衛星擴頻應答機抗單粒子翻轉技術研究

陸　榮，游月輝，吳　濤，劉任宸

(1.上海衛星工程研究所, 上海 201109; 2.上海航天電子技術研究所, 上海 201109)

?

衛星擴頻應答機抗單粒子翻轉技術研究

陸榮1，游月輝1，吳濤2，劉任宸1

(1.上海衛星工程研究所, 上海 201109; 2.上海航天電子技術研究所, 上海 201109)

對衛星擴頻應答機抗單粒子效應的方法進行分析，設計了采用反熔斷絲工藝的FPGA(A54SX32)，通過回讀比對功能對FPGA進行監控和處理。此方法大大降低了單粒子效應造成衛星擴頻應答機發生功能性故障的可能性，并在系統中通過內部高可靠單機對易發生單粒子效應的擴頻應答機進行監控，診斷出故障后進行修復，同時設計定時復位對應答機進行復位、開機操作，確保衛星在軌擴頻應答機的正常穩定工作。

擴頻應答機；FPGA；單粒子翻轉

0　引言

隨著航天技術的發展，對星載信號處理能力的要求越來越高，體積小、功耗低的微電子器件在航天工程中得到廣泛應用，FPGA也越來越多地應用到航天領域，成為星載信號處理和控制的關鍵部件。由于衛星使用的宇航級大規模FPGA都是基于SRAM型的，屬于單粒子敏感器件，因此銀河宇宙線、太陽宇宙線、地球輻射帶中的高能帶電粒子，特別是其中的重離子造成的單粒子事件成為航天飛行的重要隱患，抗單粒子效應的研究非常重要且迫切。

本文首先分析了單粒子效應的影響，分析了其對衛星擴頻應答機造成的危害，并針對單粒子效應提出了單機級、系統級的防護設計方法。最后對設計的方法在軌達到的效果進行分析說明，為后續衛星抗單粒子效應設計提供參考依據。

1　單粒子效應影響

單粒子效應是指單個的高能質子或重離子轟擊微電子器件，引起該器件狀態改變，致使航天器發生異?；蚬收系氖录?，主要包括兩個方面：單粒子鎖定(SEL)及單粒子翻轉(SEU)。

1)單粒子翻轉

當空間高能帶電粒子入射航天器或與航天器艙壁發生相互作用產生的重離子通過微電子器件時，在粒子通過的路徑上發生電離，沉積在器件中的電荷部分被電極收集，其結果可能產生軟錯誤的單粒子翻轉效應與鎖定效應。當收集的電荷超過電路狀態臨界電荷時，電路就會出現不期望的翻轉和邏輯功能混亂。這種效應不會使邏輯電路損壞，還可以被重新寫入另外一種狀態，因此，常把這種效應叫做軟錯誤。

2)單粒子鎖定

在CMOS電路(固有P-N-P-N結構以及內部寄生晶體管)中，當高能帶電粒子，尤其是重離子穿越芯片時，會在P阱襯底結中沉積大量電荷。這種瞬時電荷流動所形成的電流，在P阱電阻上產生壓降，會使寄生NPN晶體管的基-射極正偏而導通，結果造成鎖定事件。如果鎖定時通過器件的電流過大，即可將器件燒毀。當出現鎖定現象時，器件不會自動退出此狀態，除非采取斷電措施，然后重新啟動方可恢復。

目前衛星應用的擴頻應答機均采用大規模FPGA實現信號捕獲、調制解調等功能，表1給出了某款FPGA在不同軌道上的單粒子翻轉概率，對于需要常加電工作的系統來說，基于SRAM型的FPGA必需采取措施降低單粒子效應的影響。

表1某FPGA在不同軌道的翻轉情況

軌道高度/km傾角/(°)翻轉概率/(次/天)MTBFLEO40051.60.671.5dLEO80022.092.7hPolar83398.764hMEO120065.02558minGEO360000.00.472.1d

2　抗單粒子翻轉設計

設計思路是從單機級、系統級兩個層面解決單粒子事件的影響，逐級診斷逐級修復，如圖1 所示。單機級設計解決設備內部軟件參數受單粒子影響后參數錯誤導致的故障，系統級設計解決單機級未能覆蓋的軟件參數及單機級無法解決的單粒子事件引起的故障情況。

圖1　擴頻應答機抗單粒子翻轉設計方法框圖

2.1單機級抗單粒子翻轉設計

1)重配置參數

重配置參數方法分為上電重配置和不斷電情況下接收復位指令重新配置兩種方式，此方法實現簡單，通過重新配置可以使發生了單粒子翻轉的FPGA恢復正常，但配置期間，擴頻應答機的常規功能中斷。

2)三模冗余(TMR)

三模冗余即所有功能采用三個模塊重復實現，互為備份，三個結果送入三選二的表決邏輯，表決邏輯的輸出取決于三個輸入的多數。若有一個模塊發生單粒子翻轉故障，則另兩個正常模塊的輸出可將故障模塊的輸出掩蔽，從而不會在表決器輸出產生差錯。此設計思想基于假設前提：任意兩個模塊不會在同一時間發生單粒子效應。TMR技術的優點在于可以容忍單粒子翻轉和單粒子瞬時干擾引起的功能錯誤；其缺點是所需硬件資源多，功耗增大。

3)對配置信息進行實時刷新

對配置信息實時刷新是指在不判斷配置信息是否翻轉的情況下，不間斷的對配置信息進行重寫操作。與重新配置操作不同的是：在刷新期間，不會影響FPGA的工作，可以糾正翻轉了的配置信息位。其缺點是不能糾正其它單粒子效應如SET、SEFI等；增加刷新電路(至少增加一片反熔絲FPGA)。

4)采用大容量抗輻照反熔絲FPGA

反熔絲FPGA的特點是所有設計是燒死的，不會發生單粒子翻轉，但中間變量仍有單粒子翻轉的可能。擴頻應答機中頻處理算法比較復雜，需要至少400萬門反熔絲FPGA才能完成正常功能，目前對應的FPGA尚未普及，成本較高。

5)采用專用集成電路

目前國內開發的專用集成電路規模處于100萬門左右。由于擴頻應答機中頻處理算法比較復雜，因此開發專用集成電路的周期很長，成本很高。

6)動態回讀比對

該方法對FPGA的重要關鍵配置信息進行回讀和比對，發現配置信息有錯則進行重配置操作。其優點是可以確定配置信息發生單粒子翻轉后，立即通過重配置可以使發生了單粒子翻轉的FPGA恢復正常，缺點是發現配置信息出錯進行重加載期間功能中斷；增加此功能需增加回讀部分電路(一般情況下需增加一片反熔絲FPGA)。

下面是本文對擴頻應答機采用動態回讀方法監測和修正單粒子效應的設計，設計方法是利用反熔絲FPGA芯片實時讀取FPGA內部配置信息與其配置PROM中的配置信息進行比對，從而判斷FPGA是否發生單粒子翻轉的設計技術。反熔絲FPGA對單粒子翻轉效應不敏感，但是其容量很小。當檢測到FPGA芯片發生單粒子翻轉時，回讀重配置芯片控制FPGA芯片重新加載程序，從而消除單粒子翻轉效應對設備工作狀態的影響。該方法的優點是可靠度較高，軟硬件資源要求相對三模冗余較低，但是它的最終結果是控制FPGA芯片重新加載程序。因此該方法主要是實現對FPGA受到單粒子效應的監測和糾正，并不能完全消除單粒子效應對設備工作狀態的影響，需進一步通過系統級實現。

考慮到回讀電路功能的可靠性，設計中考慮采取保留屏蔽回讀刷新電路功能的指令，防止出現回讀電路失效導致單機功能異常工作，原理框圖如圖2 所示。

圖2　回讀刷新重配置系統框圖

系統各部分主要功能：

1)Virtex-4 FPGA：完成擴頻應答機中頻處理機主要功能；

2)Actel FPGA：完成接收RS422的控制命令，并進行解析，完成對Virtex-4 FPGA的配置、回讀、刷新、重載，以及數據比對；

3)RS422：接收指令或數據，并反饋數據；

4)對外接口：接收復位指令。

5)CRC檢錯碼是一種二元分組碼，它用于檢測碼塊中的傳輸差錯。其檢錯能力為：①能檢測出含有奇數個比特差錯的所有錯誤序列；②能檢出碼塊中隨機分布的2個比特差錯；③對碼塊中大于和等于4個比特的隨機差錯，其不能檢出的概率約為2-15(或3×10-5)；④能檢出長度不大于CRC校驗位長的單個突發差錯。⑤本文對配置信息采取32位CRC校驗，其多項式如下：x32+x28+x27+x26+x25+x23+x22+x20+x19+x18+x14+x13+x11+x10+x9+x8+x6+1。

2.2系統級抗單粒子翻轉設計

由于單機級無法完全解決單粒子效應的影響，設計系統級抗單粒子效應的方法，通過測控分系統內部高可靠單機對擴頻應答機進行實時監控，發生單機受單粒子效應影響無法自愈時，對擴頻應答機進行故障修復工作，本文設計的系統級抗單粒子設計主要有兩種：故障自診斷修復和定時復位。

1)故障自診斷修復技術

系統級故障自診斷修復技術的框圖如圖3所示。

圖3　系統自主診斷及恢復框圖

設計思路是利用擴頻應答機給出的健康狀態字對其進行實時監控，當發生故障時，且故障條件滿足修復要求時對應答機進行修復工作，判斷的流程如圖4所示。

圖4　系統自主診斷及恢復流程圖

擴頻應答機作為工作正常的狀態給出一個健康狀態字，測控分系統數據管理設備同時接收兩臺擴頻應答機的健康字進行監控，健康字反應的是應答機主程序運行狀態。當應答機主程序發生異常時，應答機的健康字會顯示為不健康狀態，此時應答機的上下行很可能已經失效。若單臺應答機故障，可通過備份通道上行對故障應答機進行關機、開機操作進行復位；若兩臺應答機同時發生故障時，遙控終端自主啟動處理方案，對兩臺應答機進行關機、開機操作。

具體判斷處理的流程如下：擴頻應答機串行數字量最高兩位設置為健康判斷位，擴頻應答機工作正常時這兩位為“11”和“00”每隔2s交替變化。如果擴頻應答機A機和B機故障判斷位同時不發生變化，遙控終端下位機軟件則判斷擴頻應答機A機和B機同時發生故障，故障持續7200幀遙測幀(每幀0.5s，約3600s)后，下位機軟件自主發送擴頻應答機A斷電間接指令(遙控終端的內部指令)；經過600s±60s后，下位機軟件自主發送擴頻應答機B斷電間接指令；經過10s±2s后，下位機軟件自主發送擴頻應答機A加電

間接指令；經過10s±2s后，下位機軟件自主發送擴頻應答機B加電間接指令。

在正常情況下，數據管理設備軟件對擴頻應答機自主判斷功能是允許的，但是在發生擴頻應答機A機和B機只是遙測故障判斷位同時發生故障，而擴頻應答機上行和下行都正常的故障時，可對數據管理設備軟件發送“擴頻應答機自主判斷功能禁止間接指令”，將此功能禁止，相應遙測位顯示禁止；在排除故障后，又可對下位機軟件發送”擴頻應答機自主判斷功能允許間接指令”，將此功能恢復，相應遙測位顯示允許。

2)定時復位設計

為了避免應答機關機后未能自主打開的情況，或當一臺應答機處于關機狀態，另一臺應答機由于單粒子無法上行的情況下，設計利用測控作業表進行定時復位、開機的操作，作業表如表2所示。

表2測控作業表中定時復位設計

序號作業星上時間備注1擴頻應答機A開機起始時間T0(作業表中的起始時間)2擴頻應答機B開機起始時間T0+0.5s防止兩臺應答機均被關閉的故障3擴頻應答機A復位起始時間T0+1s4擴頻應答機B復位起始時間T0+1.5s對應答機實施定時復位操作5開擴頻應答機A發射機起始時間T0+2.5s6開擴頻應答機B發射機起始時間T0+3s出于電子對抗等需要,應答機在境外處于靜默狀態,入境后需要打開。7遙測下傳持續工作T1遙測下傳工作8擴頻應答機A發射機關起始時間T0+T1+3.5s9擴頻應答機B發射機關起始時間T0+T1+4s出境前進行關發射機操作,使應答機處于靜默狀態。

3　結束語

擴頻應答機抗單粒子翻轉技術能保障衛星測控分系統在軌正常穩定工作，解決了測控分系統擴頻應答機在軌單粒子事件導致的故障問題，為衛星單粒子防護技術提供基礎。對應用了此技術的某在軌衛星通過遙測觀察發現，此項技術有效地完成了自主單粒子事件診斷與處理，保證了衛星正常安全地在軌工作。經統計，平均每月擴頻應答機自主診斷單粒子事件并自主修正的有10次以上，在軌飛行至今未造成星地通信異常及地面干預的情況。因此，此項技術能為后續衛星抗單粒子效應的設計提供參考。■

[1]蔡自興，徐光. 人工智能及其應用[M].3版.北京:清華大學出版社，2004.

[2]宋凝芳，朱明達，潘雄. SRAM 型FPGA 單粒子效應試驗研究[J].宇航學報，2012，33(6): 836-842.

[3]鄧明.FPGA抗單粒子翻轉軟硬件設計分析[J].通信對抗，2010，110(2)：37-38.

[4]丁義剛.空間輻射環境單粒子效應研究[J].航天器環境工程，2007， 24(5): 283-290.

[5]王一奇，趙發展，劉夢新，等．基于RHBD技術的深亞微米抗輻SRAM電路的研究[J]．半導體技術，2012,37(1):17-23.

[6]Earl F，Michael C，Anthony S，et al. Radiation testing update，SEU mitigation，and availability analysis of the Virtex FPGA for space reconfigurable computing[C]∥ IEEE Nuclear and Space Radiation Effects Conference，Reno，USA，2000.

[7]Dinh TN， Xuan Y， Thai MT，et al. On new approaches of assessing network vulnerability：hardness and approximation[J]. IEEE/ACM Trans. Netw，2012,20(2)：609-619.

The anti-SEU technology of satellite-borne spread-spectrum transponder

Lu Rong1, You Yuehui1, Wu Tao2, Liu Renchen1

(1.Shanghai Institute of Satellite Engineering,Shanghai 201109,China; 2. Shanghai Aerospace Electronic Technology Research Institute,Shanghai 201109,China)

The satellite-borne spread-spectrum transponder against SEU effect is analyzed, and a method which uses FPGA under an anti-fuse technique is designed, namely A54SX32, with a function of read-back and realignment to monitor and handle FPGA. By means of that, the probability of functional faults caused by SEU effect on the satellite-borne spread-spectrum transponder will be considerably reduced. The spread-spectrum transponder, which is prone to SEU effect, will be monitored by highly reliable standalone unit in the system, and the fault will be diagnosed and fixed. In addition, a watchdog timer is designed to reset and start up the transponder, so as to ensure a smooth operation of the on-orbit satellite-borne spread-spectrum transponder.

spread-spectrum transponder;FPGA;SEU

2016-07-07；2016-07-20修回。

陸榮(1982-)，男，工程師，主要研究方向為衛星通信。

TN967

A