摘要

隨著航空電氣化技術(shù)的深入發(fā)展，永磁同步電機(jī)（PMSM）驅(qū)動系統(tǒng)已成為飛行控制、燃油管理及環(huán)境控制系統(tǒng)的核心執(zhí)行單元。然而，高空輻射環(huán)境中的單粒子效應(yīng)（SEE）與總劑量效應(yīng)（TID）對微控制單元（MCU）的可靠性構(gòu)成嚴(yán)峻挑戰(zhàn)。本文以國科安芯商業(yè)航天級MCU AS32S601ZIT2為研究對象，基于脈沖激光單粒子效應(yīng)試驗(yàn)、質(zhì)子輻照試驗(yàn)及鈷60總劑量試驗(yàn)結(jié)果，系統(tǒng)分析了該芯片在輻射環(huán)境下的失效機(jī)理與耐受能力。結(jié)合ISO 26262 ASIL-B功能安全等級要求，深入探討了面向PMSM驅(qū)動應(yīng)用的硬件級故障診斷機(jī)制，包括存儲器ECC校驗(yàn)、時鐘監(jiān)測、電源管理及多通道冗余外設(shè)的自檢策略。

1.引言

隨著多電飛機(jī)（More Electric Aircraft, MEA）與全電飛機(jī)（All Electric Aircraft, AEA）概念的提出，航空動力系統(tǒng)正經(jīng)歷從傳統(tǒng)液壓、氣壓傳動向電力電子驅(qū)動的深刻變革。永磁同步電機(jī)（Permanent Magnet Synchronous Motor, PMSM）憑借其高功率密度、高效率、寬調(diào)速范圍及優(yōu)異的動態(tài)響應(yīng)特性，已廣泛應(yīng)用于飛行控制舵機(jī)、燃油泵、環(huán)控風(fēng)扇及起落架收放系統(tǒng)等關(guān)鍵部位。作為PMSM驅(qū)動系統(tǒng)的控制中樞，微控制單元（MCU）需在極端環(huán)境下執(zhí)行復(fù)雜的矢量控制算法，實(shí)時采集多路傳感器信號，并生成精確的PWM波形驅(qū)動功率逆變器。

然而，航空電子系統(tǒng)面臨的輻射環(huán)境極為復(fù)雜。在商用航空典型巡航高度（10-12 km），宇宙射線中的高能中子與質(zhì)子通量雖低于近地軌道，但長期累積的單粒子效應(yīng)（Single Event Effects, SEE）與總劑量效應(yīng)（Total Ionizing Dose, TID）仍可能導(dǎo)致MCU發(fā)生單粒子翻轉(zhuǎn)（Single Event Upset, SEU）、單粒子鎖定（Single Event Latch-up, SEL）或功能性失效。一旦MCU發(fā)生故障，可能導(dǎo)致PWM輸出異常，引發(fā)電機(jī)轉(zhuǎn)矩脈動、過流甚至系統(tǒng)失控，直接威脅飛行安全。因此，航空級PMSM驅(qū)動系統(tǒng)對MCU的可靠性提出了極高要求，不僅需要具備抗輻射加固（Radiation Hardening）特性，還需實(shí)現(xiàn)故障的實(shí)時診斷與主動容錯。

近年來，基于RISC-V開源指令集的國產(chǎn)高可靠MCU為解決上述問題提供了新的技術(shù)方案。AS32S601ZIT2作為國科安芯推出的面向商業(yè)航天與航空應(yīng)用設(shè)計的32位MCU，搭載自研E7內(nèi)核（帶浮點(diǎn)運(yùn)算單元與16KiB L1 Cache），并符合ISO 26262 ASIL-B功能安全等級。該芯片集成了硬件ECC、多通道冗余外設(shè)及完善的故障監(jiān)控機(jī)制，為航空級PMSM驅(qū)動系統(tǒng)的 fault-tolerant 設(shè)計提供了硬件基礎(chǔ)。本文基于該芯片的輻射效應(yīng)試驗(yàn)數(shù)據(jù)與功能安全特性，系統(tǒng)綜述其在航空PMSM驅(qū)動應(yīng)用中的故障診斷方法與容錯控制策略。

2.輻射效應(yīng)機(jī)理與試驗(yàn)評估

2.1 空間輻射環(huán)境特征與效應(yīng)機(jī)理

航空電子系統(tǒng)所面臨的輻射環(huán)境主要包括銀河宇宙射線（Galactic Cosmic Rays, GCR）、太陽粒子事件（Solar Particle Events, SPE）及地球輻射帶捕獲粒子。這些高能粒子（質(zhì)子、重離子）穿透航天器屏蔽層后，與半導(dǎo)體器件相互作用產(chǎn)生單粒子效應(yīng)。當(dāng)高能粒子穿過MCU的PN結(jié)或存儲單元時，沿徑跡產(chǎn)生高密度電子-空穴對，若被敏感節(jié)點(diǎn)收集，可能引發(fā)瞬時電流脈沖，導(dǎo)致邏輯狀態(tài)翻轉(zhuǎn)（SEU）或觸發(fā)寄生晶閘管結(jié)構(gòu)導(dǎo)通（SEL）。

總劑量效應(yīng)則由γ射線或質(zhì)子的長期累積輻照引起，主要機(jī)制包括氧化物陷阱電荷積累與界面態(tài)生成，導(dǎo)致MOSFET閾值電壓漂移、載流子遷移率下降及漏電流增加。對于MCU而言，TID可能導(dǎo)致模擬外設(shè)（ADC、比較器）精度下降、數(shù)字電路時序退化及存儲器數(shù)據(jù)保持能力降低。

2.2 單粒子效應(yīng)試驗(yàn)驗(yàn)證

針對AS32S601系列芯片，開展了系統(tǒng)的脈沖激光單粒子效應(yīng)試驗(yàn)與質(zhì)子單粒子效應(yīng)試驗(yàn)。脈沖激光試驗(yàn)采用皮秒脈沖激光裝置模擬重離子LET（Linear Energy Transfer）效應(yīng)，利用LET范圍5-75 MeV·cm2·mg?1的等效激光能量對芯片進(jìn)行正面輻照。試驗(yàn)在5V工作電壓、24℃環(huán)境溫度下進(jìn)行，激光注量設(shè)定為1×10? cm?2。結(jié)果顯示：在初始激光能量120pJ（對應(yīng)LET 5±1.25 MeV·cm2·mg?1）掃描全芯片時，未觀察到單粒子效應(yīng)；當(dāng)能量提升至1585pJ（對應(yīng)LET 75±16.25 MeV·cm2·mg?1）時，監(jiān)測到單粒子翻轉(zhuǎn)現(xiàn)象，具體表現(xiàn)為CPU復(fù)位及特定地址空間（Y,500-520；Y,495；Y,505X, 3840）的數(shù)據(jù)異常。值得注意的是，在整個試驗(yàn)過程中未觀察到單粒子鎖定（SEL），表明該芯片具備較高的單粒子鎖定閾值。

質(zhì)子單粒子效應(yīng)試驗(yàn)則在中國原子能科學(xué)研究院100MeV質(zhì)子回旋加速器上完成，采用注量率1×10? p·cm?2·s?1的質(zhì)子束流，總累積注量達(dá)1×101? p·cm?2。試驗(yàn)條件下，AS32S601ZIT2繼續(xù)保持正常功能，未出現(xiàn)單粒子翻轉(zhuǎn)或鎖定。上述試驗(yàn)結(jié)果表明，該芯片在商業(yè)航天典型質(zhì)子環(huán)境下具備優(yōu)異的抗單粒子性能，其SEU閾值超過75 MeV·cm2·mg?1，滿足低軌衛(wèi)星及高空航空電子系統(tǒng)的抗輻射要求。

2.3 總劑量效應(yīng)試驗(yàn)評估

總劑量試驗(yàn)依據(jù)QJ 10004A-2018《宇航用半導(dǎo)體器件總劑量輻照試驗(yàn)方法》開展，采用鈷60（??Co）γ射線源，在室溫（24℃±6℃）環(huán)境下進(jìn)行偏置輻照。試驗(yàn)設(shè)置劑量率為25 rad(Si)/s，目標(biāo)總劑量為100 krad(Si)，并實(shí)施50%過輻照（即150 krad(Si)）以驗(yàn)證設(shè)計裕度。試驗(yàn)流程包括：輻照前電參數(shù)測試（工作電流、CAN通信、Flash/RAM功能）、分階段累積輻照、室溫退火（168小時）及高溫退火后驗(yàn)證。

試驗(yàn)數(shù)據(jù)顯示，在150 krad(Si)累積劑量及退火處理后，器件工作電流從初始135mA輕微變化至132mA，變化率小于3%，CAN接口通信與Flash/RAM擦寫功能保持正常，外觀無退化跡象。試驗(yàn)結(jié)論表明，AS32S601ZIT2的抗總劑量輻照指標(biāo)大于150 krad(Si)，在退火后性能與外觀均合格。該耐受能力可有效應(yīng)對低軌衛(wèi)星（典型任務(wù)劑量<50 krad(Si)）及長航時高空無人機(jī)（年均劑量約1-10 krad(Si)）的輻射環(huán)境需求。

3.AS32S601ZIT2功能安全架構(gòu)分析

3.1 內(nèi)核與存儲系統(tǒng)可靠性設(shè)計

AS32S601ZIT2基于32位RISC-V指令集架構(gòu)，搭載自研E7內(nèi)核，支持雙發(fā)射與亂序執(zhí)行，配備硬件浮點(diǎn)運(yùn)算單元（FPU），主頻高達(dá)180MHz。為應(yīng)對航空級可靠性要求，芯片在微架構(gòu)層面實(shí)施了多層次防護(hù)：16KiB數(shù)據(jù)Cache與16KiB指令Cache均集成SEC-DED（Single Error Correction, Double Error Detection）ECC機(jī)制，可自動糾正單比特錯誤并檢測雙比特錯誤；512KiB內(nèi)部SRAM、2MiB P-Flash及512KiB D-Flash均采用ECC保護(hù)，其中Flash還支持編程/擦除壽命達(dá)10萬次，數(shù)據(jù)保持時間長達(dá)5年（85℃均值結(jié)溫）。

此外，芯片通過AXI總線矩陣實(shí)現(xiàn)多主設(shè)備互連，并集成總線奇偶校驗(yàn)與MPU（Memory Protection Unit）模塊，可防止因輻射導(dǎo)致的地址總線錯誤或非法存儲訪問引發(fā)的系統(tǒng)崩潰。

3.2 ASIL-B功能安全實(shí)現(xiàn)機(jī)制

該芯片按照ISO 26262 ASIL-B功能安全完整性等級設(shè)計，適用于具備高安全需求的商業(yè)航天與航空應(yīng)用。其功能安全機(jī)制包括：

（1） 時鐘監(jiān)測 ：集成4個獨(dú)立時鐘監(jiān)測單元（CMU），可實(shí)時監(jiān)控外部晶振（8-40MHz）、內(nèi)部高頻振蕩器（FIRC，16MHz）、內(nèi)部低頻振蕩器（SIRC，32kHz）及PLL（最大480MHz輸出）的頻率偏差與失效。當(dāng)檢測到時鐘丟失、頻率超限或抖動異常時，系統(tǒng)自動切換至備用時鐘源并觸發(fā)安全中斷。

（2） 電源監(jiān)控 ：內(nèi)置多電壓域監(jiān)控電路，包括LVD（低電壓檢測）、LVR（低電壓復(fù)位）及HVD（高電壓檢測）。當(dāng)核電壓（VDD 1.2V）或IO電壓（VDDIO 3.3V/5V）偏離安全窗口（±10%）時，系統(tǒng)可觸發(fā)復(fù)位或進(jìn)入預(yù)定義的安全狀態(tài)。

（3） 溫度監(jiān)測 ：片上集成高精度溫度傳感器，檢測范圍覆蓋-40℃至+125℃，精度達(dá)±2℃（@1Msps），可用于監(jiān)測芯片結(jié)溫及功率模塊熱狀態(tài)。

（4） 錯誤控制 ：通過FCU（Fault Control Unit）與SMU（System Management Unit）收集來自存儲器ECC、總線錯誤及外設(shè)故障的信息，支持可編程的故障響應(yīng)策略（中斷、復(fù)位或安全狀態(tài)切換）。

3.3 外設(shè)冗余與容錯資源

AS32S601ZIT2提供豐富的硬件冗余資源，支持實(shí)現(xiàn)2-out-of-3或主從冗余架構(gòu)：包括3個12位ADC（共48通道）、4路獨(dú)立CAN（支持CANFD，速率最高4Mbps）、6路SPI（最高30MHz）、4路USART（支持LIN模式）及2個模擬比較器（ACMP）。多通道外設(shè)冗余設(shè)計允許對關(guān)鍵傳感器（如相電流、轉(zhuǎn)子位置）進(jìn)行交叉驗(yàn)證，為PMSM驅(qū)動系統(tǒng)的故障診斷提供硬件基礎(chǔ)。

4.PMSM驅(qū)動系統(tǒng)故障診斷策略

4.1 硬件級故障診斷

在航空級PMSM驅(qū)動系統(tǒng)中，硬件級故障診斷需覆蓋功率電路、傳感器及MCU本體三個層面：

（1） 相電流檢測診斷 ：利用AS32S601ZIT2的多通道ADC（如ADC0、ADC1、ADC2）實(shí)現(xiàn)雙冗余電流傳感器采樣。通過比較兩路ADC對同一相電流的采樣值，若差值超過閾值（如滿量程的5%），則判定為電流傳感器故障或ADC轉(zhuǎn)換異常。此外，利用芯片內(nèi)置的模擬比較器（ACMP）實(shí)現(xiàn)硬件級過流快速保護(hù)，響應(yīng)時間獨(dú)立于CPU主頻。

（2） 轉(zhuǎn)子位置檢測診斷 ：對于采用旋轉(zhuǎn)變壓器或光電編碼器的PMSM系統(tǒng)，通過兩路獨(dú)立SPI或正交編碼輸入（QEI）接口采集位置信號，實(shí)施交叉對比。若采用無傳感器控制（Sensorless FOC），可同時運(yùn)行滑模觀測器（SMO）與擴(kuò)展卡爾曼濾波器（EKF）算法，通過殘差分析檢測位置估計異常。

（3） 逆變器故障診斷 ：通過MCU的GPIO監(jiān)測逆變器IGBT的Vce飽和壓降或利用ADC采樣母線電壓與相電壓，結(jié)合開關(guān)狀態(tài)進(jìn)行開路（Open Circuit）與短路（Short Circuit）故障診斷。AS32S601ZIT2的高速ADC（采樣率最高1Msps）支持在PWM中斷內(nèi)完成多次采樣，實(shí)現(xiàn)實(shí)時故障檢測。

（4） MCU內(nèi)部自檢 ：利用硬件ECC自動檢測并糾正SRAM與Flash中的單粒子翻轉(zhuǎn)；通過時鐘監(jiān)測單元（CMU）檢測PLL失鎖或晶振停振；利用看門狗定時器（WDT）監(jiān)控程序執(zhí)行流，防止因SEU導(dǎo)致的程序跑飛。

4.2 軟件級故障診斷

（1） 控制算法監(jiān)控 ：在矢量控制（FOC）框架下，實(shí)施電壓模型與電流模型交叉驗(yàn)證。通過比較基于電流觀測器計算的d-q軸電壓與實(shí)際輸出電壓，構(gòu)建殘差信號。若殘差超出統(tǒng)計閾值，則判定為電流傳感器或電機(jī)參數(shù)異常。

（2） 程序流完整性檢查 ：采用控制流監(jiān)控（Control Flow Checking, CFC）技術(shù)，在關(guān)鍵函數(shù)入口與出口插入校驗(yàn)點(diǎn)，利用看門狗或?qū)Ｓ枚〞r器檢測執(zhí)行時序偏差。對于關(guān)鍵控制循環(huán)，實(shí)施"雙執(zhí)行-比較"（Duplicate Execution and Comparison）策略，即同一計算任務(wù)執(zhí)行兩次并比對結(jié)果，檢測瞬態(tài)故障。

（3） 數(shù)據(jù)一致性校驗(yàn) ：對關(guān)鍵控制變量（如轉(zhuǎn)速給定、電流環(huán)PI參數(shù)、PWM占空比）實(shí)施三模冗余（Triple Modular Redundancy, TMR）存儲或周期性CRC校驗(yàn)。利用AS32S601ZIT2的硬件CRC模塊實(shí)現(xiàn)快速數(shù)據(jù)完整性驗(yàn)證，檢測多比特翻轉(zhuǎn)。

5.容錯控制與安全狀態(tài)管理

5.1 硬件容錯架構(gòu)

（1） 雙MCU鎖步（Lock-step）與熱備份 ：采用兩片AS32S601ZIT2構(gòu)成主從冗余架構(gòu)。主MCU執(zhí)行完整控制算法，從MCU同步執(zhí)行相同計算或進(jìn)入監(jiān)聽模式。通過SPI或CAN總線進(jìn)行周期狀態(tài)同步與交叉監(jiān)控。當(dāng)主MCU檢測到不可糾正的ECC錯誤、時鐘失效或看門狗超時，從MCU在毫秒級時間內(nèi)接管控制權(quán)，實(shí)現(xiàn)無縫切換。兩MCU的PWM輸出通過硬件或門邏輯確保故障時安全關(guān)斷。

（2） 傳感器信息融合 ：對于三相電流與轉(zhuǎn)子位置等關(guān)鍵信號，采用2-out-of-3表決邏輯或中值選擇濾波（Median Selective Filtering）。當(dāng)某一路傳感器出現(xiàn)故障（如信號超出物理范圍或變化率異常），系統(tǒng)自動剔除該通道數(shù)據(jù)，利用剩余傳感器維持降級運(yùn)行（Degraded Operation）。

（3） 執(zhí)行器容錯 ：針對三相逆變器，設(shè)計四開關(guān)拓?fù)洌═hree-phase Four-switch Inverter）作為容錯拓?fù)?。?dāng)某一相橋臂故障（如IGBT開路），通過重構(gòu)控制算法使電機(jī)進(jìn)入兩相運(yùn)行模式，維持70%-80%的額定轉(zhuǎn)矩輸出，確保航空舵機(jī)等關(guān)鍵負(fù)載的基本功能。

5.2 軟件容錯技術(shù)

（1） 時間冗余與恢復(fù) ：對于非實(shí)時關(guān)鍵的配置操作（如參數(shù)更新、通信協(xié)議處理），實(shí)施指令重試（Instruction Retry）與軟件容錯（Software Implemented Fault Tolerance, SWIFT）技術(shù)。當(dāng)檢測到存儲器讀錯誤或計算結(jié)果異常，系統(tǒng)回滾至最近 checkpoint 并重試，利用E7內(nèi)核的高性能確保重試過程不影響控制實(shí)時性。

（2） 控制律重構(gòu) ：在檢測到電流傳感器故障時，系統(tǒng)自動從重傳感器控制（FOC）切換至無傳感器控制（V/f控制或估算器模式），雖性能降級但維持可控。針對參數(shù)漂移，采用在線參數(shù)辨識與自適應(yīng)控制，補(bǔ)償輻射導(dǎo)致的模擬外設(shè)增益變化。

（3） 安全狀態(tài)機(jī)（Safe State Machine） ：設(shè)計分級的故障響應(yīng)策略。輕微故障（偶發(fā)單比特ECC錯誤）僅記錄日志；嚴(yán)重故障（多比特錯誤、傳感器偏差大）觸發(fā)降額運(yùn)行模式，限制電機(jī)轉(zhuǎn)速與轉(zhuǎn)矩；致命故障（MCU復(fù)位、電源故障、雙傳感器失效）立即觸發(fā)硬件剎車，關(guān)閉PWM并進(jìn)入安全停機(jī)狀態(tài)。利用AS32S601ZIT2的SMU模塊實(shí)現(xiàn)故障的快速分類與狀態(tài)轉(zhuǎn)換。

5.3 故障注入與驗(yàn)證

在系統(tǒng)設(shè)計階段，通過故障注入試驗(yàn)（Fault Injection Testing）驗(yàn)證診斷與容錯機(jī)制的有效性。利用脈沖激光或重離子加速器對MCU進(jìn)行單粒子故障注入，模擬SEU與SEL場景，驗(yàn)證ECC糾正、看門狗復(fù)位及系統(tǒng)切換的可靠性。結(jié)合故障樹分析（FTA）與失效模式及影響分析（FMEA），量化系統(tǒng)失效率，確保滿足航空級安全完整性等級要求。

6.工程應(yīng)用與可靠性評估

基于前述試驗(yàn)數(shù)據(jù)與架構(gòu)設(shè)計，AS32S601ZIT2在航空PMSM驅(qū)動系統(tǒng)中展現(xiàn)出優(yōu)異的可靠性指標(biāo)。其單粒子翻轉(zhuǎn)截面（SEU Cross-section）在LET 75 MeV·cm2·mg?1條件下處于較低水平（<10?? cm2/device），配合硬件ECC機(jī)制，可將系統(tǒng)級軟錯誤率降低至10??次/器件·天以下。總劑量耐受能力>150 krad(Si)確保了在典型5-10年任務(wù)周期內(nèi)的參數(shù)穩(wěn)定性。

在工程實(shí)現(xiàn)中，系統(tǒng)采用雙MCU冗余架構(gòu)，配合旋轉(zhuǎn)變壓器與霍爾傳感器雙冗余設(shè)計，可實(shí)現(xiàn)ASIL-B等級的功能安全要求。故障診斷模塊實(shí)時監(jiān)測電機(jī)相電流（采樣周期50μs）、母線電壓及芯片結(jié)溫，容錯控制算法在檢測到單傳感器故障時自動切換至備份通道，確?？刂频倪B續(xù)性與準(zhǔn)確性。

審核編輯 黃宇