沈奇 韦杰 纪丙华 王志国 崔培林

（上海航天电子技术研究所/八院智能计算技术重点实验室，上海，201109）

我国卫星系统工程已进入提速期，为按期实现卫星成功发射和部署，型号任务对于平台的管理控制核心的电子系统提出了高可靠、快速响应、快速研制的迫切需求。另一方面，随着卫星产业体系的升级，卫星研制周期越来越短，研制成本越来越低，特别是卫星电子产品的传统研制模式已很难适应卫星快速增长的需求[1]，目前对于这类能够快速响应、降低成本的小卫星的需求日益迫切。

电子系统集成了测控链路、管理控制、姿轨计算、驱动控制等功能，涵盖传统卫星平台的多个系统和关键部件的功能[2]，系统集成度高、信息路径复杂，因此亟待开展低成本、高可靠的电子系统体系架构的研究。此外，为了满足卫星平台综合电子低成本、高集成度等特性，大量选用了COTS器件构建硬件电子系统。为确保COTS器件在电子系统可靠运行，需进一步开展COTS器件选型、验证工作。

1 低成本高可靠集成电子系统架构设计

1.1 需求分析和软硬件指标分解

为达到互联网星电子系统一体化、软件化、智能化的设计目标。首先，需要依据卫星互联网平台对电子系统的需求进行梳理、分析，根据需求包络，完成体系架构的设计。其次，应以软硬件协同分层为核心定义[3]，将卫星互联网应用任务需求直接转化为对卫星软硬件的技术指标要求。一方面，配置电子系统配套模块，包括星务管理、姿轨计算机、测控应答以及扩展至导航接收机、机构控制模块等等；另一方面，直接对操作系统功能进行配置，包括轨道条件、任务规划、飞行程序、卫星工作模式、载荷程控作业，硬件接口电路参数以及其他设置。

1.2 一体化架构及统一信息流规范

在完成电子系统需求分析和软硬件协同设计研究的基础上[4]，划分电子系统信息、逻辑、网络、应用等抽象层级，借鉴国际先进的体系架构标准，结合互联网星座特点，设计适用于卫星互联网的一体化架构，明确各抽象层级之间的信息流规范。

在电子系统中，处理模块是整星的处理、运算、管理和控制中心，综合协同各模块的运转与信息传输[5]。需要配置星务管理、姿轨计算机、测控应答等配套模块，以实现完整的平台管理控制要求。可配制扩展模块兼容后续机构控制模块。

从整星层面对卫星信息流、控制流进行整体规划、集成设计，以实现电子系统资源配置、性能指标综合最优为目标，覆盖测控、数管、姿轨控、能源、热控、推进、机构驱动、功率驱动等功能。通过标准串口或总线控制其他模块并在系统内部的内总线上形成统一的规范标准。提出标准的外部总线定义，降低与重建接口相关的风险和成本，以使软件和硬件的重复使用更具有吸引力和经济可承受性。

1.3 系统标准功能模块划分

在体系架构设计实现的基础上，为达成工程应用目标，将信息分层业务体系映射到硬件分层和软件分层，对设计需求进行接口管理功能划分，梳理归纳为适用于卫星互联网的标准模块库。

标准功能模块是平台电子系统的重要基础和组成部分，也是实现高功能密度和多功能通用化应用的关键。通过需求分解和指标分配，从模块库中按需选取组装搭建，可以实现面向任务的电子系统的快速制造，如图1所示。

图1 系统标准功能模块划分

模块化、标准化是卫星互联网平台电子系统体系结构设计的重要原则。模块化根据卫星互联网任务要求，系统地进行高度集成设计并利用模块实现，整星的所有管理控制功能将向模块集中。

标准化即模块化的硬件和构件化的软件[6]。首先是模块化的硬件，即利用标准的硬件接口和硬件电路 （留有扩展的），构成具有一定功能的硬件模块。模块组装就类比于普通的PC机，通过将内存条、硬盘等外部模块接入到标准的计算机主板，即可迅速搭建一台计算机。由于硬件接口是标准、可扩展的，在需要变更计算机性能时，只需通过增减或改变外部模块即可。其次，实时嵌入式操作系统的应用推进了软件的构件化。在卫星互联网综合电子系统中，最重要而且必需的硬件模块是实现集中管控和信息融合的处理模块或CPU模块，而其他接入模块，如测控模块、数传模块等以底层驱动的形式，实现CPU对其的识别、配置等初始化操作，并在操作系统中通过管理软件，实现对各模块的管理控制。

2 系统架构多级冗余可靠性设计

项目使用较多商业成熟的COTS器件取代高等级航天器件来提升工作性能、降低研制成本[7]。而面对卫星互联网特殊空间环境要求，在满足功能性能指标要求的基础上，还应满足环境适应性和在轨可靠性的要求。COTS器件一般不采用抗辐照工艺，器件内部单元库也未采取加固设计，导致其通常没有抗辐照指标，抗总剂量、抗单粒子效应的能力很弱，如果不对其进行有针对性的应用层可靠性加固，就容易导致在轨单粒子翻转、闩锁等现象，从而引发数据运算错误、功能中断等故障，影响正常的在轨任务运行。为了进一步提高整机的可靠性，应从器件级、模块级、系统级等可靠性冗余设计等方面考虑[8]。

2.1 器件级可靠性设计

针对核心的处理器模块采用三模冗余[9]的设计方式。在同一时钟源下实现三机同步运行，三机同时接收外部数据和输出运算结果，由表决器进行输出硬件三取二判断。默认情况下，由A机当班输出，若单个处理器发生不可恢复故障时，在地面遥控指令或星上自主切机指令的控制下可实现切换至备机工作模式。

器件级可靠性设计通过对其内部结构进行分析，找出抗辐薄弱环节，设计合适的可靠性设计措施。比如，针对处理器的Cache单元对单粒子事件较为敏感、易翻转问题，可以从Cache重载刷新方面进行加固。由于处理器Cache可配置成写通模式 （write through），保证每次写入Cache的数据会同时写入主存储器，从而可以确保Cache和主存储器之间的数据一致性。通过软件的指令控制，使得Cache定期从主存储器中重新载入相应数据，完成对Cache数据的刷新，修复由于单粒子翻转引起的Cache数据错误。

2.2 模块级可靠性设计

如图1所示，仅在测控应答、高性能处理等核心模块进行双机备份，并且设计自主的故障检测逻辑，在一机发生故障时，可以自主切换到备机进行工作，并且同时对主机进行状态检查和维护。模块级可靠性设计充分利用各种校验纠错和冗余手段，加强器件间数据传输的可靠性，实现对故障的隔离和恢复。例如对易发生单粒子效应的FPGA和RAM 器件[10]，使用 Error Correction Code（ECC）的校验纠错技术，主要是对内总线进行数据校验纠错。由于处理器体系结构下模块的所有辐射敏感器件，如SRAM、FPGA的数据都会通过60×内总线与CPU交互，所以利用ECC校验技术可以有效降低器件间错误数据的传递，尤其是将错误数据传递给作为关键控制器件的CPU的可能性。

另外处理器的单粒子翻转会引发重要数据的错误，针对这个问题在模块层面进行了多级校验纠错进行防护，保证数据错误不在整机/系统数据链路上传递，实现数据层面的故障隔离。

2.3 系统级可靠性设计

系统级可靠性设计从时序裕量、看门狗技术、故障识别与自主管理等方面[11]进行加固，提高整机的抗辐射性能指标。此外系统级可靠性设计方法可以通过故障维护与自主管理软件（FDIR）[12]完成。在正常情况下，系统任务以较高的优先级运行，处理星上各种数据处理和控制功能，FDIR任务则以最低的优先级运行，接收系统任务的信息，并对信息进行判断、处理，以做出相应的调整，保障系统的正常运行。

3 COTS器件高可靠工程应用设计技术

3.1 选用与应用原则

与宇航级器件相比，COTS器件在出厂时没有进行严格的筛选试验[13]，导致卫星研制过程中可能采购到固有失效率较高的COTS器件。为保证工程实用性，需要针对COTS器件制定优选目录和选用规范，对低成本高可靠电子系统进行统型设计，减少COTS器件的种类，加强COTS器件的控制力度，保证器件的可用性和可靠性。

3.2 可靠性保证方案

考虑到互联网星座短期内批量发射的特点，对选用的COTS器件逐一进行元器件级筛选将耗费大量时间，很难满足研制周期的要求，且大量筛选试验也会增加成本，这样就降低了选用COTS器件的意义。跳过元器件级验证，直接进行板级验证试验可以有效地减少可靠性试验次数，降低项目研制周期。试验流程如图2所示。

图2 板级验证试验流程

根据冗余设计思路，冗余制造由COTS器件组成的半成品模块，在板级进行加严考核试验，剔除器件、装联工艺等早期失效；同时，由于选用的COTS元器件大多无抗辐照指标，针对总剂量和单粒子事件，用低等级元器件板级加严筛选及抗辐照加固措施。

4 系统优势

综合电子系统采用对称式拓扑形式[14-15]，同时控制层还支持双冗余的交叉管理。因此，无论是面向10kg及以下采用单机设计、还是面向100kg级采用双冗余工作模式，均可以灵活配置实现。此外，系统还预留了扩展模块接口，方便功能扩展。总之，具备显著的通用化、可扩展特点。

制定针对COTS器件优选目录和选用规范，对低成本高可靠电子系统进行统型设计，减少COTS器件的种类，加强COTS器件的控制力度，可有力保证器件的可用性和可靠性。

搭配高性能国产处理器模块，提升系统的运算处理能力。同时，支持更高数据速率和拓扑灵活配置，灵活可配置的模块化开放式系统方法架构，允许用户自定义。

在可靠性方面，通过提供对全单点故障容错的支持和高可靠配置，信息流和能源流的双冗余，支持分布式冗余和网络拓扑系统容错能力。在协同性方面，兼容已有标准定义的接口规范。

通过研究低成本、高可靠计算机系统体系架构，设计基于COTS器件的星载计算机，并采取系统级、模块级、器件级的多级可靠性冗余设计及验证技术，实现低成本、高可靠、长寿命的产品研制，满足型号长期在轨任务要求。