趙思陽 李文東 楊柳青 姜洋

(1 北京空間飛行器總體設(shè)計部，北京 100094) (2 中國空間技術(shù)研究院遙感衛(wèi)星總體部，北京 100094)

低軌遙感衛(wèi)星由于軌道的特點，衛(wèi)星過境期間測控可視弧段很短，正常狀態(tài)下每天測控弧段安排不超過30 min，約占每天飛行時間的1%～2%[1]。由于衛(wèi)星在大部分飛行時間內(nèi)是屬于地面不可見狀態(tài)，如果衛(wèi)星在軌出現(xiàn)問題且不能自主恢復(fù)，只能等到入境時才能發(fā)現(xiàn)。等待地面診斷、確定處理措施、實施操作、觀察效果直到故障排除，往往需要多軌的時間才能完全解決。同時，在軌期間的一些輕度故障，雖不威脅整星安全，但仍需要地面干預(yù)恢復(fù)，影響用戶使用。

20世紀(jì)90年代，資源一號衛(wèi)星首次采用基于計算機系統(tǒng)的自主健康管理設(shè)計，具備了一定的自主故障檢測及重構(gòu)能力。國內(nèi)航天器經(jīng)過30余年的發(fā)展，已經(jīng)從原來單一的由各分系統(tǒng)(如電源、控制、推進系統(tǒng)、數(shù)管等)配置的故障診斷系統(tǒng)，向系統(tǒng)級狀態(tài)監(jiān)測、故障預(yù)測和故障修復(fù)系統(tǒng)發(fā)展，逐步形成航天器集成健康管理系統(tǒng)，從保障任務(wù)完成的系統(tǒng)頂層實現(xiàn)對航天器的故障綜合檢測與重構(gòu)[2]。近年來，星載計算機運算能力的大幅提升使得各分系統(tǒng)的數(shù)據(jù)處理和管理能力得到較大提升,這為星上數(shù)據(jù)自主管理的智能自主化提供了良好的硬件基礎(chǔ)[1-2]。此外，隨著遙感衛(wèi)星任務(wù)能力的大幅提升帶來的衛(wèi)星系統(tǒng)復(fù)雜性的增加，以及對于衛(wèi)星“一重故障保業(yè)務(wù)連續(xù)、二重故障保航天器安全”的目標(biāo)要求，對衛(wèi)星自主健康管理能力的要求也提升到新的高度[3-7]。

以高分三號、高分四號為代表的遙感衛(wèi)星實現(xiàn)了衛(wèi)星重大安全健康事件自主處置、事件報告自主生成下傳、健康狀態(tài)統(tǒng)計評估的功能[1，8]，以嫦娥三號、嫦娥四號為代表的深空探測器，基本實現(xiàn)了重大安全事件的自主處置、關(guān)鍵事件程控響應(yīng)、總線終端健康狀態(tài)輪詢等功能[9]。但是，當(dāng)前航天器自主健康管理能力仍存在以下幾方面的不足：①故障處置判據(jù)設(shè)置簡單，通常缺少前置判據(jù)及組合判據(jù)，導(dǎo)致判決條件不嚴(yán)謹(jǐn)，部分正常操作或單機/模塊切換可能觸發(fā)錯誤報警；②故障判據(jù)觸發(fā)閾值調(diào)整不靈活，缺乏在軌更改手段或更改不靈活；③健康事件報告不全面，報告機制不統(tǒng)一，報告下傳手段單一，不利于健康事件的快速報告、準(zhǔn)確定位；④自主健康管理覆蓋范圍較少，僅關(guān)注重點單機或分系統(tǒng)故障，缺乏對于單機、模塊狀態(tài)切換的監(jiān)視；⑤故障判決以硬件故障為主，對軟件故障的判決較少。本文在現(xiàn)有航天器自主健康管理系統(tǒng)設(shè)計基礎(chǔ)上，針對上述不足開展了進一步的探索，并做了改善。

1 自主健康管理系統(tǒng)架構(gòu)設(shè)計

高分多模衛(wèi)星健康管理系統(tǒng)優(yōu)化了健康管理系統(tǒng)架構(gòu)，重點對故障判決條件進行優(yōu)化，防止誤觸發(fā)健康事件；規(guī)范化健康管理系統(tǒng)操控接口及事件報告機制，方便系統(tǒng)靈活操控、健康事件快速檢索；強化了對衛(wèi)星重點單機、模塊工作狀態(tài)的監(jiān)視，覆蓋平臺各分系統(tǒng)及重點載荷。

1.1 自主健康管理系統(tǒng)架構(gòu)

高分多模衛(wèi)星以數(shù)管分系統(tǒng)系統(tǒng)管理單元(SMU)為核心，完成系統(tǒng)級、分系統(tǒng)級、單機/模塊故障監(jiān)視診斷與處置，如圖1所示。

衛(wèi)星自主健康管理的工作內(nèi)容包括4個部分。

(1)健康管理參數(shù)配置及開關(guān)設(shè)置：各項健康管理功能的閾值、判決時長、判決邏輯、當(dāng)班機等參數(shù)均存儲在健康管理參數(shù)配置表中，并可通過地面上注修改；所有健康管理功能均各自獨立并可由地面進行使能禁止控制。

(2)健康數(shù)據(jù)生成：SMU匯集數(shù)管分系統(tǒng)數(shù)據(jù)接口單元(DIU)采集的硬通道遙測和各總線遠程終端(RT)傳輸?shù)倪b測進行判斷，當(dāng)遙測不滿足判讀條件時生成對應(yīng)的健康事件報告，同時生成反映衛(wèi)星工作狀態(tài)的健康字遙測。

(3)故障診斷與自主管理：由SMU依據(jù)健康遙測自主判讀結(jié)果進行故障的識別、診斷，并在地面使能的條件下，對明確處置措施、且處置措施無風(fēng)險的故障進行自主處理，并形成對應(yīng)的事件報告。

(4)健康數(shù)據(jù)下傳：將形成的衛(wèi)星健康狀態(tài)字、事件報告進行匯總，在通過實時信道立即下傳的同時放入存儲遙測中。衛(wèi)星入境后，用最短的時間完成存儲健康數(shù)據(jù)下傳。

1.2 健康管理操控設(shè)計

為提升健康管理控制的靈活性，衛(wèi)星健康管理功能設(shè)置了兩級開關(guān)：總開關(guān)和各子功能開關(guān)。通過兩級開關(guān)設(shè)置，地面可控制任意健康管理功能的獨立工作。對于有實際指令操作的子功能在處置后將其子開關(guān)由使能改為禁止，防止反復(fù)多次觸發(fā)的出現(xiàn)。對于僅監(jiān)視無實際操作的子功能，報警后其子開關(guān)不會禁止，再次滿足條件后可再次觸發(fā)報警。

數(shù)管SMU設(shè)置有健康管理參數(shù)配置表，用于存儲當(dāng)班機設(shè)置以及各項功能的判決閾值、判決時長、判決邏輯等內(nèi)容，地面可通過標(biāo)準(zhǔn)化指令模板上注指令進行靈活修改。此外，為降低健康管理誤判的發(fā)生率，SMU對各個設(shè)備運行狀態(tài)進行監(jiān)視，包括加斷電狀態(tài)、光照條件、星體姿態(tài)等，作為健康診斷的前置條件。

1.3 健康管理判據(jù)設(shè)計

衛(wèi)星采用多種措施保證健康診斷的正確性，包括：①通過設(shè)置特殊前置條件，多源數(shù)據(jù)組合判斷，防止誤觸發(fā)健康診斷及故障處置；②除了滿足一系列組合條件外，為防止一次故障反復(fù)觸發(fā)健康事件，僅有當(dāng)該事件由“正常態(tài)”跳變至“異常態(tài)”時才會觸發(fā)故障處置和生成事件報告，“異常態(tài)”跳變至“正常態(tài)”或長期處于“異常態(tài)”時，不會觸發(fā)健康事件；③為防止數(shù)據(jù)偶發(fā)跳變導(dǎo)致報警，通常采用持續(xù)判決不小于10 s或連續(xù)不少于3拍數(shù)據(jù)異常才觸發(fā)健康事件報警的策略。健康事件條件判決示例如表1所示。

表1 健康事件條件判決示例Table 1 Sample of health event judge condition

1.4 健康事件報告設(shè)計

高分多模衛(wèi)星改進了健康事件報告的設(shè)計，除傳統(tǒng)的事件發(fā)生時刻及事件代碼外，增加了事件附屬信息，可用于反映故障時刻的關(guān)鍵遙測值，便于地面接收到事件報告后快速定位故障，如表2所示。

表2 健康事件報告格式Table 2 Health event report format

健康事件報告多級存儲多通道下傳。衛(wèi)星觸發(fā)健康報告后，SMU將事件報告通過突發(fā)信道立即下傳。同時，還存儲在SMU內(nèi)存中不斷通過循環(huán)存儲信道下傳。此外，事件報告還與衛(wèi)星密集遙測數(shù)據(jù)一起存儲在SMU小固存中，通過數(shù)傳信道下傳。這樣就確保了境內(nèi)健康事件地面可立即接收到，境外健康事件入境后地面測控系統(tǒng)可接收到，整星全部密集遙測數(shù)據(jù)由數(shù)傳信道定期下傳，保證了地面及時、完備地獲取事件報告。

2 重大安全健康管理設(shè)計

整星安全控制操作涉及到整星的安全運行，能源、姿態(tài)和測控鏈路等危及整星安全的故障，需要衛(wèi)星持續(xù)進行監(jiān)控。當(dāng)異常或故障發(fā)生時，自主判斷并且及時處理，防止故障擴散。高分多模衛(wèi)星新增能源異常分級報警處置，對輕度能源異常、重度能源異常分級進行處置。高分多模衛(wèi)星重大安全健康管理設(shè)計內(nèi)容見表3。

表3 重大安全健康管理設(shè)計Table 3 Design of major safety management

3 基礎(chǔ)健康管理設(shè)計

基礎(chǔ)健康管理用于整星一般健康事件自主恢復(fù)、報警。相比原有遙感衛(wèi)星，高分多模衛(wèi)星主要改進如下：①增加了設(shè)備運行狀態(tài)監(jiān)視功能，重點對單機/模塊的非預(yù)期自主切換進行報警，防止出現(xiàn)在軌漏判現(xiàn)象的發(fā)生；②對于重點單機溫度、工作電壓、工作電流等重要參數(shù)進行實時監(jiān)控，可對短期超限問題及可自恢復(fù)故障進行有效報警；③加強總線異常診斷，新增對總線數(shù)據(jù)正確性的檢查，避免了僅檢查RT端總線芯片正常而無法發(fā)現(xiàn)RT軟件工作異常的情況。高分多模衛(wèi)星基礎(chǔ)健康管理設(shè)置如表4所示。

表4 基礎(chǔ)健康管理設(shè)計Table 4 Design of elementary management

4 在軌驗證

自2020年7月3日高分多模衛(wèi)星發(fā)射入軌以來，經(jīng)過約10個月的在軌運行，自主健康管理系統(tǒng)準(zhǔn)確報警并處置了多起健康異常事件，有效保證了衛(wèi)星的在軌安全及任務(wù)連續(xù)運行。自主健康管理系統(tǒng)對多次短期超限問題及可自恢復(fù)故障，均100%及時、正確給出了事件報告，未發(fā)生健康系統(tǒng)誤診斷、誤報警，為地面運行管理及衛(wèi)星產(chǎn)品設(shè)計改進提供了有效的支持。此外，經(jīng)衛(wèi)星在軌詳細(xì)健康評估，未發(fā)現(xiàn)漏報健康事件。上述情況證明了高分多模衛(wèi)星經(jīng)過優(yōu)化后的健康判決系統(tǒng)工作的可靠性。

經(jīng)在軌運行表明：高分多模衛(wèi)星能自主對整星健康狀態(tài)進行實時監(jiān)測；并在故障發(fā)生時，實施自主診斷、隔離和恢復(fù)，最大限度地保證衛(wèi)星安全，能有效監(jiān)測報告，短期可自恢復(fù)正常。檢測到故障信息后的1 s內(nèi)，即可完成事件報告生成并啟動故障處置程序，大幅提升了故障響應(yīng)的及時性，提高了衛(wèi)星在軌自主運行的可靠性及地面運行管理的效率。

5 結(jié)束語

本文對高分多模衛(wèi)星自主健康管理系統(tǒng)架構(gòu)及關(guān)鍵設(shè)計進行了描述，給出了相對現(xiàn)有遙感衛(wèi)星健康診斷的優(yōu)化改進設(shè)計，提出了衛(wèi)星健康系統(tǒng)標(biāo)準(zhǔn)化星地操控接口及事件報告設(shè)計。經(jīng)過在軌驗證，高分多模衛(wèi)星健康管理系統(tǒng)工作可靠、健康診斷準(zhǔn)確，異常事件報告準(zhǔn)確，無誤報、漏報，健康事件報告生成、下傳及時有效。目前，高分多模衛(wèi)星自主健康管理系統(tǒng)在軌工作正常，其設(shè)計方法已推廣至后續(xù)遙感衛(wèi)星中。