某裝備衛星控制分系統產品保證工作實踐

徐菁宇 于松柏 鄧雅

（1 北京控制工程研究所，北京，100094；2 北京空間飛行器總體設計部，北京，100094）

文 摘： 分析航天裝備衛星產品特點，總結某裝備衛星控制分系統特點的產品保證工作實踐。采取了從產品設計、產品研制、測試驗證及驗收交付過程的質量保證工作，在完成裝備衛星控制分系統常規產品保證工作的基礎上，提取該型號衛星控制分系統的狀態變化特點，重點放在該衛星控制分系統狀態變化識別和驗證相關的產品保證工作實施上，提升產品保證工作效率，為其他裝備衛星控制分系統的產品保證工作提供參考。

在型號研制過程中，為了達到規定的質量要求，在產品設計、產品研制、產品測試、產品驗收等過程中進行的一系列有計劃、有組織的技術和管理活動稱為產品保證[1]。相比于傳統的質量與可靠性工作，產品保證工作的體系結構和內容要素更加完備，它包括產品保證管理、質量保證管理、可靠性保證、安全性保證、軟件保證等，貫穿在產品設計、產品研制、產品測試、產品驗收的全過程中。在產品保證方法上，可以通過在各階段進行的產品保證工作，有效識別技術風險，100%落實技術風險，達到產品保證規定的任務目標[2-4]。

裝備衛星控制分系統的產品保證工作繼承了前一發衛星成功的關鍵環節風險識別與控制工作經驗。在此基礎上，著重關注技術狀態更改風險在設計階段、測試階段、驗收等階段的識別與落實[5]。本文總結了某裝備衛星控制分系統產品保證控制措施，可為其他裝備衛星控制分系統研制過程的產品保證工作提供參考。

1 裝備衛星控制分系統特點

裝備衛星控制分系統研制過程如圖1 所示，其特點是以平臺前一發成功衛星控制分系統為基線，其技術狀態常與前一發衛星控制分系統有一定變化，如：用戶需求變化或產品升級換代要求等。相應的產品保證工作應針對這些差異性的變化，突出裝備衛星的特點，提升研制過程中的產品保證工作效率。

2 確定某裝備衛星控制分系統成熟度

在裝備衛星控制分系統產品保證工作中，首先要進行的是成熟度判定。根據成熟度判定結果，確定產品保證工作的總體思路。裝備衛星控制分系統成熟度定義見表1?？刂品窒到y的成熟度分為4 個等級，由高到低，分別為I 級、II級、III 級和IV 級，其中裝備衛星控制分系統的成熟度等級為I 級和II 級。

圖1 裝備衛星控制分系統研制過程圖

表1 裝備衛星控制分系統成熟度定義

確定某裝備衛星控制分系統技術狀態。硬件產品配置的狀態變化：采用長壽命陀螺替代液浮陀螺；星敏感器和太陽敏感器采用升級換代產品；此外，控制分系統部分配置產品也進行了內部升級，如更換元器件等產品化升級。

軟件狀態相對于前一發星有部分變化，主要包括：在原有基線衛星控制分系統運行模式基礎上改進了陀螺的使用，增加在軌運行自主性，完善敏感器和執行機構的故障診斷和處理邏輯等。

根據成熟度定義，確定該裝備型號控制分系統成熟度為II 級，相應的產品保證工作據此開展。

3 某裝備衛星控制分系統產品保證要素分類及重點

按照裝備衛星研制階段可以把裝備衛星控制分系統的產品保證要素分為6 大類：設計類產品保證要素、軟件類產品保證要素、測試驗證類產品保證要素、交付類產品保證要素、整星階段產品保證要素和在軌階段產品保證要素。

針對該裝備衛星控制分系統特點，確定開展產品保證工作的部分重點內容。對硬件更改項在分系統層面從設計、軟件、試驗、驗收類產品保證要素進行復核驗證。依據單機的力、熱、空間環境適應性等可靠性分析結果和測試驗證等方面的試驗結果，確認更改產品在裝備衛星上的環境適應性[8]。針對硬件單機的更改，影響到分系統的接口特性、分系統的性能功能指標，以及產品變化帶來的分系統極性相關復核確認工作。對軟件更改項按軟件工程化進行管理。

4 某裝備衛星控制分系統產品保證工作實踐

4.1 硬件產品保證要素實施

4.1.1 環境適應性保證

針對某型號的硬件配置變化情況，對硬件變化后的使用環境適應性進行分析。包括：①對選用陀螺的最大動態機動環境進行分析，給出陀螺輸出飽和值及在軌溫度環境變化對陀螺零偏重復性和穩定性的影響。②對選用敏感器的在軌動態機動環境進行分析，給出敏感器輸出姿態確定信息時的最大機動角速度，對敏感器能承受的角速度從分系統設計層面進行限幅。③對選用敏感器的視場影響進行分析。④對裸露在外的星敏感器、太陽敏感器可承受的輻照劑量進行分析。

4.1.2 分系統的極性保證

需要明確分系統選用改型后的星敏感器、太陽敏感器輸出通道連接關系；明確分系統選用陀螺三軸旋轉后的三軸指向與星本體系下三軸的對應關系；針對某裝備衛星所采用的奇數塊或偶數塊太陽帆板，明確太陽帆板驅動機構的安裝方式；明確地面設備、動力學、星上處理軟件等關于分系統極性設計的對應關系。

4.2 軟件產品保證要素的實施

4.2.1 軟件配置項的控制保證

研制初期，確定該型號軟件配置項。結合裝備衛星軟件狀態控制特點，在分系統層面對軟件配置項的制定和變更進行管理，軟件配置項的制定要合理。某型號軟件配置項為7 項，其中控制計算機有3 項軟件，單機軟件有4 項。明確各配置項下的軟件狀態。

4.2.2 軟件狀態變更控制保證

研制初期，確定型號控制分系統各軟件的成熟度。如果系統中軟件為II 類軟件，對軟件的配置參數進行變更。如果系統中軟件為III 類軟件，在基線軟件基礎上，分析軟件變更項對硬件接口、功能、性能的影響域。III 類軟件進行的狀態變更控制如下。

a）對該型號裝備星新增功能，如：提高在軌運行的自主性；完善敏感器和執行機構的故障診斷和處理邏輯等；梳理軟件版本中各升級項，明確軟件更改原因，并對軟件更改原因進行必要性分析。

b）對軟件變更項的更改內容進行影響域分析，更改的內容是否涉及多個軟件模塊，明確多模塊之間是否存在耦合關系。

c）對軟件變更項進行驗證，可通過數學仿真確認更改項符合并覆蓋了更改內容，也可通過軟件測試驗證升級內容是否符合功能基線要求，同時軟件變更項須通過分系統測試驗證。

4.2.3 單機軟件和分系統軟件的驗收保證

在各軟件驗收時，確認各軟件的版本是否在研制過程中進行了升級。驗收時，明確單機軟件和分系統軟件完成的功能，明確各軟件中的各版本測試的充分性、有效性。驗收時軟件是否存在遺留問題，最終版本軟件驗收時應對所有軟件問題進行閉環。

4.2.4 分系統軟件編譯、落焊控制保證

對于基于控制分系統與外系統研制的單機，如綜合電子分系統單機，存在與外系統軟件聯合編譯的情況，聯合編譯之前需要體現參與聯合編譯的各軟件狀態；對控制分系統的7 項軟件進行落焊前最終狀態確認，落焊軟件必須與最終參與測試的軟件及受控軟件進行比對，比對一致后才能燒寫落焊。

4.3 測試驗證產品保證要素的實施

該裝備衛星控制分系統單機28 臺套，所有分系統單機需經歷包括力學、熱學、電磁學等環境試驗驗證及接口的匹配性驗證。控制分系統產品配置上存在敏感器選型差異，因此須驗證系統下使用敏感器的功能、性能和該敏感器的故障診斷與處理情況。部分軟件進行了版本升級，分系統測試和整星測試時要覆蓋版本升級差異情況，明確并落實更改后的性能符合性。對所有測試數據進行全面判讀，測試完成后，進行單機、分系統等階段的測試數據一致性比對，不能存在趨勢性數據，并和理論分析結果一致。確實不能進行試驗驗證的數據，需要使用其他方法進行驗證?？沙浞掷美碚摲治龅姆椒ㄟM行模擬仿真、計算分析等方法確保設計更改的有效性、正確性并有足夠的設計余量。

4.4 驗收交付類保證要素實施

主要包括以下內容：①單機及軟件交付前對

該裝備衛星控制分系統28 臺套單機在研制過程中的指標符合性進行判讀。②對28 臺套單機及軟件接口匹配性進行確認；對分系統的聯試數據進行有效判讀。③交付前明確審查問題和待辦事項（若有），保證交付狀態和最終使用狀態協調一致，審查問題及待辦事項（若有）均需閉環。④交付前控制分系統要形成交付相關文件。

4.5 產品保證實踐結果

根據上述產品保證工作安排，在較短的時間內，按時完成該裝備衛星的控制分系統研制工作，整個研制時間相比常規裝備衛星研制時間縮短1 個半月?？刂品窒到y產品交付后，在整星條件下測試工作正常，在軌運行穩定，實現的指標滿足技術要求。該裝備衛星控制分系統產品保證工作實踐達到了預期目標。

承擔航天型號控制分系統產品保證工作是航天型號控制分系統項目成敗的基礎。通常，系列衛星的研制均以裝備衛星的形式進行研制。本文總結了以某裝備衛星為特點的控制分系統產品保證工作實踐。通過實施產品保證工作方法，實現了該裝備衛星控制分系統產品保證質量控制重心的前移。全面有效地落實產品保證工作，保證了控制分系統的產品質量。