CC BY
35Космическое электронное приборостроение
номного тестирования программного обеспечения на математической модели процессора. После проведения автономного тестирования код отрабатывается на реальной аппаратуре.
В БИВК-М заложены средства стартового тестирования функциональных узлов, автономного фонового тестирования, механизмов сигнализации о нарушении штатного режима работы. Также при проектировании БИВК-М применяется принцип предсказуе-
мости его поведения при нештатных ситуациях - любая отрицательная ветка должна быть отработана на земле и описана в эксплуатационных документах.
Очень пристальное внимание уделяется наземной экспериментальной отработке комплекса и контролю выполнений требований ТЗ как на этапе предварительных испытаний, так и на этапе изготовления серийных летных образцов.
A. Y. Fedenko JSC Research Center «Module», Russia, Moscow
INTEGRATED ON-BOARD COMPUTER FOR MODERN PROSPECTIVE NAVIGATING SATELLITES
Modern integrated on-board computer (BIVK-M) with over then 15 years life-time for prospective ISS satellites is observed. Compound machine architecture consisting of board computer and telemetry system is discussed. Common technical characteristics are presented. Specific approaches in space computer design are reported.
© OegeHKO A. M., 2012
УДК 004.342
С. С. Шумилин, М. И. Какоулин ЗАО «Миландр», Россия, Москва
ПЕРСПЕКТИВНЫЙ РАДИАЦИОННО-СТОЙКИЙ 32-РАЗРЯДНЫЙ МИКРОКОНТРОЛЛЕР С ПОВЫШЕННОЙ НАДЕЖНОСТЬЮ И ДРУГИЕ РАЗРАБОТКИ ЗАО «ПКК «МИЛАНДР»
Приводятся основные концепции и принципы построения нового радиационно-стойкого 32-разрядного микроконтроллера на базе процессорного ядра ARM Cortex-M4F. Приводятся описания решений по обеспечению отказо- и сбоеустойчивости и безопасности.
Новый отечественный микроконтроллер изготавливается по технологии «кремний на изоляторе» с технологическими нормами 180 нм. При разработке нового микроконтроллера было принято решение сделать максимально честный сбое- и отказобезопас-ный микроконтроллер, при этом максимально удобный и имеющий максимальный набор функций для построения по-настоящему сбое- и отказоустойчивых систем. Микроконтроллер имеет трехуровневую организацию по обеспечению функций безопасности. К первому уровню безопасности относится подсистема процессорных ядер, кэш памяти, датчиков питания и тактовых частот. На этом уровне обеспечивается непрерывный аппаратный контроль сбоев и отказов. При этом требуется минимальное участие программного обеспечения в диагностике и обеспечивается максимально быстрое время обнаружения сбоя или отказа. Ко второму уровню относится подсистема памяти, диагностика так же выполняется аппаратно, но для уменьшения времени обнаружения отказа или его парирования требуется выполнение специальных программных функций. К третьему уровню относятся периферия, для этого уровня минимизирована аппаратная диагностика и основные функции по обнаружению сбоев и отказов выполняются программно, как
следствие, увеличивается время для их обнаружения. Микроконтроллер содержит два процессорных ядра ARM Cortex-M4F. Ядро ARM Cortex-M4F - это высокопроизводительное 32-разрядное RISC ядро с блоком аппаратной реализации операций с плавающей запятой и расширенным набором инструкций цифровой обработки сигналов. Каждое ядро имеет дополнительный блок самодиагностики faultRobust. Блок самодиагностики является асимметричной копией самого ядра, т. е. имеет копию основных ресурсов (регистры общего назначения, счетчик команд и т. п.) и повторяет основные действия, что и само процессорное ядро, но по другим алгоритмам, и на каждом шаге сравнивает свои значения со значениями в процессорном ядре. Если в результате работы появляется отличие между поведением процессорного ядра и блока диагностики, то вырабатывается флаг ошибки, свидетельствующий о возникновении сбоя или отказа либо в ядре, либо в блоке диагностики.
Основной режим работы процессорных ядер это Lock-Step (см. рисунок), когда второе ядро (ведомое) повторяет все действия первого ядра (ведущего), но с отставанием на два такта. И если на выходах процессоров будет обнаружены расхождения, это будет свидетельствовать о возникновении сбоя в одном из ядер.
Решетневскце чтения
Организация работы процессорных ядер в режиме Lock-Step
Задержка на два такта между процессорными ядрами сделана для того, чтобы при сбое, вызванном, например, питанием (одинаковая природа воздействия на оба ядра), в первом процессоре возникнет сбой при выполнении N + 2-й инструкции, в во втором процессоре возникнет сбой при выполнении N-й инструкции. В конечном итоге оба сбоя будут разными, что позволит их обнаружить. На основании флагов ошибок блоков диагностики можно будет судить о том, в одном ядре произошел сбой и в каком именно или в обоих. Если сбой произошел во втором ведомом ядре, то выполнение основной задачи может быть продолжено после выполнения специальной функции по приведению ядер в единое состояние. Если же сбой произошел в ведущем ядре либо определить сбойное ядро не представляется возможным, то необходимо сбросить выполнение текущей задачи, назначить ведущим второе ядро, а первое - ведомым, выполнить функции диагностики и начать выполнение задачи с начала. Также в микроконтроллере предусмотрен режим Dual-Core, когда каждое ядро выполняет свою собственную программу.
В режиме Single-Core задача выполняется только на одном процессорном ядре, а второе находится в
холодном резерве, питание для него выключено, и это позволяет минимизировать процессы деградации вследствие воздействия радиационного излучения. Периодическое переключение ядер между собой в режиме Single-Core позволит увеличить ресурс микросхемы по накопленной дозе. Микроконтроллер имеет 128 Кбайт встроенной памяти программ и 64 Кб встроенной памяти данных. Для увеличения памяти реализован контроллер внешней памяти. Вся память защищена ECC кодированием SEC-DED. Микроконтроллер имеет большой набор периферии, включающий в себя различные интерфейсы (Ethernet, SpaceWire, МКПД, ARINC-429, CAN, USB, UART, SPI). Также реализованы вспомогательные блоки, такие как 32-разрядные таймеры с функциями регистрации событий и ШИМ, блоки вычисления CRC сумм по произвольному полиному, блок вычисления ECC бит по произвольной матрице, блок криптографической защиты по ГОСТ 28147-89. Аналоговая периферия включает в себя 12-разрядные АЦП и ЦАП, схему компаратора и многое другое. Первые образцы микросхем будут доступны в середине 2013 г., окончание ОКР и серийные поставки микросхем с пятой приемкой запланирован на 2014 г.
S. S. Shumilin, M. I. Kakoulin LLC «Milandr», Russia, Moscow
RADIATION TOLERANT 32-BIT MICROCONTROLLER WITH HIGH RELIABILITY
AND OTHER CHIPS BY MILANDR
The main concepts and principles of new radiation tolerant 32-bit microcontroller based on ARM Cortex-M4F cores are presented. The solutions for fault-tolerance and fault-safety are found.
© Шумилин С. С., Какоулин М. И., 2012
