董余红 王建明 黄 兵 刘 秉 李 茂 胡元威
(北京宇航系统工程研究所,北京100076)
深空探测一般是指月球探测以及更遥远星体、空间的宇宙探测活动,比如火星探测、太阳探测、小行星探测、木星探测以及太阳系边界探测活动等。深空探测任务也是航天技术发展到一定阶段的必然方向。
由于任务特点,深空探测任务(月球探测、火星探测等)的发射机会都很宝贵,例如,火星探测任务每隔26 个月才有一个发射机会,且发射窗口宽度也严格受限。探测器在飞行过程中,也需要进行多次轨道中途修正。为提高发射成功率,拓展发射窗口宽度,同时节省探测器系统在轨道修正过程中的推进剂消耗量,运载火箭系统在发射流程中采用了在多弹道装订及自动选择技术。
国内及国外航空航天领域多年实践经验证明,在系统正式投入使用前,进行充分的测试,是保证系统能够正常工作的重要保证。在航空航天飞行器飞行前若没有对系统进行充分的测试,尤其是在某些故障工况下测试不够充分,则飞行过程中万一发生故障,往往会造成灾难性后果。
2018年10月29日,印尼狮航JT610 航班的波音737 MAX8 客机,起飞13min 后坠海。2019年3月10日,埃塞俄比亚航空ET302 航班的波音737 MAX8 客机起飞6min 后即坠毁。从雷达数据上看,这两架失事的波音737 MAX8 客机最后的飞行轨迹都是高速俯冲坠地。
为了可靠采集飞行中的攻角状态,波音737 MAX8 客机设置了3 个冗余的攻角传感器。为了确保该型飞机在飞行中不发生灾难性的失速风险,该型飞机的自动驾驶系统设置了一个失速保护子程序,以攻角传感器测得的飞行中攻角信息为输入,当飞行中攻角越来越大以至于将要发生失速风险时,失速保护子程序就通过控制水平尾翼来压低机头,从而避免即将到来的失速风险。
上述系统方案初看起来没有问题,但最终的事故调查结果表明,系统方案的具体实现细节存在以下重大安全问题:
(1)失速保护子程序未能正确的利用冗余的攻角传感器给出的冗余信息,而是仅仅根据主攻角传感器的输入信息来进行故障处置。在主攻角传感器故障情况下,若异常输出为攻角变大,这时即使另两个攻角传感器输出均为正常,失速保护子程序仍然会错误地只根据异常的主攻角传感器数据启动故障处置程序。在只有主攻角传感器输出异常的情况下,若能采取“三取二”的方式进行故障判决,就能避免上述故障。
(2)飞机飞行软件设计时,对飞行软件主观能动性考虑太少,当软件认为有失速危险时,在手动模式下也剥夺了飞行员正确干预飞行过程的权力。在飞行员发现飞机异常俯冲后,立即手动将飞机设置成抬头状态,但稍后失速保护子程序仍然会将飞机设置成俯冲状态,且这个过程会一直进行下去。
从上述分析过程可见,如果波音737 MAX8 客机在投入正式飞行前,在进行全系统测试时,测试用例中包含了“主攻角传感器故障”这一用例,那么还是很有可能提前发现这一重大安全隐患并及时进行方案改进设计的。由此可见,对包含软件在内的全系统进行包含各种故障工况下的全面测试的极端重要性。
深空探测任务(月球探测器任务、火星探测器任务等)一般均要求运载火箭具有较大的运载能力,因此一般采用大型低温液体运载火箭来执行相应的探测器发射任务。
运载火箭在探测器允许的发射窗口范围内,采取了“窄窗口、多弹道”发射方案,即将探测器允许的发射窗口划分为多个宽度相同、连续的发射弹道窗口,多个窄窗口的总宽度即为探测器允许的发射窗口宽度。
对每个窄窗口均设计一条对应的发射弹道(如果在该窄窗口点火发射,在飞行中就使用该条弹道),在运载火箭发射流程中,根据具体的发射点火时间,由火箭系统自动选择飞行使用的发射弹道。由于在每个发射窗口可有针对性的设计飞行弹道,因此这也拓展发射窗口宽度。
这样,如果由于某种原因在第一个发射窗口未能将火箭发射出去,只要推迟发射时间还在探测器允许的发射窗口内,就可根据重新确定的发射时间,选择最合适的发射弹道,再次组织发射,既达到了拓展探测器发射窗口、提高发射概率的目的,又达到了节省探测器系统在后续轨道修正过程中的推进剂消耗量的目的。
运载火箭控制系统射前需要装订的诸元参数一般分为以下三类:
(1)控制系统单机诸元:惯性器件误差系数等;
(2)光学瞄准诸元:光学瞄准参数等;
(3)发射点及弹道诸元:发射点参数、理论发射方位角、导引计算参数、飞行程序角、迭代制导诸元、关机计算与控制诸元等。
上述三类诸元由多个诸元文件表示,分别为控制系统单机诸元文件、光学瞄准诸元文件、发射点及弹道诸元文件。其中,控制系统单机诸元和瞄准诸元与发射日当天选择的飞行弹道无关,而发射点及弹道诸元,与飞行弹道密切相关。
因此,对采用了“窄窗口、多弹道”发射方案的深空探测任务,对每一条弹道,都需要设置一个同具体弹道密切相关的发射点及弹道诸元文件,在射前流程中,将多个弹道的发射点及弹道诸元文件均上传给箭载计算机,并在发射前由运载火箭系统根据具体的发射点火时间,来自动选择飞行过程中所使用的弹道诸元。
对采用了“窄窗口、多弹道”发射方案的深空探测任务,在运载火箭发射流程中要装订多条弹道诸元,并在发射点火前来最终选择、确认具体飞行中使用的弹道诸元。
2.3.1 发射窗口时间的确定
深空探测任务探测器的发射窗口,由相关设计文件提前确定,因此进入发射流程前,发射窗口时间是已知的。发射任务的具体北京时间(X
hX
minX
s),在任务发射前确定。给定这两个输入后,在射前流程中,就可由控制系统地面软件根据该探测器的发射窗口开始、结束时间及窄窗口的个数与宽度,计算出多条弹道窗口的具体开始、结束时间,并在软件界面直观的显示出当前时间与多个发射窄窗口之间的关系(距发射窗口还有多长时间、已在某个发射窗口等)。
2.3.2 发射时间选取的原则
以某深空探测器任务为例进行说明。该探测器允许的发射窗口为50min 窗口,弹道设计时将该50min 窗口划分为5 个窄窗口,分别对应5 条弹道,其中每条弹道的窗口宽度为10min,如图1所示。
图1 点火时间与弹道选择区间关系图Fig.1 Relationship between fire time and time zone for trajectory selection
如果发射时间处于这5 个窄窗口中的某一个区间内,则控制系统地面软件在发射前就会自动选择该区间对应的弹道,点火后火箭就会使用该弹道飞行。
虽然对于每条弹道的10min 窗口宽度,都对应一条弹道,但实际上该弹道是按照在该10min 区间的中点发射最优来设计的,即点火时间应尽量靠近每条轨道的中点时间,这样从节省器箭分离后探测器实施轨道机动耗费的推进剂量最少的角度考虑,效果是最好的。
当然,发射时间的确定,还需要考虑很多其他因素。一般来说,大型低温运载火箭同常规推进剂运载火箭相比,射前更容易出现状况,而深空探测任务的发射窗口一般间隔也较长(如火星探测器每隔26 个月才有一次组织发射的机会)。
为了确保在宝贵的任务窗口期成功组织发射,在确定任务第一条弹道的发射窗口时,还是应该尽可能的预留较长的发射窗口,选择第一条弹道窗口的开始时间作为发射时间,而后续推迟发射后的发射时间,可按照后续弹道窗口的中点进行选择。
2.3.3 最终飞行弹道的确定
最终飞行弹道的选择,取决于点火时间处于发射窗口的位置,最终飞行弹道的确认流程如图2所示。在考虑具体实现方案时,需考虑如下因素:
图2 最终飞行弹道确认流程Fig.2 Confirmation process for final trajectory
(1)为提高发射流程可靠性,尽量避免多次重新选择弹道。考虑到射前流程的各个环节均有推迟发射的可能,因此选择确认最终飞行弹道的时机,应尽量靠近点火,以避免多次选择确认最终飞行弹道。
(2)为确保弹道选择的正确性,箭载计算机在明确了飞行使用的弹道诸元后,具备点火前进行人工确认的条件。控制系统地面主控计算机软件在确认弹道号,并上传给箭载计算机后,箭载计算机在进行必要的计算后,将同该条弹道相关的具体计算结果信息回传给地面主控计算机,并将最终发射诸元并显示在地面主控软件界面上,供人工确认。
(3)由于箭载计算机飞行软件开算后需要使用最终飞行弹道诸元数据来建立参考坐标系初始值,因此确认最终飞行弹道的时间不能晚于箭载计算机飞行软件开算建立初值的时间。
(4)考虑因故障而推迟的情况,若弹道选择完成后,没有在本窗口时间内完成点火任务,控制系统地面主控计算机应在本条弹道即将结束的前N
s(即下一条弹道窗口开始前N
s)进行提示,允许再次选择弹道。重新选择弹道后,箭上飞行软件重新进行发射惯性坐标系初值计算;且重新选择弹道可以在控制系统箭上设备不断电、不重新上传飞行程序的条件下进行。如前所述,多弹道选择技术的正确应用,是确保深空探测技术成功的重要保障。
软件系统在研制完成后,需要进行软件本身相关的测试项目,如软件单元测试、配置项测试、第三方评测等。软件本身的这些测试项目,对于软件在自己的运行环境中的可靠性,可以给出初步的评价,但软件在复杂的真实发射流程中,且在可能存在各种故障的情况下,整个系统的工作如何,就需要通过全系统测试来进行考核了。
全系统测试为在真实使用环境下,对包含软件、硬件的整个系统进行的全面测试,验证软件、硬件对系统定义的满足性,系统测试需要软件测试人员同系统人员共同参加。
运载火箭系统是一个复杂航天巨系统,用来实现多弹道选择技术的软、硬件系统,也是一个包含了多套设备、多个软件、不同通信链路、箭上地面设备协同工作才能实现的系统,且为了确保航天任务的万无一失,这些设备、软件大多采取了不同程度的冗余设计。
多弹道选择过程是在点火前25s 开始进行,时间非常紧迫,且点火前各系统发射操作较多,在多弹道选择技术应用过程中,除了考虑本系统的主要设备可能出现故障外,还要考虑在多弹道选择过程中外系统出现故障时对本系统操作的影响,系统要能够正确应对这些不利影响,并通过相应的故障处置措施,将这些点火前故障的影响控制在最小范围。
由于多弹道选择技术实现的复杂性、真实发射时测试发射流程中多个系统协同工作时工况的多样性,开展专门针对多弹道选择技术应用的全系统测试,就成了保障深空探测任务成功的重要一环。
基于需求的测试是一种系统化的测试用例设计方法。采用这种方法来开展测试用例设计,不仅需要对系统本身的功能、性能需求有较为深刻的掌握,更重要的是还需要对在大系统协同工作的情况下,当工作流程中由于本系统或外系统的原因而发生故障时的故障处置措施。
火箭发射过程就是个典型的多个复杂系统协同工作程度特别高、工作时间节点要求特别严的一个大系统工程。在射前工作流程中,控制系统、动力系统、测量系统、总控系统、发射支持系统等多个系统的射前动作特别多、各大系统的主要动作之间还存在着互相制约、互为前提的复杂关系,且某些动作之间还有这极其严格的时间约束关系。
由于系统本身的固有复杂性,在测试发射流程中,还经常会有大大小小的异常现象,这都对相关系统的射前流程动作有着较大的影响,在全系统测试时,必须考虑这些可能发生的故障对射前流程的影响。在设计系统测试用例时,必须考虑到系统应用的这种需求,考虑如何在测试发射流程中注入故障[8~10,19]。
对于实现多弹道选择技术的软硬件系统,各软、硬件大多进行了不同程度的冗余设计,这种基于测试发射流程的系统,在全系统测试阶段进行故障注入时,一般采用基于测试流程的操作注入方法。
由于航天系统工程的固有复杂性,考虑多系统协同工作时可能发生的故障模式,如果再考虑到多个系统的这些故障模式组合互相组合的各种情况,则系统故障模式数量将是一个较为庞大的数字。但任何工程问题都会有一定的资源、时间周期等种种约束。为了能在给定的资源和时间周期内完成全系统测试任务,就需要针对最有可能发生的,以及发生后危害影响较大的故障模式,有重点的开展全系统测试用例设计。这同样也需要设计者对系统需求有着极为深刻的理解。
深空探测任务中应用的多弹道选择技术,大大增加了控制系统射前流程的复杂性,同时由于弹道选择时间非常靠近点火时刻,因此对操作的准确性、快速性都有极高的要求。为确保发射过程中的万无一失,需要对相关软、硬件的工作情况进行充分的测试,同时通过充分测试,也提高了参试人员对射前操作的熟练程度。
基于需求的系统测试过程,首先需要深入了解、掌握系统的真实应用场景。多弹道选择技术的真实应用场景,也就是运载火箭测试发射流程中的多弹道选择过程,具体包括开算及弹道选择过程、弹道选择结果确认过程、点火过程。
4.1.1 开算及弹道选择过程
控制系统地面主控软件在点火前25s(该时间为考虑到射前流程的各种限制因素后确定的时间)弹出轨道确认对话框1,如图3所示。
图3 弹道确认对话框1Fig.3 1st trajectory confirmation dialog
主控软件操作手按下“Ctrl+b”键后,即将主控软件自动选择的当前弹道序号发送给箭载计算机飞行控制软件。
飞行控制软件收到地面主控软件发出的轨道选择序号后,建立参考坐标系初值。初值建立好后,向主控计算机下传弹道号、关键诸元、初值建立好标志等关键参数信息。
这里值得注意的是地面主控软件在点火前25s弹出轨道确认对话框1,这里的25s 为考虑到射前流程的各种限制因素后确定的时间,称为弹道确认时间,在每一条弹道对应的弹道窗口区间开始前25s,一直到该弹道窗口区间开始时间这段宽度为25s 的小区间,被称为该条弹道的确认时间区间。
每当当前时刻进入到下一条弹道的确认时间区间后,主控软件即弹出下一条弹道的确认对话框,提示用户可将当前弹道切换到下一条弹道。此时,如果主控软件操作手按下“Ctrl +b”键后,则将当前弹道切换到下一条弹道;若不进行任何操作,则箭上飞行软件仍保持为上一次按下“Ctrl +b”键时选择的弹道号,即使当前时间已经进入到下一条弹道的窗口区间内。
4.1.2 弹道选择结果确认过程
地面主控软件在收到飞行控制软件下传的弹道信息之后,会弹出弹道确认对话框2,如图4所示。
图4 弹道确认对话框2Fig.4 2nd trajectory confirmation dialog
主控软件操作手需要在该对话框中点击“确定”按钮,并确认相关信息均为正确后,向控制系统指挥员报告“可以接通允许点火”。
4.1.3 点火过程
主控软件操作手向控制系统指挥员报告“可以接通允许点火”后,控制系统指挥员向发控台操作手下达“接通允许点火”口令,控制系统指挥员在发控台接通允许点火后,向01 指挥员报告:“允许点火接通”。之后,01 指挥员适时开始点火倒计时步骤,倒计时结束后下达“点火”指令,再由控制系统指挥员最终向发控台操作手转述“点火”指令,并由发控台操作手完成点火操作。
在深空探测任务多弹道选择功能的全系统测试方案设计上,采用基于需求的系统测试技术,通过深入分析运载火箭测试发射流程中的多弹道选择过程中,所涉及到的各个环节、各种正常工作、异常工况下的系统应用需求;同时在测试资源、时间受限的情况下,结合系统真实应用中的风险模式、影响及危害性分析以及失效危害性分析、失效可能性分析工作结果,对测试优先级进行排序;同时考虑到在系统测试过程中所能采取的故障模式注入方法—“基于测试流程的操作注入”,拟定了如下测试方案设计原则,并按此原则设计了相应的测试用例。
(1)既要对正常功能下的多个测试状态进行测试覆盖,也要对多弹道选择的各种异常模式进行测试覆盖;
(2)正常状态分为模飞状态测试和发射状态测试;
(3)在全系统模飞(模拟飞行)测试时,对于5条弹道的模飞诸元,也都要测试到,通过对飞行结果的判读,确认弹道选择、装订的正确性;
(4)发射状态装订到箭载计算机内的弹道诸元为飞行时使用的正式诸元,对于5 条弹道的每一条正式弹道诸元,都要测试其自定选择、装订、校验功能的正确性;
(5)在设计异常模式的测试用例时,要考虑到弹道选择的各种临界情况,如:点火时刻处于弹道发射窗口前沿、后沿的,点火时刻超出窗口情况的等等;
(6)在设计异常模式的测试用例时,还要考虑弹道选择过程中,执行弹道选择操作的主控计算机出现故障,需要切换到备份机继续完成弹道选择过程的极端工况。
按照上述原则,在某深空探测任务中,按照正常流程、异常流程分为两个大类,正常流程中,覆盖模飞状态选择5 条弹道和发射状态5 条弹道;异常流程中,按照发射流程各个关键节点,模拟发生各类故障后需要推迟发射的情况,对于多弹道选择技术,共开展全系统级的测试23 次,其中覆盖正常弹道选择14 次,异常情况9 次。
通过本文设计的全系统测试用例检验,证明目前电气系统实现方案可以满足深空探测任务5 条弹道自动装订及选择的要求。
以下给出异常情况下的测试用例:
(1)故障模式:推迟发射,重选弹道。
故障模式实现情况:控制系统启动主控软件测试程序时,设定点火时间为弹道1 窗口前沿,进入-5min 流程时,由01 下达推迟15min 口令,将点火时间推迟至弹道2 窗口中点。
(2)故障模式:推迟发射,直接选择弹道4。
故障模式实现情况:发射状态,计划实际飞行弹道诸元2,但由于故障处置,导致从弹道2 推迟至弹道4。
(3)故障模式:推迟发射,选择弹道后终止发射。
故障模式实现情况:模拟在弹道4 的点火时间-3min 启伺服机构、 -90s 转电后又推迟到弹道5窗口,之后又终止发射的过程。
(4)故障模式:推迟发射,选择弹道,推迟发射,重选弹道。
故障模式实现情况:在弹道1 点火窗口前沿-3min启伺服机构、-90s 转电后又推迟到弹道2。
按照弹道2 组织发射,确认完弹道2 之后,又由于某种原因,推迟到弹道3。
之后按照弹道3 的点火窗口前沿组织发射。
(5)故障模式:推迟发射,选择弹道后沿点火。
在点火前弹出弹道确认对话框,提示确认下一条弹道,不理会该提示。
故障模式实现情况:对在弹道2 窗口后沿先确认弹道2,在点火前进入弹道3 的弹道确认窗口,但最终仍在弹道2 的点火窗口内点火的过程进行验证。
在弹道2 点火窗口后沿7min 时进入-3min 程序,启伺服机构、 -90s 转电,之后准备在弹道2 组织发射时,在确认弹道2 之后,在接通允许点火前,主控软件提示需要确认上传弹道3,不理会该提示,直接在弹道2 的窗口后沿点火。
(6)故障模式:推迟发射,计划选择弹道后沿点火。在点火前弹出弹道确认对话框,提示确认下一条弹道,此时重选下一条弹道,按照下一条弹道组织发射。
故障模式实现情况:对在弹道2 窗口后沿先确认弹道2,在点火前进入弹道3 的窗口,确认弹道3,最终在弹道3 的点火窗口内点火的过程进行验证。
(7)故障模式:在前一个弹道窗口后沿组织发射,临近点火时,进入下一个弹道的窗口前沿,仍然按照前一个弹道发射。
故障模式实现情况:预定弹道2 窗口后沿点火。在选择弹道2 之后不久,主控软件弹出提示框,提示可以选择弹道3,不理会提示,在进入弹道3的点火窗口后,按照弹道2 点火。
(8)故障模式:推迟发射,箭上断电,重新进入-1小时发射流程,重新上传飞行程序,选择弹道。
故障模式实现情况:在弹道1 点火窗口前沿-3min启伺服机构、-90s 转电后又推迟到弹道2。
之后又由于需要推迟较长时间,需要给控制系统箭上设备断电,之后按照弹道4 的点火窗口前沿重新组织发射的过程。
(9)故障模式:推迟发射,后端主控计算机甲乙机切换,箭上断电,重新进入-1 小时发射流程,重新上传飞行程序,选择弹道。
故障模式实现情况:在弹道1 点火窗口前沿-3min启伺服机构、-90s 转电,之后准备在弹道1组织发射时,在确认弹道1 的两个步骤中(第1 步为上传,第2 步为确认是否正确),当完成了第一个步骤的确认后,模拟后端主控计算机甲机故障,切换到乙机,在乙机上接着进行弹道1 确认流程的第二个步骤。
在主控计算机乙机完成对弹道1 的确认流程后,又由于故障,需要推迟到弹道2 发射。此时控制系统仅断助推、一级伺服机构,箭上设备不断电。
当准备在弹道2 组织发射时,又由于故障需要推迟较长的时间,需要给控制系统箭上设备断电,在主控乙机上完成断电流程。
之后当时间已经超出五条弹道的50min 窗口后,重新组织发射。重新给控制系统箭上设备加电,按照超出全部窗口时间后默认选择弹道5 组织发射。
通过对多弹道选择技术进行全系统的测试,覆盖了多弹道原则射前流程中可能遇到的窗口前沿、后沿等各种临界条件及设备主、副机切换等恶劣工况,对正式执行任务过程中全系统箭上、地面,软、硬件在各种情况下的工作的正确性、系统可靠性进行了全面验证,确保深空探测任务能够按时发射。
本文通过从深空探测任务的需求出发,提出在运载火箭测试发射中应用多弹道选择技术,既拓展了探测器发射窗口、提高了发射概率,又节省了探测器系统在后续轨道修正过程中的推进剂消耗量。为确保多弹道选择技术应用的万无一失,采用了基于需求的系统测试技术,深入分析运载火箭测试发射流程中的多弹道选择过程中,所涉及到的各个环节、各种正常工作、异常工况下的系统应用需求,对多弹道选择技术进行全系统的测试,确保了多弹道选择技术在“天问一号”和“嫦娥五号”两次深空探测任务中的成功应用。