龙吟 黎峰一 黄才 孙斌 张克楠 丁凯 刘宁波
(1 北京空间飞行器总体设计部,北京 100094)(2 航天恒星科技有限公司,北京 100095)
测控与通信分系统作为航天器的关键平台分系统,负责配合地面测控通信系统完成航天器的跟踪测轨和数据传输任务,航天器的遥控指令及数据注入接收任务,以及遥测数据的采集、处理及传输任务。对于载人航天器,还负责图像、话音的采集处理任务和配合目标飞行器完成交会对接相对测量及通信任务。针对航天器在轨长期自主飞行的需求,测控与通信分系统有必要实现自主健康管理,保证飞行任务的顺利执行。
测控与通信分系统的自主健康管理方法包含物理层、数据链路层和应用层3个层面。物理层用于提升分系统的空间环境适应能力;数据链路层实现测控链路的自主维护功能;应用层实现较为复杂的自主健康管理任务以适应各种特殊工况。文献[1-3]中提出了一种面向航天的高可靠FPGA设计架构,通过采用三模冗余和回读刷新的设计提升静态随机存取存储器(SRAM)FPGA在轨工作的可靠性。文献[4-6]中提出了基于“看门狗”的设计方法,支持在轨单粒子翻转导致程序异常的自主检测及恢复。上述方法仅从物理层面开展自主健康管理设计,提升分系统的空间环境适应性,缺乏数据链路层和应用层的设计,自主健康管理功能具有一定的局限性。文献[7]中提出一种基于中央终端装置(CTU)的专项健康管理和基于数据处理单元(DPU)的自主健康管理系统,分别通过双远置终端单元(DRTU)硬通道和远程终端(RT)软通道采集和存储用户的遥测参数,并进行分析和处理,实现自主健康管理。文献[8]中提出一种以数管分系统的系统管理单元(SMU)为核心的自主健康管理系统,分别通过硬通道和软通道实现用户遥测参数的采集、存储、分析和处理,最终实现自主健康管理。文献[9]中提出了一种基于包应用标准和航天器接口业务标准的自主健康管理方法,设计了分层的通用软件架构,该方法依赖于卫星管理单元(SMU)和卫星数据接口单元(SDIU),采用专用设备进行集中式管理。上述方法均采用集中式自主健康管理的方法,基本实现了重大安全事件的自主处置,具有通用化、拓展性强的优点,但是对系统架构提出较高要求。①负责自主健康管理的设备是系统的核心和单点,方法对核心设备的计算、存储资源和设备自身可靠性的要求较高,至少需要进行健康管理设备本身及对外接口的双备份或三备份的设计,增加设备本身及系统的复杂度,降低系统可靠性。②方法要求所有被监视的设备具备1553B总线接口并且遵循健康维护协议,对分系统设备及整器总线资源要求较高,不适用于所有航天器。③方法缺少分层设计,自主健康管理覆盖范围有所局限。文献[10]中提出一种在轨自主健康管理系统的分层体系结构,分别从基础服务层和自主健康管理服务层设计,完成自主健康管理的任务。该方法提出分层设计的思想,但是需要为每个分系统配置一个控制器,实现分系统状态监控,并且需要为整个航天器配置一个核心处理单元(CPU),负责与各个分系统控制器进行交互,增加系统复杂度并降低可靠性。综上,已有的测控与通信分系统的自主健康管理方法,从物理层、通用化、可扩展性层面开展设计并取得了成果,主要适用于资源配置相对较高的航天器及其典型工况。针对通用航天器及其特殊工况,上述方法存在以下不足。①缺乏分层设计,侧重于物理层的自主健康管理,缺乏数据链路层及应用层的设计,自主健康管理范围较少,功能有所局限,缺少链路自主维护,掉电恢复、交会对接和出舱通信等特殊工况的适应能力。②采用集中式1553B总线式设计,虽然具备通用和易扩展的优点,但是也带来系统设计复杂和不具备普适性的缺点。
基于此,本文提出一种分布式的航天器测控与通信分系统自主健康管理方法,分别从物理层、数据链路层和应用层进行设计,实现自主健康管理。
根据航天器长期在轨飞行的各种任务场景和特殊工况,总结出通用航天器的测控与通信分系统要具备以下自主健康管理功能。①正常测控弧段内,测控与通信分系统和地基测控站及中继卫星全程稳定建立链路,分系统的射频接收机如果出现长时间未同步地面上行信号,要具备自主重新建链的功能。②测控与通信分系统要全程通过全球导航卫星系统完成实时正确的位置及速度解算,如果分系统的导航接收机长时间未完成定位解算时,要具备自动重启定位解算的功能。③分系统要适应整器临时掉电的异常工况,支持整器掉电恢复后通信链路的自主恢复。另外,针对载人航天器,还要增加以下2项功能,即:①支持交会对接过程中星间链路发射功率随相对距离的自适应切换,这样既节省功耗,又提升链路可靠性;②支持出舱通信过程中的通信链路的发射功率自适应调整,这样既节省功耗,又消除远近效应的影响。
针对以上分析,自主健康管理方法应具备以下性能。①采用分布式设计,分系统各类关键单机均具备自主健康管理功能,彼此之间的健康管理没有耦合,无专用自主健康管理设备,无系统单点,提升系统可靠性。②具备较强的空间环境适应性,消除单粒子翻转对分系统功能的影响。③采用分层式设计,分别从物理层、数据链路层和应用层开展设计,从不同层面提升分系统的自主健康管理功能,增强系统可靠性。
本文提出一种基于分层结构的分布式航天器测控与通信分系统自主健康管理方法(见图1),分别从物理层、数据链路层和应用层进行设计,实现自主健康管理。
图1 自主健康管理方法分层设计Fig.1 Layered design of autonomous health management method
物理层分别从“看门狗”和回读重配置2个方面开展设计,使具备软件配置项的设备提升抵抗单粒子翻转的性能,提升分系统的空间环境适应性。数据链路层实现基于射频链路的自主监测设计,负责正常测控弧段内的射频链路的实时监测,并针对单粒子翻转导致的链路失锁进行实时处置,支持数据链路层的射频链路自主维护,通过实时监视和维护射频链路状态,具备解决特殊工况下回读刷新等物理层设计无法维护射频链路的问题,进一步提升了自主健康管理的覆盖范围和系统可靠性。应用层分别完成导航接收机自主健康监测、航天器掉电恢复后自主建链、不同任务场景下发射机自动功率控制的设计,分别实现导航接收机的定位解算功能实时监视和重启,航天器异常掉电恢复后的射频链路快速恢复,交会对接过程中射频链路发射功率根据相对距离的自适应调整,以及出舱通信过程中为消除远近效应的出舱服发射功率自适应调整。相对之前的方法,本文方法能提升多任务场景的自主健康维护能力,以及整器异常掉电再恢复的特殊工况的适应能力,进一步提升自主健康管理的覆盖范围和可靠性。本文方法采用分布式设计,所有的自主健康管理均在分系统内部完成,对分系统设备没有1553B总线接口及通信协议的要求,设备之间没有耦合性,能简化系统设计和提升系统可靠性。
物理层设计采用已有的设计方法,即三模冗余、“看门狗”和回读重配置。
针对SRAM型FPGA存在加载程序偶发失败风险的问题,通过“看门狗”设计保证SRAM型FPGA上电加载的可靠性。SRAM型FPGA加电配置成功后开始运行程序,从输入/输出接口引出一个周期信号,利用外部硬件“看门狗”来实现FPGA的配置监控。当FPGA配置失败时,由于程序没有运行,“看门狗”芯片没有及时获得“喂狗”信号,周期性地发出重配置信号提供给FPGA,直到FPGA配置成功。
针对SRAM型FPGA抗辐照性能较差,在空间环境中容易发生单粒子翻转事件特性。通过在设备内部增加一块反熔丝型FPGA实现对SRAM型FPGA的回读重配置。对SRAM型FPGA进行回读比对,即读取可编程只读存储器(PROM)中的配置数据,同时向SRAM型FPGA发送回读指令读取回读数据,将这两部分数据进行一一比对,如果比对出错,则重加载SRAM型FPGA。
图2为回读重配置流程。
图2 回读重配置流程Fig.2 Flow of read back reconfiguration
为提升链路的可靠性,测控与通信分系统的射频接收机通常具备卷积、里德-所罗门(RS)、低密度奇偶校验码(LDPC)等译码功能,这些功能大多采用基于FPGA的知识产权核(IPC)设计实现,并且部分IPC占用了FPGA的块随机存储器(Block RAM)资源。虽然SRAM型FPGA配置了反熔丝FPGA实现程序加载和配置区动态刷新,从一定程度上避免了单粒子翻转对设备的影响。Block RAM模块在SRAM型FPGA中运行时实际使用了配置存储区的RAM位,当对配置存储区的RAM位重配置时,会干扰这些模块的正常工作,所以配置区动态刷新处理回避了Block RAM模块占用的资源。配置区动态刷新只对SRAM型FPGA的查找表(非随机存取存储器(RAM)占用)及布线资源对应的配置数据进行处理。另外,由于FPGA的资源有限和降额设计要求,只能对FPGA部分关键参数的Block RAM资源进行三模冗余设计,无法对占据资源较多的IPC进行三模冗余设计。即使采用大容量资源的FPGA对IPC进行三模冗余,单粒子翻转累加效应仍然有概率导致IPC功能失效,无法从根本上消除单粒子翻转的影响。目前已有的针对射频链路的自主健康管理方法,是从三模冗余、“看门狗”设计和回读重配置的物理层开展设计,没有考虑占用Block RAM资源的IPC被单粒子打翻的风险及应对措施,因此,射频接收机存在由于FPGA内部的IPC被单粒子翻转导致的设备异常工作的风险。
为了消除上述风险,本文设计一种基于射频链路自主健康监测和管理的方法,在数据链路层上实时监视射频链路同步情况和处置导致链路异常的突发事件。通过在实现复杂射频链路通信功能的SRAM型FPGA和反熔丝型的FPGA的外围配置单片机,并通过外围单片机间隔1h对射频接收机的锁定状态(包括载波锁定标志、遥控伪码锁定标志、位同步状态标志及卷积编码同步状态标志,正常同步状态为1,失步为0)进行持续1min监测,1min内采集120次(500ms采集1次),出现不小于90次4个遥测状态不全为1,单片机给配置及动态刷新FPGA发送“基带逻辑配置FPGA复位指令”实现对调制解调FPGA的全局配置(即程序重载),见图3。如果在轨单粒子翻转造成前向信号处理模块异常,并进一步导致链路失锁时,实现产品可自行恢复正常的功能,提升产品的在轨抗单粒子能力。
图3 射频链路自主健康管理流程Fig.3 Flow of autonomous health management for RF link
2.3.1 导航接收机自主健康监测和管理
导航接收机作为关键单机,负责实现航天器的跟踪、测轨、绝对定位和相对定位,为保证导航接收机的长期在轨健康工作,需要对其工作状态进行实时监视,并对异常工作状态进行识别和自主处置。因此,除了依靠物理层的软件“看门狗”设计和数据链路层的射频链路自主健康监测设计,还需要对应用层的关键功能及性能指标进行识别和处置。
导航接收机组成及信息流见图4,包含2个数字信号处理(DSP)软件配置项(导航信息处理软件和接口软件),以及3个FPGA软件配置项(导航信息处理相关器FPGA软件、导航信息处理控制器FPGA软件和接口FPGA软件)。导航信息处理软件的主要功能是接收射频前端提供的中频信号,完成GPS L1和北斗B1频点的信号解调/解扩处理,获得导航电文和原始观测数据,解算出航天器的绝对位置、速度、时间,并将绝对定位结果发送到接口板中。接口软件的主要功能是负责与接口FPGA通信交互。导航信息处理板相关器FPGA软件主要完成北斗、GPS导航信号的数字下变频、去伪码和相关累加功能,同时完成航天器快速捕获功能。导航信息处理控制器FPGA软件主要完成导航信息处理板相关器FPGA程序的加载、回读、更新,以及时钟频率合成和时间同步的功能。接口FPGA软件主要完成与对外各用户的接口通信,以及对内与导航信息处理板通信和片上其他逻辑等工作。导航接收机自主健康管理流程见图5。
注:GNC为制导、导航与控制。图4 导航接收机组成及信息流Fig.4 Navigation receiver composition and information
图5 导航接收机自主健康管理流程Fig.5 Flow of autonomous health management for navigation receiver
针对中低轨航天器,全球导航星座的覆盖率为100%,导航接收机理论上可以完成全程定位解算。目前,已有的自主健康管理方法缺少对导航接收机的自主健康管理设计的相关内容。基于此,本文设计导航接收机的非定位时间作为应用层的关键指标判据,监视及处置措施如下。①如果持续10min不定位,则复位FPGA,重配所有硬件设备(包含相关器FPGA),重新设置通道,清空所有星历,重置本地时钟(时间间隔计数器(TIC)不归零);②若持续20min不定位(复位FPGA后持续10min不定位),则进行DSP软件系统初始化,重配所有硬件设备(包含相关器FPGA),重新设置通道,重新初始化系统变量(包含清空所有星历,重置本地时钟(TIC不归零)等;③连续非定位时间超过30min,进行DSP软件复位,导航信息处理软件完成程序重新加载,TIC归零。
2.3.2 航天器掉电恢复后自主建链方法
在航天器正常在轨飞行过程中,其天地通信链路包括统一S频段(USB)应答机链路、S频段数传链路2种直接对地链路,以及窄波束中继链路、宽波束中继链路2种天基链路。其中,USB应答机链路通过USB应答机、USB天线网络和安装在航天器一象限和三象限的S频段接收及发送天线与地面建立双向通信链路。S频段数传链路通过S频段数传机、数传天线网络和安装在航天器一象限和三象限的数传天线与地面建立返向通信链路。宽波束中继链路通过宽波束中继S终端、射频收发组件和分布在航天器一象限和三象限的宽波束S频段接收及发射天线完成与中继卫星建立双向通信链路。目前已有的航天器自主健康管理方法缺少对航天器异常掉电再恢复的特殊工况设计,存在该工况下航天器无法自主恢复链路的风险。为保证航天器一次母线掉电恢复后测控链路的正常恢复,本文采用以下设计方法,过程见图6。
图6 航天器掉电恢复后自主建链过程Fig.6 Process of autonomous chain building after spacecraft power outage recovery
(1)USB应答机、S频段数传机、宽波束中继S终端、射频收发组件的一次电源,采用直接挂在一次母线或通过继电器挂在一次母线,并且上述设备入轨后保持长期开机状态。在航天器异常掉电恢复后,上述设备能够立即恢复开机工作状态。
(2)USB天线网络、数传天线网络均设计为一象限和三象限同时接通的状态,或者通过继电器设置为一象限和三象限同时接通的状态。在航天器异常掉电恢复后,天线网络能保证一象限和三象限天线立即同时接通。
(3)S频段接收及发射天线、数传天线、宽波束S频段接收及发射天线,均设计为准全向天线,保证在一象限和三象限天线接通时刻无论航天器处于何种姿态均可以和地面或中继卫星快速建立链路。
窄波束中继链路不同于前面3种低带宽的宽波束链路,是一种基于Ka频段和S频段的依靠伺服中继天线或者相控阵天线对中继卫星精确跟踪的高带宽窄波束链路。窄波束中继链路的正常建立,依赖于航天器和中继卫星之间的精确指向,而航天器对中继卫星的精确指向依赖于航天器的自身位置及姿态信息、中继卫星的位置信息和伺服跟踪算法。在航天器跟踪过程中发生异常掉电恢复事件,航天器失去对中继卫星的精确指向,导致窄波束中继链路失锁。为了让窄波束中继链路适应航天器异常掉电后恢复的特殊工况,本文采用以下设计方法。
(1)窄波束中继终端通过导航接收机提供的航天器位置信息和GNC分系统提供的航天器姿态信息,确认航天器自身的伺服中继天线或者相控阵天线的原始指向;通过地面上注的中继卫星轨道六根数确定中继卫星的位置信息;根据伺服中继天线或者相控阵天线和中继卫星之间的相对位置关系,窄波束中继终端驱动伺服中继天线或者相控阵天线精确指向中继卫星,建立窄波束中继前向、返向链路。
(2)航天器异常掉电恢复后,窄波束中继终端首先获取导航接收机提供的位置信息和GNC分系统提供的姿态信息,确定伺服中继天线或者相控阵天线的初始位置。
(3)窄波束中继终端依据导航接收机提供的位置信息,以及参与飞行任务中继卫星的先验定点位置信息,确定航天器当前窄波束跟踪弧段所在的中继卫星。
(4)窄波束中继终端根据自身位置信息和姿态信息,以及所确定的中继卫星的先验位置信息,对中继卫星进行跟踪尝试。由于中继卫星的位置信息非实时测量,为先验信息,精度不足,可能无法导引伺服中继天线或者相控阵天线精确指向中继卫星。但是,伺服中继天线兼容Ka频段和S频段,S频段波束相对较宽,容易捕获跟踪,待窄波束S链路建立后,通过该链路上注中继卫星的精确实测轨道六根数可以进一步实现窄波束Ka链路的恢复。另外,支持自跟踪的窄波束中继终端有较大概率通过先验信息捕获到中继卫星发射的信标信号,然后进一步根据信标信号的功率强度进行自跟踪,最终建立窄波束中继Ka前向、返向链路。
2.3.3 发射机自动功率控制方法
测控与通信分系统在交会对接的任务场景下,存在与目标飞行器交互通信的需求;在出舱通信的任务场景中,存在与进行出舱活动的航天员通信的需求。交会对接和出舱通信任务场景均涉及到航天器与目标飞行器或者出舱活动航天员的相对位置变化,通信双方的发射功率需要随着相对距离的变化而自适应调整,从而提高交会对接过程中通信链路的可靠性和安全性[11],以及降低出舱通信过程中多名航天员相对航天器出舱通信的远近效应[12]。目前已有的方法缺少关于发射机的自动功率控制设计,为此,本文提出一种发射机自动功率控制方法,满足含有交会对接和出舱通信任务应用场景的航天器自主健康管理需求。
在交会对接过程中,航天器和目标飞行器通过各自配置的空空通信机及空空通信天线建立支持交会对接任务的星间链路。测控与通信分系统利用接收目标飞行器通过星间链路传送的绝对定位信息,通过导航接收机完成相对定位解算,计算出实时的相对距离。空空通信机根据相对距离自主完成发射功率的换挡。
在出舱通信过程中,航天器通过出舱通信处理器及出舱通信天线与舱外航天员完成双向通信。当参加出舱活动的航天员超过1人时,存在多名航天员同时与出舱通信处理器通信的需求。由于不同航天员和航天器的相对距离不同,航天员到航天器的通信链路存在远近效应[12],最终导致相对距离远的航天员无法与航天器建立正常通信链路。为了消除远近效应,出舱通信链路采用码分多址(CDMA)的通信体制结合自动功率控制算法,不同航天员采用不同的扩频码[13]。规定出舱通信处理器到航天员的通信链路为前向链路,航天员到出舱通信处理器的通信链路为返向链路。首先,通过开环方式,根据前向链路的接收功率,确定航天员的初始发射功率;然后,将返向链路的实际信噪比和理论信噪比的差值作为闭环控制的输入,动态调节航天员的发射功率,保证不同航天员的发射信号到达出舱通信处理器的入口电平一致,从而消除远近效应。
交会对接和出舱通信的自动功率控制方法流程见图7。
图7 自动功率控制方法流程Fig.7 Flow of automatic power control method
物理层的“看门狗”设计和回读重配置为常规设计,已经多次在轨飞行验证,为成熟技术。应用层的导航接收机自主健康监测和管理设计,航天器掉电恢复后的自主建链设计,已经应用到神舟十二号及后续载人飞船,并经过单机、分系统和整船测试验证,实际飞行任务中未出现长期非定位的情况和整船异常掉电恢复的情况。其余设计具体验证情况如下。
宽波束中继S终端增加自主健康监测和管理功能,更改后的宽波束S频段遥测总线接口软件已在神舟十二号载人飞船宽波束中继S终端电性件上进行了更改验证,验证结果见表1。
表1 射频链路自主健康管理验证结果Table 1 Verification results of autonomous health management for RF link
神舟十二号载人飞船在轨完成与空间站核心舱的前向交会对接,空空通信采用扩频模式,星间链路正常建立,双向信息流正常运行。交会对接期间,神舟十二号载人飞船空空通信机加电,建立与核心舱的空空通信链路,空空加电后至对接完成锁紧,期间接收信号强度指示如表2所示(北京时间2021年6月17日)[11]。神舟十二号载人飞船与核心舱之间星间链路的返向链路建立的基线距离为143km,优于通信距离为77km的要求。在扩频模式时,若神舟十二号载人飞船与核心舱相对距离小于300m(质心坐标系相对距离)时,GNC分系统将切换至小功率置为有效,神舟十二号载人飞船和核心舱的工作模式均从扩频大功率切换为扩频小功率,接收信号强度指示值在15:26由4.2V变为3.7V,表示核心舱的空空通信机根据相对距离变化自动切换至小功率。同时,神舟十二号载人飞船空空通信机的发射功率遥测显示,当前工作模式从大功率切换为小功率。
表2 空空通信机接收信号强度指示Table 2 RSSI of air to air communications equipment
在出舱活动80m范围内,距离最远与最近处的信号衰减约为18dB。通过步进调整衰减器的衰减值模拟出舱航天员相对于出舱通信处理器的距离变化[13]。针对采用和不采用功率自动控制2种工作模式,分别进行试验。①设置可调衰减器为0dB,通过功率计测试出舱通信处理器的接收功率值。②按照1dB的步进值增加可调衰减器的衰减值,并且记录每次调整后出舱通信处理器的接收功率值,测试结果见表3。
表3 功率自动控制测试结果Table 3 Test results of automatic power control
经过测试,未采用功率自动控制时,出舱通信处理器接收到的返向信号功率随着链路衰减的变化而变化,波动范围为-80.1~-97.1dBm,存在2名及以上航天员同时出舱活动由于远近效应带来通信链路异常的问题;采用功率自动控制时,出舱通信处理器接收到的返向信号功率始终维持在一个恒定值,约为-80dBm,有效地提高了多人出舱活动时的抗干扰能力,解决了远近效应。
测控与通信分系统的自主健康管理方法是提高当前及未来航天器任务可靠性与安全性,以及降低任务的经济成本和人力成本的重要手段。本文提出的自主健康管理方法,有助于实现航天器测控与通信分系统在轨工作状态的自主监测和异常情况自主处理,并有助于提升整个航天器的可靠性和飞行任务的安全性。本文提出方法分别从分系统自身单机的物理层、数据链路层和应用层进行设计,保障自主健康管理,不依赖集中式专用设备实现,提升了系统可靠性。后续将进一步开展自主健康管理方法的分布式和集中式的融合架构设计,进一步提升自主健康管理方法的通用性和可靠性。