危害性等級相稱。

3.2.5 控制GPU構型

COTS GPU目標市場多樣，制造商會設計可配置的項目，例如可單獨加載的微代碼，以適應不同的場景。機載顯示系統開發商應該確保GPU的可配置項目是受控的。在生產制造過程中存在涉及可配置項目的錯誤，例如加載錯誤的版本等，應能通過終端物品驗收測試、系統運行時顯示系統的監控機制或其他檢查方式及時發現并予以糾正。

3.2.6 持續適航階段GPU的管理

在顯示系統通過初始適航審定后，系統開發商仍有責任確保產品的持續適航性，應確保能發現任何可能影響顯示系統適航性的、由芯片制造商對GPU做出的更改，這些更改包括但不限于：

● 影響GPU物理布局，時序、機械、電氣或熱特性的安裝、形狀、尺寸或制造技術的變化；

● 功能的更改或添加，包括在顯示系統應用程序中不需要使用的功能，例如固件、設備驅動程序和圖形庫；

● 性能增強，如提高運行速度。

系統開發商應該建立并維持一個持續監控GPU供應商數據（如設備規格表和勘誤表）的流程，這樣軟件和/或硬件設計團隊能及時獲悉新發現的芯片問題或將要使用的指令，分析原有設計并確定是否需要采取相應的行動。

4 結論

面對快速發展的技術，日益增長的對航空電子系統靈活性要求和嚴格的全壽命費用限制，可負擔性（Affordability）、可用性（Availability）和可支援性（Supportability）已成為航空電子系統研制和在役機航空電子系統升級與改進項目的優先考慮因素。在開放式航電系統中采用COTS GPU能顯著提升性能、降低成本，同時也帶來了與新研產品不一樣的適航認證問題。因此，這些設備需要給予注意。GPU的適航符合性表明是一個綜合的過程，通過嚴謹的GPU設計保證活動、充實的符合性證據能夠確保產品適航性并獲得審定方的認可。

[1] 陸虎敏. 飛機座艙顯示與控制技術[M]. 北京：航空工業出版社，2015.

[2] 史彥斌，高憲軍，王遠達[譯]. 航空電子系統導論[M]. 北京：國防工業出版社，2013.

[3] 鐘聯波. GPU與CPU的比較分析[J]. 技術與市場，2009，16（9）.

[4] 盧佩妍. 機載設備初始適航管理研究[J]. 航空標準化與質量，2015（1）.

V243 [文獻標識碼] C [文章編號] 1003-6660（2017）04-0034-04

10.13237/j.cnki.asq.2017.04.009

2017-07-06

（編輯：雨晴）