卫星扩频应答机抗单粒子翻转技术研究
2016-10-17游月辉刘任宸
陆 荣,游月辉,吴 涛,刘任宸
(1.上海卫星工程研究所, 上海 201109; 2.上海航天电子技术研究所, 上海 201109)
卫星扩频应答机抗单粒子翻转技术研究
陆荣1,游月辉1,吴涛2,刘任宸1
(1.上海卫星工程研究所, 上海 201109; 2.上海航天电子技术研究所, 上海 201109)
对卫星扩频应答机抗单粒子效应的方法进行分析,设计了采用反熔断丝工艺的FPGA(A54SX32),通过回读比对功能对FPGA进行监控和处理。此方法大大降低了单粒子效应造成卫星扩频应答机发生功能性故障的可能性,并在系统中通过内部高可靠单机对易发生单粒子效应的扩频应答机进行监控,诊断出故障后进行修复,同时设计定时复位对应答机进行复位、开机操作,确保卫星在轨扩频应答机的正常稳定工作。
扩频应答机;FPGA;单粒子翻转
0 引言
随着航天技术的发展,对星载信号处理能力的要求越来越高,体积小、功耗低的微电子器件在航天工程中得到广泛应用,FPGA也越来越多地应用到航天领域,成为星载信号处理和控制的关键部件。由于卫星使用的宇航级大规模FPGA都是基于SRAM型的,属于单粒子敏感器件,因此银河宇宙线、太阳宇宙线、地球辐射带中的高能带电粒子,特别是其中的重离子造成的单粒子事件成为航天飞行的重要隐患,抗单粒子效应的研究非常重要且迫切。
本文首先分析了单粒子效应的影响,分析了其对卫星扩频应答机造成的危害,并针对单粒子效应提出了单机级、系统级的防护设计方法。最后对设计的方法在轨达到的效果进行分析说明,为后续卫星抗单粒子效应设计提供参考依据。
1 单粒子效应影响
单粒子效应是指单个的高能质子或重离子轰击微电子器件,引起该器件状态改变,致使航天器发生异常或故障的事件,主要包括两个方面:单粒子锁定(SEL)及单粒子翻转(SEU)。
1)单粒子翻转
当空间高能带电粒子入射航天器或与航天器舱壁发生相互作用产生的重离子通过微电子器件时,在粒子通过的路径上发生电离,沉积在器件中的电荷部分被电极收集,其结果可能产生软错误的单粒子翻转效应与锁定效应。当收集的电荷超过电路状态临界电荷时,电路就会出现不期望的翻转和逻辑功能混乱。这种效应不会使逻辑电路损坏,还可以被重新写入另外一种状态,因此,常把这种效应叫做软错误。
2)单粒子锁定
在CMOS电路(固有P-N-P-N结构以及内部寄生晶体管)中,当高能带电粒子,尤其是重离子穿越芯片时,会在P阱衬底结中沉积大量电荷。这种瞬时电荷流动所形成的电流,在P阱电阻上产生压降,会使寄生NPN晶体管的基-射极正偏而导通,结果造成锁定事件。如果锁定时通过器件的电流过大,即可将器件烧毁。当出现锁定现象时,器件不会自动退出此状态,除非采取断电措施,然后重新启动方可恢复。
目前卫星应用的扩频应答机均采用大规模FPGA实现信号捕获、调制解调等功能,表1给出了某款FPGA在不同轨道上的单粒子翻转概率,对于需要常加电工作的系统来说,基于SRAM型的FPGA必需采取措施降低单粒子效应的影响。
表1某FPGA在不同轨道的翻转情况
轨道高度/km倾角/(°)翻转概率/(次/天)MTBFLEO40051.60.671.5dLEO80022.092.7hPolar83398.764hMEO120065.02558minGEO360000.00.472.1d
2 抗单粒子翻转设计
设计思路是从单机级、系统级两个层面解决单粒子事件的影响,逐级诊断逐级修复,如图1 所示。单机级设计解决设备内部软件参数受单粒子影响后参数错误导致的故障,系统级设计解决单机级未能覆盖的软件参数及单机级无法解决的单粒子事件引起的故障情况。
图1 扩频应答机抗单粒子翻转设计方法框图
2.1单机级抗单粒子翻转设计
1)重配置参数
重配置参数方法分为上电重配置和不断电情况下接收复位指令重新配置两种方式,此方法实现简单,通过重新配置可以使发生了单粒子翻转的FPGA恢复正常,但配置期间,扩频应答机的常规功能中断。
2)三模冗余(TMR)
三模冗余即所有功能采用三个模块重复实现,互为备份,三个结果送入三选二的表决逻辑,表决逻辑的输出取决于三个输入的多数。若有一个模块发生单粒子翻转故障,则另两个正常模块的输出可将故障模块的输出掩蔽,从而不会在表决器输出产生差错。此设计思想基于假设前提:任意两个模块不会在同一时间发生单粒子效应。TMR技术的优点在于可以容忍单粒子翻转和单粒子瞬时干扰引起的功能错误;其缺点是所需硬件资源多,功耗增大。
3)对配置信息进行实时刷新
对配置信息实时刷新是指在不判断配置信息是否翻转的情况下,不间断的对配置信息进行重写操作。与重新配置操作不同的是:在刷新期间,不会影响FPGA的工作,可以纠正翻转了的配置信息位。其缺点是不能纠正其它单粒子效应如SET、SEFI等;增加刷新电路(至少增加一片反熔丝FPGA)。
4)采用大容量抗辐照反熔丝FPGA
反熔丝FPGA的特点是所有设计是烧死的,不会发生单粒子翻转,但中间变量仍有单粒子翻转的可能。扩频应答机中频处理算法比较复杂,需要至少400万门反熔丝FPGA才能完成正常功能,目前对应的FPGA尚未普及,成本较高。
5)采用专用集成电路
目前国内开发的专用集成电路规模处于100万门左右。由于扩频应答机中频处理算法比较复杂,因此开发专用集成电路的周期很长,成本很高。
6)动态回读比对
该方法对FPGA的重要关键配置信息进行回读和比对,发现配置信息有错则进行重配置操作。其优点是可以确定配置信息发生单粒子翻转后,立即通过重配置可以使发生了单粒子翻转的FPGA恢复正常,缺点是发现配置信息出错进行重加载期间功能中断;增加此功能需增加回读部分电路(一般情况下需增加一片反熔丝FPGA)。
下面是本文对扩频应答机采用动态回读方法监测和修正单粒子效应的设计,设计方法是利用反熔丝FPGA芯片实时读取FPGA内部配置信息与其配置PROM中的配置信息进行比对,从而判断FPGA是否发生单粒子翻转的设计技术。反熔丝FPGA对单粒子翻转效应不敏感,但是其容量很小。当检测到FPGA芯片发生单粒子翻转时,回读重配置芯片控制FPGA芯片重新加载程序,从而消除单粒子翻转效应对设备工作状态的影响。该方法的优点是可靠度较高,软硬件资源要求相对三模冗余较低,但是它的最终结果是控制FPGA芯片重新加载程序。因此该方法主要是实现对FPGA受到单粒子效应的监测和纠正,并不能完全消除单粒子效应对设备工作状态的影响,需进一步通过系统级实现。
考虑到回读电路功能的可靠性,设计中考虑采取保留屏蔽回读刷新电路功能的指令,防止出现回读电路失效导致单机功能异常工作,原理框图如图2 所示。
图2 回读刷新重配置系统框图
系统各部分主要功能:
1)Virtex-4 FPGA:完成扩频应答机中频处理机主要功能;
2)Actel FPGA:完成接收RS422的控制命令,并进行解析,完成对Virtex-4 FPGA的配置、回读、刷新、重载,以及数据比对;
3)RS422:接收指令或数据,并反馈数据;
4)对外接口:接收复位指令。
5)CRC检错码是一种二元分组码,它用于检测码块中的传输差错。其检错能力为:①能检测出含有奇数个比特差错的所有错误序列;②能检出码块中随机分布的2个比特差错;③对码块中大于和等于4个比特的随机差错,其不能检出的概率约为2-15(或3×10-5);④能检出长度不大于CRC校验位长的单个突发差错。⑤本文对配置信息采取32位CRC校验,其多项式如下:x32+x28+x27+x26+x25+x23+x22+x20+x19+x18+x14+x13+x11+x10+x9+x8+x6+1。
2.2系统级抗单粒子翻转设计
由于单机级无法完全解决单粒子效应的影响,设计系统级抗单粒子效应的方法,通过测控分系统内部高可靠单机对扩频应答机进行实时监控,发生单机受单粒子效应影响无法自愈时,对扩频应答机进行故障修复工作,本文设计的系统级抗单粒子设计主要有两种:故障自诊断修复和定时复位。
1)故障自诊断修复技术
系统级故障自诊断修复技术的框图如图3所示。
图3 系统自主诊断及恢复框图
设计思路是利用扩频应答机给出的健康状态字对其进行实时监控,当发生故障时,且故障条件满足修复要求时对应答机进行修复工作,判断的流程如图4所示。
图4 系统自主诊断及恢复流程图
扩频应答机作为工作正常的状态给出一个健康状态字,测控分系统数据管理设备同时接收两台扩频应答机的健康字进行监控,健康字反应的是应答机主程序运行状态。当应答机主程序发生异常时,应答机的健康字会显示为不健康状态,此时应答机的上下行很可能已经失效。若单台应答机故障,可通过备份通道上行对故障应答机进行关机、开机操作进行复位;若两台应答机同时发生故障时,遥控终端自主启动处理方案,对两台应答机进行关机、开机操作。
具体判断处理的流程如下:扩频应答机串行数字量最高两位设置为健康判断位,扩频应答机工作正常时这两位为“11”和“00”每隔2s交替变化。如果扩频应答机A机和B机故障判断位同时不发生变化,遥控终端下位机软件则判断扩频应答机A机和B机同时发生故障,故障持续7200帧遥测帧(每帧0.5s,约3600s)后,下位机软件自主发送扩频应答机A断电间接指令(遥控终端的内部指令);经过600s±60s后,下位机软件自主发送扩频应答机B断电间接指令;经过10s±2s后,下位机软件自主发送扩频应答机A加电
间接指令;经过10s±2s后,下位机软件自主发送扩频应答机B加电间接指令。
在正常情况下,数据管理设备软件对扩频应答机自主判断功能是允许的,但是在发生扩频应答机A机和B机只是遥测故障判断位同时发生故障,而扩频应答机上行和下行都正常的故障时,可对数据管理设备软件发送“扩频应答机自主判断功能禁止间接指令”,将此功能禁止,相应遥测位显示禁止;在排除故障后,又可对下位机软件发送”扩频应答机自主判断功能允许间接指令”,将此功能恢复,相应遥测位显示允许。
2)定时复位设计
为了避免应答机关机后未能自主打开的情况,或当一台应答机处于关机状态,另一台应答机由于单粒子无法上行的情况下,设计利用测控作业表进行定时复位、开机的操作,作业表如表2所示。
表2测控作业表中定时复位设计
序号作业星上时间备注1扩频应答机A开机起始时间T0(作业表中的起始时间)2扩频应答机B开机起始时间T0+0.5s防止两台应答机均被关闭的故障3扩频应答机A复位起始时间T0+1s4扩频应答机B复位起始时间T0+1.5s对应答机实施定时复位操作5开扩频应答机A发射机起始时间T0+2.5s6开扩频应答机B发射机起始时间T0+3s出于电子对抗等需要,应答机在境外处于静默状态,入境后需要打开。7遥测下传持续工作T1遥测下传工作8扩频应答机A发射机关起始时间T0+T1+3.5s9扩频应答机B发射机关起始时间T0+T1+4s出境前进行关发射机操作,使应答机处于静默状态。
3 结束语
扩频应答机抗单粒子翻转技术能保障卫星测控分系统在轨正常稳定工作,解决了测控分系统扩频应答机在轨单粒子事件导致的故障问题,为卫星单粒子防护技术提供基础。对应用了此技术的某在轨卫星通过遥测观察发现,此项技术有效地完成了自主单粒子事件诊断与处理,保证了卫星正常安全地在轨工作。经统计,平均每月扩频应答机自主诊断单粒子事件并自主修正的有10次以上,在轨飞行至今未造成星地通信异常及地面干预的情况。因此,此项技术能为后续卫星抗单粒子效应的设计提供参考。■
[1]蔡自兴,徐光. 人工智能及其应用[M].3版.北京:清华大学出版社,2004.
[2]宋凝芳,朱明达,潘雄. SRAM 型FPGA 单粒子效应试验研究[J].宇航学报,2012,33(6): 836-842.
[3]邓明.FPGA抗单粒子翻转软硬件设计分析[J].通信对抗,2010,110(2):37-38.
[4]丁义刚.空间辐射环境单粒子效应研究[J].航天器环境工程,2007, 24(5): 283-290.
[5]王一奇,赵发展,刘梦新,等.基于RHBD技术的深亚微米抗辐SRAM电路的研究[J].半导体技术,2012,37(1):17-23.
[6]Earl F,Michael C,Anthony S,et al. Radiation testing update,SEU mitigation,and availability analysis of the Virtex FPGA for space reconfigurable computing[C]∥ IEEE Nuclear and Space Radiation Effects Conference,Reno,USA,2000.
[7]Dinh TN, Xuan Y, Thai MT,et al. On new approaches of assessing network vulnerability:hardness and approximation[J]. IEEE/ACM Trans. Netw,2012,20(2):609-619.
The anti-SEU technology of satellite-borne spread-spectrum transponder
Lu Rong1, You Yuehui1, Wu Tao2, Liu Renchen1
(1.Shanghai Institute of Satellite Engineering,Shanghai 201109,China; 2. Shanghai Aerospace Electronic Technology Research Institute,Shanghai 201109,China)
The satellite-borne spread-spectrum transponder against SEU effect is analyzed, and a method which uses FPGA under an anti-fuse technique is designed, namely A54SX32, with a function of read-back and realignment to monitor and handle FPGA. By means of that, the probability of functional faults caused by SEU effect on the satellite-borne spread-spectrum transponder will be considerably reduced. The spread-spectrum transponder, which is prone to SEU effect, will be monitored by highly reliable standalone unit in the system, and the fault will be diagnosed and fixed. In addition, a watchdog timer is designed to reset and start up the transponder, so as to ensure a smooth operation of the on-orbit satellite-borne spread-spectrum transponder.
spread-spectrum transponder;FPGA;SEU
2016-07-07;2016-07-20修回。
陆荣(1982-),男,工程师,主要研究方向为卫星通信。
TN967
A