工業技術研究院 資訊與通訊研究所 王睿揚 康又升 曹友嘉 楊明達
今年6月哈伯望遠鏡的酬載電腦進入安全模式,初步發現記憶體模組損害造成問題,導致無法正常運作科學觀測[1],如何設計可靠度高的酬載電腦將是一大需要克服的難題。酬載電腦為酬載運作的控制中心,同時負責監控酬載的狀態與安全,並且完成對衛星本體提出的任務命令。儘管酬載電腦位於低地球軌道,離地300至1,000公里間,太空環境仍是個充滿未知的領域,任何不確定因素都會導致酬載電腦的不正常運作,因此酬載電腦的硬體與軟體都需要經過層層考驗,方能生存於複雜的太空環境中,本文將描述設計衛星電腦的架構與功能與如何通過驗證方能達到可以上太空的高可靠度通訊酬載電腦。
酬載電腦為酬載運作的控制中心,如何設計可靠度高、可以長時間存活在太空環境的酬載電腦將是一大需要克服的難題
精彩內容
1. 低軌衛星通訊酬載電腦軟硬體架構
2. 低軌衛星通訊酬載電腦功能
3. 酬載電腦與地面系統整合與驗測 |
低軌衛星通訊酬載電腦軟硬體架構
通訊酬載由通訊酬載電腦(Payload Computer, PLC)次系統,低地球軌道通訊終端(Low Earth Orbit Communication Transceiver, LCTR)次系統與地球靜止軌道通訊終端(Geostationary Earth Orbit Communication Transceiver, GCT)次系統所組成。通訊酬載電腦是通訊酬載的控制指揮中心,負責監控與管理低軌通訊終端與同步軌道通訊終端,時時監控狀態回報給衛星本體(B5G Satellite Bus, B5G Sat. Bus),同時肩負網路資料交換的任務,使用低軌通訊終端次系統,與地面系統進行通訊,另一方面,使用同步軌道通訊終端次系統透過GEO衛星通訊系統串聯地面的網際網路服務,因此通訊酬載電腦對於低軌衛星通訊是個核心的重要系統。以下將描述硬體與軟體架構設計與開發。
工研院自主研發通訊酬載電腦的硬體關鍵元件,其元件包含中央處裡器(PLC Processor)、電力系統單元(Power)、健康監測(Sensor monitoring)、同步時鐘(Pulse Per Second Management, PPS Management)以及數據儲存(Data Storage)等5項,如圖1。
硬體設計與開發
硬體設計與開發採用軍規以及抗輻射關鍵元件並自主研發系統,達到高可靠度的需求。
圖1 通訊酬載硬體設計架構
- 中央處理器
針對衛星通訊之運算需求,採用可擴充處理器架構(Scalable Processor Architecture, SPARC)的中央處理器(Central Processing Unit, CPU),並提供多種類型的介面連結衛星通訊元件,提供可靠的計算能力,用於執行酬載軟體。
- 數據儲存
數據儲存提供儲存裝置的介面,通過中央處理器運算後的數據,供資料存儲。另外,存放開機檔案於數據儲存內,供電後酬載電腦將根據開機程式進行讀取資料,開啟系統。數據儲存系統將是可靠的記憶體必須具備的關鍵元件之一,工研院將採用三模組冗餘(Triple Modular Redundancy, TMR)與錯誤檢測與校正(error detection and correction, EDAC)技術對高輻射環境來提升模組的可靠度,以解決受到輻射影響導致部分資料錯誤,但仍有辦法挽救的能力。
- 電力系統單元
電力系統單元由工研院自行研發,透過與衛星本體提供的電源,轉換成通訊酬載所需的電壓、電流,並輸出給酬載上所有的元件,同時,採用規格較好的元件以保持單元的功能穩定可靠。
- 健康監測
健康狀態監測模組,透過安裝於電源供應部分的電流電壓檢測模組與各發熱量較高的區域擺放的溫度檢測模組,進行健康狀態管理。根據預先定義的溫度、電壓、電流上下限,即時反應目前各元件的健康狀態,並於檢測到異常時,即時回報警告訊息。
- 同步時鐘
同步時鐘運用於同步衛星本體、酬載電腦與通訊單元之間的時間,由於通訊酬載上同時具備數個次系統,每個次系統皆有獨立的時鐘,而各獨立時鐘都會隨著時間的流動造成時間的計數不一致,因此必須由衛星本體取得準確的時鐘訊號,並提供給通訊酬載上不同的次系統進行時間校正。
軟體設計與開發
軟體設計與開發於低軌通訊酬載電腦是一項重要的課題,在軟體的發展過程,從需求分析定義、軟體設計、程式碼開發及驗證測試之各個環節皆依循嚴謹的規範,通過層層測試才能釋出於酬載電腦中運行。因此對於可靠的軟體發展進行失效模式與影響分析(Failure Mode and Effect Analysis, FMEA)[2],根據結果做後續錯誤偵測、隔離與回復(Fault Detection, Isolation and Recovery, FDIR)[3]設計,包括:監控、反應與保護機制等,保持系統可靠度。
根據酬載電腦負責之功能,將酬載電腦軟體規劃如圖2與表1,接受來自3個方向的指令,3個方向分別是B5G Sat. Bus,LCTR與GCT,得以控制系統功能運作,包括LCTR與GCT兩個通訊系統的協調與執行及酬載本身的系統維護與管理。飛行軟體的發展過程,從需求分析定義、軟體設計、程式碼開發及驗證測試之各個環節皆依循嚴謹的軟體規範。
表1 軟體模組功能
|
Telemetry and Command
|
負責指令執行,將接收到的指令送給負責的程式
|
|
Housekeeping
|
蒐集整個酬載系統的健康狀況,並定期回報給衛星本體
|
|
Data Storage
|
管理酬載電腦的儲存系統,用於將蒐集資料儲存於此,並儲存系統更新檔案
|
|
Network management
|
管理LCTR與GCT的網路狀態,並串聯LCTR與GCT通訊鏈路,建立Link 備援
|
|
FDIR
|
錯誤的偵測、隔離以及回復
|
|
System Update
|
接收來自3條路徑的更新檔,並負責更新酬載的軟體以及FPGA的映像檔
|
|
Clock Control
|
負責酬載上的時間管理,確保與衛星本體間的資訊不會受到時間誤差影響
|
|
Interface
|
負責處理各自介面的資料交換
|
圖2 軟體設計架構
低軌衛星通訊酬載電腦功能
通過軟硬體開發整合技術進行系統整合,通訊酬載電腦將得以具備以下功能,如圖3呈現:
- 指令執行:
通訊酬載電腦可接收經由1. B5G Sat. Bus、2. LCTR 與 3. GCT 上傳的指令,經解碼與判定為有效指令後,隨即執行或進行排程於預定的時間執行。指令包括開關低軌通訊終端次系統、開關同步軌道通訊終端次系統、回傳酬載健康資料、執行網管資料、執行酬載實驗與進行系統更新等。
- 健康狀態資料管理:
定期蒐集通訊酬載電腦,低軌通訊終端與同步軌道通訊終端的電壓、電流、溫度、軟硬體等等狀態資料,儲存後通過衛星本體下傳地面系統,以研判酬載健康狀況並做為偵錯與分析使用。
- 資料蒐集儲存(酬載實驗、系統更新資料、網管資料儲存):
酬載實驗針對於低軌通訊終端次系統進行通道狀態資訊(Channel State Information)[4]的蒐集,先儲存資料後下傳地面系統進行分析。系統更新將通過3個管道上傳的系統檔案進行儲存,供後續進行各個系統的維護與修正更新。另外,對兩個通訊次系統提供網路管理的資料儲存。
- 錯誤偵測、隔離與回復:
在太空環境中,不時會受到各種影響,例如輻射影響或是太空垃圾撞擊,導致系統的損壞,因此任何的損壞都需要一套機制進行錯誤的偵測、隔離,並達到最後系統回復的功能。
- 系統管理更新:
將所上傳的系統更新資料於儲存裝置中讀取並進行遠端系統更新的功能,同時也要能夠對低軌通訊終端次系統與同步軌道通訊終端次系統進行系統更新,系統管理更新將能有效地增加系統可靠度,避免系統問題導致關鍵任務失敗。
- 通訊管理:
依據通訊酬載通訊之排定時程,在預定的時間開啟同步軌道通訊終端次系統或低軌通訊終端次系統,與地面進行通訊連線的服務,並且對次系統進行設定與管理的功能。
- 衛星時間管理:
硬體收到全球定位系統(Global Positioning System, GPS)接收機的每秒脈波數(Pulse Per Second, PPS)[5]為有效信號後,隨即進行同步,提供 PPS 信號給同步軌道通訊終端次系統、低軌通訊終端次系統,另外提供軟體上,對每個事件附加精準的時間訊息。
圖3 低軌衛星通訊酬載電腦功能
酬載電腦與地面系統整合與驗測
酬載電腦與地面系統整合的部分,通過與地面系統的展示例子來說明,以下分別說明蒐集健康狀態資料及上傳系統檔案的情境。蒐集健康狀態資料情境在地面系統傳送蒐集健康狀態資料的指令後,酬載電腦時時刻刻蒐集電壓、電流、溫度、軟體及硬體狀態儲存在儲存裝置中,讀取健康狀態資料後,再送到地面系統,如此將可以把衛星的狀態數據回報給地面供分析使用,如圖4情景。如哈伯衛星例子,工研院所設計的酬載電腦可以將時時監控的軟硬體狀態回傳於地面系統,供工程人員得知酬載電腦的狀態,進而分析後進行對應的處理。
圖4 蒐集健康狀態資料
上傳系統檔案的情境,首先傳送要上傳檔案的指令,衛星端確認可以後,地面系統開始進行傳輸分割檔案,完成上傳後,衛星端進行檔案驗證與重組,最終回報地面運作的結果,若後續要進行軟體的更新,這將是一個必不可少的動作,如圖5。
圖5 上傳系統檔案
酬載電腦與地面系統驗測,針對硬體與軟體的測試,硬體由於嚴峻的太空環境,因此所有元件都必須要經過審慎的選料,另外,元件在正式上太空前均須要進行一連串的測試,例如輻射、熱真空、振動、衝擊、電磁相容等環境測試[6],確認元件的可靠度,才能完整達到驗證程序。軟體測試均需要針對程式碼的測試覆蓋率達到近100%,也就是說每一個功能的程式都需要經過單元測試後方能通過驗證,並且自行開發驗測自動化與分析工具來協助軟體的驗證測試。
結論
開發低軌衛星通訊酬載電腦,從任務需求、設計、規劃到後續開發與驗證均須要遵守嚴謹的規範,並且通過模組測試,系統測試到衛星工程體整合測試,經過以上之3階段歷程,才可逐步完成驗證測試工作。 通過層層考驗之衛星產品,最終可以進入衛星發射前最終階段之整合測試,並達到可以長時間存活在太空環境的高可靠度通訊酬載電腦。資通所未來將循序漸進,從硬體的元件選料到整合功能驗證,以及軟體的配合開發與單元功能測試,最後完成通過輻射等測試以達到上太空的目標。
參考文獻
[1] NASA Returns Hubble Space Telescope to Science Operations Available at: https://www.nasa.gov/feature/goddard/2021/operations-underway-to-restore-payload-computer-on-nasas-hubble-space-telescope
[2] Failure mode and effects analysis - Wikipedia Available at: https://en.wikipedia.org/wiki/Failure_mode_and_effects_analysis
[3] Fault detection and isolation – Wikipedia Available at: https://en.wikipedia.org/wiki/Fault_detection_and_isolation
[4] Channel state information Wikipedia Available at: https://en.wikipedia.org/wiki/Channel_state_information
[5] PPS (pulse per second) signal. - Wikipedia Available at: https://en.wikipedia.org/wiki/Pulse-per-second_signal
[6] 福爾摩沙衛星五號- 國家太空中心 - 歡迎來到國家太空中心 - Wikipedia Available at: https://www.nspo.narl.org.tw/inprogress.php?c=20021501
