一种飞行器动力系统多维故障重组方法

戴世聪，肖 振，孙超逸，樊奇林，肖 翔

（1. 空间物理重点实验室，北京，100076；2. 北京航天自动控制研究所，北京，100854）

0 引 言

动力系统是飞行器实现轨道控制、助推加速、制动减速、机动转弯、姿态控制等动作的关键系统，其能否可靠工作是决定飞行任务能否正常完成的关键。而动力系统，特别是用于轨道控制的液体发动机，其复杂的系统组成叠加自身工作时产生的高温、振动等复杂环境，使其可靠性难以提高。同时，轨控动力系统重量占飞行器总重比例高，采用直接冗余设计将大幅增加飞行器重量，从而对执行助推任务的运载器提出过高的要求，费效比低。因此，为提升动力系统可靠性，采用多台低复杂度小推力发动机组合工作，并在故障情况下通过飞行器在线自主重组是一种可行的可靠性提升手段。

针对故障状态下的控制，早在1971 年已提出“完整性控制”概念，标志着容错控制思想的产生。此后50 余年里，容错控制理论蓬勃发展，并在神舟飞船等项目上进行应用。文献[8]提出了一种近空间飞行器的容错控制方法，能够在执行机构卡死等情况下完成姿态控制。文献[9]提出了一种适应空天飞行器动力系统故障的直接力空气动力复合控制容错方法。但上述文献中的方法均是假定了飞行器的单一故障模式，而在实际工程应用中，动力系统故障模式繁杂，各类故障影响也有差异，容错控制系统需要同时适应多种不同故障，为控制系统设计以及总体设计带来了挑战。

从工程应用出发，取消单一故障假设，建立了动力系统故障模式影响分析到面向重组设计的核心故障映射关系；提出了多故障辨识与稳定控制一体化的重组流程，能够同时适应多种故障，并实现了在故障识别过程中的稳定飞行；提出了基于姿态导航信息的故障判据，在不额外配置传感器的情况下，实现快速高可靠的故障判定。

1 面向重组设计的故障模式分析

所述方法针对姿轨控一体化的多次启停液体发动机，所配备的4 台姿控发动机与4 台轨控发动机均采用“×”字形布局方案。为便于描述，将姿控发动机编号为1～4，轨控发动机编号为5～8，动力系统布局如图1 所示。

图1 动力系统布局Fig.1 Thruster Layout

利用动力系统故障模式影响分析（Fault Mode and Effect Analysis，FMEA）过程，能够获得完整的各单机故障模式，但单机故障模式种类繁多，为了将各故障后果与故障辨识量建立联系，将推力室身部烧蚀、推力室冷却环堵塞、电磁阀卡滞等单机/组件级的故障按照其对飞行的影响和处理方法进行合并，提炼出了面向故障重组的4 类核心故障：即单个轨控发动机打不开或无推力、单个轨控发动机关不上、姿控发动机失效、动力系统整体失效，详见表1。

表1 核心故障与对应单机/组件级故障Tab.1 System Fault Mode and Corresponding Component Level Fault Mode

其中单个轨控发动机关不上的核心故障不会影响飞行任务，因此重组过程中不考虑。而动力系统整体失效核心故障发生后，飞行器无可用控制能力，因此不具备动力系统重组的条件，同样不考虑。在动力系统故障重组设计中，只需要考虑单个轨控发动机打不开或无推力和姿控发动机失效两类核心故障。

通过本节的分析，建立了动力系统面向单机可靠性设计的故障模式影响分析到面向系统重组设计的核心故障映射关系，为后续开展重组设计奠定基础。

2 动力系统故障在线识别思路

故障判定可以通过多种信息源进行综合比对，常见的判定信息源一般包括来自导航装置的过载与姿态，以及来自动力系统传感器的推力室压力。过载一般用于判定轨控发动机故障，但对于采用多个轨控发动机的飞行器，单台发动机无推力的情况与多台发动机推力均偏低的情况差异较小，不利于故障的排查。而基于室压数据的故障判定虽然准确度较高，但室压传感器受限于推力室设计有时无法配置，此外室压传感器可靠性较低，单独用于飞行判据误判可能性较大。为此，提出了一种只依赖于姿态信息的动力系统故障识别方法，其主要思想是：当部分轨控或姿控发动机出现故障后，推力不对称将导致飞行器姿态失稳，从而能够通过姿态失稳的模式判定故障模式。

由表1 可见，动力系统的故障模式不只一种，其直接效果均为姿态失稳，为了进行区分，辨识过程需要与控制过程一体化设计，通过控制动作的设计及飞行器姿态响应的实际情况，确定故障模式。

3 故障辨识与稳定控制一体化的重组流程

3.1 故障重组流程

基于上一节的思路，通过故障重组流程中动力系统工作模式的组合，能够在飞行器姿态不出现不可逆发散的前提下，识别故障模式从而选择能够保持飞行姿态稳定的动力系统工作模式，具体如下：

第1 步（首次重组关机）：出现姿态失稳后，进行首次重组关机，即关闭4 个轨控发动机，尝试控制姿态稳定。此时，根据俯仰、偏航角速度极性关系确定无故障轨控发动机组（#5#7 或#6#8）。此后如果恢复稳定则进行首次重组开机，转入第2 步。如果在设定的时间内仍未恢复稳定，则判定为姿控发动机故障，采用“轨控辅助姿控”控制模式完成后续飞行。

第2 步（首次重组开机）：首次重组关机后姿态恢复稳定时，按照“对角半开”模式开启无故障轨控发动机组，并再次开始监测姿态失稳情况，如未失稳，则保持动力系统“对角半开”工作模式进行后续飞行。单个轨控发动机打不开的故障能够在该分支中进行适应。如果仍然不能保持稳定，则是单个轨控发动机推力严重下降但未完全消失的情况，需要进行第2 次重组关机。

第3 步（第2 次重组关机）：再次关闭全部轨控发动机，尝试控制姿态恢复稳定。选与首次开机相反的一对轨控发动机，进行“对角半开”。由于此前轨控发动机完全关机状态已经恢复稳定，因此本次仍能恢复稳定，稳定后进行第2 次重组开机。

第4 步（第2 次重组开机）：第2 次重组开机后姿态恢复稳定时，开启无故障轨控发动机组。如果再次出现失稳，则转入第3 次重组关机，恢复稳定则保持该状态。

第5 步（第3 次重组关机）：关闭全部轨控发动机，更改无故障轨控发动机组为全部轨控发动机，保持姿态控制进行后续飞行。

3.2 动力系统故障重组工作状态

针对轨控发动机故障，可以通过只开启对角线上两台轨控发动机的方式保持推力对称，避免出现姿态失稳，简称为“对角半开”工作模式，示意见图2。

图2 “对角半开”模式轨控发动机开启示意Fig.2 “Half On” Orbit Control Thrusters Work Mode

针对姿控发动机故障，通过短时间关闭1 台/2 台轨控发动机的方式，能够消除因单个姿控发动机失效造成的大幅度姿态偏差，从而避免姿态单向发散，示意见图3。

图3 “轨控辅助姿控”模式Fig.3 “Orbit Control Assisted Attitude Control” Work Mode

3.3 故障隔离重组判据设计3.3.1 故障失稳判据设计

故障失稳判据用来判定姿态出现异常，首次判定后决策进行故障重组流程。故障重组流程内部根据判定失稳后的步骤进行工作。

故障失稳判据是区分正常飞行与异常飞行的分水岭，需要严格保证正常飞行情况下不会出现误判导致进入异常飞行流程。为此，需要分析正常工作情况下和出现故障后姿态运动特征的差异，从而判定故障。

在出现单个轨控发动机无推力故障时，显著特征是姿态角加速度跃升，姿态角速度、角度逐渐发散。考虑到姿态角速度、角度为累积量，不能直接区分是正常值长时间积累导致还是异常值短时间积累导致，因此首选直接判定姿态角加速度。

表2 故障与正常状态角加速度区间Tab.2 Angluar Acceleration Range in Fault and Normal Senerio

为了不漏判，即只要出现了单个轨控发动机无推力的情况就能触发，需要判据取值最小故障值。为了不误判，即只要不出现故障，就一定不会触发判据，需要判据值大于最大正常值。

在遇到单个发动机推力小幅下降或者推力偏斜过大等能够导致姿态失稳，但角加速度却并不大的故障时，通过角加速度无法进行判定，还需要补充使用累积量作为判据以避免漏判。

综上，设计姿态失稳判据如下：

以下3种条件任一满足连续0.2 s，认为姿态失稳：

3.3.2 再次开机判据

再次开机判据用于判定姿态已经恢复稳定，能够执行下一次轨控发动机开机动作，主要结合飞行器控制能力决定，选定如下：以下条件连续0.5 s 全部满足，则认为姿态恢复稳定，可以再次开机：

3.3.3 无故障发动机确定判据

在首次判定姿态异常后，利用角加速度信息或角速度信息可判断出现故障的发动机在哪一个对角线上。如果是用角加速度判定故障，则用角加速度判断故障发动机：

首次判定故障发动机后，如果进入第2 次重组开机，则选择与前次开机相反的两台发动机。

4 仿真验证

4.1 仿真模型与平台

考虑配备4 台75 N 姿控发动机、4 台1000 N 轨控发动机的飞行器，动力系统布局如图4 所示，飞行器滚转、偏航、俯仰方向的转动惯量分别为350 kg·m、4000 kg·m、4000 kg·m，以仿真步长5 ms 的4 阶龙格-库塔法编制六自由度仿真程序开展数学仿真，本节后续仿真均在此模型和平台下开展。

图4 轨控发动机故障重组仿真结果Fig.4 Recombining Simulation Results for Oribit Control Thruster Fault

4.2 轨控发动机故障仿真典型曲线

在不考虑其他偏差的情况下开展六自由度数学仿真。按照4 台轨控发动机开机180 s 后，#8 发动机推力消失的方式注入故障，考察故障重组方案效果。轨控发动机故障重组仿真结果

续图4

由图4a、图4b 可见俯仰与偏航通道恢复稳定只需10 s 左右，最大误差不超过10°，由图4c 可见重组过程中角速度不超过6 （°）/s，由图4d 可见，在3163 s 故障发生后，通过一次重组就实现了姿态稳定。

4.3 姿控发动机故障仿真典型曲线

在不考虑其他偏差的情况下开展六自由度数学仿真。按照4 台轨控发动机开机10 s 后，#1 姿控发动机首次工作后关不上的方式注入故障，考察故障重组方案效果。由图5 可见，在2993 s 故障发生后，轨控发动机进行了多次开关，俯仰偏航角以20 °幅度振荡，未出现发散，三通道角速度控制在20 （°）/s 以内。

图5 姿控发动机故障重组仿真结果Fig.5 Recombining Simulation Results for Attitude Control Thruster Fault

续图5

4.4 大规模仿真统计结果

在发动机故障状态下完成了10 000 种偏差组合的数学仿真，考虑的偏差类型包括：质量偏差、转动惯量偏差、质心偏差、推力偏斜、推力横移、推力偏差以及气动偏差，各种发动机故障状态的处置结果如表3所示。

表3 故障状态仿真结果统计表Tab.3 Fault Mode Simulation Result Statistics

其中应急转段为考虑故障模式而设置的转段条件，代表转段条件已达到下一飞行段可适应程度，可以直接转段。可见，对于单台轨控发动机推力线偏斜5°、单台轨控发动机无推力、单台轨控发动机推力下降、单个姿控发动机无推力、单个姿控发动机关不上这5类故障，本文所述方法均能够保证下一飞行段可适应，保证飞行任务顺利进行。

5 结束语

聚焦工程应用，取消单一故障假设，首先开展动力系统故障模式影响分析，建立了动力系统故障模式影响分析到面向重组设计的核心故障映射关系。此后提出了多故障辨识与稳定控制一体化的重组流程，能够适应多种故障模式，并实现了故障识别过程中的稳定飞行，并针对重组流程提出了基于姿态导航信息的故障判据，在不额外配置传感器情况下，实现快速高可靠的故障判定。最后，通过典型仿真和考虑偏差的大规模仿真验证了方法对故障的适应性。

提出的方法已用于某型液体动力飞行器飞行试验，能够提升飞行器针对动力系统故障的可靠性，有效保证了飞行任务的成功。能够扩展用于其他配置多喷管的动力系统故障重组设计。