(1 中国空间技术研究院载人航天总体部,北京 100094)(2 北京卫星制造厂有限公司,北京 100094)
载人航天器的研制和运行都具有高投入、高风险的特点。一般,载人航天器在轨故障通常只是个别部件出问题,但往往导致整器报废,损失过大。美国和俄罗斯等早在20世纪60代就开展了航天员在轨维修载人航天器的研究,目前已有多年的空间站在轨维护经验。我国在“神舟”飞船与“天宫”空间实验室的载人交会对接任务中,也成功开展了载人航天器设备的在轨更换维修试验。随着载人航天器对高可靠、长寿命方面的要求越来越高,载人航天器的各部件能否在轨维修日益受到关注[1-2]。
配电系统作为载人航天器的重要组成部分,为整器提供能量传输与控制,决定了载人航天器能否正常执行飞行任务,其寿命长短也直接决定了载人航天器的寿命。统计近年来国外航天器公布的527个在轨故障,供配电系统故障约占14%,属于故障高发区域[3]。通过航天器产品寿命分析和故障模式与影响分析(FMEA),航天器配电系统的故障均属于严重甚至灾难等级的,因此其可靠性要求极高,目前多是通过提高元器件可靠性指标和增加冗余备份设计等手段实现。如果能对配电系统进行一定的维修性设计,通过在轨维修降低其故障严酷度等级,那么整个航天器的可靠性也会随之提高,甚至达到延寿的目的[4]。
目前,对于载人航天器在轨维修性设计的研究多集中在维修性指标的量化分析、航天员维修策略及操作工具开发等方面,国内外的在轨维修设计及成功经验也大多是对终端负载,尤其是科学仪器的维修更换,对载人航天器平台设备尤其是供配电设备的在轨维修经验很少。美国“哈勃”空间望远镜曾完成了太阳电池阵和平台电子设备的更换维修,但其相关系统及单机的设计从未公开披露。本文从在轨维修的角度出发,对载人航天器配电系统最基本单元拓扑结构的每个环节进行详细设计,提出了实现在轨维修需要注意的设计要点。本文所指的在轨维修是通过航天员操作完成,但对于航天员如何到达维修载人航天器(目前需要与载人航天器完成交会对接),不在本文研究范围内,无人航天器在进行维修性设计时也可以作为参考。
载人航天器配电系统一般接收电源系统提供的电能,通过合理设置配电器及其配电通道,将电能传输至器上各用电负载,包括平台负载和载荷设备。配电系统包括配电器和供电电缆网,供电电缆网的在轨故障率很低,故障模式包括短路和断路2种,一般可通过导线选型、电连接器接点排布和多点多线从设计上避免故障。而配电器作为单机设备,相对于电缆网故障模式更多,一台配电器的故障可能意味着某一区域的负载无法正常工作,相应的载人航天器可能无法完成某项任务,配电器典型故障模式见表1。随着配电器设计生产水平的不断提高,例如冗余配电、高可靠开关、高精度传感器的应用等,使得配电器的故障容错率也已经达到了很高的水平,但这些新技术多是从提高单机可靠性和性能的角度出发,若能从在轨维修的角度出发,综合使用这些手段进行配电系统设计,将极大提高整个载人航天器的可靠性[5]。
表1 配电器典型故障模式及在轨可维修性
载人航天器配电系统能否在轨维修,取决于其设计状态,包含故障诊断与定位、能否将故障设备断电隔离、维修安全性等多个方面[6]。本文首先将载人航天器的配电系统简化至一个基本单元,这个基本单元实现了配电系统传输电能的基本功能,见图1。配电器接收电源系统提供的电能,在多级配电体制中也可能是接收上一级配电器提供的电能,经汇流条扩充为多路后送至各负载,根据负载电压需求情况,配电器内部会设置电源变换模块。
载人航天器在轨飞行期间,当配电系统发生故障或配电设备定期检修时,从图1中的基本单元看,配电器仅1台,若负载中含姿态轨道控制、热控等关键单机,则始终无法断电维修;但从整个配电系统来说,若设置了多台配电器,设计时又考虑负载的冗余配电,则可以通过切换备份供电通道实现故障隔离,从而实现在轨维修。
图1 载人航天器配电系统基本单元Fig.1 A fundamental unit of manned spacecraft power distribution system
配电系统基本单元若要实现在轨维修,需要改进以下几个方面:①通过FMEA分析,合理设置遥测参数、指令等,实现对配电系统的故障诊断及定位;②通过对配电通道的优化配置,特别是载人航天器关键负载必须进行冗余配电,实现配电器发生故障时可隔离;③通过对配电通道上下游设置开关等控制电路,保证航天员操作安全。其中:①和③通过配电器的优化设计实现;②通过配电拓扑的优化设计实现。优化后的配电系统基本单元拓扑结构见图2。
在优化后的配电系统基本单元拓扑中,增加1台备份配电器同时接收电源系统或上级配电器提供的电能,此台配电器的设计状态、工作模式设计取决于其用途,分析如下。
(1)备份配电器仅用于载人航天器最小工作模式下关键负载的备份供电,可根据整器最小功耗单独设计,正常模式下处于冷备份工作状态,内部的输出开关均断开,仅在主配电器故障且需要进行在轨维修更换时工作。
(2)备份配电器除用于载人航天器最小工作模式下关键负载的备份供电外,还拟用于其余负载的供电,则从通用化的角度出发,可将备份配电器设计为与主配电器状态一致,正常模式下处于热备份工作状态,内部的输入开关接通,输出开关根据需要接通或断开。
本文以图1中的载人航天器配电系统基本单元为例,介绍通过基本单元自身性能的优化设计和数量上的配置,如何实现整个配电系统的可维修性。以下主要从配电设备故障诊断及定位、故障隔离与系统重构、维修流程与安全性设计进行详细阐述。
图2 优化后的配电系统基本单元拓扑Fig.2 Optimized topology of fundamental unit for power distribution system
载人航天器配电系统的在轨维修,首先应能将故障定位在某台配电器,因此要具有对配电系统进行故障诊断的功能,即判断系统是否发生故障,如果发生,就确定故障位置,识别故障大小和发生时间等。目前,载人航天器的在轨监视仍然是传统方式,即采集的遥测数据由地面计算机进行处理,给出独立的计算结果和越限报警,对载人航天器状态的综合判断和故障识别仍需要人工来完成。随着计算机智能化程度越来越高,故障诊断渐渐发展为自主健康管理的一部分,其诊断过程最终会完全由器载计算机完成。无论人工还是器载计算机,进行故障诊断的输入信息均为载人航天器的关键遥测信息和预想的故障模式,因此实现配电系统故障诊断功能,关键是确保其关键信息的可测试性和故障模式的完整性[7-8]。
配电器一般均通过传感器监测电压、电流,功率通道的开关状态也是通过遥测参数监测。这些遥测参数可以利用总线传输的方式送至监视页面,通过对这些参数的判读确定配电系统的工作状态。较高级的配电器设置显示其内部程序是否工作正常的状态标志位,通过对该标志位的判读就可以迅速判断工作是否正常。
以某载人航天器配电器为例,单机由辅助供电组件、智能组件和配电组件3个功能模块构成(如图3所示),对于配电器的故障模式能定位到组件级。同时,固态功率控制器(SSPC)作为配电器关键器件,自身具备状态遥测信号,通过梳理,配电器可维修故障模式见表2。表3给出了SSPC故障分析。其中:状态码000~011表示发送关断控制指令时SSPC的4种状态模式;状态码100~111表示发送开通控制指令时SSPC的4种状态模式。通过对这8种状态模式的分析,能清楚地表示SSPC正常、故障或负载异常,从而能实现故障定位。
图3 某载人航天器配电器功能层次Fig.3 Functional level of manned spacecraft distributor
故障类别辅助判据故障描述故障部位供电异常 硬线遥测正常 总线遥测异常,结合基准电压遥测能够初步判断模数(AD)转换模块或供电遥测电路故障 智能组件 硬线遥测异常 整机供电故障 辅助供电组件遥测异常 基准电压遥测正常 根据异常遥测信号所在组件,维修相应组件 辅助供电组件、配电组件 基准电压遥测异常 AD模块故障 智能组件指令注入异常 总线通信正常 结合硬线指令是否能够执行或其他开关指令能否执行,判断故障组件 智能组件、配电组件 总线通信异常 结合硬线指令判断故障组件 智能组件、配电组件总线通信异常 通信协议 1553B接口或控制电路故障 智能组件配电功能异常 指令及SSPC状态信号 参照SSPC故障分析(表3)定位故障 配电组件、负载端
表3 SSPC故障分析
注:ST1表示SSPC功率开关器件的开通/关断状态;ST2表示SSPC发生过流或短路保护。
综上所述,实现配电系统的在轨维修,首先需要通过FMEA分析,在配电器软硬件上设置足够数量的遥测参数和指令,进行故障诊断及定位,确保当故障发生时能快速的定位至某台故障设备。
当定位至某台配电器发生故障后,应将故障设备进行隔离,避免故障蔓延造成更大危害。正常情况下,配电系统处于长期开机工作模式,不能轻易断电隔离,即使是在轨维修期间,载人航天器的电源管理、信息传输等关键负载仍需正常工作。因此,配电系统的在轨维修设计要考虑其维修时仍能为整个载人航天器基本工作提供所需电能,从安全性的角度出发,维修时也仅能提供载人航天器最基本功能所需电能,避免大功率负载下进行在轨维修产生危险,这就需要进行配电系统的故障隔离与系统重构设计[9-10]。
配电系统按照自主配电管理模式设计,完成用电负载管理,统一考虑负载情况和系统重组配电需求,并根据飞行计划和各阶段工作状态,对允许断电负载与不允许断电负载进行分类管理;统一考虑故障状态下的系统重构,通过获取供电网络状态信息,结合预定的故障判据和重组策略,对设备用电回路执行保护、切断或重构。当供电出现故障时,首先确保关键负载可靠工作,维持正常运行,因此需要按重要程度对用电负载进行分类,并实施分级管理。负载优先级管理以优先级矩阵的形式,将不同供电能级下每类负载按优先级排列[11]。常见的负载优先级排序如表4所示。
表4 各飞行状态下电气任务管理优先级
在配电系统进行维修时,应至少保证前4级任务的用电。①地面测控系统:保证工程遥测及数管遥测数据下行;②数据管理系统:保证载人航天器内部信息流的正常流通;③姿态轨道控制系统:保证载人航天器在轨姿态稳定;④热控管理系统:保证设备工作所需要的热环境。在对配电系统中故障配电器断电隔离前,应保证其下端无上述最小工作模式中的关键负载,或者有关键负载但供电已切换至其余配电器。因此,要对最小工作模式下的关键负载进行冗余配电设计,即由2台配电器进行主备份供电,且关键负载的供电均有开关控制。这样,当进行配电器在轨维修时,可以首先将故障设备下的关键负载切换至由另一台配电器供电,之后断开原供电通道,可以实现故障配电器的断电隔离。
综上所述,对于本文中的配电系统基本单元,要实现在轨维修,需要设置一台配电器负责最小工作模式下关键负载的供电,单独设置的配电器可按最小工作模式的功率设计,且平时处于冷备份状态,以减少对整个载人航天器质量和功耗的影响。如果载人航天器有多台配电器,可通过相互备份供电实现。
配电系统在轨维修需要航天员参与操作的项目见图4,主要分为维修前后配合地面进行整器状态设置,维修期间设备的拆卸与安装。其中,维修期间设备的拆卸和安装可具体划分为以下项目:①航天员携带维修工具从空间站移动至载人航天器的维修工作区域;②将待维修设备的连接电缆,包括热敏电阻等全部拔下,将待维修设备的安装螺钉取下并收好;③将故障设备取下并转运至指定地点;④对新设备进行状态检查;⑤将新设备转运至安装地点;⑥使用工具将新设备安装固定在故障设备原位置,恢复新设备所有电连接器与器上电缆的连接。
配电系统的维修类似于地面配电站的供电线路检修,对航天员来说具有一定的危险性,因此要进行安全性方面的设计。载人航天器配电系统的位置较为隐蔽,周围带电设备及电缆繁多,因此需要对带电尤其是高压设备和电缆进行明显标示,以警示航天员注意安全。维修时,对于供电电缆,绝不允许进行带电操作,此类安全隐患可通过在配电器的输入端和输出端设置开关避免,见图5。理论上,当2个开关断开后,供电通道上均不存在电流回路,且输入开关和输出开关位于配电器的最前端与最末端,不会对配电器内部电路造成影响[12]。在条件允许的情况下,应尽量在上游设备的输出端设置开关,对下游关键负载的主备份供电采取隔离措施,且在维修前可通过遥测参数判断设备已断电,从而保证所操作电缆完全断电。
图4 航天员操作项目Fig.4 Astronaut operation items
图5 配电器输入输出端开关设置Fig.5 Switch set in input and output terminals of distributor
如果维修时负载(特别是关键负载)仍然带电工作,会导致其与故障配电器相连的接插件仍然带电,从而可能在插拔过程中对故障配电器造成进一步损伤,因此在输出端设置开关,与关键负载主备份供电隔离设计形成双重保护措施,切断电流通路,避免上述隐患。设备电缆断开后,在维修完毕前,电缆悬空,应及时套上防静电护袋,避免因电连接器裸露进入多余物。在进行配电系统的在轨维修期间,整器禁止一切其他操作,防止对维修造成影响。
从优化后的拓扑图(图2)可以看出,如果其中的配电器发生故障需要进行在轨维修,就依次通过切换关键负载供电通道、断开上下游设备供电等操作隔离故障配电器,之后的维修程序与一般设备维修一致。可以说,优化后的配电系统基本单元通过单机和系统两个层面的设计,已经具备了在轨可维修性。对于复杂的载人航天器,在配电系统论证之初就可以将其分割为若干个配电系统基本单元,对每个基本单元采用上述设计方法,不同基本单元之间的备份配电器从系统性的角度视情况可合并,并从质量、功耗、冗余度等多个方面进行综合考虑及优化,从而达到整个配电系统可维修性的最优设计。
图1中配电基本单元的硬件可靠性由单机内部元器件决定,可靠性模型可抽象为所有配电通道的串联,其数学模型如下。
(1)
式中:R为配电系统基本单元可靠性;Rk为第k个通道可靠性;z为通道总数。
图2中的配电器相比于图1中的配电器内部多了输入端的继电器,共计2个,关键设备实现了冗余配电,可靠性模型可抽象为关键配电通道并联后串联,其数学模型如下。
(2)
式中:RU为改进的配电拓扑可靠性;Rj为第j个关键通道可靠性;Ri为第i个通道可靠性;Radd为增加的输入端开关可靠性;m为关键配电通道个数。
比较2个硬件可靠性模型,在改进拓扑中关键通道的并联提高了可靠性。开关的增加带来了一定风险,但可以通过选择高可靠性的开关及开关并联降低,这样既实现了可维修性设计,又提高了整个配电系统的可靠性。
本文提出的配电系统可维修性设计,已在载人航天器中得到了部分试验验证,并取得了初步成果。该载人航天器为多级配电系统,在轨飞行期间共进行了2项与配电系统维修性设计相关的试验验证。一项是对第3级配电器开展在轨维修的试验验证,该台配电器上游设备设置了继电器开关,自身的供电输出端也设置了继电器开关,为下游2台试验性质的负载供电。维修前开展了供电检查,自身的工作状态可通过遥测参数获得,之后将上下游继电器断开实施维修更换,维修完毕后加电检查,结果正常。另一项是对第2级配电器开展故障隔离的试验验证。因该配电器涉及关键负载热控控制单元,因此首先对关键负载进行供电切换,由另一台配电器为其供电,通过遥测确认了供电切换正常;随后将该台故障配电器的供电通道继电器全部断开,保证下游负载均已断电,验证了为关键负载供电的配电器故障隔离的可行性。由于该2级配电器的上级配电器输出端未设置开关,因此无法在轨维修,这也从侧面反映了上级配电器输出开关设置的必要性。
本文以载人航天器配电系统的一个基本单元为例,从在轨维修的角度出发,对配电系统基本单元中的每个环节进行了详细设计,提出了实现在轨维修的改进拓扑,并对其工作模式进行分析。本文提出的维修性设计方法,能够从系统工程的角度对载人航天器系统设计进行优化,按设计要点提前规划平台资源使用情况,从而实现配电系统维修性与平台资源使用之间的平衡。本文对载人航天器配电系统实现在轨维修的必要性和可行性进行了初步分析,并提出了载人航天器配电系统可维修性设计,其设计方法也可推广应用到其他航天器配电系统在轨维修设计中。