衛(wèi)星典型電子設備單粒子防護效果試驗驗證

張立東，王 雷，馬平鑫，楊 青

（1.中國空間技術研究院 通信衛(wèi)星事業(yè)部，北京 100094； 2.山東航天電子技術研究所，煙臺 264000）

0 引言

單粒子效應是指空間中單個高能帶電粒子穿過微電子器件的敏感區(qū)時造成器件狀態(tài)非正常改變的一種輻射效應，包括單粒子翻轉、單粒子鎖定、單粒子燒毀和單粒子柵擊穿等。航天器內經(jīng)常使用的半導體器件，如微處理器、SRAM等，在高能粒子的撞擊下會發(fā)生單粒子翻轉、單粒子鎖定等事件，給航天器的安全運行帶來極大風險。

為提高衛(wèi)星抗單粒子效應的能力，在星用電子產(chǎn)品設計中采用了多種方法，以保障衛(wèi)星在軌正常運行。其中開展單粒子敏感器件試驗，依據(jù)器件發(fā)生單粒子事件時的特性采取相應保障措施，是抗單粒子設計中的一項重要內容。

目前的單粒子試驗主要是針對芯片級產(chǎn)品，通過激光、離子加速器、放射源等對單粒子敏感芯片進行單粒子輻照。試驗期間，通過專門研制的軟件和測試設備，檢查芯片的邏輯功能運行、電特性、內部數(shù)據(jù)狀態(tài)，測試芯片的單粒子效應。試驗完畢后，依據(jù)測試結果開展相關的抗單粒子能力設計。芯片級的單粒子試驗雖然能夠為抗單粒子設計提供依據(jù)，但是無法驗證芯片發(fā)生單粒子事件是否會影響單機設備的整體安全，單機設備是否會產(chǎn)生異常指令輸出而給大系統(tǒng)帶來危害性影響。

為驗證衛(wèi)星在發(fā)生單粒子事件時是否會產(chǎn)生漏指令或誤指令，我們經(jīng)過指令鏈路分析，選擇測控單元整機作為試驗樣品，通過輻照其中的CPU和RAM芯片來檢驗單粒子事件對衛(wèi)星指令的影響，并對試驗結果進行數(shù)據(jù)分析，以定量給出衛(wèi)星漏指令、誤指令的發(fā)生概率。

1 衛(wèi)星指令鏈路單粒子效應薄弱環(huán)節(jié)分析

對衛(wèi)星指令鏈路進行分析的目的是預估指令鏈路中哪些環(huán)節(jié)易發(fā)生單粒子事件[1]，從而有針對性地對這些薄弱環(huán)節(jié)開展單粒子輻照試驗。

衛(wèi)星指令一般分為直接指令和數(shù)管指令。直接指令是指由地面發(fā)送，衛(wèi)星接收后無須經(jīng)過數(shù)管分系統(tǒng)就可以執(zhí)行的指令。執(zhí)行這類指令的電子器件對單粒子效應不敏感，因此本次驗證不涉及這類指令。數(shù)管指令是須經(jīng)由數(shù)管軟件解析后執(zhí)行的指令，既包括地面發(fā)送的指令，也包括數(shù)管軟件在對衛(wèi)星進行自主控制過程中產(chǎn)生的指令。數(shù)管指令的解析、產(chǎn)生和傳遞，硬件上依托于CPU、RAM和通信總線接口芯片等，這類芯片是單粒子效應的敏感器件，因此數(shù)管指令鏈路是衛(wèi)星指令鏈路中的單粒子敏感環(huán)節(jié)，需要著重予以驗證。

數(shù)管指令的執(zhí)行鏈路中主要涉及數(shù)管計算機和測控單元2類單機產(chǎn)品。數(shù)管計算機是上位機，將接收到的地面遙控指令或衛(wèi)星自主控制過程中產(chǎn)生的指令，通過1553B總線發(fā)送給測控單元，測控單元對收到的指令進行譯碼后輸出執(zhí)行。由于數(shù)管計算機具備EDAC功能和數(shù)據(jù)糾錯能力，所以由它引發(fā)的漏指令、誤指令概率較低。1553B總線通信具有數(shù)據(jù)校驗功能，在通信過程中發(fā)生單粒子翻轉導致誤指令的概率也極低。而測控單元是數(shù)管指令執(zhí)行的最后一環(huán)，沒有EDAC功能，其CPU系統(tǒng)所采用的單片機以及RAM等器件的單粒子翻轉閾值較低，測控單元CPU系統(tǒng)輸出指令碼后，對指令碼采取硬件偶校驗措施，是數(shù)管指令鏈路中防止單粒子效應的最后一道關卡。

綜上所述，測控單元CPU系統(tǒng)是衛(wèi)星指令鏈路上相對薄弱的環(huán)節(jié)，對其開展單粒子輻照試驗，具有典型性和代表性，能夠驗證衛(wèi)星單粒子防護設計的有效性。

2 試驗方案

2.1 單粒子敏感器件處理

測控單元CPU系統(tǒng)位于CPU板。本次試驗采用轉接板將CPU板從測控單元機箱內“抬出”，既保證了CPU板與整機的電氣連接，又能定點輻照敏感器件——單片機和RAM。為確保單粒子輻照效果，對被輻照器件采取開帽措施：單片機CPU芯片為陶瓷金屬封裝，用機械法去除其頂蓋；RAM器件為塑封，采用酸腐蝕法去除其封裝材料，使單粒子能夠直接射入器件內部敏感區(qū)。

通過以上措施，成功實現(xiàn)了測控單元整機加電正常運行狀態(tài)下的單粒子事件觸發(fā)，達到了預期的試驗要求。

2.2 試驗設置及監(jiān)測方法

測控單元的測試設備包括1臺專用地檢設備和1臺工控機。地檢設備通過4 m長的電纜與測控單元連接，并為測控單元供電；還通過串口將采集到的數(shù)據(jù)發(fā)送到工控機。工控機則對收到的數(shù)據(jù)進行分析和保存，也可通過工控機向測控單元發(fā)送遙控指令，并檢測指令輸出執(zhí)行的情況。

單粒子輻照區(qū)和人工測試區(qū)被嚴格隔離，兩個區(qū)域相距40 m，為了克服測試環(huán)境的限制，將工控機與地檢設備的串口通信線以及測控單元供電線延長，以實現(xiàn)單粒子輻照期間的正常測試。

試驗時被照射CPU板、測控單元、地檢設備與監(jiān)控系統(tǒng)之間的連接關系如圖1所示。將測控單元CPU板用抬高板抬出機箱，將經(jīng)過開帽處理的單粒子敏感器件暴露于離子輻照下。

圖1 整套試驗設備連接關系示意Fig.1 Connection of the experimental equipment

2.3 模擬源及試驗條件

試驗在中國科學院蘭州近代物理研究所重離子加速器上進行，它能夠提供束流密度在102～105cm-2·s-1連續(xù)可變的離子束流。試驗離子選擇Ar+離子，其核子能量為58 MeV，通過衰變器對離子能量的衰減，離子LET值可以在3.0～15 MeV·cm2/mg范圍內調節(jié)。束流測量系統(tǒng)包括束流強度測量系統(tǒng)、束流均勻性測量系統(tǒng)和束流能量測量系統(tǒng)。束流強度測量系統(tǒng)由閃爍探測器、位置靈敏探測器等組成，具有優(yōu)于±10%的測量精度，能連續(xù)、實時監(jiān)測照射到被試器件上的離子注量。束流均勻性測量系統(tǒng)由可移動閃爍體探測器等組成，具有優(yōu)于±10%的測量精度。束流能量測量系統(tǒng)由鋰漂移探測器等組成，測量精度滿足要求。從芯片級單粒子試驗可知，80C32系列單片機的單粒子翻轉閾值約為4 MeV·cm2/mg[1]，在 LET 值大于 13.9 MeV·cm2/mg時會發(fā)生鎖定[2]；測控單元所用RAM芯片的單粒子翻轉閾值低于80C32系列單片機的，因此這套加速器滿足本次試驗要求。

確定輻照能量范圍后，還需要確定單片機和RAM的單粒子翻轉閾值和鎖定閾值，以監(jiān)控測控單元在單粒子翻轉狀態(tài)下的表現(xiàn)。由于芯片個體之間的翻轉閾值和鎖定閾值存在一定差異[3]，所以本次試驗采用實際測試的辦法來確定2個芯片的實際閾值，使被測芯片以合適的頻度發(fā)生單粒子翻轉，既不能太慢，以便獲得足夠的試驗數(shù)據(jù)；又不能讓LET值和束流密度過大，導致器件發(fā)生鎖定。閾值測試方法如下[4]：

在單片機內部數(shù)據(jù)存儲區(qū)最后100個字節(jié)內和RAM芯片前8K地址內寫入固定數(shù)據(jù)“0x55”，然后由單片機進行連續(xù)循環(huán)回讀，當發(fā)現(xiàn)讀回數(shù)據(jù)不等于“0x55”時，判斷遙測數(shù)據(jù)出錯，并將錯誤數(shù)據(jù)發(fā)送給測試設備。

單片機和RAM芯片單粒子翻轉現(xiàn)象的判據(jù)為：測控單元工作電流正常且遙測數(shù)據(jù)顯示器件存儲區(qū)發(fā)生數(shù)據(jù)翻轉或通信失敗。單粒子鎖定現(xiàn)象的判據(jù)為：1）遙測幀判讀出現(xiàn)連續(xù)16幀數(shù)據(jù)錯誤或通信連續(xù)失敗超過20 s；2）整機工作電流增大超過60 mA（整機供電 28 V，單片機的工作電壓為 5 V；芯片發(fā)生單粒子鎖定時電流增加365 mA以上[5]，對應整機工作電流增加65 mA）。

2.4 試驗測試流程

1）按照2.3節(jié)的方法，調整LET值，分別輻照測控單元的單片機和RAM芯片，觸發(fā)被輻照芯片發(fā)生單粒子翻轉。

2）由測試設備每0.5 s向測控單元發(fā)送1條固定的指令編碼，并要求測控單元發(fā)出1條指定的離散指令；測試設備實時監(jiān)測測控單元所有離散指令的輸出，并判斷指令執(zhí)行是否正確。若輸出的離散指令與預期（測試設備要求的指令）相一致，則認為指令執(zhí)行正確；若未輸出任何指令，則認為發(fā)生了漏指令；若指令輸出與預期不一致，則認為發(fā)生了誤指令。測試設備將上述判定結果存入數(shù)據(jù)庫。

3）實時監(jiān)測星上產(chǎn)品的工作電流，若外置電源直流輸出電流增大35 mA以上，則進入步驟4）；否則當離子輻照到一定時間后停止輻照，進入步驟6）。

4）星上產(chǎn)品發(fā)生單粒子鎖定現(xiàn)象時，切斷對測控單元的供電，以解除單粒子鎖定現(xiàn)象[6]；停止離子輻照。

5）重新對測控單元加電，若單粒子敏感器件功能測試正常，則恢復離子束流，繼續(xù)進行試驗，持續(xù)一定時間后停止輻照，進入步驟6）。

6）達到試驗要求的輻照累積時間后試驗結束，通過2通道遙測數(shù)據(jù)比對單粒子翻轉情況，漏指令和誤指令輸出情況以及供電電源狀態(tài)的記錄，分析判斷星上產(chǎn)品抗單粒子設計的有效性。

整個試驗流程如圖2所示。

圖2 測控單元單粒子輻照試驗流程Fig.2 Test flow chart of single event effect on RTU

3 輻照試驗結果

試驗分為2部分：第1部分為單片機和RAM芯片的翻轉閾值測試；第2部分為測控單元指令監(jiān)控。

在第1部分試驗中，測控單元加載專用軟件（軟件邏輯設計見本文2.3節(jié)），以不同LET值的離子分別輻照單片機和RAM芯片，以確定第2部分試驗的LET值。測試數(shù)據(jù)統(tǒng)計見表1。

從表1可見，當LET值超過5 MeV·cm2/mg時，單片機80C32發(fā)生了單粒子翻轉；超過3 MeV·cm2/mg時，RAM芯片發(fā)生了單粒子翻轉。當LET值達到15 MeV·cm2/mg時，2 種芯片均未發(fā)生單粒子鎖定。為了獲取更多的單粒子翻轉記錄，第2部分試驗的 LET 值選定為 15 MeV·cm2/mg。

第2部分試驗中，測控單元中加載實際的星上軟件，以全面檢測測控單元單粒子防護設計的有效性。試驗結果如表2所示。

上述試驗結束后，保持當前LET值，逐步加大束流密度，繼續(xù)輻照單片機。當束流密度達到200cm-2·s-1時，星上單片機電流階躍式增大了約200 mA，并一直保持此電流，直至手動斷電。在此期間，測控單元仍可以實現(xiàn)通信功能，但遙測數(shù)據(jù)出錯頻度增高，向地檢設備輸出了非預期的離散指令，具體情況見表3。3 min后，對測控單元斷電，停止對單片機輻照。再次上電后該現(xiàn)象消失，測控單元工作電流和工作狀態(tài)恢復正常。

表1 二種芯片翻轉閾值測試試驗統(tǒng)計Table 1 Resistance of single event upset for two kinds of chips

表2 星上軟件單粒子試驗抗誤指令能力統(tǒng)計表Table 2 Statistics of the SEE-proof capability against command error for onboard software

表3 單片機電流增大期間的誤指令統(tǒng)計Table 3 Error instruction statistics during the current increase of CPU

4 試驗結果分析

在空間輻射環(huán)境中，測控單元由于器件單粒子翻轉而誘發(fā)誤指令的過程是十分復雜的，既與空間輻射環(huán)境、器件單粒子效應敏感性、系統(tǒng)單粒子效應響應特征等密切相關，又與系統(tǒng)軟件、硬件采取的防護措施有關，且防護措施直接影響誤指令的發(fā)生概率。

根據(jù)試驗取得的數(shù)據(jù)，可以得到下述結論：

1）針對80C32 在LET值為5 MeV·cm2/mg、離子總注量大于105cm-2的情況下僅發(fā)生1次單粒子翻轉的現(xiàn)象，從工程應用角度出發(fā)認為80C32的單粒子翻轉LET閾值為5 MeV·cm2/mg，翻轉截面為 6.4×10-6cm2，單粒子翻轉飽和截面為 2.4×10-4cm2。同樣，依據(jù)Space Radiation軟件包中的Pickel經(jīng)驗計算模型，可以估算出80C32在GEO的單粒子翻轉率為 1.37×10-3次/（器件·天），即 730 天（約 2.0 年）發(fā)生1次翻轉。

2）針對RAM芯片，依據(jù)試驗數(shù)據(jù)，結合其在LET 值分別為 15 和10 MeV·cm2/mg，離子總注量大于105cm-2的情況下均發(fā)生了大量單粒子翻轉的現(xiàn)象，從工程應用角度出發(fā)認為RAM芯片在LET值為15 MeV·cm2/mg的離子照射下其翻轉截面達到飽和，平均飽和翻轉截面為 4.34×10-2cm2；結合RAM芯片在LET值為3 MeV·cm2/mg、離子總注量大于105cm-2的情況下僅發(fā)生2次單粒子翻轉的現(xiàn)象，從工程應用角度出發(fā)認為其單粒子翻轉LET閾值為 3 MeV·cm2/mg，翻轉截面為 8.8×10-5cm2。在假定器件單粒子翻轉敏感體積厚度為器件特征尺寸大小時，依據(jù)Space Radiation 軟件包中的Pickel經(jīng)驗計算模型，可以估算出器件在同步軌道的單粒子翻轉率。計算時，單粒子翻轉LET閾值和飽和翻轉截面采用試驗測量值，翻轉敏感體積厚度和電荷收集聚焦長度分別為器件特征尺寸大小和2倍器件特征尺寸大小。依據(jù)上述計算方法計算出的RAM芯片在同步軌道中的單粒子翻轉率為5.82×10-2次/（器件·天），即約 17 天發(fā)生 1 次翻轉。

3）測控單元的指令流程執(zhí)行時間較短，因此指令數(shù)據(jù)被單粒子打翻造成漏指令的概率很低。本次試驗中漏發(fā)的指令是由于待發(fā)的1號指令碼字的某一位發(fā)生翻轉后導致指令碼偶校驗不正確而沒有被發(fā)出。在CRèME M3模型中[7]，其漏指令翻轉截面為2.3×10-2a-1，即43年才會發(fā)生1次漏指令。

4）測控單元在發(fā)送指令前通過硬件對指令的碼字進行偶校驗，當偶校驗正確后才輸出該指令，從而有效地防止了誤指令的輸出。本次試驗表明，測控單元的指令偶校驗功能有效，工作穩(wěn)定。

5）在工作電流正常的情況下，測控單元未產(chǎn)生誤指令，表明星上單粒子防護設計有效，衛(wèi)星具備較強的抗誤指令能力。

6）試驗過程中，在大約3 min的時間內，星上單片機電流增大了約200 mA。此期間遙測數(shù)據(jù)出錯頻度較高，測控單元向地檢設備輸出了非預期的離散指令。經(jīng)試驗驗證，80C32單片機的單粒子鎖定電流在365～385 mA之間，正常工作電流在3.5～38 mA 之間[5]。電流增加 200 mA 這種狀態(tài)，是介于正常和單粒子鎖定之間的一種狀態(tài)，稱為偽鎖定。發(fā)生偽鎖定后，電流有可能進一步增加導致深度鎖定。偽鎖定導通電流較單粒子鎖定電流小，尚未導致器件功能完全失效。在偽鎖定期間，CPU仍能完成部分功能，如響應通信請求，發(fā)送遙測數(shù)據(jù)；但測控單元輸出了誤指令，且誤指令輸出時間間隔不規(guī)律（正常情況下每0.5 s發(fā)送1次遙控指令），可以判斷這些誤指令中，至少有一部分是CPU自主產(chǎn)生的多余指令。這表明單片機P0口I/O發(fā)生了非預期狀態(tài)跳變（測控單元的離散指令是由單片機P0口中的某一位口輸出串行碼至串并轉換電路，然后經(jīng)譯碼、硬件偶校驗后輸出）。

5 結束語

為了驗證單粒子事件對衛(wèi)星整機，尤其是對星上遙控指令造成的影響，我們通過指令鏈路分析找出薄弱環(huán)節(jié)——測控單元CPU系統(tǒng)。針對該系統(tǒng)制定了試驗方案，并在整機工作狀態(tài)下觸發(fā)了單粒子事件，對數(shù)管指令的漏指令、誤指令進行了有效測試和統(tǒng)計。通過試驗結果分析，計算出單片機和RAM芯片在GEO的單粒子翻轉率，衛(wèi)星漏指令發(fā)生概率，以試驗確認的方法驗證了衛(wèi)星在正?？臻g環(huán)境下不會發(fā)生誤指令。通過加大束流密度，使單片機產(chǎn)生電流階躍，即偽鎖定現(xiàn)象。偽鎖定狀態(tài)下，單片機仍能實現(xiàn)部分功能，但通過試驗現(xiàn)象也能確定P0口發(fā)生了數(shù)據(jù)非法跳變，導致測控單元對外輸出了多余指令。試驗還表明，單片機偽鎖定狀態(tài)不能通過防鎖定電路自主消除。這些試驗成果，可以應用于衛(wèi)星在軌故障分析，提升衛(wèi)星單粒子防護設計水平。

[1]趙海濤,呂欣琦,張兆國,等.航天器單粒子防護薄弱點的識別[J].宇航學報,2016,37(5):603-604 ZHAO H T,Lü X Q,ZHANG Z G,et al.Weakness identification of single event protection for spacecraft[J].Journal of Astronautics,2016,37(5):603-604

[2]薛玉雄,楊生勝,陳羅婧,等.空間單粒子鎖定效應研究[J].核技術,2012,35(9):694-695 XUE Y X,YANG S S,CHEN L J,et al.Investigation of single event latchup[J].Nuclear Techniques,2012,35(9):694-695

[3]余永濤,封國強,陳睿,等.SRAM K6R4016V1D 單粒子閂鎖及防護試驗研究[J].原子能科學技術,2012,46(增刊 1):589 YU Y T,FENG G Q,CHEN R,et al.Experimental study on single event latchup of SRAM K6R4016V1D and its protection[J].Atomic Energy Science and Technology,2012,46(sup1):589

[4]王忠明,閆逸華,陳榮梅,等.Flash 型 FPGA 的單粒子效應測試系統(tǒng)研制[J].原子能科學技術,2015,49(12):2266-2267 WANG Z M,YAN Y H,CHEN R M,et al.Development of single-event effect test system for flash-based FPGA[J].Atomic Energy Science and Technology,2015,49(12):2266-2267

[5]楊世宇,曹洲,薛玉雄.空間單粒子鎖定及防護技術研究[J].核電子學與探測技術,2008,28(5):946 YANG S Y,CAO Z,XUE Y X.Research on the single event latchup in the space and its protection technology[J].Electronics & Detection Technology,2008,28(5):946

[6]張昊,王新升,李博,等.微小衛(wèi)星單粒子閂鎖防護技術研究[J].紅外與激光工程,2015(5):1449 ZHANG H,WANG X S,LI B,et al.Research on single event latchup protection technology for micro-satellite[J].Infrared and Laser Engineering,2015(5):1449

[7]田愷,曹洲,薛玉雄,等.反熔絲型現(xiàn)場可編程門陣列單粒子 鎖定實驗研究[J].原子 能科學技術,2009,43(9):856-859 TIAN K,CAO Z,XUE Y X,et al.Experimental study oil single event latchup of anti-fuse field programmable gate array[J].Atomic Energy Science and Technology,2009,43(9):856-859