北斗三號全球組網衛星風險控制和管理研究

劉振新，徐忠賓，賈 濤

（北京控制工程研究所，北京 100094）

1 引言

北斗衛星導航系統是世界上第三個投入實際使用的衛星導航定位系統。我國高度重視北斗系統建設發展，自 20 世紀 80 年代開始探索適合國情的衛星導航系統發展道路，形成了“三步走”發展戰略：2000 年，建成由2 顆衛星組成的北斗一號試驗系統，向中國提供服務；2012 年，建成由14顆衛星組成的北斗二號系統，向亞太地區提供服務；2018 年年底，完成 19 顆衛星發射組網，完成基本系統建設，服務區域覆蓋“一帶一路”沿線國家及周邊國家，并計劃2020 年年底前，完成 30顆衛星發射組網，全面建成北斗三號系統，向全球提供服務。2035 年前，將以北斗系統為核心，建設完善更加泛在、更加融合、更加智能的國家綜合定位導航授時（PNT）體系。[1]屆時北斗將以更強的功能，更優的性能服務全球，造福人類。

北斗三號衛星高精度、高穩定的要求對控制和推進系統的研制帶來了極高的挑戰，型號自立項至今，陸續完成了關鍵技術攻關、充分試驗驗證、分系統和整星測試、衛星發射組網等階段成果。與其他型號相比，北斗三號衛星具有技術新穎、組批生產、快速組網等特點，任何一個節點、環節出現問題都會對全球組網衛星在軌穩定運行帶來風險和隱患，甚至帶來災難性后果。因此，在型號研制過程中，通過提前策劃，準確識別風險，并實施有效管控措施，對于北斗衛星導航系統的建設具有重要作用。

2 風險管理概況

按照航科集團公司“系統策劃，識別全面，分析準確，措施有效，風險受控”的風險分析與控制原則，北斗三號控制和推進系統從型號立項初始，就明確了型號兩總、分系統和單機的三級崗位風險責任體系，并充分發揮各專業領域專家的作用，按照策劃、識別、控制、改進的風險控制流程，進行型號各階段的技術風險分析與控制工作，重點加強各階段風險分析與控制的迭代。

2.1 分系統風險識別與控制

在北斗三號全球組網衛星研制初期，針對控制和推進分系統開展了風險分析與識別工作，編制了《控制/推進分系統技術風險分析及控制策劃報告》，對于識別分析出的重大技術風險的關鍵環節，制定了相應的風險控制措施，并將措施細化到分系統整個研制流程中[2]（如圖1 所示），最大程度確保措施有效落實。在分系統交付前，編制了《控制/推進分系統技術風險分析及控制總結報告》，對風險控制結果進行確認與評估，確定風險控制措施是否落實到位。衛星出廠前，對分系統風險措施落實情況進行再確認，并制定了全面、可行的故障預案。

圖1 分系統風險分析與控制工作流程

2.2 單機風險分析和控制

北斗三號全球組網衛星控制和推進分系統單機約占整星的1/3，各單機的狀態穩定性對于衛星系統的建設具有決定性的作用。衛星控制和推進分系統各單機研制單位通過將風險分析和控制貫穿單機研制的全過程，引入了“DFx”方法，從產品的可制造性、可裝配性、可測試性出發，加強面向功能和性能的設計，明確關鍵特性裕度和三類關鍵特性，量化產品的控制指標，指明具體過程控制措施，并形成了產品生產、測試和試驗操作指導性文件，從而提升了產品可靠性。

北斗三號系統重點加強了單機生產過程數據包管理，確保單機生產過程記錄完整、可追溯。各單機開展產品測試覆蓋性分析，形成單機產品測試覆蓋性分析報告，確定了產品的可測試項目和一、二、三類不可測試項目。產品交付前，產品設計師須編制測試覆蓋性檢查報告，對全部可測試項目逐條給出明確結論，對不可測試項目的過程控制措施落實情況及驗證結果也要給出明確結論。產品設計師還須編制完成《單機技術風險分析與控制總結報告》，對可靠性與安全性、試驗驗證性、工藝穩定性、單點故障模式控制有效性、技術狀態更改情況、產品實現過程量化控制情況等方面進行總結和確認，確保單機狀態和風險可控。

3 風險分析與控制重點

與其他衛星型號相比，北斗三號衛星的特點是批量化生產、產品技術狀態一致性要求高、衛星在軌穩定運行要求高。因此，為確保北斗三號工程建設任務的順利完成，需要嚴格技術狀態管理和生產過程控制，提升控制系統健壯性。為此，研制單位結合“策劃—實施—檢查—處置”（PDCA）循環的思想，加強了風險分析的策劃，對識別出的技術風險項目逐項分析并制定相應的控制措施[3]，確保覆蓋型號研制的全過程，使型號研制技術風險控制措施切實可行、落實到位，風險降低到可接受水平。

3.1 技術狀態控制

3.1.1 技術狀態的確定和控制

產品技術狀態的確定是型號研制的基礎。型號研制初期，通過編制控制和推進分系統技術狀態確認報告，對各單機的狀態進行了梳理，對識別出的技術狀態更改項，按照技術狀態更改要求開展技術狀態更改論證工作，確保更改有效受控。在0 型號研制過程中，嚴格技術狀態更改管理，任何涉及單機功能性能、生產基線、設計文件、生產流程等變更均按照技術狀態更改進行控制，對產品最終狀態有超差項的，嚴格按照不合格品審理程序進行審理和審批。在交付前，完成技術狀態紀實和審核，對產品生產過程中的文件類更改、物資變更、例外放行、生產基線檢查和變更、不合格品審理等內容進行整理和總結，確保研制全過程技術狀態受控。

3.1.2 技術狀態一致性比對

北斗三號控制分系統特別加強了單機和分系統測試數據的一致性比對工作，通過提前識別關鍵性能參數，建立各單機和分系統的一致性數據比對模板，形成了單機產品化數據庫。在產品交付前，通過加強數據一致性比對，對數據臨界項和差異項進行機理分析和確認，識別出了多項單機異常現象，大大提高了產品問題識別和驗收的有效性；通過問題專項分析和閉環，確保了產品數據的一致性和有效性；通過橫向比對分析不同批次產品的數據一致性，推動了產品薄弱環節改進和成熟度持續提升。

3.2 生產過程控制

3.2.1 單機生產過程控制

建立完善的產品功能基線、分配基線和生產基線并進行有效的控制是批產衛星生產過程控制的重點，是確保產品質量合格、穩定的保障。而單機生產過程控制則是產品批產化生產的關鍵，甚至會影響衛星任務的成敗。因此，應通過細化工藝流程、加強關鍵特性分析、強化各項產保要素落實檢查，有效提高生產過程水平，確保批產化單機生產質量。

控制分系統產品的原理和結構較為復雜，故研制單位提前識別了產品設計、生產和過程控制關鍵特性，優化部分單機研制技術流程，將成熟軟件落焊工作提前到單板生產環節，并進行影響分析，制定控制措施，在生產過程嚴格落實。同時，加強了產品單點故障的識別和控制，對關鍵工作環節設置強制檢驗點，強化對產品關鍵特性指標的檢驗，確保產品功能、性能滿足要求。

多余物控制是推進分系統研制過程質量管理的重中之重，在單機生產、系統焊接、總裝測試、加注過程等任何一個環節引入多余物，都有可能影響推進系統正常工作，導致衛星在軌工作出現異常，甚至引起災難性事故。為此，著重推動推進系統可靠性保證工程，建立了北斗三號推進系統焊接、總裝環節生產基線，從組織分工、管理制度、防控體系、控制措施等全方位入手，對產品研制和系統集成全過程的多余物控制體系進行了梳理，明確了各生產崗位職責，全面形成了產品和系統多余物的控制措施及要求，并重點加強各環節工作的檢測結果判讀，確保推進系統不帶隱患上天。

3.2.2 國產化元器件使用控制

為改變我國關鍵產品、關鍵元器件受制于人的局面，北斗三號衛星采用了大量的國產化元器件，目前衛星元器件國產化率已經達到98.5%，實現了元器件自主可控。然而，國產化元器件的研制基礎相對較為薄弱，大部分國產化元器件未經過長期在軌考核，成熟度不高、可靠性子樣較少等因素均會給衛星在軌穩定運行帶來隱患。控制分系統作為國產化元器件使用的引領方和使用方，制定了如下控制措施：

（1）加強元器件入所篩選及檢查，確保元器件質量可靠；

（2）加強單板級、單機級試驗驗證，按照規定的單板和單機產品測試和試驗驗證規范，確保單板及單機驗證充分有效；

（3）加強在分系統和整星聯試和測試試驗判讀，不放過任何異常現象，確保系統驗證測試強度和產品質量與可靠性。

通過強化國產化元器件的試驗驗證、篩選，加強單板測試、整機測試、分系統和整星測試，建立國產化元器件驗證及應用履歷數據庫，保證了導航衛星在軌穩定運行，也推動了一批國產化元器件成熟度的快速提升。

3.3 控制系統健壯性

導航衛星穩定運行、持續提供服務的前提是控制系統的高可靠、高穩定。因此，必須要加強控制系統的健壯性設計，確保風險識別到位、措施落實到位。同時，樹立“底線思維”，確立量化的安全邊界并分解落實，加強在軌數據判讀，強化在軌自主故障檢測、判斷和處置能力。

3.3.1 在軌故障預案

北斗三號控制系統和推進系統制定了充分的故障處理預案，并在地面進行了充分的演練和驗證，確保衛星在軌發生異常時能有效處置，將風險降到最低，保證衛星連續、可靠運行。

根據預案，對控制系統開展“再設計、再分析、再驗證”工作，充分進行衛星飛行事件保障鏈分析，建立并動態維護單機故障模式庫；對控制和推進分系統各時段、各事件進行分解，分析識別每一動作的執行條件和保障措施；對各故障模式制定充分的處理對策，并對相應的故障處置操作程序（指令或指令鏈）和故障處置的結果判定進行詳細的仿真和演練；特別加強了對故障對策的風險分析，預防二次故障或多重故障的發生。通過在軌衛星飛行，部分故障預案已經得到驗證，有效地處理了一些意外情況。后續將持續迭代和完善，確保組網衛星在軌運行連續、可靠。

3.3.2 軟件研制管理

衛星高可靠、高穩定的飛行目標必須以各軟件的可靠運行作保障。研制單位在各軟件研制過程中嚴格貫徹軍用軟件質量管理規定，按照集團公司軟件工程化的要求進行研制和管理。風險控制和可靠性保障措施如下：

（1）各軟件均進行了可靠性設計，采取重要數據三取二、EDAC、時序設計、中斷沖突分析、數據有效性保護等措施，有效保證可靠運行；

（2）軟件開發經過軟件測試、分系統測試、第三方評測和整星測試等階段的全面測試，且分系統專門構建了驗證平臺，進一步加強了系統和軟件的強度測試；

（3）完善了“一重故障保業務連續，二重故障保衛星安全”的異常應對策略，在不影響衛星安全的前提下，首先確保衛星在軌服務連續，對大規模軟件可實現在軌升級。

4 總結

隨著北斗三號基本系統完成建設以及后續任務逐步推進，確保在軌衛星穩定運行的壓力也將不斷增加，這就要求研制單位應更加深入開展風險管理工作，增強風險管控能力。目前風險量化分析和風險管理效率尚有諸多不足之處，在下一步工作中各研制單位應繼續研究、探索，不斷提升型號風險分析和控制能力，切實保障北斗導航系統任務建設圓滿成功。