低成本高可靠綜合電子系統集成技術*

沈奇 韋杰 紀丙華 王志國 崔培林

（上海航天電子技術研究所/八院智能計算技術重點實驗室，上海，201109）

我國衛星系統工程已進入提速期，為按期實現衛星成功發射和部署，型號任務對于平臺的管理控制核心的電子系統提出了高可靠、快速響應、快速研制的迫切需求。另一方面，隨著衛星產業體系的升級，衛星研制周期越來越短，研制成本越來越低，特別是衛星電子產品的傳統研制模式已很難適應衛星快速增長的需求[1]，目前對于這類能夠快速響應、降低成本的小衛星的需求日益迫切。

電子系統集成了測控鏈路、管理控制、姿軌計算、驅動控制等功能，涵蓋傳統衛星平臺的多個系統和關鍵部件的功能[2]，系統集成度高、信息路徑復雜，因此亟待開展低成本、高可靠的電子系統體系架構的研究。此外，為了滿足衛星平臺綜合電子低成本、高集成度等特性，大量選用了COTS器件構建硬件電子系統。為確保COTS器件在電子系統可靠運行，需進一步開展COTS器件選型、驗證工作。

1 低成本高可靠集成電子系統架構設計

1.1 需求分析和軟硬件指標分解

為達到互聯網星電子系統一體化、軟件化、智能化的設計目標。首先，需要依據衛星互聯網平臺對電子系統的需求進行梳理、分析，根據需求包絡，完成體系架構的設計。其次，應以軟硬件協同分層為核心定義[3]，將衛星互聯網應用任務需求直接轉化為對衛星軟硬件的技術指標要求。一方面，配置電子系統配套模塊，包括星務管理、姿軌計算機、測控應答以及擴展至導航接收機、機構控制模塊等等；另一方面，直接對操作系統功能進行配置，包括軌道條件、任務規劃、飛行程序、衛星工作模式、載荷程控作業，硬件接口電路參數以及其他設置。

1.2 一體化架構及統一信息流規范

在完成電子系統需求分析和軟硬件協同設計研究的基礎上[4]，劃分電子系統信息、邏輯、網絡、應用等抽象層級，借鑒國際先進的體系架構標準，結合互聯網星座特點，設計適用于衛星互聯網的一體化架構，明確各抽象層級之間的信息流規范。

在電子系統中，處理模塊是整星的處理、運算、管理和控制中心，綜合協同各模塊的運轉與信息傳輸[5]。需要配置星務管理、姿軌計算機、測控應答等配套模塊，以實現完整的平臺管理控制要求。可配制擴展模塊兼容后續機構控制模塊。

從整星層面對衛星信息流、控制流進行整體規劃、集成設計，以實現電子系統資源配置、性能指標綜合最優為目標，覆蓋測控、數管、姿軌控、能源、熱控、推進、機構驅動、功率驅動等功能。通過標準串口或總線控制其他模塊并在系統內部的內總線上形成統一的規范標準。提出標準的外部總線定義，降低與重建接口相關的風險和成本，以使軟件和硬件的重復使用更具有吸引力和經濟可承受性。

1.3 系統標準功能模塊劃分

在體系架構設計實現的基礎上，為達成工程應用目標，將信息分層業務體系映射到硬件分層和軟件分層，對設計需求進行接口管理功能劃分，梳理歸納為適用于衛星互聯網的標準模塊庫。

標準功能模塊是平臺電子系統的重要基礎和組成部分，也是實現高功能密度和多功能通用化應用的關鍵。通過需求分解和指標分配，從模塊庫中按需選取組裝搭建，可以實現面向任務的電子系統的快速制造，如圖1所示。

圖1 系統標準功能模塊劃分

模塊化、標準化是衛星互聯網平臺電子系統體系結構設計的重要原則。模塊化根據衛星互聯網任務要求，系統地進行高度集成設計并利用模塊實現，整星的所有管理控制功能將向模塊集中。

標準化即模塊化的硬件和構件化的軟件[6]。首先是模塊化的硬件，即利用標準的硬件接口和硬件電路 （留有擴展的），構成具有一定功能的硬件模塊。模塊組裝就類比于普通的PC機，通過將內存條、硬盤等外部模塊接入到標準的計算機主板，即可迅速搭建一臺計算機。由于硬件接口是標準、可擴展的，在需要變更計算機性能時，只需通過增減或改變外部模塊即可。其次，實時嵌入式操作系統的應用推進了軟件的構件化。在衛星互聯網綜合電子系統中，最重要而且必需的硬件模塊是實現集中管控和信息融合的處理模塊或CPU模塊，而其他接入模塊，如測控模塊、數傳模塊等以底層驅動的形式，實現CPU對其的識別、配置等初始化操作，并在操作系統中通過管理軟件，實現對各模塊的管理控制。

2 系統架構多級冗余可靠性設計

項目使用較多商業成熟的COTS器件取代高等級航天器件來提升工作性能、降低研制成本[7]。而面對衛星互聯網特殊空間環境要求，在滿足功能性能指標要求的基礎上，還應滿足環境適應性和在軌可靠性的要求。COTS器件一般不采用抗輻照工藝，器件內部單元庫也未采取加固設計，導致其通常沒有抗輻照指標，抗總劑量、抗單粒子效應的能力很弱，如果不對其進行有針對性的應用層可靠性加固，就容易導致在軌單粒子翻轉、閂鎖等現象，從而引發數據運算錯誤、功能中斷等故障，影響正常的在軌任務運行。為了進一步提高整機的可靠性，應從器件級、模塊級、系統級等可靠性冗余設計等方面考慮[8]。

2.1 器件級可靠性設計

針對核心的處理器模塊采用三模冗余[9]的設計方式。在同一時鐘源下實現三機同步運行，三機同時接收外部數據和輸出運算結果，由表決器進行輸出硬件三取二判斷。默認情況下，由A機當班輸出，若單個處理器發生不可恢復故障時，在地面遙控指令或星上自主切機指令的控制下可實現切換至備機工作模式。

器件級可靠性設計通過對其內部結構進行分析，找出抗輻薄弱環節，設計合適的可靠性設計措施。比如，針對處理器的Cache單元對單粒子事件較為敏感、易翻轉問題，可以從Cache重載刷新方面進行加固。由于處理器Cache可配置成寫通模式 （write through），保證每次寫入Cache的數據會同時寫入主存儲器，從而可以確保Cache和主存儲器之間的數據一致性。通過軟件的指令控制，使得Cache定期從主存儲器中重新載入相應數據，完成對Cache數據的刷新，修復由于單粒子翻轉引起的Cache數據錯誤。

2.2 模塊級可靠性設計

如圖1所示，僅在測控應答、高性能處理等核心模塊進行雙機備份，并且設計自主的故障檢測邏輯，在一機發生故障時，可以自主切換到備機進行工作，并且同時對主機進行狀態檢查和維護。模塊級可靠性設計充分利用各種校驗糾錯和冗余手段，加強器件間數據傳輸的可靠性，實現對故障的隔離和恢復。例如對易發生單粒子效應的FPGA和RAM 器件[10]，使用 Error Correction Code（ECC）的校驗糾錯技術，主要是對內總線進行數據校驗糾錯。由于處理器體系結構下模塊的所有輻射敏感器件，如SRAM、FPGA的數據都會通過60×內總線與CPU交互，所以利用ECC校驗技術可以有效降低器件間錯誤數據的傳遞，尤其是將錯誤數據傳遞給作為關鍵控制器件的CPU的可能性。

另外處理器的單粒子翻轉會引發重要數據的錯誤，針對這個問題在模塊層面進行了多級校驗糾錯進行防護，保證數據錯誤不在整機/系統數據鏈路上傳遞，實現數據層面的故障隔離。

2.3 系統級可靠性設計

系統級可靠性設計從時序裕量、看門狗技術、故障識別與自主管理等方面[11]進行加固，提高整機的抗輻射性能指標。此外系統級可靠性設計方法可以通過故障維護與自主管理軟件（FDIR）[12]完成。在正常情況下，系統任務以較高的優先級運行，處理星上各種數據處理和控制功能，FDIR任務則以最低的優先級運行，接收系統任務的信息，并對信息進行判斷、處理，以做出相應的調整，保障系統的正常運行。

3 COTS器件高可靠工程應用設計技術

3.1 選用與應用原則

與宇航級器件相比，COTS器件在出廠時沒有進行嚴格的篩選試驗[13]，導致衛星研制過程中可能采購到固有失效率較高的COTS器件。為保證工程實用性，需要針對COTS器件制定優選目錄和選用規范，對低成本高可靠電子系統進行統型設計，減少COTS器件的種類，加強COTS器件的控制力度，保證器件的可用性和可靠性。

3.2 可靠性保證方案

考慮到互聯網星座短期內批量發射的特點，對選用的COTS器件逐一進行元器件級篩選將耗費大量時間，很難滿足研制周期的要求，且大量篩選試驗也會增加成本，這樣就降低了選用COTS器件的意義。跳過元器件級驗證，直接進行板級驗證試驗可以有效地減少可靠性試驗次數，降低項目研制周期。試驗流程如圖2所示。

圖2 板級驗證試驗流程

根據冗余設計思路，冗余制造由COTS器件組成的半成品模塊，在板級進行加嚴考核試驗，剔除器件、裝聯工藝等早期失效；同時，由于選用的COTS元器件大多無抗輻照指標，針對總劑量和單粒子事件，用低等級元器件板級加嚴篩選及抗輻照加固措施。

4 系統優勢

綜合電子系統采用對稱式拓撲形式[14-15]，同時控制層還支持雙冗余的交叉管理。因此，無論是面向10kg及以下采用單機設計、還是面向100kg級采用雙冗余工作模式，均可以靈活配置實現。此外，系統還預留了擴展模塊接口，方便功能擴展。總之，具備顯著的通用化、可擴展特點。

制定針對COTS器件優選目錄和選用規范，對低成本高可靠電子系統進行統型設計，減少COTS器件的種類，加強COTS器件的控制力度，可有力保證器件的可用性和可靠性。

搭配高性能國產處理器模塊，提升系統的運算處理能力。同時，支持更高數據速率和拓撲靈活配置，靈活可配置的模塊化開放式系統方法架構，允許用戶自定義。

在可靠性方面，通過提供對全單點故障容錯的支持和高可靠配置，信息流和能源流的雙冗余，支持分布式冗余和網絡拓撲系統容錯能力。在協同性方面，兼容已有標準定義的接口規范。

通過研究低成本、高可靠計算機系統體系架構，設計基于COTS器件的星載計算機，并采取系統級、模塊級、器件級的多級可靠性冗余設計及驗證技術，實現低成本、高可靠、長壽命的產品研制，滿足型號長期在軌任務要求。