贾卫松, 曾连连, 李露铭, 燕洪成, 庞 波, 陈美杉, 郭 莹

(北京空间飞行器总体设计部，北京 100094)

0 引言

北斗三号卫星的全球组网部署，标志着导航领域航天器系统进入网络化与智能化的时代。北斗卫星与地面运控系统、地面测控系统、星间链路运行管理系统常态化交互支持，为全球用户提供连续、稳定、可靠的服务，推动卫星综合电子系统实现从数据处理向信息处理中心转变，任务模式从单个航天器执行规定任务为主向多个航天器协同执行规定任务和自主任务相结合转变[1]。

伽利略导航卫星的电子信息系统是单个航天器任务的典型解决方案[2]——萨瑞公司研制的GIOVE平台将导航信号处理、激光通信作为基线有效载荷与综合电子组件分离，仅保留CAN总线低速连接。北斗三号任务则要求综合电子高度融合载荷与平台业务信息，基于星间与星地链路统一规划星座级信息流，支持短报文、运控、遥测与遥控等多类型复杂特征数据在空间段、运控段、用户段的多种通信实体间共享，为自主导航、卫星自主健康管理、天线指向等多任务协作提供完善透明的信息服务。

与传统单星研制的电子信息系统相比，为实现融合地球同步轨道(Geostationary Earth Orbit，GEO)、倾斜地球同步轨道(Inclined Geosynchronous Orbit，IGSO)、中地球轨道(Medium Earth Orbit，MEO)3种轨道类型的复杂星座，北斗卫星综合电子系统还要通过体系结构设计提供一个可扩展并支持项目全生命周期改进与升级的解决方法，实现短报文、相机等载荷的灵活配置，以及系统资源的灵活扩展，从而提高北斗分组分批设计开发、集成测试与在轨升级效率。

此外，作为大型航天器的复杂任务电子系统，北斗三号卫星的可靠性、健壮性及可维护能力要求更加严格，保证全星座在维持星间链路的条件下长期稳定自主运行，为用户提供不间断的服务。

本文针对北斗三号卫星以上任务特点，开展综合电子系统的体系架构与关键技术研究，分析通信协议体系与拓扑结构以实现星座级端到端信息协同；分析软硬件模块化设计方法以支持资源扩展，研究故障检测与恢复、功能与信道容错、可靠重构与维护、自主健康管理等技术以实现安全可靠自主运行。通过北斗三号卫星综合电子系统的技术研究与在轨运行实践，为未来大型宇航探索任务的星座级电子信息系统设计提供参考。

1 综合电子体系架构设计

在实现姿态与轨道控制、能源管理、配电和火工品管理、热控等基础功能的自主性升级外，北斗三号卫星综合电子系统加强与载荷、测控信道的配合，对卫星任务统一调度并综合处理信息，支持星间链路管理、自主运行管理、有效载荷管理并提供网络化遥控与遥测服务。面对网络化、扩展性、高可靠的目标，传统卫星的集中式系统架构已难以满足多节点信息交互融合及复杂任务处理等多方面要求。

若在集中式架构基础上升级，仍然以中心计算机为中心，如图1所示。在星型拓扑的终端增加星间链路设备，虽然架构简单仅能解决星间路由问题，航天器内部的信息流与星间转发信息流处于逻辑分离状态，中心计算机承担集中的流量负荷与风险[3]。因此北斗三号卫星采用分级分布式网络体系结构，建立星座内信息统一处理和共享的一体化电子系统,如图2所示。这种体系结构的特点是采用网状与星型结合的复合拓扑方式，以信息路由单元作为卫星的网络化信息中心，测控、运控及星间的通信设备共同接入信息路由单元，卫星管理单元实现卫星姿态与轨道控制、平台自主管理等智能控制功能。卫星管理单元、信息路由单元、接口服务单元利用总线网络构成复合分布式拓扑，基于空间数据系统咨询委员会(CCSDS)制定的空间数据系统标准规范实现星地-星间-星内信息通信网络化。

图1 配置星间路由的集中式综合电子架构Fig.1 Centralized avionics system architecture with inter-satellite routing

图2 基于复合拓扑的分布式综合电子架构Fig.2 Distributed avionics system architecture based on compound topology

2 通信网络化设计

2.1 通信协议体系

不同于传统卫星的平台与载荷分别建立定制化星地测控通信与数传通信，网络化的综合电子系统在卫星内部设备之间的总线链路、卫星之间的通信链路、卫星与地面之间的测控链路及运控链路之上构建各种类型业务信息的统一交互。必须采用开放式架构，将卫星设备与地面设施均作为网络的终端接入。因此，北斗三号卫星以空间数据系统咨询委员会(CCSDS)制定的航天器接口业务标准为核心，参照地面网络开放式系统互联通信参考模型(OSI)建立分层空间通信协议体系结构，如图3所示。

图3 北斗三号综合电子通信协议体系Fig.3 Communication protocol stack of Beidou-3 satellite avionics system

在物理层利用不同通信体制建立星间链路、测控链路、运控链路及器载链路，实现不同速率的点到点数据帧传输；在链路层基于高级在轨系统AOS协议[4]、15553总线协议、串行协议向网络层提供标准化汇聚服务接口，基于虚拟信道完成流量控制、优先级与差错控制；在网络层整合空间包协议[5]及互联网IP协议[6]，以隧道协议兼容异构信道，形成星座统一的空间通信与接入规范，及统一的星内网络对象寻址命名机制，为平台及有效载荷的应用过程提供统一的网络寻址路由服务，在北斗星载设备与地面运行管理系统之间形成天地一体端到端透明信息交换；在应用层的智能应用访问下层服务接口，实现北斗星座全方位的状态感知与信息融合处理。

2.2 通信拓扑与接口

北斗三号卫星以信息路由与处理单元为中枢构建空间子网， 如图4所示。信息路由单元通过LVDS、RS422、TLK2711等标准信道接口，支持不同数量和码速率的星地星间链路终端设备连接，速率从kbps到Gbps。

信息路由单元利用标准协议ASIC与FPGA与各终端通信，搭建星间接口处理、测控上下行处理、运控接口处理模块，以轻小型化为原则支持多信源信息的实时处理、多速率合路、分布式分发机制。遥控、遥测及运控业务信息可以通过多路径接入卫星，自动寻址路由至处理中心。当微振动参数采集设备等载荷与信息路由单元直接连接，其业务数据可以通过网络化标准接口直接路由至高速通道下传地面。

图4 北斗三号卫星综合电子系统空间子网与器载子网Fig.4 Beidou-3 satellite avionics system space subnet and intra-satellite subnet

以卫星管理单元为中心构建器载子网，通过RS422与1553等标准星内总线接口，适应卫星不同种类设备灵活接入。接口业务单元配置模拟量、数字量和串行总线等输入输出接口，与其他载荷设备一起分布式收集卫星状态并执行指令，预处理定长与不定长的格式化数据，以标准总线协议完成与卫星管理单元的交互。

信息路由单元与卫星管理单元之间采用两种不同类型的星内总线接口连接，可靠沟通空间子网与星内子网。通过不同路径抵达目标卫星的遥控指令自空间子网路由至星内子网后，分发至终端执行，终端执行效果由星内子网终端收集后汇总至卫星管理单元，在路由至信息路由单元为核心的空间子网后通过测控链路或星间链路转发至地面系统，实现星座全面管控。

3 功能扩展性设计

3.1 硬件模块化

功能扩展在设备层级的实施途径为采用机电热接口标准化设计，利用模块化部件，简化设备之间的连接，提高系统的功能与性能扩展能力[7]。将综合电子的功能规划为通用CPU模块，星间链路处理模块，火工品管理模块、指令模块、总线通信模块、遥测模块、加热器管理模块及配电等标准模块，利用标准化内总线与协议形成模块化框架，针对不同轨道的卫星在单机配置不同数量的板级模块，在系统配置不同数量的总线终端，提高卫星的集成化水平与灵活扩展能力。

3.2 软件模块化

网络化的通信同时也为软件模块化提供了良好的基础条件。在物理层与链路层之间根据实际情况选取不同的驱动组件访问物理接口，在链路层之上设计标准化网络层模块，支撑任务间不同速率、不同类型、不同传输服务质量要求。综合电子软件系统的应用层按自主运行业务、常规平台业务及载荷服务业务的分类决定软件组件的属性。如图5所示，标准化网络层组件包括低速网络协议组件及IP网络协议组件，自主运行业务组件包括天线指向及自主导航组件，常规平台业务包括遥测及遥控功能组件，载荷服务业务包括时间广播及载荷故障处理组件等。层间组件采用消息队列传递消息，底层组件向高层组件提供标准的消息队列访问接口；层内组件之间采用服务调用方式，不同功能的应用打包自身的能力并提供引用。软件线程的调用与北斗时的秒脉冲严格同步，以保证注册于系统的软件组件按序执行。

通过确保各种组件可独立配置，运行于不同轨道的卫星根据系统角色可以选配不同的应用软件业务组件，支撑卫星的信息流控制与自主控制。

图5 综合电子软件模块化划分方法Fig.5 Modularization of avionics system software

4 自主运行安全可靠设计

为保证导航卫星安全可靠的自主运行，需要在故障检测与恢复、健壮性容错设计、可靠重构与维护及自主健康与任务管理4个方面予以保证[8]，如图6所示。

图6 保证安全可靠自主运行的信息系统设计方法Fig.6 Design method of safety guarantee, reliability and autonomous operation

4.1 分级故障检测与恢复

北斗三号卫星为自动驾驶、灾害监测等导航用户提供长期服务，对服务中断事件的敏感程度超过其他类型的卫星，因此综合电子系统分层设计精细的整星级、系统级、单机级自主故障检测与处置，实现用户无感知的恢复能力。整星故障检测与恢复为载荷、星间链路、原子钟等提供监测复位、监测切机、自主加电、完好性通知等保护措施；系统级故障检测与恢复实现工作模式切换、总线故障管理、单机主备切换、单机电源监视和重要数据保存与恢复等保证综合电子系统稳定运行；单机级故障检测与恢复基于自主切机、自主复位、软件陷阱(TRAP)处理、总线健康检查处理、存储器健康检查等手段保证卫星管理单元与信息路由单元等关键单机连续运行，进而保证卫星安全。故障检测与恢复的过程会形成实时评估报告，作为事件遥测下传地面，在紧急状态下提醒地面干预。

4.2 健壮性容错

为实现对卫星可靠控制的目标，综合电子系统采用任务迁移和传输路径重建的功能与信道容错机制，实现故障情况下的系统重构。

1)从任务迁移角度，综合电子系统各设备的计算机模块均配置遥控分发、遥测组织及自主健康管理等卫星平台管理功能。当主设备启动平台管理任务时，其他从设备的平台管理功能处于休眠状态。当主设备失效，从设备立刻唤醒卫星平台管理功能，收集整星平台遥测，运行自主健康管理及自主任务管理，保证平台安全。

2)从传输路径重建角度，在信息处理中枢支持多路数据的动态调度，实现信源无缝切换。在信息处理中枢识别信道来源，按信道分别解析控制指令并统一处理执行。通过功能互备和信道互备，显著提高北斗卫星的健壮性和可靠性，避免由于信道或设备临时故障导致整星不可挽回的失效。

4.3 可靠重构与维护

北斗三号卫星的技术创新与功能持续演进对在轨重构与维护提出新的标准，要求通过在轨维护与重构重新定义自主控制过程并提升故障检测与恢复能力。综合电子系统的数据处理与路由单元与卫星管理单元中的CPU软件及FPGA软件均可以通过遥控重构数据块实施重构，并提供参数级、函数级、配置项级维护选项。

4.4 自主健康与任务管理

北斗三号卫星采用分布式与集中式并存的方式实现整星状态的实时管理。卫星载荷及平台任务终端均具备状态自检与自主管理能力；同时卫星管理单元通过星内总线网络获得整星遥测后进行信息融合评估，实现整星级的自主热控管理、自主能源管理及载荷任务管理。当自主健康与任务管理发出调节指令，表征执行效果的状态均通过总线网络反馈至卫星管理单元，实现闭环控制，提高了卫星的安全性与智能化水平。

5 北斗三号综合电子系统工程实践

北斗三号分组发射，在GEO、IGSO、MEO 3个轨道面部署30颗卫星构建全球卫星导航系统，综合电子在型号研制与在轨运行阶段的工程实践中提供全方位高可靠的技术支撑，与传统综合电子系统相比体现出如下优势：

1)基于空间子网和星内子网建立完整的星座网络系统，实现网络化遥控遥测及端到端通信，支持一站式测控，通过一颗卫星可以实现对北斗星座所有卫星的管控，达到天地一体化通信的效果。

2)在接口标准化基础上统一规划模块化功能，实现设备小型化、资源复用和产品化，实现全星座统一信息架构下的配置灵活扩展能力与适应任务需求的分批次快速升级能力。不同卫星的硬件差异仅体现在接口业务单元增加指令模块及加热器等模块，为整星提供更多的控制采集通道；不同卫星的软件差异主要体现在增加组件及配置参数，以提供高速网络或短报文服务。不同批次卫星之间存在差异的软件组件占总组件数量的百分比不超过10%。

3)采用分级自主故障处理与恢复技术及灵活的容错与重构能力，支持卫星功能在轨持续演进，保证北斗卫星长期稳定运行，在面对恶劣空间环境导致的单机复位及在轨功能升级场景，维持星间链路持续连接，提供无间断的导航服务。

6 结论

北斗三号卫星综合电子系统以通信网络化、功能扩展性、安全可靠自主运行为技术路线，基于CCSDS空间数据系统标准规范，设计分级分布式网络体系结构，建立星座内信息统一处理和共享的一体化电子系统。针对通信协议体系、通信拓扑与接口、硬件模块化、软件模块化、故障检测恢复、健壮性容错、可靠重构与维护及自主健康与任务管理展开研究，满足北斗三号卫星天地一体化网络通信及服务连续性需求。系统所采用的综合电子技术以标准化服务的方式为北斗卫星智能化及网络化应用过程建立高效、灵活的基础结构，并通过容错与纠错的分级应用确保系统在完成复杂自主运行任务过程中的安全可靠，为未来大型宇航探索项目的电子信息系统设计提供参考。