摘要：核能設(shè)施數(shù)字化儀控系統(tǒng)對(duì)總線通信鏈路的功能安全性與抗輻照能力提出了嚴(yán)苛要求，尤其是在反應(yīng)堆本體及乏燃料池等高輻射場(chǎng)環(huán)境中。本文以國(guó)科安芯推出的AS32S601型MCU與ASM1042S2S型CANFD收發(fā)器為研究對(duì)象，基于質(zhì)子加速器單粒子效應(yīng)試驗(yàn)、鈷源總劑量效應(yīng)試驗(yàn)、重離子輻照試驗(yàn)及脈沖激光等效模擬等多維度評(píng)估數(shù)據(jù)，系統(tǒng)分析其在核工業(yè)極端環(huán)境下的功能安全等級(jí)符合性。

1、引言

隨著核能設(shè)施向智能化、數(shù)字化方向演進(jìn)，現(xiàn)場(chǎng)總線通信已成為連接反應(yīng)堆保護(hù)系統(tǒng)、核島監(jiān)測(cè)系統(tǒng)及事故后監(jiān)測(cè)系統(tǒng)的核心技術(shù)。CANFD協(xié)議憑借其高帶寬、確定性時(shí)延及多主節(jié)點(diǎn)仲裁機(jī)制，在核級(jí)儀控系統(tǒng)中逐步替代傳統(tǒng)4~20 mA模擬信號(hào)傳輸。然而，核反應(yīng)堆一回路附近存在γ射線與中子混合輻射場(chǎng)，累積劑量率可達(dá)103 rad(Si)/h以上，且伴隨高能中子引發(fā)的位移損傷效應(yīng)，對(duì)通信鏈路上的微控制器與收發(fā)器構(gòu)成嚴(yán)峻挑戰(zhàn)。國(guó)際上核級(jí)儀控系統(tǒng)普遍遵循IEC 61508與IEC 61513標(biāo)準(zhǔn)，要求關(guān)鍵通信鏈路達(dá)到ASIL-C甚至ASIL-D等級(jí)，而國(guó)內(nèi)在該領(lǐng)域的元器件評(píng)估體系尚不完善，依賴進(jìn)口器件的局面制約了自主可控戰(zhàn)略的實(shí)施。

國(guó)產(chǎn)抗輻照加固芯片近年來(lái)通過(guò)地面模擬試驗(yàn)與在軌驗(yàn)證積累了大量數(shù)據(jù)。國(guó)科安芯推出的AS32S601型MCU與ASM1042S2S型CANFD收發(fā)器作為國(guó)產(chǎn)商業(yè)航天級(jí)芯片，已通過(guò)100 MeV質(zhì)子、鈷60 γ射線及重離子加速器多維度考核。本文基于其完整的輻照試驗(yàn)數(shù)據(jù)鏈，結(jié)合功能安全等級(jí)分析方法論，系統(tǒng)評(píng)估其在核工業(yè)場(chǎng)景下的適用性，旨在構(gòu)建從器件級(jí)考核到系統(tǒng)級(jí)驗(yàn)證的閉環(huán)評(píng)估框架。

2、國(guó)產(chǎn)化元器件技術(shù)特性與功能安全基礎(chǔ)

2.1 MCU架構(gòu)與功能安全機(jī)制

AS32S601型MCU采用32位RISC-V指令集內(nèi)核，主頻180 MHz，集成2 MiB主Flash、512 KiB數(shù)據(jù)Flash及512 KiB SRAM，均配備SECDED糾錯(cuò)碼機(jī)制。該器件通過(guò)LQFP144封裝實(shí)現(xiàn)144個(gè)GPIO引腳，支持4路CANFD接口，其功能安全等級(jí)按ASIL-B等級(jí)設(shè)計(jì)。關(guān)鍵安全機(jī)制包括雙看門(mén)狗定時(shí)器、內(nèi)存保護(hù)單元、時(shí)鐘安全系統(tǒng)及錯(cuò)誤收集與報(bào)告模塊。從功能安全要素分解角度，硬件故障裕度為1，單點(diǎn)故障度量需滿足≥90%，潛伏故障度量需滿足≥60%方可達(dá)到ASIL-B等級(jí)。其糾錯(cuò)機(jī)制可覆蓋單比特翻轉(zhuǎn)，對(duì)多比特翻轉(zhuǎn)的檢測(cè)覆蓋率需通過(guò)故障注入試驗(yàn)驗(yàn)證。電特性參數(shù)顯示，IO驅(qū)動(dòng)電流分四檔可調(diào)，輸入漏電流±10 μA，為核工業(yè)高電磁干擾環(huán)境提供了噪聲容限。

2.2 CANFD收發(fā)器功能特征

ASM1042S2S型收發(fā)器支持5 Mbps數(shù)據(jù)段速率與1 Mbps仲裁段速率，兼容ISO 11898-1:2015標(biāo)準(zhǔn)。該器件采用SOP8L封裝，集成待機(jī)模式與遠(yuǎn)程喚醒功能，顯性功耗70 mA，隱性功耗2.5 mA，待機(jī)功耗僅5 μA。關(guān)鍵功能安全特性包括總線故障檢測(cè)、共模范圍-27 V~+32 V及TXD顯性超時(shí)保護(hù)。在CANFD通信鏈路中，收發(fā)器作為物理層器件，其失效模式直接影響數(shù)據(jù)鏈路層完整性。ASIL-B等級(jí)要求收發(fā)器的殘余故障率應(yīng)小于10 FIT，關(guān)鍵故障模式包括總線驅(qū)動(dòng)失效、接收靈敏度退化及共模瞬態(tài)抗擾度不足。

3、抗輻照效應(yīng)試驗(yàn)與失效模式分析

3.1 質(zhì)子單粒子效應(yīng)試驗(yàn)結(jié)果

3.1.1 試驗(yàn)條件與統(tǒng)計(jì)置信度

在中國(guó)原子能科學(xué)研究院100 MeV質(zhì)子回旋加速器上，兩款器件均接受了1×10? p·cm?2·s?1注量率、1×101? p·cm?2累積注量的考核。依據(jù)相關(guān)標(biāo)準(zhǔn)，若要證明器件在95%置信度下具備1×10??次/器件·天的單粒子翻轉(zhuǎn)發(fā)生率，需累積至少3倍于預(yù)期事件數(shù)的注量而無(wú)失效。試驗(yàn)中累積注量對(duì)應(yīng)的等效在軌天數(shù)超過(guò)10?天，滿足統(tǒng)計(jì)顯著性要求。

3.1.2 MCU質(zhì)子SEE響應(yīng)

試驗(yàn)結(jié)果顯示，AS32S601型MCU在100 MeV質(zhì)子輻照下工作電流穩(wěn)定，未觀測(cè)到單粒子鎖定或翻轉(zhuǎn)現(xiàn)象。其512 KiB SRAM帶糾錯(cuò)保護(hù)，在試驗(yàn)中未報(bào)告可糾正錯(cuò)誤，表明質(zhì)子誘發(fā)的單比特翻轉(zhuǎn)率低于10?? bit?1·day?1。然而，質(zhì)子可能引發(fā)鎖相環(huán)的瞬時(shí)擾動(dòng)，雖未導(dǎo)致功能中斷，但需在系統(tǒng)級(jí)增加時(shí)鐘穩(wěn)定時(shí)間監(jiān)測(cè)。從功能安全角度，該結(jié)果支持單點(diǎn)故障度量≥90%的論斷，但需補(bǔ)充故障樹(shù)分析中的共因失效評(píng)估。

3.1.3 CANFD收發(fā)器質(zhì)子SEE響應(yīng)

收發(fā)器在同等條件下工作電流約8 mA，通信誤幀率為零。值得注意的是，質(zhì)子可能穿透SOP8L塑封材料，在內(nèi)部高壓LDMOS器件中引發(fā)微劑量效應(yīng)，導(dǎo)致驅(qū)動(dòng)電流緩慢退化。試驗(yàn)中未監(jiān)測(cè)到此現(xiàn)象，但長(zhǎng)期可靠性需通過(guò)168小時(shí)質(zhì)子輻照后參數(shù)漂移測(cè)試補(bǔ)充驗(yàn)證。從ASIL-B要求看，收發(fā)器的殘余故障率貢獻(xiàn)小于1 FIT，滿足鏈路級(jí)安全目標(biāo)。

3.2 總劑量效應(yīng)與退火行為

3.2.1 累積劑量與劑量率效應(yīng)

鈷60 γ射線試驗(yàn)采用25 rad(Si)/s劑量率，模擬核設(shè)施維修工況下的累積效應(yīng)。AS32S601型MCU在150 krad(Si)后電流下降2.2 mA，歸因于MOS器件閾值電壓漂移導(dǎo)致的亞閾值漏電減少。該變化在±5%容限內(nèi)，功能未受影響。依據(jù)增強(qiáng)低劑量率效應(yīng)評(píng)估，商業(yè)航天級(jí)器件在0.01 rad(Si)/s低劑量率下可能出現(xiàn)更大退化，需對(duì)核退役環(huán)境補(bǔ)充低劑量率試驗(yàn)。

3.2.2 CANFD收發(fā)器的TID響應(yīng)機(jī)制

收發(fā)器的總劑量失效模式主要為總線驅(qū)動(dòng)器的跨導(dǎo)退化與ESD保護(hù)二極管的漏電增加。試驗(yàn)顯示其輸出差分電壓在150 krad(Si)后仍保持1.5~3 V范圍，但高壓側(cè)驅(qū)動(dòng)器的導(dǎo)通電阻可能增大10%~15%。在CANFD總線終端匹配60 Ω負(fù)載下，該變化對(duì)信號(hào)完整性的影響需通過(guò)眼圖測(cè)試量化。功能安全分析中，需將此退化納入失效模式的檢測(cè)覆蓋率計(jì)算。

3.3 重離子單粒子鎖定閾值

被測(cè)收發(fā)器接受了74Ge離子（LET=37.4 MeV·cm2/mg）輻照，未發(fā)生單粒子鎖定。依據(jù)IEC標(biāo)準(zhǔn)，核設(shè)施中子與次級(jí)重離子的LET譜峰值集中于1~10 MeV·cm2/mg，但在屏蔽邊緣可能產(chǎn)生>30 MeV·cm2/mg的碎片離子。

脈沖激光試驗(yàn)顯示AS32S601型MCU在LET>65 MeV·cm2/mg時(shí)發(fā)生單粒子翻轉(zhuǎn)，該結(jié)果因缺乏電荷軌跡效應(yīng)而偏樂(lè)觀。激光無(wú)法模擬重離子的電荷擴(kuò)散與漏斗效應(yīng)，對(duì)深阱器件的評(píng)估誤差可達(dá)30%。因此，激光數(shù)據(jù)僅用于快速篩選，正式功能安全認(rèn)證仍需依賴加速器重離子試驗(yàn)。

4、核工業(yè)CANFD通信鏈路功能安全架構(gòu)

4.1 安全通信需求與ASIL分解

依據(jù)IEC 61513，核反應(yīng)堆保護(hù)系統(tǒng)通信鏈路的整體安全等級(jí)需達(dá)到SIL3。通過(guò)ASIL分解，可將CANFD總線降為ASIL-B，前提是采用雙通道冗余與獨(dú)立故障檢測(cè)。架構(gòu)設(shè)計(jì)為：每路CANFD總線由獨(dú)立收發(fā)器驅(qū)動(dòng)，MCU實(shí)現(xiàn)端到端CRC校驗(yàn)與序列號(hào)監(jiān)控，故障判定需同時(shí)檢測(cè)物理層與數(shù)據(jù)鏈路層錯(cuò)誤。

4.2 雙冗余時(shí)間觸發(fā)架構(gòu)

為避免CANFD仲裁過(guò)程的不確定性，采用TTCAN協(xié)議預(yù)分配時(shí)間窗。雙總線互為熱備份，主總線故障切換至備用總線的最大中斷時(shí)間需小于10 ms，該要求源于反應(yīng)堆保護(hù)系統(tǒng)對(duì)傳感器更新周期的嚴(yán)格限制。MCU的180 MHz主頻可支持16個(gè)節(jié)點(diǎn)、1 ms周期調(diào)度表，其錯(cuò)誤收集模塊匯集雙總線錯(cuò)誤狀態(tài)，驅(qū)動(dòng)故障安全輸出。

4.3 故障診斷覆蓋率量化

功能安全等級(jí)評(píng)估的核心是故障診斷覆蓋率。對(duì)收發(fā)器，關(guān)鍵故障模式包括總線開(kāi)路、驅(qū)動(dòng)能力退化及共模瞬態(tài)失效。對(duì)MCU，F(xiàn)lash糾錯(cuò)可檢測(cè)99.6%的單比特翻轉(zhuǎn)，但對(duì)多比特翻轉(zhuǎn)覆蓋率僅60%，需配合軟件多副本投票提升潛伏故障度量。

5、結(jié)論與展望

國(guó)產(chǎn)MCU與CANFD收發(fā)器在質(zhì)子、總劑量及重離子輻照下表現(xiàn)出良好的抗輻照性能，試驗(yàn)數(shù)據(jù)支持其達(dá)到ASIL-B功能安全等級(jí)。本文提出的雙冗余TTCAN架構(gòu)與故障診斷策略，可為國(guó)產(chǎn)化核級(jí)儀控系統(tǒng)提供參考。從工程實(shí)踐看，需跨越從航天級(jí)到核級(jí)的環(huán)境適應(yīng)性 gap，這不僅是技術(shù)挑戰(zhàn)，更是標(biāo)準(zhǔn)體系與工業(yè)生態(tài)的協(xié)同建設(shè)過(guò)程。

審核編輯 黃宇