導航衛(wèi)星載荷自主健康管理研究

李 光，石碧舟，戴永珊，任前義，龔文斌，沈 苑

(1.上海微小衛(wèi)星工程中心,上海 201203;2.中國科學院微小衛(wèi)星創(chuàng)新研究院,上海 201203)

0 引言

導航衛(wèi)星是提供無線導航信號和導航信息，供用戶進行導航、定位、授時的人造衛(wèi)星。導航衛(wèi)星系統(tǒng)的定位精度高，服務范圍廣，可提供全天時、全天候、連續(xù)的導航定位服務，已成為時空定位領域國家重大基礎設施，是大國地位和戰(zhàn)略利益重要支撐。由于導航服務的高連續(xù)性要求，導航衛(wèi)星需要具備較高的自主健康管理能力[1-4]。

自主健康管理是實現(xiàn)航天器在軌自主化管理的重要內容之一。航天器自主健康管理是指航天器能夠對自身狀態(tài)進行感應、監(jiān)控和管理，對出現(xiàn)的故障能夠自主進行檢測、隔離和容錯處理[5]。導航衛(wèi)星載荷的自主健康管理是實現(xiàn)導航衛(wèi)星服務連續(xù)性的關鍵，也是提高導航衛(wèi)星在軌運行連續(xù)性的研究熱點。自主健康管理包括自主故障診斷與自主故障恢復。

針對導航衛(wèi)星高可用性、高連續(xù)性的要求，提出了一種導航衛(wèi)星載荷分系統(tǒng)自主健康管理的方法，該方法可以實現(xiàn)載荷分系統(tǒng)內部各子系統(tǒng)的故障逐級定位并可以根據定位情況進行故障的快速恢復，克服了傳統(tǒng)的基于地面遙測的故障定位難、處理時間長的問題。同時，相對于目前衛(wèi)星的低水平完好性監(jiān)測具有全系統(tǒng)自主監(jiān)測、逐級定位、快速恢復的優(yōu)勢，同時采用冗余對比的方法排除監(jiān)測單元自身故障所引入的虛警，提高了系統(tǒng)的可靠性。

1 載荷工作原理及組成

載荷分系統(tǒng)是導航衛(wèi)星提供導航服務的主載荷。它的主要功能是接收地面運控上注的導航信息，并將導航信息調制到下行導航信號發(fā)送至地面，供地面用戶進行定位解算。載荷分系統(tǒng)包括時頻子系統(tǒng)、上注子系統(tǒng)、信息處理子系統(tǒng)、大功率子系統(tǒng)。載荷分系統(tǒng)的組成框圖如圖1所示。

圖1 載荷分系統(tǒng)組成框圖

時頻子系統(tǒng)產生、保持衛(wèi)星的基準頻率和基準時間，并提供其它子系統(tǒng)所需要的時頻信號，同時需配合地面系統(tǒng)實現(xiàn)與地面基準時鐘的時間同步。它包括氫鐘、銣鐘、基頻處理機、頻率合成器等單機；

上注子系統(tǒng)由上注接收天線、功分器、上注接收處理機組成。它的主要功能是完成地面運控系統(tǒng)發(fā)送的上行注入接收，并解調出導航信息及參數(shù)并完成上行精密測距；

信息處理子系統(tǒng)由信息處理機、完好性監(jiān)測接收機組成。它的主要功能是處理上行注入子系統(tǒng)解調出的指令和參數(shù)，并根據指令要求進行相應的處置，另外可生成小功率的下行導航信號，并將地面上注的導航信息按照特定格式調制到導航信號上；同時，完好性監(jiān)測接收機可以完成經過大功率后的下行導航信號的完好性監(jiān)測。

大功率子系統(tǒng)主要是將小功率的下行導航信號進行功率放大，并通過下行天線將下行導航信號發(fā)送至地面。

2 自主故障診斷

航天器健康管理系統(tǒng)架構設計是系統(tǒng)開發(fā)的基礎和前提，是明確航天器健康管理系統(tǒng)開發(fā)目標，指導后續(xù)系統(tǒng)實現(xiàn)及驗證的基礎[6]。傳統(tǒng)的導航載荷的自主故障診斷是在通過信息處理機、完好性監(jiān)測接收機完成下行導航信號的自主故障診斷，但是存在以下問題：1)信息處理機的主業(yè)務與監(jiān)測功能代碼耦合，監(jiān)測功能故障可能會導致主業(yè)務功能中斷；2)受限于硬件資源，故障監(jiān)測無法覆蓋全部載荷單機，無法實現(xiàn)全系統(tǒng)自主監(jiān)測；3)故障監(jiān)測無法逐級定位，不利于故障的自主恢復；4)監(jiān)測單機自身故障無法排除，易引發(fā)虛警。因此，在進行導航載荷進行自主管理設計時，需設計一個獨立的自主健康管理器，并進行監(jiān)測的冗余設計實現(xiàn)系統(tǒng)全鏈路、逐級定位的自主故障診斷與恢復。

自主健康管理器由時頻監(jiān)測單元、綜合監(jiān)測單元、健康判決和處理單元組成。下面分別就自主健康管理器的各部分設計及自主故障診斷策略進行詳細的說明。

2.1 時頻監(jiān)測單元設計

時頻監(jiān)測單元主要負責時頻子系統(tǒng)的自主完好性監(jiān)測。它可以根據監(jiān)測結果判斷時頻子系統(tǒng)的主鐘、備鐘和基頻處理機等單機的完好性，并且根據冗余判斷的策略可以排除時頻監(jiān)測單元自身的完好性所引起的虛警。時頻監(jiān)測單元的原理框圖如圖2所示。

圖2 時頻監(jiān)測單元原理示意圖

自主健康管理器的時頻監(jiān)測單元具備高穩(wěn)態(tài)晶振，利用鑒相技術分別監(jiān)測主鐘和備鐘產生的10 MHz信號，同時它利用備鐘產生的10 MHz信號作為基準監(jiān)測基頻處理機產生的10.23 MHz信號。時頻監(jiān)測單元將監(jiān)測結果輸出至健康判決和處理單元，健康判決和處理單元根據監(jiān)測進行完好性判決，具體判決如表1所示。

表1 時頻子系統(tǒng)完好性判決方法

2.2 綜合監(jiān)測單元設計

綜合監(jiān)測單元主要負責上注子系統(tǒng)、信息處理子系統(tǒng)、大功率子系統(tǒng)的完好性監(jiān)測。綜合監(jiān)測單元由上注信號監(jiān)測模塊、電文生成與比對模塊、小功率導航信號監(jiān)測模塊、大功率導航信號監(jiān)測模塊組成。綜合監(jiān)測單元通過大容量的FPGA，實現(xiàn)了上行導航信號、下行導航信號、電文完好性的一體化、集成化監(jiān)測，而且根據冗余比對監(jiān)測的方法，實現(xiàn)了上注子系統(tǒng)、信息處理子系統(tǒng)、大功率子系統(tǒng)故障的逐級定位，為自主故障診斷和快速恢復奠定了基礎。根據監(jiān)測結果的不同可以分為上注子系統(tǒng)異常、信息處理機異常、完好性監(jiān)測接收機異常、大功率子系統(tǒng)異常、綜合監(jiān)測單元的電文生成與比對模塊異常、綜合監(jiān)測單元的小功率導航信號監(jiān)測模塊異常、綜合監(jiān)測單元的大功率導航信號監(jiān)測模塊異常。綜合監(jiān)測單元的組成原理框圖如圖3所示。

圖3 綜合監(jiān)測單元的組成原理框圖

下面就各子系統(tǒng)的完好性監(jiān)測設計及具體判決方法進行介紹

2.2.1 上注子系統(tǒng)的完好性監(jiān)測

上注子系統(tǒng)的自主完好性監(jiān)測包括上行信號處理單元的完好性和上注通信模塊單元完好性。上行信號處理單元的完好性包括了信號完好和信息完好，信息的完好性可以通過CRC校驗來確認。信號的完好性主要是測距值是否出現(xiàn)跳變，則必須通過橫向比對來確認。

上注子系統(tǒng)的完好性監(jiān)測方法是：將地面的上行注入信號在上注天線后端通過功分器進行功分，一路輸出給上注子系統(tǒng)，一路輸出給自主健康管理機。綜合監(jiān)測單元中的上注信號監(jiān)測模塊，完成上行信號的測距和信息解調。上注子系統(tǒng)和上注信號監(jiān)測模塊分別將上注測距值輸出至自主健康管理機的健康判決和處理單元，健康判決和處理單元根據監(jiān)測結果進行判決，具體判決如表2所示。

表2 上注子系統(tǒng)完好性判決方法

2.2.2 信息處理子系統(tǒng)、大功率子系統(tǒng)的完好性監(jiān)測

信息處理子系統(tǒng)完成小功率的下行導航信號的生成，大功率子系統(tǒng)完成導航信號功率的放大，兩個之間具有一定的耦合性，因此放在一起進行完好性冗余比對監(jiān)測。

信息處理子系統(tǒng)的完好性包括下行信號生成完好性、下行電文編排完好性。下行電文編排完好性主要體現(xiàn)在導航電文的編排的正確性，下行信號生成完好性主要體現(xiàn)在信號功率和信號測距值的完好性。下行信號生成完好性監(jiān)測由綜合監(jiān)測單元的小功率導航信號監(jiān)測模塊完成。下行電文編排完好性由綜合監(jiān)測單元的電文生成與比對模塊完成。

大功率子系統(tǒng)的完好性監(jiān)測主要是導航信號的完好性，異常包括測距值的跳變和信號功率的跳變。大功率單機的在軌操作涉及安全性問題，因此大功率子系統(tǒng)在軌的判決和操作非常慎重。為增加可靠性和進行冗余比對，大功率子系統(tǒng)的故障由完好性監(jiān)測處理機和小功率導航信號監(jiān)測模塊共同完成。

信息處理子系統(tǒng)、大功率子系統(tǒng)的信號完好性監(jiān)測監(jiān)測方法是：信息處理子系統(tǒng)生成的小功率導航下行信號耦合一路至小功率導航信號監(jiān)測模塊。該監(jiān)測模塊收到導航信號后，進行導航信號的捕獲、跟蹤和解調，最后計算出測距值、信號功率并解調出導航電文。小功率導航信號監(jiān)測模塊將測距值、信號功率與內部記錄的基準值進行比較，如果差值超過設定的門限，則給健康判決和處理單元上報小功率導航信號完好性異常。同理，經過大功率子系統(tǒng)放大后的下行導航信號，一路耦合給完好監(jiān)測接收機，另一路耦合給大功率導航信號監(jiān)測模塊。完好性監(jiān)測接收機監(jiān)測原理同小功率導航信號監(jiān)測模塊。

考慮系統(tǒng)中僅有一處異常，則可分為6種情況。信號完好性的具體判決方法如表3所示。

表3 信息及大功率子系統(tǒng)信號完好性判決方法

信息處理子系統(tǒng)、大功率子系統(tǒng)的電文完好性監(jiān)測監(jiān)測方法如下所述：電文生成和比對模塊接收來自上注子系統(tǒng)的電文信息，并根據上注信息生成下行導航電文。同時，電文生成和比對模塊接收信息處理子系統(tǒng)發(fā)送的導航電文信息。另外，電文生成和比對模塊接收小功率導航信號監(jiān)測模塊解調出的下行導航電文。如果解調出的電文、接收信息處理子系統(tǒng)的電文、電文生成和比對模塊根據上注子系統(tǒng)產生的電文信息三者比對不相符，則給健康判決和處理單元上報電文生成和比對模塊的電文完好性異常。完好性監(jiān)測接收機也參與電文完好性的判斷，原理同上。

健康判決和處理單元根據監(jiān)測結果進行判決，電文完好性的具體判決方法如表4所示。

表4 信息及大功率子系統(tǒng)信息完好性判決方法

2.4 健康判決單元

健康判決和處理單元是自主健康管理器的核心單元，它的主要功能是根據時頻監(jiān)測單元和綜合監(jiān)測單元的監(jiān)測結果進行自主故障診斷，準確定位故障位置，并且根據故障位置不同，執(zhí)行不同的自主故障恢復操作，達到自主故障恢復的影響最小化、故障影響最小化的目的。

為了保證健康判決和處理單元的可靠性，避免單個健康判決模塊或者單個處理模塊由于受空間單粒子影響等所引入的可能的虛警，健康判決和處理單元在功能模塊設計時采用同構備份處理，既擁有兩個獨立的同構健康判決單元和兩個獨立的同構處理單元。兩個健康判決單元的輸入條件一致，判決方法和代碼一致，只有兩個健康判斷單元的輸出結果一致性，處理單元才采信該判決。兩個處理單元的輸入一致，處理策略和代碼一致，只有兩個處理單元給出的處理操作一致時，才對外進行處理結果輸出。

3 自主故障恢復

在故障處理技術研究方面，典型方法有故障硬處理和軟處理兩大類。其中，硬處理的常規(guī)方法包括故障設備修復、備件替換和故障系統(tǒng)組成的重構等，軟處理的典型方法包括功能重置、功能降級與被動容錯等[7]。無論是硬處理還是軟處理，通常是建立在模塊設計或一定形式冗余基礎上的，冗余是實施故障處置的基礎[6]。

根據故障位置的不同，自主故障恢復的策略和影響不同。由于導航衛(wèi)星的高連續(xù)性要求，需要根據故障的定位采取最優(yōu)化的故障處置措施，盡量減少故障引起的服務中斷時間。因此，對于軟件較多的信息處理類的單機首先采取恢復時間較短的軟復位的方式對故障單機進行軟處理。如果故障仍存在，再考慮進行單機開關機、主份單機切換至備份單機等的硬處理方式。

導航衛(wèi)星載荷的自主恢復策略包括主鐘切備鐘、單機軟復位、單機開關機、主份單機切備份單機、分系統(tǒng)所有單機開關機等不同的操作。由于基頻處理機具備主鐘和備鐘的無縫切換設計，所以主鐘切備鐘對下行導航用戶無影響。但是，如果時頻子系統(tǒng)的基頻處理機和頻率合成器發(fā)生故障則需要進行整個載荷分系統(tǒng)的單機開關機，以保障整個載荷分系統(tǒng)各單機頻率的正確性。根據故障位置不同，采取影響最小化的故障恢復策略。具體的自主故障恢復策略如表5所示。

表5 自主故障恢復策略

4 結束語

本文提出了一種導航衛(wèi)星載荷的自主健康管理策略，通過配置健康管理器進行載荷故障的獨立監(jiān)測并進行了自主故障診斷和恢復的優(yōu)化設計。該自主健康管理策略，可以完成載荷分系統(tǒng)的的全系統(tǒng)、全鏈路的自主完好性監(jiān)測，并且可以根據監(jiān)測結果逐級定位問題，確保故障定位的準確性和實時性。同時，自主健康管理器可以根據問題定位位置的不同，采取不同的自主故障處置策略，確保可以及時快速排除故障，減少故障恢復時間，降低故障對導航衛(wèi)星的連續(xù)性和可用性的影響。