衛(wèi)星擴(kuò)頻應(yīng)答機(jī)抗單粒子翻轉(zhuǎn)技術(shù)研究

陸　榮，游月輝，吳　濤，劉任宸

(1.上海衛(wèi)星工程研究所, 上海 201109; 2.上海航天電子技術(shù)研究所, 上海 201109)

?

衛(wèi)星擴(kuò)頻應(yīng)答機(jī)抗單粒子翻轉(zhuǎn)技術(shù)研究

陸榮1，游月輝1，吳濤2，劉任宸1

(1.上海衛(wèi)星工程研究所, 上海 201109; 2.上海航天電子技術(shù)研究所, 上海 201109)

對(duì)衛(wèi)星擴(kuò)頻應(yīng)答機(jī)抗單粒子效應(yīng)的方法進(jìn)行分析，設(shè)計(jì)了采用反熔斷絲工藝的FPGA(A54SX32)，通過(guò)回讀比對(duì)功能對(duì)FPGA進(jìn)行監(jiān)控和處理。此方法大大降低了單粒子效應(yīng)造成衛(wèi)星擴(kuò)頻應(yīng)答機(jī)發(fā)生功能性故障的可能性，并在系統(tǒng)中通過(guò)內(nèi)部高可靠單機(jī)對(duì)易發(fā)生單粒子效應(yīng)的擴(kuò)頻應(yīng)答機(jī)進(jìn)行監(jiān)控，診斷出故障后進(jìn)行修復(fù)，同時(shí)設(shè)計(jì)定時(shí)復(fù)位對(duì)應(yīng)答機(jī)進(jìn)行復(fù)位、開(kāi)機(jī)操作，確保衛(wèi)星在軌擴(kuò)頻應(yīng)答機(jī)的正常穩(wěn)定工作。

擴(kuò)頻應(yīng)答機(jī)；FPGA；單粒子翻轉(zhuǎn)

0　引言

隨著航天技術(shù)的發(fā)展，對(duì)星載信號(hào)處理能力的要求越來(lái)越高，體積小、功耗低的微電子器件在航天工程中得到廣泛應(yīng)用，F(xiàn)PGA也越來(lái)越多地應(yīng)用到航天領(lǐng)域，成為星載信號(hào)處理和控制的關(guān)鍵部件。由于衛(wèi)星使用的宇航級(jí)大規(guī)模FPGA都是基于SRAM型的，屬于單粒子敏感器件，因此銀河宇宙線(xiàn)、太陽(yáng)宇宙線(xiàn)、地球輻射帶中的高能帶電粒子，特別是其中的重離子造成的單粒子事件成為航天飛行的重要隱患，抗單粒子效應(yīng)的研究非常重要且迫切。

本文首先分析了單粒子效應(yīng)的影響，分析了其對(duì)衛(wèi)星擴(kuò)頻應(yīng)答機(jī)造成的危害，并針對(duì)單粒子效應(yīng)提出了單機(jī)級(jí)、系統(tǒng)級(jí)的防護(hù)設(shè)計(jì)方法。最后對(duì)設(shè)計(jì)的方法在軌達(dá)到的效果進(jìn)行分析說(shuō)明，為后續(xù)衛(wèi)星抗單粒子效應(yīng)設(shè)計(jì)提供參考依據(jù)。

1　單粒子效應(yīng)影響

單粒子效應(yīng)是指單個(gè)的高能質(zhì)子或重離子轟擊微電子器件，引起該器件狀態(tài)改變，致使航天器發(fā)生異?；蚬收系氖录饕▋蓚€(gè)方面：?jiǎn)瘟Ｗ渔i定(SEL)及單粒子翻轉(zhuǎn)(SEU)。

1)單粒子翻轉(zhuǎn)

當(dāng)空間高能帶電粒子入射航天器或與航天器艙壁發(fā)生相互作用產(chǎn)生的重離子通過(guò)微電子器件時(shí)，在粒子通過(guò)的路徑上發(fā)生電離，沉積在器件中的電荷部分被電極收集，其結(jié)果可能產(chǎn)生軟錯(cuò)誤的單粒子翻轉(zhuǎn)效應(yīng)與鎖定效應(yīng)。當(dāng)收集的電荷超過(guò)電路狀態(tài)臨界電荷時(shí)，電路就會(huì)出現(xiàn)不期望的翻轉(zhuǎn)和邏輯功能混亂。這種效應(yīng)不會(huì)使邏輯電路損壞，還可以被重新寫(xiě)入另外一種狀態(tài)，因此，常把這種效應(yīng)叫做軟錯(cuò)誤。

2)單粒子鎖定

在CMOS電路(固有P-N-P-N結(jié)構(gòu)以及內(nèi)部寄生晶體管)中，當(dāng)高能帶電粒子，尤其是重離子穿越芯片時(shí)，會(huì)在P阱襯底結(jié)中沉積大量電荷。這種瞬時(shí)電荷流動(dòng)所形成的電流，在P阱電阻上產(chǎn)生壓降，會(huì)使寄生NPN晶體管的基-射極正偏而導(dǎo)通，結(jié)果造成鎖定事件。如果鎖定時(shí)通過(guò)器件的電流過(guò)大，即可將器件燒毀。當(dāng)出現(xiàn)鎖定現(xiàn)象時(shí)，器件不會(huì)自動(dòng)退出此狀態(tài)，除非采取斷電措施，然后重新啟動(dòng)方可恢復(fù)。

目前衛(wèi)星應(yīng)用的擴(kuò)頻應(yīng)答機(jī)均采用大規(guī)模FPGA實(shí)現(xiàn)信號(hào)捕獲、調(diào)制解調(diào)等功能，表1給出了某款FPGA在不同軌道上的單粒子翻轉(zhuǎn)概率，對(duì)于需要常加電工作的系統(tǒng)來(lái)說(shuō)，基于SRAM型的FPGA必需采取措施降低單粒子效應(yīng)的影響。

表1某FPGA在不同軌道的翻轉(zhuǎn)情況

軌道高度/km傾角/(°)翻轉(zhuǎn)概率/(次/天)MTBFLEO40051.60.671.5dLEO80022.092.7hPolar83398.764hMEO120065.02558minGEO360000.00.472.1d

2　抗單粒子翻轉(zhuǎn)設(shè)計(jì)

設(shè)計(jì)思路是從單機(jī)級(jí)、系統(tǒng)級(jí)兩個(gè)層面解決單粒子事件的影響，逐級(jí)診斷逐級(jí)修復(fù)，如圖1 所示。單機(jī)級(jí)設(shè)計(jì)解決設(shè)備內(nèi)部軟件參數(shù)受單粒子影響后參數(shù)錯(cuò)誤導(dǎo)致的故障，系統(tǒng)級(jí)設(shè)計(jì)解決單機(jī)級(jí)未能覆蓋的軟件參數(shù)及單機(jī)級(jí)無(wú)法解決的單粒子事件引起的故障情況。

圖1　擴(kuò)頻應(yīng)答機(jī)抗單粒子翻轉(zhuǎn)設(shè)計(jì)方法框圖

2.1單機(jī)級(jí)抗單粒子翻轉(zhuǎn)設(shè)計(jì)

1)重配置參數(shù)

重配置參數(shù)方法分為上電重配置和不斷電情況下接收復(fù)位指令重新配置兩種方式，此方法實(shí)現(xiàn)簡(jiǎn)單，通過(guò)重新配置可以使發(fā)生了單粒子翻轉(zhuǎn)的FPGA恢復(fù)正常，但配置期間，擴(kuò)頻應(yīng)答機(jī)的常規(guī)功能中斷。

2)三模冗余(TMR)

三模冗余即所有功能采用三個(gè)模塊重復(fù)實(shí)現(xiàn)，互為備份，三個(gè)結(jié)果送入三選二的表決邏輯，表決邏輯的輸出取決于三個(gè)輸入的多數(shù)。若有一個(gè)模塊發(fā)生單粒子翻轉(zhuǎn)故障，則另兩個(gè)正常模塊的輸出可將故障模塊的輸出掩蔽，從而不會(huì)在表決器輸出產(chǎn)生差錯(cuò)。此設(shè)計(jì)思想基于假設(shè)前提：任意兩個(gè)模塊不會(huì)在同一時(shí)間發(fā)生單粒子效應(yīng)。TMR技術(shù)的優(yōu)點(diǎn)在于可以容忍單粒子翻轉(zhuǎn)和單粒子瞬時(shí)干擾引起的功能錯(cuò)誤；其缺點(diǎn)是所需硬件資源多，功耗增大。

3)對(duì)配置信息進(jìn)行實(shí)時(shí)刷新

對(duì)配置信息實(shí)時(shí)刷新是指在不判斷配置信息是否翻轉(zhuǎn)的情況下，不間斷的對(duì)配置信息進(jìn)行重寫(xiě)操作。與重新配置操作不同的是：在刷新期間，不會(huì)影響FPGA的工作，可以糾正翻轉(zhuǎn)了的配置信息位。其缺點(diǎn)是不能糾正其它單粒子效應(yīng)如SET、SEFI等；增加刷新電路(至少增加一片反熔絲FPGA)。

4)采用大容量抗輻照反熔絲FPGA

反熔絲FPGA的特點(diǎn)是所有設(shè)計(jì)是燒死的，不會(huì)發(fā)生單粒子翻轉(zhuǎn)，但中間變量仍有單粒子翻轉(zhuǎn)的可能。擴(kuò)頻應(yīng)答機(jī)中頻處理算法比較復(fù)雜，需要至少400萬(wàn)門(mén)反熔絲FPGA才能完成正常功能，目前對(duì)應(yīng)的FPGA尚未普及，成本較高。

5)采用專(zhuān)用集成電路

目前國(guó)內(nèi)開(kāi)發(fā)的專(zhuān)用集成電路規(guī)模處于100萬(wàn)門(mén)左右。由于擴(kuò)頻應(yīng)答機(jī)中頻處理算法比較復(fù)雜，因此開(kāi)發(fā)專(zhuān)用集成電路的周期很長(zhǎng)，成本很高。

6)動(dòng)態(tài)回讀比對(duì)

該方法對(duì)FPGA的重要關(guān)鍵配置信息進(jìn)行回讀和比對(duì)，發(fā)現(xiàn)配置信息有錯(cuò)則進(jìn)行重配置操作。其優(yōu)點(diǎn)是可以確定配置信息發(fā)生單粒子翻轉(zhuǎn)后，立即通過(guò)重配置可以使發(fā)生了單粒子翻轉(zhuǎn)的FPGA恢復(fù)正常，缺點(diǎn)是發(fā)現(xiàn)配置信息出錯(cuò)進(jìn)行重加載期間功能中斷；增加此功能需增加回讀部分電路(一般情況下需增加一片反熔絲FPGA)。

下面是本文對(duì)擴(kuò)頻應(yīng)答機(jī)采用動(dòng)態(tài)回讀方法監(jiān)測(cè)和修正單粒子效應(yīng)的設(shè)計(jì)，設(shè)計(jì)方法是利用反熔絲FPGA芯片實(shí)時(shí)讀取FPGA內(nèi)部配置信息與其配置PROM中的配置信息進(jìn)行比對(duì)，從而判斷FPGA是否發(fā)生單粒子翻轉(zhuǎn)的設(shè)計(jì)技術(shù)。反熔絲FPGA對(duì)單粒子翻轉(zhuǎn)效應(yīng)不敏感，但是其容量很小。當(dāng)檢測(cè)到FPGA芯片發(fā)生單粒子翻轉(zhuǎn)時(shí)，回讀重配置芯片控制FPGA芯片重新加載程序，從而消除單粒子翻轉(zhuǎn)效應(yīng)對(duì)設(shè)備工作狀態(tài)的影響。該方法的優(yōu)點(diǎn)是可靠度較高，軟硬件資源要求相對(duì)三模冗余較低，但是它的最終結(jié)果是控制FPGA芯片重新加載程序。因此該方法主要是實(shí)現(xiàn)對(duì)FPGA受到單粒子效應(yīng)的監(jiān)測(cè)和糾正，并不能完全消除單粒子效應(yīng)對(duì)設(shè)備工作狀態(tài)的影響，需進(jìn)一步通過(guò)系統(tǒng)級(jí)實(shí)現(xiàn)。

考慮到回讀電路功能的可靠性，設(shè)計(jì)中考慮采取保留屏蔽回讀刷新電路功能的指令，防止出現(xiàn)回讀電路失效導(dǎo)致單機(jī)功能異常工作，原理框圖如圖2 所示。

圖2　回讀刷新重配置系統(tǒng)框圖

系統(tǒng)各部分主要功能：

1)Virtex-4 FPGA：完成擴(kuò)頻應(yīng)答機(jī)中頻處理機(jī)主要功能；

2)Actel FPGA：完成接收RS422的控制命令，并進(jìn)行解析，完成對(duì)Virtex-4 FPGA的配置、回讀、刷新、重載，以及數(shù)據(jù)比對(duì)；

3)RS422：接收指令或數(shù)據(jù)，并反饋數(shù)據(jù)；

4)對(duì)外接口：接收復(fù)位指令。

5)CRC檢錯(cuò)碼是一種二元分組碼，它用于檢測(cè)碼塊中的傳輸差錯(cuò)。其檢錯(cuò)能力為：①能檢測(cè)出含有奇數(shù)個(gè)比特差錯(cuò)的所有錯(cuò)誤序列；②能檢出碼塊中隨機(jī)分布的2個(gè)比特差錯(cuò)；③對(duì)碼塊中大于和等于4個(gè)比特的隨機(jī)差錯(cuò)，其不能檢出的概率約為2-15(或3×10-5)；④能檢出長(zhǎng)度不大于CRC校驗(yàn)位長(zhǎng)的單個(gè)突發(fā)差錯(cuò)。⑤本文對(duì)配置信息采取32位CRC校驗(yàn)，其多項(xiàng)式如下：x32+x28+x27+x26+x25+x23+x22+x20+x19+x18+x14+x13+x11+x10+x9+x8+x6+1。

2.2系統(tǒng)級(jí)抗單粒子翻轉(zhuǎn)設(shè)計(jì)

由于單機(jī)級(jí)無(wú)法完全解決單粒子效應(yīng)的影響，設(shè)計(jì)系統(tǒng)級(jí)抗單粒子效應(yīng)的方法，通過(guò)測(cè)控分系統(tǒng)內(nèi)部高可靠單機(jī)對(duì)擴(kuò)頻應(yīng)答機(jī)進(jìn)行實(shí)時(shí)監(jiān)控，發(fā)生單機(jī)受單粒子效應(yīng)影響無(wú)法自愈時(shí)，對(duì)擴(kuò)頻應(yīng)答機(jī)進(jìn)行故障修復(fù)工作，本文設(shè)計(jì)的系統(tǒng)級(jí)抗單粒子設(shè)計(jì)主要有兩種：故障自診斷修復(fù)和定時(shí)復(fù)位。

1)故障自診斷修復(fù)技術(shù)

系統(tǒng)級(jí)故障自診斷修復(fù)技術(shù)的框圖如圖3所示。

圖3　系統(tǒng)自主診斷及恢復(fù)框圖

設(shè)計(jì)思路是利用擴(kuò)頻應(yīng)答機(jī)給出的健康狀態(tài)字對(duì)其進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)發(fā)生故障時(shí)，且故障條件滿(mǎn)足修復(fù)要求時(shí)對(duì)應(yīng)答機(jī)進(jìn)行修復(fù)工作，判斷的流程如圖4所示。

圖4　系統(tǒng)自主診斷及恢復(fù)流程圖

擴(kuò)頻應(yīng)答機(jī)作為工作正常的狀態(tài)給出一個(gè)健康狀態(tài)字，測(cè)控分系統(tǒng)數(shù)據(jù)管理設(shè)備同時(shí)接收兩臺(tái)擴(kuò)頻應(yīng)答機(jī)的健康字進(jìn)行監(jiān)控，健康字反應(yīng)的是應(yīng)答機(jī)主程序運(yùn)行狀態(tài)。當(dāng)應(yīng)答機(jī)主程序發(fā)生異常時(shí)，應(yīng)答機(jī)的健康字會(huì)顯示為不健康狀態(tài)，此時(shí)應(yīng)答機(jī)的上下行很可能已經(jīng)失效。若單臺(tái)應(yīng)答機(jī)故障，可通過(guò)備份通道上行對(duì)故障應(yīng)答機(jī)進(jìn)行關(guān)機(jī)、開(kāi)機(jī)操作進(jìn)行復(fù)位；若兩臺(tái)應(yīng)答機(jī)同時(shí)發(fā)生故障時(shí)，遙控終端自主啟動(dòng)處理方案，對(duì)兩臺(tái)應(yīng)答機(jī)進(jìn)行關(guān)機(jī)、開(kāi)機(jī)操作。

具體判斷處理的流程如下：擴(kuò)頻應(yīng)答機(jī)串行數(shù)字量最高兩位設(shè)置為健康判斷位，擴(kuò)頻應(yīng)答機(jī)工作正常時(shí)這兩位為“11”和“00”每隔2s交替變化。如果擴(kuò)頻應(yīng)答機(jī)A機(jī)和B機(jī)故障判斷位同時(shí)不發(fā)生變化，遙控終端下位機(jī)軟件則判斷擴(kuò)頻應(yīng)答機(jī)A機(jī)和B機(jī)同時(shí)發(fā)生故障，故障持續(xù)7200幀遙測(cè)幀(每幀0.5s，約3600s)后，下位機(jī)軟件自主發(fā)送擴(kuò)頻應(yīng)答機(jī)A斷電間接指令(遙控終端的內(nèi)部指令)；經(jīng)過(guò)600s±60s后，下位機(jī)軟件自主發(fā)送擴(kuò)頻應(yīng)答機(jī)B斷電間接指令；經(jīng)過(guò)10s±2s后，下位機(jī)軟件自主發(fā)送擴(kuò)頻應(yīng)答機(jī)A加電

間接指令；經(jīng)過(guò)10s±2s后，下位機(jī)軟件自主發(fā)送擴(kuò)頻應(yīng)答機(jī)B加電間接指令。

在正常情況下，數(shù)據(jù)管理設(shè)備軟件對(duì)擴(kuò)頻應(yīng)答機(jī)自主判斷功能是允許的，但是在發(fā)生擴(kuò)頻應(yīng)答機(jī)A機(jī)和B機(jī)只是遙測(cè)故障判斷位同時(shí)發(fā)生故障，而擴(kuò)頻應(yīng)答機(jī)上行和下行都正常的故障時(shí)，可對(duì)數(shù)據(jù)管理設(shè)備軟件發(fā)送“擴(kuò)頻應(yīng)答機(jī)自主判斷功能禁止間接指令”，將此功能禁止，相應(yīng)遙測(cè)位顯示禁止；在排除故障后，又可對(duì)下位機(jī)軟件發(fā)送”擴(kuò)頻應(yīng)答機(jī)自主判斷功能允許間接指令”，將此功能恢復(fù)，相應(yīng)遙測(cè)位顯示允許。

2)定時(shí)復(fù)位設(shè)計(jì)

為了避免應(yīng)答機(jī)關(guān)機(jī)后未能自主打開(kāi)的情況，或當(dāng)一臺(tái)應(yīng)答機(jī)處于關(guān)機(jī)狀態(tài)，另一臺(tái)應(yīng)答機(jī)由于單粒子無(wú)法上行的情況下，設(shè)計(jì)利用測(cè)控作業(yè)表進(jìn)行定時(shí)復(fù)位、開(kāi)機(jī)的操作，作業(yè)表如表2所示。

表2測(cè)控作業(yè)表中定時(shí)復(fù)位設(shè)計(jì)

序號(hào)作業(yè)星上時(shí)間備注1擴(kuò)頻應(yīng)答機(jī)A開(kāi)機(jī)起始時(shí)間T0(作業(yè)表中的起始時(shí)間)2擴(kuò)頻應(yīng)答機(jī)B開(kāi)機(jī)起始時(shí)間T0+0.5s防止兩臺(tái)應(yīng)答機(jī)均被關(guān)閉的故障3擴(kuò)頻應(yīng)答機(jī)A復(fù)位起始時(shí)間T0+1s4擴(kuò)頻應(yīng)答機(jī)B復(fù)位起始時(shí)間T0+1.5s對(duì)應(yīng)答機(jī)實(shí)施定時(shí)復(fù)位操作5開(kāi)擴(kuò)頻應(yīng)答機(jī)A發(fā)射機(jī)起始時(shí)間T0+2.5s6開(kāi)擴(kuò)頻應(yīng)答機(jī)B發(fā)射機(jī)起始時(shí)間T0+3s出于電子對(duì)抗等需要,應(yīng)答機(jī)在境外處于靜默狀態(tài),入境后需要打開(kāi)。7遙測(cè)下傳持續(xù)工作T1遙測(cè)下傳工作8擴(kuò)頻應(yīng)答機(jī)A發(fā)射機(jī)關(guān)起始時(shí)間T0+T1+3.5s9擴(kuò)頻應(yīng)答機(jī)B發(fā)射機(jī)關(guān)起始時(shí)間T0+T1+4s出境前進(jìn)行關(guān)發(fā)射機(jī)操作,使應(yīng)答機(jī)處于靜默狀態(tài)。

3　結(jié)束語(yǔ)

擴(kuò)頻應(yīng)答機(jī)抗單粒子翻轉(zhuǎn)技術(shù)能保障衛(wèi)星測(cè)控分系統(tǒng)在軌正常穩(wěn)定工作，解決了測(cè)控分系統(tǒng)擴(kuò)頻應(yīng)答機(jī)在軌單粒子事件導(dǎo)致的故障問(wèn)題，為衛(wèi)星單粒子防護(hù)技術(shù)提供基礎(chǔ)。對(duì)應(yīng)用了此技術(shù)的某在軌衛(wèi)星通過(guò)遙測(cè)觀(guān)察發(fā)現(xiàn)，此項(xiàng)技術(shù)有效地完成了自主單粒子事件診斷與處理，保證了衛(wèi)星正常安全地在軌工作。經(jīng)統(tǒng)計(jì)，平均每月擴(kuò)頻應(yīng)答機(jī)自主診斷單粒子事件并自主修正的有10次以上，在軌飛行至今未造成星地通信異常及地面干預(yù)的情況。因此，此項(xiàng)技術(shù)能為后續(xù)衛(wèi)星抗單粒子效應(yīng)的設(shè)計(jì)提供參考?！?/p>

[1]蔡自興，徐光. 人工智能及其應(yīng)用[M].3版.北京:清華大學(xué)出版社，2004.

[2]宋凝芳，朱明達(dá)，潘雄. SRAM 型FPGA 單粒子效應(yīng)試驗(yàn)研究[J].宇航學(xué)報(bào)，2012，33(6): 836-842.

[3]鄧明.FPGA抗單粒子翻轉(zhuǎn)軟硬件設(shè)計(jì)分析[J].通信對(duì)抗，2010，110(2)：37-38.

[4]丁義剛.空間輻射環(huán)境單粒子效應(yīng)研究[J].航天器環(huán)境工程，2007， 24(5): 283-290.

[5]王一奇，趙發(fā)展，劉夢(mèng)新，等．基于RHBD技術(shù)的深亞微米抗輻SRAM電路的研究[J]．半導(dǎo)體技術(shù)，2012,37(1):17-23.

[6]Earl F，Michael C，Anthony S，et al. Radiation testing update，SEU mitigation，and availability analysis of the Virtex FPGA for space reconfigurable computing[C]∥ IEEE Nuclear and Space Radiation Effects Conference，Reno，USA，2000.

[7]Dinh TN， Xuan Y， Thai MT，et al. On new approaches of assessing network vulnerability：hardness and approximation[J]. IEEE/ACM Trans. Netw，2012,20(2)：609-619.

The anti-SEU technology of satellite-borne spread-spectrum transponder

Lu Rong1, You Yuehui1, Wu Tao2, Liu Renchen1

(1.Shanghai Institute of Satellite Engineering,Shanghai 201109,China; 2. Shanghai Aerospace Electronic Technology Research Institute,Shanghai 201109,China)

The satellite-borne spread-spectrum transponder against SEU effect is analyzed, and a method which uses FPGA under an anti-fuse technique is designed, namely A54SX32, with a function of read-back and realignment to monitor and handle FPGA. By means of that, the probability of functional faults caused by SEU effect on the satellite-borne spread-spectrum transponder will be considerably reduced. The spread-spectrum transponder, which is prone to SEU effect, will be monitored by highly reliable standalone unit in the system, and the fault will be diagnosed and fixed. In addition, a watchdog timer is designed to reset and start up the transponder, so as to ensure a smooth operation of the on-orbit satellite-borne spread-spectrum transponder.

spread-spectrum transponder;FPGA;SEU

2016-07-07；2016-07-20修回。

陸榮(1982-)，男，工程師，主要研究方向?yàn)樾l(wèi)星通信。

TN967

A