姚鑫雨 張莎莎 任放 趙晨光 趙里恒

(1 北京空間飛行器總體設計部，北京 100094)(2航天恒星科技有限公司，北京 100095)

隨著高分辨率衛(wèi)星遙感技術的發(fā)展，遙感衛(wèi)星用于地理測繪可以有效提高測繪效率，降低地形復雜地區(qū)的測繪難度。2019年11月發(fā)射的高分七號衛(wèi)星，可用于1∶10 000比例尺立體地理信息產(chǎn)品的生產(chǎn)和更新，其高精度立體測繪的實現(xiàn)得益于星載GPS接收系統(tǒng)提供的高精度、全天候定位授時數(shù)據(jù)。高分七號衛(wèi)星上的多個系統(tǒng)均要使用GPS接收系統(tǒng)數(shù)據(jù)，以提高定軌或時統(tǒng)精度；同時，地面進行衛(wèi)星精密定軌處理也要利用星載GPS接收系統(tǒng)輸出的觀測數(shù)據(jù)。為此，衛(wèi)星的軌道測量精度要滿足極高的要求，而且GPS接收系統(tǒng)所提供的數(shù)據(jù)要具有較好的連續(xù)性和完好率，這就需要GPS接收系統(tǒng)能夠完成長期穩(wěn)定的在軌運行并持續(xù)提供服務。

星載GPS接收系統(tǒng)作為衛(wèi)星全生命周期長期運行的平臺設備，含有數(shù)字信號處理器(DSP)、現(xiàn)場可編程門陣列(FPGA)、靜態(tài)隨機存取存儲器(SRAM)及閃速存儲器(Flash)等對單粒子敏感的數(shù)字電路器件，在復雜的空間環(huán)境下，易發(fā)生單粒子翻轉，導致服務中斷。特別對于像高分七號衛(wèi)星這類運行于太陽同步軌道的低軌遙感衛(wèi)星，每天都會多次經(jīng)過諸如南大西洋異常區(qū)等單粒子翻轉事件頻發(fā)區(qū)域，如果遇到太陽爆發(fā)質(zhì)子事件，縱然星載GPS接收系統(tǒng)采取了一定的單粒子屏蔽措施，仍然不可避免地受到單粒子翻轉事件的影響。為此，對GPS接收系統(tǒng)運行狀態(tài)的實時監(jiān)控和自主智能管理成為了高分七號衛(wèi)星健壯設計的關鍵環(huán)節(jié)之一。

故障預測與健康管理(PHM)是一種智能健康管理技術[1]，包括系統(tǒng)故障檢測、故障診斷和隔離、故障預測、健康管理和決策等方面[2]。PHM技術起源于美國聯(lián)合攻擊戰(zhàn)斗機(JSF)的研制[3]，并盛行于美國航空航天研究領域。為了實現(xiàn)高分七號衛(wèi)星GPS接收系統(tǒng)的在軌穩(wěn)定運行，本文針對GPS接收系統(tǒng)特點，基于PHM技術提出一種多層級的健壯設計，給出了多層級健壯設計的關鍵技術及實現(xiàn)途徑，可為后續(xù)航天器GPS接收系統(tǒng)和其他星載系統(tǒng)的健壯運行管理設計提供參考。

1 高分七號衛(wèi)星GPS接收系統(tǒng)特點

為了突破高分七號衛(wèi)星高精度立體測繪任務的關鍵技術，基于GPS接收系統(tǒng)可提供高精度、全天候定位授時數(shù)據(jù)的特點，星上多個系統(tǒng)與GPS接收系統(tǒng)建立了直接或間接數(shù)據(jù)交互，這對GPS接收系統(tǒng)設計提出了如下要求。

(1)提供高精度時統(tǒng)。時間同步精度是高精度測繪實現(xiàn)的基礎，高分七號衛(wèi)星GPS接收系統(tǒng)為有效載荷提供1次/秒的脈沖信號和對應的絕對時間作為有效載荷工作的時間基準，可達到微秒級別的時間同步精度。

(2)輔助有效載荷指標實現(xiàn)。為了提高雙線陣相機成像精度，以及激光測高距離門限實時設置的先驗合理性，高分七號衛(wèi)星GPS接收系統(tǒng)設計采用速高比計算模塊，通過裝載全球范圍的數(shù)字高程地圖，根據(jù)實時定位數(shù)據(jù)和姿態(tài)數(shù)據(jù)，實時計算高精度速高比數(shù)據(jù)，并轉換成積分時間數(shù)據(jù)和激光指向距離數(shù)據(jù)提供給有效載荷，為雙線陣相機進行像移補償和激光測高儀激光器出光方向至地球表面的距離測量提供數(shù)據(jù)。

(3)協(xié)助高速數(shù)據(jù)傳輸。高分七號衛(wèi)星數(shù)傳天線分系統(tǒng)在自主控制模式下需要借助GPS接收系統(tǒng)實時產(chǎn)生的高精度定位數(shù)據(jù)進行軌道預報計算，以實現(xiàn)數(shù)傳天線對地面站的準確跟蹤，保證波束指向始終保持在天線增益和極化隔離度滿足高速數(shù)據(jù)傳輸?shù)木确秶鷥?nèi)。

(4)實現(xiàn)高精度事后精密定軌。為了達到高分七號衛(wèi)星米級的圖像平面定位精度需求，衛(wèi)星總體設計方案對事后精密定軌精度提出了厘米級的要求，因此GPS接收系統(tǒng)不僅要實現(xiàn)定位精度的指標，還要保證所提供導航數(shù)據(jù)的連續(xù)性和完好率。

通過設計特點分析可知，GPS接收系統(tǒng)需要連續(xù)提供有效的服務，因此，建立GPS接收系統(tǒng)在軌運行健壯設計方案，對衛(wèi)星高精度測繪任務目標的實現(xiàn)尤為關鍵。

2 GPS接收系統(tǒng)健壯設計方案

本文基于PHM提出了高分七號衛(wèi)星GPS接收系統(tǒng)多層級健壯設計方案。PHM采用開放系統(tǒng)結構，針對不同的應用，PHM系統(tǒng)各環(huán)節(jié)的設計也有所不同，但是系統(tǒng)的總體設計理念是一致的。以美國波音公司最早提出的視情維修開放體系結構(OSA-CBM)[4]為參考，構建如圖1[4-5]所示的PHM系統(tǒng)架構框架。

圖1 基于OSA-CBM模型的PHM系統(tǒng)構架Fig.1 PHM system architecture based on OSA-CBM model

不同體系架構的PHM系統(tǒng)在層次劃分和設置上會具有一定的針對性設計，但其結構都可以概括為以下3個關鍵部分。

(1)數(shù)據(jù)采集部分。它主要包括系統(tǒng)狀態(tài)參數(shù)的采集、處理等功能，以此獲取PHM實時檢測數(shù)據(jù)。由于系統(tǒng)運行過程中內(nèi)部及外部接口狀態(tài)數(shù)據(jù)量大，部分參數(shù)特征不明顯，因此進行數(shù)據(jù)采集的關鍵在于確定可以表征系統(tǒng)健康特性的參數(shù)。

(2)監(jiān)測與評估部分。它主要對數(shù)據(jù)采集部分獲得的系統(tǒng)實時狀態(tài)參數(shù)進行監(jiān)測，通過與期望閾值比較實現(xiàn)系統(tǒng)健康狀態(tài)的識別與評估。期望值與運行閾值的設定及健康評估方案的選擇，決定了PHM系統(tǒng)運行的有效性，可以通過多狀態(tài)的關聯(lián)分析和多系統(tǒng)多參數(shù)的比對提高判決準確性。

(3)預測、報告與決策部分。它依據(jù)監(jiān)測與評估部分給出的系統(tǒng)健康狀態(tài)，對系統(tǒng)未來時間段內(nèi)的健康狀態(tài)進行預測，若已出現(xiàn)或可能出現(xiàn)故障，則進行決策處置或報告反饋。健壯設計的最終目的是保障系統(tǒng)持續(xù)運行。系統(tǒng)通過過去、現(xiàn)在的健康評估結果，對未來的系統(tǒng)健康狀態(tài)進行預測，有助于提前識別故障。

2.1 多層級健壯運行管理系統(tǒng)

結合上述PHM系統(tǒng)的3個關鍵部分，為實現(xiàn)衛(wèi)星GPS接收系統(tǒng)健壯運行管理的時效性和全面性，本文設計了如圖2所示的多層級健壯運行管理架構，該架構共包含單機/分系統(tǒng)級、整星級、星地級3個層級。

圖2 多層級健壯運行管理系統(tǒng)Fig.2 Multilevel robust operation management system

下面對多層級健壯運行管理架構中3個層級的應用思路進行簡述。

(1)單機/分系統(tǒng)級。它是多層級健壯運行管理架構的第1級，其內(nèi)部的健壯運行管理模塊可構成獨立的PHM系統(tǒng)。這些模塊首先具備數(shù)據(jù)采集功能，能夠通過與其他功能模塊間的數(shù)據(jù)交互直接獲取單機運行過程中產(chǎn)生的各種狀態(tài)參數(shù)；然后，通過一定的運行狀態(tài)閾值及期望值比較方法，根據(jù)采集到的參數(shù)對單機狀態(tài)進行監(jiān)控和判決；最后，針對預測得到的某些特定單機故障，采取必要的處置措施，或給出運行狀態(tài)信息報告至衛(wèi)星數(shù)管分系統(tǒng)。

(2)整星級。其健壯運行管理包括對單機/分系統(tǒng)級的故障補充處置和其他分系統(tǒng)的故障隔離。整星級數(shù)管分系統(tǒng)及其他系統(tǒng)，通過獲取單機/分系統(tǒng)級給出的運行狀態(tài)信息，經(jīng)匯總、融合得到更為全面的運行狀態(tài)判據(jù)，綜合整個衛(wèi)星系統(tǒng)的情況實現(xiàn)PHM功能，并作為單機/分系統(tǒng)級健壯運行管理的升級補充。單機/分系統(tǒng)級和整星級健壯運行管理功能的實現(xiàn)，可以通過設置獨立的PHM物理主體，也可以作為一個軟件配置項運行于常規(guī)功能的設備之上，甚至可以是設備常規(guī)軟件配置項中的一個單元模塊或附加功能。

(3)星地級。其健壯運行管理可以在單機/分系統(tǒng)級和整星級自主管理的基礎上，通過地面的人為干預完成更加復雜的故障識別與處置。地面可以將衛(wèi)星下傳的全部遙測數(shù)據(jù)作為PHM功能的參數(shù)輸入，經(jīng)過數(shù)據(jù)處理及運行狀態(tài)識別，由專家系統(tǒng)給出處置決策；也可以通過星上各單機/分系統(tǒng)生成的單機/分系統(tǒng)級信息報告，或數(shù)管分系統(tǒng)提供的系統(tǒng)級信息報告有選擇性地實現(xiàn)故障的快速識別和處理。這種方式可以提高星地級健壯運行管理的時效性和針對性。

2.2 GPS接收系統(tǒng)各層級健壯運行管理方法設計

依據(jù)上述多層級健壯運行管理架構，本文設計出高分七號衛(wèi)星GPS接收系統(tǒng)健壯運行管理中各層級的管理方法。

2.2.1 單機/分系統(tǒng)級健壯運行管理設計

高分七號衛(wèi)星所用的GPS接收系統(tǒng)主要通過通道處理模塊、導航解算模塊、軌道計算模塊、接口通信模塊和電源模塊實現(xiàn)導航定位授時功能。針對這些基本模塊，在單機/分系統(tǒng)級基于PHM技術建立一套PHM系統(tǒng)架構，其具體設計如下。

1)數(shù)據(jù)采集、狀態(tài)監(jiān)測與評估

對于PHM系統(tǒng)中的數(shù)據(jù)采集部分和監(jiān)測與評估部分，其重點在于表征系統(tǒng)健康狀態(tài)特征參數(shù)的選取及運行狀態(tài)的評估方法設計是否合理有效。針對以下幾類單機運行狀態(tài)，選取相應功能模塊中的參數(shù)進行采集、處理和監(jiān)控，并將采集到的數(shù)據(jù)與設定期望值或運行閾值進行比較，反映相應系統(tǒng)的運行狀態(tài)。

(1)軟件運行狀態(tài)。GPS接收系統(tǒng)軟件需要同時兼顧GPS信號實時處理及與星上其他設備的接口通信，對軟件處理時長有嚴格要求，因此通過獲取軟件循環(huán)中特定操作的執(zhí)行間隔或執(zhí)行時長監(jiān)控軟件運行狀態(tài)。

(2)通信狀態(tài)。GPS接收系統(tǒng)內(nèi)部各板間通信及接收系統(tǒng)與外部的總線通信，均按照固定周期進行，通過監(jiān)控相鄰2次通信信號間的時間間隔獲取設備內(nèi)部通信狀態(tài)的運行情況。

(3)導航衛(wèi)星星歷狀態(tài)。為了評估獲取到的導航衛(wèi)星數(shù)據(jù)健康狀態(tài)，對導航電文狀態(tài)進行監(jiān)測，包括導航衛(wèi)星星歷完整性、導航衛(wèi)星星歷及歷書關鍵參數(shù)合法性等。根據(jù)GPS導航定位原理，在識別導航衛(wèi)星可用性時，首先對該衛(wèi)星的必要子幀收集情況進行判斷[6]。對于導航衛(wèi)星關鍵參數(shù)的合法性，則在檢測衛(wèi)星歷書中導航衛(wèi)星健康標志是否為“0：健康”的基礎上，特別針對導航衛(wèi)星軌道參數(shù)及接收系統(tǒng)提取的星歷信息進行門限檢測。

(4)相關模塊測量量。在GPS接收系統(tǒng)中，通道信號相關模塊完成測量數(shù)據(jù)的提取。作為定位解算數(shù)據(jù)幀參數(shù)的輸入，相關模塊測量量發(fā)生超差會對定位解算精度造成影響，因此對偽距、偽距率變化率及信號載噪比進行可用門限判決。

(5)定位解算。根據(jù)GPS接收系統(tǒng)基本定位原理，用戶的位置可通過偽距觀測方程的求解獲取，最小二乘法是求解偽距方程最直接的方法[7]，也是遙感衛(wèi)星所用的GPS接收系統(tǒng)定位解算的基本方法，接收系統(tǒng)軟件需要實時對最小二乘可逆返回狀態(tài)進行監(jiān)測。另外，定位解算模塊運行故障或獲取的GPS導航信號異常，將導致定位解算結果偏離正確值，因此選取解算模塊運行過程中輸出的關鍵參數(shù)反映定位解算結果的有效性。同時，為了避免輸出異常定位解算結果，接收機對解算結果也加以門限判決。

(6)定位定軌運行狀態(tài)。GPS接收系統(tǒng)定位及定軌有效標志可直接反映定位和定軌模塊的運行狀態(tài)，因此可直接選取這兩個標志作為定位、定軌運行健壯性的監(jiān)控參數(shù)。

(7)單粒子翻轉影響。為降低單粒子翻轉對DSP、FPGA、SRAM或Flash等數(shù)字器件帶來的影響，高分七號衛(wèi)星GPS接收系統(tǒng)利用錯誤檢測與糾正(EDAC)模塊進行糾檢錯[8-9]。但對于無法使用EDAC進行監(jiān)控的單元，若運行過程中發(fā)生單粒子翻轉，則需要通過外部監(jiān)控。上述(1)～(6)項的運行狀態(tài)，可間接反映對應模塊運行過程中的單粒子翻轉事件，而對于無法通過運行參數(shù)反映的，則可通過外部監(jiān)控模塊進行數(shù)據(jù)回讀比對的方式識別單粒子翻轉事件的發(fā)生。

2)故障預測與決策

故障處置的決策是PHM系統(tǒng)中的核心技術，為了避免故障處置不當帶來的問題影響擴散，高分七號衛(wèi)星GPS接收系統(tǒng)單機級健壯運行管理根據(jù)故障的嚴重程度和處置措施對單機功能的影響程度進行分級，設置不同的決策處置方式與時機。

(1)I級：故障處置前單機功能完全失效或存在安全性風險，或處置過程對單機功能基本無影響，則立即進行故障處置。

(2)II級：故障處置前單機功能有受到持續(xù)性影響的可能，且處置過程中單機功能短時不可用，則依據(jù)一定判決條件選擇合適時機進行故障處置。

(3)III級：故障狀態(tài)下單機仍可提供一定的基本功能，并且有外界狀態(tài)變化使得自主恢復的可能，而故障處置過程中單機功能較長時間內(nèi)不可用，則待單機功能性能指標即將無法滿足時再進行處置。

表1對單機故障所述級別進行劃分，并給出了適合的處置決策。

表1 單機/分系統(tǒng)級故障級別劃分及處置決策Table 1 Fault level division and handling decision at unit/subsystem level

3)故障報告

在單機級的故障報告模式設計分別考慮了健壯運行信息向整星級和星地級傳輸?shù)奶攸c，通過以下兩種手段進行故障和處置報告。

(1)實時遙測顯示。GPS接收系統(tǒng)設置了豐富全面的遙測參數(shù)表征其運行狀態(tài)，適用于實時向整星級進行運行狀態(tài)信息傳遞。

(2)歷史事件報告。為彌補低軌遙感衛(wèi)星地面測控弧段時長較短、無法獲取境外實時遙測的限制，當特定故障發(fā)生及解除時，GPS接收系統(tǒng)將給出突發(fā)事件報告，報告中描述故障事件的發(fā)生或解除時間，以及少量故障輔助信息(諸如故障原因、故障描述等)，并循環(huán)向地面播發(fā)；當衛(wèi)星進入測控弧段后，即可通過事件報告了解境外發(fā)生的歷史故障及處置情況，適用于高分七號衛(wèi)星低軌運行特點下向星地級傳遞運行狀態(tài)信息。

2.2.2 整星級健壯運行管理設計

基于PHM的設計思路，整星級的GPS接收系統(tǒng)健壯運行管理通過對運行狀態(tài)的識別和處置，主要實現(xiàn)單機/分系統(tǒng)級的故障補充處置和其他分系統(tǒng)的故障隔離。

整星級的故障補充處置目的在于進一步解決單機級無法處置或單機級未處置成功的故障。表2為高分七號整星級對GPS接收系統(tǒng)的運行狀態(tài)識別和故障處置決策。

在高分七號衛(wèi)星中，為了防止故障擴散至采用GPS接收系統(tǒng)數(shù)據(jù)的控制分系統(tǒng)、有效載荷分系統(tǒng)及數(shù)傳天線分系統(tǒng)，各分系統(tǒng)也進行了GPS接收系統(tǒng)數(shù)據(jù)的有效性判別和故障隔離處置。

(1)控制分系統(tǒng)。當GPS接收系統(tǒng)數(shù)據(jù)短時間內(nèi)不可用時，控制分系統(tǒng)可使用自身內(nèi)部時鐘進行時間外推，并通過接收到的最后1次有效軌道數(shù)據(jù)進行軌道外推計算；當GPS接收系統(tǒng)數(shù)據(jù)恢復有效后，經(jīng)過正確性判斷完成自動重新引入使用。

(2)有效載荷分系統(tǒng)。若GPS接收系統(tǒng)在短期工作時間內(nèi)出現(xiàn)不可用，有效載荷分系統(tǒng)可依據(jù)對GPS接收系統(tǒng)數(shù)據(jù)的有效性判斷，通過自身維護、數(shù)據(jù)外推或使用其他數(shù)據(jù)源的方式保證系統(tǒng)仍可工作。

(3)數(shù)傳天線分系統(tǒng)。若GPS接收系統(tǒng)在短期工作時間內(nèi)出現(xiàn)不可用，數(shù)傳天線分系統(tǒng)可依據(jù)對GPS接收系統(tǒng)數(shù)據(jù)的有效性判斷，選擇通過當次開機工作過程中接收到的最后3次有效GPS接收系統(tǒng)數(shù)據(jù)進行軌道外推，使得系統(tǒng)仍可工作。

表2 整星級GPS接收系統(tǒng)運行狀態(tài)識別和故障處置決策Table 2 GPS receiving system operating state identification and fault handling decision at entire satellite level

2.2.3 星地級健壯運行管理設計

星地級健壯管理設計是所有層級中可識別與處置故障復雜程度最高的，相比于單機級和整星級健壯運行管理，系統(tǒng)評估的參數(shù)更多，可能發(fā)生的故障種類也更為繁雜，往往需要專家系統(tǒng)的人為干預。由于星地級健壯運行管理處置項目較為復雜且無法完全預估，因此以GPS接收系統(tǒng)總線通信異常為例，給出星地級健壯運行管理的設計思路。單機級和整星級均設計了總線通信狀態(tài)管理，以周期為1 s的總線輪詢狀態(tài)作為判斷依據(jù)，然而在總線輪詢成功的狀態(tài)下，仍可能出現(xiàn)總線數(shù)據(jù)缺失、重復、亂碼等異常，且不易通過星上軟件自行判斷，此時需要地面進行綜合判斷，包括對總線遙測、有效載荷輔助數(shù)據(jù)等的正確性檢查，根據(jù)評估結果執(zhí)行GPS接收系統(tǒng)關機重啟或切換備機的決策。

3 在軌應用驗證

本文設計的GPS接收系統(tǒng)多層級健壯運行管理方案，為高分七號衛(wèi)星GPS接收系統(tǒng)在軌穩(wěn)定運行提供了支持。以FPGA單粒子翻轉問題為例，為保證導航信號相關累加及測量數(shù)據(jù)提取速率，高分七號衛(wèi)星GPS接收系統(tǒng)所用相關器FPGA采用了Xilinx公司SRAM型FPGA芯片，其內(nèi)部的SRAM存儲單元使得該FPGA對單粒子翻轉效應十分敏感，根據(jù)對高分七號衛(wèi)星在軌運行過程中相關器FPGA翻轉次數(shù)的統(tǒng)計，平均每天均會發(fā)生單粒子翻轉事件觸發(fā)單機級單粒子翻轉故障處置，對相應FPGA進行重新配置。單機級健壯運行管理系統(tǒng)針對該故障設計的處置策略，極大地降低了故障處置對接收系統(tǒng)定位狀態(tài)的影響，保障了GPS接收系統(tǒng)在軌提供服務的連續(xù)性。

4 結束語

本文基于PHM技術，結合高分七號衛(wèi)星GPS接收系統(tǒng)的特點，給出了GPS接收系統(tǒng)多層級健壯運行管理設計方案。該設計方案從單機/分系統(tǒng)級、整星級和星地級三個層面通過數(shù)據(jù)采集，運行狀態(tài)監(jiān)控與識別，故障預測、報告與決策，對GPS接收系統(tǒng)運行狀態(tài)進行管理，可為GPS接收系統(tǒng)在衛(wèi)星全生命周期長期運行提供有力支持，也可為航天器其他系統(tǒng)的健壯運行管理設計方案提供參考。