高分七號衛星GPS接收系統多層級健壯設計方案與驗證

姚鑫雨 張莎莎 任放 趙晨光 趙里恒

(1 北京空間飛行器總體設計部，北京 100094)(2航天恒星科技有限公司，北京 100095)

隨著高分辨率衛星遙感技術的發展，遙感衛星用于地理測繪可以有效提高測繪效率，降低地形復雜地區的測繪難度。2019年11月發射的高分七號衛星，可用于1∶10 000比例尺立體地理信息產品的生產和更新，其高精度立體測繪的實現得益于星載GPS接收系統提供的高精度、全天候定位授時數據。高分七號衛星上的多個系統均要使用GPS接收系統數據，以提高定軌或時統精度；同時，地面進行衛星精密定軌處理也要利用星載GPS接收系統輸出的觀測數據。為此，衛星的軌道測量精度要滿足極高的要求，而且GPS接收系統所提供的數據要具有較好的連續性和完好率，這就需要GPS接收系統能夠完成長期穩定的在軌運行并持續提供服務。

星載GPS接收系統作為衛星全生命周期長期運行的平臺設備，含有數字信號處理器(DSP)、現場可編程門陣列(FPGA)、靜態隨機存取存儲器(SRAM)及閃速存儲器(Flash)等對單粒子敏感的數字電路器件，在復雜的空間環境下，易發生單粒子翻轉，導致服務中斷。特別對于像高分七號衛星這類運行于太陽同步軌道的低軌遙感衛星，每天都會多次經過諸如南大西洋異常區等單粒子翻轉事件頻發區域，如果遇到太陽爆發質子事件，縱然星載GPS接收系統采取了一定的單粒子屏蔽措施，仍然不可避免地受到單粒子翻轉事件的影響。為此，對GPS接收系統運行狀態的實時監控和自主智能管理成為了高分七號衛星健壯設計的關鍵環節之一。

故障預測與健康管理(PHM)是一種智能健康管理技術[1]，包括系統故障檢測、故障診斷和隔離、故障預測、健康管理和決策等方面[2]。PHM技術起源于美國聯合攻擊戰斗機(JSF)的研制[3]，并盛行于美國航空航天研究領域。為了實現高分七號衛星GPS接收系統的在軌穩定運行，本文針對GPS接收系統特點，基于PHM技術提出一種多層級的健壯設計，給出了多層級健壯設計的關鍵技術及實現途徑，可為后續航天器GPS接收系統和其他星載系統的健壯運行管理設計提供參考。

1 高分七號衛星GPS接收系統特點

為了突破高分七號衛星高精度立體測繪任務的關鍵技術，基于GPS接收系統可提供高精度、全天候定位授時數據的特點，星上多個系統與GPS接收系統建立了直接或間接數據交互，這對GPS接收系統設計提出了如下要求。

(1)提供高精度時統。時間同步精度是高精度測繪實現的基礎，高分七號衛星GPS接收系統為有效載荷提供1次/秒的脈沖信號和對應的絕對時間作為有效載荷工作的時間基準，可達到微秒級別的時間同步精度。

(2)輔助有效載荷指標實現。為了提高雙線陣相機成像精度，以及激光測高距離門限實時設置的先驗合理性，高分七號衛星GPS接收系統設計采用速高比計算模塊，通過裝載全球范圍的數字高程地圖，根據實時定位數據和姿態數據，實時計算高精度速高比數據，并轉換成積分時間數據和激光指向距離數據提供給有效載荷，為雙線陣相機進行像移補償和激光測高儀激光器出光方向至地球表面的距離測量提供數據。

(3)協助高速數據傳輸。高分七號衛星數傳天線分系統在自主控制模式下需要借助GPS接收系統實時產生的高精度定位數據進行軌道預報計算，以實現數傳天線對地面站的準確跟蹤，保證波束指向始終保持在天線增益和極化隔離度滿足高速數據傳輸的精度范圍內。

(4)實現高精度事后精密定軌。為了達到高分七號衛星米級的圖像平面定位精度需求，衛星總體設計方案對事后精密定軌精度提出了厘米級的要求，因此GPS接收系統不僅要實現定位精度的指標，還要保證所提供導航數據的連續性和完好率。

通過設計特點分析可知，GPS接收系統需要連續提供有效的服務，因此，建立GPS接收系統在軌運行健壯設計方案，對衛星高精度測繪任務目標的實現尤為關鍵。

2 GPS接收系統健壯設計方案

本文基于PHM提出了高分七號衛星GPS接收系統多層級健壯設計方案。PHM采用開放系統結構，針對不同的應用，PHM系統各環節的設計也有所不同，但是系統的總體設計理念是一致的。以美國波音公司最早提出的視情維修開放體系結構(OSA-CBM)[4]為參考，構建如圖1[4-5]所示的PHM系統架構框架。

圖1 基于OSA-CBM模型的PHM系統構架Fig.1 PHM system architecture based on OSA-CBM model

不同體系架構的PHM系統在層次劃分和設置上會具有一定的針對性設計，但其結構都可以概括為以下3個關鍵部分。

(1)數據采集部分。它主要包括系統狀態參數的采集、處理等功能，以此獲取PHM實時檢測數據。由于系統運行過程中內部及外部接口狀態數據量大，部分參數特征不明顯，因此進行數據采集的關鍵在于確定可以表征系統健康特性的參數。

(2)監測與評估部分。它主要對數據采集部分獲得的系統實時狀態參數進行監測，通過與期望閾值比較實現系統健康狀態的識別與評估。期望值與運行閾值的設定及健康評估方案的選擇，決定了PHM系統運行的有效性，可以通過多狀態的關聯分析和多系統多參數的比對提高判決準確性。

(3)預測、報告與決策部分。它依據監測與評估部分給出的系統健康狀態，對系統未來時間段內的健康狀態進行預測，若已出現或可能出現故障，則進行決策處置或報告反饋。健壯設計的最終目的是保障系統持續運行。系統通過過去、現在的健康評估結果，對未來的系統健康狀態進行預測，有助于提前識別故障。

2.1 多層級健壯運行管理系統

結合上述PHM系統的3個關鍵部分，為實現衛星GPS接收系統健壯運行管理的時效性和全面性，本文設計了如圖2所示的多層級健壯運行管理架構，該架構共包含單機/分系統級、整星級、星地級3個層級。

圖2 多層級健壯運行管理系統Fig.2 Multilevel robust operation management system

下面對多層級健壯運行管理架構中3個層級的應用思路進行簡述。

(1)單機/分系統級。它是多層級健壯運行管理架構的第1級，其內部的健壯運行管理模塊可構成獨立的PHM系統。這些模塊首先具備數據采集功能，能夠通過與其他功能模塊間的數據交互直接獲取單機運行過程中產生的各種狀態參數；然后，通過一定的運行狀態閾值及期望值比較方法，根據采集到的參數對單機狀態進行監控和判決；最后，針對預測得到的某些特定單機故障，采取必要的處置措施，或給出運行狀態信息報告至衛星數管分系統。

(2)整星級。其健壯運行管理包括對單機/分系統級的故障補充處置和其他分系統的故障隔離。整星級數管分系統及其他系統，通過獲取單機/分系統級給出的運行狀態信息，經匯總、融合得到更為全面的運行狀態判據，綜合整個衛星系統的情況實現PHM功能，并作為單機/分系統級健壯運行管理的升級補充。單機/分系統級和整星級健壯運行管理功能的實現，可以通過設置獨立的PHM物理主體，也可以作為一個軟件配置項運行于常規功能的設備之上，甚至可以是設備常規軟件配置項中的一個單元模塊或附加功能。

(3)星地級。其健壯運行管理可以在單機/分系統級和整星級自主管理的基礎上，通過地面的人為干預完成更加復雜的故障識別與處置。地面可以將衛星下傳的全部遙測數據作為PHM功能的參數輸入，經過數據處理及運行狀態識別，由專家系統給出處置決策；也可以通過星上各單機/分系統生成的單機/分系統級信息報告，或數管分系統提供的系統級信息報告有選擇性地實現故障的快速識別和處理。這種方式可以提高星地級健壯運行管理的時效性和針對性。

2.2 GPS接收系統各層級健壯運行管理方法設計

依據上述多層級健壯運行管理架構，本文設計出高分七號衛星GPS接收系統健壯運行管理中各層級的管理方法。

2.2.1 單機/分系統級健壯運行管理設計

高分七號衛星所用的GPS接收系統主要通過通道處理模塊、導航解算模塊、軌道計算模塊、接口通信模塊和電源模塊實現導航定位授時功能。針對這些基本模塊，在單機/分系統級基于PHM技術建立一套PHM系統架構，其具體設計如下。

1)數據采集、狀態監測與評估

對于PHM系統中的數據采集部分和監測與評估部分，其重點在于表征系統健康狀態特征參數的選取及運行狀態的評估方法設計是否合理有效。針對以下幾類單機運行狀態，選取相應功能模塊中的參數進行采集、處理和監控，并將采集到的數據與設定期望值或運行閾值進行比較，反映相應系統的運行狀態。

(1)軟件運行狀態。GPS接收系統軟件需要同時兼顧GPS信號實時處理及與星上其他設備的接口通信，對軟件處理時長有嚴格要求，因此通過獲取軟件循環中特定操作的執行間隔或執行時長監控軟件運行狀態。

(2)通信狀態。GPS接收系統內部各板間通信及接收系統與外部的總線通信，均按照固定周期進行，通過監控相鄰2次通信信號間的時間間隔獲取設備內部通信狀態的運行情況。

(3)導航衛星星歷狀態。為了評估獲取到的導航衛星數據健康狀態，對導航電文狀態進行監測，包括導航衛星星歷完整性、導航衛星星歷及歷書關鍵參數合法性等。根據GPS導航定位原理，在識別導航衛星可用性時，首先對該衛星的必要子幀收集情況進行判斷[6]。對于導航衛星關鍵參數的合法性，則在檢測衛星歷書中導航衛星健康標志是否為“0：健康”的基礎上，特別針對導航衛星軌道參數及接收系統提取的星歷信息進行門限檢測。

(4)相關模塊測量量。在GPS接收系統中，通道信號相關模塊完成測量數據的提取。作為定位解算數據幀參數的輸入，相關模塊測量量發生超差會對定位解算精度造成影響，因此對偽距、偽距率變化率及信號載噪比進行可用門限判決。

(5)定位解算。根據GPS接收系統基本定位原理，用戶的位置可通過偽距觀測方程的求解獲取，最小二乘法是求解偽距方程最直接的方法[7]，也是遙感衛星所用的GPS接收系統定位解算的基本方法，接收系統軟件需要實時對最小二乘可逆返回狀態進行監測。另外，定位解算模塊運行故障或獲取的GPS導航信號異常，將導致定位解算結果偏離正確值，因此選取解算模塊運行過程中輸出的關鍵參數反映定位解算結果的有效性。同時，為了避免輸出異常定位解算結果，接收機對解算結果也加以門限判決。

(6)定位定軌運行狀態。GPS接收系統定位及定軌有效標志可直接反映定位和定軌模塊的運行狀態，因此可直接選取這兩個標志作為定位、定軌運行健壯性的監控參數。

(7)單粒子翻轉影響。為降低單粒子翻轉對DSP、FPGA、SRAM或Flash等數字器件帶來的影響，高分七號衛星GPS接收系統利用錯誤檢測與糾正(EDAC)模塊進行糾檢錯[8-9]。但對于無法使用EDAC進行監控的單元，若運行過程中發生單粒子翻轉，則需要通過外部監控。上述(1)～(6)項的運行狀態，可間接反映對應模塊運行過程中的單粒子翻轉事件，而對于無法通過運行參數反映的，則可通過外部監控模塊進行數據回讀比對的方式識別單粒子翻轉事件的發生。

2)故障預測與決策

故障處置的決策是PHM系統中的核心技術，為了避免故障處置不當帶來的問題影響擴散，高分七號衛星GPS接收系統單機級健壯運行管理根據故障的嚴重程度和處置措施對單機功能的影響程度進行分級，設置不同的決策處置方式與時機。

(1)I級：故障處置前單機功能完全失效或存在安全性風險，或處置過程對單機功能基本無影響，則立即進行故障處置。

(2)II級：故障處置前單機功能有受到持續性影響的可能，且處置過程中單機功能短時不可用，則依據一定判決條件選擇合適時機進行故障處置。

(3)III級：故障狀態下單機仍可提供一定的基本功能，并且有外界狀態變化使得自主恢復的可能，而故障處置過程中單機功能較長時間內不可用，則待單機功能性能指標即將無法滿足時再進行處置。

表1對單機故障所述級別進行劃分，并給出了適合的處置決策。

表1 單機/分系統級故障級別劃分及處置決策Table 1 Fault level division and handling decision at unit/subsystem level

3)故障報告

在單機級的故障報告模式設計分別考慮了健壯運行信息向整星級和星地級傳輸的特點，通過以下兩種手段進行故障和處置報告。

(1)實時遙測顯示。GPS接收系統設置了豐富全面的遙測參數表征其運行狀態，適用于實時向整星級進行運行狀態信息傳遞。

(2)歷史事件報告。為彌補低軌遙感衛星地面測控弧段時長較短、無法獲取境外實時遙測的限制，當特定故障發生及解除時，GPS接收系統將給出突發事件報告，報告中描述故障事件的發生或解除時間，以及少量故障輔助信息(諸如故障原因、故障描述等)，并循環向地面播發；當衛星進入測控弧段后，即可通過事件報告了解境外發生的歷史故障及處置情況，適用于高分七號衛星低軌運行特點下向星地級傳遞運行狀態信息。

2.2.2 整星級健壯運行管理設計

基于PHM的設計思路，整星級的GPS接收系統健壯運行管理通過對運行狀態的識別和處置，主要實現單機/分系統級的故障補充處置和其他分系統的故障隔離。

整星級的故障補充處置目的在于進一步解決單機級無法處置或單機級未處置成功的故障。表2為高分七號整星級對GPS接收系統的運行狀態識別和故障處置決策。

在高分七號衛星中，為了防止故障擴散至采用GPS接收系統數據的控制分系統、有效載荷分系統及數傳天線分系統，各分系統也進行了GPS接收系統數據的有效性判別和故障隔離處置。

(1)控制分系統。當GPS接收系統數據短時間內不可用時，控制分系統可使用自身內部時鐘進行時間外推，并通過接收到的最后1次有效軌道數據進行軌道外推計算；當GPS接收系統數據恢復有效后，經過正確性判斷完成自動重新引入使用。

(2)有效載荷分系統。若GPS接收系統在短期工作時間內出現不可用，有效載荷分系統可依據對GPS接收系統數據的有效性判斷，通過自身維護、數據外推或使用其他數據源的方式保證系統仍可工作。

(3)數傳天線分系統。若GPS接收系統在短期工作時間內出現不可用，數傳天線分系統可依據對GPS接收系統數據的有效性判斷，選擇通過當次開機工作過程中接收到的最后3次有效GPS接收系統數據進行軌道外推，使得系統仍可工作。

表2 整星級GPS接收系統運行狀態識別和故障處置決策Table 2 GPS receiving system operating state identification and fault handling decision at entire satellite level

2.2.3 星地級健壯運行管理設計

星地級健壯管理設計是所有層級中可識別與處置故障復雜程度最高的，相比于單機級和整星級健壯運行管理，系統評估的參數更多，可能發生的故障種類也更為繁雜，往往需要專家系統的人為干預。由于星地級健壯運行管理處置項目較為復雜且無法完全預估，因此以GPS接收系統總線通信異常為例，給出星地級健壯運行管理的設計思路。單機級和整星級均設計了總線通信狀態管理，以周期為1 s的總線輪詢狀態作為判斷依據，然而在總線輪詢成功的狀態下，仍可能出現總線數據缺失、重復、亂碼等異常，且不易通過星上軟件自行判斷，此時需要地面進行綜合判斷，包括對總線遙測、有效載荷輔助數據等的正確性檢查，根據評估結果執行GPS接收系統關機重啟或切換備機的決策。

3 在軌應用驗證

本文設計的GPS接收系統多層級健壯運行管理方案，為高分七號衛星GPS接收系統在軌穩定運行提供了支持。以FPGA單粒子翻轉問題為例，為保證導航信號相關累加及測量數據提取速率，高分七號衛星GPS接收系統所用相關器FPGA采用了Xilinx公司SRAM型FPGA芯片，其內部的SRAM存儲單元使得該FPGA對單粒子翻轉效應十分敏感，根據對高分七號衛星在軌運行過程中相關器FPGA翻轉次數的統計，平均每天均會發生單粒子翻轉事件觸發單機級單粒子翻轉故障處置，對相應FPGA進行重新配置。單機級健壯運行管理系統針對該故障設計的處置策略，極大地降低了故障處置對接收系統定位狀態的影響，保障了GPS接收系統在軌提供服務的連續性。

4 結束語

本文基于PHM技術，結合高分七號衛星GPS接收系統的特點，給出了GPS接收系統多層級健壯運行管理設計方案。該設計方案從單機/分系統級、整星級和星地級三個層面通過數據采集，運行狀態監控與識別，故障預測、報告與決策，對GPS接收系統運行狀態進行管理，可為GPS接收系統在衛星全生命周期長期運行提供有力支持，也可為航天器其他系統的健壯運行管理設計方案提供參考。