實踐十號返回式衛星自主安全控制策略設計

王文平，袁 ，元 勇，鄭桂波，趙會光

(中國空間技術研究院 總體部，北京 100094)

實踐十號返回式衛星自主安全控制策略設計

(中國空間技術研究院 總體部，北京 100094)

自主運行和健康管理是航天技術發展的一個重要趨勢；為確保實踐十號返回式衛星在飛行中的設備安全、整星能源安全和自主運行需求，從衛星系統層面進行了自主安全控制設計;首先，可以使衛星在測控弧段之外出現地面無法反應的故障時能夠啟動自主安全保護模式；其次，可以使衛星自主執行程序化的功能，減輕地面人員的遙控數據上注壓力;實踐十號衛星在軌飛行中所采取的系統級自主安全控制策略以及工程設計經驗，是對航天自主運行和健康管理技術的有益探索和嘗試，對后續航天器的設計有很大的借鑒意義。

返回式衛星；自主安全；控制策略；健康管理

0 引言

目前，航天器在軌運行的健康管理主要依靠地面測控站的支持，依靠設計人員對遙測數據進行分析判斷，在發生故障情況下，也主要依靠專家的決策。然而，由于我國的地域限制，地面站不可能實現對航天器的全程跟蹤，在不可控弧段發生故障，將無法采取糾正措施；即使在可控時段，單靠地面采取補救措施，其有效性和實時性都相當有限，可能錯過了最佳的處理時機而導致航天器失敗。這就對航天器提出了更高的星上自主性要求，即要求航天器具有不依賴地面支持的自主進行管理的能力，這是提高航天器生存能力的需要，也是維護國家安全的需要。我國航天器的設計也在朝著不斷增強星上自主能力、減少地面人工遙控干預的方向發展。

相比當前國內航天器發展現狀，實踐十號(SJ-10)衛星在星上自主性方面進行了多個功能的設計，為我國航天器的發展做出有益嘗試和實踐。SJ-10衛星是我國空間科學先導專項“十二五”立項研制、專門用于微重力和空間生命科學研究。SJ-10衛星是一個短期在軌飛行的低軌航天器。與其他衛星擁有少數載荷相比，SJ-10衛星一共攜帶有19項載荷，在軌飛行過程中載荷實驗項目的時序安排非常緊張，衛星過境監視時間較短，遙控上注數據量較大，能源消耗量較大；返回過程中需要對著陸點進行精確控制。如何確保衛星在軌飛行期間平臺的安全，確保載荷實驗有序進行，確保衛星返回過程一次性圓滿成功是SJ-10衛星飛行任務成敗的關鍵。因此，SJ-10衛星在各分系統自主安全控制的基礎上，針對返回式衛星的關鍵特性，設計了整星系統級的自主安全控制策略，具體包括：蓄電池放電電量自主計算、載荷自主安全監控、過境測控區域自主管理、微重力數據自主循環記錄、熱控自主控溫功能。

1 自主安全控制

航天器系統級自主安全控制策略設計的一般思路是根據航天器實際任務需求和系統特點，建立系統級的自主安全控制模式，通過在星載中心計算機的軟件中實施控制策略進行監控，以實際飛行過程中的遙測參數作為輸入，當飛行中出現符合安全控制預案中的觸發條件時，則星載軟件自動啟動安全控制程序，并調度相應的智能終端進行執行。

1.1 蓄電池放電電量自主計算

目前，遙感、通信、導航和深空等各領域的航天器，所使用的電源分系統主要是太陽電池陣/蓄電池組聯合供電系統。而對于返回式衛星來說，由于飛行任務周期很短，不采取太陽翼及太陽電池陣的方案設計，只將貯備電池作為一次性使用的蓄電池[1]。因此，衛星在軌飛行壽命完全取決于蓄電池的剩余電量。

自從蓄電池發明以來，人們就一直在研究有效實用的蓄電池剩余電量監測方法。但由于蓄電池本身原理的復雜性，對蓄電池剩余電量的監測一直是一個難題，到現在都沒有被很好的解決。蓄電池剩余電量的監測一般通過蓄電池的外部電特性(電池電壓U、電流I、內阻R和電池溫度T等參數)的測量來間接實現，但剩余電量的大小與上面這些參數的關系會隨著電池老化而變化。對于航天器蓄電池在軌運行過程中，還會有很多因素影響蓄電池的電特性，進而會影響到剩余電量大小的估計，所以剩余電量或電池荷電狀態(state of charge，SOC)的準確預測是一個很復雜的問題[2]。

返回式衛星蓄電池放電電量自主計算主要是為了解決：

1)衛星剩余壽命預測不準的問題，而實際上返回式衛星的在軌剩余壽命完全取決于蓄電池剩余電量(蓄電池出廠額定容量-蓄電池放電電量)；

2) 根據星上蓄電池放電電量的實時自主計算結果，地面飛行控制人員隨時優化調整各有效載荷的在軌實驗時序，優先安排重要關鍵的載荷開展相關實驗，確保本次衛星的核心實驗任務能夠圓滿完成，并在蓄電池剩余電量仍然有足夠余量的情況下，盡可能開展更多的拓展實驗。

SJ-10衛星蓄電池在軌運行期間，可以測量的遙測參數只有電壓和電流，最簡單有效的剩余電量計算方法是安時積分法。安時積分法通過累積電池在充電或放電時的電量來估計電池的SOC。安時積分法預測SOC比較簡單，已商品化的電動汽車上大多采用這種方法。安時積分法基于的原理比較簡單，它把蓄電池看成一個黑箱系統，不關注蓄電池內部發生的復雜物理化學變化，而只關心進出蓄電池的電量，通過實時記錄這個物理量，進入的電量為正，放出的電量為負，以累加的方法求出某一個時刻蓄電池的放電量。

由于蓄電池的放電量一般表示為放電電流與放電時間的乘積，且放電電流一般是變化的，所以安時積分法在具體實施時是以放電電流對時間的積分來計算某一個時刻蓄電池的電量[3-4]，即：

式中，Soc(t)為t時刻的蓄電池容量，即剩余電量；Soc(t0)為蓄電池放電前的剩余電量，電池完全充滿的狀態為100%；η為電池放電效率；i(t)為電池工作時放電電流的瞬時值；Q為蓄電池的額定容量。

SJ-10衛星電源分系統為星上各分系統提供一次電源，由12塊鋰電池提供，一次電源通過兩組母線進行供電：第一組母線電源，由4塊鋰電池并聯而成，為控制、數管、測控提供一次電源，放電前的剩余電量為Soc1，電池放電效率為η1，額定容量為Q1；第二組母線電源，由8塊鋰電池并聯而成，為熱控、載荷分系統提供一次電源，放電前的剩余電量為Soc2，電池放電效率為η2，額定容量為Q2。SJ-10衛星在軌運行期間，可以測得的遙測參數為：第一組母線控制分系統電流IK，數管分系統電流IS，測控分系統電流IC；第二組母線熱控分系統電流IR，載荷分系統電流IZ。

因此，第一組母線電源電池剩余電量為：

第二組母線電源電池剩余電量為：

星載數管軟件在計算電池放電電量時，同時需要判斷對應分系統是否處于加電狀態，如處于斷電狀態，此分系統本次電量計算值為0。

1)當第一組電池每次計算放電電量時，由于數管、測控分系統處于長期加電狀態，衛星加電后一直處于工作狀態，這兩個分系統工作狀態不需要判斷；因此只需要判斷控制分系統加斷電狀態。

2)當第二組電池每次計算放電電量時，分別需要根據熱控、載荷分系統加斷電狀態來進行本次電量計算。

星載數管軟件在計算電池放電量時，需要對遙測參數進行自主判斷，當遙測采集失敗，即參與電量計算的遙測數據均為無效數據時，則本次電量計算結果值為0。

1.2 載荷自主安全監控策略

由于SJ-10衛星有效載荷單機設備功率較大，耗電較多，如果出現持續大電流導致超過正常工作時間范圍的故障，會對整星電源帶來極大的安全隱患。針對這個問題，SJ-10衛星在整星系統級和載荷分系統級兩級分別設置了自主電流監控策略，確保載荷分系統的部分單機出現耗電異常時，使整星處于能源安全可控狀態。

1.2.1 分系統級自主電流監控策略

有效載荷根據分系統內部單機不同情況，分別由回收艙載荷管理器軟件和密封艙載荷管理器軟件對耗電量較大的載荷單機實施自主電流監控。具體策略如下：

1)回收艙載荷電流監控：回收艙載荷管理器軟件每5秒記錄一次“回收艙綜合電控箱電流遙測”(包括回收艙綜合電控箱、多功能爐、基因輻射盒、骨髓培養箱)，如果1分鐘內累計超過9安培的次數大于10次，則認為回收艙綜合電控箱設備是以大電流在工作。在回收艙載荷電流軟件監控功能允許時，當監控到以大電流連續工作4小時后，則軟件自動連續發送3次“多功能爐關機指令”，并設置回收艙載荷電流軟件監控功能為禁止狀態。

2)密封艙載荷電流監控：密封艙載荷管理器軟件每5秒記錄一次“密封艙綜合電控箱電流遙測”(包括密封艙綜合電控箱、煤燃燒箱、導線特性箱、膠體材料箱、蒸發對流箱)，如果1分鐘內累計超過8安培的次數大于10次，則認為密封艙綜合電控箱設備是以大電流工作。在密封艙綜合電控箱電流軟件監控功能允許時，當監控到以大電流連續工作3小時后，則軟件自動連續發送3次“煤燃燒箱和導線特性箱關機指令”，并設置密封艙綜合電控箱電流軟件監控功能為禁止狀態。

密封艙載荷管理器軟件每5秒記錄一次“非金屬燃燒箱和顆粒物質箱電流遙測”，如果1分鐘內累計超過8安培的次數大于10次，則認為非金屬燃燒箱設備和顆粒物質箱設備是以大電流工作。在非金屬燃燒箱和顆粒物質箱電流軟件監控功能允許時，當監控到以大電流連續工作3小時后，則軟件自動連續發送3次“非金屬燃燒箱關機指令”，并設置非金屬燃燒箱和顆粒物質箱電流軟件監控功能為禁止狀態。

1.2.2 整星級自主電流監控策略

整星根據載荷分系統耗電情況，在星載數管軟件中實施了載荷自主關機控制策略，具體如下：

SJ-10衛星在軌飛行過程中，數管軟件中的載荷自主關機控制功能處于使能狀態，數管軟件以500毫秒為周期判斷“載荷分系統電流”遙測參數，如果載荷分系統連續4小時耗電量超過閾值100安時，則認為載荷分系統用電異常，需要載荷設備關機；數管分系統通過給密封艙載荷管理器和回收艙載荷管理器分別發送“密封艙載荷應急模式指令”和“回收艙載荷應急模式指令”，通知載荷管理器對相關載荷設備進行斷電。當數管發送指令后，軟件自動進入載荷安全關機功能禁止狀態，相關參數恢復默認狀態。有效載荷自主電量監控策略流程見圖1所示。

數管軟件每次自主計算載荷耗電量時，如果判斷出遙測參數采集失敗時，即參與載荷電量計算的遙測數據均為無效數據時，則本次載荷安全關機電量計算結果值為0。

圖1 有效載荷自主電量監控

1.3 過境測控區域自主管理

對于SJ-10返回式科學衛星，由于飛行任務周期很短，無太陽翼及太陽電池陣，在軌飛行壽命完全取決于蓄電池剩余電量，為了節約整星能源，設計了過境測控區域自主管理策略：

SJ-10衛星在近地軌道圍繞地球飛行，星載數管軟件實時獲取當前星下點經緯度坐標值，以1次/秒為周期自主判斷衛星是否已進入預先設定好的地面測控范圍內：當衛星飛入與地面測控范圍內時，數管軟件自主打開相應的應答機發射機，進行衛星遙測數據的下傳；當衛星飛出地面測控范圍時，數管軟件自主關閉相應的應答機發射機，停止進行衛星遙測數據的下傳。測控區域自主管理及指令發送見圖2和表1所示。

由于SJ-10衛星通過境內測控區域的時間很短，可監視的范圍較小，絕大多數時間都在境外自主飛行。因此，通過對SJ-10衛星的測控區域進行星上自主管理，可以使應答機發射機平均能耗降低85%左右，有效節約了整星能源。

1.4 微重力數據自主循環記錄

SJ-10衛星是專門為“微重力科學和空間生命科學”實驗研究量身定做。SJ-10衛星正是利用其在太空飛行時所營造的微重力環境，揭示被地球表面重力所掩蓋的“秘密”[5]。SJ-10衛星發射升空，相當于我國科學家將實驗室搬到太空，在太空微重力環境下建立“太空實驗室”。SJ-10衛星在軌飛行過程中，能否對微重力數據高效得獲取就顯得尤為重要。

圖2 測控區域自主管理

SJ-10衛星由工程測量分系統的微重力傳感器完成微重力數據的原始數據獲取，而微重力數據的采集周期和存儲控制則是由數管分系統來完成。因此，為了確保衛星在軌飛行過程中，在有限的數管存儲容量下，實現對微重力數據的最大化采集，SJ-10衛星在星載數管軟件中設計了微重力數據自主循環記錄功能，具體策略如下：

數管軟件中的微重力數據自主循環記錄模式以“輪/90分鐘”為一個記錄周期，當前1輪記錄結束2分鐘后開始下1輪記錄；每輪包含14個記錄時段，其中第1個記錄時段時長為10分鐘，其余13個記錄時段時長均為1分鐘，前1個記錄時段結束5分鐘后開始下1個記錄時段。圖3所示為微重力數據自主循環記錄周期。

地面可以通過上注數管內務指令來啟動或者停止微重力數據自主循環記錄功能。數管軟件內部將“微重力數據自主循環記錄狀態”作為重要數據保存，該參數初始狀態為“停止”。當從“停止”狀態轉為“啟動”狀態時，數管軟件重新開始新一輪的自主循環記錄過程。

當數管軟件收到地面上注的“回收艙直采模式開啟”指令時，將微重力數據自主循環記錄功能中的自主指令發送功能進行禁止。當數管軟件收到地面上注的“回收艙直采模式關閉”指令時，將微重力數據自主循環記錄功能中的自主指令發送功能進行使能。數管軟件將“自主指令發送使能禁止狀態”作為重要數據保存，該參數初始值設置為“禁止”。圖4為微重力自主循環記錄控制流程圖。

1)當地面通過上注內務指令啟動了微重力數據自主循環記錄功能后，數管軟件從第一個記錄時段開始進行判斷：

(1)當軟件處于微重力數據自主循環記錄功能使能狀態時，自主發送指令“回收艙直采模式開啟”和“回收艙直采模式關閉”。

表1 過境測控區域自主指令控制

圖3 微重力數據循環記錄周期

(2)當軟件處于微重力數據自主循環記錄功能禁止狀態時，禁止自主發送指令回收艙直采模式開啟”和“回收艙直采模式關閉”。

(3)在自主控制時，每次記錄開始時，軟件發送“回收艙直采模式開啟”；每次記錄結束時，發送“回收艙直采模式關閉”。

圖4 微重力數據自主循環記錄控制

(4)在自主控制時，數管軟件發送“回收艙直采模式開啟”指令和“回收艙直采模式關閉”指令，不影響自主指令發送使能禁止狀態。

(5)當數管軟件自主發送指令“回收艙直采模式開啟”和“回收艙直采模式關閉”時，通過遙測下傳“微重力自主指令發送計數”計數。

2)當地面通過上注內務指令停止了微重力數據自主循環記錄功能后，數管軟件停止進行記錄時段的判斷，禁止自主發送指令“回收艙直采模式開啟”和“回收艙直采模式關閉”。

1.5 熱控自主控溫

SJ-10衛星研制過程中，要解決多個載荷實驗項目在太空協同工作且互不影響的問題。特別是載荷生命科學項目對各實驗項目全過程的溫度要求精確控制。因此SJ-10衛星設計了熱控自主控溫功能：數管分系統對返回艙內的主動控溫回路進行自主閉環控制，根據熱敏電阻的溫度數據和控制規律，通過控制加熱器的通斷，完成自主控溫功能，見圖5所示。自主控溫詳細控制策略如下：

圖5 熱控自主控溫

1)地面可以上注指令來設置自主加熱回路的使能或禁止狀態，默認為自主加熱使能狀態；

2)自主加熱回路控溫模式為[Tlow,Thigh]，Tlow為控溫閾值下限，Thigh為控溫閾值上限；每個回路的控溫閾值Tlow和Thigh可通過上注指令進行設置，并且需要作為重要數據進行保存；

3)數管自主加熱回路具有異常保護功能，即當加熱回路發生故障時，可以采取相應保護措施關閉加熱回路；

4)當前加熱回路的通斷狀態通過數管分系統的下行遙測參數反映；

5)衛星地面及正常運行時，加熱回路控溫值閾值可通過地面上注指令的方式進行更改；

6)控溫熱敏電阻默認為主份控溫熱敏電阻；當衛星地面集成測試以及在軌飛行時，可以通過地面上注指令來更改加熱回路對應的溫熱敏電阻，使得控制加熱回路的熱敏電阻在對應的主份控溫熱敏電阻與備份控溫熱敏電阻之間進行切換；地面可以通過遙測來確定自主加熱回路當前參與控溫的熱敏電阻；7)自主加熱回路可通過遙控上注指令設定為常開或常關的狀態；同時具備將自主加熱回路設定為全部使能或全部禁止的功能；

8)數管切機或者復位后，所有自主加熱回路的狀態重置到默認狀態。

2 經驗和建議

通過SJ-10衛星的全生命周期在軌飛行，充分驗證了衛星所采取的多個系統級自主控制策略是安全可靠的，也同樣適用于長期在軌飛行的衛星。SJ-10衛星自主安全控制策略設計是對航天器自主運行與健康管理技術[6]的有益嘗試和探索。

隨著我國航天事業的不斷發展，國民經濟、國防建設等方面都對航天器提出了新的更高的要求，航天器飛行任務越來越復雜、實時性要求越來越高、在軌壽命越來越長。建議國內航天器自主運行與健康管理技術研究應關注以下幾個方面：

1)航天器自主運行與健康管理技術理論研究：航天器自主運行與健康管理技術理論研究方面應該在充分借鑒國外現有研究的基礎上，結合國內航天器研究的實際情況，在技術理論方面進行深入研究，從理論角度解決工程需要問題，指導后續的工程實現和應用。

2)航天器平臺內務自主管理技術研究：航天器平臺內務自主管理包括能源的自主管理、熱控的自主管理、自主導航與控制、信息自主調度和管理等方面，目前在這些方面已經有一定的基礎，但面對未來航天器更高的自主管理要求還需要進一步加強研究，提高航天器平臺的內務自主管理水平。

3)自主任務規劃：航天器自主運行的一個重要體現就是自主任務規劃，自主任務規劃技術研究主要研究在沒有地面測控系統支援的情況下，根據空間環境、自身飛行狀態以及各種約束條件自主規劃航天器飛行任務，減小對地面的依賴，提高生存能力。對于在軌航天器，研究如何根據實時環境進行任務自動規劃，形成控制策略來控制航天器，以便完成各種任務要求。

4)故障診斷與系統重構技術研究：航天器自主故障診斷與系統重構，主要研究不依賴地面監測衛星的運行參數，對航天器進行實時的健康狀態監控，及時發現航天器故障，包括在故障發生時或之前做出及時的反應，對航天器子系統進行重組，或使航天器進入安全模式運行，或平穩降級使用，阻止更大的連續性故障發生，從而提高航天器的安全可靠性、長壽命，保障設備的安全性，降低風險，減少不必要的經濟損失。

3 結束語

本文主要針對SJ-10衛星系統級自主安全控制策略進行了介紹，衛星系統級自主安全控制的核心目的在于通過實施能源自主安全控制、溫度自主控制等策略確保整星安全運行，減少地面人員的干預。

隨著航天事業的發展，傳統的測控方式越來越受束縛，作為航天器未來發展的一項關鍵技術，航天器自主運行與健康管理技術的實現對于全面提高我國的航天器運行管理水平，克服地面站的不足，降低成本預算，對我國的航天器技術躍上新的臺階具有十分重要的意義[7]。

[1] 李春華, 倪潤立. 中國返回式衛星與空間科學實驗[J]. 空間科學學報，2009，29(1):124-129.

[2] 付華圓. 電動汽車蓄電池剩余電量估計算法的研究與實現[D]. 杭州：杭州電子科技大學，2010.

[3] 周 奇. 鉛酸蓄電池能量監測系統的設計[D]. 湘潭：湘潭大學，2014.

[4] 嚴加朋. 蓄電池電量計量與管理系統的研究[D]. 沈陽：東北大學，2011.

[5] 胡文瑞. 空間的物理學[J]. 物理，2008，37(9):637-642.

[6] 代樹武, 孫輝先. 航天器自主運行技術的進展[J]. 宇航學報，2003，24(1):17-22.

[7] 曹國榮. 航天器在軌自主健康管理技術的研究和應用[D].長沙：國防科學技術大學，2007.

Design of Autonomous Safety Control Strategy for SJ-10 Reentry Satellite

Wang Wenping, Yuan Jun, Yuan Yong, Zheng Guibo, Zhao Huiguang

(Institute of Spacecraft System Engineering, CAST, Beijing 100094, China)

With the space technology advancing, the spacecraft autonomous flight and self-management is important. To satisfy the demand for equipment safety, energy safety and autonomy, systemic strategies are designed for the SJ-10 reentry satellite. Firstly, survival capability can be improved to against major fault beyond instant ground responses. Secondly, data transfer overhead between aerospace and ground station can be lowered with the self-management. This paper discusses the systemic design of autonomous safety control and self-management of SJ-10 satellite. The engineering practices are useful for the development of space autonomy and maintenance.

SJ-10 reentry satellite; autonomous safety control; self-management

2017-04-25；

2017-05-10。

中國科學院空間科學戰略性先導科技項目(XDA04020200)。

王文平(1984-)，男，山西朔州人，碩士，工程師，主要從事航天器空間數據系統總體設計方向的研究。

趙會光(1972-)，男，博士，研究員，主要從事航天器總體設計方向的研究。

1671-4598(2017)12-0060-04

10.16526/j.cnki.11-4762/tp.2017.12.016

V474.1

A