赵海涛，熊 笑，谢 军，郑晋军，谷 岩

(1. 北京空间飞行器总体设计部，北京 100094；2. 中国空间技术研究院，北京 100094)

0 引 言

卫星导航系统是当今国民经济和国防建设不可或缺的重要空间基础设施。导航信号的连续可用是卫星导航系统成功运行的根本保证。在民航、交通运输等应用中，导航信号中断可能带来严重后果。如果导航信号频繁中断，卫星导航系统将失去应用价值。因此，可用性、连续性是卫星导航系统的关键顶层技术指标。

中断是指导航卫星不能提供规定导航信号服务的状态。卫星导航系统的可用性、连续性都与导航卫星的中断直接相关。导航卫星中断既可能由故障引起(一般表现为导航信号或数据的丢失或异常)，也可能由维护操作引起(如相位保持)，前者对应非计划中断，后者对应计划中断。计划中断可通过提前给出卫星不可用标识而不影响导航信号连续性，但非计划中断由于发生的不确定性，必然对导航信号的连续可用造成影响。因此，为保证导航信号的连续可用，我国北斗导航卫星首次将中断频次作为卫星的技术指标。

中断频次可定义为单位时间内导航卫星信号中断的次数。在调研GPS、Galileo、GLONASS的公开资料中，只有GPS明确提出了中断频次指标[1]，但未见具体的分析方法。目前GPS已运行20多年，其中断频次指标早已得到在轨验证。我国北斗全球卫星导航系统起步晚，由于缺少实测数据，在工程研制阶段如何分析与验证中断频次是制约卫星可用性量化设计的瓶颈问题，其中需解决的关键问题又包括：

1)底层中断事件的确定。故障不一定导致中断，一颗卫星有百余台设备、几万个元器件，全面分析这些设备/元器件和卫星中断的关系将耗费大量的资源，需要通过简单有效的方式确定底层中断事件，剔除与导航信号中断无关的设备、元器件。

2)中断建模方法。需要考虑以何种方法建立中断频次的分析模型，能够覆盖中断有关的各类因素，并能以数学方法方便地得到分析结果。

3)器件功能异常率的获取。器件功能异常率是整星中断频次分析的数据基础，这一指标和器件自身的单粒子本征翻转率有很大差异，需要考虑器件单粒子软错误的传播过程及实际设计情况。地面试验、故障仿真都只能解决有限范围的问题。

当前国内外鲜见中断频次分析方面的研究资料，相关研究主要集中在星座及单星可用性综合分析[2-6]、单粒子软错误定量表征与评价[7-10]方面，前者以单星中断频次、中断恢复时间等指标为输入，考察星座层面的可用性，后者主要进行器件单粒子软错误及其传播概率的理论计算，两者均未给出中断频次分析的系统解决方案。

为此，本文面向导航卫星中断频次分析的工程需求，针对中断频次分析的关键问题，提出了具体实施方法。

1 导航卫星中断的主要原因

导航卫星在轨运行期间，其中断具有随机性、可恢复的特点。引起中断的主要故障原因包括：

1)使用了大规模FPGA等逻辑器件，以及和导航功能相关的设备，由于单粒子事件导致功能中断或异常，继而造成导航信号不可用。例如，导航任务处理FPGA发生单粒子翻转后，通常需要进行复位或整机加断电，进而引起信号连续性损失。

2)由于软件错误导致导航信号中断。例如，导航信号生成、处理、播发相关的软件，由于软件设计缺陷造成运行出错、复位，也可能导致导航信号不可用，从而出现中断。

3)与导航下行信号生成与播发直接相关的设备，发生故障后切机造成功能中断，进而导致导航信号不可用。例如，导航信号播发通道的主份行波管放大器故障后，需要切换到备份行波管放大器，这一过程中相应频率的导航信号将处于不可用状态。

以上3类原因中，单粒子事件和硬件故障在设计上是不能彻底消除的，软件设计缺陷只要在轨纠正则不会重复发生，因此导航卫星中断频次分析通常只考虑单粒子事件和硬件故障。

2 中断频次分析流程

中断频次分析过程主要包括筛选和确定中断影响因素、建立中断模型、获取FPGA功能异常率等基础数据、计算中断频次指标并进行符合性验证，其流程如图1所示。

图1 导航卫星中断频次的分析流程

3 中断频次分析的关键技术

3.1 底层中断事件的确定

中断可由故障引起，但不是所有故障都会导致中断。事实上，大多数故障和中断无关，如遥控损失一个通道只短暂影响遥控功能，地球敏感器故障后可以用备份设备或星敏感器替代，不会影响导航功能的正常运行。因此，中断频次分析首先需要确定哪些故障可能造成中断，即确定底层中断事件。

ESA的可用性工程[11]和国内航天器工程中提出了一种类似FMEA的中断分析方法，针对星上设备列出可能的中断事件，并进一步分析其原因和影响。对这种中断分析方法进行自下而上分析，需要覆盖所有设备，投入较大人力、时间等资源。为了提高分析效率并节约成本，可以结合功能分析、信息流分析，利用相关性分析方法，自上而下快速缩小分析范围，分析步骤如下：

1)获取卫星所有分系统的组成、功能和冗余设计信息。

2)分析各分系统与导航信号生成与播发的关系，明确中断影响。

3)针对可能导致导航卫星中断的分系统，分析各设备和导航信号生成与播发的关系，确定可能导致导航卫星中断的底层故障。

为快速确定分系统、设备和导航卫星中断的关系，可参考表1所示的线索表。

表1 中断关系线索

3.2 建立中断树

底层故障引起导航卫星中断是一个故障传播过程，由于从器件、设备到分系统、整星均有一定的防护措施，而且不同设备在导航信号生成与播发过程中的功能不同，因此既便是与门逻辑中的底层故障也不一定必然导致导航卫星中断。为描述这一特征和突出中断以软故障为主的特点，本文提出中断树，并将传播概率纳入分析过程。

中断树以“导航卫星信号中断”为顶事件，依据底层中断事件的分析结果建立。中断树与卫星传统的故障树的主要区别如表2所示。

表2 卫星中断树与故障树的主要区别

定义影响因子β为本级事件导致上一级事件发生的概率，其取值范围如下：

1)β=1，本级事件必然导致上一级事件发生。

2)β=x,0

3)β=0，本级事件不会导致上一级事件发生。

依据中断树，可建立中断频次分析的数学模型。

当中断树底事件较少、逻辑关系较简单时，可以建立解析模型。依据中断树，导航卫星中断频次可以分解为或门、与门及其组合。

或门逻辑下，假设有n1个底事件，第i个底事件的影响因子为βi(i=1,2,…,n1)，则中断频次为

(1)

式中：Pso为或门系统的中断频次；Pi为第i个底事件的发生频次；θi为第i个底事件的平均发生间隔时间。

与门逻辑下，假设有n2个底事件，且该与门的影响因子为βa，则中断频次为:

(2)

式中：Psa为与门系统的中断频次；Pj为第j个底事件的发生频次；θj为第j个底事件的平均发生间隔时间。

当中断树底事件较多、逻辑关系复杂、采用解析式计算量大或者不适合用解析式计算时，可以采用蒙特卡洛仿真方法。依据中断树，建立蒙特卡洛仿真流程，利用可靠性专用软件或者编制程序，实现中断频次的仿真计算。

3.3 获取底事件发生频次

底事件可分为硬故障和软故障两类。硬故障的发生频次可以近似采用失效率转换为单位时间的故障次数得到。

软故障主要关注FPGA的单粒子功能异常率，即FPGA在轨发生单粒子软错误后引起规定功能中断的频次。FPGA单粒子功能异常率既和器件的单粒子本征翻转率有关，也和轨道条件、器件资源使用情况、单粒子防护设计情况等有关。目前，常见的方法是进行地面辐照试验或者故障注入仿真来获得单粒子功能异常率的数据，但地面辐照试验投入大，且试验结果一般不代表在轨真实情况，故障注入仿真周期长，且依赖模型的准确性，因此均未大量应用。为快速而有效地获取所有相关FPGA器件的功能异常率，本文提出一种利用相似器件在轨数据的快速预估方法，主要过程如下：

1)计算FPGA在任务轨道环境条件下、考虑资源使用情况后的单粒子翻转率。

首先获得FPGA的单粒子本征翻转率，包括目标轨道环境下的存储区单粒子翻转率PbR1、配置区单粒子翻转率PbS1;然后根据FPGA存储区和配置区资源占用情况，确定存储区资源占用系数βRR1和配置区资源占用系数βRS1(资源占用系数即占用资源与器件资源的比值)，从而得到FPGA考虑资源使用情况后的单粒子翻转率PM1为:

PM1=PbS1βRS1+PbR1βRR1

(3)

2)利用相似FPGA数据，计算未采取防护措施情况下，当前FPGA在轨由于单粒子软错误导致功能异常的频次。

首先获得相似FPGA在轨无防护条件下由于单粒子软错误导致功能异常的频次PF2;然后计算相似FPGA在考虑资源使用情况后的单粒子翻转率PM2;再比较当前FPGA和相似FPGA的结构复杂性，确定结构复杂度系数βc，从而得到未采取防护措施情况下，当前FPGA在轨由于单粒子软错误导致功能异常的频次PF1为:

(4)

3)利用同型号FPGA数据，计算当前FPGA功能异常率。

首先依据同型号FPGA采取特定单粒子防护措施前后的效果比对数据，确定防护系数βP(即采取措施前后的错误率之比);然后得到当前FPGA的单粒子功能异常率Po为:

(5)

以上方法既考虑了FPGA在器件固有设计和应用设计中采取单粒子防护措施后的效果，又考虑了FPGA在实际应用条件下由单粒子软错误向最终功能异常传播的可能性，可以快速得到预估值，从而实现在导航卫星设计阶段快速判断设计符合性和进行设计迭代。

4 中断频次分析示例

4.1 某导航卫星简介

某导航卫星的基本任务是：接收地面控制系统注入的导航电文，并存储、处理生成导航信号，向地面控制系统和用户发送。卫星导航信号中断频次要求为小于0.5 次/年。

卫星包括有效载荷和平台两部分。有效载荷的基本构成包括导航、天线分系统，平台的基本构成包括控制、推进、综合电子、测控、供配电、热控和结构分系统。

卫星系统级功能树如图2所示。

图2 某导航卫星系统级功能树

4.2 导航卫星中断相关性分析

首先，依据卫星软硬件功能及冗余设计情况，分析各分系统和导航卫星中断的相关性。分析表明,分系统A的故障会引起导航卫星中断。进一步依据分系统A的设计信息，分析各设备和导航信号生成与播发的关系，确定可能导致导航卫星中断的底事件。分析结果如表3所示。

表3 分系统A中设备和卫星中断的关系

4.3 建立中断树

根据中断相关性分析结果，建立导航卫星中断树如图3所示。根据以往历史数据确定各底事件相对顶事件的影响因子。

图3 某导航卫星中断树

4.4 获取底事件基础数据

结合表3的分析，图3的底事件发生频次可分为两类：

1)设备A2、A3、A4由于单粒子事件引起功能中断的频次。

2)设备A2、A3、A4的失效率。

应用本文提出的FPGA器件功能异常率的预估方法，以设备A2为例计算功能中断频次如下。

1)设备A2选用了1片300万门FPGA，若发生单粒子事件可能引起导航信号中断，依据该器件的资源占用率和厂家提供的单粒子本征翻转率，得到修正后的单粒子翻转率PM1为2.4 次/天。

2)与该FPGA功能相似但未采取三模冗余、定时刷新等措施的相似FPGA，经统计已累计在轨飞行16年，发生由于单粒子事件引起的异常20次，其频次PF2为0.0034 次/天。

3)根据式(2)中相似FPGA的资源占用率和其单粒子本征翻转率，得到相似FPGA修正后的单粒子翻转率PM2为0.8 次/天。则结构复杂度系数βc=3。

4)由此得到设备A2的FPGA未采取防护措施时的功能异常率为:

PF1=βcPF2=3×0.0034=0.0102(次/天)

5)根据地面试验结果，与该FPGA设计相似的同型号FPGA采取单粒子防护措施前后的效果比对，其防护系数βP=50。因此，设备A2的功能中断频次为:

设备A2的失效率可通过可靠性预计得到。同理可得其他设备的底事件基础数据。最后计算、汇总各底事件的发生频次如表4所示。

表4 中断底事件发生频次

4.5 计算中断频次

由图3可知，该导航卫星中断频次为:

(6)

将图3和表4的基础数据代入式(6)中，计算得该导航卫星中断频次为0.26 次/年，满足小于0.5 次/年的指标要求。

5 结论

研究采用合理的方法计算导航卫星中断频次指标，有效开展可用性量化设计，是保证卫星导航系统长期连续可用的基本途径。本文面向导航卫星中断频次分析的工程需求，针对中断频次分析的几个关键问题，提出了具体实施方法，并在北斗导航卫星工程中得到应用。该方法的重点在于通过相关性分析快速定位底层中断事件，通过中断树建立指标分析模型，利用在轨数据、地面试验数据快速预估得到底层功能异常率，从而系统地给出了中断频次的分析验证方案。这在工程设计阶段对导航卫星可用性的迭代改进具有重要支撑意义。