融合危害时间模型的导航信号中断分析方法

2022-11-15 13:44熊笑贾蒙杨赵海涛陈雷
航天器工程 2022年5期
关键词:关键环节底层星座

熊笑 贾蒙杨 赵海涛 陈雷

(1 北京空间飞行器总体设计部,北京 100094)(2 中国空间技术研究院通信与导航卫星总体部,北京 100094)(3 北京跟踪与通信技术研究所,北京 100094)

卫星导航系统是提供空间信息和时间信息的重要基础设施。美国、俄罗斯、欧盟先后建设了GPS、GLONASS、Galileo系统,在经济、军事、科技等各领域发挥了巨大作用。我国于2010年前后启动北斗全球卫星导航系统建设,2020年7月开通服务,系统精度、可用性等指标已与GPS相当,产生了巨大的经济与社会效益[1]。

卫星导航系统平稳运行的最大风险来自于各类中断。中断即导航信号不可用的状态,直接影响卫星导航系统的可用性、连续性,决定了导航服务的质量[2]。针对服务中断风险识别与控制,北斗卫星导航系统在研制中面临了更为巨大的挑战:其一,北斗系统服务类型多、轨道类型多,是当前最复杂的卫星导航系统;其二,北斗系统在我国航天领域首次提出可用性和中断指标,且与GPS相当;其三,国外技术封锁,国内技术基础薄弱,有关技术方法尚属空白。

中断风险识别与控制的前提和基础是中断分析技术。中断分析是一种识别中断事件及原因,分析中断影响及其影响程度,并确定中断关键环节的方法。评价中断风险的三个要素为:中断频次(或功能中断率)、中断影响严重度(一般可分为服务/信号/任务中断、功能中断、无影响三类)和中断恢复时间(或中断持续时间)。以往研究主要关注星座及单星可用性综合评价[2-8],但鲜有文章论述研制阶段如何识别中断关键环节。文献[9]提出了中断频次的分析方法,侧重于中断指标的验证;文献[10]提出危害时间模型,但仅聚焦单粒子软错误防护薄弱点的识别;欧洲航天局提出的中断分析方法[11]在实践中存在适用范围有限,未解决中断风险的综合定量评估等问题。

由此,本文针对导航信号中断风险识别的工程需求,提出并阐述了一种融合危害时间模型的导航信号中断分析方法,从中断频次、中断影响及其影响程度、中断恢复时间、中断传播概率等多个维度综合评估中断风险,可适用于导航星座、卫星、分系统、设备等多个层次。本文方法已应用于北斗导航卫星。

1 导航信号中断的复杂性

导航信号中断因素非常复杂,并表现为中断事件的多样性、中断机理的复杂性、中断影响的多维性。这些因素包括各种硬件故障、软件异常、空间单粒子事件、计划内轨道控制、原子钟调频、故障处置策略、故障检测方法、单星可靠性和寿命等。其中,既有相对确定的、可预期的因素,也有不确定的、难以预估的因素;既有可用性影响为分钟级、小时级的短期因素,也有影响几个月的长期因素。如图1所示,通常可将这些因素归纳为以下4类中断。

图1 导航信号中断影响因素

(1)长期计划中断:卫星由于燃料、能源、性能退化等工作到规定寿命或超期服役已经不能满足规定性能要求。

(2)长期非计划中断:卫星发生永久性故障,不能再提供连续可用的导航信号。

(3)短期计划中断:为维持既定的星座构型或卫星状态,进行计划性维护操作造成导航信号短时间中断。

(4)短期非计划中断:由于空间环境效应、空间信号干扰、软件异常、设备故障等造成导航信号短时间中断。

以上所有因素均可能引起导航卫星服务中断;而一颗或几颗导航卫星的中断是否会引起卫星导航系统的信号中断又与星座构型等相关。对于导航卫星单星而言,计划中断可通过提前给出卫星不可用标识而不影响导航信号连续性,但非计划中断由于发生的不确定性,必然对导航信号的连续可用造成影响。因此,本文重点针对单星的短期非计划中断说明中断分析方法及其实施过程。对其做适应性修改即可应用于其它中断类型,也可推广用于导航星座信号中断分析。

2 中断分析方法

2.1 现有技术的不足

欧洲航天局在其可用性标准中提出了中断分析要求[11],并以填表方式进行中断分析。中断分析表的分析要素包括:功能影响、故障模式影响及分析(FMEA)参考项目号、检测、恢复策略、中断恢复时间、故障率等。从而能够在一定程度上检查电路故障的中断影响。

但是,这一方法存在以下不足:①分析对象和分析要素仅局限于功能电路的短期非计划中断,未考虑软件、冗余设备切换、计划性操作等其他中断事件,也不能直接分析星座系统的中断风险。例如,北斗导航星座不同位置的卫星信号中断,对星座可用性的影响是不一样的;不同卫星的计划性中断事件频次也差异很大。②功能影响较笼统,故障率指标不能表征可用性所关注的电路异常导致功能中断的概率。③未体现防护措施,特别是没能给出如何进行多因素综合定量分析识别关键环节的方法。

因此,在工程研制阶段如何科学地开展中断分析,识别中断关键环节是降低导航信号中断风险影响的难点,其中需要解决的关键问题包括:

(1)保证中断分析要素的全面性与相关性。中断因素非常复杂,包括可预期的、不确定的、长期影响的或短期影响的各类因素及组合。故障不一定导致中断,同时传统卫星FMEA往往忽略很多不影响卫星可靠性但会导致卫星短期中断的异常,而中断考察的要素范围远大于可靠性。

(2)保证中断分析对象的全面性与相关性。针对欧洲航天局仅分析功能电路的局限性,需要通过一种简单有效的方式确定底层中断事件,剔除与导航信号中断无关的设备、元器件;同时,覆盖所有分析对象(如星座系统中的每一颗卫星、星上每台设备等),针对底层中断事件列出所有可能的中断事件、分析中断原因、分析对服务/信号/任务或功能连续性的影响。

(3)保证中断分析识别的准确性。可靠性技术中通常以故障率排序得到关键环节,但故障不等同于设备功能中断,设备功能中断也不一定导致卫星或星座不可用。同时,故障率排序或者功能中断率排序均未体现中断后果和中断恢复时间两个重要因素。因此,在识别全部底层中断事件的基础上,须采用恰当的风险识别方法找出中断最关键的环节,使中断风险控制的效益最大化。

综上,需要一种全层级、多维度的中断分析方法,解决卫星(或星座)中断关键环节识别全面性和准确性问题。

2.2 融合危害时间的中断分析方法

借鉴FMEA和欧洲航天局的中断分析方法,针对上述3个关键问题,本文提出分析要素更全、分析范围更广的中断影响分析方法,3种方法的比对详见表1。典型的星座系统/卫星中断分析表格包括以下要素:项目名称和功能、可能的中断事件、中断原因、中断影响(星座系统需逐级考虑对卫星信号、星座服务的影响,卫星需逐级考虑对设备、分系统、整星的影响)、严重度、防护措施、中断频次、恢复策略、中断恢复时间、危害时间等。

表1 本文方法与FMEA、欧洲航天局中断分析方法对比

2.3 定性分析

对于计划中断,可直接确定分析项目和中断事件,填写中断分析表完成定性分析。

对于非计划中断,首先需要解决的是如何获得中断分析表中的分析对象(表中“项目名称和功能”)。因此,本文提出利用多级矩阵图和相关性分析的中断定性分析方法。以卫星非计划中断为例,其分析过程如下。

步骤1:获取卫星软硬件配置情况,为快速确定分系统、设备和导航卫星中断的关系,结合卫星功能分析、信息流分析建立中断相关性线索表。导航信号短期非计划中断相关性线索见表2。

表2 短期非计划中断相关性线索表

步骤2:从功能维度建立分系统中断相关性矩阵图/表,根据分系统功能结合表2确定各分系统与短期非计划中断的相关性。

步骤3:对步骤2得到的短期非计划中断相关分系统,进一步按组成建立设备级的中断相关性矩阵图/表。

步骤4:重复步骤3可得到所有与短期非计划中断相关的设备清单。

步骤5:针对某个设备,可继续利用矩阵图分析模块/器件的中断相关性。

综上,结合功能、信息流设计信息,利用相关性矩阵图/表可快速定位所有可能导致卫星中断的底层单元。

2.4 定量分析

前文已经明确中断风险评价的三个要素,对这些要素及其影响的定量评价则是当前研究的核心内容。在定量评价模型中,影响后果是进行定量评价的约束条件,即不同严重程度的后果需要分别评价;中断频次和持续时间是两个决定性参数,中断频次需要考虑中断影响传播过程的所有环节,持续时间需要考虑单粒子影响恢复过程的所有环节。

通过定性分析得到了引起中断的薄弱环节清单,为准确识别中断关键环节,优先针对中断影响最大的环节进行改进,需要建立一种包含以上要素的普适性的评价模型。本文综合考察中断发生频次、中断恢复时间,特别引入中断传播概率,研究提出了危害时间模型,通过对中断事件影响的累积危害时间的归一化处理,实现中断关键环节的量化识别。危害时间从可用性角度综合反映了某一中断事件对卫星的影响程度。

对应导航卫星信号中断后果,危害时间Tcij表示第i个对象第j个中断事件在任务周期内引起卫星信号中断的累计持续时间,其评估模型定义为

Tcij=fijβijTmiToij

(1)

式中:fij是第i个对象第j个中断事件的发生率,例如某设备FPGA的功能中断率,单位为次/h;βij是第i个对象第j个中断事件引起卫星信号中断的传播概率,无量纲;Tmi是第i个对象的任务时间,单位为h;则fijβijTmi是第i个对象在任务周期内发生影响卫星信号中断的中断事件次数;Toij是第i个对象第j个中断事件对应的平均中断恢复时间,单位为h/次。

危害时间模型的提出,既可以从卫星系统层面识别星座中断关键的设备、器件和计划性操作事件,也可以通过计算整星危害时间评价卫星中断设计风险控制水平。

3 中断分析实施过程

3.1 分析流程

在工程实施中,中断分析包括定性分析和定量分析。通过定性分析全面识别中断薄弱环节,作为中断底层单元,分析中断事件及影响;利用中断传播示意图或中断树分析等方法,表征中断底层单元对单星(或星座)的服务中断影响的传播路径,基于危害时间模型进行定量评估,从而准确地获得中断薄弱环节关键程度排序,有针对性的进行设计改进。导航信号中断分析流程如图2所示。

图2 导航信号中断分析流程图

3.2 分析实施的关键技术

3.2.1 中断底层单元的确定

根据2.3节,结合导航卫星功能分析、信息流分析等获得中断线索表,再利用相关性分析方法,自上而下快速缩小分析范围。分系统与短期非计划中断的相关性矩阵图示例如图3(a)所示,分析得到的短期非计划中断相关分系统。图3(b)以“分系统1”为例,建立设备中断相关性矩阵图,重复本步骤可得到所有与短期非计划中断相关的设备清单。针对某个设备,也可继续利用矩阵图分析模块/器件的中断相关性。

注:◎表示密切相关;○表示相关;△表示可能相关;×表示不相关。

3.2.2 中断传播概率的确定

中断底层单元引起导航卫星中断是一个故障传播过程,由于从器件、设备到分系统、整星均有一定的防护措施,而且不同设备在导航信号生成与播发过程中的功能不同,因此需将中断传播概率纳入分析过程。底层单元的中断传播概率β表示底层单元导致顶事件(卫星中断)发生的可能性,为各层级传播概率之积,其计算公式如下。

(2)

式中:βk为单位时间内本级事件造成上一级事件中断的次数与本级事件发生次数之比,其取值范围在[0,1]之间,可以通过地面故障注入测试、仿真分析、在轨数据统计等方法获得。

3.2.3 获取底层单元基础数据

底层单元可分为硬故障和软故障两类。硬故障的发生频次可以近似采用硬件失效率转换为单位时间的故障次数得到。软故障主要关注FPGA的单粒子功能异常率,即FPGA在轨发生单粒子软错误后引起规定功能中断的频次。FPGA单粒子功能异常率既和器件的单粒子本征翻转率有关,也和轨道条件、器件资源使用情况、单粒子防护设计情况等有关。目前,常见的方法是进行地面辐照试验或者故障注入仿真来获得单粒子功能异常率的数据,以及利用相似器件在轨数据的快速预估方法[8]。

中断恢复时间取决于恢复策略、产品设计特性和卫星运行的固有特性。常见的恢复策略类型包括自主复位、遥控复位、加断电、切换到备份、系统重构等。恢复时间对应在轨故障的恢复过程,包括故障检测、执行故障恢复措施、卫星恢复正常工作状态的过程,不考虑地面保障资源和管理相关的延误时间。恢复时间一般是给出平均值或最大值。

3.2.4 中断关键环节的评价

基于本文提出的基于危害时间模型的定量分析方法,中断关键环节的量化评价步骤为:

(1)对应任务中断或功能中断的影响后果,利用式(1)评估每一个中断事件软错误的危害时间Tcij。

(2)评估每个器件或设备的所有中断事件软错误累计危害时间Tci。

(3)由于Tci反映了器件或设备i对航天器系统的影响程度,对Tci进行排序,识别关键环节。

4 中断分析案例

4.1 某导航卫星简介

某导航卫星的基本任务是:接收地面控制系统注入的导航电文,并存储、处理生成导航信号,向地面控制系统和用户发送。卫星包括有效载荷和平台两部分。有效载荷的基本构成包括导航、天线分系统,平台的基本构成包括控制、推进、综合电子、测控、供配电、热控和结构分系统。

4.2 确定中断底层单元

首先,依据卫星功能分析、信息流及冗余设计情况,分析各分系统和导航卫星信号中断的相关性。经分析,分系统A的故障会引起导航卫星中断,其中分系统A由3个子系统组成。进一步依据分系统A的设计信息,依据表2分析各设备和导航信号生成与播发的相关性,确定可能导致导航卫星中断的底层单元,分析结果见表3。

表3 分系统A各设备和导航卫星中断的相关性分析

4.3 确定中断传播路径

根据2.2节,各设备中断事件及影响如表4所示。

表4 设备中断事件及影响分析

利用图4表征中断传播路径和底层单元到整星的中断传播概率,图中βm-n表示可能的中断事件m导致上一级中断事件n的中断传播概率。

图4 某导航卫星信号中断传播示意图

根据式(2)计算各底层单元的中断传播概率。以中断事件(底层单元)X1为例,X1导致导航卫星信号中断T0的中断传播概率为

βX1-T0=βX1-E1×βE1-T0=0.6

(3)

同理,可求得中断事件X2~X7导致导航卫星信号中断的中断传播概率。

4.4 获取底层单元基础数据

图4中底层单元的基础数据如表5所示,其中发生频次由以下两类数据组成。

(1)设备A2、A3、A4的软故障频次,即由于单粒子事件引起功能中断的频次,与软故障中断间隔时间互为倒数。

(2)设备A2、A3、A4、A5的硬件失效率。

若所有设备的任务时间均为1年,将中断发生频次、中断传播概率和中断持续时间对应数据代入式(1),可得各中断事件的危害时间,结果见表5。

表5 中断树各底层单元的基础数据和危害时间

4.5 定量判定中断关键环节

如图5(a)所示,若根据故障率/功能中断率识别薄弱环节,不仅会将中断事件X3对应的主要影响卫星上注功能的设备A3作为薄弱点,还会忽略对导航信号影响较大的设备A4的中断事件X6。

如图5(b)所示,利用本文提出的融合危害时间模型的中断关键环节识别方法,可客观的将中断事件X5和X6对应的设备A4识别为薄弱点;同时,将主要影响上注功能的设备A3筛选出来,明确其并不是信号中断需重点关注的薄弱环节,这与导航卫星实际运行情况是一致的。

图5 导航卫星中断关键环节定量判定

同时,可获得设备A2~A5的危害时间分别为1.66×10-2h/年、1.86×10-4h/年、1.32×10-2h/年和2.0×10-4h/年,从而得到设备危害时间排序。从而判定设备A2为最需关注的中断关键环节。

5 结束语

全面且准确识别引起中断的关键环节,是有效降低中断风险设计的前提和基础,是保证卫星导航系统平稳运行的基本途径。本文基于中断评估三要素,融合危害时间模型,提出了一套完整的中断分析方法。通过本文案例和工程实践表明:

(1)中断风险的定量判定,不仅需要考虑中断发生频次,还需考虑中断所关注中断持续时间和故障传播引起整星中断存在的不确定性(即中断传播概率)。

(2)利用相关性分析,可快速确定中断底层单元。

(3)相比传统技术通过故障率排序得到薄弱环节,基于危害时间模型进行中断风险定量评估,可准确判定中断风险关键环节。

本文方法适用于星座中断关键环节识别,也适用于短期非计划中断、短期计划中断、长期中断等各类中断风险的关键环节识别,可推广应用于下一代卫星导航系统、通信星座系统等。

猜你喜欢
关键环节底层星座
航天企业提升采购能力的底层逻辑
抓源头 技术改造关键环节
星座
12星座之我爱洗澡
星座
掐准关键环节
个别谈话应把握好六个关键环节
星座
找到稳定村医的关键环节
回到现实底层与悲悯情怀