一种航天器系统单粒子防护薄弱点的识别方法转让专利
申请号 : CN201510188483.7
文献号 : CN104820777B
文献日 : 2017-04-19
发明人 : 于登云 , 赵海涛 , 张兆国 , 郑晋军 , 谷岩 , 吕欣琦
申请人 : 北京空间飞行器总体设计部
摘要 :
一种航天器系统单粒子防护薄弱点的识别方法,涉及使用了FPGA、DSP等单粒子软错误敏感器件的设备对航天器系统任务或功能影响的评估,以及航天器系统单粒子防护薄弱点的识别。该方法以单粒子软错误发生概率为输入,考察单粒子软错误影响的后果、发生概率和持续时间三个要素,建立了单粒子软错误危害时间模型,实现了对航天器单粒子软错误系统影响的定量评估,并可以据此准确识别出单粒子防护的薄弱点,为后续有效的改进航天器单粒子防护设计提供了依据。
权利要求 :
1.一种航天器系统单粒子防护薄弱点的识别方法,其特征在于包括如下步骤:
(1)列出航天器系统中的所有单粒子敏感器件或者单粒子敏感设备,并进一步确定出各单粒子敏感器件可能出现的单粒子软错误类型或者单粒子软错误故障模式,确定出各单粒子敏感设备可能出现的单粒子软错误故障模式;所述的单粒子软错误类型包括单粒子翻转、单粒子瞬态和单粒子功能中断,所述的单粒子软错误故障模式包括单粒子软错误发生后,在单粒子敏感器件或者单粒子敏感设备上表现出来的故障现象;
(2)确定会造成航天器系统级影响的单粒子敏感器件或者单粒子敏感设备,统计会造成航天器系统级影响的单粒子软错误数量;所述的单粒子软错误是指出现了一种单粒子软错误类型或者单粒子软错误故障模式;
(3)获取第i个单粒子敏感器件或者单粒子敏感设备的第j个单粒子软错误的发生概率POij,获取第i个单粒子敏感器件或者单粒子敏感设备发生的第j个单粒子软错误传播至航天器系统的概率PPij,获取第i个单粒子敏感器件或者单粒子敏感设备发生第j个单粒子软错误的影响持续时间Toij,i和j均为正整数;
(4)计算第i个单粒子敏感器件或者单粒子敏感设备的单粒子软错误危害时间其中Tilife为第i个单粒子敏感器件或者单粒子敏感设备的任务时间,li为第i个单粒子敏感器件或者单粒子敏感设备可能发生的全部单粒子软错误数量;
(5)计算航天器系统单粒子防护薄弱点判别阈值TCL,
其中,Tlife为航天器系统的工作寿命,NF为航天器系统每年允许的由于单粒子软错误导致的中断次数,TF为NF次中断中每次中断允许的单粒子软错误影响持续时间,n为会造成航天器系统级影响的单粒子敏感器件或者单粒子敏感设备的总数量;
(6)遍历每一个单粒子敏感器件或者单粒子敏感设备,依次比较TCi和TCL,若TCi>TCL,则判定第i个单粒子敏感器件或者单粒子敏感设备的单粒子软错误为航天器系统单粒子防护的薄弱点。
说明书 :
一种航天器系统单粒子防护薄弱点的识别方法
技术领域
[0001] 本发明涉及一种可恢复故障对系统影响的评估方法,特别是一种针对使用了FPGA、DSP等单粒子软错误敏感器件的设备发生单粒子软错误时对航天器系统造成的影响进行定量评估并识别薄弱点的方法。
背景技术
[0002] 运行于地球空间轨道的卫星等航天器,面临来自地球辐射带、银河宇宙线、太阳宇宙线的高能质子和重离子环境,这些高能粒子在卫星所用微电子器件中可产生单粒子效应,典型的是导致电子系统逻辑紊乱、指令错误、功能中断、逻辑异常等的单粒子软错误,从而影响卫星的正常功能和服务。
[0003] 单粒子软错误对于需要连续提供服务的卫星有重要影响,例如通信卫星和导航卫星。如何定量评估这种影响,并客观的发现航天器系统单粒子防护的薄弱点,是此前工程研制中尚未有效解决的问题。
[0004] 目前,常使用单粒子翻转率(次/天)来衡量FPGA、DSP等单粒子敏感器件抗单粒子效应的能力。在使用这些器件时,通常会采取三模冗余、定时刷新等防护措施,可以在很大程度上降低单粒子翻转的影响,因此,单粒子翻转率高的器件不一定单粒子软错误发生的概率就高。器件单粒子翻转率并不能客观的反映产品单粒子防护设计的好坏。
[0005] 公开号为CN103605835A,名称为“航天器系统级抗单粒子设计评估方法”的中国专利提出了一种航天器器件、分系统的单粒子翻转率的计算方法,并指出可应用于整星单粒子翻转率的仿真计算。但是,这一方法仅能计算单粒子翻转率,并不能评估单粒子软错误造成的后果和危害程度,更无法对航天器系统设计中的单粒子防护薄弱环节进行有效识别。
发明内容
[0006] 本发明解决的技术问题是:克服现有技术的不足,提供了一种航天器系统单粒子防护薄弱点的识别方法,通过后果、发生概率和持续时间三个因素对单粒子敏感器件出现单粒子软错误时对航天器系统的影响进行定量分析,建立了单粒子软错误危害时间模型,并据此识别出航天器系统单粒子防护的薄弱点,为后续有效的改进航天器单粒子防护设计提供了依据。
[0007] 本发明的技术解决方案是:一种航天器系统单粒子防护薄弱点的识别方法,包括如下步骤:
[0008] (1)列出航天器系统中的所有单粒子敏感器件或者单粒子敏感设备,并进一步确定出各单粒子敏感器件可能出现的单粒子软错误类型或者单粒子软错误故障模式,确定出各单粒子敏感设备可能出现的单粒子软错误故障模式;所述的单粒子软错误类型包括单粒子翻转、单粒子瞬态和单粒子功能中断,所述的单粒子软错误故障模式包括单粒子软错误发生后,在单粒子敏感器件或者单粒子敏感设备上表现出来的故障现象;
[0009] (2)确定会造成航天器系统级影响的单粒子敏感器件或者单粒子敏感设备,统计会造成航天器系统级影响的单粒子软错误数量;所述的单粒子软错误是指出现了一种单粒子软错误类型或者单粒子软错误故障模式;
[0010] (3)获取第i个单粒子敏感器件或者单粒子敏感设备的第j个单粒子软错误的发生概率POij,获取第i个单粒子敏感器件或者单粒子敏感设备发生的第j个单粒子软错误传播至航天器系统的概率PPij,获取第i个单粒子敏感器件或者单粒子敏感设备发生第j个单粒子软错误的影响持续时间Toij,i和j均为正整数;
[0011] (4)计算第i个单粒子敏感器件或者单粒子敏感设备的单粒子软错误危害时间其中Tilife为第i个单粒子敏感器件或者单粒子敏感设备的任务时间,li为第i个单粒子敏感器件或者单粒子敏感设备可能发生的全部单粒子软错误数量;
[0012] (5)计算航天器系统单粒子防护薄弱点判别阈值TCL,
[0013]
[0014] 其中,Tlife为航天器系统的工作寿命,NF为航天器系统每年允许的由于单粒子软错误导致的中断次数,TF为航天器系统每次允许的单粒子软错误影响持续时间,n为会造成航天器系统级影响的单粒子敏感器件或者单粒子敏感设备的总数量;
[0015] (6)遍历每一个单粒子敏感器件或者单粒子敏感设备,依次比较TCi和TCL,若TCi>TCL,则判定第i个单粒子敏感器件或者单粒子敏感设备的单粒子软错误为航天器系统单粒子防护的薄弱点。
[0016] 本发明与现有技术相比的优点在于:
[0017] (1)本发明方法既考虑了现有技术中的单粒子软错误发生概率,又考虑了影响后果和持续时间,具备了科学评估单粒子软错误对航天器系统影响的基本条件。在评价永久故障或长期故障的影响时,由于故障不可恢复,不存在影响持续时间问题,因此一般是考虑故障后果和发生概率。但是,单粒子软错误对航天器系统产生的故障影响是可恢复的,单粒子软错误造成系统影响至系统恢复的持续时间直接关系到航天器的功能连续性,并影响用户任务成败。例如,如果导航卫星导航信号上行注入功能中断且未能及时恢复,必将导致导航精度降低甚至丢失导航信号,这对正在使用该星信号的用户可能造成不可估计的影响。现有技术仅评估单粒子软错误有关的发生概率,忽略了影响后果和影响持续时间,不能完整评估单粒子软错误对航天器系统的影响。本发明方法解决了这一问题,保证了评估结果的合理性、有效性。
[0018] (2)本发明方法提出了综合考虑单粒子软错误影响后果、发生概率和持续时间三个要素的单粒子软错误危害时间模型,科学的解决了单粒子软错误对航天器系统影响的定量评估问题。单粒子软错误危害时间模型是在分析影响后果的基础上,针对任务中断或功能中断,获得单粒子软错误发生、传播并最终导致航天器系统影响的概率,乘以评估对象(器件或设备)的任务时间,再乘以影响持续时间,最终得到器件或设备在规定的任务时间内对航天器系统影响的危害时间。单粒子软错误危害时间模型具有一定的物理内涵,便于理解和工程应用。
[0019] (3)采用本发明的单粒子软错误危害时间模型,可以有效识别航天器系统设计上的单粒子防护薄弱点,从而有效改进航天器单粒子防护设计,解决了工程研制中科学识别航天器单粒子软错误防护设计薄弱环节的问题。当前航天器系统设计越来越复杂,各种大规模集成电路和可编程器件的应用越来越广泛,单粒子防护设计已经不是单个器件层面的问题,必须围绕系统防护设计的薄弱点,统筹星上资源,有效改进单粒子防护设计,快速满足航天器设计要求。现有技术不能支持系统防护设计薄弱点的量化识别,系统防护设计中“欠设计”和“过设计”并存,难以优化资源和满足要求。本发明针对这一问题,利用单粒子软错误危害时间模型,通过对单粒子软错误影响的科学评估,达到了准确识别系统防护薄弱点的目的。对于任务连续性要求高的航天器,所允许的总的任务中断时间是有限制的,本方法据此建立了薄弱点阈值,凡超过此阈值的单粒子软错误影响,应进行防护设计改进。
附图说明
[0020] 图1为本发明方法的流程框图。
具体实施方式
[0021] 本发明方法基于单粒子软错误影响的三个基本要素,分析并计算单粒子软错误影响的危害时间,实现了单粒子软错误对航天器系统影响的定量评估,并有效识别航天器系统设计上的单粒子防护薄弱点。
[0022] 如图1所示,为本发明方法的流程框图,具体实施步骤如下:
[0023] 1)确定航天器系统单粒子防护薄弱点识别的最低层次,即按器件识别还是按设备识别。列出航天器系统中所有FPGA、DSP等单粒子敏感器件清单或使用了这些敏感器件的设备清单,并进一步列出这些器件/设备可能出现的单粒子软错误类型/故障模式。
[0024] 单粒子软错误类型是指单粒子翻转、单粒子瞬态和单粒子功能中断。单粒子软错误故障模式是指单粒子软错误发生后,在器件或设备上表现出来的故障现象,例如某卫星导航任务处理FPGA秒脉冲信号错误、某卫星导航任务处理设备上的卫星时间错误等。在实际分析时,需要根据可获得的发生概率信息的情况确定是按单粒子软错误类型进行分析还是按单粒子软错误故障模式进行分析。对于设备,只能按单粒子软错误故障模式进行分析。
[0025] 2)进行单粒子软错误影响分析,确定会造成系统级影响的单粒子敏感器件/设备的数量n。
[0026] 以单粒子敏感器件/设备为对象,分析单粒子软错误发生后是否会造成航天器系统级影响,如果该软错误可能造成系统级影响,则进一步分析具体后果,如果该软错误不会造成系统级影响,则不再做进一步分析。针对该软错误及相应的具体后果,确定后果类型,并分析系统恢复策略(例如复位、加断电)。
[0027] 单粒子软错误对航天器系统影响的后果类型分为任务中断和功能中断两类。任务中断是最为严重的后果,对应航天器不能继续执行任务的情况,例如导航卫星导航下行信号中断。功能中断是次严重的后果,对应航天器能够继续执行任务但不能继续执行某种功能的情况,例如导航卫星导航信号上行注入功能中断。
[0028] 具体可以填写下表。
[0029]
[0030] 根据分析结果,统计会造成航天器系统级影响的器件/设备的数量n,并统计各个器件/设备造成航天器系统级影响的单粒子软错误数量li,i为正整数。注意,在统计器件或设备数量时,备份产品不统计在内。
[0031] 3)确定每一个单粒子软错误的发生概率PO、传播概率PP、影响持续时间TO。
[0032] 某器件/设备的单粒子软错误发生概率PO是指当前所分析的器件/设备的单粒子软错误类型/故障模式的发生概率,单位为“次/小时”。PO可以通过理论分析、辐照试验或者在轨数据统计等方法获得。某器件/设备的单粒子软错误传播概率PP是指当前所分析的器件/设备的单粒子软错误发生后传播至航天器系统级,造成了系统级任务中断或功能中断这类后果的概率,其取值范围在[0,1]之间。PP可以表示为:
[0033]
[0034] PP可以通过地面故障注入测试数据统计、仿真分析、在轨数据统计等方法获得。
[0035] 单粒子软错误影响持续时间TO是某器件/设备的单粒子软错误发生并传播至航天器系统造成系统级影响,然后通过自主复位、遥控复位、加断电(开关机)、切换到备份机等措施,使航天器恢复到正常工作状态的这一异常发生、传播、恢复过程所持续的时间,单位为“小时”。TO可以通过地面故障注入测试数据统计、在轨数据统计和经验分析等方法获得。
[0036] 将获取的以上数据填入下表。
[0037]
[0038] 4)评估每一个单粒子软错误的危害时间。
[0039] 对应任务中断或功能中断的影响后果,器件/设备i的第j个单粒子软错误危害时间TCij的评估公式定义为:
[0040] TCij=POijPPijTilifeToij
[0041] (1)式中,POij是器件/设备i的第j个单粒子软错误的发生概率,单位是“次/小时”;PPij是器件/设备i的第j个单粒子软错误的传播概率,取值范围为[0,1];Tilife是器件/设备i的任务时间,Toij是器件/设备i的第j个单粒子软错误影响的持续时间,单位均为“小时”。
[0042] POijPPij表示器件/设备i的第j个单粒子软错误发生并产生航天器系统级影响的概率,例如,某器件单粒子翻转概率POij为5×10-4/h,该器件发生单粒子翻转后,有0.3的概率(PPij)会导致系统级影响,则该器件单粒子翻转导致系统级影响的概率为1.5×10-4/h。
[0043] POijPPijTilife表示器件/设备i的第j个单粒子软错误在整个任务时间内发生的总次数。仍沿用上文数据,假设某器件的任务时间为87600小时(10年),则该器件在10年内将发生1.5×10-4/h×87600=13.14次单粒子翻转。
[0044] POijPPijTilifeToij被定义为单粒子软错误危害时间,其物理含义为:某器件/设备i的第j个单粒子软错误在整个任务时间内造成航天器任务中断或功能中断的累计持续时间。仍沿用上文数据,假设某器件造成航天器任务中断或功能中断后的平均持续时间为3小时,则该器件单粒子翻转的危害时间为13.14×3=39.42小时。
[0045] 5)评估每个器件或设备的单粒子软错误危害时间。
[0046] 对于器件/设备i,其单粒子软错误危害时间TCi的评估模型为:
[0047]
[0048] 式中,li是器件/设备i的单粒子软错误个数。
[0049] 器件/设备的单粒子软错误危害时间反映了该器件/设备对航天器系统的影响程度。
[0050] 6)计算航天器系统单粒子防护薄弱点判定阈值TCL。
[0051] 假设航天器工作寿命为Tlife(单位:小时),年均允许的由于单粒子软错误导致的中断次数为NF,每次允许的单粒子软错误影响持续时间平均不超过TF(单位:小时),则航天器年均允许的单粒子软错误危害时间为NFTF,航天器任务时间内允许的单粒子软错误危害时间为
[0052]
[0053] 为满足航天器系统单粒子防护要求,必须保证所有单粒子敏感器件/设备的单粒子软错误危害时间的总和不超过TCS,因此,不失一般性,定义航天器系统单粒子防护薄弱点判定阈值TCL(单位:小时)为
[0054]
[0055] 7)识别航天器系统单粒子防护薄弱点。
[0056] 将每一个单粒子敏感器件/设备的单粒子软错误危害时间与判定阈值比较,若TCi>TCL,则第i个器件/设备的单粒子软错误即航天器系统单粒子防护薄弱点,需要在设计上采取改进措施。
[0057] 对系统单粒子防护薄弱点改进后,可重新评估危害时间并再次重复上述步骤进行判定。当所有单粒子敏感器件/设备的单粒子软错误危害时间均小于TCS时,航天器系统必然满足单粒子防护要求。
[0058] 实施例
[0059] 已知某卫星,工作寿命要求为10年(87600小时),年允许的由于单粒子软错误导致的中断次数为3次,每次允许的单粒子软错误影响持续时间不超过5小时,会引起卫星中断的设备为设备S、设备D和设备R。设备S和设备D均使用了单粒子敏感器件FPGA,其单粒子软错误故障模式、后果类型、系统恢复策略及基础数据如下表所示。
[0060]
[0061] 根据本发明提出的方法,计算设备S、设备D对整星系统影响如下表所示。
[0062]
[0063]
[0064] 根据卫星寿命与中断指标要求,卫星单粒子软错误防护薄弱点阈值为[0065]
[0066] 由上表可见,3台设备中,设备D的软错误危害时间远大于其它两台设备,其中“卫星时间错误”模式的危害时间远大于其它模式,且超过了薄弱点阈值,因此是该卫星单粒子软错误防护薄弱点,必须针对设备D采取单粒子防护设计改进措施,从而保证整星中断指标满足要求。
[0067] 需要注意的是,如果仅根据单粒子软错误发生概率的大小判断薄弱点,会误将设备S判定为单粒子防护薄弱点,但实际上设备S对航天器系统的影响大大低于设备D,这也体现出本发明方法较之于现有方法在识别准确性上有了很大的提高。
[0068] 本发明说明书中未作详细描述的内容属本领域技术人员的公知技术。