天宫一号目标飞行器GNC分系统容错策略设计

2011-11-25蔡彪，林宇，刘波

空间控制技术与应用 2011年6期

关键词：备份飞行器控制器

蔡彪，林宇，刘波

(北京控制工程研究所，北京100190)

天宫一号目标飞行器GNC分系统容错策略设计

蔡彪，林宇，刘波

(北京控制工程研究所，北京100190)

天宫一号目标飞行器是中国研制的新一代专门用于交会对接的大型载人航天器.为保证其长期在轨安全可靠运行，顺利完成与载人飞船的交会对接任务，以及单体飞行和组合体飞行期间的姿态和轨道控制任务，要求GNC分系统设计充分的容错策略.对GNC分系统软硬件平台进行介绍，对敏感器、执行机构以及控制器的软硬件容错策略进行详述.该策略在实际应用中得到验证，结果表明设计合理，可以有效提高GNC分系统的系统性能和可靠性.

天宫一号目标飞行器;载人飞船;GNC;交会对接;容错策略

天宫一号目标飞行器(本文以下简称为目标飞行器)是中国研制的新一代专门用于交会对接的大型载人航天器，在轨运行寿命可达2年，在轨运行期间将完成与载人飞船的多次交会对接，且支持多名航天员在轨工作和活动.制导、导航与控制(GNC)分系统是目标飞行器的关键分系统之一，负责完成该目标飞行器单独飞行以及与载人飞船对接后组合体飞行的姿态与轨道控制任务.相比其他无人航天器，其控制过程和控制模式更为复杂、控制精度要求更高、载人安全性要求更高.

为保证目标飞行器长期在轨可靠安全运行，成功完成各阶段任务，要求GNC分系统硬件和软件设计时，必须设计合理、充分的容错手段和策略，以确保分系统具备对长期在轨可能发生的故障的处理能力.

从目前国外航天飞行器的容错技术发展来看，除了通过设计合理的体系结构实现部组件层面的有效备份或冗余外，随着高性能处理处理器、实时操作系统以及各类高吞吐能力的系统总线的不断问世，航天器控制系统的容错策略更多的是通过星载计算机系统的软硬件容错设计来实现.

基于目标飞行器的基本配置状态，本文提出了GNC分系统的容错策略设计方案，并得到了实际应用.

1 容错设计原则

容错是容忍故障的简称.容错技术的最基本实现方法是设计并合理使用冗余技术，即通过给系统增添或设计一些冗余的硬件或软件信息来提高系统的可靠性，依靠控制计算机软件实现系统容错策略，当系统中一个或多个关键部分发生故障或出错时，系统能自动检测与诊断，并采取相应措施，合理利用冗余信息完成系统重组或降级，从而保证系统维持其规定功能或保持其功能在可接受的范围内[1-2].

目标飞行器GNC分系统以GNC控制器为核心，对各类敏感器完成信息采集和处理，按照控制律进行计算后产生控制指令对执行机构进行控制，从而完成闭环控制.该目标飞行器GNC分系统容错策略的基本思想是在系统体系结构上精心设计，充分利用外加资源的冗余技术来达到屏蔽故障影响，从而自动地或借助地面遥控手段恢复分系统正常运行或达到分系统安全的目的.

考虑到该目标飞行器将长期在轨自主运行以及在地面测控支持条件下进行交会对接，GNC分系统在容错策略设计时遵循以下原则:

1)GNC分系统应具备单机或部件级的冗余以及系统级冗余手段;

2)GNC分系统具备不依赖于地面测控手段而自主容错的能力;

3)地面遥控的优先级高于航天器自主容错，地面可对航天器自主容错能力进行禁止或使能，确保地面操作的唯一性和有针对性.

2 GNC分系统软硬件平台概述

目标飞行器GNC分系统的基本组成框图见图1.

图1 目标飞行器GNC分系统组成框图

如图所示，其中红外地球敏感器、太阳敏感器、星敏感器、惯性敏感器等敏感器以及单框架控制力矩陀螺(CMG)和喷气执行机构均采用冗余备份设计，其处理线路也相应地设计为多通道模式，每个通道包括供电、信息处理和遥测信息等，各通道间相互独立，互为备份.

GNC分系统的核心部件是主控制器和备控制器，其中主控制器采用双机冷备份的结构，备控制器在功能上与主控制器任一单机功能相当，在物理上与主控制器隔离.

对于GNC分系统来说，主控制器和备控制器是实现分系统容错功能的关键部件.主控制器与备控制器选用的软硬件平台一致，包括TSC695F处理器及实时操作系统，实时操作系统集成了完成控制器管理的系统软件和完成任务需求的应用软件.其本身也提供了一些支持容错的机制.

2.1 控制器体系结构

GNC分系统的控制器包括主控制器和备控制器.其中主控制器采用冷备份双模冗余结构，备控制采用单模结构，3台单机(下文简称 A、B、C机)在逻辑上构成三机冷备份模式，三机之间的容错切换则由安装于主控器中的容错(FT)板实现.A、B、C三机分别独立供电.控制器结构如图2所示.

图2 目标飞行器GNC控制器结构图

2.2 看门狗

看门狗是为了监视控制器的工作状态而设计的一种电路，它在容错计算机中有较广泛的应用[3-4].

在GNC控制器设计时，主控制器采取了两级看门狗技术，即处理器看门狗(WDT1)以及FT板看门狗(WDT2).正常情况下，实时操作系统软件在每个调度控制周期对看门狗执行“清狗”操作，并进行看门狗管理，异常情况下，则通过“不清狗”引发处理器复位或FT板进行自主切机动作.

2.3 控制器软件

目标飞行器GNC分系统的控制器软件包括系统软件和应用软件，应用软件主要完成正常在轨运行的模式控制任务以及遥测任务，系统软件则负责控制器的任务调度、状态监视和系统管理等任务.

GNC分系统的工作模式多达数十种，为保证长期运行期间发生故障时分系统的安全性，应用软件模式控制任务中专门设计了停控、对日定向等安全模式.停控模式下GNC控制器不向喷气执行机构发送任何有效指令，同时控制CMG处于角动量保持，确保航天器处于自由漂浮状态;对日定向模式下，GNC控制器控制航天器本体-Z轴对太阳定向，确保足够的整器能源，为后续故障处理提供条件.

控制器系统软件实时对系统任务调度和工作状态进行监视管理，利用TSC695F处理器提供的陷阱机制以及特定的状态寄存器对程序执行过程中产生的异常进行诊断并做相应的处理，同时负责进行看门狗的管理.

在控制器软件设计时，为保证可靠性，在RAM区划分出3块独立的单元，程序运行中的关键数据或变量可以同时存入RAM的3个数据区中，对RAM区的数据采用三取二表决的取出方法.下文对此3块独立单元称之为容错三区.

2.4 交会对接及分离模式切换

目标飞行器在轨需与载人飞船完成多次交会对接，为保证对接的安全性，在对接和分离过程中，GNC分系统处于停控模式，由对接机构完成两飞行器的物理连接和分离.交会及分离模式转换流程如图3所示.目标飞行器单独飞行过程中，触发条件1则转入对接过程停控模式，触发条件2则转入组合体飞行模式;组合体飞行过程中，触发条件3则转入分离过程停控模式，触发条件4后则恢复至目标飞行器单独飞行模式.

图3 目标飞行器GNC分系统交会对接及分离模式切换

3 GNC分系统容错策略设计

目标飞行器GNC分系统的容错设计包括硬件级容错和软件级容错.

硬件级容错主要是设计合理的硬件“冗余”，即在系统中使用二个或二个以上的具有相同功能的模块或单机，当一个模块或单机出现故障时可以从系统中切除或由其他模块或单机取代其完成任务[5].

在硬件容错设计的基础上，确定了基本的软件结构，相应地设计了多种容错策略.软件容错策略是利用硬件提供的支持，结合对分系统常见故障分析的基础上，有针对性地提出的.

3.1 敏感器和执行机构容错策略设计

如图1所示，目标飞行器GNC分系统的敏感器和执行结构均采取了一定的冗余备份.

1)对于冗余备份的红外地球敏感器、太阳敏感器，通过应用软件对敏感器信息进行实时故障诊断，并根据自主诊断结果对故障敏感器的信息进行切除，待故障排除后，软件具备再次引入该敏感器信息的能力.此外，地面遥控具备最高优先权，可以通过遥控手段对指定的敏感器信息进行切除和引入.

2)对于冗余备份的星敏感器、二浮惯性敏感器、光纤惯性敏感器以及单框架控制力矩陀螺，其容错策略上除了可以对故障信息进行切除和引入之外，也可以通过地面遥控或者软件自主对其电源进行加电和断电，实现热备份与冷备份状态的转换.

3)姿态确定设计了“惯性敏感器+红外敏感器+太阳敏感器”定姿、“惯性敏感器 +红外敏感器”定姿与“惯性敏感器+星敏感器”定姿的互为备份的手段，在上述(1)或(2)所采取的容错策略的基础上，若自主诊断出某一类敏感器信息全失效时，可以通过地面遥控或者软件自主进行3种定姿方式的切换.

4)姿态控制设计了“CMG姿态控制”方式与“喷气姿态控制”方式互为备份的手段，默认采用“CMG姿态控制”方式.在上述(1)或(2)所采取的容错策略的基础上自主诊断出CMG故障个数多于允许故障的个数时，可以通过地面遥控或者软件自主切换至“喷气姿态控制”方式，若故障消除，同样可以通过地面或者软件自主切换至“CMG姿态控制”方式.

3.2 控制器容错策略

如2.1节所述，GNC分系统的控制器包括互为冷备份的A机、B机和C机以及FT板.FT板是多机冷备份控制器系统的核心单元，直接负责对控制器的实时监控，当某一当班单机发生故障时，FT板将控制冷备份切换过程，同时FT板可收集和保存系统关键状态，随时通过遥测向地面提供GNC控制器运行的相关信息，并可以接收地面遥控发送的最高优先级控制指令，并根据这些指令改变系统状态.

3.2.1 控制器容错策略原则

正常情况下，主控制器电源接通默认自主打开A机，并默认“自主容错切机使能”，通过控制器系统软件进行容错管理.自主容错切换只能单向进行，即A机→B机→C机的顺序自主切换.

为保证地面具备可干预手段，对 A机、B机、C机分别设计了加电和断电指令.在 GNC控制器内部，自主切机和遥控切机是逻辑“或”的关系，但地面遥控指令可以通过“自主容错切机使能”或“自主容错切机禁止”指令来打开或封锁自主容错切换功能，避免遥控切机与自主切机冲突，从而保证地面遥控指令的最高优先级.任何情况下，当“自主切机禁止”时，控制器不进行自主切机，此时由地面遥控指令进行切机管理.

当“自主切机允许”时，控制器则由系统软件负责进行容错管理，具体的容错策略如下文所述.

3.2.2 控制器单机加电时容错策略

正常情况下，默认A机工作，主控制器系统软件负责管理WDT1和WDT2两级看门狗，只有当A机单机故障情况下才进行容错切换.

A机故障，则系统软件对 A机的 WDT1和WDT2不清狗，若不清狗时间超过设定的WDT1时间，则 A机复位，若超过设定的 WDT2时间，则 FT板负责实现A机断电，B机加电.

B机加电后，其看门狗的管理同 A机.同理，B机故障，则会引发B机复位或B机断电，C机加电.

C机只设计一级看门狗WDT1.C机故障，则系统软件对C机的WDT1不清狗，若不清狗时间超过设定的WDT1时间，则C机复位.

3.2.3 控制器多机加电时容错策略

由于地面指令具有最高优先权，地面指令可以实现对A、B、C三机的独立控制，或者由于在轨出现其他意外原因也可能会导致A、B、C机出现两机或两机以上同时加电的情况.

在硬件的容错设计上，控制器的硬件设计可以保证B机加电后A、B双机不存在竞争现象，同样，可以保证C机加电后主控制器和备控制器不存在竞争现象.

在此硬件设计的基础上，GNC分系统的控制器容错策略如下:

(1)主控制器A机和B机同时加电

在主控制器双机加电情况下，系统软件对A机的WDT1和WDT2不清狗，当超过设定的WDT2时间后，FT板将自主关断A机，以保持B机单机加电的正常工作状态.

(2)主控制器A机与备控制器C机同时加电

在A机与C机同时加电情况下，系统软件对A机的WDT1和 WDT2不清狗，当超过设定的 WDT2时间后，FT板将自主关断 A机，打开 B机，系统进入B机与C机同时加电的情况.

(3)主控制器B机与备控制器C机同时加电

同理，系统软件对B机的WDT1和WDT2不清狗，当超过设定的 WDT2时间后，FT板将自主关断B机，同时再次对C机进行一次自主加电，确保C机有效加电工作.

(4)主控制器A机、B机与备控制器 C机同时加电

在三机同时加电情况下，先按照(2)所述策略处理，自主实现对A机断电，保持B、C机同时加电状态，然后按照(3)所述策略处理.

3.2.4 控制器应用软件容错逻辑设计

如前文所述，GNC分系统设计了停控、对日定向等安全模式，在控制器应用软件设计时，当控制器发生切机或复位后，软件的入口逻辑设计如下:

1)当控制器容错切机后，由于RAM区数据已被清除，无法获取切机前系统状态信息，为确保安全，GNC分系统均首先转入停控安全模式，后续根据目标飞行器和载人飞船实际飞行情况采取措施.

2)当控制器发生复位后，RAM区数据可以保留，此时首先判断容错三区数据，若三区数据比对正常，则按照三取二后的飞行阶段标志进行相应设置并转入对应的飞行模式;若三区数据比对不正常，则参照控制器容错切机后的逻辑运行.

入口逻辑流程图见图4，其中 T1、T2时间可根据目标飞行器和载人飞船交会对接和分离过程中对接机构特性来确定.

3.3 软件在轨注入程序修改

目标飞行器的设计寿命为2年，若在轨运行期间，发现了原系统的严重缺陷和设计错误，或者根据新的需求需要修改应用程序，则必须进行软件的在轨注入程序修改.GNC分系统系统软件和应用软件设计时预留了一定规模的可供修改程序的接口.

系统在轨注入程序修改是指由地面控制台向控制器重新注入相应的软件，从而对系统进行更新.在操作系统中内核中，有专门的系统级任务，用于运行在轨程序注入协议，控制硬件进行系统注入动作[6-8].

在轨注入程序修改按以下步骤进行:

1)地面控制台向软件注入“解除注入区写保护”标志，调用相关的注入处理任务模块，解除程序注入区的保护功能;

2)将新的代码上传至指定的程序注入区;

3)向软件注入“执行新程序”的相关标志，包括修改程序的地址、ID号等信息;

4)注入“使能注入区写保护”标志，调用相关的注入处理任务模块，完成在轨程序修改.

图4 目标飞行器GNC分系统控制器软件入口逻辑

3.4 能源安全模式设计

能源管理是航天器系统管理的重要组成部分.在空间环境下，太阳能电池板受外界环境影响可能致使能源供应水平逐渐降低，当系统提供的能源不足以维持整个系统的运转时，就会造成能源供应故障.使用“降级重构”的策略来解决这个问题.

“降级重构”的策略为:优先降低冗余单元的冗余余度，将热备份变为冷备份，若仍达不到能源供应下限，则选择关闭部分单元的电源，将系统进行降级.

目标飞行器GNC分系统的能源安全模式是:当整器能源故障导致供电输出小于负载所需能源时，将9个处于加电热备份状态的惯性敏感器中的3个断电，将6个处于加电热备份状态单框架控制力矩陀螺中1个断电，若整器能源供应仍无法满足需求，则对单框架控制力矩陀螺的转子和框架进行断电，系统姿态控制转入喷气控制模式.

4 结论

本文对中国新研制的目标飞行器GNC分系统的特点、软硬件平台进行了分析，在此基础上提出了分系统的容错策略原则，按此原则有针对性地设计了分系统硬件及软件的容错策略.该容错策略已经在实际应用中得到了验证，结果表明，该容错策略设计合理有效，可以较好地提高GNC分系统的系统性能和可靠性安全性，同时对后续大型载人航天器的容错设计提供了一定的参考价值.

[1] 徐拾义.容错计算系统[M].武汉:武汉大学出版社，2010

[2] 杨孝宗.容错技术与 STRATUS容错计算机[M].哈尔滨:哈尔滨工业大学出版社，1993

[3] Kouba C，Busche D，Busa J.The X-38 spacecraft faulttolerant avionics system[R].NASA Johnson Space Center，August 19， 2003

[4] George M D，Brichacek J.Radiation hardened 32-bit processor(RH32)for fault-tolerant spaceborne computers[C].The 15thAIAA International Communications Satellite Systems Conference，San Diego，CA， Feb.28-Mar.3，1994

[5] 王霆.星载并行计算机系统容错设计与分析[D].长沙:国防科学技术大学，2008

[6] 张拥军，张怡，彭宇行，等.一种基于多处理机的容错实时任务调度算法[J].计算机研究与发展，2000，37(4):425-429

[7] Berten V，Goossens J，Jeannot E.A probabilistic approach for fault tolerantmultiprocessor real-time scheduling[C].The 20thInternational Parallel and Distributed Processing Symposiu，Rhodes Island， Greece， April 25-29，2006

[8] 王平，孙宁，李华旺，等.小卫星星载容错计算机控制系统软硬件设计[J].宇航学报，2006，27(3):412-415

A Fault-Tolerant Strategy Design for GNC Subsystem of Tiangong-1 Spacecraft

CAIBiao，LIN Yu，LIU Bo
(Beijing Institute of Control Engineering，Beijing 100190，China)

The Tiangong-1 spacecraft is a new ly-developed spacecraft dedicated to rendezvous and docking.It is necessary to design a full fault-tolerant strategy to ensure the reliability and safety of the spacecraft in orbit for a long life， to achieve rendezvous and docking with manned-spacecraft successfully， and to implement both attitude and orbit control during the single body flight and the combination flight.The p latform of both hardware and software for GNC subsystem is presented and the fault-tolerant strategy in both hardware and software for sensors，actuators and the GNC controller is described in detail.The fault-tolerant strategy is proved in practical application.The results show that the design is reasonable and effective，and it can enhance the performance and reliability of the GNC subsystem.

Tiangong-1 spacecraft;manned-spacecraft;guidance navigation and control;rendezvous and docking;fault-tolerant strategy