叶志玲 顾明 张翠涛

(北京空间飞行器总体设计部，北京 100094)

早期数据管理分系统(简称数管分系统)的主要功能是以遥测数据采集、格式化,以及遥控命令的处理和分配为主。这是因为数据管理技术刚刚起步,其能力和可靠性(尤其是软件可靠性)还不能满足(至少是当时尚未被实际工程所证明)航天器自主管理的要求。这种现状使不少人对数管分系统的存在意义产生过疑问。但是随着数管分系统在轨运行的出色表现,人们对它的期望也日益提高,逐渐把越来越多的星上自主管理任务赋予了它[1]。

嫦娥四号任务的特点是基于中继链路进行测控数传通信，在月球背面进行软着陆并开展科学探测。这就需要数据管理系统在电子设备体积、质量、功耗严格约束的条件下，解决深空中继链路信道受限情况下复杂密集信息流的高效传输问题。

鉴于此，本文介绍嫦娥四号数据管理系统的设计特点，重点解决以下问题：①对体系结构进行优化设计实现轻小型化；②对测控数传信息流进行精细化设计满足任务需求；③利用自主运行策略降低中继链路的使用风险。并通过在轨运行情况验证该设计方法的有效性。

1 体系结构优化设计

根据嫦娥四号着陆器任务特点及约束条件，数管分系统采用集中与分布式相结合的体系结构，单机设备中集成了多个功能模块，由内部总线相连，分布式的总线结构使用一条公共的数据总线(或网络)连接所有的处理器单元(见图1)。和其它分布式体系结构相比，具有模块性好，易于扩展，容错性好以及简单等特点[2]。

注：SMU为系统管理单元；DIU为数据接口单元；PSK为移相键控；PCM为脉冲编码调制；UHF为特高频；LVDS为低电压差分信号；GNC为制导、导航与控制。

图1 数管分系统拓扑结构

Fig.1 Topological structure of data management structure

通过对整器资源进行跨分系统综合利用，对整器功能和信息流进行合理设计划分管理，实现信息的集中管理和分类处理，最大限度地实现电子设备功能的集成设计，根据整器布局以及各舱段测控需求，并考虑最大限度节省穿舱和设备间电缆连线，数管分系统分+Y舱和-Y舱进行整器测控管理。在功能需求分析基础上，通过机、电、热一体化设计、软硬件协同设计，优化资源分配，减少系统间的接口和硬件资源的消耗，将传统的数管设备(中央单元、遥控单元、远置单元、高速复接器、大容量存储器)和其它分系统设备(载荷总线控制器、配电器、火工品控制器、热控加热器、+Y/-Y太阳翼机构控制器、转移机构控制器、定向天线双轴机构控制器、相机指向机构控制器、-Y舱盖机构控制器等)集成为两台单机SMU和DIU，在元器件和材料的选用上，将铝镁合金轻型材料作为平台关键单机电子设备的机壳，并大量采用了表贴器件、FPGA、高密度接插件等集成器件，有效减轻了系统的重量功耗，同时解决设备高集成后的电磁兼容性和抗干扰问题，实现系统的轻小型化。

2 信息流精细设计高效应用

根据嫦娥四号任务需求[3]，着陆器要着陆到月球背面，除了需要实现传统的地月通信、器器通信外，在着陆器与地面站间受到月球遮挡无法直接与地面进行通信时，利用中继卫星中继链路实现遥控、遥测及载荷数据的转发。如图2所示，着陆器通信链路包括对地链路、中继链路及器间链路，其中对地链路包括上行链路和下行链路，中继链路由前向链路和返向链路组成。在这种复杂通信链路体制下，如何基于现有资源，设计出灵活多变满足用户要求的链路信息流就变得尤为重要。

图2 着陆器通信链路示意图

嫦娥四号最远中继通信距离约为80 000 km,造成约210 dB自由空间损耗，在追求信道容量的同时,还要兼顾链路的功能性与稳定性。在中继链路系统设计过程中,首要解决的问题就是克服远距离对中继通信造成的不利影响，需要从多方面、多维度针对应用场景开展数传信息流精细化设计见表1，最终实现中继链路信道高效利用。

表1 对中继返向数传应用

1)多信道设计

动力下降过程中,首先要考虑的是在组合体姿态高动态变化的情况下,传输通道的天线覆盖性，其次才是尽可能高的数传码速率。因此动力下降过程利用数传输出1通道通过着陆器中增益天线返向数传码速率：50 kbit/s(信道编码后)传输降落相机的图像数据；利用数传输出2通道通过全向天线返向数传码速率：1.4 kbit/s(信道编码后)传输工程遥测数据。

2)长短帧设计

在低档返向码速率工作期间,数据帧长度决定了返向链路的首帧捕获时间和转发时延。为了缩短首帧捕获时间和转发时延,在嫦娥四号中继链路系统中设计了256 byte长度和1024 byte长度的两种不同长度的帧长[4],在动力下降过程中数传输出短帧数据,可以提高中继卫星对着陆器返向遥测信号的捕获与解调速度。

3)图像自适应实时下传设计

用50 kbit/s的码速率不足以支撑降落相机13.3 Mbit/s的数据，因此通过设计自适应图像抽取算法[5]，在动力下降过程中，接收降落相机低压缩比8∶1和高压缩比64∶1的图像数据保存，并将64∶1的高压缩比图像数据通过中增益天线实时下传，中增益天线返向链路全部下传图像数据；着陆后，将数管大容量存储的所有降落相机图像通过着陆器定向天线返向数传高码速率传回地面。此方法解决了高码率输入图像数据实时存储并同时实时抽取当前最新图像慢速下行的难题，保证了着陆过程中图像下传的高效性和实时性。

4)多码速率设计

数据量较大的探测数据传输应安排在两器姿态较为稳定的情况下进行,这样更有利于保证较高增益天线的指向性。同时,考虑到落月后两器与中继卫星之间的通信距离在47 000 km至80 000 km范围内变化。返向链路应采用分档设计, 设计出4种数传输出速率：①着陆器全向天线返向数传码速率为1.400 kbit/s(信道编码后)；②着陆器中增益天线返向数传码速率为50.000 kbit/s(信道编码后)；③着陆器定向天线返向数传码速率为280.899 kbit/s(信道编码后)；④着陆器定向天线返向数传码速率为555.556 kbit/s(信道编码后)。以充分利用不同通信距离情况下的信道资源。

5)多模式设计

嫦娥四号着陆器任务过程包括发射段、地月转移段、环月段、动力下降段、月面工作段5个部分，不同部分所关注的遥测数据各有不同，为了有效利用返向链路信道，对应设计5种虚拟信道数据单元(VCDU)格式，即巡航格式、轨控格式、着陆格式、月面初始化格式、月面格式。其中VCDU格式的转换条件既可以通过地球站发送遥控注入数据无条件地进行格式转换，也可以根据设定的条件，在地球站允许的情况下，星上自主控制进行格式的转换。

3 识别风险设计自主运行策略

针对嫦娥四号在月球背面进行软着陆并开展科学探测的任务目标，识别中继链路使用风险：嫦娥四号在月球背面利用中继链路进行测控数传通信，人类对月球背面地形地貌了解甚少，着陆点附近是否存在中继链路遮挡；若存在遮挡如何有效的进行故障诊断，并在中继卫星轨迹离开遮挡时如何快速重新建立中继链路；当中继链路出现异常时，器上设备需要具备自我管理功能，减少对地面控制依赖，为排除中继链路异常创造时间与可能。在嫦娥四号的整个任务阶段，有若干个影响任务成败的关键事件，例如器箭分离、动力下降、两器释放分离、休眠唤醒等。这些事件时序要求强，不能中断。如何让器上执行这些关键事件时，不受中继链路因素的影响，提高关键事件完成的可靠性与精准性，也是不容忽视的问题。从完善自我诊断及重构能力、增强未知风险应对能力、增加核心设备的自主管理能力、保证关键事件完成的可靠性与精准性4个方面制定自主运行策略。

3.1 自我诊断及重构策略

作为整器自主运行核心的数据管理分系统，首先要保证自身高可靠高安全的工作。自主运行管理平台由软件和硬件协同工作而实现的，除了硬件进行备份、冗余设计外，软件内务管理任务也实现了一系列的自我诊断与重构设计[6]。

(1)重要数据和器上时间备份在多个RT终端中，确保了当一个终端发生故障时，重要数据仍能恢复。

(2)应用软件具有在轨维护功能，提供对软件功能模块(函数)在轨修改、更换的支持能力。

(3)总线消息的重试设计，为了更好地利用A、B总线的热冗余功能，提高系统的可靠性，对不同的消息采用了不同的重试方法。

(4)对各个RT终端的A、B总线进行轮检，检查周期为1 s(A、B总线间隔交替)，若与所有总线的通讯都不成功，在软件自主切机使能时切机。

(5)内存自检功能，周期性的读取内存数据，若发生单bit错误，则将读出数据进行回写，纠正单bit错误；若发生双bit错误，在软件自主切机使能时切机，否则复位。将1 M内存全部读取周期时间不超过3 h。

(6)对器上时间停止检查功能，自主切机使能时，SMU应用软件以64个时间片(约7.68 s)为周期对器上物理时间进行检查，如果连续3次均未变化，则认为时间已停止，进行自主切机。

3.2 应对未知风险策略

当飞行阶段在轨姿态异常，测控指向未知，不能与地面建立上下行链路时，器上会自动启用启旋控制功能；当落月后受到月球背面地形地貌遮挡，不能与中继卫星建立前返向链路时，器上会自动启用月面工作段返向天线自主切换管理功能，让整器以第一时间能与离开遮挡的中继卫星建立前返向链路，把未知因素带来的风险降到最低。

(1)启旋控制功能。通过监视和分析地面指令到达情况，软件可发出指令使整器按预先设置以小角度自动旋转，直到地面捕获接受到上行指令，停止自身旋转，恢复上下行链路。

(2)月面工作段返向天线自主切换管理。实现月球背面工作阶段对返向天线的状态诊断和自主切换。通过监视和分析地面指令到达情况，软件可自主执行包含有开关指令和软件指令的复合型指令序列，实现从定向天线返向链路到全向天线返向链路的切换。

3.3 核心设备自主管理策略

器上平台系统是深空任务的保障，当中继链路出现异常时，在不依赖地面控制的前提下，热控自主管理功能、蓄电池组过放电保护功能保证器上能源的可靠与稳定；高压自锁阀控制管理功能、轨控管路超压管理功能保障推进分系统的可靠工作；测控固态放大器超温断电自主管理功能保障测控分系统的安全工作。自主管理任务的实现，为排除中继链路故障创造时间与可能，大大降低了中继链路的使用风险。

(1)热控自主管理功能，改进并增强加热器自主控制功能。在嫦娥三号加热器自主控制功能的基础上，除了扩展加热器数量和更新控制参数外，改进提高控制策略的灵活性，满足热敏电阻和加热器多模式选用要求和复杂组合关系。

(2)蓄电池组过放电保护功能，改进并增强蓄电池放电保护功能。在嫦娥三号蓄电池放电保护功能的基础上，增加程控总线指令能力，满足了载荷类型变化、控制要求精细度提高的要求。

(3)高压自锁阀控制管理功能，实现高压自锁阀故障自主诊断和阀门控制管理。根据装订的策略和参数，筛选压力遥测并进行分析处理，组合条件判断确定状态区间，选择执行对应的处理流程，自主调节高压自锁阀管路压力。

(4)轨控管路超压管理功能，实现推进轨控管路超压故障自主诊断和阀门控制管理。根据装订的策略和参数，筛选管道压力遥测并进行分析处理，组合条件判断确定状态区间，选择执行对应的处理流程，自主调节轨控管路压力。

(5)测控固态放大器超温断电自主管理功能，实现对X频段测控固态放大器自主超温诊断和断电控制。根据装订的策略和参数，筛选固放温度遥测并进行分析处理，组合条件判断超限后，自主执行相关测控开关指令序列，实现X频段测控固态放大器关闭保护。

3.4 关键事件可靠执行策略

由于在嫦娥四号的整个任务阶段，有若干个影响任务成败的关键事件，例如器箭分离、动力下降、两器释放分离、休眠唤醒等。这些事件时序要求强，不能中断。因此，需要利用自主管理的方法使器上执行这些关键事件时，不受测控链路因素的影响，提高关键事件完成的可靠性与精准性。

(1)星箭分离程序控制功能，通过判断星箭分离信号，来启动星箭分离以后的程控指令，按预先设置时序完成火工品控制电路加电，贮箱增压、姿控管路推进剂充填、太阳翼解锁、转移机构第一次解锁、火工品控制电路断电、切换测控工作模式等功能。

(2)动力下降、休眠延时指令链功能，新增对GNC分系统的延时注入数据管理和发送功能，为姿态轨道控制数据和GNC指令提供存储管理和按时输出功能，解决了月球背面动力下降阶段短时间内大量控制指令及时、准确、可靠执行的关键难题。

(3)唤醒自主状态设置，唤醒后自主进行状态设置，对器上设备自主开机，按预期设置测控状态，自动开启两相流体回路自主关闭功能，实现两项流体回路自主管理。能够根据筛选的遥测数据分别对+Y两项流体回路和-Y两项流体回路进行状态判断，自主执行相应的指令计划，完成回路自主关闭。

4 飞行试验验证

2018年12月8日，嫦娥四号探测器于西昌卫星发射中心发射。至2018年12月12日，探测器经历了器箭分离、中途修正、近月制动等关键事件，成功进入环月轨道。2019年1月3日进行了动力下降，成功着陆。着陆后，探测器完成了月面工作计划任务，包括月面初始化、两器分离、两器互拍等；1月12日，着陆器进入第一个月夜休眠期；1月30日着陆器正常唤醒；2月1日，进入着陆器长期管理阶段。

数管分系统在嫦娥四号发射飞行、月背着陆、月面工作、休眠唤醒的全过程中经历了所设计的全部工作模式见表2。数管功能和性能满足着陆器飞行任务要求；工程数据与载荷数据均通过中继测控数传链路按设计正确下传；自主运行功能按预期正确执行。数管分系统所有设计已得到充分验证，有力支持了任务圆满成功。

表2 数管分系统在轨飞行试验验证情况

5 结束语

本文从体系结构、信息流设计、自主运行3个方面详细介绍了嫦娥四号数据管理系统的设计特点，通过成功在轨运行验证了设计的实效性。但目前大部分数据管理系统仅仅是实现了部分子系统的自主运行，自主技术仍关注的是星务管理、资源控制、健康监测等保障航天器正确运行的基本任务；随着深空探测任务的多样化和复杂化，系统级自主需求越来越迫切，自主技术由面向工程的系统自主向面向科学的系统自主发展，自主技术将会更注重深空探测任务的核心目标——科学目标的实现程度，此时自主系统将重点突出科学数据的处理、科学现象的在轨发现、突发科学事件的自主跟踪观测等面向科学的自主功能。实现在无人干预情况下的长期系统级自主是自主技术发展的必然方向。