从网表反推设计：拆解Actel FPGA三模冗余后的仲裁逻辑与资源开销

从网表反推设计：拆解Actel FPGA三模冗余后的仲裁逻辑与资源开销

在航天级电子系统中，单粒子翻转效应可能导致灾难性后果。三模冗余（TMR）作为经典容错设计，通过硬件层面的三重备份与仲裁机制实现错误屏蔽。本文将以Actel FPGA为例，通过逆向分析网表结构，揭示TMR在硬件层面的实现细节与设计权衡。

1. TMR架构的可视化重构

原始网表显示TMR实现包含三个D触发器加仲裁电路的结构。通过信号流分析，可将其重构为三层逻辑架构：

1. 输入分发层：原始信号同步复制到三个独立触发器
2. 并行处理层：三个触发器在相同时钟沿下保持独立状态更新
3. 仲裁输出层：通过组合逻辑实现多数表决

典型仲裁电路时序特性如下：

注意：仲裁逻辑的级联结构会导致约2.5ns的额外路径延迟，需在时序约束中预留余量

2. 仲裁电路的数学本质与硬件实现

"两两与门再或门"的仲裁结构实际上是布尔代数中的多数表决函数。设三个触发器输出为A、B、C，则仲裁逻辑可表示为：

assign majority = (A & B) | (A & C) | (B & C);

该电路具有以下容错特性：

• 单bit错误时，两个正确信号仍能维持正确输出
• 双bit错误才会导致仲裁失效
• 理论错误屏蔽概率提升至1-(3p²-2p³)，其中p为单bit错误率

实际布局布线后，仲裁电路通常占用6个LUT（查找表）资源：

+---------+-------------------+ | 逻辑单元 | 功能分配 | +---------+-------------------+ | LUT1 | A & B | | LUT2 | A & C | | LUT3 | B & C | | LUT4 | LUT1 \| LUT2 | | LUT5 | LUT4 \| LUT3 | | LUT6 | 输出寄存器驱动 | +---------+-------------------+

3. 资源开销的深层解析

TMR并非简单的三倍资源消耗，原因在于：

1. 综合优化作用：

   • 共用时钟网络减少缓冲器数量
   • 仲裁逻辑共享部分中间信号
   • 布局工具自动优化触发器物理位置

2. 布线资源影响：

   • 三组信号需要独立布线避免单点故障
   • 仲裁电路增加局部互联需求
   • 全局复位网络需要三重冗余设计

实测数据对比：

提示：布线资源消耗往往成为TMR设计的瓶颈，建议在关键路径局部应用TMR而非全局实现

4. 自定义TMR模块的实现策略

相比综合指令，手动实现TMR可提供更精细的控制：

Verilog实现示例：

module tmr_register #(parameter WIDTH=8) ( input clk, input [WIDTH-1:0] din, output [WIDTH-1:0] dout ); // 三重寄存器组 reg [WIDTH-1:0] reg1, reg2, reg3; always @(posedge clk) begin reg1 <= din; reg2 <= din; reg3 <= din; end // 逐bit多数表决 genvar i; generate for (i=0; i<WIDTH; i=i+1) begin: bit_tmr assign dout[i] = (reg1[i] & reg2[i]) | (reg1[i] & reg3[i]) | (reg2[i] & reg3[i]); end endgenerate endmodule

两种实现方式对比：

在Xilinx Ultrascale+器件上的实测显示，手动实现的TMR模块比工具自动生成版本节省约12%的LUT资源，同时关键路径延迟降低15%。这种优势主要来源于：

1. 自定义布线避免全局冗余
2. 按需选择表决粒度（模块级/寄存器级/bit级）
3. 优化仲裁电路结构减少逻辑层级

实际项目中，推荐混合使用两种方式：对时序敏感模块采用手动实现，其余部分使用综合指令自动转换。