資源一號02D衛星技術風險管理與實踐

秦素然 郝志華 朱華斌 王嘯虎 仲維昆 張明磊 王強 蘇峰

(1 中國空間技術研究院遙感衛星總體部，北京 100094)(2 北京衛星環境工程研究所，北京 100094)(3 西安空間無線電技術研究所，西安 710071)

近年來，由于航天技術水平的快速提升和產品化工作的大力推動，通過“一步正樣”模式研制的業務衛星越來越多。為滿足用戶對業務衛星的新要求，衛星研制中普遍采用了新老技術相融合的新產品，而不是前序衛星技術上的簡單重復。資源一號02D衛星(又稱為5米光學業務衛星)是國內首顆民用高光譜業務衛星，于2019年9月12日在太原衛星發射中心成功發射，目前在軌穩定運行。該衛星研制周期相對較短，采用從方案設計直接到正樣投產的“一步正樣”研制模式，其目標是接替資源一號02C衛星任務，滿足新時期國土監測與調查、地礦勘探、地質環境監測等需求，開展山、水、林、田、湖、草等自然資源要素定量遙感監測業務的探索。在充分進行任務需求分析的基礎上，資源一號02D衛星光學載荷由原來的4譜段全色多光譜相機升級為9譜段可見近紅外相機，并增加1臺帶大氣校正裝置166譜段的高光譜相機，衛星具有成像幅寬大、譜段配置豐富、輻射精度高等特點。與資源一號02C衛星相比，資源一號02D衛星在幾何分辨率、幅寬、光譜分辨率方面的性能大幅提升。

資源一號02D衛星被定義為“一步正樣”業務衛星，不經歷初樣階段，不投產電性模型星、結構熱控模型星、輻射模型(RM)星產品，僅投產正樣產品。由于衛星性能指標大幅提升，衛星平臺和有效載荷產品技術狀態變化大，缺少初樣階段的驗證無疑會給衛星研制帶來較大風險。具體風險主要體現在：①可見近紅外相機是國內首次采用分光反射鏡設計和雙通道拼接技術，以及高集成度視頻電路技術，首次采用國內研制并首飛的GL2170K型4色TDI CCD器件，存在新技術、新器件設計驗證風險；②高光譜相機在繼承“高分”專項技術的基礎上，增加大氣校正輻射計組件，首次通過像元合并減弱標準具(Etalon)效應，提升信噪比，對定標方案、關鍵指標、硬件電路和軟件設計均進行了優化提升，該產品國內相關研制經驗少，光學系統裝調難度大，軟件規模大，時序緊張，軟件時效性要求高，且首次與“資源”衛星平臺對接，存在產品實現和分系統間接口不匹配風險；③衛星平臺與新有效載荷之間存在大量未驗證接口，系統集成也存在較大風險。

為此，資源一號02D衛星在整個衛星研制期間要更加注重技術風險管理工作。通過預先對技術風險系統性地識別、評估、跟蹤等一系列活動，將技術風險降低到一個可接受的水平[1]。本文總結提煉了資源一號02D衛星技術風險管理的思路和實踐情況，可為后續“一步正樣”衛星的技術風險管理提供參考。

1 業務衛星技術風險管理思路

技術風險管理是衛星項目風險管理的重要組成部分。技術風險影響衛星系統技術性能指標的實現，是在設計、生產和試驗過程中必須關注的風險。相比科研衛星經歷方案、初樣和正樣3個完整的研制階段，資源一號02D衛星從方案設計階段直接進入正樣研制階段，對方案階段技術風險管理提出了更高的要求，即技術風險識別的全面性和提前實施應對措施的必要性。衛星技術風險管理的思路是：針對“一步正樣”特點，將技術風險管理工作中心前移，方案階段在任務特點、方案正確性、繼承性、“十新”(新技術、新狀態、新單位、新設備、新人員、新環境、新工藝、新材料、新崗位、新流程)、曾經發生過影響成敗問題的產品、關鍵特性識別和設計裕度量化、環境適應性等技術風險分析要素的基礎上，將常規初樣階段的接口匹配性和試驗驗證全面性2個技術風險分析要素納入方案階段進行識別和分析，并針對這2個要素識別的風險在方案階段提前采取應對措施，從而達到規避正樣階段研制風險的目的。資源一號02D衛星方案階段及正樣階段技術風險管理基本過程如圖1所示。

項目辦公室組織開展項目全生命周期的風險管理工作策劃，明確項目風險管理的范圍、職責與管理過程。落實技術風險管理各項要求，以用戶關注為焦點，系統策劃，統籌管理，深入開展全系統、全過程、全要素技術風險識別、分析與控制[2]。遵循“系統策劃，識別全面，分析準確，措施有效，風險受控”原則，以研制階段和研制流程為主線，針對“一步正樣”業務衛星特點，開展覆蓋產品級、分系統級、整星級和設計、生產、測試、試驗、總裝集成測試(AIT)、發射場的全系統、全過程的技術風險分析，按照器件、部組件、單機、子系統、分系統、系統的研制程序，納入方案、正樣和發射場各階段產品保證計劃和產品保證流程進行實施和管控，從而覆蓋衛星研制全過程。從系統設計、產品實現、試驗驗證等方面抓起，強化風險識別和過程管控，通過衛星研制工作不斷深入迭代，將風險消除或降低到可接受水平，從而確保衛星任務圓滿成功[3]。

注：FMEA為故障模式與影響分析；FTA為故障樹分析。

2 技術風險管理實踐

2.1 系統策劃，明確目標

在衛星研制初期成立了衛星兩總領導、總體主任設計師和各分系統主任設計師負責、各主管設計師參與的風險控制責任體系[4]，遵循“兩總抓總、分級策劃、逐級落實”的原則，開展單機、分系統、整星各級技術風險分析與控制工作策劃，并納入研制生產計劃進行管理。充分考慮衛星“一步正樣”、沒有初樣驗證階段的研制特點，將常規初樣階段的技術風險分析項目分別融入到方案階段和正樣階段開展，結合衛星特點確定方案階段與傳統初樣驗證階段相結合，正樣階段在整星AIT前充分驗證的研制策略。在該研制策略的指導下，充分識別技術風險，制定應對措施并加以實施，從而確保風險識別準確全面、控制措施有效，實現研制過程風險可控的工作目標。

2.2 全面識別，關注重點

從衛星“一步正樣”研制特點入手，分析系統需求，采取FMEA、特性分析、測試性分析、技術成熟度分析等多種方法，從“全系統、全過程、全要素”3個維度識別風險，篩選出重點風險項目，優先配置資源并進行應對[5]。方案階段以技術狀態基線確立和產品選用為依據，逐個分系統、逐臺單機分析技術狀態變化，重點圍繞衛星性能指標提升、光學載荷技術狀態變化大的產品，共識別技術風險29項。其中：可見近紅外相機10項，高光譜相機8項，主要涉及新技術、新器件、新工藝、新接口、產品重要技術指標實現等方面，是方案階段需要重點關注的風險項目。方案階段在全面識別技術風險的基礎上，評價風險發生的可能性和嚴重性等級，形成按等級排序的風險項目清單，并逐項制定應對措施。針對需要在方案階段提前開展的器件級、部組件級、單機級、分系統級、系統級設計驗證項目，納入各級產品研制技術流程、計劃流程和產品保證流程進行管控，從而確保衛星方案正確，降低固有風險。

正樣階段圍繞分系統間接口、光學載荷硬件產品實現、軟件研制、AIT等方面，重點針對過程控制、技術狀態更改、產品最終使用狀態、質量問題和“舉一反三”等要素，共識別技術風險42項。其中：可見近紅外相機和高光譜相機研制過程控制、分系統間接口正確性、軟件研制，需要重點關注。正樣階段在全面識別技術風險的基礎上，根據質量問題歸零和“舉一反三”、技術狀態更改等項目，不斷動態更新技術風險項目清單，制定控制措施并嚴格落實，確保正樣階段研制過程風險控制到位。

2.3 加強方案階段試驗驗證

資源一號02D衛星“一步正樣”，方案階段不僅需要開展衛星的方案設計，還要結合識別的技術風險項目提前開展必要的試驗驗證，從而規避正樣階段研制風險。方案階段通過投產部分驗證件，開展可見近紅外相機和高光譜相機新器件、新技術、新接口的試驗驗證，考核產品可靠性和接口匹配性，降低因光學載荷狀態比較新造成的設計驗證不充分、與其他分系統間接口不匹配的風險。

1)充分識別有效載荷產品設計風險，確保設計驗證充分

可見近紅外相機是國內首次采用分光反射鏡設計和雙通道拼接、高集成度視頻電路技術，首次選用國產GL2170K型4色TDI CCD器件，因此，在方案階段充分識別可見近紅外相機新技術和新器件風險，針對首次選用元器件制定單粒子效應輻照試驗方案、電離總劑量輻照試驗方案和專用質保方案，開展器件性能摸底試驗，組織專家對試驗結果進行確認和驗收；針對新技術風險，投產分光鏡調焦驗證件和視頻電路鑒定件，開展力熱試驗考核，驗證調焦機構穩定性和抗振性，視頻電路匹配性、可靠性、環境適應性。針對高光譜相機這一新載荷，在方案階段投產大氣校正輻射計鑒定件、接口驗證件和結構熱控件，開展振動、沖擊、加速度、熱真空、熱循環和老煉等鑒定試驗，驗證分系統內接口匹配性和產品可靠性。通過上述措施，確保新載荷關鍵環節驗證充分，設計正確。

2)加強分系統間接口驗證，規避系統集成風險

資源一號02D衛星作為業務衛星，最大限度選用衛星平臺成熟產品，系統集成的風險主要集中在新載荷與成熟產品的接口匹配性上。在方案階段通過新載荷與相關分系統間接口聯試試驗驗證，確保正樣接口設計的合理性和正確性，規避正樣系統集成風險。針對高光譜相機，重點開展制冷機與一次電源聯試，驗證高光譜相機對電源分系統的干擾特性，以及高光譜相機分系統和電源分系統間的接口正確性；與數管、GPS間接口聯試，驗證高光譜相機和數管分系統、測控分系統之間1553B接口、秒脈沖接口和總線通信協議的匹配性、正確性；與數傳分系統接口聯試，驗證高光譜相機與數傳分系統間電纜設計的正確性和信號匹配性。針對可見近紅外相機，重點開展與數傳分系統間接口聯試，驗證可見近紅外相機與數傳分系統間2711接口匹配性、數據處理格式正確性和對數據源的適應性；與數管分系統、GPS秒脈沖接口聯試，驗證1553B接口、GPS秒脈沖接口和協議的匹配性，以及秒脈沖對應時間數據傳輸、處理的正確性。

2.4 加強正樣階段有效載荷研制過程監督

中國科學院上海技術物理研究所首次承擔中國空間技術研究院抓總的高光譜相機研制，存在新單位風險。為此，項目辦公室全面梳理各級產品保證要求，整合細化各類文件模板，全部傳遞給上海技術物理研究所，明確產品保證活動開展和文件編寫要求。通過加強產品保證要求培訓、工藝培訓、技術交流等一系列措施，提高外協單位產品保證意識和能力[6]。

在可見近紅外相機和高光譜相機研制過程中，項目辦公室加強研制過程跟產監督，及時了解情況并解決問題。結合有效載荷轉階段評審，邀請領域專家開展正樣設計正確性、元器件、材料和工藝、空間環境適應性、可靠性安全性把關確認[7]。在正樣階段，對可見近紅外相機和高光譜相機設置2個關鍵項目、7個關重件、11個強制檢驗點，總體設計師參與信噪比、調制傳遞函數(MTF)、內方位元素、探測器重要指標精度、光譜偏差、定標精度等重要指標的測試，親自見證指標滿足情況。利用生產準備評審、合蓋前工藝檢查、強制檢驗點檢查、產品驗收等關鍵節點，對有效載荷過程控制和試驗驗證情況進行嚴格把關、階段清理確認。對部組件、單機、分系統測試結果進行現場逐步逐項確認；對分配指標實現情況進行嚴格控制；落實關鍵檢驗和強制檢驗；關注潔凈、污染、多余物和防靜電控制情況；在產品驗收前對產品研制和數據包進行全面審查，確認關鍵項目控制措施落實情況，以及設計、工藝和過程3類關鍵特性控制情況和不可測試項目控制措施落實的有效性，避免事后復查。通過上述措施，實現了衛星有效載荷研制過程風險可控，各項指標滿足規范要求。

2.5 加強軟件研制風險管控

項目辦公室成立軟件產品保證組，制定衛星軟件和FPGA產品保證要求，詳細規定軟件研制流程、配置管理、測試、驗收及軟件沿用，清理各軟件配置項技術狀態。加強整星數據流設計，明確各軟件需求和接口關系。在方案和正樣階段初期，從衛星任務分析和資源分析角度出發，開展信息流、控制流、資源分配、關鍵指標、軟件運行維護與功能升級等軟件系統設計，設計結果作為后續軟件系統級研制工作(包括遙測遙控體制與格式設計、總線通信協議設計、軟件配置項定義等)的輸入，以及分系統技術要求、分系統設計報告及相關軟件用戶需求的輸入。開展軟件和FPGA共計8大類36項產品保證技術要素確認，對雙頻GPS通道板軟件等重要配置項開展通用產品保證要素確認，對數管中央處理單元應用軟件、控制中心控制單元應用軟件等重要配置項開展專用產保要素確認，確保衛星軟件研制滿足要求。

高光譜相機譜段多，圖像數據處理量大，對軟件時序和時效性要求高。邀請軟件領域專家，先后2次對高光譜相機開展軟件代碼走查。針對圖像花屏問題開展FPGA軟件時序問題代碼走查，提出了時鐘降額、時序約束、狀態機優化、綜合編譯選項優化等9項改進措施，消除了時序緊張編譯警告問題，保證時序滿足余量要求。針對高光譜相機溫控等3個軟件，重點檢查了源代碼、單粒子防護設計、數據訪問沖突分析與設計、時序設計、健壯性設計、可靠性設計等內容，針對7個FPGA軟件重點檢查了外圍電路設計、狀態機設計、跨時鐘域設計、接口設計、上電時序、復位時序、初始化時序、模數(AD)接口時序、串并轉換時序、CCD控制流程及圖像數據傳輸過程、編程規范性及可靠性設計等內容，提出了27項程序薄弱環節和需要進一步補充測試的問題，最終通過測試驗證及仿真分析，23個問題得到了確認，4個問題進行了代碼完善。通過上述措施，及時發現并改進軟件設計缺陷，確保高光譜相機關鍵有效載荷軟件研制質量。

2.6 發射場突發風險妥善處置

資源一號02D衛星進入發射場開展14天技術區工作后，因運載火箭質量問題，衛星需要緊急停止發射場工作，封存處理。針對發射場突發風險，發射場試驗隊統一思想，積極協調應對。項目辦公室組織制定衛星貯存方案，全面梳理衛星當前狀態，明確衛星、未裝星產品、地面測試設備的貯存環境要求和測試加電要求；分析各分系統產品貯存條件，針對鋰離子蓄電池、紅外地球敏感器、太陽翼驅動機構、高光譜相機杜瓦等對環境溫濕度要求高的產品進行特殊貯存防護；對衛星擬采取的廠房貯存、包裝箱貯存和柔性收集室貯存3種貯存方案進行論證，最終采用柔性收集室貯存方案(見圖2)。衛星貯存期間，執行星旁24 h攝像、每日2次聯合巡檢、每月定期加電健康檢查等要求，確保貯存期間衛星產品狀態及環境條件滿足要求。貯存期結束后，再次開展發射場工作前，組織聯合檢查組對衛星貯存狀態、地面設備和物資封存狀態進行聯合檢查，并開展整星健康狀態檢查測試，確保貯存后的衛星健康狀態良好，各項檢查和測試結果正常。在發射場突發問題處置過程中，發射場試驗隊全面識別風險并快速妥善應對，為衛星成功發射奠定了堅實基礎。

圖2 整星貯存用柔性收集室Fig.2 Flexible collection room for satellite storage

3 風險評價

技術風險識別與控制是一個反復迭代和不斷完善的過程。定期進行系統級技術風險識別、分析、動態評估，以及適應性制定、細化應對措施，通過方案階段嚴格的技術狀態基線審定、提前開展有效載荷設計驗證、分系統間接口設計驗證，以及正樣階段有效載荷產品合蓋前工藝和強制檢驗點檢查、軟件代碼走查等重點工作，使衛星技術風險得到有效控制，風險降低到可接受水平。資源一號02D衛星技術風險項目綜合評級見表1，采取控制措施前和采取控制措施后的風險發生可能性、嚴重性統計比見表2和表3。從表2～3中可以看出：采取控制措施后，衛星中風險和高風險項目由40項下降到3項，風險的嚴重性和發生的可能性顯著降低，說明采取控制措施后效果明顯，技術風險降低到可接受水平。

表1 資源一號02D衛星正樣階段技術風險綜合評級Table 1 Comprehensive technical risk rating of ZY-1-02D satellite for flight model phase

表2 資源一號02D衛星正樣階段風險項目分布情況(控制前)Table 2 Distribution of risk items of ZY-1-02D satellite before control for flight model phase

表3 資源一號02D衛星正樣階段風險項目分布情況(控制后)Table 3 Distribution of risk items of ZY-1-02D satellite after control for flight model phase

4 結束語

技術風險管理貫穿于衛星研制全過程，通過對風險項目的識別、分析、評估和管控[8]，將風險降低到可接受程度。風險管理在衛星研制整個項目全生命周期內連續、反復迭代。資源一號02D衛星結合“一步正樣”研制特點，按方案、正樣2個研制階段，從技術方案、產品狀態入手，深入識別分析技術風險項目，將識別出的風險項目納入研制技術流程和產保流程進行管控，通過全面開展設計、生產、測試、試驗、AIT、發射場風險控制工作，確保衛星全過程技術風險可控，達到了衛星發射場零缺陷、發射成功、在軌穩定運行的預期效果。