梁 克，鄧凱文，丁 銳，張 森

(中國空間技術研究院載人航天總體部，北京100094)

1 引言

目前載人航天器健康管理以地面飛行控制為主，飛控人員開展數(shù)據監(jiān)視、故障診斷和處置工作。對于影響航天員生命安全以及整船(器、站)能源、姿態(tài)、天地通信等平臺安全，且實時性處理要求高的故障，載人航天器設計了相應的安全模式，可在軌自主處置，為地面處理爭取時間［1］。

但是載人航天器組合體構造復雜化、任務多樣化、在軌運行長期化的發(fā)展趨勢對航天器在軌自主健康管理的能力提出了更迫切的需求。主要體現(xiàn)在:

1)為了支持多個載人航天器在軌構造復雜的組合體，同時開展越來越豐富的科學任務，航天器的設計變得復雜［2］。相應地，航天器的故障模式也迅速增長。傳統(tǒng)的健康管理模式對飛控人員的數(shù)量配置、業(yè)務素質要求高，導致航天器運營成本居高不下;

2)載人航天器在軌運行時間越來越長，地基、?；?、中繼等寶貴的測控資源不可能為載人航天器長期獨占［3］。這也需要航天器能自主地開展健康監(jiān)測、故障定位、故障處置等健康管理工作;

3)航天員在軌駐留時間更長，當發(fā)生艙壓異常、失火等影響航天員生命安全故障時，需要及時發(fā)現(xiàn)并自主開展應急處置，以確保航天員安全，為地面處理爭取時間;

4)在故障發(fā)生時，航天器本身應具有一定的判斷和自動維護能力，以減少航天員的工作量，使航天員有更多的時間完成更復雜的工作;同時，在航天員參與故障診斷和處置的情況下，航天器具備在軌自主健康管理的能力可以降低航天員開展故障診斷、處置工作的難度和復雜度。

本文提出了一種載人航天器自主健康管理系統(tǒng)的體系結構，并進一步研究了相關關鍵技術。

2 在軌自主健康管理定義

航天器自主健康管理是指航天器能夠對自身狀態(tài)進行監(jiān)控和感應，對出現(xiàn)的故障能夠自主進行檢測、隔離和恢復［4-5］，是航天器自主運行的重要保障。

和其他類型的航天器相同，載人航天器健康管理包括船(器、站)載健康管理系統(tǒng)和地面健康管理系統(tǒng)兩部分［4-5］。對于判據明確且有可自主實施的處置預案的故障，由船(器、站)載健康管理系統(tǒng)負責;對于不能由船(器、站)載健康管理系統(tǒng)自動檢測或無處置預案或處置預案不可自主實施的故障，由地面健康管理系統(tǒng)負責。

與衛(wèi)星等無人航天器不同，載人航天器在軌自主健康管理系統(tǒng)將考慮航天員的參與性，在航天員駐留期間，航天員可按照預先設定的故障診斷策略參與故障的定位，也可開展故障處置的工作。即載人航天器自主完成或者由航天員參與完成的健康監(jiān)測、診斷和處置都屬于在軌自主健康管理的范疇。

3 在軌自主健康管理系統(tǒng)體系結構

借鑒現(xiàn)有航天器自主健康管理系統(tǒng)的設計思想［6-7］，本文提出的層次式載人航天器在軌自主健康管理系統(tǒng)體系結構如圖1所示，包含基礎服務層和自主健康管理層。其中基礎服務層提供支撐在軌自主健康管理所需要的基本功能，自主健康管理層包含了實現(xiàn)在軌自主健康管理所需要的健康監(jiān)測、故障定位、故障處置(決策和執(zhí)行)功能。不同的服務部署在不同的硬件設備中，比如儀表分系統(tǒng)相關設備提供人機交互服務，各分系統(tǒng)計算設備都提供網絡通信服務，自主健康管理層的功能主要由自主健康管理主機和各分系統(tǒng)的主控計算機完成。

圖1 載人航天器在軌自主健康管理系統(tǒng)體系結構Fig.1 On-orbit health management architecture for manned spacecraft

3.1 基礎服務層

基礎服務層所提供的服務描述如下［6-7］:

1)天地通信服務。提供載人航天器與地面之間通信的手段，既可以將航天器的健康信息、故障診斷以及處置的過程和結果下行地面，地面也可以通過上行指令或注入數(shù)據來禁止、使能在軌自主健康管理功能，并隨時中止自主健康管理過程。該服務由測控通信分系統(tǒng)提供［8］。

2)人機交互服務。為航天員提供監(jiān)視自主健康管理過程甚至參與其中的手段。航天員利用該服務可獲知航天器的健康信息、故障處置的過程和結果。同時，采用一種人機互動的方式，讓航天員參與故障診斷和故障處置(航天員依據自主生成的診斷和處置策略，實施需要其配合完成的操作)。人機交互支持聲、光、電等多種形式。該服務由儀表分系統(tǒng)提供［9］。

3)網絡通信服務。提供航天器內部(艙段內、艙段間)信息交互的手段。載人航天器采用多層1553B總線網絡，自主健康管理主機要實現(xiàn)多條總線上的設備的健康管理，而分系統(tǒng)的主控計算機既要通過高層次總線接收自主健康管理主機的管理，也要通過下一層次的總線實現(xiàn)區(qū)域內設備的健康監(jiān)測和部分管理功能。載人航天器采用以太網通信技術實現(xiàn)音頻、視頻、載荷等設備之間的大流量數(shù)據交互。

4)遙測處理服務。提供設備健康信息，并對故障診斷過程和結果中的遙測數(shù)據進行采集、組幀和存儲。該服務由1553B總線和以太網總線終端提供。遙測數(shù)據建議由專門的大容量存儲設備集中存儲，以減少分散存儲帶來的管理代價。

5)指令處理服務。根據故障處置策略，執(zhí)行相應的指令序列，實現(xiàn)設備開、關、工作模式轉換等。分系統(tǒng)的各主控計算機均應能提供故障處置策略中可能涉及的指令的處理能力。

6)在軌維護服務。提供自主健康管理系統(tǒng)在軌升級的功能。通過在軌維護，可更改或增加新的診斷策略、故障模式及處置策略。該服務由分系統(tǒng)各主控計算機提供，包含2個層次:①參數(shù)級維護，如更改故障的判斷門限;②函數(shù)級維護，如增加新的故障預案。

3.2 自主健康管理服務層

與現(xiàn)有自主健康管理系統(tǒng)［6-7］不同的是，本文運用了Boyd所提出的OODA(Observe-Orient-Decide-Act)循環(huán)［10］思想構建自主健康管理服務層，將在軌自主健康管理分解為健康監(jiān)測、故障定位、故障處置決策、故障處置執(zhí)行四項子行為。

1)健康監(jiān)測

在船(器、站)載產品測試性設計的基礎上，能夠利用先進傳感器及其它檢測手段，檢查部件、分系統(tǒng)或系統(tǒng)的功能和性能，充分獲取航天器健康狀態(tài)信息。當發(fā)生故障時，調用“遙測處理服務”將健康信息實時(測控條件允許)或延時(無測控條件)下行地面。必要時，調用“網絡通信服務”、“人機交互服務”告知航天員。

2)故障定位

利用先進的故障診斷數(shù)據處理與分析算法，在發(fā)生故障時及時定位或者隔離故障。定位的過程可由航天員配合完成。若在航天員參與情況下仍不能完成故障定位時，則退出自主健康管理的模式，交由地面飛控人員處理。

3)故障處置決策

故障處置過程按照故障類型采取分級處置的策略。處置策略包括:①單機功能降級、復位或重新加載;②切換備份部件;③分系統(tǒng)功能降低、單機設備切換實現(xiàn)功能重組;④切換應急模式、系統(tǒng)降級或重構。

4)故障處置執(zhí)行

故障處置執(zhí)行由分系統(tǒng)主控計算機以及各設備終端配合完成。按照故障處置的方案、故障診斷的需求完成對指令序列的處理，實現(xiàn)設備的開、關、工作模式轉換等操作。

5)基于OODA循環(huán)的交互模型

采用OODA循環(huán)的思想設計健康監(jiān)測、故障定位、故障處置決策、故障處置執(zhí)行四項子行為的交互模型。應用多價π演算采用自頂向下的方法對其進行形式化建模［11］。

(1)自主健康管理的模型

即自主健康管理行為由“健康監(jiān)測”、“故障定位”、“故障處置決策”和“故障處置執(zhí)行”四個子行為通過并發(fā)算子合成，并且無限循環(huán)。

(2)“健康監(jiān)測”子行為的模型

通過sense通道獲取參數(shù)數(shù)據，通過observed將融合后的健康信息輸出給“故障定位”;其他行為通過通道fbob將其反饋輸入到“健康監(jiān)測”。

(3)“故障定位”子行為的模型

“故障定位”子行為通過通道observed得到“健康監(jiān)測”結果，并將定位的結果通過通道oriented輸出;通過通道fbob，可以根據故障定位的需要指導“健康監(jiān)測”子項開展更深入、更有針對性的檢測;通過通道ctrla，可以根據故障定位的結果指導“故障處置執(zhí)行”。

(4)“故障處置決策”子行為的模型

“故障處置決策”子行為通過oriented通道得到“故障定位”的結果;通過decided將生成的故障處置方案輸出;通過通道fbob對“健康監(jiān)測”行為進行調整，使其更新監(jiān)測健康的對象和操作順序等。比如按照故障處置方案增加檢測的參數(shù)。

(5)“故障處置執(zhí)行”子行為的模型

“故障處置執(zhí)行”通過通道decided接收“故障處置決策”行為輸出的故障預案;通過通道interact輸出故障預案執(zhí)行后對系統(tǒng)的影響;通過通道fbob向“健康監(jiān)測”輸出反饋信息。

上述交互模型包含了在軌自主健康管理過程中的多個循環(huán)，這些循環(huán)的動態(tài)演變并行開展，相互交互，最終實現(xiàn)準確、高效的自主健康管理。

4 關鍵技術研究

基于第3節(jié)提出的在軌自主健康管理體系結構，以空間站為例，結合任務要求和特點，本節(jié)研究了相應的關鍵技術。

4.1 分級分層的服務部署技術

空間站站載健康信息的采集、傳輸以及處置指令的分發(fā)、執(zhí)行主要依靠系統(tǒng)網實現(xiàn)。空間站系統(tǒng)網采用全總線的設計思路，每個艙段使用多條1553B總線作為系統(tǒng)網主總線，主總線掛接了各分系統(tǒng)的主控設備，且分系統(tǒng)內部采用了二級1553B總線，完成分系統(tǒng)內指令、遙測、注入數(shù)據等通信數(shù)據的傳輸［12］。

空間站健康狀態(tài)包括能源、熱管理、載人環(huán)境、姿軌控、信息、艙體結構等各功能系統(tǒng)的信息，每個功能系統(tǒng)的健康信息需要包含各個設備的工作狀態(tài)。因此空間站健康信息的種類及數(shù)量多，且故障模式復雜。

針對上述特點，空間站將在軌自主健康管理的服務分級分層地部署在各類計算設備上:

1)對于影響局限于分系統(tǒng)內部的故障，相應的監(jiān)測、定位、處置等服務由各分系統(tǒng)負責實現(xiàn);對于需要多個分系統(tǒng)配合完成或者影響平臺及航天員安全的重大故障，相應的健康管理服務由整站的自主健康管理計算機(數(shù)管分系統(tǒng)的核心處理單元)完成。

2)在軌自主健康管理各服務部署在分系統(tǒng)各類計算機中，其中數(shù)管分系統(tǒng)的核心處理單元實現(xiàn)了系統(tǒng)級的健康監(jiān)測服務、關鍵故障的定位及處置服務;各個分系統(tǒng)的控制器實現(xiàn)了分系統(tǒng)級的健康監(jiān)測服務、分系統(tǒng)內部故障的定位及處置服務，并將健康信息傳遞給核心處理單元;區(qū)域/專用控制器實現(xiàn)了底層的采集功能，為上層健康監(jiān)測提供信息，同時實現(xiàn)指令控制功能，以執(zhí)行故障處置的決策。如圖2所示。

分級分層的服務部署使得空間站自主健康管理系統(tǒng)具有更快的故障響應速度，減輕了核心處理單元的計算負荷以及主干網絡的通信負荷。同時各類計算機采用了不同處理速度的處理器芯片，提高了系統(tǒng)資源的利用率，節(jié)省了設計成本。

圖2 在軌自主健康管理服務在各類計算機上的部署Fig.2 Deployment of health management service on different types of computers

4.2 分類故障診斷技術

根據故障的類別，采用分類故障診斷技術。

對于影響平臺及航天員安全的緊急重大故障，如座艙失壓失火、能源故障、姿態(tài)翻滾、推進管路泄露等，宜采用極限檢查的方式進行故障監(jiān)測(判斷關鍵參數(shù)是否處于正常工作范圍)［13］，以提高故障判斷的可靠性以及故障發(fā)現(xiàn)速度。故障發(fā)生后快速設置，進入安全模式。故障定位以及后續(xù)處置由地面負責。

對于非緊急重大故障，可采用基于模型的檢測方法。將系統(tǒng)當前狀態(tài)同預先設定的數(shù)學或解析模型進行對比，發(fā)現(xiàn)故障后，采取分層診斷的策略。對于不涉及與其他分系統(tǒng)接口的故障，或者通過健康信息可以在本分系統(tǒng)內定位的故障，由分系統(tǒng)的主控計算機或者航天員參與完成故障診斷;對于需要其他分系統(tǒng)配合完成的故障診斷，由分系統(tǒng)主控計算機交給自主健康管理主機完成。

采用“基于故障樹的故障診斷方法”［13］。故障診斷時，以故障樹為依據逐層進行準確的故障定位。一種簡化的辦法是，可以在故障發(fā)生時首先與最小割集比較，以期實現(xiàn)快速定位。

準確的故障診斷要求系統(tǒng)設計時要充分開展可測試性設計，力爭可認知故障的故障檢測率和故障隔離率達到100%。

以能源系統(tǒng)的故障為例，當出現(xiàn)太陽電池翼、驅動機構、配電系統(tǒng)故障等緊急重大故障時，發(fā)電能力將降低，電池放電深度增加。核心處理單元采用極限檢查的方式進行故障的監(jiān)測，選取電池放電深度超過門限值作為判決條件。故障發(fā)生后，核心處理單元自主清除后續(xù)飛行程序，并關閉負載來降低空間站的功耗，使飛行器進入平臺能源安全模式，等待地面進一步處置。

當出現(xiàn)其他非緊急重大故障時，某一時段功率通道能量不平衡，即儲能電池在陰影區(qū)的放電容量不能在陽照區(qū)得到有效充滿。由總體電路分系統(tǒng)的能源管理器采用基于模型的方法進行故障監(jiān)測。故障發(fā)生后，將未達到能量平臺的功率通道上的雙母線供電設備切換到另一通道上，或者按照負載優(yōu)先級列表依次關斷該功率通道上的負載。

能源管理器采用“基于故障樹的故障診斷方法”，進一步確定故障的位置，并按照策略進行處置。需要航天員參與的，由航天員按照既定的方法和操作步驟開展診斷和處置。

4.3 基于在軌維護的故障模型配置技術

由于空間站系統(tǒng)復雜，且計算存儲能力、通信帶寬有限，考慮到可靠性、安全性的原則，在空間站運行初期在軌自主健康管理系統(tǒng)只處理故障判據明確，且處置較為簡單的故障。但隨著在軌飛行數(shù)據的積累及地面充分驗證，對于故障模型及診斷、處置策略可以確定的故障，可移交給在軌自主健康管理系統(tǒng)完成。

綜合考慮靈活性可知，自主健康管理系統(tǒng)對故障模型的配置需求至少體現(xiàn)在以下方面:

1)故障的判據、故障診斷的方法、故障處置的策略應支持在軌更改;

2)應支持地面飛控人員對任一自主故障管理功能的使能和禁止;

3)應支持增加新的故障模式。

按照4.1節(jié)描述，健康監(jiān)測、故障診斷等服務主要部署在核心處理單元及各分系統(tǒng)控制器中，因此要求上述計算機具備軟件在軌維護功能，可采用的方法包括［14-15］:

1)固定地址參數(shù)的維護方法。將需要在軌修改的參數(shù)分類整理，通過設計地面注入數(shù)據塊的方式，在需要時對這些參數(shù)進行更改。這種方法簡單實用，適用于故障判據的配置;

2)基于模塊地址劃分的方法。適用于EEPROM/FLASH+SRAM架構。維護對象是軟件構件或模塊。這種方法需要在軟件設計階段就充分考慮結構化和模塊化設計，盡可能使軟件結構低耦合、高內聚;

3)基于鉤子函數(shù)的方法。適用于PROM+SRAM架構的系統(tǒng)，在軟件中預埋鉤子，在SRAM的程序注入區(qū)上注入一段代碼，鉤子函數(shù)在執(zhí)行時通過指定的地址跳轉到注入區(qū)運行注入的函數(shù)，運行完畢后再返回/退出原函數(shù)繼續(xù)執(zhí)行，這樣就可替換原函數(shù)的功能。

其中“固定地址參數(shù)的維護方法”適用于故障判據的配置，后兩者適用于故障診斷方法、處置策略的配置，以及新型故障模式的添加。

4.4 基于構件的軟件實現(xiàn)技術

構件是被標準化的可重用的軟件資源［16］。基于構件的開發(fā)是在一定構件模型的支持下，復用一個或多個軟件構件，通過組合的方法高效率、高質量地構造應用軟件系統(tǒng)的過程。

以“健康監(jiān)測”為例，一種簡化的構件定義如圖3所示。健康監(jiān)測構件(HealthMonitor)包含了三個外部可訪問的接口:

1)GetHealthInfo()，獲取當前的狀態(tài)信息;

2)CtrObjList()，更改健康檢測的設備列表;

3)ModifyMonitorParam()，更改健康檢測的參數(shù)，如檢測周期、檢測算法等。

故障診斷構件FaultDetection可以通過上述接口實現(xiàn)對HealthMonitor的訪問。

HealthMonitor同時定義了兩個私有的內部接口，DeviceCheck()實現(xiàn)對單臺設備的檢測，RunOneCycel()定義了一個完整的健康檢測周期內需要進行的操作，其中包括了對提供天地通信服務的構件SpaceCommunication、提供在軌維護服務的構件MaintenanceOnorbit的訪問。

圖3 健康監(jiān)測構件定義示意圖Fig.3 Definition of health monitor component

以往航天軟件采用面向過程的軟件開發(fā)方法，大多數(shù)只能實現(xiàn)源代碼級別的復用［17］。上述基于構件的實現(xiàn)方法引入了面向對象的思想，可以為航天器應用軟件的開發(fā)提供體系結構和構件層次的復用，提高了軟件的開發(fā)效率。

5 結論

為了滿足載人航天器長期飛行、承擔大量科學試驗的任務目標，提升載人航天器在軌自主健康管理的能力變得越來越迫切。本文提出了一種載人航天器在軌自主健康管理系統(tǒng)體系結構，并采用OODA循環(huán)的思想定義自主健康管理的交互模型，為實現(xiàn)自主健康管理提供了有利支持。同時，以空間站為例，研究了分級分層的服務部署技術、分類故障診斷技術、基于在軌維護的故障模型配置技術以及基于構件的軟件實現(xiàn)技術。

［1］李智勇.“天宮一號”目標飛行器系統(tǒng)級自主安全設計［J］.航天器環(huán)境工程，2011，28(6):525-528.

［2］朱毅麟.空間站應用的發(fā)展及存在問題［J］.航天器工程，2009，18(1):13-20.

［3］李晴，孫國江，李孝同.基于星務管理系統(tǒng)的小衛(wèi)星自主健康管理系統(tǒng)［J］.航天器環(huán)境工程，2012，29(5):574-578.

［4］Felke T，Hadden G，Miller D，et al.Architectures for Integrated Vehicle Health Management［C］//Proc.2010 IEEE Aerospace Conference，Atlanta，Georgia.2010:20-22.

［5］Benedettini O，Baines T S，Lightfoot H W，et al.State-ofthe-art in integrated vehicle health management［J］.Proceedings of the Institution of Mechanical Engineers，Part G:Journal of Aerospace Engineering，2009，223(2):157-170.

［6］曹國榮.航天器在軌自主健康管理技術的研究和應用［D］.湖南:國防科技大學，2007.

［7］張弓，劉崇華，潘宇倩，等.導航衛(wèi)星自主健康管理系統(tǒng)的架構實現(xiàn)方案［C］//第二屆中國衛(wèi)星導航學術年會電子文集，2011.

［8］于志堅.載人航天測控通信系統(tǒng)［J］.宇航學報，2004，25(3):247-250.

［9］李衛(wèi).神舟飛船儀表與照明系統(tǒng)研制［J］.航天器工程，2004，13(1):111-117.

［10］Boyd J R.A discourse on winning and losing［M］.1987.

［11］仲輝，陳超，王維平，等.基于π演算的指揮決策行為形式化建模研究［J］.系統(tǒng)仿真學報，2007，19(15):3609-3613.

［12］陳志國，張強.國際空間站信息系統(tǒng)架構綜述［J］.載人航天，2011，17(001):5-9.

［13］曾聲奎，吳際.故障預測與健康管理技術的現(xiàn)狀與發(fā)展［J］.航空學報，2005，26(5):626-632.

［14］Martelli A，Torchia F，Sarlo L.The on-board software maintenance in the Beppo-SAX mission［C］//IAF，International Astronautical Congress，48 th，Turin，Italy.1997.

［15］Garrido B，Garcia A，Alfaro N，et al.MINISAT01 on-board software maintenance［C］//DASIA 98-Data Systems in Aerospace.1998，422:65.

［16］馮慶，桑楠，熊光澤.嵌入式應用中運行支撐框架的構件化技術研究［J］.計算機科學，2005，32(3):152-155.

［17］Cechticky V，Montalto G，Pasetti A，et al.The AOCS Framework［J］.EUROPEAN SPACE AGENCY-PUBLICATIONS-ESA SP，2003，516:535-540.