故障安全设计在国内外同步轨道卫星中的应用
2012-04-17孙小松陶景桥
孙小松,陶景桥,李 明
(北京控制工程研究所,北京 100190)
同步轨道卫星是目前发展最为迅速、应用最为广泛并且与国民日常生活联系最为紧密的系列卫星之一,广泛应用于通信广播、导航定位、气象预报等领域.长时间不间断业务运行是对同步轨道卫星提出的最重要的要求,如何实现卫星业务运行的“高可靠、长寿命”,是同步轨道卫星亟待解决的关键问题.
由于部件研制水平、生产能力等诸多因素的限制,鲜有卫星无任何异常、连续无故障运行至设计寿命的同步轨道卫星,更多的见诸报端的是卫星中断服务、出现重大故障乃至卫星失效的重大新闻.完全让一个像大型同步轨道卫星这样复杂的系统无任何故障运行15年甚至更长寿命是不可能的,特别是受限于中国工业基础的相对薄弱、加工水平的相对落后,国内卫星或多或少的故障及异常更是不可避免.如何在故障发生的情况下,确保卫星仍能高可靠、长寿命运行,是故障安全设计的首要目的.美国航天专家D.M.哈兰曾经说过:“衡量航天器好坏的标准,不应该光看它是否发生了故障,而是它对无法避免的故障有多大的承受能力.”而这里的故障承受能力,则完全依赖于该航天器的故障安全设计水平.
国外的同步轨道卫星有相对较长时间的商业运作经历,在大量故障经验积累的基础上,形成了考虑较为全面的故障安全设计,本文首先对国外较为典型的同步轨道卫星故障安全设计进行了广泛的调研,选择的3个卫星平台中ETS-VIII是日本最为先进的同步轨道卫星,并且在故障安全设计方面代表了日本的最高水平;EUROSTAR 3000和SPACEBUS 4000平台具有国际通信卫星市场占有量大、技术水平先进的特点,其故障安全设计具有较好的代表性.然后在调研基础上,对中国同步轨道卫星故障安全设计进行了简要描述,并针对后续的发展提出了有益的建议,以期为中国后续同步轨道卫星的故障安全设计提供较好的借鉴,提升中国同步轨道卫星的故障安全设计水平.
1 日本ETS-VIII控制分系统故障安全设计
ETS-VIII是日本新一代高轨道电子侦察及移动通信卫星,代表了日本同步轨道卫星的先进水平.
ETS-VIII卫星[1-2]首次应用了64位空间飞行器专用处理器,该处理器的主要特点有:MIPSIII结构,使用C语言编译器,时钟频率为25MHz,32位指令,64位数据,32位地址,64位浮点数运算,8KB缓存,100rad抗辐照能力,单粒子锁定防护指标为36Mev/cm,容量达1M的门阵列,100M满足空间数据传输标准CCSDS的门阵列.使用该处理器,可以大大提高星载计算机的处理能力.整星采用统一的星载计算机来完成各控制、推进、电源等分系统的数据传输及处理.
整个卫星控制系统由两套星载计算机、一套陀螺组件、两个地球敏感器、两套精太阳敏感器、4个反作用飞轮、12个22N推力器、1个490N变轨发动机和4个22mN的离子发动机组成,其中整个控制系统的结构框图如图1所示.
图1 日本ETS-VIII控制系统框图Fig.1 Diagram of ETS-VIII control system of Japan
图1中有边框为实线的部件说明该部件有备份,边框为虚线的部件说明该部件是单点部件.
ETS-VIII具有较为完善的故障安全设计及故障处理能力.星载计算机每个计算周期自动判断各种敏感器和执行机构的健康状况,然后根据健康状况隔离已经失效的部件,并自动切换到备份部件.
整个ETS-VIII的故障安全设计可以分为3种情况,第一种情况是星载计算机正常工作,仅仅是部件故障,此时星载计算机软件能够自动探测到故障部件,然后自动隔离故障部件并切换到备份部件,无需重新进行姿态捕获和机动;第二种情况是星载计算机故障,此时切换到备份星载计算机,然后重新进行姿态捕获;第三种情况是星载计算机和部件都不进行自动切换,等待地面指令来进行处理.需要说明的是,在星载计算机进行切换过程中,各个部件的健康情况应存放在安全的内存中,不受切换的影响.
星载计算机能够探测到故障情况的部件有:陀螺(异常的姿态角速度,姿态角)、地球敏感器、精太阳敏感器、飞轮、发动机、远地点发动机(姿态偏差)等.
2 EUROSTAR 3OOO故障安全措施
Astrium公司从1994年开始研制EuroStar 3000平台,2004年发射了基于EuroStar 3000平台的第一颗卫星Eutelsat W3A,截止2009年7月,已经有16颗EuroStar 3000平台卫星发射入轨.
Eurostar 3000平台[3-4]敏感器有捕获太阳敏感器(安装于太阳翼上)、精太阳敏感器、地球敏感器和陀螺.太阳捕获和存活模式采用捕获太阳敏感器,提供半球视场,实现对日定向.采用精太阳敏感器(安装在星体上)、地球敏感器实现转移轨道的姿态控制,并进行陀螺标定.卫星定点以后,由精太阳敏感器、地球敏感器和陀螺实现姿态确定,并具有无陀螺的姿态确定功能.
执行机构有斜装飞轮、太阳帆板驱动机构、电推进系统、化学推进系统等.采用4轮斜装,2个固定偏置飞轮,2个反作用飞轮,化学推进系统采用14个10N推力器,一个液体远地点发动机.电推进系统用于南北位置保持和偏心率调整,推力方向由两轴推力调整机构实现.
整星控制系统结构框图如图2所示.
图2 EUROSTAR 3000控制系统结构图Fig.2 Structure diagram of EUROSTAR 300 control system
EuroStar 3000具有较为完善的故障安全设计,整个星载计算机是完成故障安全设计的核心.星载计算机采用主备+故障监控模块,故障监控模块负责监控核心星载计算机和卫星运行参数,检测到故障后负责计算机重构.主备计算机之间,计算机与故障监控模块之间通过专用串行总线实现信息交互,保证故障处理的平稳过渡.
当部件发生异常时,由部件重配置模块来切换相关的部件,如仍然存在异常,则由同一个处理器切换不同的分支.如果姿态控制仍然不收敛,则切换另外的处理器.如果当前的措施失效,则执行RAM软件中的太阳捕获模式.必须要说明的是,在PROM中嵌入有最终的安全模式,利用最少的星上设备来使卫星指向太阳.
整个故障切换流程图如图3所示.
图3 EUROSTAR 3000故障安全切换流程Fig.3 Switchover flow chart of fault and safety design of EUROSTAR 3000
3 SPACEBUS 4OOO故障安全设计
SpaceBus 4000平台是近几年开发的同步轨道卫星,代表着国外同步轨道卫星的先进水平,其首发星是2005年2月3日发射的AMC12,亚太-6号卫星是该平台的第二颗卫星(发射时间2005年4月12日).
整星结构框图[5]如图4所示.
图4 SpaceBus 4000整星结构框图Fig.4 Structure diagram of satellite SpaceBus 4000
SpaceBus 4000平台最显著的特点是采用统一星载计算机完成姿轨控、能源、有效载荷、热控、遥控、遥测、展开机构、太阳帆板驱动机构等的管理.采用双机冷备+监控重构模块的组成结构,整星电子设备高度集成,各系统信息交互性得到极大的提高,为整星的故障安全设计提供了极大的便利.
SpaceBus 4000平台的故障安全设计系统分为三个层次,第一个层次是根据故障影响确定故障等级,第二个层次是在故障等级确定的基础上,根据不同的飞行阶段确定不同的故障处理模式,第三个层次是故障处理的记忆及遥测处理.下面对这三个层次分别进行详细描述:
3.1 故障等级确定
SpaceBus 4000平台的故障等级一共分为四级,分别为部件级故障、关键性能级故障、计算机故障和系统级故障.其中4个等级中由应用软件判断的故障等级为部件级故障及关键性能级故障.由硬件进行判断的故障等级为计算机故障和系统级故障.下面对该4级故障进行详述:
故障等级1:部件级故障
故障检测主要由应用软件来完成,其中主要采取如下4种类型的监控机制对各部件进行实时监控:
设备内部检验(EIC);
数据传输检验(DTC);
数据连续性检验(DCC);
指令连续性检验(CCC).
其中各部件需进行的监控如表1所示.
表1 部件监控Tab.1 Monitor items of equipment
在进行上述监控的前提下,进行部件的健康状态判断,并把健康状态进行存储.
故障判断后由星载计算机的重配置模块根据部件的健康状况进行自主切换.
故障等级2:关键性能级
关键性能级的故障检测主要包括有:
1)蓄电池放电深度;
2)卫星姿态指向及角速度特性、星载计算机所发的推力器执行情况;
3)温度监控及温度控制情况.
故障处理主要根据卫星飞行阶段来确定.
故障等级3:计算机故障(包括星载计算机硬件、系统软件和应用软件)
处理器故障检测主要由硬件来完成,利用2个看门狗来检测硬件/软件故障,当硬件失效或对应用软件无响应时产生处理器报警.
当发生该级故障后,由中心重配置单元来产生关键事件序列,这些关键事件包括:
关闭关键设备(推进系统);
应用计算机重配置处理;
更新中心重配置单元状态表.
当处理器重新启动时,应用软件根据中心配置单元状态和应用软件在安全存储区存储的信息来重新初始化.同时进行计算机重新配置和应用软件重新初始化.
故障等级4:系统级
系统级故障主要包括太阳出现信号故障、地球出现信号故障、推力器常开及星敏感器输出异常.这些故障由不同部件中的硬件电路来实现.
故障处理的流程为先由互相独立的部件产生不同的报警,然后由星载计算机的中心重配置单元来接收此故障报警信号,由中心重配置单元根据故障报警及各部件的健康状况进行系统的重新配置及故障恢复处理.
3.2 故障处理模式及故障安全策略的制定
在故障等级确定的基础上,为使卫星在不同的飞行阶段拥有最优的故障安全处理措施,SpaceBus 4000平台制定了故障安全模式,并根据故障安全模式制定了相应的故障安全策略.
故障安全模式由星上应用软件来进行管理,具体模式定义如表2所示.
表2 具体模式定义表Tab.2 Table of definition of specific mode
故障安全模式需要和卫星飞行阶段相结合进行使用.卫星飞行阶段必须由地面遥控指令来设定,具体的飞行阶段有:发射阶段、捕获阶段、远地点点火阶段、正常模式地影阶段、正常无地影阶段.
卫星故障安全模式与卫星飞行阶段的适用关系如表3所示.
表3 卫星故障安全模式与卫星飞行阶段的适用关系Tab.3 Applicable relation between failure and safety mode and flight phase of satellite
为更好地进行故障安全处理,SpaceBus 4000平台又根据不同的故障状况,制订了功能各异的故障处理事件序列.星载计算机在进行故障处理时,根据不同的故障等级、故障模式、及故障安全策略调用相应的故障处理事件序列,以达到故障处理的最优化.
卫星故障安全策略的制定原则是首先根据故障情况,确定所发生故障的故障等级,然后根据不同的飞行阶段,确定该飞行阶段所适用的故障安全模式,在上述信息确定的基础上,一方面由中心重配置单元按照固定的故障处理逻辑进行故障处理及系统重新配置,同时由应用软件调用相应的故障处理事件序列来进一步完成故障处理.
3.3 故障处理的记忆及遥测处理
为了便于地面的故障调查及故障处理,Space-Bus 4000平台在星载计算机中采用故障历史缓存机制来记忆故障信息及故障处理措施.具体做法是在星载计算机中专门开辟出故障历史缓存,用以存储更加详细的故障信息及已完成的故障处理措施.
应用软件在故障历史缓存中存储故障历史报告,该报告包括所发生故障详细信息,以及所执行的故障处理措施.故障缓存的空间足够大,可以存储多达上百个故障信息.一旦该缓存已满,最后缓存位置存储最新的故障信息.
故障历史缓存的信息周期性的下载到地面.下载机制为打包下载,每包包括一个故障历史报告.
通过上述措施,一方面可以充分利用星上完备的故障处理措施进行自主故障处理,同时可以对日后的故障调查及故障处理带来极大方便.
4 中国同步轨道卫星故障安全设计
中国同步轨道卫星自1996年东方红三号卫星发射以来,已经在此基础上开发了一系列后续卫星平台,广泛应用于通信、导航等领域,并先后经历了从国内长期运营到国外整星出口的飞跃式发展.中国同步轨道卫星的故障安全设计也是在大量飞行经验的基础上,借鉴国外成功经验,不断探索,形成了具有自身特色的故障安全设计.
故障安全设计的原则是:
1)在任何情况下,都要保证卫星的安全;
2)在可能的情况下,尽量不中断或少中断卫星服务.
故障安全处理的目的是在地面无法干预时,星上能自主检测出系统的严重故障,并将控制系统的有关部件全部切换到健康的备份.
整个控制系统故障可分为三级:部件级故障、计算机故障和系统级故障.
(1)部件级故障
主要有太阳敏感器太阳出现信号故障、地球敏感器地球出现信号故障、陀螺角速度异常故障、星敏感器姿态输出异常、动量轮摩擦力矩过大异常等.部件级的故障主要由应用软件来进行判断,部分部件辅以硬件电路进行判断.
(2)计算机故障
计算机由互为冷备的双份计算机及应急计算机组成.同时设置了功能完备的容错线路,用以对计算机进行故障判断,并完成计算机的主备切换及故障处理.
(3)系统级故障
系统级故障主要包括姿态长时间超差故障、推力器喷气频繁故障和关键部件性能异常所导致的系统重构的处理.应用软件专门设置相应的恢复模式进行相应的处理,以尽量维持对地指向.若恢复模式无法维持卫星正常工作,则转入对日指向的安全模式,以保证卫星的安全.
卫星在转移轨道运行期间,如果发生故障使卫星姿态失控,控制系统自动转入故障安全模式,将卫星转成-Z轴指向太阳的安全方式(巡航姿态),维持星上能源及遥测、遥控联系.地面进行故障分析后,对控制系统进行重组,重新捕获地球,建立正常工作姿态.
卫星在同步轨道运行期间,若星上出现故障报警,则自动切换至故障恢复模式,尽量维持对地球的指向,尽量减少卫星服务的中断.待地面进行故障分析确定详细的故障处理措施后,由遥控指令恢复至正常工作模式.
5 同步轨道卫星故障安全设计的发展趋势
综合国内外同步轨道卫星故障安全设计的发展情况,同步轨道卫星故障安全设计有以下3个方面的发展趋势:
(1)开发高性能的空间星载计算机处理器
星载计算机处理器是星载计算机的核心器件,是提升卫星故障安全设计的重要手段.国外新一代的同步轨道卫星在开发高性能、高可靠性的星载计算机处理器上都有了长足的进步,为同步轨道卫星的高可靠、长寿命服务奠定了良好的基础.
(2)广泛应用综合电子技术,实现整星信息综合处理
国外同步轨道卫星广泛应用了综合电子技术,即由统一的星载计算机来完成整星各个分系统的数据传输及管理,同时星上各个分系统高度集成,各分系统之间可以方便的完成数据交换及信息综合.综合电子技术在降低卫星体系的复杂性,节约卫星成本的同时,极大地提高了整星各分系统间信息的综合利用,对于更有效地完成整星故障判断、进而进行有效的故障处理具有非常重要的意义.
(3)由星载计算机完成卫星故障自主处理,并建立有效的故障信息遥测机制,极大地方便了卫星测控管理.
故障自主处理是降低测控管理工作复杂程度、提高整星在轨服务可靠性的重要手段.国外新型同步轨道卫星都非常重视故障自主处理技术的发展并在实际型号中付诸应用,同时积极开发先进的故障信息遥测机制,将故障自主处理措施进行遥测下传,以方便地面测控人员的故障调查及后续处理.
6 结论
根据国外卫星故障安全设计的调研,综合电子技术和故障自主处理及故障信息遥测值得国内同步轨道卫星进行借鉴.国内同步轨道卫星故障安全设计应在综合电子技术、故障自主处理及故障信息遥测两个方面采取积极措施,并对该技术加以推广,以提高中国同步轨道卫星的可靠性,实现“快、好、省”设计目标.
(1)综合电子技术
目前中国同步轨道卫星尚未采用综合电子技术,各分系统之间的信息融合不够,无法做到整星信息的综合利用.在故障安全设计中,各分系统各自为政,无法做到故障处理的全局优化.
建议在后续的卫星平台设计中,大力推广综合电子技术,以做到整星信息的综合处理及综合利用,提升整星的故障安全设计水平,提高卫星的可靠性.
(2)自主故障处理及故障信息遥测
目前中国同步轨道卫星在自主故障处理及故障信息遥测方面也与国外卫星存在较大差距,故障分析及处理较多的依赖于地面测控及卫星设计人员,造成人力物力的较大浪费,且故障处理周期较长,不利于卫星的业务运行.
建议在今后的故障安全设计中,卫星设计人员积极关注卫星故障的自主处理及故障信息遥测机制,提高卫星故障处理的自主性及故障信息遥测的便利性.
[1] Yonezawa K,Homma M.Attitude control on ETS-VIII mobile communication satellite with large deployable antenna[C].The 21stAIAA International Communications Satellite Systems Conference and Exhibit,Yokohama,Japan,2003
[2] Takeda O,Nakajima K.Development of on-board processor for the Japanese engineering test satellite-VIII(ETS-VIII)[C].The 21stAIAA International Communications Satellite Systems Conference and Exhibit,Yokohama,Japan,2003
[3] Martin J,d’Allest C,Benoit A,et al.Eurostar 3000 AOCS design[C].The 4thESA International Conference on Spacecraft Guidance,Navigation and Control Systems,ESTEC,Noordwijk,The Netherlands,1999
[4] Gerard O,Berger G.Eurostar E3000 in-flight experience[C].The 24thAIAA International Communications Satellite Systems Conference,San Diego,California,2006
[5] Pasquel J.SPACEBUS 4000 avionics:key features and first flight return[C].The 24thAIAA International Communications Satellite Systems Conference,San Diego,California,2006