## 面向航空环境的多时钟单粒子翻转故障注入方法

薛茜男<sup>\*①</sup> 李 振<sup>②</sup> 姜承翔<sup>②</sup> 王 鹏<sup>①</sup> 田 毅<sup>①</sup> <sup>①</sup>(中国民航大学天津市民用航空器适航与维修重点实验室 天津 300300) <sup>②</sup>(中国民航大学安全科学与工程学院 天津 300300)

摘 要:随着新型电子器件越来越多地被机载航电设备所采用,单粒子翻转(Single Event Upset, SEU)故障已经成为影响航空飞行安全的重大隐患。首先,针对由于单粒子翻转故障的随机性,该文对不同时刻发生的单粒子翻转故障引入了多时钟控制,构建了 SEU 故障注入测试系统。然后模拟真实情况下单粒子效应引发的多时间点故障,研究了单粒子效应对基于 FPGA 构成的时序电路的影响,并在线统计了被测模块的失效数据和失效率。实验结果表明,对于基于 FPGA 构建容错电路,采用多时钟沿三模冗余(Triple Modular Redundancy, TMR) 加固技术可比传统 TMR 技术提高约 1.86 倍的抗 SEU 性能;该多时钟 SEU 故障注入测试系统可以快速、准确、低成本地实现单粒子翻转故障测试,从而验证了 SEU 加固技术的有效性。

关键词:机载电子器件;单粒子翻转(SEU);故障注入;抗辐射加固技术;FPGA
 中图分类号: TN07; V524.3
 文献标识码: A
 文章编号: 1009-5896(2014)06-1504-05
 DOI: 10.3724/SP.J.1146.2013.01296

# A Single Event Upset Fault Injection Method Based on Multi-clock for Aviation Environment

Xue Qian-nan<sup>①</sup> Li Zhen<sup>②</sup> Jiang Cheng-xiang<sup>②</sup> Wang Peng<sup>①</sup> Tian Yi<sup>①</sup> <sup>①</sup>(*Tianjin Key Laboratory for Civil Aircraft Airworthiness and Maintenance*,

Civil Aviation University of China, Tianjin 300300, China)

<sup>2</sup>(College of Safety Science & Engineering, Civil Aviation University of China, Tianjin 300300, China)

Abstract: With the new electronic devices are increasingly used by airborne avionics equipment, Single Event Upset (SEU) fault has become a major hazard on aviation safety. Because of the randomness of SEU fault, the SEU fault occurs at any moments. Firstly, a multi-clock control is introduced to construct an SEU fault injection testing system. Secondly, the system simulates multi-time point of failure with real situations caused by single event upset effects. For sequential circuits constructed by SRAM-based FPGA, the influence of SEU is studied by the system and the failure data and failure rate of the undertest module is counted online. Two kinds of FPGA-based fault-tolerant circuit are tested by this system. Comparing with the traditional Triple Modular Redundancy (TMR) technology, the anti-SEU performance of the proposed multi-clock edge TMR reinforcement technology is improved about 1.86-fold. The experiment results verify that the proposed multi-clock SEU fault injection testing system is a quick, low-cost and highly accurate test for the single-event upsets fault, and demonstrate the effectiveness of the proposed SEU reinforcement technology.

Key words: Airborne electronic device; Single Event Upset (SEU); Fault injection; Radiation hardening technique; FPGA

1 引言

当高能粒子或离子影响到 PN 结的耗尽层时<sup>[1]</sup>, 电荷在这个区域被收集,产生瞬态的电流和电压,

2013-08-25 收到, 2013-11-08 改回

最终导致了记忆单元状态的变化,使得电子器件产 生故障,称为单粒子效应。单粒子效应引发的故障 中最为典型的故障即为单粒子翻转故障。单粒子翻 转故障会导致 FPGA 存储单元中逻辑错误,导致计 算结构错误和程序执行序列错误,甚至会导致系统 的崩溃。随着微电子工艺的发展,集成电路集成度 越来越高,器件的特征尺寸越来越小,以及 SRAM 型 PFPGA 向深亚微米几何结构乃至纳米结构发 展,这些变化都加剧了 SRAM 型器件的单粒子效

国家自然科学基金委员会与中国民用航空局联合资助项目 (U1333120),中央高校基本科研业务费项目(3122013P004)和中国民 航大学科研启动基金项目(2012QD26X)资助课题 \*通信作者: 薜茜男 qiannanxue@163.com

应<sup>[2]</sup>。随着新型电子器件越来越多地被机载航电设备 所采用,原来主要发生在航天领域的单粒子效应问 题,也逐步出现在航空机载设备中,为航空飞行带 来了潜在的风险<sup>[3]</sup>。航电系统对安全性的要求很高, 而由单粒子效应导致的故障会严重降低航电系统的 安全性等级。有研究表明,12.2 km 的飞行高度下, SRAM 的翻转率将达到 5~35E-10 次/(bit·h)<sup>[4]</sup>。 欧洲航空安全局(European Aviation Safety Agency, EASA)2012 年 10 月曾就宇宙射线对飞机系统影 响发布了安全信息通报,认为飞机中的包括控制、 导航在内的所有电子组件都可能出现单粒子效应问 题<sup>[5]</sup>。

面向 SEU 故障的模拟和测试, 故障注入技术是 一种简便有效的方法<sup>[6]</sup>,可以快速、准确、低成本地 实现 FPGA 单粒子翻转效应测试及 SEU 效应加固 技术的测试。有些研究人员试图在地面模拟出高能 粒子辐射的环境,来测试电子器件的防护能力。 NASA/GSFC 的研究人员主要利用 LBNL 实验室 的 2.2 m 回旋加速器、Texas A&M 大学的回旋加 速器,以及密歇根州立大学 NSCL 实验室的 SEETF 设备等高能重离子和质子束流源对主流器 件的重离子辐射效应防护能力进行测试<sup>[7,8]</sup>。然而, 地面高能粒子辐照实验<sup>[9]</sup>需要昂贵复杂的设备,测试 周期长,灵活性差,并且测试过程中需要解除芯片 封装,属于有损测试;而且,由于重离子辐射效应 是一种随机事件,为了保证实验中能够观察到单粒 子翻转现象,需要加长测试时间或采取加速手段, 这都对实验设计提出了很高要求,这种测试手段也 被称为基于物理的故障注入方法[10]。有研究人员通 过硬件和软件的方法[11,12]来模拟单粒子效应的故障 注入。基于硬件的故障注入多是采用管脚级故障注 入,在FPGA 上构建电路的硬件模型,引入硬件故 障注入[13,14]贴近真实环境的优点,避免了装置复杂, 费用高的缺点。基于软件的故障注入[15],通过修改 目标程序语句或插入特定程序代码来实现故障注 入,具有操作方便直观等优势。然而,现有的单粒 子翻转的故障注入技术多是针对记忆单元逻辑翻转 故障的注入:针对时序电路中不同时刻 SEU 效应引 发故障的产生,对基于 FPGA 构成的时序电路的影 响的研究并不多见。

本文旨在模拟真实情况下单粒子效应引发的多时间点故障,研究其对基于 FPGA 构成的时序电路的影响。基于 LabVIEW 编写图形化控制软件,通过 NI HSDIO-6548 与 FPGA 构建了多时钟 SEU 故障注入测试系统,可以实现对被测模块的实时故障注入,考察不同时刻出现翻转故障对于被测电路的

影响, 在线统计被测模块测试数据和失效数据, 并 即时统计被测模块失效率。基于该故障注入方法构 建的测试系统, 测试了传统 TMR 加固技术和采用 基于多时钟沿的 TMR 加固技术的 SEU 加固效果。 测试结果表明, 对于基于 FPGA 构建电路系统, 采 用多时钟沿的 TMR 加固技术可比传统 TMR 技术 约 1.86 倍的抗 SEU 性能。该多时钟 SEU 故障注入 测试系统可以仿真测试基于 FPGA 构建电路的抗 SEU 性能,且能够快速、准确、低成本地实现 FPGA 单粒子翻转效应测试,从而验证了 SEU 加固技术的 有效性。

## 2 多时钟 SEU 故障注入测试系统

### 2.1 多时钟 SEU 故障注入测试系统构成

该基于多时钟的 SEU 故障注入测试系统包括 NI 信号发送采集板卡(NI Digital Waveform Generator/Analyzer)和 FPGA 测试板卡,如图1所 示。基于 LabVIEW 的软件控制程序控制 NI 信号发 送采集板卡向 FPGA 测试板卡发送和采集信号,并 可依次向被测电路注入可能发生的故障,收集被测 电路发生故障数和具体故障类型,及时统计故障率, 实现 SEU 翻转故障的仿真测试。



图 1 基于多时钟的SEU故障注入测试系统

#### 2.2 基于 LabVIEW 的信号发送采集

LabVIEW 控制软件包括信号发送模块、信号 采集模块以及信号统计分析模块。根据 SEU 翻转故 障发生的时刻不同,3 输入系统可能会产生  $n^3$ 种故 障(n为故障发生的 n种时刻)。图 2(a)为故障选择模 块,可以可视化选择注入故障类型。由信号采集模 块采集被测电路回传信号,并实时输出(图 2(b))。 如图 2(c)所示,信号统计分析模块判断采集回的数 据是否有翻转故障的发生,并且自动测试模式可以 遍历所有可能故障  $N_s$ ,自动统计故障发生数  $N_f$ 以及 总失效率 $\lambda_E = N_f / N_s$ 。

#### 2.3 SEU 故障测试流程

首先,初始化发送采集通道,配置时钟频率和 时钟源。LabVIEW 控制程序判断选择注入故障类 型,将模拟故障发送到 NI DWGA 的发送通道,通 过 VHDCI 接口传送到 FPGA 测试版卡,以模拟真





实情况下的 SEU 效应引起的翻转故障。FPGA 测试 板卡接收故障注入后,对注入的故障进行容错处理, 将容错后的输出信号回传给 NI DWGA 的采集通 道,LabVIEW 控制程序检测到采集通道有数据传 送,即接收容错后信号,与原传输数据比较,进行 单粒子翻转失效检测,并进行故障判别。若相同, 则将对应故障类型的标志位置 0,若不同,则对应 故障类型的标志位置 1。同时,故障发生数  $N_f$ 加 1, 重新计算失效率  $\lambda_E$ ,并生成故障索引文件 "failure.dat"。可视化平台可实时显示回传信号波 形,并显示当前的注入故障数以及故障发生数和失 效率。以该失效率  $\lambda_E$ 来评估该被检测系统对单粒子 翻转效应的防护能力。图 3 为该 SEU 故障注入测试 系统的测试流程。

## 3 测试结果与分析

#### 3.1 基于多时钟的 SEU 故障生成

该 SEU 故障注入测试系统,考虑3 输入的冗余 容错,对冗余系统中的一个或多个模块进行故障注 入,使冗余模块中输出信号发生翻转。SEU 翻转故 障可能发生在1 时钟周期的任意时刻,以模拟真实 情况下单粒子效应引起的失效。若将1 时钟周期划 分成 k 等分,则对于3 输入的冗余系统来说,可能 发生的故障为(k+1)<sup>3</sup>种。测试中考虑1 时钟周期划 分为4 等分,即每个模块可能会在5 种时刻产生翻 转故障,如图4 所示。

**3.2 基于多时钟沿的 TMR 容错电路测试** 不同于传统的 TMR 容错技术,本文将时间冗







图 4 考虑 1 时钟周期划分为 4 等分可能会发生的翻转故障

余与多模块冗余相结合提出了一种基于多时钟沿的 TMR 容错电路。如图 5(a)所示,传统 TMR 容错电 路,时钟触发是共享的,如果数据在该时钟到来之 前发生翻转,该模块就会采集到错误的信号。而基 于多时钟沿的 TMR 容错电路中的每个模块的触发 时钟都不同图 5(b),只要翻转故障发生在冗余模块 对应时钟之后,故障信号就不会被采到。



图 5 两种容错电路的触发时序

将所设计的 SEU 故障注入测试系统用于 FPGA 翻转故障容错测试,比较传统 TMR 容错电 路与基于多时钟沿的容错电路的容错结果。如图 6 所示,在可视化测试平台上手动选择波形 2,波形 3, 波形 4 作为故障注入,分别测试传统 TMR 容错电 路以及基于多时钟沿的容错电路。对于传统的 TMR



容错电路(图 6(a)),故障 2 和故障 3 发生翻转的时刻在 clk 上升沿到来和到来之前,因而发生翻转的故障会影响到输出结果,表决器以多数相同的输出作为正确输出,最终导致了错误的容错结果。而基于多时钟沿的 TMR 容错电路(图 6(b))由于翻转故障均发生在各模块对应时钟上升沿到来之后,因而仍会采集到正确的信号。

## 3.3 SEU 翻转故障测试结果统计分析

表1是系统测试failure.dat文件以及error num. dat文件部分统计结果。表中failure 1#,为对传统 TMR容错电路标志位的统计结果; failure 2#,对 基于多时钟沿的TMR容错电路标志位的统计结果。

在对容错电路进行 SEU 翻转故障测试之后,测 试系统可以自动统计测试对象故障测试种类 N., 故 障发生数量  $N_f$ 以及统计失效率 $\lambda_E$ 。在本测试中,考 虑了一个时钟周期内有 5 种时刻可能会发生故障, 则对于3输入的冗余系统来说,共可能会产生5<sup>3</sup>种 故障。对系统自动生成的 failure.dat 文件包含了每 一种故障对应的标志位, error num.dat 文件统计了 发生错误的故障类型。对 failure.dat 文件以及 error num.dat 文件进行分析可以看出(表 1 列出部分数 据), 共有 38 种故障传统 TMR 容错电路的标志位 为1,而多时钟沿容错电路标志位为0,表1列出了 部分输出文件。图 7(a)和图 7(b)分别为 LabVIEW 控制软件显示的两种电路的测试统计结果。统计结 果显示,对于一时钟周期有5种时刻会发生故障的 多时钟故障注入, 传统 TMR 容错电路的失效率为 64.8%, 而基于多时钟沿的 TMR 容错电路的失效率 为 34.4%。基于多时钟沿的 TMR 容错电路的抗单 粒子翻转性能,比传统 TMR 容错电路提高了约1.86 倍。



图 6 两种容错电路的容错结果对比

| 表1   | 两种电路标志位的部分统计结果 |
|------|----------------|
| 1X I |                |

| Num        | <br>31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | ••• |
|------------|--------|----|----|----|----|----|----|----|-----|
| failure 1# | <br>1  | 1  | 1  | 1  | 1  | 1  | 1  | 1  |     |
| failure 2# | <br>1  | 1  | 1  | 0  | 0  | 0  | 0  | 0  |     |



图7 SEU故障注入测试系统测试统计结果

## 4 结束语

本文针对不同时刻 SEU 效应引发的翻转故障, 研究其对于基于 FPGA 构成电路的影响。基于 LabVIEW 编写图形化控制软件,通过 NI 信号采集 板卡与 FPGA 构建了多时钟 SEU 故障注入测试系 统。该测试系统可模拟真实情况下不同时刻出现的 SEU 翻转故障,实现对被测模块实时故障注入,考 察 SEU 翻转故障对被测电路的影响,在线统计被测 模块测试数据和失效数据,并即时统计被测模块失 效率。基于该故障注入方法构建的测试系统的测试 结果表明,采用多时钟沿 TMR 加固技术比传统 TMR 技术可提高其抗 SEU 性能约 1.86 倍。采用该 SEU 故障注入测试系统可以快速、准确、低成本地 实现 FPGA 单粒子翻转效应测试,验证 SEU 加固 技术的有效性。

#### 参 考 文 献

- 宋凝芳,朱明达,潘雄,等. SRAM型 FPGA 单粒子效应试验 研究[J]. 宇航学报, 2012, 33(6): 836-842.
   Song Ning-fang, Zhu Ming-da, Pan Xiong, et al..
   Experimental study of single event effects in SRAM-based FPGA[J]. Journal of Astronautics, 2012, 33(6): 836-842.
- [2] Ostler P S, Caffrey M P, Gibelyou D S, et al. SRAM FPGA reliability analysis for harsh radiation environments[J]. IEEE Transactions on Nuclear Science, 2009, 56(6): 3519–3526.
- Hu C and Zain S. NSEU mitigation in avionics applications
  [R]. XILINX XAPP1073 (v1.0), 2010.
- [4] Normand E. Single-event effects in systems using commercial electronics in harsh environments[C]. IEEE Nuclear and Space Effects Conference Short Course, 1994: V–1.
- [5] EASA Safety Information Bulletin. Single event effects on aircraft systems caused by cosmic rays[R]. EASA SIB No: 2012-10.
- [6] Charmichael C and Tseng C W. Correcting single-event upsets in Virtex-4 FPGA configuration memory[R]. XILINX XAPP1088 (v1.0), 2009: 1–20.

- [7] Bryan M, LaBel K, Reed R, et al. Recent radiation damage and single event effect results for candidate spacecraft electronics[C]. Proceedings of the IEEE Radiation Effects Data Workshop, Vancouver, BC, 2001: 82–99.
- [8] Bryan M, LaBel K, and Buchner S. Compendium of recent single event effects results for candidate spacecraft electronics for NASA[C]. Proceedings of the IEEE Radiation Effects Data Workshop, Tucson, AZ, 2008: 11–20.
- [9] 王忠明,姚志斌,郭红霞,等. SRAM型 FPGA 的静态与动态
  单粒子效应试验[J].原子能科学技术,2011,45(12):
  1506-1510.

Wang Zhong-ming, Yao Zhi-bin, Guo Hong-xia, *et al.* Static and dynamic tests of single-event effect in SRAM-based FPGA[J]. *Atomic Energy Science and Technology*, 2011, 45(12): 1506–1510.

- [10] Pagliarini S, Kastensmidt F, and Entrena L. Analyzing the impact of single-event-induced charge sharing in complex circuits[J]. *IEEE Transactions on Nuclear Science*, 2011, 58(6): 2768–2775.
- [11] Schmidt A G and French M. Fast lossless image compression with radiation hardening by hardware/software co-design on platform FPGAs[C]. Proceedings of the IEEE 24th International Conference on Application-Specific Systems, Architectures and Processors, Washington, DC, USA, 2013: 103–106.
- [12] Shirazi M S, Morris B, and Selvaraj H. Fast FPGA-based fault injection tool for embedded processors[C]. Proceedings of the 14th International Symposium on Quality Electronic Design, Santa Clara, CA, 2013: 476–480.
- [13] Portela-Garcia M, Lindoso A, Entrena L, et al. Evaluating the effectiveness of a software-based technique under SEEs using FPGA-based fault injection approach[J]. Journal of Electronic Testing, 2012, 28(6): 777–789.
- [14] Zhang Q, Zhou J, and Yu X. A Kind of Low-cost Non-intrusive Autonomous Fault Emulation System[J]. Computer and Information Science, 2011, 4(1): 90–99.
- [15] Chielle E, Barth R S, Lapolli A C, et al. Configurable tool to protect processors against SEE by software-based detection techniques[C]. Proceedings of the 13th Latin American Test Workshop, Quito, Ecuador, 2012: 1–6.
- 薛茜男: 女,1984年生,助理研究员,研究方向为辐射环境下机 载电子硬件的验证及加固方法.
- 李振: 男,1989年生,硕士生,研究方向为辐射环境下机载电子硬件故障注入方法.
- 姜承翔: 男, 1989 年生, 硕士生, 研究方向为辐射环境下机载电 子硬件加固技术.