中法海洋卫星有效载荷系统级故障检测隔离与恢复实现方法研究

,, ,

(航天东方红卫星有限公司，北京 100094)

中法海洋卫星有效载荷系统级故障检测隔离与恢复实现方法研究

韩浪,王韶波,陈娟,丁振宇

(航天东方红卫星有限公司，北京100094)

中法海洋卫星搭载了波谱仪分系统、微波散射计分系统和数据传输分系统3种载荷，三类载荷在轨每天连续24小时不间断工作；为提高卫星在轨期间有效载荷运行的安全性，提出了有效载荷系统级故障检测隔离与恢复(FDIR, Fault detection, isolation and recovery)实现方法；有效载荷FDIR由卫星主机和载荷下位机协同完，各载荷下位机实时监测自身运行状态，发现故障时按照故障预案执行隔离操作或上报故障信息交由卫星主机处理；卫星主机还能通过平台其他分系统获得更高级别的有效载荷状态参数，综合分析后及时执行故障隔离操作；文章介绍了三类有效载荷故障监测参数选择方法、故障判断准则和故障隔离措施；各有效载荷的FDIR功能都能够独立使能/禁止，FDIR门限值、连续异常错误次数在轨均可软件调整；中法海洋卫星有效载荷的FDIR实现方法已通过地面试验验证，符合设计要求，其方法可推广至其他卫星型号。

中法海洋卫星；有效载荷；FDIR ;故障检测

0 引言

FDIR(Fault detection, isolation and recovery)是指故障检测隔离与恢复[1-3]。预先定义一组能够表征被检测系统工作状态的特征参数,通过计算机软件周期性采集特征数据并实时分析，特征参数值超出合理范围并持续一定的时间则判定系统发生故障,工作出现异常。根据故障危害程度及时采取相应的故障隔离措施，避免故障蔓延。故障恢复是将系统恢复到正常工作状态，一般有效载荷硬件故障采取切换备份模块的策略，软件模块故障恢复包括系统软启动、硬件系统断电重启、软件重构、系统补丁等措施。有效载荷是卫星系统最重要的功能模块，执行卫星的遥感探测任务，有效载荷系统工作状态发生严重错误时，应当及时发现进行故障隔离，经故障分析、排查后制订故障恢复措施，确保故障恢复方案合理有效，安全可靠。

中法海洋卫星(CFOSAT-1，Chinese French Oceanic Satellite)是由中法合作研制的一颗海洋观测卫星。法方提供波谱仪，中方提供卫星平台和散射计，中方负责卫星发射与测控。中法双方共同开展卫星研制与应用，以获取海面风场、海浪等海洋动力环境参数。CFOSAT-1卫星有效载荷包括波谱仪分系统、微波散射计分系统和数据传输分系统，文章介绍了CFOSAT-1卫星有效载荷系统级的FDIR实现方法，包括故障检测[4-6]参数选择方法、故障判断准则和隔离措施。有效载荷系统级FDIR特指针对有效载荷运行安全、功能完整性、重要性能指标而设计的FDIR，一般情况不包括分系统内部模块的FDIR设计，但如果分系统内部单机、模块发生异常会严重影响系统正常运行时也可将内部FDIR按照系统级FDIR处理对待。

1 波谱仪分系统FDIR

波谱仪分系统由配电单元、数字单元、高频收发模块、行放、行放电源、微波前端、伺服控制器、扫描机构驱动装置、馈源与扫描机构、反射面天线等单机组成[7]。波谱仪在轨长期工作，采取馈源机械扫描和波束电子切换的方式实现天线波束全方位扫描和不同入射角的微波探测，通过数据反演获得海浪方向谱信息。中法海洋卫星波谱仪分系统针对设备工作温度异常、旋转关节温度异常、扫描机构温度异常、CAN总线通信异常进行了FDIR设计，所有FDIR全部由星务分系统完成，包括故障检测点遥测采集、故障判读和隔离操作。

图1 波谱仪分系统FDIR实现方法

1.1 设备工作温度异常FDIR

根据卫星布局，除天线及扫描机构外波谱仪各单机设备都位于载荷舱内部，卫星在轨工作期间，由卫星平台保证载荷舱内部温度，当温度过低时卫星开启补偿加热设备，当工作温度超过高温门限值时停止补偿加热，确保荷舱各设备工作在合适的温度范围。波谱仪各单机温度超出FDIR门限范围表明波谱仪设备或卫星平台工作环境存在某种异常，不宜继续工作，星务主机应当及时自主地对波谱仪进行关机操作。波谱仪舱内八台单机每台设置一个温度监测点，每个温度监测点都设置上下门限值，各温度门限值在轨可独立调整。8台单机温度监测FDIR具有使能/禁止功能，单条遥控指令同时控制8台设备的FDIR执行。设备工作温度异常且FDIR处于使能状态时，星务主机通过热控下位机每隔8秒采集一次各设备的温度，同时判断各设备的温度是否超出对应的温度门限范围，任何一台设备的温度超出了对应的门限范围都被认定为设备温度异常，默认连续9次监测到设备温度异常即64秒，则确认波谱仪工作异常，开始执行波谱仪关机操作，设备温度异常FDIR使能/禁止功能、各设备温度FDIR上下限值、连续错误次数可软件上注调整。

1.2 旋转关节FDIR

旋转关节是波谱仪天线馈源的重要模块，旋转关节实现了静止到旋转的功能切换，是射频信号收发必经之路，旋转关节工作状态直接影响回波信号强度，进而影响波浪谱数据产品精度[8]。旋转关节插入损耗与工作环境温度有关，通常环境温度增加会引起旋转关节插损增加，另外旋转关节连接松动、热变形等引起的内部结构变化也会造成插入损耗变大，大功率射频信号通过时会有更多的能量转化为旋转关节的热能，造成旋转关节温度升高。另外旋转关节位于载荷舱外，即使外部包裹了热控多层，依然受外热流影响较大。因此将旋转关节作为波谱仪系统的一个关键监测点，温度超出门限范围时，星务主机应当及时自主地对波谱仪进行关机操作。旋转关节温度监测FDIR具有单独的使能/禁止功能, 星务主机通过热控下位机每隔8秒采集一次旋转关节的温度并判断是否超出FDIR温度门限范围，默认连续9次即64秒监测到旋转关节温度异常，则确认旋转关节工作异常，执行波谱仪关机操作。旋转关节FDIR使能/禁止功能、温度上下门限值、连续异常次数可软件上注调整。

1.3 扫描机构异常FDIR

扫描机构实现了波谱仪天线波束360度的扫描功能，波束扫描是形成波浪方向谱的必备条件。波谱仪在轨工作期间扫描机构按照5.7转/分钟的速度匀速旋转，为保证扫描机构长期可靠稳定工作，需确保扫描机构处于合适的工作温度。扫描机构属于舱外设备，外热流环境复杂，将扫描机构工作温度作为波谱仪系统的一个关键监测点，温度超出门限范围时，卫星主机应当及时自主地对波谱仪进行关机操作。扫描机构FDIR的实现方法与旋转关节FDIR类似。

1.4 CAN总线通信异常FDIR

波谱仪分系统与卫星平台通过CAN总线进行遥控指令、遥测数据、上注数据块等信息传递，CAN总线通信异常将会造成波谱仪无法正确执行地面发送的遥控指令，地面也无法准确了解波谱仪的工作状态。CAN总线通信状态作为波谱仪故障判断的依据之一，CAN总线通信发生持续故障时卫星主机应当及时自主地对波谱仪进行关机操作。波谱仪正常工作期间，星务主机每8秒对波谱仪进行一次缓变轮询，波谱仪收到缓变轮询指令后将应答数据包中的计数器递增加1，星务主机默认连续7次即48秒监测到计数器未正常加1则确定CAN总线通信异常，执行波谱仪关机操作。CAN总线通信异常FDIR使能/禁止功能、连续监测次数软件可调。

波谱仪分系统开机后星务主机应当设置CAN总线FDIR、设备温度FDIR、旋转关节FDIR、扫描机构FDIR处于使能状态，同时卫星平台提供遥测参数表征波谱仪各FDIR运行状态，遥测参数包括每类FDIR的使能/禁止状态、门限值、允许的连续异常次数、各FDIR触发状态。波谱仪关机程序如下所示：

1)发送波谱仪停止数据采集指令。

2)5秒后发送波谱仪设备关机指令。

3)10秒后发送波谱仪分系统关机指令。

4)5秒后再次发送波谱仪分系统关机指令。

5)5秒后发送禁止波谱仪CAN总线FDIR使能、禁止设备温度FDIR使能、禁止旋转关节FDIR使能、禁止扫描机构FDIR使能4条指令。

2 散射计分系统FDIR

散射计分系统由配电单元、数字单元、收发单元、行放、行放电源、微波前端、射频接收机、伺服控制器、天线与扫描机构等单机组成[9]。散射计在轨长期工作，天线与扫描机构默认按照3.4转/分钟的速度匀速扫描，获取全方位海面风场数据。中法海洋卫星散射计分系统在轨FDIR包括行放电流异常FDIR、天线转速异常FDIR和散射计母线1电流异常FDIR。

图2 散射计分系统FDIR实现方法

散射计分系统将行放和行放电源作为重点监测对象，行放总线电流遥测超出预定门限值则执行行放关机操作，并禁止行放电流FDIR使能。由于行放由平台母线2独立供电，与散射计其他单机设备供电通道隔离，行放与其他单机电气耦合度低，因此行放工作异常时无需关断散射计其他单机。

天线与扫描机构在轨匀速旋转，设计最大转速为3.74转/分钟，天线转速超过该值表明伺服控制器或扫描机构工作异常，天线转速过大造成散射计星上多普勒距离补偿信号处理算法误差增加，影响散射计测量精度。另外从卫星安全角度考虑，散射计天线与扫描机构转速异常过高会影响卫星姿态控制，星务主机应及时切断伺服控制器供电，断电后天线转速由于摩擦力矩的存在会慢慢降低到停止，这种情况下散射计测量数据无法满足业务使用要求，因此关闭行放以及信道各单机，仅保留下位机与卫星的基本通信功能。

散射计母线1负责配电单元、数字单元、收发单元、微波前端、射频接收机5台单机的供电，星务主机实时监测散射计母线1电流变化，当电流超出预定门限时表明上述设备工作异常，应及时切断散射计各单机电源进行隔离保护。虽然伺服控制器和行放与母线1隔离或独立供电，此时也建议执行散射计关机操作，降低不必要的能源损耗。相比天线转速异常的关机操作，母线1电流异常时将散射计分系统各设备全部关机，不再保留下位机的的基本通信功能。

母线1电流FDIR功能全部由星务主机独立完成，星务主机默认连续3次即2秒(速变遥测)监测到母线1电流超出门限值则执行散射计分系统关机操作序列。行放电流异常FDIR和天线转速异常FDIR由散射计分系统独自完成，散射计下位机直接采集行放电流遥测、收集天线转速遥测，每隔8秒检测一次行放电流和天线转速是否超出门限值，并将检查结果通过速变轮询遥测上报星务主机，下位机默认连续3次即16秒监测到行放电流、天线转速大于门限值执行各自的关机操作。散射计3种FDIR功能独立，每种FDIR都有专门的使能/禁止功能，门限值、连续错误次数可软件上注调整。

3 数传分系统FDIR

数传分系统包括数传控制器、数据处理器、固态存储器、X频段调制器，行放电源、行波管放大器[10]、高功率隔离器、天线，根据卫星任务特点，波谱仪和微波散射计载荷在轨长期开机，数传分系统实时接收载荷数据，当卫星位于地面站之外时将数据存储在自身的固存中，过境时将实时观测数据和固存中的数据回放至地面站。因此数传控制器、数据处理器和固态存储器为在轨长期开机设备，而调制器、行放、行放电源、高功率隔离器只有卫星过地面站时才开机工作，过境则关机。由于中法海洋卫星每轨都经过法方地面站，每轨都会进行数据传输，某些轨道圈次可能会出现中方地面站、法方地面站同时传输数据的情况，因此在轨数传发射通道需频繁进行开关机操作。卫星业务运行阶段星务主机采用程控指令的方式实现数传分系统自动开关机操作，一般程控区保存70轨以上的数传分系统操作指令，能够完成5～7天的数传分系统开关机操作。行放、行放电源、隔离器属于大功率发热设备，在轨频繁开关机导致热环境变化剧烈，影响设备工作稳定工作，而且行放及行放电源作为射频信号放大的主要单机，工作状态异常时需要及时识别和快速隔离，以免造成不可逆的损伤。

图3 数传分系统FDIR实现方法

行放及行放电源的工作状态可通过螺旋电流、阳极电压[11]、行放电源内部温度遥测参数监测，数据控制器每隔8秒采集一次螺流、阳压、行放电源内部遥测，在行放高压开机的前提下，数传控制器比较螺流、阳压、行放电源内部温度是否超出门限值范围，默认连续3次即16秒监测到螺流、阳压或行放电源内部温度超出对应门限范围则立即执行数传射频设备关机操作。螺流、阳压、行放电源内部温度上下门限值、连续异常次数、FDIR使能/禁止功能软件独立可调。

行放输入信号功率即调制器输出功率过大或过小都会造成行放输出功率下降，导致星地链路传输信噪比减小甚至影响数据正常接收，因此有必要实时监测调制器输出功率大小。在调制器开机的前提下，数据控制器默认连续3次即16秒监测到调制器输出功率超出门限值范围则执行数传射频设备关机操作。调制器输出功率FDIR门限值、连续异常次数可软件调整，具有使能禁止功能。

行放、行放电源、高功率隔离器等大功率设备工作异常时往往也会出现设备工作温度异常的现象，类似波谱仪设备温度FDIR实现方法，数传分系统的FDIR也将设备工作温度作为重点关注对象，进行长期监测。该项工作由星务主机完成，星务主机通过热控下位机每隔8秒采集一次各设备的温度，同时判读各设备的温度是否超出对应的温度门限范围，任何一台设备的温度超出了对应的门限范围都被认定为设备温度异常，默认连续9次即64秒监测到设备温度异常，则确认大功率设备工作异常，执行数传射频设备关机操作,各设备温度上下限、连续错误次数可软件上注调整，数传设备温度FDIR具有统一的使能/禁止功能。

CFOSAT-1卫星数传分系统FDIR由星务主机和数传下位机共同完成，数传下位机负责行放螺流、行放阳压、行放电源内部温度、调制器输出功率遥测的采集，判读各遥测是否超出对应的FDIR门限范围，如果满足FDIR触发条件则立即执行关机隔离操作。下位机通过CAN总线速变轮询遥测向星务主机报告FDIR触发状态，星务主机检测到任一FDIR触发则禁止程控区指令执行，防止在未排除故障异常的情况下后续时间程控指令继续执行数传设备开机操作。数传射频设备关机程序如下：

1)发送调制器关机指令。

2)5秒后发送行放电源关机指令。

3)5秒后禁止星务主机程控区指令执行。

数传下位机软件设计保证螺流、阳压、和行放电源内部温度FDIR超门限判读只有在行放开机条件下才执行，因此不需要发送禁止螺流FDIR使能、禁止阳压FDIR使能、禁止行放电源FDIR使能三条指令，行放重新加电后，FDIR使能状态同关机前一致。同理调制器关机后输出功率FDIR也失效，无需专门发送停止使能指令。

4 软件编程方法

卫星主机软件运行在80C86微处理器平台，采用C语言编程实现各载荷FDIR功能，各载荷下位机以80C32 单片机为平台，也采用C语言编程方式实现载荷内部FDIR以及故障信息上报。载荷下位机开机后，软件初始化各FDIR参数为默认值，各FDIR状态为禁止使能，软件默认不进入FDIR判断分支。等待卫星主机设置允许使能后，对应的FDIR软件程序开始执行。主机开机后软件初始化各FDIR参数为默认值，各载荷FDIR状态为禁止使能，软件默认不进入FDIR判断分支，待用户发送FDIR使能指令后启动自身或载荷下位机FDIR功能。各载荷下位机采用定时器中断方式定时采集分系统内部状态遥测参数，主机软件按照卫星时钟定时轮询载荷下位机遥测参数，通过卫星平台其他分系统获得更高级别的有效载荷状态参数，综合分析后执行故障隔离操作。

5 结束语

中法海洋卫星有效载荷在轨长期开机工作，文章介绍了波谱仪分系统、散射计分系统和数传分系统三类有效载荷系统级的FDIR设计要点和实现方法，确保有效载荷在轨工作期间发生故障异常时卫星能够及时发现异常，自主执行预定的故障隔离操作指令，避免故障进一步扩大，影响有效载荷甚至卫星平台安全，有效载荷在轨工作期间可以根据实际情况通过地面上注的方式调整各类FDIR的参数值。

[1] 乐 浪，李明峰，王 君，等. 卫星综合电子系统的FDIR 研究与设计[J].计算机工程与设计,2014,35(7):2607-2611.

[2]唐明圣，宁 洪，李 暾.星上一体化电子系统的FDIR框架设计与研究[J].计算机应用与软件，2010，27(11):163-166.

[3] 王明波，史 简.卫星在轨自动故障检测、隔离及恢复技术研究[A].2011年小卫星技术交流会[C].北京：航天东方红卫星有限公司，2011.

[4] 冀捐灶，彭兴钊，杜 军，等.3种卫星故障检测策略的对比研究与仿真[J].计算机仿真,2013,30(9):51-55.

[5] 姜连祥，李华旺，杨根庆，等.航天器自主故障诊断技术研究进展[J].宇航学报,2009,30(4):1320-1326.

[6] 张大鹏.空间站在轨故障检测和诊断技术研究[D].南京：南京理工大学，2012.

[7]Isabelle H.Monitoring and Control Interface Control Document on the Interfaces of Cfosat Platform with SWIM and FXBS[R].Toulouse: CNES, CF-SYIF-ICD-1561-CNES, 2015.

[8] 张佳龙.滤波筒式圆波导旋转关节的设计[J].火控雷达技术,2014,41(4):91-95

[9] 朱 迪.CFOSAT-1卫星微波散射计分系统安全模式分析[R].北京：中科院空间中心，2015.

[10] 占 力.X 波段大功率行波管新型慢波结构的研究[D].成都：电子科技大学，2015.

[11]洪 健，钟国俭.几种连续波行波管阳极电压实现方案的比较[J].空军预警学院学报,2014,28(5):248-351

ResearchonPayloadFDIRImplementationMethodofCFOSAT-1

Han Lang, Wang Shaobo, Chen Juan, Ding Zhenyu

(DFH Satellite Co.,Ltd., Beijing 100094, China)

CFOSAT-1 satellite takes three kinds of payloads which includes SWIM(Surface Wave Investigation and Monitoring), SCAT(Scatterometer) and DTS(Data Transmission System). All of the three payloads work 24 hours per day with no interval. In order to enhance the security ability during the operation phase. Payload FDIR (Fault detection, isolation and recovery) implementation method is introduced. The payload FDIR is implemented both at subsystem level and the satellite level. The payload sub-computer monitors the internal parameters and if any abnormality occurs the pre-defined isolation procedure will be executed or reported to the OBDH. Besides the diagnoses report, the OBDH could get more information for the payload working status. Based on the analysis of those fault information the OBDH performs the specific isolation procedure. The article demonstrates methods of fault detection, fault definition, fault insulation of the three payloads. All of the FDIRs could be abled and disabled independently and all of the thresholds and successive fault numbers could be modified by the OBDH ( Onboard data handling ) software. The payload FDIR implementation method has been validated by dedicated test and is compliant to the specification. Besides this FDIR implementation method could be used in other satellite project.

CFOSAT；payload；FDIR; fault detection

2017-05-02；

2017-05-23。

韩 浪(1986-)，男，陕西绥德人，工程师，主要从事航天器有效载荷总体设计度方向的研究。

1671-4598(2017)11-0193-04

10.16526/j.cnki.11-4762/tp.2017.11.049

V443.5

A