交会对接任务故障与应急仿真系统设计与实现

杨 健，苗 毅，詹 磊，王 磊

（北京航天飞行控制中心，北京100094）

交会对接任务故障与应急仿真系统设计与实现

杨 健，苗 毅，詹 磊，王 磊

（北京航天飞行控制中心，北京100094）

为了模拟交会对接任务多目标情况下的航天测控故障与应急过程，建立系统级的故障仿真和综合性的应急处置效能评估环境，采用分布式、支持互操作的高层体系结构，研究了故障SPR柔性描述技术，设计了基于脚本引擎驱动的故障协同演练控制方法，实现了故障建模、存储、提取和组装全过程的规范化，实现了故障的操作控制、效果监视和处置评估的一体化。解决了我国重大空间工程地面故障仿真、应急过程演练和人员训练的技术难题，经受了3次交会对接任务的重大工程应用考验。

仿真系统；交会对接；故障与应急；高层体系结构；量化评估

1 引言

随着我国载人航天任务工程实践的不断拓展，继突破载人飞船天地往返、多人多天飞行和航天员空间出舱活动等关键技术后，目标飞行器和追踪飞船实现空间自动交会对接和手动交会对接成为当前的又一重大航天科技实践活动［1］。交会对接任务飞行控制过程的精度和可靠性要求高，风险难度大，可能发生故障的环节多，故障处置流程复杂［2］。为确保任务的圆满成功，亟需建立交会对接任务故障与应急仿真系统。当前，针对交会对接故障仿真方面开展了大量研究［3⁃5］，但他们大都侧重于故障原因分析和处置对策研究。本文主要针对贴近任务环境的各类有预案故障，验证任务演练中故障诊断和处置流程的正确性，并对参试人员的故障处置和应急决策能力进行训练。

交会对接任务故障与应急仿真系统的主要任务是模拟多目标情况下航天器和外部测控环境的各类故障与应急过程，针对地面测控系统软硬件测试、故障应急处置、指挥决策演练和参试人员训练等需求，实现的一套分布式、多模式，支持多任务一体化仿真的测控故障与应急过程仿真应用软件系统。

2 体系结构

高层体系结构（High Level Architecture，简称HLA）具有时间管理策略多、扩展配置灵活和选择性的数据传输等特点［6，7］，能够满足航天测控仿真系统对实时性和灵活性的要求。交会对接任务故障与应急仿真系统采用了HLA体系结构，整个仿真系统作为一个联邦，根据功能划分为若干联邦成员，各联邦成员分别代表了故障与应急仿真系统子功能的集合（图1）。通过设计它们之间所共享的对象模型模版（Object Model Template，OMT），来规范其数据交换。RTI（Run⁃Time Infra⁃structure）提供通用的、相对独立的支撑服务，将具体的仿真功能实现、仿真运行管理和底层通信传输三者分离，隐藏各自的实现细节，各部分相对独立的进行开发，最大程度的利用各自领域的最新技术来实现标准的功能和服务。

图1 故障与应急仿真系统体系结构Fig.1 Architecture of fault and emergency simulation system

3 设计与实现

3.1 故障模式规范化描述技术

为保证故障信息的规范化、软件开发的一致性和故障生成的灵活性，采用故障模式规范化描述技术。在语法层面上采用XML（Extensible Makeup Language）规范［8］进行描述，保证了描述的可理解性和通用性。在语义层面上，针对航天测控故障天地一体化多模式和非独立性特点，将故障模式拆分为若干柔性单元，柔性单元是指故障模式的最小组成结构，由SRP（航天器Space⁃craft，测控资源Resources，飞控流程Process）故障描述方法进行描述，并建立对应数据库表进行存储（图2）。SRP描述分为故障模式结构描述和故障关联关系描述。

图2 SRP故障描述方法Fig.2 SPR fault⁃description method

故障模式结构描述，对航天测控过程中航天器、测控资源、飞控流程等各个环节的关键故障因素进行建模，对柔性单元的各类特性进行抽象和参数描述。以发动机工作异常故障为例，通过物理建模，可抽象出11个故障参数（表1），从而实现相应的故障模式描述。

故障关联关系描述，通过定义故障模式之间的关联关系和组装接口（包括加+、减⁃、连接⊕、时序关系→等），由运算对象和运算符组成的关系表达式描述故障间的时序关系和逻辑关系，保证了故障模式的可组装性。

表1 发动机工作异常故障描述Table 1 Description of engine failure

3.2 故障信息集成管理平台

基于由简单到复杂、由单一到复合的故障信息管理方式，将故障信息划分为三个层次。第一层次是故障模式信息，是构成故障实例的基本单元，主要包括航天器参数故障模式、航天器逻辑故障模式和测控传输故障模式等基本类型；第二层次是故障模式实例化组装后形成的故障实例信息；第三层次是仿真中所需模拟的包含多个故障实例的故障集信息。故障信息集成管理可以保证故障信息的统一存储和使用，确保故障信息的可复用性。

故障信息集成管理平台采用故障描述方法建立，主要由故障数据库、故障仿真监控平台和故障生成器（图3）组成。其中，故障数据库负责对已有故障模式和故障实例进行存储和管理；故障仿真监控平台负责监视故障仿真运行状态，控制各类故障的加载和撤销；故障生成器用于将各类故障模式实例化。

故障数据库是故障信息集成管理平台的核心和基础资源。为保证故障仿真的灵活性和复用性，基于多个独立故障组装构成复合型故障的思想，采用多模式单元柔性存储方法，使用Oracle数据库对单个故障模式及故障实例进行独立存储。在使用时可灵活检索和提取所需柔性单元，并实例化各柔性单元之间的组装接口，实时构造高层复杂故障模式，实现了多模态航天测控故障的一体生成和组装。

在管理模式上，故障信息集成管理平台包括静态管理和动态管理两种类型。静态管理负责对故障模式和故障实例信息进行存储维护，主要指仿真前通过分析建立各类故障模式并录入故障数据库，仿真过程中存储生成的故障实例信息。动态管理是指在仿真过程中对故障实例信息和复合故障信息的管理，主要包括故障模式实例化、故障实例的组装、故障的加载和撤销等。在故障仿真中，从故障模式库中提取多个独立的故障模式，分别对其实例化后，按照SRP方法定义的组装接口组合形成复合故障。

3.3 故障与应急协同演练控制方法

在故障与应急协同演练中，为了提高演练的效率和真实性，一方面需要根据当前测控状态自动触发并加载故障，模拟故障状态，另一方面需要模拟地面故障处置效果，便于地面故障诊断和排查。面对交会对接故障演练实体多、实时性强、模型间交互关系和控制逻辑复杂等需求，设计了基于引擎驱动技术的故障与应急协同演练控制方法。

故障与应急协同演练控制方法由驱动策略定义模块、状态感知模块、计算决策模块和行为模块构成，能够及时感知故障仿真系统内外部状态变化，按照驱动策略开展计算和决策，自动完成对故障加载与恢复等控制行为。

驱动策略定义模块由多个脚本项组成，每个脚本项由条件（Condition）集合、条件运算表达式Exp和行为（Act）集合3部分组成。每个条件项定义了若干故障与应急状态变量S和条件满足算法F（S）。条件运算表达式明确了该脚本项中各条件的逻辑运算关系，当表达式Exp为“真”时，执行对应行为；否则，终止该集合中所有行为。同时，驱动策略也定义了各个脚本项之间的转入关系与约束条件。

状态感知模块针对每个条件项对应的状态变量S都设置监听器，当S发生变化时，监听器将其最新状态发送到计算决策模块，同时继续监听。

计算决策模块根据获取的状态变量S，计算对应条件运算结果F（S）和条件运算表达式Exp，并将最终决策向对应行为模块发送。

图3 故障信息集成管理Fig.3 Integrated management of fault information

行为模块收到决策信号后，按照驱动策略定义，完成或终止行为集合中规定的各项动作。

3.4 故障状态实时监控设计

为了实现故障加载、地面处置和故障恢复过程的全过程实时监视，采用故障响应报告和故障状态订阅相结合的方式，设计了故障仿真监控平台。故障响应报告是指故障解析仿真成员在收到引擎脚本或人工发送的故障加载、撤销等控制命令，以及故障模拟成员在收到地面的处置措施后，向监控平台发送故障响应报告；故障状态订阅是指故障加载后，监控平台根据故障内容，实时向航天器、测控网或数据收发故障模拟成员订阅相关故障状态，获取对应的遥测参数状态、两目标航天器飞行状态、交会对接状态、轨道与姿态信息、遥／外测数据组帧信息和数据天地传输状态等故障信息。

3.5 故障与应急处置量化评估方法

根据交会对接任务的职责分工，对故障数据库中的每一个故障模式，都明确其对应故障责任岗位，主要包括硬件管理、网络通信、软件平台、数据库、二／三维显示、遥测遥控、总体监视、计划生成、轨道与姿态计算和注入生成等岗位。对交会对接测控故障与应急处置进行量化评估是对任务系统针对故障状态采取措施进行评价的前提，同时通过量化分析可以为人员训练效果和处置流程合理性的改进提供判断决策依据。故障处置效果综合评估主要指标为故障监视判断及时性和故障处置准确性。

故障监视判断及时性：从故障与应急仿真系统加载故障模式，到相关岗位发现故障并经过分析做出正确的故障判断所经历的时间称为故障诊断时间。故障诊断时间越短，故障处置预留时间越充分，对任务过程的不利影响将可能更低。故障监视判断及时性指标N1的计算方法如公式（1）。

其中t为故障诊断时间，tq为故障诊断最长允许时间，如果超过此时间则无法完成处置。

故障处置准确性：故障与应急仿真系统对故障地面处置对策进行智能响应，并对故障对策的准确程度进行评估。评估依据主要有：故障预案中的处置措施是否得到执行；故障状态的恢复程度，或是否按计划进入最佳的应急处置流程（比如组合体紧急撤离，推迟对接）。下面给出故障处置准确性N2的计算方法如公式（2）。

其中K为已正确实施的处置步骤所得评分，KA为处置对策总分，每项处置步骤的分值由其关键程度所决定。

在一次故障演练中，故障监视判断权值为w，诊断处置权值为1⁃w，如果演练结果两项指标得分分别为N1和N2，则最终评分（满分为100）如公式（3）。

4 应用

4.1 交会对接任务航天器典型故障与应急模型

针对发射入轨、远距离导引、自主与人工控制交会对接、组合体运行、撤离返回等交会对接关键过程，本节建立了相应故障模型，实现了多目标关联故障信息的实时互传，完成了载人飞船大气层外应急救生模式、自主应急返回、一次调姿不正常三舱推迟返回、二次调姿不正常两舱推迟返回、B组发动机制动返回、GNC失效手控半自动返回和数管失效手控半自动返回，以及交会对接过程中推迟对接、取消交会对接和组合体紧急撤离等典型故障模拟，以及对上述故障地面处置对策的智能响应。

4.2 测控网／天地信息传输故障模型

为了模拟陆海天基测控设备故障和天地信息传输故障对交会对接任务的影响，以及当任务出现应急情况（比如推迟对接、紧急返回等）时模拟测控资源使用计划的适应性调整，设计了测控网／天地信息传输故障与应急模型。

为实现与正常功能的松耦合连接，在测控网／天地信息传输仿真模型中加入故障处理层（图4），完成对故障与应急功能的仿真。如未收到故障加载命令，数据通过故障层时不会产生变化。故障层包含两个关键模型，数据组帧故障模型和测控计划故障模型。

数据组帧故障模型分别针对数据帧格式头随机码、数据内容随机码、数据帧正常与随机码交替、扩频或降频传输、收发时机不当等故障现象进行了模拟。

测控计划故障模型设计了陆海天基测控资源使用计划的静态和动态配置方法，可模拟陆海天基测站对交会对接任务双目标航天器的跟踪状态、数据上下行能力和船位变化等故障状态。当飞行任务计划发生变更时，终止当前正常的测控计划，按照应急方案规定的陆海天基测控设备使用原则，便捷灵活地生成应急测控资源使用计划，并加载启用。操作员可人工在线对测控计划进行动态调整。

图4 测控网／天地信息传输故障体系结构Fig.4 Fault architecture of measurement⁃control network and information transmission

5 结论

交会对接任务故障与应急仿真系统采用了高层体系结构，扩展性好，重用性高，具备多任务、多目标故障演练支持等特点，实现了对高复杂度、高协同性和高精度交会对接故障和应急过程的系统仿真。

本系统已经在我国3次交会对接任务中得到了广泛应用，支持了地面飞行控制系统软硬件环境的稳定性测试，验证了交会对接任务故障处置流程的有效性和正确性，支持了测控通信指挥部紧急重大故障的应急处置联试与指挥决策演练，为提高参试人员的故障发现、诊断和应急处置能力发挥了巨大作用，有效保障了3次交会对接任务各项准备工作的顺利进行。

本系统具有通用性的特点，在萤火一号任务和嫦娥二号任务故障仿真中已得到成功应用，在后续的载人空间站工程和月球深空探测任务等领域具备良好的应用前景。

［1］ 张渊.载人飞船飞行控制技术［M］.北京：国防工业出版社，2008：1⁃3.

［2］ 李东旭，李智.航天器自主交会对接技术［M］.长沙：国防科技大学出版社，2009：1⁃5.

［3］ 伍升钢，李九天，李海阳，等.交会对接寻的段机动故障对策分析与仿真［J］.中国空间科学技术，2009，5：61⁃66.

［4］ 张蕊.交会对接故障情况与分析［J］.国际太空，2011，5：8⁃14.

［5］ 王华.交会对接的控制与轨迹安全［D］.长沙：国防科学技术大学，2007.

［6］ 齐欢，代建民，吴义明.HLA仿真与UML建模［M］.北京：科学出版社，2004：38⁃48.

［7］ 付正军，王永红.计算机仿真中的HLA技术［M］.长沙：国防科技大学出版社，2003：46⁃62.

［8］ David Hunter，Jeff Rafter.XML入门经典［M］.吴文国，译.第四版.北京：清华大学出版社，2009：18⁃39.

Design and Implementation of Fault and Emergency Simulation System for Rendezvous and Docking Missions

YANG Jian，MIAO Yi，ZHAN Lei，WANG Lei
（Beijing Aerospace Control Center，Beijing 100094，China）

To simulate the TT＆C fault and emergency of multi⁃spacecrafts in rendezvous and docking missions，the evaluation environment for systematic fault simulation and integrative emergency response was developed.Utilizing the distributed and interoperable high level architecture，the Space⁃craft，Resources，Process（SPR）flexible fault⁃description method was studied，the collaborative exercise control mode drived by scenario engines was designed，and the normalization of faultmodeling，storage，extracting and assembling was relized.The integration of fault operations，effect monitoring，and response evaluation was also achieved.The technical problems of fault simulation，emergency exercises and manpower training in Chinese key space projects were solvedwhich was validated by 3 rendezvous and docking missions.

simulation system；rendezvous and docking；fault and emergency；high level architecture（HLA）；quantizing evaluation.

TP391.9；V556

A

1674⁃5825（2014）01⁃0032⁃05

2013⁃10⁃25；

2014⁃01⁃11

杨健（1982⁃），男，硕士，研究方向为航天测控。E⁃mail：kkyjian＠163.com