龙芯-2系统芯片组的混合形式化验证

Verifying the Chipset Design of Godson-2 with Hybrid Formal Method

张珩
中国科学院计算技术研究所系统结构研究室北京　 100080
zhangheng@ict.ac.cn

Zhang Heng
Department of Computer Architecture, Institute of Computing Technology, CAS, Beijing, 100080

摘要：

目前基于断言的验证方法 ( Assertion Based Verification ), 尤其是基于断言的形式化验证方法被越来越多地应用到大规模ASIC设计的功能验证中。形式化验证方法与传统的基于动态仿真的验证方法相比可以更加有效地发现系统设计中的错误，并且更加充分地验证系统设计。

本文介绍了在龙芯-2系统芯片组的设计验证过程中使用的形式化验证方法和流程。在该流程中我们使用了Synopsys公司的形式化验证工具Megallen对设计的模块级RTL进行了基于断言的功能验证，在较短的时间内完成了模块级的功能验证工作。

I. 引言

随着集成电路技术的不断发展，功能验证已经成为了 ASIC 设计流程的瓶颈，这是因为验证的复杂度随着设计的增大呈指数增长。在一个大规模集成电路的开发过程中，使用单一的、传统的基于动态模拟仿真的方法进行功能验证已经不能满足设计的需要。使用新的验证方法和流程成为高效解决验证问题的关键。同时下面几个原因也决定了模块级验证在大规模 A S I C 验证流程中也起着越来越重要的作用：
系统级验证只有在整体设计基本完成之后才能进行。模块级验证可以和设计并行进行，并有效的提高模块的设计质量。
● 设计工程师对设计模块有比较透彻的了解，可以很快分析和定位设计缺陷 (bug)。
● 当模块级的设计缺陷带入到系统级后，设计缺陷分析和定位的复杂性大大增加
● 高质量的设计模块可以更容易地在其他设计中进行重用。
● 断言和形式验证（model check）技术可以在没有完备测试激励的情况下帮助模块设计工程师发现潜在的设计缺陷。形式验证技术在短期内还难以应用到超大规模 SoC 系统验证。

在龙芯系统的设计过程中，实际的经验已经使我们充分认识到高效率、高质量的模块级验证在整个设计、验证流程中的重要性。

形式化验证方法已经越来越多的被引入到 ASIC 开发项目中，比如基于断言的验证，等价性检验和模型检验等。形式化验证方法可以高效、完备地验证设计的功能正确性。特别在处理模块级功能验证时能够显著的提高验证的效率和质量。 Synopsys 公司的混合形式化验证工具 Megallen 集合了基于断言的形式化引擎以及内建的测试激励产生和 RTL 仿真引擎，即提供了形式化验证的快速完备，同时也增大了处理问题的规模。正是由于引入了以 Megallen 为主要工具的混合形式化验证方法才使龙芯-2 系统芯片的验证效率得到了很大的提高。本文主要介绍了在龙芯 2 的系统芯片的开发验证流程中，使用的混合形式化验证方法和流程。第二部分主要介绍龙芯 2 系统芯片的主要结构；第三部分介绍混合形式化验证的流程；第四部分介绍基于断言的通讯协议的检验器的开发和 AIP（Assertion IP）的使用；第五部分介绍运行结果和分析；最后给出结论。

II. 龙芯 2 系统芯片的基本结构和验证特征

龙芯 2 的系统芯片（也称为北桥芯片）。北桥的内部逻辑可以大致分成 MIPS CPU 接口模块、 PCI 接口模块（Master/Slave）、 DDR SDRAM 接口模块、 Local I/O 接口模块、寄存器模块、中断控制模块、系统仲裁模块和 PCI 仲裁模块等 8 个子模块。其中包括 3 个主设备和 4 个从设备，主从设备之间采用 crossbar 交叉互联的总线方式进行数据传递，做到最大限度的提高北桥内部的数据吞吐率。整个北桥的系统结构如图 II 1 所示：

图 II 1 系统芯片结构框图

在整个设计中，多种接口的协议验证是工作的关键，特别是 PCI 总线接口协议、 DDR SDRAM 协议、交叉开关互连（wishbone）总线协议以及 CPU 和系统芯片接口协议的验证。通过使用商业的 VIP（Verification IP），可以减少验证的工作量。例如 synopsys 公司提供的 DesignWare Library 中就有用于 PCI 验证的 AIP 。同时还需要根据设计规范所描述的功能属性开发出自己的协议检验器（protocol checker）。这样即可以在基于动态的模拟仿真验证流程中使用这些断言来检验设计，也可以使用 Megallen 这样的形式化验证工具来静态验证设计的逻辑功能正确性。

III. 混合形式化验证的流程

引入形式化验证工具和方法，并不能完全替代传统的基于模拟仿真的验证方法，而是对模拟仿真的一个重要补充，特别是对于使用传统仿真方法很难验证的一些 corner cases，以此来提高验证的效率和质量。在龙芯 2 系统芯片的模块级形式化功能验证中使用了如图 III 1 所示的流程。

图 III 1 混合形式化验证基本流程

首先根据设计规范撰写验证文档。描述清晰准确的验证文档是完成验证工作的重要前提。通常的设计规范是使用自然语言来描述设计属性的，将自然语言描述的设计规范转化为形式化语言描述是一个好方法。使用 assertion 定义设计规范中设计属性是使用 Magellen 进行形式化验证的重要前提。

Assertion 大致可以分为两类：设计实现的属性，它和设计的实现描述紧密相关；设计接口（例如接口 protocol）的属性，他和设计要满足的接口功能紧密相关。通常由设计工程师描述第一类属性，而由验证工程师描述第二类属性。

在描述设计规范的同时还要选定进行验证的模块边界以及该模块边界上输入激励的约束条件（对于 Magellan 来说，也可以由 assertion 定义约束条件）。 Megallen 内部集成的形式化验证引擎会证明在设定的输入约束下设计属性是否可被满足。如果有设计属性被违反则会停止分析并给出相应的测试激励。设计和验证人员可以根据 Megallen 提供的测试激励对设计进行分析调试，以确定发现的不满足属性是由什么样的设计缺陷造成的。有时设计属性不满足的原因也可能是 assertion 的描述错误或者边界约束条件设定错误造成。这就需要重新修改 assertion 的描述或者重新确定模块边界和相应的输入约束。

另外模块边界的选择不合理，输入约束的不准确都可以导致 Magellen 不能给出检验结果。比如模块规模选择的过大，就会造成运行时间过长，或者无法证明设计属性。这就需要重新选择要验证的模块边界，以及重新确定约束条件。

IV. 基于断言的协议检验器和边界约束

通过上述的介绍可以看出，在整个混合形式化验证流程中以下两点是关键：对于设计而言，哪些属性是需要重点关注的，如何将这些我们重点关注的设计属性转化为 assertion 进行准确的描述；另一个问题是我们如何确定进行检验的模块边界以及相应的正确的边界约束条件。

为了更好的描述断言和设计的属性，使用类似 Verilog、 Jeda 和 SystemC 特点的伪代码来进行编写验证文档是一个好的方法。这些伪代码的用处就是作为以后写 Assertion 和各种属性的参考。示例如代码 IV 1（DDR SDRAM 控制器的 REFRESH）：

代码 IV 1 设计属性的伪代码示例

在龙芯 2 系统芯片的验证中使用了四个主要协议检验器，其中包括 DesignWare 中的 PCI VIP AIP，还有定制的三个协议监测器： CPU 接口协议检验器、 DDR SDRAM 协议检验器和内部交叉开关协议检验器。在确定模块边界时需要考虑模块的设计规模，边界上输入信号的复杂度等等因素。例如在龙芯 2 系统芯片的验证中对 PCI target 的验证中我们采用的模块分割如图 IV 1。正是由于良好的模块划分使得验证过程进行比较顺利，在合理的时间内完成了验证过程。

图 IV 1PCI Slave 验证的模块边界划分

V. 运行结果与分析

Magellen 提供了良好的图形界面，可以方便的进行操作和维护。在四天的时间内对 P C I 模块的 21 项设计属性进行了验证，证明了 20 项设计属性，并发现一个属性没有满足。 Magellen 在发现不满足的设计属性时会自动给出 testbench 和相应的测试激励，用来生成反例，这极大的方便了 RTL 设计代码的调试工作。图 V 1 是 Magellan 给出的违反该属性的一个反例的波形图。

该属性的描述是：一旦目标设备将 TRDY# 信号置位，直至数据周期结束不能改变 TRDY# 信号。（Neither the master nor the target can change its mind once it has committed to the current data transfer until the current data phase completes. (A data phase completes when IRDY# and [TRDY# or STOP#] are asserted.)，Section3.2.1，PCI Local BUS Specification）。该属性的 OpenVera Assertion 描述如代码 V 1：

代码 V 1 Assertion 代码的一个例子

通过波形图我们可以发现在数据周期没有结束时目标设备改变了 TRDY# 信号的值，设计者可以快速的定位错误的原因，从而改正设计的逻辑错误。而该错误在使用基于动态模拟仿真的验证方法时并没有发现。如果希望在模拟仿真时重现该错误，则需要花费更多的时间和人力。

VI. 结论和未来工作

使用断言描述设计的功能属性同时使用 Megallen 进行形式化验证，是龙芯 2 系统芯片设计验证采用的新流程，事实证明该流程减少了验证工作量，提高了验证质量。对于使用传统的基于动态模拟仿真的验证方法提供很好的互补。

可验证性设计 (Design For Verification: DFV) 是当今的设计验证领域的一个重要方展方向，而在设计初期就加入 assertion 描述设计属性是可验证性设计的一个重要方法。使用 Megallen 进行基于断言的形式化验证也将成为主要的 ASIC 功能验证方法之一，从而被广大的验证工程师接受。

附录 1 PCI Target 形式验证的 Magellan 工程文件

## Magellan Project: project1

define_project project1\

-simulator vcs\

-format verilog

## Design ############################################################

define_design mytop\

-topModule mytop

set_design_info -vcs {

+incdir+../verilog -y ../verilog +libext+.v ../dummy/mytop.v

../dummy/wbdummy.v

}

## Environment(s) ####################################################

## Environment: env1

define_env env1

set_env_reset env1\

-xOverride 1\

-taskFormat verilog

add_env_info env1\

-simOptions {

-ova_quiet

}

add_env_port env1 -name clk_in -clock 100

add_env_port env1 -name reset_in -reset 0

add_env_port env1 -name reset_in -constant 1

add_env_block env1 -name SnpsPciCommonExpressions\

-files {

/home/whan/magellan/ict/pci/mg/ova/SnpsPciCommonExpressions.ova

/home/whan/magellan/ict/pci/mg/ova/SnpsPciCoverage.ova

/home/whan/magellan/ict/pci/mg/ova/SnpsPciMasterChecker.ova

/home/whan/magellan/ict/pci/mg/ova/SnpsPciTargetChecker.ova

} -format ova -simAlways

add_env_block env1 -name masterbind\

-files {

/home/whan/magellan/ict/pci/mg/bind/masterbind.ova

/home/whan/magellan/ict/pci/mg/bind/targetbind.ova

} -format ova -simAlways

## Coverage Module(s) ################################################

## Coverage: target_cov

define_coverage target_cov

add_coverage_info target_cov\

-scope {

mytop.TC1.SnpsPciCov*

}

## Property Module(s) ################################################

## Property: trial1_constraint

define_property trial1_constraint

add_property_info trial1_constraint -constraint -scope { mytop.MC1.c_SnpsPciMP54_GRANTED_MASTER_CAN_START_THE_TRANSFER \

mytop.MC1.c_SnpsPciMP18_NO_MASTER_ABORT_BEFORE_FIVE_CLKS_FROM_FRAME \

mytop.MC1.c_SnpsPciMP09_NO_RESERVED_BURST_ORDERING_AD_1_1 \

mytop.MC1.c_SnpsPciMP02_ALL_BE_ASSERTED_FOR_MEM_WR_INV \

mytop.MC1.c_SnpsPciMP36_DEASSERT_FRAME_ONCE_STOP_ASSERTED \

mytop.MC1.c_SnpsPciMP13b_NO_BE_CHANGE_UNTIL_DP_COMPLETE \

mytop.MC1.c_SnpsPciMP08_NO_RESERVED_BURST_ORDERING_AD_0_1 \

mytop.MC1.c_SnpsPciMP55_IDSEL_CAN_BE_ASSERTED_FOR_CFG_TRANSFER \

mytop.MC1.c_SnpsPciMP18_END_THE_TRANSFER_AFTER_FIVE_CLKS \

mytop.MC1.c_SnpsPciMP33_NO_DAC_IF_UPPER_ADDR_IS_ZERO \

mytop.MC1.c_SnpsPciMP11a_VALID_ADDR_DURING_ADDR_PHASE \

mytop.MC1.c_SnpsPciMP35a_VALID_CMD_DURING_ADDR_PHASE \

mytop.MC1.c_SnpsPciMP06_IRDY_0_NO_CHANGE_FRAME_TILL_DP_END \

mytop.MC1.c_SnpsPciMP32_FRAME_ASSERTED_DURING_2ND_ADDR_PHASE_OF_DAC \

mytop.MC1.c_SnpsPciMP14_FRAME_DEASSERT_ONLY_WITH_IRDY \

mytop.MC1.c_SnpsPciMP52_KEEP_IRDY_FRAME_1_AT_POSEDGE_RST \

mytop.MC1.c_SnpsPciMP37_DEASSERT_IRDY_AFTER_COMPLETION \

mytop.MC1.c_SnpsPciMP19_REPEAT_TRANSFER_AFTER_RETRY \

mytop.MC1.c_SnpsPciMP13a_VALID_AD_1_0_C_BE_COMB_FOR_IO \

mytop.MC1.c_SnpsPciMP07_IRDY_0_NO_CHANGE_IRDY_TILL_DP_END \

mytop.MC1.c_SnpsPciMP46_NO_DAC_JUST_AFTER_DAC \

mytop.MC1.c_SnpsPciMP23_MASTER_LATENCY_8_CLKS \

mytop.MC1.c_SnpsPciMP17_NO_MASTER_ABORT_IF_DEVSEL_ASSERTED \

mytop.MC1.c_SnpsPciMP34_DEASSERT_REQ_FOR_2_CLK_AFTER_RETRY_OR_DISCON \

mytop.MC1.c_SnpsPciMP03_LINEAR_INCR_BURST_MODE_FOR_MEM_WR_INV \

mytop.MC1.c_SnpsPciMP49_64_BIT_ADDR_ONLY_FOR_MEM_TRANSFER \

mytop.MC1.c_SnpsPciMP35b_VALID_CMD_DURING_ADDR_PHASE \

mytop.MC1.c_SnpsPciMP53_NO_IRDY_WITHOUT_START_OF_TRANSFER \

mytop.MC1.c_SnpsPciMP47_NO_IRDY_DURING_ADDR_PHASE \

mytop.MC1.c_SnpsPciMP05_DATA_TRANSFER_ONLY_WHEN_BOTH_TRDY_AND_IRDY \

mytop.MC1.c_SnpsPciMP29_DRIVE_VALID_PAR \

}

## Property: tp05

define_property tp05

add_property_info tp05 -checker -scope { mytop.TC1.c_SnpsPciTP05_ONCE_TRDY_0_NO_CHANGE_ON_TRDY_TILL_DP_END \

}

## Property: tp20

define_property tp20

add_property_info tp20 -checker -scope { mytop.TC1.c_SnpsPciTP20_NO_TRDY_STOP_DEVSEL_ACK64_AFTER_COMPLETION \

}

## Property: tp_all_22v

define_property tp_all_22v

add_property_info tp_all_22v -checker -scope { mytop.TC1.c_SnpsPciTP21_DISCONNECT_WHEN_BURST_CROSSES_RESOURCE_BOUNDARY \

mytop.TC1.c_SnpsPciTP16_DISCONNECT_IF_RESERVED_BURST_MODE \

mytop.TC1.c_SnpsPciTP03_NO_ALIAS_FOR_RESERVED_CMDS \

mytop.TC1.c_SnpsPciTP29_DEVSEL_REMAIN_ASSERTED_TILL_END \

mytop.TC1.c_SnpsPciTP07_ONCE_TRDY_0_NO_CHANGE_ON_STOP_TILL_DP_END \

mytop.TC1.c_SnpsPciTP20_NO_TRDY_STOP_DEVSEL_ACK64_AFTER_COMPLETION \

mytop.TC1.c_SnpsPciTP11_DATA_TRANSFER_ONLY_WHEN_BOTH_TRDY_AND_IRDY \

mytop.TC1.c_SnpsPciTP32_DRIVE_VALID_PAR \

mytop.TC1.c_SnpsPciTP24_DEASSERT_TRDY_BEFORE_TARGET_ABORT \

mytop.TC1.c_SnpsPciTP08_ONCE_STOP_0_NO_CHANGE_ON_STOP_TILL_DP_END \

mytop.TC1.c_SnpsPciTP10_ONCE_STOP_0_NO_CHANGE_ON_DEVSEL_TILL_DP_END \

mytop.TC1.c_SnpsPciTP23_ONCE_ASSERTED_STOP_REMAINS_TILL_END \

mytop.TC1.c_SnpsPciTP05_ONCE_TRDY_0_NO_CHANGE_ON_TRDY_TILL_DP_END \

mytop.TC1.c_SnpsPciTP19_NO_TRDY_DURING_TURN_AROUND_OF_READ \

mytop.TC1.c_SnpsPciTP28_DEVSEL_BEFORE_ANY_OTHER_RESPONSE \

mytop.TC1.c_SnpsPciTP25_DEASSERTED_STOP_THEN_NO_CONTINUE \

mytop.TC1.c_SnpsPciTP06_ONCE_TRDY_0_NO_CHANGE_ON_DEVSEL_TILL_DP_END \

mytop.TC1.c_SnpsPciTP30_NO_RESPONSE_TO_SPECIAL_CYCLES \

mytop.TC1.c_SnpsPciTP09_ONCE_STOP_0_NO_CHANGE_ON_TRDY_TILL_DP_END \

mytop.TC1.c_SnpsPciTP26_INITIAL_TGT_LATENCY_16_CLOCK_CYCLES \

}

## Session Module(s) ################################################

## Session: s_tp05

define_session s_tp05\

-env env1

set_session_info s_tp05 \

-debugLog 1

add_session_info s_tp05\

-property {

trial1_constraint

tp05

}

## Session: s_tp20

define_session s_tp20\

-env env1

add_session_info s_tp20\

-property {

tp20

trial1_constraint

}

## Session: s_tpall

define_session s_tpall\

-env env1

add_session_info s_tpall\

-property {

trial1_constraint

tp_all_22v

}

## Session: s_target_cov

define_session s_target_cov\

-env env1

add_session_info s_target_cov\

-coverage {

target_cov

-property {

trial1_constraint

}

附录 2 20 个被 Magellan 验证的属性报告

Magellan 在验证结束之后可以给出一个 HTML 格式的报告，下图是其中的一页，显示在这次验证中，有 31 个属性作为 Constraints, 20 个属性被证明是正确的。

单击链接可以得到更详细的信息，例如单击被证明的 20 个属性，则可以得到如下图所示的结果：

单击 Browse 还可以通过 Virsim 或者 Debussy 看到相应的源代码。

新思科技

龙芯-2系统芯片组的混合形式化验证

摘要：

I. 引言