應用國產芯片的星載高可靠綜合電子系統設計

安衛鈺 韓笑冬 王超 王睿

(中國空間技術研究院通信與導航衛星總體部，北京 100094)

隨著電子技術的進步和芯片集成化技術的發展，電子設備呈現出小型化和集約化的發展趨勢。為了解決傳統衛星系統間接口關系復雜、通用能力弱的問題，世界各國的航天機構開始將綜合電子技術引入到衛星的設計與開發中，提出了星載綜合電子系統。利用標準接口及協議規范將衛星電子設備互連，打造一個內部信息共享和綜合利用、功能集成、資源重組優化的星載電子系統，完成遙測遙控、時間管理、熱控管理、能源管理、任務規劃、軟件維護等功能。為了實現整星的管理和任務規劃，需要高性能處理器和靈活的軟件設計[1-3]。由于國外高性能宇航級處理器的管制，采用國產高性能抗輻照處理器成為國內星載綜合電子系統的發展趨勢[4]。國產處理器經過多年的發展，已經取得了較大的進展，部分器件已經實現在軌應用，工作性能穩定[5]，基于系統級封裝芯片(System In Package，SIP)和片上系統(System on Chip，SoC)的高性能處理器也開始試驗驗證工作。

本文提出了一種應用國產芯片的星載高可靠綜合電子系統，用于高軌長壽命衛星。高軌長壽命衛星綜合電子系統設計的關鍵特征是系統具有高可靠性，可以滿足在較強空間輻射環境下10年以上的在軌工作需求。主要通過兩個方面提高系統的可靠性[6-7]，一是系統集成，二是容錯設計。采用國產高性能處理器和可編程邏輯器件，對傳統硬件電路進行集成，減少元器件種類和數據傳輸中間環節，針對國產高性能處理器高軌使用經歷少的特點，通過故障容錯設計實現系統的在軌自主檢測和故障恢復，提高系統的故障檢測率和高可重構性。

1 綜合電子架構設計

1.1 系統架構

綜合電子系統是衛星的信息處理和分發中心，實現地面遙控指令的解析和分發、遙測數據的組幀和下傳，對能源、熱控、姿軌控、載荷管理等任務進行管理和控制。相對傳統綜合電子由型號任務定制、通用性不強、故障容錯能力弱的問題，綜合電子系統將多臺設備集成為一臺一體化計算機，為了提高運算能力和功能密度，處理模塊采用高性能的CPU和FPGA，由CPU進行信息計算和處理功能，FPGA實現大規模對外接口時序功能，通過軟件實現系統的功能定義；對外接口采用模塊化設計，將遙測、遙控、加熱器配電、火工品管理等功能封裝在標準化的模塊中，可較好地實現功能裁減與擴充。處理模塊與外設接口模塊之間通過標準總線連接，制定標準的接口通信協議，實現接口模塊的定制化，方便外設的接入與刪除。

本系統為長壽命高可靠衛星設計，設計壽命不低于10年，綜合電子系統的設計架構如圖1所示，主要由CPU最小系統、FPGA、外設接口和容錯模塊組成。為了提高系統的魯棒性，減輕衛星在軌工作期間地面站的控制需求，通過雙模冗余電路進行故障容錯設計，設置監視電路對系統的核心芯片和關鍵電路進行狀態監視，在軌發生故障后，自主切換到備份進行工作。

圖1 綜合電子系統設計架構圖Fig.1 Avionics system architecture

1.2 國產處理器分析與選型

綜合電子系統對CPU和FPGA的性能提出了更高的要求，目前可獲得的進口抗輻照CPU主頻最高為20～40 MHz，FPGA容量小于50萬門，已不能滿足系統運算和處理要求，且為實現綜合電子系統的自主可控，采用了國產高性能CPU和FPGA芯片。

國產星載抗輻照處理器經過多年的發展，不同廠商基于不同架構已成功研發了多種高性能處理器芯片，包括LS1E300、LSCCU01、BM3803、BM3823等，大多數芯片抗輻照指標較高且具有錯誤檢測與糾正(EDAC)功能。對多種處理器進行了調研和分析，其主要性能對照見表1。

表1 國產處理器性能對照表Table 1 Performance comparison of domestic processor

綜合考慮各款處理器的處理能力、抗輻照指標和使用成熟度，本系統采用BM3823芯片，CPU最小系統由BM3823、PROM、SRAM、NOR FLASH及外圍芯片組成。

綜合電子系統為衛星的關鍵系統，從可靠性和穩定性考慮，常規設計一般采用反熔絲型FPGA，而載荷等業務系統常用SRAM型FPGA。相對于反熔絲芯片，SRAM型FPGA具有邏輯門數多、功耗體積小等優點，但是抗單粒子翻轉的能力較低。本系統由于對多臺常規產品的邏輯電路進行了整合，對FPGA的資源需求較大，邏輯門數需求在150萬門以上，調研國內反熔絲FPGA芯片，尚無滿足要求的國產芯片?？紤]到關鍵參數的三模冗余，國內300萬門左右的抗輻照SRAM型FPGA中，較成熟的為BQR2V3000芯片。為了緩解單粒子翻轉對系統功能造成影響，在軌進行定時刷新操作[8]，在FPGA和程序存儲器件間加入了一個國產小門數反熔絲FPGA充當配置控制器，進行全局配置和動態刷新。

2 容錯模塊設計

本系統中使用的國產芯片是在高軌長壽命衛星綜合電子系統的首次使用，在軌應用數據少，為了保證系統可靠性，設計了容錯模塊對國產芯片的關鍵參數和功能實現情況進行實時監視，當參數或功能異常時，在軌自主進行切機或復位操作，提高系統的智能自主恢復能力。

綜合電子系統的遙控功能為衛星關鍵功能，遙控功能如果出現異常會導致衛星失去控制，設計準則為在軌雙機常加電模式[9]，不對遙控模塊進行直接斷電功能。文獻[10]提出了一種通過FPGA對故障處理器進行仲裁切換、通過軟件EDAC對錯誤進行檢測與糾正的方法，進行雙機備份系統的容錯設計，對單粒子翻轉的防護效果好，但是無法解決雙機常加電系統下的復位問題，不能有效解決單粒子閂鎖[11]問題。

本文提出了一種容錯模塊設計，具備防誤觸發功能的短時斷電恢復電路，可以解決雙機常加電系統下的單粒子閂鎖問題。容錯模塊由故障檢測模塊、切機執行電路和信息交換SRAM組成。故障檢測模塊對CPU和FPGA的供電、特征管腳、工作狀態、“看門狗”設置等電路和參數進行監測和判斷；信息交換SRAM用于存儲衛星運行中的關鍵信息，當系統切機后，由切機后的CPU讀取其中信息，恢復切機前的工作場景，不影響業務的連續運行，盡量減小由于任務中斷帶來的損失。

短時斷電恢復電路原理如圖2所示，為了防止誤指令異常關閉具備遙控功能的SRAM型FPGA，指令輸出模塊連續發送三條指令才將FPGA斷電，第一條指令用于解鎖安全開關，第二條指令用于將FPGA斷電，第三條指令鎖定安全開關。為了提高可靠性，指令輸出模塊內的安全開關采用磁保持繼電器，FPGA芯片斷電的繼電器采用電磁繼電器，只進行短時間斷電，僅當斷電指令電平有效期間才處于斷電狀態，當指令撤銷后恢復加電狀態。

圖2 FPGA斷電原理框圖Fig.2 Block figure for power down of FPGA module

3 可靠性建模與計算

高可靠綜合電子系統的冗余備份不是簡單的功能重復和部件備份，而是從系統構型、軟件處理等方面來加強容錯和重構能力，其可靠性計算模型也與常規雙機備用系統不同。雙機備用系統可靠性模型為并聯模型，系統的故障率為主備機的故障率相乘，未考慮容錯模塊對系統可靠性的影響。文獻[12]中提出了利用馬爾可夫鏈理論對有故障監視模塊的雙機備用系統進行可靠性建模和分析的方法，將系統分為雙機正常、單機正常、雙機故障三種狀態，通過微分方程計算得到了星載計算機系統的可靠度。但該方法未考慮容錯模塊自身故障和有效性，存在容錯模塊未能準確檢測出故障使系統進入不定態的狀況，本文提出了一種針對具有容錯模塊的雙機備用系統可靠性計算方法，將系統狀態分為雙機正常態、單機正常態、雙機故障態以及系統不定態共4種狀態。

綜合電子系統容錯狀態的轉移過程符合有限狀態的齊次馬爾可夫過程，利用馬爾可夫模型進行建模分析。處理器故障發生間隔和修復時間均服從指數分布，設故障率為λ，修復率為μ；容錯模塊對處理器的故障檢測率為c，容錯模塊采用雙重備份設計，對切機執行電路進行雙重確認設計，因此容錯模塊自身故障導致系統頻繁切機無法正常工作的概率很低，可以忽略。綜合電子系統的狀態可以定為以下4種。

(1)狀態0：雙機均出現故障；

(2)狀態1：一機出現故障，另一機正常工作；

(3)狀態2：雙機均可正常工作；

(4)狀態3：單機或雙機出現故障，監視模塊未能準確檢測出故障，系統進入不定態。

其中，狀態1和狀態2的情況下系統可正常工作，狀態0和狀態3的情況下系統無法自主恢復。

定義取值集合E={0,1,2,3}上的隨機過程：X={Xt，t∈T=[0,+∞)}，則X為一連續時間馬爾可夫鏈，t為時間參數，該隨機過程的狀態轉移如圖3所示。

圖3 系統狀態轉移圖Fig.3 System status divert figure

令p(j,t)=P{Xt=j，j=0,1,2,3}，p(j,t)為系統在t時刻處于狀態j的概率，得到微分方程組為

(1)

系統初始狀態為雙機無故障狀態，即：p(2,0)=1，p(0,0)=p(1,0)=p(3,0)=0。

對式(1)作拉氏變換，設p(j,t)的拉氏變換為P(j,s)，則得

(2)

由于衛星在軌CPU發生故障后幾乎無法進行維修操作，只能進行切機操作，因此修復率μ可設為0。系統可靠性R(s)=P(2,s)+P(1,s)。

解式(2)的方程組，到系統可靠性的拉氏變換表達式為

(3)

經拉氏反變換，得系統的可靠度為

Rt=e-2λt+2c(e-λt-e-2λt)

(4)

由式(4)可見，在采用容錯模塊進行系統檢錯糾錯的情況下，單個模塊的故障率不變，則系統的可靠度與故障檢測率c為正相關，系統的檢錯功能越強，可靠度越高。

4 系統應用與驗證

基于國產芯片的高可靠綜合電子系統已成功應用于多顆高軌衛星，以運行壽命10年的高軌通信衛星為例，表2給出了幾種典型狀態下綜合電子分系統可靠度指標與故障率、故障檢測率之間的關系。

表2 綜合電子系統可靠性參數表Table 2 Reliability parameters of avionics system

由表2可見，傳統并聯模型并不能準確反映雙機容錯系統的可靠度，基于馬爾可夫模型的可靠度計算方法有效提高了綜合電子系統可靠性指標的正確性。

東方紅五號衛星平臺為我國新一代高軌長壽命通信衛星公用平臺，整星質量達到7 t以上，是目前國內質量最大的衛星平臺，支持100路以上轉發器的信息傳輸和綜合處理，對綜合電子系統提出了很高要求。采用本文高可靠綜合電子系統，支持上百臺星載有源單機的數據采集和處理，實現了整星信息的融合和分析，綜合電子系統具備強糾錯能力和高可重構性，經元器件分析和計算，系統故障率λ為5×10-7，容錯模塊對處理器的故障檢測率c為0.9，系統運行10年可靠度達到0.99，滿足衛星在軌長壽命周期的使用要求。

5 結束語

本文設計了一種基于國產高性能CPU和大規模FPGA芯片的星載高可靠綜合電子系統，實現了星載核心處理系統的自主可控。通過雙模容錯、短時斷電恢復電路等設計增強了綜合電子系統的故障檢測和恢復能力，降低了單粒子效應對綜合電子系統工作的影響；建立了針對具有容錯模塊的雙機備用系統可靠性模型，提高了系統可靠度指標計算的準確性。本文綜合電子系統已應用于多顆高軌道長壽命衛星，適應衛星長期運行期間的業務更新、故障切換需求，在軌工作穩定。由此可見，應用國產高性能處理器的星載高可靠綜合電子系統具備為衛星提供穩定、高效與可重構的信息處理能力。