一种应对空间粒子效应的防护和故障处理方法与流程

本发明涉及卫星通讯技术领域，特别涉及一种应对空间粒子效应的防护和故障处理方法。

背景技术：

单粒子效应(see，singleeventeffect)又称单事件效应，是高能带电粒子在器件的灵敏区内产生大量带电粒子的现象，表现为单个高能粒子轰击造成的器件工作异常。它属于电离效应，当能量足够大的粒子射入集成电路时，由于电离效应(包括次级粒子的)，产生数量极多的电离空穴-电子对，引起半导体器件的软错误，使逻辑器件和存储器产生单粒子翻转，cmos器件产生单粒子闭锁，甚至出现单粒子永久损伤的现象，单粒子效应的产生与集成电路的集成度的提高、特征尺寸降低、临界电荷和有效二极管阈值下降等会使执单粒子扰动能力降低。器件的抗单粒子翻转能力明显与版图设计、工艺条件等因素有关。单粒子效应又可分为单粒子锁定(sel，singleeventlatch-up)、单粒子翻转(seu，singleeventupset)等。

航天器上越来越多地使用低成本、低等级元器件，以降低整体成本，其中包括对单粒子敏感的大规模集成电路，fpga、dsp和大容量存储芯片等。这些器件没有经过地面的抗辐照筛选，在空间使用时，不仅需要采用抗辐照加固措施，还需要实时监测see的发生，即时采取措施，消除故障。

航天器上的星地通信设备用于接收、存储、下传用户所需的数据。受单粒子影响，带来通信中断，会影响用户的使用体验。因此即时的、自主恢复能力对航天器上的星地通信设备尤其重要，这些能力大部分依赖软件来实现。

单粒子效应的故障影响及目前常用的防护措施如下表1所示。

表1常用辐照效应概述

但目前常用的防护单粒子效应故障影响的措施存在以下问题：1)在系统层面缺少有效手段监测单粒子效应的发生，对单粒子效应不能做到即时恢复；2)具体的措施都是针对某个敏感器件的单粒子效应，零散的措施难以从全系统流程上保证单粒子效应发生时数据下传的正确性和通信的连续性；3)消除单粒子效应故障影响的措施常常需要地面指令控制，自主性不强。

本发明提出一种应对空间粒子效应的防护和故障处理方法至少部分的解决目前常用的防护单粒子效应故障影响的措施所存在的上述问题。

技术实现要素：

针对现有技术中防护单粒子效应故障影响的措施所存在的无法即时恢复、无法保证数据通信的正确性和连续性以及自主性不强等问题，根据本发明的一个实施例，提供一种应对空间粒子效应的防护和故障处理方法，包括：

实施整星级措施，所述整星级措施包括异常监控措施、定时复位措施、复位后恢复措施；以及

实施单机级措施，所述单机级措施包括fpga和dsp单粒子防护措施和大容量存储器防护措施。

在本发明的一个实施例中，所述整星级措施为应对单粒子锁定效应、单粒子翻转效应和单粒子功能中断效应的措施。

在本发明的一个实施例中，所述整星级措施中的异常监控措施进一步包括：

监控通信单机的数据发送接口；

判断发送是否异常；

如果正常，继续监控；以及

如果异常，其他设备就对单机进行复位操作或加断电。

在本发明的一个实施例中，所述整星级措施中的异常监控措施进一步包括：

单机从上游单机接收数据；

判断数据接收是否异常；

如果正常，单机继续从上游单机接收数据；以及

如果异常，其他设备就对单机进行复位操作或加断电。

在本发明的一个实施例中，所述整星级措施中的定时复位措施为在每次任务前由其他设备自主对单机进行复位操作。

在本发明的一个实施例中，所述整星级措施中的复位后恢复措施为复位后，若监测到单机状态与当前需要的状态不一致，其它设备将当前状态发送给单机，恢复单机复位前的工作模式和参数状态。

在本发明的一个实施例中，所述单机级措施为应对单粒子翻转的措施。

在本发明的一个实施例中，所述单机级措施中的fpga和dsp单粒子防护措施进一步包括：关键数据和模块防护措施、程序异常监控措施、运行状态监控措施；关键数据和模块防护措施包括定时刷新、三模冗余；程序异常监控措施包括定时校验、中断陷阱；运行状态监控措施包括看门狗。

在本发明的一个实施例中，所述定时刷新为定时刷新fpga和dsp的寄存器数据；所述三模冗余是对fpga和dsp的关键模块和关键数据采用三模冗余存储，三取二判决策略；所述定时校验为定时校验dsp的运行程序代码，校验错误时整机复位；所述看门狗为对fpga和dsp的运行状态进行监控，保证在出现不可避免的错误时，能够快速恢复至正常工作状态；以及所述中断陷阱措施为当单粒子效应引起发生非预期中断时，进入异常中断处理程序，执行整机复位。

在本发明的一个实施例中，所述单机级措施中的大容量存储器防护措施进一步包括：

大容量存储器异常监控措施，所述大容量存储器异常监控措施为当大容量存储器无法读出或写入时，执行存储器复位，复位后状态恢复正常，同时已存储数据不丢失；以及

大容量存储器ecc处理措施，所述大容量存储器ecc处理措施是在写入数据时进行纠错编码，在读取数据时进行译码并纠错，保证下传数据的正确性。

本发明提供一种应对空间粒子效应的防护和故障处理方法，根据数据传输的流程，对数据的接收、存储、发送过程以及数据处理程序和处理模块本身等分别针对性地加以防护，实现从单机级到整星级的综合防护。该方法做到及时发现异常，自动纠正或自动复位进入初始状态，并自主恢复当前工作模式，继续当前通信，同时保证整个通信过程的连续和下传数据的正确，令地面接收端感觉不到单粒子效应导致的故障发生。

附图说明

为了进一步阐明本发明的各实施例的以上和其它优点和特征，将参考附图来呈现本发明的各实施例的更具体的描述。可以理解，这些附图只描绘本发明的典型实施例，因此将不被认为是对其范围的限制。在附图中，为了清楚明了，相同或相应的部件将用相同或类似的标记表示。

图1示出根据本发明的一个实施例提供的一种应对空间粒子效应的防护和故障处理方法的架构图。

图2示出根据本发明的具体实施例提供的一种应对空间粒子效应的防护和故障处理方法的整星级单粒子防护检测点示意图。

具体实施方式

在以下的描述中，参考各实施例对本发明进行描述。然而，本领域的技术人员将认识到可在没有一个或多个特定细节的情况下或者与其它替换和/或附加方法、材料或组件一起实施各实施例。在其它情形中，未示出或未详细描述公知的结构、材料或操作以免使本发明的各实施例的诸方面晦涩。类似地，为了解释的目的，阐述了特定数量、材料和配置，以便提供对本发明的实施例的全面理解。然而，本发明可在没有特定细节的情况下实施。此外，应理解附图中示出的各实施例是说明性表示且不一定按比例绘制。

在本说明书中，对“一个实施例”或“该实施例”的引用意味着结合该实施例描述的特定特征、结构或特性被包括在本发明的至少一个实施例中。在本说明书各处中出现的短语“在一个实施例中”并不一定全部指代同一实施例。

需要说明的是，本发明的实施例以特定顺序对工艺步骤进行描述，然而这只是为了方便区分各步骤，而并不是限定各步骤的先后顺序，在本发明的不同实施例中，可根据工艺的调节来调整各步骤的先后顺序。

本发明提供一种应对空间粒子效应的防护和故障处理方法，根据数据传输的流程，对数据的接收、存储、发送过程以及数据处理程序和模块本身等分别针对性地加以防护，实现从单机级到整星级的综合防护。该方法做到及时发现异常，自动纠正或自动复位进入初始状态，并自主恢复当前工作模式，继续当前通信，同时保证整个通信过程的连续和下传数据的正确，令地面接收端感觉不到单粒子效应导致的故障发生。

下面结合附图来介绍基于本发明的一个实施例的一种应对空间粒子效应的防护和故障处理方法的架构。图1示出根据本发明的一个实施例提供的一种应对空间粒子效应的防护和故障处理方法的架构图，如图1所示，基于本发明的一个实施例，该针对实时通信设备的空间粒子效应即时恢复方法的架构包括问题分类、措施级别以及具体措施层。

如图1所示，在问题分类方面，主要基于单粒子效应产生的问题，分为单粒子锁定、单粒子翻转以及单粒子功能中断三类；从措施级别上，分为整星级措施和单机级措施。其中整星级措施可对应与所有三类问题，单机级措施仅针对单粒子翻转问题。

该针对实时通信设备的空间粒子效应即时恢复方法的架构具体从单机级到整星级的综合防护，在具体措施方面，单机级的软件防护措施主要针对通信单机上常用的大规模集成电路，包括针对fpga和dsp的单粒子防护措施，含关键数据和模块防护措施、程序异常监控措施、运行状态监控措施，和针对大容量存储器的防护措施。关键数据和模块防护措施包括针对fpga和dsp的定时刷新、三模冗余。程序异常监控措施包括定时校验、中断陷阱。运行状态监控措施包括看门狗。针对大容量存储器的防护措施包括大容量存储器异常监控措施和大容量存储器ecc处理措施。大容量存储器异常监控措施为当大容量存储器无法读出或写入时，执行存储器复位，复位后状态恢复正常，同时已存储数据不丢失。大容量存储器ecc处理措施是在写入数据时进行纠错编码，在读取数据时进行译码并纠错，保证下传数据的正确性。这些措施在fpga和dsp软件设计时采取，主要针对关键数据和关键模块、程序、工作状态、大容量存储器是否正常进行防护。

从应用情况来看，即便是抗辐照加固版本的fpga和dsp仍然对see十分敏感，因此在整星级还需要对单机采取监控措施，监控see的发生，并即时恢复；定时复位措施；同时还要对复位后的设备状态进行设置，恢复复位前的工作模式和参数状态。这些措施通常由星上与通信单机有数据接口的计算机设备来执行。

综上，根据本发明的一个具体实施例的通信全流程的软件防护方案如下所示：

(一)单机级：

(1)fpga和dsp的单粒子防护

①定时刷新：定时刷新fpga和dsp的寄存器数据

②三模冗余：对fpga和dsp的关键模块和关键数据采用三模冗余存储，三取二判决策略。

③定时校验：定时校验dsp的运行程序代码，校验错误时整机复位。

④看门狗：对fpga和dsp的运行状态进行监控，保证在出现不可避免的错误时，能够快速恢复至正常工作状态；

⑤中断陷阱措施：当单粒子引起发生非预期中断时，进入异常中断处理程序，执行整机复位。

(2)大容量存储器的单粒子防护

①大容量存储器异常监控：一旦发现大容量存储器无法读出或无法写入，执行对存储器的复位，复位后状态恢复正常，同时已存储数据不丢失。

②大容量存储器ecc处理：在写入数据时，进行纠错编码；在读取数据时，进行译码并纠错。保证存储数据下发时的正确性。

(二)整星级：

(1)异常监控

图2示出根据本发明的具体实施例提供的一种应对空间粒子效应的防护和故障处理方法的整星级单粒子防护检测点示意图，如图2所示，整星级单粒子防护检测点包括三个：第一个是通过星务计算机对通信关键单机进行的遥测相关的监测；第二个是监测通信关键单机从上游单机接收数据的数据口；第三个是对通信关键单机发送数据的接口进行异常监测。在本发明的一个具体实施例中，其异常监测的方法如下：

①监控定时发送的接口：对单机的一些定时发送数据的接口，比如遥测、导频等接口进行监控，一旦发现这些数据接口异常，比如数据长时间不更新等，其他设备就对单机进行复位操作或加断电。

②监控接收数据的接口：单机从上游单机接收数据，一旦上游单机发现接口上的数据接收异常，比如数据长时间未取走，其他设备就对单机进行复位操作或加断电。

(2)定时复位

在每次任务前由其他设备自主对单机进行复位操作，在单机自身的防护措施失效的情况下仍可自主对其发起重加载操作，提高了系统可靠性。

(3)复位后恢复

无论是定时复位还是异常复位、加断电，复位后单机状态会回到初始态。监测到单机状态与当前需要的状态不一致，其它设备将当前状态发送给单机，恢复单机的复位前设置。设置包括工作模式和状态参数。适用于正在通信过程中发生了单粒子事件，带来通信中断。可以即时恢复当前通信，地面用户的接收察觉不到单粒子事件的发生和通信的中断。

本发明提供的该种针对实时通信设备的空间粒子效应即时恢复方法，根据数据传输的流程，对数据的接收、存储、发送过程以及数据处理程序和处理模块本身等分别针对性地加以防护，实现从单机级到整星级的综合防护。该方法做到及时发现异常，自动纠正或自动复位/加断电进入初始状态，并自主恢复当前工作模式，继续当前通信，同时保证整个通信过程的连续和下传数据的正确，令地面接收端感觉不到单粒子效应导致的故障发生。

基于本发明的该种针对实时通信设备的空间单粒子效应及时恢复方法，实现了几个卫星型号的通信收发信机、数传单机在寿命期内的通信任务长时间无故障自主稳定运行，表明了本发明所提方案的有效性。本发明讨论的软件综合防护思想和技术有较强的工程应用前景，也可以推广应用到除通信设备以外的其他卫星设备上，以及除卫星外的其他航天器设备上。

尽管上文描述了本发明的各实施例，但是，应该理解，它们只是作为示例来呈现的，而不作为限制。对于相关领域的技术人员显而易见的是，可以对其做出各种组合、变型和改变而不背离本发明的精神和范围。因此，此处所公开的本发明的宽度和范围不应被上述所公开的示例性实施例所限制，而应当仅根据所附权利要求书及其等同替换来定义。