高分多模卫星自主健康管理系统设计与验证
2021-07-02赵思阳李文东杨柳青姜洋
赵思阳 李文东 杨柳青 姜洋
(1 北京空间飞行器总体设计部,北京 100094) (2 中国空间技术研究院遥感卫星总体部,北京 100094)
低轨遥感卫星由于轨道的特点,卫星过境期间测控可视弧段很短,正常状态下每天测控弧段安排不超过30 min,约占每天飞行时间的1%~2%[1]。由于卫星在大部分飞行时间内是属于地面不可见状态,如果卫星在轨出现问题且不能自主恢复,只能等到入境时才能发现。等待地面诊断、确定处理措施、实施操作、观察效果直到故障排除,往往需要多轨的时间才能完全解决。同时,在轨期间的一些轻度故障,虽不威胁整星安全,但仍需要地面干预恢复,影响用户使用。
20世纪90年代,资源一号卫星首次采用基于计算机系统的自主健康管理设计,具备了一定的自主故障检测及重构能力。国内航天器经过30余年的发展,已经从原来单一的由各分系统(如电源、控制、推进系统、数管等)配置的故障诊断系统,向系统级状态监测、故障预测和故障修复系统发展,逐步形成航天器集成健康管理系统,从保障任务完成的系统顶层实现对航天器的故障综合检测与重构[2]。近年来,星载计算机运算能力的大幅提升使得各分系统的数据处理和管理能力得到较大提升,这为星上数据自主管理的智能自主化提供了良好的硬件基础[1-2]。此外,随着遥感卫星任务能力的大幅提升带来的卫星系统复杂性的增加,以及对于卫星“一重故障保业务连续、二重故障保航天器安全”的目标要求,对卫星自主健康管理能力的要求也提升到新的高度[3-7]。
以高分三号、高分四号为代表的遥感卫星实现了卫星重大安全健康事件自主处置、事件报告自主生成下传、健康状态统计评估的功能[1,8],以嫦娥三号、嫦娥四号为代表的深空探测器,基本实现了重大安全事件的自主处置、关键事件程控响应、总线终端健康状态轮询等功能[9]。但是,当前航天器自主健康管理能力仍存在以下几方面的不足:①故障处置判据设置简单,通常缺少前置判据及组合判据,导致判决条件不严谨,部分正常操作或单机/模块切换可能触发错误报警;②故障判据触发阈值调整不灵活,缺乏在轨更改手段或更改不灵活;③健康事件报告不全面,报告机制不统一,报告下传手段单一,不利于健康事件的快速报告、准确定位;④自主健康管理覆盖范围较少,仅关注重点单机或分系统故障,缺乏对于单机、模块状态切换的监视;⑤故障判决以硬件故障为主,对软件故障的判决较少。本文在现有航天器自主健康管理系统设计基础上,针对上述不足开展了进一步的探索,并做了改善。
1 自主健康管理系统架构设计
高分多模卫星健康管理系统优化了健康管理系统架构,重点对故障判决条件进行优化,防止误触发健康事件;规范化健康管理系统操控接口及事件报告机制,方便系统灵活操控、健康事件快速检索;强化了对卫星重点单机、模块工作状态的监视,覆盖平台各分系统及重点载荷。
1.1 自主健康管理系统架构
高分多模卫星以数管分系统系统管理单元(SMU)为核心,完成系统级、分系统级、单机/模块故障监视诊断与处置,如图1所示。
卫星自主健康管理的工作内容包括4个部分。
(1)健康管理参数配置及开关设置:各项健康管理功能的阈值、判决时长、判决逻辑、当班机等参数均存储在健康管理参数配置表中,并可通过地面上注修改;所有健康管理功能均各自独立并可由地面进行使能禁止控制。
(2)健康数据生成:SMU汇集数管分系统数据接口单元(DIU)采集的硬通道遥测和各总线远程终端(RT)传输的遥测进行判断,当遥测不满足判读条件时生成对应的健康事件报告,同时生成反映卫星工作状态的健康字遥测。
(3)故障诊断与自主管理:由SMU依据健康遥测自主判读结果进行故障的识别、诊断,并在地面使能的条件下,对明确处置措施、且处置措施无风险的故障进行自主处理,并形成对应的事件报告。
(4)健康数据下传:将形成的卫星健康状态字、事件报告进行汇总,在通过实时信道立即下传的同时放入存储遥测中。卫星入境后,用最短的时间完成存储健康数据下传。
1.2 健康管理操控设计
为提升健康管理控制的灵活性,卫星健康管理功能设置了两级开关:总开关和各子功能开关。通过两级开关设置,地面可控制任意健康管理功能的独立工作。对于有实际指令操作的子功能在处置后将其子开关由使能改为禁止,防止反复多次触发的出现。对于仅监视无实际操作的子功能,报警后其子开关不会禁止,再次满足条件后可再次触发报警。
数管SMU设置有健康管理参数配置表,用于存储当班机设置以及各项功能的判决阈值、判决时长、判决逻辑等内容,地面可通过标准化指令模板上注指令进行灵活修改。此外,为降低健康管理误判的发生率,SMU对各个设备运行状态进行监视,包括加断电状态、光照条件、星体姿态等,作为健康诊断的前置条件。
1.3 健康管理判据设计
卫星采用多种措施保证健康诊断的正确性,包括:①通过设置特殊前置条件,多源数据组合判断,防止误触发健康诊断及故障处置;②除了满足一系列组合条件外,为防止一次故障反复触发健康事件,仅有当该事件由“正常态”跳变至“异常态”时才会触发故障处置和生成事件报告,“异常态”跳变至“正常态”或长期处于“异常态”时,不会触发健康事件;③为防止数据偶发跳变导致报警,通常采用持续判决不小于10 s或连续不少于3拍数据异常才触发健康事件报警的策略。健康事件条件判决示例如表1所示。
表1 健康事件条件判决示例Table 1 Sample of health event judge condition
1.4 健康事件报告设计
高分多模卫星改进了健康事件报告的设计,除传统的事件发生时刻及事件代码外,增加了事件附属信息,可用于反映故障时刻的关键遥测值,便于地面接收到事件报告后快速定位故障,如表2所示。
表2 健康事件报告格式Table 2 Health event report format
健康事件报告多级存储多通道下传。卫星触发健康报告后,SMU将事件报告通过突发信道立即下传。同时,还存储在SMU内存中不断通过循环存储信道下传。此外,事件报告还与卫星密集遥测数据一起存储在SMU小固存中,通过数传信道下传。这样就确保了境内健康事件地面可立即接收到,境外健康事件入境后地面测控系统可接收到,整星全部密集遥测数据由数传信道定期下传,保证了地面及时、完备地获取事件报告。
2 重大安全健康管理设计
整星安全控制操作涉及到整星的安全运行,能源、姿态和测控链路等危及整星安全的故障,需要卫星持续进行监控。当异常或故障发生时,自主判断并且及时处理,防止故障扩散。高分多模卫星新增能源异常分级报警处置,对轻度能源异常、重度能源异常分级进行处置。高分多模卫星重大安全健康管理设计内容见表3。
表3 重大安全健康管理设计Table 3 Design of major safety management
3 基础健康管理设计
基础健康管理用于整星一般健康事件自主恢复、报警。相比原有遥感卫星,高分多模卫星主要改进如下:①增加了设备运行状态监视功能,重点对单机/模块的非预期自主切换进行报警,防止出现在轨漏判现象的发生;②对于重点单机温度、工作电压、工作电流等重要参数进行实时监控,可对短期超限问题及可自恢复故障进行有效报警;③加强总线异常诊断,新增对总线数据正确性的检查,避免了仅检查RT端总线芯片正常而无法发现RT软件工作异常的情况。高分多模卫星基础健康管理设置如表4所示。
表4 基础健康管理设计Table 4 Design of elementary management
4 在轨验证
自2020年7月3日高分多模卫星发射入轨以来,经过约10个月的在轨运行,自主健康管理系统准确报警并处置了多起健康异常事件,有效保证了卫星的在轨安全及任务连续运行。自主健康管理系统对多次短期超限问题及可自恢复故障,均100%及时、正确给出了事件报告,未发生健康系统误诊断、误报警,为地面运行管理及卫星产品设计改进提供了有效的支持。此外,经卫星在轨详细健康评估,未发现漏报健康事件。上述情况证明了高分多模卫星经过优化后的健康判决系统工作的可靠性。
经在轨运行表明:高分多模卫星能自主对整星健康状态进行实时监测;并在故障发生时,实施自主诊断、隔离和恢复,最大限度地保证卫星安全,能有效监测报告,短期可自恢复正常。检测到故障信息后的1 s内,即可完成事件报告生成并启动故障处置程序,大幅提升了故障响应的及时性,提高了卫星在轨自主运行的可靠性及地面运行管理的效率。
5 结束语
本文对高分多模卫星自主健康管理系统架构及关键设计进行了描述,给出了相对现有遥感卫星健康诊断的优化改进设计,提出了卫星健康系统标准化星地操控接口及事件报告设计。经过在轨验证,高分多模卫星健康管理系统工作可靠、健康诊断准确,异常事件报告准确,无误报、漏报,健康事件报告生成、下传及时有效。目前,高分多模卫星自主健康管理系统在轨工作正常,其设计方法已推广至后续遥感卫星中。