鄂炜 赵宁 明建
(北京空间飞行器总体设计部,北京 100094)
随着航天器设计水平的快速提升和高等级集成器件的迅速发展,软件系统能力不断增强,为航天器在轨运行期间动态调整在轨运行策略、提高连续稳定运行能力提供了重要技术支撑。航天器长期在轨运行过程中,可通过使能或禁止某项自主健康管理、自主应急处置功能,调整自主故障诊断阈值和条件,或对软件进行上注升级等操作,适应用户提出的在轨应用模式调整、自身异常问题处置、其他航天器问题“举一反三”等需要[1-3]。
在航天器在轨运行实际管理过程中,存在以下2个方面的突出问题。①航天器在轨运行状态缺少清晰、全面的描述。目前的在轨管理技术支持文件[4-5]中关于航天器在轨运行状态描述的内容不够全面,且分散在遥测正常值范围、长期运行管理要求等技术文件中,不利于在轨维护人员开展工作。②现有技术状态管理要求不能完全适用在轨状态更改操作。软件自主管理功能使能/禁止、系统工作模式、产品开关机等状态的切换操作并不改变产品实物技术属性,现有技术状态管理要求[6]不能完全覆盖,对于哪些在轨操作需要管、如何管,需要进一步探索和规范。目前,针对技术状态记录文件与实物状态的一致性、在轨技术状态管理等问题已有相关研究和实践[7-9]。文献[7]中针对组批生产产品提出了对相关技术状态项目之间关联化自动更新的措施;文献[8]中针对复杂在轨航天器提出了在轨技术状态管理的概念,通过指令设置、遥测参数、通话、图像等多种措施,对在轨技术状态进行确认;文献[9]中针对超期运行航天器建立了量化评估模型和协同保障机制。但是,如何清晰、快捷地了解航天器在轨运行状态,如何从流程上对在轨运行状态更改操作风险进行管控,仍需要开展深入的研究和实践。
本文提出建立在轨运行状态基线的概念,通过明确在轨运行状态范围、在轨运行状态基线建立原则、制定在轨运行状态更改控制程序,探索形成了航天器在轨运行状态管控模式,并进行了实践。在轨管理实践结果表明:该管控模式对于支持维护人员快速掌握当前在轨状态,全面分析在轨维护方案的影响和风险,确保在轨操作安全、有效,具有一定参考价值。
为清晰地描述航天器在轨运行状态,需要对航天器软硬件产品运行状态进行系统梳理,将分散在各类技术文件中、内容不够全面的运行状态,进行集中的描述;结合航天器在轨测试阶段和长期运行阶段的特点,分阶段对平台状态和载荷状态进行固化,对于状态固化后的更改操作,根据影响程度,采取不同等级的管控措施,以降低在轨操作风险。因此,按照“分阶段建基线、过程中管基线”的思想,分阶段固化航天器软硬件产品运行状态,建立在轨运行状态基线,对在轨运行状态更改实行分级管控,建立航天器在轨运行状态管控机制。其主要内容包括以下2个方面。
(1)在轨运行状态基线建立:分别以飞控工作结束、在轨测试结束为节点,固化在轨运行状态,建立在轨运行状态基线,作为在轨测试阶段、长期运行阶段的管控基础。纳入在轨运行状态基线管控的内容,主要是可通过操作进行切换的状态,包括硬件开关状态、软件版本、软件自主功能使能、系统工作模式等。在轨运行状态基线建立的载体是航天器在轨运行状态报告,该报告是在轨运行状态的集中描述。
(2)在轨运行状态更改控制:在轨运行状态基线确定后,对后续在轨运行状态相对于基线的更改操作进行分级管控,状态更改依据影响程度按照从大到小依次划分为Ⅰ类更改、Ⅱ类更改和Ⅲ类更改,实行分级管控。Ⅰ类和Ⅱ类更改控制按照“论证充分、各方认可、试验验证、审批完备、落实到位”五项原则进行,需要提出更改申请;Ⅰ类更改还需要编写航天器在轨运行状态更改论证及实施方案。
在轨运行状态基线指经正式确认、相对固化的航天器软硬件产品在轨工作状态。其中:“正式确认”指经研制单位、长期管理单位、用户单位等各方认可;“相对固化”指在一定阶段内产品的软硬件产品状态较为固定。
实施在轨运行状态管控的主要目的,是使长期运行管理部门清晰地了解当前航天器的状态,准确识别和控制在轨状态更改操作风险,保证操作方案的正确性。因此,将可操作、可切换的状态纳入在轨运行状态管理范围,主要包括硬件开关状态及软件版本、软件自主功能使能、系统工作模式等。对于不可操作、不可切换或不可调整的状态,如不具备上注功能的软件配置项、硬件产品健康参数等,可不纳入在轨运行状态范围。
一般情况下,在轨运行状态范围包括:①硬件开关状态及软件版本状态,如航天器硬件产品的开关机状态、主备份关系,装载软件版本号,历次在轨维护时间、原因等,见表1。②软件自主功能使能状态,如各项软件自主管理功能、对应的遥测参数、当前状态,见表2。③系统工作模式,如控制、综合电子工作模式、对应遥测参数、当前状态,见表3。
表3 系统工作模式汇总(示例)Table 3 Summary of system modes (e.g.)
表2 软件自主功能使能状态汇总(示例)Table 2 Summary of software autonomous function enabling status (e.g.)
表1 硬件开关及软件版本状态汇总(示例)Table 1 Summary of hardware switches and software version status (e.g.)
一般情况下,航天器的在轨过程可分为发射入轨、飞控、在轨测试、长期运行等阶段[10],在轨测试时间为3~6个月,时间相对较长,为规范这一阶段的在轨运行状态管理工作,采取分阶段建立在轨运行状态基线的策略,即:①初始基线。飞控工作结束后,交付在轨长期运行管理单位时,对航天器平台产品的运行状态进行确认,明确遥测判读方法,编制形成航天器在轨运行状态报告,建立初始基线。对于需配合在轨测试工作进行临时切换的状态,可不纳入基线管理。②长期运行基线。在轨测试工作完成后,对航天器的平台和载荷运行状态进行再确认,明确遥测判读方法,对航天器在轨运行状态报告及相关在轨管理配套文件进行更新,形成长期运行基线,作为后续在轨状态控制的基础。另外,在特殊情况下,对于飞控结束后直接交付长期运行管理单位的航天器,可以只建立初始基线。
按照“用户至上、稳定运行”的理念,综合考虑2个因素对在轨运行状态更改进行分类,即是否影响用户使用和航天器在轨状态是否发生实际变化。按照该原则,将在轨运行状态更改划分为3类(如表4所示),具体分类情况及要求如下。
表4 航天器在轨运行状态更改类别和要求Table 4 Categories and requirements of spacecraft in-orbit operation status change
(1)Ⅰ类更改:直接影响用户使用的更改,例如在轨操作过程中,需要暂时中断或停止对用户的业务服务。此类更改实行最严格的管控,需要编写航天器在轨运行状态更改论证及实施方案(以下简称“论证报告”),提出航天器在轨运行状态更改申请(以下简称为“更改申请”),批准后实施。
(2)Ⅱ类更改:改变航天器的在轨运行状态,但不直接影响用户使用,例如将某项自主管理功能状态由“使能”调整为“禁止”,需要开展更改论证和影响分析,提出更改申请,批准后实施。
(3)Ⅲ类更改:仅涉及航天器在轨运行状态报告文字内容的更改,不需要上注在轨维护程序或指令,不改变航天器的在轨运行状态。此类更改影响程度最小,直接填写文件更改单进行更改。
航天器在轨运行过程中,一般有2个方面的原因需要对产品的在轨运行软硬件状态进行更改。①研制部门通过对在轨航天器进行健康评估、对其他航天器质量问题“举一反三”等工作,需要向用户申请调整产品在轨运行状态,以保证航天器安全稳定运行。②用户或长期运行管理部门由于在轨补充测试、在轨试验、业务运行模式调整等原因,需要对航天器在轨运行状态进行更改,要求研制部门配合论证、提出更改操作方案,并配合实施。
在轨运行状态更改控制过程如图1所示,一般包括发起在轨运行状态更改、确定更改类别、提出更改申请并开展更改论证、审批更改申请、落实更改等步骤。更改控制参照“论证充分、各方认可、试验验证、审批完备、落实到位”五项原则执行。
图1 航天器在轨运行状态更改控制过程Fig.1 Control process of spacecraft in-orbit operation status change
(1)论证充分:对在轨运行状态更改进行影响分析,对更改方案进行论证,明确需要上注的指令清单和时序要求,以及更改操作的故障预案。需要调整地面监视报警门限时,作具体说明。对于Ⅰ类更改,形成论证报告进行详细论述。
(2)各方认可:提出更改申请,经相关分系统技术负责人、总体技术负责人、产品保证人员审签后,报项目副总师/产保经理、在轨运行管理责任人审批。
(3)试验验证:上注在轨维护程序或指令前,进行充分的地面测试验证及风险影响分析,保证操作运行正确。涉及软件代码更改的,按照软件工程化要求完成第三方评测,并由软件研制单位统一纳入产品库进行版本控制。
(4)审批完备:由航天器在轨运行管理责任人审批。
(5)落实到位:实施时,经用户同意,避开重要任务时段或敏感时期,发送指令按照用户和长期运行管理单位的审批程序进行,并现场确认上注后的运行状态。
Ⅲ类更改影响范围较小,控制程序从简,通过填写文件更改单,按原文件审签权限完成文件更改审签,并报用户同意。另外,遇到涉及航天器安全、业务需要立即恢复等紧急情况时,可先行采取应急处置措施,处置结束或安全后,再对航天器在轨运行状态报告进行更改。
如表5所示2个典型实例,对在轨运行状态更改控制工作进行说明。在实例1中,为降低充电控制器工作负荷,拟将太阳翼驱动机构由正常跟踪太阳更改为偏置20°跟踪太阳。该更改需要暂停载荷业务,属于Ⅰ类更改,要编写论证报告,对更改影响、风险和方案合理性进行论证,提出更改申请并经各方认可、试验验证、审批,经用户和长期运行管理部门同意后实施。在实例2中,为提高在轨运行稳定性,拟将蓄电池充电控制模式由“电量计控制模式”切换为“电压-温度控制模式”。与实例1的区别在于,该更改不影响用户应用,属于Ⅱ类更改,不需要编写论证报告,其他要求与实例1相同。
表5 航天器在轨运行状态更改控制实例Table 5 Examples of in-orbit status change control of spacecraft
通过近两年的航天器在轨运行状态管控模式探索与实践,航天器在轨运行状态得到有效管控,在轨运行管理机制得到完善,服务用户质量得到提升,取得了显著的成果。
(1)航天器在轨运行状态得到有效管控。180余个在轨运行航天器建立了长期运行管理基线,航天器在轨软硬件运行状态清晰、准确;近两年来的179项在轨运行状态更改,按程序开展了分析论证和申请审批等工作,过程规范,操作正确率100%。
(2)航天器在轨运行管理机制得到完善。“分阶段建基线、过程中管基线”的模式运行有效,20余个发射入轨的航天器按阶段依次建立了初始基线和长期运行管理基线;根据用户要求和健康评估情况实施的13项Ⅰ类和Ⅱ类更改论证充分,在轨运行状态更改方案的合理性和操作的准确性得到保证。
(3)航天器在轨服务用户质量得到提升。清晰、全面的在轨运行状态记录,严格、规范的在轨运行状态更改过程控制,精准、有效的在轨运行状态操作结果,进一步提升了在轨服务用户的质量,近两年用户满意度达到99%以上。