核工业检测系统通信链路的国产化元器件安全等级评估

摘要：核能设施数字化仪控系统对总线通信链路的功能安全性与抗辐照能力提出了严苛要求，尤其是在反应堆本体及乏燃料池等高辐射场环境中。本文以国科安芯推出的AS32S601型MCU与ASM1042S2S型CANFD收发器为研究对象，基于质子加速器单粒子效应试验、钴源总剂量效应试验、重离子辐照试验及脉冲激光等效模拟等多维度评估数据，系统分析其在核工业极端环境下的功能安全等级符合性。

1、引言

随着核能设施向智能化、数字化方向演进，现场总线通信已成为连接反应堆保护系统、核岛监测系统及事故后监测系统的核心技术。CANFD协议凭借其高带宽、确定性时延及多主节点仲裁机制，在核级仪控系统中逐步替代传统4~20 mA模拟信号传输。然而，核反应堆一回路附近存在γ射线与中子混合辐射场，累积剂量率可达10³ rad(Si)/h以上，且伴随高能中子引发的位移损伤效应，对通信链路上的微控制器与收发器构成严峻挑战。国际上核级仪控系统普遍遵循IEC 61508与IEC 61513标准，要求关键通信链路达到ASIL-C甚至ASIL-D等级，而国内在该领域的元器件评估体系尚不完善，依赖进口器件的局面制约了自主可控战略的实施。

国产抗辐照加固芯片近年来通过地面模拟试验与在轨验证积累了大量数据。国科安芯推出的AS32S601型MCU与ASM1042S2S型CANFD收发器作为国产商业航天级芯片，已通过100 MeV质子、钴60 γ射线及重离子加速器多维度考核。本文基于其完整的辐照试验数据链，结合功能安全等级分析方法论，系统评估其在核工业场景下的适用性，旨在构建从器件级考核到系统级验证的闭环评估框架。

2、国产化元器件技术特性与功能安全基础

2.1 MCU架构与功能安全机制

AS32S601型MCU采用32位RISC-V指令集内核，主频180 MHz，集成2 MiB主Flash、512 KiB数据Flash及512 KiB SRAM，均配备SECDED纠错码机制。该器件通过LQFP144封装实现144个GPIO引脚，支持4路CANFD接口，其功能安全等级按ASIL-B等级设计。关键安全机制包括双看门狗定时器、内存保护单元、时钟安全系统及错误收集与报告模块。从功能安全要素分解角度，硬件故障裕度为1，单点故障度量需满足≥90%，潜伏故障度量需满足≥60%方可达到ASIL-B等级。其纠错机制可覆盖单比特翻转，对多比特翻转的检测覆盖率需通过故障注入试验验证。电特性参数显示，IO驱动电流分四档可调，输入漏电流±10 μA，为核工业高电磁干扰环境提供了噪声容限。

2.2 CANFD收发器功能特征

ASM1042S2S型收发器支持5 Mbps数据段速率与1 Mbps仲裁段速率，兼容ISO 11898-1:2015标准。该器件采用SOP8L封装，集成待机模式与远程唤醒功能，显性功耗70 mA，隐性功耗2.5 mA，待机功耗仅5 μA。关键功能安全特性包括总线故障检测、共模范围-27 V~+32 V及TXD显性超时保护。在CANFD通信链路中，收发器作为物理层器件，其失效模式直接影响数据链路层完整性。ASIL-B等级要求收发器的残余故障率应小于10 FIT，关键故障模式包括总线驱动失效、接收灵敏度退化及共模瞬态抗扰度不足。

3、抗辐照效应试验与失效模式分析

3.1 质子单粒子效应试验结果

3.1.1 试验条件与统计置信度

在中国原子能科学研究院100 MeV质子回旋加速器上，两款器件均接受了1×10⁷ p·cm⁻²·s⁻¹注量率、1×10¹⁰ p·cm⁻²累积注量的考核。依据相关标准，若要证明器件在95%置信度下具备1×10⁻⁵次/器件·天的单粒子翻转发生率，需累积至少3倍于预期事件数的注量而无失效。试验中累积注量对应的等效在轨天数超过10⁶天，满足统计显著性要求。

3.1.2 MCU质子SEE响应

试验结果显示，AS32S601型MCU在100 MeV质子辐照下工作电流稳定，未观测到单粒子锁定或翻转现象。其512 KiB SRAM带纠错保护，在试验中未报告可纠正错误，表明质子诱发的单比特翻转率低于10⁻⁹ bit⁻¹·day⁻¹。然而，质子可能引发锁相环的瞬时扰动，虽未导致功能中断，但需在系统级增加时钟稳定时间监测。从功能安全角度，该结果支持单点故障度量≥90%的论断，但需补充故障树分析中的共因失效评估。

3.1.3 CANFD收发器质子SEE响应

收发器在同等条件下工作电流约8 mA，通信误帧率为零。值得注意的是，质子可能穿透SOP8L塑封材料，在内部高压LDMOS器件中引发微剂量效应，导致驱动电流缓慢退化。试验中未监测到此现象，但长期可靠性需通过168小时质子辐照后参数漂移测试补充验证。从ASIL-B要求看，收发器的残余故障率贡献小于1 FIT，满足链路级安全目标。

3.2 总剂量效应与退火行为

3.2.1 累积剂量与剂量率效应

钴60 γ射线试验采用25 rad(Si)/s剂量率，模拟核设施维修工况下的累积效应。AS32S601型MCU在150 krad(Si)后电流下降2.2 mA，归因于MOS器件阈值电压漂移导致的亚阈值漏电减少。该变化在±5%容限内，功能未受影响。依据增强低剂量率效应评估，商业航天级器件在0.01 rad(Si)/s低剂量率下可能出现更大退化，需对核退役环境补充低剂量率试验。

3.2.2 CANFD收发器的TID响应机制

收发器的总剂量失效模式主要为总线驱动器的跨导退化与ESD保护二极管的漏电增加。试验显示其输出差分电压在150 krad(Si)后仍保持1.5~3 V范围，但高压侧驱动器的导通电阻可能增大10%~15%。在CANFD总线终端匹配60 Ω负载下，该变化对信号完整性的影响需通过眼图测试量化。功能安全分析中，需将此退化纳入失效模式的检测覆盖率计算。

3.3 重离子单粒子锁定阈值

被测收发器接受了74Ge离子（LET=37.4 MeV·cm²/mg）辐照，未发生单粒子锁定。依据IEC标准，核设施中子与次级重离子的LET谱峰值集中于1~10 MeV·cm²/mg，但在屏蔽边缘可能产生>30 MeV·cm²/mg的碎片离子。

脉冲激光试验显示AS32S601型MCU在LET>65 MeV·cm²/mg时发生单粒子翻转，该结果因缺乏电荷轨迹效应而偏乐观。激光无法模拟重离子的电荷扩散与漏斗效应，对深阱器件的评估误差可达30%。因此，激光数据仅用于快速筛选，正式功能安全认证仍需依赖加速器重离子试验。

4、核工业CANFD通信链路功能安全架构

4.1 安全通信需求与ASIL分解

依据IEC 61513，核反应堆保护系统通信链路的整体安全等级需达到SIL3。通过ASIL分解，可将CANFD总线降为ASIL-B，前提是采用双通道冗余与独立故障检测。架构设计为：每路CANFD总线由独立收发器驱动，MCU实现端到端CRC校验与序列号监控，故障判定需同时检测物理层与数据链路层错误。

4.2 双冗余时间触发架构

为避免CANFD仲裁过程的不确定性，采用TTCAN协议预分配时间窗。双总线互为热备份，主总线故障切换至备用总线的最大中断时间需小于10 ms，该要求源于反应堆保护系统对传感器更新周期的严格限制。MCU的180 MHz主频可支持16个节点、1 ms周期调度表，其错误收集模块汇集双总线错误状态，驱动故障安全输出。

4.3 故障诊断覆盖率量化

功能安全等级评估的核心是故障诊断覆盖率。对收发器，关键故障模式包括总线开路、驱动能力退化及共模瞬态失效。对MCU，Flash纠错可检测99.6%的单比特翻转，但对多比特翻转覆盖率仅60%，需配合软件多副本投票提升潜伏故障度量。

5、结论与展望

国产MCU与CANFD收发器在质子、总剂量及重离子辐照下表现出良好的抗辐照性能，试验数据支持其达到ASIL-B功能安全等级。本文提出的双冗余TTCAN架构与故障诊断策略，可为国产化核级仪控系统提供参考。从工程实践看，需跨越从航天级到核级的环境适应性 gap，这不仅是技术挑战，更是标准体系与工业生态的协同建设过程。

审核编辑 黄宇