通信卫星系统潜在故障识别与应对方法

种婧宜，周昊澄，王 敏，陈余军

（1.中国空间技术研究院 通信与导航卫星总体部； 2.北京空间飞行器总体设计部：北京 100094）

0 引言

地球同步轨道（GEO）通信卫星具有信号覆盖面积广、便于快速组网以及对地理地形和距离因素不敏感等优势，被广泛应用于广播电视、数据传输和移动通信等领域。随着技术水平的不断发展与市场需求的多样化，通信卫星从传统的广播业务、固定和窄带通信为主，逐渐向移动通信、宽带和高通量通信为主转变。因此，对卫星的信息承载能力、用电功率以及姿态控制精度等的要求大幅提高。通信卫星的设计运行寿命一般是15 年，在轨不具备维修能力，且需要面对真空、等离子体、辐射以及微流星体/空间碎片等复杂而严酷的空间环境。因此，在系统集成度显著提高，软/硬件接口逻辑越来越复杂的情况下，卫星呈现出较多的跨分系统耦合现象，使得卫星系统总体设计、空间环境适应能力、在轨运行可靠性与健壮性等提升面临着极大的挑战[1-2]。

传统通信卫星系统设计与可靠性分析过程中，各分系统的设计与分析工作相对独立，因此对跨分系统间故障传递问题的认识存在局限。如果未识别的风险从系统设计阶段被带到研制阶段，会导致物理试验时暴露较多设计问题。为了满足新一代通信卫星系统可靠性和健壮性设计需求，必须提升对系统故障机理的认识，为跨分系统的故障分析提供有效的理论方法。在航空和铁路等工程领域[3]，部分学者从系统控制角度对系统故障开展分析，有效识别跨组件和跨分系统的故障风险，提升了系统可靠性和安全性设计水平[4]。然而，针对通信卫星，目前缺少系统级故障分析的理论方法。

本文针对GEO 通信卫星，提出基于系统理论事故模型与过程（STAMP）[1]的系统故障分析方法，通过建立系统控制逻辑架构分析系统潜在的控制缺陷，自上至下地开展系统顶层故障分析，有效识别系统设计中影响业务连续性与系统安全性的关键功能[5]，并从施加控制约束的角度提出可靠性设计需求，以指导系统可靠性和健壮性设计。

1 通信卫星系统故障分析特点

1.1 系统架构

随着技术水平发展，现代通信卫星有效载荷的质量和功率均显著增大，故而对卫星系统的空间环境适应能力、平台承载效率以及姿态控制精度等提出了更高要求。为此，须通过优化的架构设计以及先进技术、产品的应用来实现系统的集成化与轻量化，包括集成化综合电子系统、高效率电源系统以及电推进技术等[6]。

如图1 所示，通信卫星系统由多个关键分系统组成。综合电子在各阶段为系统提供并分配电能，确保系统能源供应。测控分系统提供星地之间的测控通道，并结合综合电子系统保证卫星的遥测、遥控和测距等功能。控制分系统和推进分系统负责姿态控制以及轨道机动、位置保持，保证有效载荷的正常工作。除此之外，系统还配备其他保证系统正常运行的结构、热控分系统等。

图1 GEO 通信卫星系统组成Fig.1 Block diagram of GEO communication satellite system

1.2 故障分析特点

通信卫星任务包括为发射入轨与在轨提供业务2 个阶段。发射入轨阶段的主要目标是将卫星成功发射入轨定点并完成在轨测试工作；在轨提供业务阶段的目标是按照指标要求完成覆盖区域内的通信业务。通信卫星系统要求在较长任务周期和严酷空间环境下具有较高的安全性与可靠性，以保证业务的连续稳定[7]。而随着对卫星性能指标要求的不断提升以及降低发射与运维成本的需求，新一代通信卫星还要求具备较高的自主运行能力，包括在星箭分离以后可自主变轨，在轨运行阶段可自主进行姿态与轨道控制、自主能源管理和自主故障恢复等[8]。因此，新一代通信卫星系统的健壮性设计极为关键，而传统“先分后总”的研制模式由于缺少设计阶段早期的顶层故障分析，难以提出有针对性的可靠性和健壮性设计需求，极易将问题带入后续测试阶段，造成设计返工，影响研制进度[9-10]。

系统故障主要表现为实际运行情况超出设计预期，并对业务连续性或系统安全性造成不可接受的影响。因此，故障大多源于对系统认识的不足，体现在对内和对外两方面，如图2 所示：一方面，没有吃透系统内部组成的故障模式及影响，特别是跨分系统的耦合影响，导致系统发生非预期的失效；另一方面，系统运行环境存在非预期的扰动，如空间环境因素或其他外部干扰等[11]。因此，通信卫星系统可靠性和健壮性增长需要结合历史经验、故障分析与试验验证等多种手段提升对系统故障认识的科学性和全面性，并通过系统设计避免故障发生或提升系统应对故障的能力。

图2 系统故障来源分析Fig.2 Source analysis of system faults

在系统设计的过程中，单机内部故障机理和可靠性增长不属于系统故障分析的范畴，因此常常将系统故障简单归结于对某种单机产品故障机理认识不足。这种分析结论不利于将系统与单机进行有效的耦合设计，常常会出现单机功能无法达到系统要求，需通过系统设计弥补单机功能的缺失，大大浪费了系统资源并降低了系统可靠性。因此，在系统设计阶段需深入分析卫星内部复杂的交互耦合，形成分级策略，从降低故障发生概率到阻断故障传播再到风险控制，分层级地降低风险影响，提高卫星的可靠性和健壮性。

2 STAMP 与故障分析方法

2.1 STAMP 简介

随着对复杂系统故障发生机制的深入研究，Leveson 提出以系统理论为基础的事故因果关系分析模型，即STAMP[7-10,12]。STAMP 从控制逻辑角度对系统进行描述，并形成分层控制结构，每一层都对下一层通过控制行为执行一定的约束；系统中所有约束的正确执行不仅保障了系统功能的实现，同时保证了系统运行的安全性。由此，STAMP 认为系统故障的发生是由于系统控制过程中的安全性约束没有被充分执行，而单机失效只是原因之一。根据经典控制理论，对一个过程进行控制需要4 个条件——目标条件、行动条件、可观察条件和模型条件。在STAMP 中，上述条件将对应成为系统安全性约束、控制行为、反馈以及过程模型。

与传统的故障模型相比，STAMP 充分体现了系统设计的重要作用，认为故障来源除了单机失效外，还有可能来自系统内部或系统与外部不正确的交互行为，充分体现了系统全局观。并且，STAMP的分析依据是系统的控制逻辑架构，不依赖具体的物理设计，可以在系统设计的早期开展，以便通过故障分析形成有针对性的系统可靠性与健壮性设计约束，并以此为需求驱动系统设计开展。

2.2 系统故障分析方法

依据STAMP 与故障机理，从系统控制逻辑角度开展系统级故障分析的具体步骤包括：

1）定义顶层事故和危险

故障分析的本质是充分认识系统故障发生规律，识别薄弱环节，并通过设计避免或有效应对故障影响。因此，首先应明确系统不可接受的事故清单，并通过分析将其原因逐渐细化。作为自上至下的故障分析，将系统不可接受的顶层故障定义为事故（accidents），一般指人员伤害、经济损失、环境污染或功能丧失等。然后，对可能导致事故发生的危险情况（hazards）进行初步定义，并在后续分析中从控制逻辑角度对故障原因进行细化，以便形成明确的设计约束。

2）建立系统控制逻辑模型

根据STAMP，需要对系统从控制逻辑角度进行建模，明确控制与反馈关系。复杂系统的控制逻辑架构往往分多个层级，从顶层高度抽象的控制关系逐层向内部细化，具体粒度根据分析需求决定。

3）梳理系统控制过程，分析潜在系统故障

根据系统控制逻辑模型梳理出所有的控制过程。对每个控制过程，首先从未提供、提供、提供过早（或过晚）、结束过早（或过晚）的角度对其是否存在故障风险展开分析，形成系统故障清单。然后针对所有系统故障，从避免控制缺陷发生的角度，转换形成初步的可靠性设计约束。

4）分析故障发生场景并形成详细设计约束

根据控制逻辑模型，对存在风险的控制过程从控制与反馈回路的各个环节审查可能的故障原因——可能是硬件失效，也可能是系统控制中不正确的交互。根据故障场景形成详细的分系统可靠性设计约束，以指导后续设计。

3 通信卫星系统故障分析案例

3.1 顶层事故和危险定义

本文以STAMP 为基础，针对如图1 所示的典型新一代通信卫星系统，在系统概念设计阶段初期便将空间环境因素考虑在内，开展自上至下的系统故障分析，形成详细的分系统可靠性和健壮性设计约束，从正向设计角度提高通信卫星的系统设计可靠度和空间环境适应能力，以满足具备自主工作能力的新一代通信卫星平台高可靠性、长寿命的系统设计需求。

案例分析目标：设计阶段早期开展系统故障分析，形成有针对性的可靠性设计需求以指导后续设计开展，解决新一代通信卫星GEO 真空环境下系统集成度与复杂度提升给系统总体设计与可靠性增长带来的难题，提高新一代通信卫星的系统设计能力。

针对设计要求和分析目标，定义系统级事故如表1 所示，分别从系统安全性与业务连续性2 个角度考虑无法接受的顶层事故：事故A1 指太阳辐射激增和微流星体/空间碎片等非预期空间环境因素导致的产品损坏；事故A2 指由于对空间环境认识不足所造成的设计缺陷导致任务无法完成。本案例分析将从系统正向设计角度充分认识可能导致这些事故发生的场景，并转换形成细化的设计约束。

表1 系统事故定义Table 1 Definition of system accident

根据卫星系统特点，初步定义可能导致系统事故的危险如表2 所示。危险H1 指的是卫星的能源供应异常，例如微流星体/空间碎片碰撞损坏太阳电池阵，可能影响通信业务，情况严重有可能威胁卫星安全。危险H2 指的是硬件系统暴露于危险的环境中，例如进入存在威胁的空间环境或危险的轨道等，可能导致卫星非预期的损毁。危险H3 指的是卫星与地面的测控通信存在异常，例如等离子体环境变化产生干扰，既有可能影响任务实现，也有可能造成卫星安全无法得到保证。危险H4 指的是系统的姿态与轨道控制异常，既有可能影响通信功能，也可能导致卫星失控损坏。危险H5 指的是在卫星完好的情况下没能实现通信任务。

根据系统顶层事故与危险定义，以避免它们的发生为目标，形成的顶层系统设计需求如表3 所示。随着故障分析开展，顶层设计需求将被细化，为可指导系统设计的明确设计约束，驱动后续设计工作。

表3 系统顶层设计需求Table 3 System top-level design requirements

3.2 系统控制逻辑架构

根据STAMP 的系统理论故障机理，以系统的控制逻辑模型作为分析依据。该模型不同于物理模型，无须体现具体设计信息，仅描述系统运行中的控制与反馈关系。根据通信卫星系统功能，建立如图3 所示的顶层控制逻辑模型，包括地面控制中心、星上自主星务管理模块、自主控制模块、测控通信模块、温度管理模块、供配电管理模块和有效载荷模块等。通信卫星在轨运行的任务连续性和稳定性是其安全重点，卫星的连续通信能力由GNC自主控制模块和星上测控通信模块共同保证。

图3 通信卫星系统的顶层控制逻辑模型Fig.3 Top-level control logic model of communication satellite system

3.3 控制过程分析及潜在故障描述

根据3.2 节建立的系统控制逻辑模型，从控制角度分析存在故障风险的控制过程，形成系统故障清单。STAMP 故障机理从系统控制角度来认识系统运行过程，认为系统功能的实现是通过一系列控制完成的，任何一个环节的控制未被正确或充分执行都可能引起系统故障，如图4 所示。结合通信卫星任务特点，给出其电推进姿态控制系统的控制过程示例如表4 所示。

图4 典型控制与反馈回路故障原因Fig.4 Typical fault causes of control and feedback loop

表4 电推进姿态控制系统控制过程示例Table 4 Control process example of electric propulsion attitude control system

对每个控制过程分析以下4 种可能：

1）没有提供有效控制导致故障；

2）提供控制过早（或过晚）（包括与其他控制的时序错误）导致故障；

3）控制结束过早（或过晚）导致故障。

本案例以控制过程C5“控制模块进入对日定向模式”为例，分析其潜在控制缺陷可能引发的系统故障。该控制过程与通信卫星发射入轨和在轨工作2 个任务阶段均有关。

在发射入轨阶段，卫星与运载火箭分离后，首先进入速率阻尼模式，消除星箭分离角速度，然后展开太阳电池阵进行对日捕获。卫星在转移轨道期间，为了保证长期稳定的能源供应，在太阳电池阵展开后需要维持对日定向姿态。假设卫星采用太阳敏感器确定对日的姿态，利用陀螺测量角速度，并使用推力器喷气的方式控制卫星的滚动、俯仰以及将角速度保持在一定范围内。此外，考虑到自主变轨需求，卫星配备提供轨道位置信息的导航敏感器。图5 所示为通信卫星的对日定向模式控制回路。表5 所示为针对卫星的轨道转移阶段，从控制缺陷的4 种可能形式分析控制过程C5 可能引起的系统故障的结果。

表5 控制过程C5 转移轨道阶段的故障分析结果Table 5 Fault analysis results of control process C5 at transfer orbit stage

图5 对日定向模式控制回路Fig.5 Control loolp for sun-pointing guidance

同理，针对卫星同步轨道工作阶段开展上述故障分析。卫星在轨工作阶段，对日定向模式可以优先保证卫星的能源供应与测控手段，对卫星的系统安全至关重要，也是卫星的安全模式。表6 所示为针对卫星同步轨道工作阶段开展故障分析的结果。

表6 控制过程C5 同步轨道阶段的故障分析结果Table 6 Fault analysis results of control process C5 at synchronous orbit stage

结合上述分析，根据潜在的系统故障形式，可以从对控制过程施加约束条件的角度形成初步的控制系统可靠性设计需求，如表7 所示。

表7 控制系统可靠性设计需求Table 7 Reliability design requirements of control system

3.4 分析故障场景并细化系统设计约束

对梳理出的系统故障进一步开展故障原因与发生场景分析，从控制与反馈关系中审查潜在的控制缺陷如何发生，并形成细化的可靠性设计约束。根据STAMP，控制缺陷有可能源于控制器、传感器或执行器的硬件故障，也可能源于交互过程中缺少必要的约束导致控制过程没有被充分执行。

根据图4 所示的典型控制与反馈回路故障原因，结合图5 对日定向模式控制回路，以故障F4“卫星无法达到对日定向姿态”的潜在故障原因与发生场景为例展开分析，得出以下故障发生场景：

1）星上自主控制器功能失效；

2）执行机构功能失效；

3）姿态控制结果超差；

4）敏感器采集信息功能失效。

经汇总与详细分析，可以得到故障原因，并转换形成对设计中关键功能的设计约束和改进方向，如表8 所示。

表8 故障原因与设计约束Table 8 Fault causes and design constraints

3.5 小结

本案例运用STAMP 分析方法，从控制逻辑角度建立了通信卫星系统的顶层控制架构，自上至下分析故障原因，提出控制需求和设计约束，既保证了产品的可靠性又考虑到不同层级间的故障传播条件，通过顶层设计阻断了系统间的故障传播。以系统可靠性设计约束实现了目标条件、行动条件、可观察条件和模型条件之间的相互契合。

4 结束语

本文针对通信卫星系统，基于STAMP 分析方法，在方案设计阶段即结合GEO 空间环境开展故障场景分析，对系统需求进行梳理，在系统设计早期阶段得到系统潜在故障清单并识别出系统的薄弱环节和故障原因，汇总出较为详细的设计约束，从而有针对性地制定可靠性和安全性保证措施。

STAMP 与传统以事件链模型为基础的故障分析方法有着显著区别，从以生产过程的质量控制提高卫星固有可靠性转变为在早期的系统设计过程中考虑空间环境因素以提高卫星的固有可靠性。将卫星设计定型后的故障预案和快速处置措施设计工作前移，重点放在系统设计前期。通过系统设计控制单机故障传播速度与系统间的耦合故障，降低突发性空间环境因素对系统的影响。并根据故障发生场景形成系统设计约束，提高通信卫星平台的自主运行能力，降低运营成本。

结合对复杂系统故障机理的深入分析与理解，探索系统设计初期的故障分析理论和方法，对系统集成化程度高、软件密集度大、平台设计迭代快的新一代通信卫星系统的可靠性及健壮性设计具有重要意义。