葉志玲，黃曉峰，顧 明

（北京空間飛行器總體設計部，北京 100094）

引 言

月球探測器具有距離地球遠、飛行時間長、所處環(huán)境動態(tài)多變等特點，導致月球探測器的操作和控制與近地衛(wèi)星存在很大區(qū)別，例如上傳指令的延遲、星體的空間遮擋、低數(shù)據(jù)傳輸率、長期可靠運行等，利用地面測控站進行月球探測器的遙測和遙控已經(jīng)很難滿足探測器控制的實時性和安全性要求。月球探測器自主技術(shù)即通過在探測器上構(gòu)建自主運行管理平臺，自主地進行工程任務與科學任務的規(guī)劃調(diào)度、命令執(zhí)行、星上狀態(tài)的監(jiān)測與故障時的系統(tǒng)重構(gòu)，完成無人參與情況下的探測器長時間自主安全運行，已經(jīng)逐漸成為月球探測領域未來發(fā)展的一項關鍵技術(shù)。

“嫦娥4 號”任務的重大特點是基于中繼鏈路進行測控數(shù)傳通信，在月球背面進行軟著陸并開展科學探測。需要利用自主運行技術(shù)解決如何降低中繼鏈路的使用風險，確保中繼鏈路故障情況下關鍵事件、關鍵分系統(tǒng)的安全性與可靠性的難題。

1 自主運行需求

針對“嫦娥4號”在月球背面進行軟著陸并開展科學探測的任務目標，從以下3個方面獲取自主運行的需求。

1）應對月球背面未知風險

“嫦娥4 號”在月球背面利用中繼鏈路進行測控數(shù)傳通信，人類對月球背面地形地貌了解甚少，著陸點附近是否存在中繼鏈路遮擋？若存在遮擋如何有效地進行故障診斷，并在中繼星軌跡離開遮擋時如何快速重新建立中繼鏈路？這些都是迫切需要解決的問題。

2）降低中繼鏈路使用的風險

當中繼鏈路出現(xiàn)異常時，器上設備需要具備自我管理功能，減少對地面控制依賴，為排除中繼鏈路異常創(chuàng)造時間與可能。

3）保證關鍵事件完成的可靠性與精準性

在“嫦娥4號”的整個任務階段，有若干個影響任務成敗的關鍵事件，例如器箭分離、動力下降、兩器釋放分離、休眠喚醒等。這些事件時序要求強，不能中斷。如何讓器上執(zhí)行這些關鍵事件時，不受中繼鏈路因素的影響，提高關鍵事件完成的可靠性與精準性，也是不容忽視的問題。

2 自主運行策略設計

根據(jù)獲取到的自主運行需求，從完善自我診斷及重構(gòu)能力、增強未知風險應對能力、增加核心設備的自主管理能力、保證關鍵事件完成的可靠性與精準性4個方面制定策略。

2.1 自我診斷及重構(gòu)策略

作為整器自主運行核心的自主運行管理平臺，首先要保證自身高可靠高安全的工作。自主運行管理平臺由軟件和硬件協(xié)同工作而實現(xiàn)的，除了硬件進行備份、冗余設計外，軟件也需要提供一系列的自我診斷與重構(gòu)設計。

1）重要數(shù)據(jù)和器上時間備份在多個RT 終端中，確保了當一個終端發(fā)生故障時，重要數(shù)據(jù)仍能恢復。

2）應用軟件具有在軌維護功能，提供對軟件功能模塊（構(gòu)件）在軌修改、更換的支持能力。

3）總線消息的重試設計，為了更好地利用A、B總線的熱冗余功能，提高系統(tǒng)的可靠性，對不同的消息采用了不同的重試方法。

4）對各個RT終端的A、B總線進行輪檢，檢查周期為1 s（A、B 總線間隔交替），若與所有總線的通訊都不成功，在軟件自主切機使能時切機。

5）內(nèi)存自檢功能，周期性地讀取內(nèi)存數(shù)據(jù)，若發(fā)生單bit 錯誤，則將讀出數(shù)據(jù)進行回寫，糾正單bit錯誤；若發(fā)生雙bit 錯誤，在軟件自主切機使能時切機，否則復位。將1 M內(nèi)存全部讀取周期時間不超過3 h。

6）對器上時間停止檢查功能，自主切機使能時，SMU 應用軟件以64 個時間片（約7.68 s）為周期對器上物理時間進行檢查，如果連續(xù)3 次均未變化，則認為時間已停止，進行自主切機。

2.2 應對未知風險策略

當飛行階段在軌姿態(tài)異常，測控指向未知，不能與地面建立上下行鏈路時，器上會自動啟用啟旋控制功能；當落月后受到月球背面地形地貌遮擋，不能與中繼星建立前返向鏈路時，器上會自動啟用月面工作段返向天線自主切換管理功能，讓整器以第一時間能與離開遮擋的中繼星建立前返向鏈路，把未知因素帶來的風險降到最低。

1）啟旋控制功能：通過監(jiān)視和分析地面指令到達情況，軟件可發(fā)出指令使整器按預先設置以小角度自動旋轉(zhuǎn)，直到地面捕獲接收到上行指令，停止自身旋轉(zhuǎn)，恢復上下行鏈路。

2）月面工作段返向天線自主切換管理：實現(xiàn)月球背面工作階段對返向天線的狀態(tài)診斷和自主切換。通過監(jiān)視和分析地面指令到達情況，軟件可自主執(zhí)行包含有開關指令和軟件指令的復合型指令序列，實現(xiàn)從定向天線返向鏈路到全向天線返向鏈路的切換。

2.3 核心設備自主管理策略

器上平臺系統(tǒng)是探月任務的保障，當中繼鏈路出現(xiàn)異常時，在不依賴地面控制的前提下，熱控自主管理功能、蓄電池組過放電保護功能保證器上能源的可靠與穩(wěn)定；高壓自鎖閥控制管理功能、軌控管路超壓管理功能保障推進分系統(tǒng)的可靠工作；測控固態(tài)放大器超溫斷電自主管理功能保障測控分系統(tǒng)的安全工作。自主管理任務的實現(xiàn)，為排除中繼鏈路故障創(chuàng)造時間與可能，大大降低了中繼鏈路的使用風險。

1）熱控自主管理功能：改進并增強加熱器自主控制功能，在“嫦娥3號”加熱器自主控制功能的基礎上，除了擴展加熱器數(shù)量和更新控制參數(shù)外，改進提高控制策略的靈活性，滿足熱敏電阻和加熱器多模式選用要求和復雜組合關系。

2）蓄電池放電保護功能：改進并增強蓄電池放電保護功能，在“嫦娥3號”蓄電池放電保護功能的基礎上，增加程控總線指令能力，滿足了載荷類型變化、控制要求精細度提高的要求。

3）高壓自鎖閥控制管理功能：實現(xiàn)高壓自鎖閥故障自主診斷和閥門控制管理，根據(jù)裝訂的策略和參數(shù)，篩選壓力遙測并進行分析處理，組合條件判斷確定狀態(tài)區(qū)間，選擇執(zhí)行對應的處理流程，自主調(diào)節(jié)高壓自鎖伐管路壓力。

4）軌控管路超壓管理功能：實現(xiàn)推進軌控管路超壓故障自主診斷和閥門控制管理，根據(jù)裝訂的策略和參數(shù)，篩選管道壓力遙測并進行分析處理，組合條件判斷確定狀態(tài)區(qū)間，選擇執(zhí)行對應的處理流程，自主調(diào)節(jié)軌控管路壓力。

5）測控固態(tài)放大器超溫斷電自主管理功能：實現(xiàn)對X 頻段測控固態(tài)放大器自主超溫診斷和斷電控制，根據(jù)裝訂的策略和參數(shù)，篩選固放溫度遙測并進行分析處理，組合條件判斷超限后，自主執(zhí)行相關測控開關指令序列，實現(xiàn)X 頻段測控固態(tài)放大器關閉保護。

2.4 關鍵事件可靠執(zhí)行策略

在“嫦娥4號”的整個任務階段，有若干個影響任務成敗的關鍵事件，例如器箭分離、動力下降、兩器釋放分離、休眠喚醒等。這些事件時序要求強，不能中斷。如何讓器上執(zhí)行這些關鍵事件時，不受測控鏈路因素的影響，提高關鍵事件完成的可靠性與精準性，無疑需要利用器上自主管理的方法來解決。

1）星箭分離程序控制功能：通過判斷星箭分離信號，來啟動星箭分離以后的程控指令，按預先設置時序完成火工品控制電路加電，貯箱增壓、姿控管路推進劑充填、太陽翼解鎖、轉(zhuǎn)移機構(gòu)第一次解鎖、火工品控制電路斷電、切換測控工作模式等功能。

2）動力下降、休眠延時指令鏈功能：新增對制導/導航與控制技術(shù)（Guidance Navigation and Coutrol，GNC）分系統(tǒng)的延時注入數(shù)據(jù)管理和發(fā)送功能，為姿態(tài)軌道控制數(shù)據(jù)和GNC 指令提供存儲管理和按時輸出功能，解決了月球背面動力下降階段短時間內(nèi)大量控制指令及時、準確、可靠執(zhí)行的關鍵難題。

3）喚醒自主狀態(tài)設置：喚醒后自主進行狀態(tài)設置，對器上設備自主開機，按預期設置測控狀態(tài)，自動開啟兩相流體回路自主關閉功能，實現(xiàn)兩項流體回路自主管理。能夠根據(jù)篩選的遙測數(shù)據(jù)分別對+Y兩項流體回路和-Y兩項流體回路進行狀態(tài)判斷，自主執(zhí)行相應的指令計劃，完成回路自主關閉。

3 自主運行任務實現(xiàn)

根據(jù)自主運行策略設計一套平臺來實現(xiàn)自主運行任務。充分繼承探月成熟計算機硬件設計作為自主運行管理平臺的硬件環(huán)境。大力挖掘軟件能力，充分合理利用有限的器載計算機計算處理能力和存儲資源，在軟件應用層利用構(gòu)件化設計增加自主運行任務模塊，提升著陸器信息化、智能化水平，豐富和增強軟件自主運行能力以減少對地面控制的依賴。此方案通過盡可能多地采用經(jīng)飛行試驗驗證過的硬件和軟件構(gòu)件以提高系統(tǒng)的可靠性。不僅可縮短航天器開發(fā)的周期、節(jié)約經(jīng)費，又有助于提高數(shù)管系統(tǒng)及其設備的通用性，易于滿足不同航天器飛行任務的需要，避免重復開發(fā)。

3.1 體系結(jié)構(gòu)設計

自主運行管理平臺由硬件平臺和軟件平臺構(gòu)成見圖1，硬件平臺繼承成熟產(chǎn)品，不需要重新開發(fā)，軟件平臺分為操作系統(tǒng)層與應用層。底層是嵌入式實時操作系統(tǒng)，應用層包括通用任務模塊與自主運行任務模塊。通用任務模塊包括遙測、遙控、指令輸出、復接下傳、數(shù)據(jù)交換、總線通信等基礎功能。自主運行任務模塊對軟件可靠性、容錯性、可用性、自主管理等方面的支持，包括提供資源與狀態(tài)的監(jiān)控、飛行任務監(jiān)控處理、信息處理、地面控制信息處理、遠程加載與維護、故障診斷與處理、事件通知、任務規(guī)劃等功能。

圖1 CE-4自主運行管理平臺體系結(jié)構(gòu)圖Fig.1 Architecture of platform of autonomous operation and management

3.2 軟件實現(xiàn)

3.2.1 操作系統(tǒng)層

實時多任務操作系統(tǒng)為應用軟件提供操作接口，以完成應用軟件的實時多任務并發(fā)調(diào)度運行。操作系統(tǒng)采用微內(nèi)核的結(jié)構(gòu)，同時具有程序動態(tài)連接和下載的功能。支持可搶占的調(diào)度，支持優(yōu)先級翻轉(zhuǎn)協(xié)議。充分考慮操作系統(tǒng)的功能、性能、可靠性、可維護性和繼承性，選用ASOS作為自主運行管理平臺的操作系統(tǒng)。

系統(tǒng)軟件由3個主要部件組成：BSP支持包、內(nèi)核和接口管理器，采用分層的設計思想，其體系結(jié)構(gòu)如圖2所示。

圖2 系統(tǒng)軟件體系結(jié)構(gòu)圖Fig.2 Architecture of system software

圖2描述了系統(tǒng)軟件設計的3 個層次，3 個模塊共同組成一個完整的支撐性軟件，為底層的硬件和上層的應用軟件架設一座橋梁：為上層的應用軟件封裝了底層硬件的實現(xiàn)，提供系統(tǒng)調(diào)用服務；同時為應用任務提供多任務的運行環(huán)境，中斷管理的支持，任務間的通信機制及定時器的支持。

1）板級支持包（BSP）模塊：ERC32 處理器的初始化和啟動代碼，完成ERC32 處理器串口和RTC定時器的初始化，封裝對其的操作；建立原始的中斷向量表；完成內(nèi)存檢測、初始化以及數(shù)據(jù)段的搬移、非初始化數(shù)據(jù)段的初始化；同時初始化內(nèi)核模塊和接口管理器中的數(shù)據(jù)結(jié)構(gòu)，建立系統(tǒng)的運行環(huán)境。

2）內(nèi)核模塊：系統(tǒng)軟件底層的設計實現(xiàn)，為接口管理器提供服務，調(diào)用板級支持包中相應的功能模塊完成底層硬件的操作。主要包括進程管理模塊、雙向鏈表管理模塊、消息隊列管理模塊、定時器管理模塊、時鐘管理模塊、工作空間管理模塊、中斷管理模塊；內(nèi)部錯誤管理模塊。

3）接口管理器：是應用程序直接調(diào)用的系統(tǒng)服務，將應用任務的調(diào)用轉(zhuǎn)化到內(nèi)核模塊實現(xiàn)，是系統(tǒng)軟件的外部接口。其由任務管理器、消息隊列管理器、定時器管理器、中斷管理器、I/O 接口管理器組成。

3.2.2 應用層

應用層的設計采用面向數(shù)據(jù)流的方法，根據(jù)自主運行策略，逐一分解各個功能需求，按照數(shù)據(jù)流向劃分任務模塊，應用層的任務模塊劃分如圖3所示。通用任務實現(xiàn)探測器的常規(guī)功能，自主運行任務實現(xiàn)了故障診斷與處理、飛行任務監(jiān)控處理、關鍵事件自主執(zhí)行等功能。并逐一聯(lián)合實現(xiàn)了自主運行策略所提到的功能。

圖3 應用層任務模塊Fig.3 Assignment module of application layer

利用已劃分好的任務對應用軟件做頂層設計，將應用軟件劃分為11 個進程，各項任務需求與軟件進程之間的對應關系如表1所示。通用任務所對應的內(nèi)務管理進程、遙測進程、數(shù)據(jù)交換進程、復接下傳進程、機構(gòu)控制進程、串口通信進程已有成熟構(gòu)件，不需改動與重復開發(fā)；自主運行任務所對應的遙控接收進程、指令處理與輸出進程、自主管理進程、自檢測進程、內(nèi)務管理進程需要升級或重新研制。

以自主管理進程中的蓄電池放電保護功能為例，詳細說明軟件的實現(xiàn)過程。該功能對用電設備劃分優(yōu)先級，在蓄電池組放電時，監(jiān)視各個電池個體的電壓，統(tǒng)計電壓低于放電保護閾值的個體數(shù)量，根據(jù)低壓電池個數(shù)關閉對應優(yōu)先級的設備。實現(xiàn)步驟如下：

表1 應用層功能分解表Table 1 Function analyzing of application layer

1）對全部N個電池個體，分別設定其放電保護閾值（單位為電壓單位：伏特）；

2）對所有需要蓄電池供電的設備，按照其功能作用，分配優(yōu)先級，優(yōu)先級的取值范圍為從1～N，數(shù)值越大優(yōu)先級越高，表明設備越重要，應盡量保證對其供電，優(yōu)先級取值可以不連續(xù)，也可以有多個設備優(yōu)先級相同；

3）蓄電池處于放電模式時，周期采集各個電池個體的電壓值，分別與其放電保護閾值相比較，統(tǒng)計電壓低于放電保護閾值的電池個數(shù)M；

4）將M與各個設備的優(yōu)先級比較，對于優(yōu)先級不高于M的設備發(fā)出關閉指令。

在第4）步中，為了減少工作量提高檢查比較的效率，可將各個設備按優(yōu)先級由低到高排序，并記錄下已被關閉的設備信息（如關閉設備個數(shù)或優(yōu)先級），只檢查比較尚未關閉的設備，檢查至出現(xiàn)優(yōu)先級高于M的設備即停止，流程圖如圖4所示。

圖4 蓄電池放電保護功能模塊流程圖Fig.4 Floor-process diagram of storage battery discharged protect

此構(gòu)件的實現(xiàn)可以根據(jù)蓄電池組中各電池個體的電壓情況，在電量減少時分級別、分批次停止對用電設備的供電，保護蓄電池避免過度放電，并減少對重要設備正常工作的影響。

將表1中自主運行任務所對應的構(gòu)件全部實現(xiàn)，最終完成了自我診斷與重構(gòu)能力，包括：RT 輪檢、總線重試、內(nèi)存自檢、時間檢查、在軌維護、復位切機后重要數(shù)據(jù)及狀態(tài)恢復等功能；增強未知風險處理能力，包括：啟旋控制功能、月面工作段返向天線自主切換管理功能的實現(xiàn)；并增加核心設備熱控、蓄電池組、高壓自鎖閥、軌控管路、測控固態(tài)放大器的自主管理能力；在器箭分離、動力下降、兩器釋放分離時刻按預期自主準確發(fā)令，保證關鍵事件精準執(zhí)行同時保證休眠喚醒后狀態(tài)的可靠設置。

4 結(jié)束語

通過在軌飛行驗證，“嫦娥4 號”自主運行技術(shù)的運用除了完善自我診斷及重構(gòu)能力，還增強了對未知風險的應對能力，增加核心設備的自主管理能力，保證關鍵事件完成的可靠性與精準性。在“嫦娥4號”發(fā)射飛行、月背著陸、月面工作、休眠喚醒的全過程中經(jīng)歷了所設計的全部工作模式，自主管理功能均工作正確完全符合預期，得到了實際檢驗，并有力支持了任務圓滿成功。