导航卫星载荷自主健康管理研究

李 光，石碧舟，戴永珊，任前义，龚文斌，沈 苑

(1.上海微小卫星工程中心,上海 201203;2.中国科学院微小卫星创新研究院,上海 201203)

0 引言

导航卫星是提供无线导航信号和导航信息，供用户进行导航、定位、授时的人造卫星。导航卫星系统的定位精度高，服务范围广，可提供全天时、全天候、连续的导航定位服务，已成为时空定位领域国家重大基础设施，是大国地位和战略利益重要支撑。由于导航服务的高连续性要求，导航卫星需要具备较高的自主健康管理能力[1-4]。

自主健康管理是实现航天器在轨自主化管理的重要内容之一。航天器自主健康管理是指航天器能够对自身状态进行感应、监控和管理，对出现的故障能够自主进行检测、隔离和容错处理[5]。导航卫星载荷的自主健康管理是实现导航卫星服务连续性的关键，也是提高导航卫星在轨运行连续性的研究热点。自主健康管理包括自主故障诊断与自主故障恢复。

针对导航卫星高可用性、高连续性的要求，提出了一种导航卫星载荷分系统自主健康管理的方法，该方法可以实现载荷分系统内部各子系统的故障逐级定位并可以根据定位情况进行故障的快速恢复，克服了传统的基于地面遥测的故障定位难、处理时间长的问题。同时，相对于目前卫星的低水平完好性监测具有全系统自主监测、逐级定位、快速恢复的优势，同时采用冗余对比的方法排除监测单元自身故障所引入的虚警，提高了系统的可靠性。

1 载荷工作原理及组成

载荷分系统是导航卫星提供导航服务的主载荷。它的主要功能是接收地面运控上注的导航信息，并将导航信息调制到下行导航信号发送至地面，供地面用户进行定位解算。载荷分系统包括时频子系统、上注子系统、信息处理子系统、大功率子系统。载荷分系统的组成框图如图1所示。

图1 载荷分系统组成框图

时频子系统产生、保持卫星的基准频率和基准时间，并提供其它子系统所需要的时频信号，同时需配合地面系统实现与地面基准时钟的时间同步。它包括氢钟、铷钟、基频处理机、频率合成器等单机；

上注子系统由上注接收天线、功分器、上注接收处理机组成。它的主要功能是完成地面运控系统发送的上行注入接收，并解调出导航信息及参数并完成上行精密测距；

信息处理子系统由信息处理机、完好性监测接收机组成。它的主要功能是处理上行注入子系统解调出的指令和参数，并根据指令要求进行相应的处置，另外可生成小功率的下行导航信号，并将地面上注的导航信息按照特定格式调制到导航信号上；同时，完好性监测接收机可以完成经过大功率后的下行导航信号的完好性监测。

大功率子系统主要是将小功率的下行导航信号进行功率放大，并通过下行天线将下行导航信号发送至地面。

2 自主故障诊断

航天器健康管理系统架构设计是系统开发的基础和前提，是明确航天器健康管理系统开发目标，指导后续系统实现及验证的基础[6]。传统的导航载荷的自主故障诊断是在通过信息处理机、完好性监测接收机完成下行导航信号的自主故障诊断，但是存在以下问题：1)信息处理机的主业务与监测功能代码耦合，监测功能故障可能会导致主业务功能中断；2)受限于硬件资源，故障监测无法覆盖全部载荷单机，无法实现全系统自主监测；3)故障监测无法逐级定位，不利于故障的自主恢复；4)监测单机自身故障无法排除，易引发虚警。因此，在进行导航载荷进行自主管理设计时，需设计一个独立的自主健康管理器，并进行监测的冗余设计实现系统全链路、逐级定位的自主故障诊断与恢复。

自主健康管理器由时频监测单元、综合监测单元、健康判决和处理单元组成。下面分别就自主健康管理器的各部分设计及自主故障诊断策略进行详细的说明。

2.1 时频监测单元设计

时频监测单元主要负责时频子系统的自主完好性监测。它可以根据监测结果判断时频子系统的主钟、备钟和基频处理机等单机的完好性，并且根据冗余判断的策略可以排除时频监测单元自身的完好性所引起的虚警。时频监测单元的原理框图如图2所示。

图2 时频监测单元原理示意图

自主健康管理器的时频监测单元具备高稳态晶振，利用鉴相技术分别监测主钟和备钟产生的10 MHz信号，同时它利用备钟产生的10 MHz信号作为基准监测基频处理机产生的10.23 MHz信号。时频监测单元将监测结果输出至健康判决和处理单元，健康判决和处理单元根据监测进行完好性判决，具体判决如表1所示。

表1 时频子系统完好性判决方法

2.2 综合监测单元设计

综合监测单元主要负责上注子系统、信息处理子系统、大功率子系统的完好性监测。综合监测单元由上注信号监测模块、电文生成与比对模块、小功率导航信号监测模块、大功率导航信号监测模块组成。综合监测单元通过大容量的FPGA，实现了上行导航信号、下行导航信号、电文完好性的一体化、集成化监测，而且根据冗余比对监测的方法，实现了上注子系统、信息处理子系统、大功率子系统故障的逐级定位，为自主故障诊断和快速恢复奠定了基础。根据监测结果的不同可以分为上注子系统异常、信息处理机异常、完好性监测接收机异常、大功率子系统异常、综合监测单元的电文生成与比对模块异常、综合监测单元的小功率导航信号监测模块异常、综合监测单元的大功率导航信号监测模块异常。综合监测单元的组成原理框图如图3所示。

图3 综合监测单元的组成原理框图

下面就各子系统的完好性监测设计及具体判决方法进行介绍

2.2.1 上注子系统的完好性监测

上注子系统的自主完好性监测包括上行信号处理单元的完好性和上注通信模块单元完好性。上行信号处理单元的完好性包括了信号完好和信息完好，信息的完好性可以通过CRC校验来确认。信号的完好性主要是测距值是否出现跳变，则必须通过横向比对来确认。

上注子系统的完好性监测方法是：将地面的上行注入信号在上注天线后端通过功分器进行功分，一路输出给上注子系统，一路输出给自主健康管理机。综合监测单元中的上注信号监测模块，完成上行信号的测距和信息解调。上注子系统和上注信号监测模块分别将上注测距值输出至自主健康管理机的健康判决和处理单元，健康判决和处理单元根据监测结果进行判决，具体判决如表2所示。

表2 上注子系统完好性判决方法

2.2.2 信息处理子系统、大功率子系统的完好性监测

信息处理子系统完成小功率的下行导航信号的生成，大功率子系统完成导航信号功率的放大，两个之间具有一定的耦合性，因此放在一起进行完好性冗余比对监测。

信息处理子系统的完好性包括下行信号生成完好性、下行电文编排完好性。下行电文编排完好性主要体现在导航电文的编排的正确性，下行信号生成完好性主要体现在信号功率和信号测距值的完好性。下行信号生成完好性监测由综合监测单元的小功率导航信号监测模块完成。下行电文编排完好性由综合监测单元的电文生成与比对模块完成。

大功率子系统的完好性监测主要是导航信号的完好性，异常包括测距值的跳变和信号功率的跳变。大功率单机的在轨操作涉及安全性问题，因此大功率子系统在轨的判决和操作非常慎重。为增加可靠性和进行冗余比对，大功率子系统的故障由完好性监测处理机和小功率导航信号监测模块共同完成。

信息处理子系统、大功率子系统的信号完好性监测监测方法是：信息处理子系统生成的小功率导航下行信号耦合一路至小功率导航信号监测模块。该监测模块收到导航信号后，进行导航信号的捕获、跟踪和解调，最后计算出测距值、信号功率并解调出导航电文。小功率导航信号监测模块将测距值、信号功率与内部记录的基准值进行比较，如果差值超过设定的门限，则给健康判决和处理单元上报小功率导航信号完好性异常。同理，经过大功率子系统放大后的下行导航信号，一路耦合给完好监测接收机，另一路耦合给大功率导航信号监测模块。完好性监测接收机监测原理同小功率导航信号监测模块。

考虑系统中仅有一处异常，则可分为6种情况。信号完好性的具体判决方法如表3所示。

表3 信息及大功率子系统信号完好性判决方法

信息处理子系统、大功率子系统的电文完好性监测监测方法如下所述：电文生成和比对模块接收来自上注子系统的电文信息，并根据上注信息生成下行导航电文。同时，电文生成和比对模块接收信息处理子系统发送的导航电文信息。另外，电文生成和比对模块接收小功率导航信号监测模块解调出的下行导航电文。如果解调出的电文、接收信息处理子系统的电文、电文生成和比对模块根据上注子系统产生的电文信息三者比对不相符，则给健康判决和处理单元上报电文生成和比对模块的电文完好性异常。完好性监测接收机也参与电文完好性的判断，原理同上。

健康判决和处理单元根据监测结果进行判决，电文完好性的具体判决方法如表4所示。

表4 信息及大功率子系统信息完好性判决方法

2.4 健康判决单元

健康判决和处理单元是自主健康管理器的核心单元，它的主要功能是根据时频监测单元和综合监测单元的监测结果进行自主故障诊断，准确定位故障位置，并且根据故障位置不同，执行不同的自主故障恢复操作，达到自主故障恢复的影响最小化、故障影响最小化的目的。

为了保证健康判决和处理单元的可靠性，避免单个健康判决模块或者单个处理模块由于受空间单粒子影响等所引入的可能的虚警，健康判决和处理单元在功能模块设计时采用同构备份处理，既拥有两个独立的同构健康判决单元和两个独立的同构处理单元。两个健康判决单元的输入条件一致，判决方法和代码一致，只有两个健康判断单元的输出结果一致性，处理单元才采信该判决。两个处理单元的输入一致，处理策略和代码一致，只有两个处理单元给出的处理操作一致时，才对外进行处理结果输出。

3 自主故障恢复

在故障处理技术研究方面，典型方法有故障硬处理和软处理两大类。其中，硬处理的常规方法包括故障设备修复、备件替换和故障系统组成的重构等，软处理的典型方法包括功能重置、功能降级与被动容错等[7]。无论是硬处理还是软处理，通常是建立在模块设计或一定形式冗余基础上的，冗余是实施故障处置的基础[6]。

根据故障位置的不同，自主故障恢复的策略和影响不同。由于导航卫星的高连续性要求，需要根据故障的定位采取最优化的故障处置措施，尽量减少故障引起的服务中断时间。因此，对于软件较多的信息处理类的单机首先采取恢复时间较短的软复位的方式对故障单机进行软处理。如果故障仍存在，再考虑进行单机开关机、主份单机切换至备份单机等的硬处理方式。

导航卫星载荷的自主恢复策略包括主钟切备钟、单机软复位、单机开关机、主份单机切备份单机、分系统所有单机开关机等不同的操作。由于基频处理机具备主钟和备钟的无缝切换设计，所以主钟切备钟对下行导航用户无影响。但是，如果时频子系统的基频处理机和频率合成器发生故障则需要进行整个载荷分系统的单机开关机，以保障整个载荷分系统各单机频率的正确性。根据故障位置不同，采取影响最小化的故障恢复策略。具体的自主故障恢复策略如表5所示。

表5 自主故障恢复策略

4 结束语

本文提出了一种导航卫星载荷的自主健康管理策略，通过配置健康管理器进行载荷故障的独立监测并进行了自主故障诊断和恢复的优化设计。该自主健康管理策略，可以完成载荷分系统的的全系统、全链路的自主完好性监测，并且可以根据监测结果逐级定位问题，确保故障定位的准确性和实时性。同时，自主健康管理器可以根据问题定位位置的不同，采取不同的自主故障处置策略，确保可以及时快速排除故障，减少故障恢复时间，降低故障对导航卫星的连续性和可用性的影响。