显示系统中图形处理器的适航符合性方法

阚 进

（中国航空无线电电子研究所，上海 200241）

显示系统中图形处理器的适航符合性方法

阚 进

（中国航空无线电电子研究所，上海 200241）

研究了显示系统中图形处理器（GPU）承担的功能特性，分析了适航审定面临的问题，提出了恰当的设计保证措施，以确保系统不会产生危害性误导性信息，满足适航性要求。

商用货架产品；图形处理芯片；显示系统；设计保证；适航审定

商用货架产品（COTS）图形处理器（GPU）当前已在C919等机型的显示系统中获得采用，然而它不具备令人信服的航空或安全关键领域的历史服役数据，这为适航审定带来了挑战。

GPU最初是为非航空领域的图形密集型应用设计，如视频游戏和计算机制图。新一代的GPU设备能够提供的功能和兼容性显著增加，机载显示系统充分利用这一成果，将以前在主系统处理器上运行软件实现的功能转换为由这类高速硬件设备实现。这主要是由于GPU特殊的硬件架构突出了对CPU的优势：拥有高带宽的独立显存；浮点运算性能高；几何处理能力强；适合处理并行计算任务；适合进行重复计算；适合图像或视频处理任务；能够大幅度降低系统成本。

当COTS GPU承担重要任务其失效影响会到显示系统安全性时，申请人必须向审定方证明其安全性并保持适航性。本文提出恰当的保证措施以解决该问题。

1 显示系统中GPU的功能特性

显示系统以机载总线或网络为桥梁与机载其他系统交联[1]，接受各个航空电子系统的数据、参数以及状态信息，完成视频、图像等处理，以数据、字符、图形、图像等方式通过机载电子显示器呈现给驾驶员，提供飞行指引、态势感知、系统保障与维护等功能，同时驾驶员能通过控制仪表版对各子系统完成控制输入。随着技术的革新，显示系统传统的图形信号处理机加终端显示器的架构，转变为以集成两者功能的智能显示器为主的物理构成。图1展示了显示系统数据处理的简图。

GPU是人机交互的核心部件之一，接受来自CPU的显示指令进行渲染和加速处理。GPU重要功能之一是生成显示符号，符号（包括直线、圆、曲线、刻度、磅值、字母、数字、表格、地图）是由微小的直线或向量所构成的[2]。如果CPU想画一个二维图形，只需要发一条指令给GPU，例如“以坐标位置（x1，y1）为起点处画一条长度为r，相对X轴的角为θ的向量”，GPU就可以迅速计算出该图形的矢量终点坐标（x2，y2），并在显示器上指定位置画出相应的图形，画完后通知CPU，然后等待CPU发出下一条图形指令。GPU符号产生及显示过程见图2[2]。

GPU在向量计算方面能够获得比CPU高出10倍的计算效率[3]，而且其可编程性和强大的处理能力，使其可用于快速地实现各种数字信号处理算法，成为目前图像处理系统的最佳选择。

2 GPU面临适航审定时必须考虑的因素

为航空项目选择合适的GPU时，要考虑的重要因素不仅仅是GPU满足或超出所需性能以及运行环境的要求，还包括元器件缺件管理解决方案，GPU供应商的设计支持以及支撑软件的可用性，特别地，需要满足适航当局严苛的审定要求。

因为存在潜在的设计错误，在机载显示系统中使用GPU可能会影响安全性运行，同时还存在以下适航方面的问题：

典型GPU使用多个异步运行的嵌入式微处理器，单个GPU可能包含百万数量级的晶体管，因此GPU不能被认为是简单设备；

COTS GPU不会遵照RTCA DO-254《机载电子硬件的设计保证指导》或国际认证机构认可的其他设计保证标准的指导进行研制；

依靠验证活动或者逆向工程使这些芯片符合RTCA DO-254不具备可操作性；

这类芯片生命周期很短，使用服役历史来证明GPU没有设计错误是很困难的。

3 显示系统中GPU的适航符合性方法

COTSGPU原本为非航空、非安全—关键市场研发，适航取证申请人想要获取足够必要的文档数据证明GPU的研制符合RTCA DO-254第5章要求的电子硬件研制流程是不现实的。本文通过研究国内外的最佳实践，推荐一些可行的适航符合性方法。

3.1 RTCA DO-254对COTS的通用指导

RTCA DO-254第11.2和11.3章包含了一些信息，指导在航电系统中如何选择特殊的COTS，以及从产品服役历史中如何尽可能地获取审定置信度。RTCA DO-254对特殊COTS的要求总结如下：

明确电子元器件管理准则：当选用一款GPU时，应考虑供应商追踪记录、质量控制、器件可靠性，以及分析芯片功能的适宜性；

策划如何解决以下问题：缺少GPU研制保证数据、批次间不同的芯片性能参数差异、以及取证后持续适航阶段的重新设计或者供应商停止生产；

收集产品服役经验：在相似的使用领域或者安全关键的非航空运行环境中的使用经验也可以用来获取。收集正式的文档（例如规范、资料表、使用手册、勘误表等），有效的问题报告和解决机制，决定芯片实际失效概率的方法等等都是获取适航置信度的措施。

3.2 GPU的特定符合性方法

针对显示系统中GPU的特性，还应从初始适航[4]和持续适航两个阶段采取特定的符合性方法。

3.2.1 减缓GPU产生的危害性误导信息

开发机载显示系统面临的主要问题之一是如何避免向机组人员展示有害的误导性信息（HMI），本质上是对数据完整性的要求。显示错误的数据和图像冻结会造成HMI，HMI可能会触发错误或缺失驾驶舱警报。如果该错误信息未被标记为无效数据，则会导致飞行机组根据该错误数据进行不当和潜在的危险行为，或在应采取行动时没有采取恰当措施，从而对飞机造成危害。

GPU存在对HMI造成影响的可能性，原因如下：一是GPU内部的硬件故障；二是GPU内部的设计错误；三是对外部事件的失败或不适当的反应，如电磁干扰、闪电、高运行温度，或超出标称值的输入电压。这些GPU失效将导致其实际生成的图符与CPU指令预期模式之间的差异。

基于上述分析，需要采用架构减缓的手段证明显示系统中使用的GPU显示HMI的概率与危害度等级（灾难的、危害的、严重的）相对应。架构减缓的宗旨是GPU产生的HMI应当被探测到，并且不会被允许显示到显示器上，或者标示为无效数据而引起机组的注意。

架构减缓措施有多种形式，都应当独立于GPU，可以依靠驻留在信息处理与控制模块中的监控软件实现，也可以在GPU后端增加可编程逻辑器件实现。如图3所示，完整性监控软件通过开放式图形程序接口（OpenGL）驱动、实时操作系统和CPU向GPU发出指令，绘制“测试用图像”存储于帧缓存0中，接着通过端对端的高速互连总线例如PCIe提取“测试用图象”进行比较处理，可以选择一块显示像素与命令像素进行比较，也可以从“测试用图象”解算循环冗余码校验（CRC）与已知的CRC值进行比较。

当像素比较或CRC监控失败时，应通过恰当的方式提示飞行员，例如重置GPU、向另一个智能显示器发送并显示该信息、或者触发声音警报。这样能有效地发现和处理GPU失效。

RTCA DO-254的附录B，虽然不是针对COTS芯片的，但其提供的功能故障路径分析法、架构减缓法和高级验证法都可以在设计采用GPU作为重要元器件的显示系统时使用。

3.2.2 保证显示系统的可用性

依据ARP 4754A《民用飞机和系统开发指南》的要求，应采用故障树分析（FTA）等分析和计算的方法证明使用GPU的显示系统提供所需的显示功能的可用性/失效概率与危害性评估的等级（灾难的、危害的、严重的）匹配。一般采用多个显示器冗余的方案降低系统的失效率，提高可用性。

如果显示系统故障树为GPU采用特定的失效率，系统开发人员应该为此失效率的采信提供确凿的数据或其他适当理由，及时与适航当局沟通，确定一个可接受的预计计算失效率或确定一个适当的经验值。

系统开发人员应防止由于单个共同故障诱因或级联失效导致显示系统不能满足可用性要求。这不仅包括GPU中故障和设计错误，也包括支持GPU运行的外围硬件。丧失冷却空气、极端振动或机械“冲击”等事件，不应造成多个显示器的丧失，除非该事件的概率与其危害度等级相匹配。

安装在飞机上的备份飞行仪器不应使用与主显示系统相同的GPU，以防止由于共同的失效模式造成同时丧失主显示器和备份仪表飞行器。

3.2.3 确保OpenGL驱动软件的合规性

如图3所示，GPU工作需要在主系统处理器中执行多个复杂的软件驱动程序。某些软件包可以从实现OpenGL图形应用程序的第三方供应商处获得，然而这些驱动程序的核心部分均不开放，形成黑盒。这是适航审定不可接受的状态。系统开发商有责任证明软件驱动符合RTCA DO-178B《机载系统和设备审定中的软件考虑》的规定（或其它可接受的符合性方法）。在评估图形发生器和驱动程序的选型以及开发设计时应该注意解决软件设计保证事宜。

3.2.4 分析未使用到的GPU功能

最新一代的COTS GPU应用范围广泛，极有可能包含机载显示系统中不需要使用的功能。适航审定文件中应描述关于GPU功能使用情况的明确信息，包括哪些在显示系统设计中使用了，哪些未被使用到。系统开发商应采取措施（例如分析或健壮性测试等方法）确保GPU未使用的功能将不会对显示数据的完整性和可用性产生不利影响；或者用有效的资料证明当未使用的功能被无意中使用或被激活时造成的故障率与该故障的危害性等级相称。

3.2.5 控制GPU构型

COTS GPU目标市场多样，制造商会设计可配置的项目，例如可单独加载的微代码，以适应不同的场景。机载显示系统开发商应该确保GPU的可配置项目是受控的。在生产制造过程中存在涉及可配置项目的错误，例如加载错误的版本等，应能通过终端物品验收测试、系统运行时显示系统的监控机制或其他检查方式及时发现并予以纠正。

3.2.6 持续适航阶段GPU的管理

在显示系统通过初始适航审定后，系统开发商仍有责任确保产品的持续适航性，应确保能发现任何可能影响显示系统适航性的、由芯片制造商对GPU做出的更改，这些更改包括但不限于：

● 影响GPU物理布局，时序、机械、电气或热特性的安装、形状、尺寸或制造技术的变化；

● 功能的更改或添加，包括在显示系统应用程序中不需要使用的功能，例如固件、设备驱动程序和图形库；

● 性能增强，如提高运行速度。

系统开发商应该建立并维持一个持续监控GPU供应商数据（如设备规格表和勘误表）的流程，这样软件和/或硬件设计团队能及时获悉新发现的芯片问题或将要使用的指令，分析原有设计并确定是否需要采取相应的行动。

4 结论

面对快速发展的技术，日益增长的对航空电子系统灵活性要求和严格的全寿命费用限制，可负担性（Affordability）、可用性（Availability）和可支援性（Supportability）已成为航空电子系统研制和在役机航空电子系统升级与改进项目的优先考虑因素。在开放式航电系统中采用COTS GPU能显著提升性能、降低成本，同时也带来了与新研产品不一样的适航认证问题。因此，这些设备需要给予注意。GPU的适航符合性表明是一个综合的过程，通过严谨的GPU设计保证活动、充实的符合性证据能够确保产品适航性并获得审定方的认可。

[1] 陆虎敏. 飞机座舱显示与控制技术[M]. 北京：航空工业出版社，2015.

[2] 史彦斌，高宪军，王远达[译]. 航空电子系统导论[M]. 北京：国防工业出版社，2013.

[3] 钟联波. GPU与CPU的比较分析[J]. 技术与市场，2009，16（9）.

[4] 卢佩妍. 机载设备初始适航管理研究[J]. 航空标准化与质量，2015（1）.

V243 [文献标识码] C [文章编号] 1003-6660（2017）04-0034-04

10.13237/j.cnki.asq.2017.04.009

2017-07-06

（编辑：雨晴）