(北京空間飛行器總體設(shè)計部，北京 100094)

0 引言

目前航天器普遍存在長壽命設(shè)計要求，除了硬件冗余、功能冗余、空間環(huán)境防護等設(shè)計外，在軌自主健康管理及控制、故障診斷技術(shù)是航天器穩(wěn)定且長壽命運行的重要因素，是確保航天器故障情況下不失效、可修復(fù)、提高航天器使用效能的重要手段。

航天器自主健康管理是指航天器能夠?qū)ψ陨頎顟B(tài)進行監(jiān)控和感應(yīng)，對出現(xiàn)的故障能夠自主進行檢測、隔離和恢復(fù)[1]。有效、及時、準確地執(zhí)行在軌自主健康管理是確保航天器在軌安全穩(wěn)定運行的有力保障。航天器特定的工作環(huán)境決定了航天器自身健康的重要性。傳統(tǒng)的地面干預(yù)型航天器健康管理主要依靠地面測控站，通過人工判讀大量遙測信息以獲取航天器運行狀態(tài)進行管理。航天器數(shù)據(jù)量大、數(shù)據(jù)類型多、變化復(fù)雜，地面操作人員需全面了解航天器故障預(yù)案與故障處置方式，航天器異常診斷、確定處理措施、實施操作、觀察效果、故障排除等一系列動作常需多軌完成，健康管理效率低，時效性差，且在執(zhí)行處置策略時極易出現(xiàn)空間鏈路不安全、人為操作失誤等問題，降低了航天器的可靠性和安全性設(shè)計系數(shù)。而對于航天器在軌運行期間的一些不威脅整星安全的輕度故障，仍需要地面干預(yù)恢復(fù)，影響了用戶使用滿意度，違背了用戶對航天器“好用性”、“易用性”的要求。 特別對于低軌道運行的航天器及遠距離的深空探測器，航天器處于長時間不可見弧段，不具備器上自主健康管理，在故障發(fā)生時及時進行自主安全處置，將會使故障進一步擴散，造成不可挽回的重大損失。

隨著我國航天技術(shù)的快速發(fā)展，航天器的在軌任務(wù)越來越復(fù)雜，多數(shù)航天器已形成初步的在軌自主管理的概念，航天器自主健康管理技術(shù)已逐漸提升為系統(tǒng)級關(guān)鍵項目。國內(nèi)現(xiàn)有航天器的自主管理主要采用安全性導(dǎo)向性設(shè)計，例如常見的自主能源管理、自主熱控、測控組件管理等。然而，不同航天器間工作任務(wù)差別迥異，使用方式千差萬別，有限的在軌數(shù)據(jù)量和多學科知識融合技術(shù)人才的不足，使故障模型的建立變得異常困難，嚴重制約了航天器自主健康管理技術(shù)的發(fā)展速度，無法形成一套標準化解決方案，通用化水平低。型號的差異性需求與航天器健康管理項目的指數(shù)級增長，給航天器的存儲能力、處理能力都提出了更高的要求，為系統(tǒng)設(shè)計和測試帶來了更大的挑戰(zhàn)。

針對上述存在的問題，本文提出了一種多維動態(tài)可配置的航天器自主健康管理系統(tǒng)設(shè)計與實現(xiàn)方法，將已有的大量的人工管理方法和策略轉(zhuǎn)換為故障模型，植入航天器形成支持動態(tài)配置的規(guī)則庫，以實滿足日益增多的航天器自主健康管理需求，實現(xiàn)自主健康管理功能設(shè)計的快速迭代與不同航天器的定制化服務(wù)，提高航天器在軌運行的故障監(jiān)測與處置能力，確保航天器業(yè)務(wù)的連續(xù)。本方案經(jīng)過實際工程項目整器級測試驗證，可作為其他工程項目設(shè)計參考。

1 系統(tǒng)設(shè)計

1.1 基本原理

航天器自主健康管理，需實現(xiàn)故障的識別、診斷與處置?；谀壳皣鴥?nèi)普遍應(yīng)用的安全性導(dǎo)向性設(shè)計進行設(shè)計，涵蓋故障識別方式、診斷策略、故障處置3個方面。

故障的識別，是指找出與該故障最有關(guān)聯(lián)的觀測變量。在航天器系統(tǒng)中，最能夠直觀反應(yīng)狀態(tài)的就是遙測。遙測是航天器健康狀態(tài)的直接映射反應(yīng)源，利用數(shù)據(jù)系統(tǒng)生成的大量遙測數(shù)據(jù)實行自主健康管理，能夠保證航天器健康狀態(tài)輸入條件的客觀、完備、有效。本系統(tǒng)故障識別則基于遙測數(shù)據(jù)實現(xiàn)，同時遙測數(shù)據(jù)也作為故障模型的建模依據(jù)。

故障診斷過程是確定故障的類型、故障的量級、故障發(fā)生的位置和時間的過程。其策略的建立，即是故障模型的建立。針對航天器系統(tǒng)安全性導(dǎo)向性設(shè)計,將故障模型的建立分成對整星各分系統(tǒng)安全狀態(tài)信息的收集，根據(jù)預(yù)設(shè)的控制策略對影響整星安全的關(guān)鍵設(shè)備進行控制管理，保證整星的安全。具體方法是：對某些重點遙測參數(shù)設(shè)計安全門限，軟件對通過采集回來的遙測參數(shù)進行分析，與相應(yīng)門限值進行比較，若超出門限限制，則認為故障發(fā)生。

完成故障識別與診斷后，可通過自主執(zhí)行預(yù)定的安全指令序列進行故障恢復(fù)，即完成故障處置。

1.2 系統(tǒng)架構(gòu)

航天器自主健康管理的工作流程包括數(shù)據(jù)集成、故障診斷與恢復(fù)，健康狀態(tài)生成與下傳三部分，如圖1所示。

圖1 航天器自主健康管理工作流程圖

以往，星上不能自主識別、處理更多的故障，是由于不能及時獲取足以支撐進行故障定位和處理的足夠的有效信息。數(shù)據(jù)集成的輸入即為原始采集遙測，該環(huán)節(jié)采用數(shù)據(jù)的多維動態(tài)可配置的方式，使設(shè)計出的通用參數(shù)匹配構(gòu)件能夠滿足不同航天器的需求。難點在于參數(shù)匹配模型的抽象與建立。模型建立的過程需要多判據(jù)間形成可擴展的擬合關(guān)系，關(guān)鍵遙測采用備份設(shè)計，判決異常時經(jīng)過擬合過程確保數(shù)據(jù)的有效性。

依據(jù)健康遙測自主判讀結(jié)果進行故障的識別、診斷，對明確處置措施、且處置措施無風險的故障進行自主處理，并形成對應(yīng)的事件報告和異常計數(shù)遙測，結(jié)合健康狀態(tài)生成與下傳模塊完成遙測的下傳。該過程的難點在于選用合適的方法完成故障的識別。

2 系統(tǒng)實現(xiàn)

航天器自主健康管理的核心是對自身健康狀態(tài)進行監(jiān)控和判讀，自主完成故障識別，并采取隔離、恢復(fù)等處置措施[2]。根據(jù)航天器自主健康管理的核心任務(wù)，將整個系統(tǒng)設(shè)計劃分為4大模塊，各模塊組成見圖2。原始采集數(shù)據(jù)通過健康管理規(guī)則庫生成健康狀態(tài)字，將由多通道采集數(shù)據(jù)通過數(shù)據(jù)擬合器綜合生成健康狀態(tài)字，能夠保證數(shù)據(jù)源的可信性和有效性；由故障診斷與處置模塊進行健康狀態(tài)判決，對故障狀態(tài)執(zhí)行事件的記錄、故障數(shù)據(jù)的記錄及采取恢復(fù)措施；最后通過健康數(shù)據(jù)收集與下傳模塊匯總健康數(shù)據(jù)，將事件記錄、故障數(shù)據(jù)和健康狀態(tài)信息下傳。

圖2 自主健康管理系統(tǒng)設(shè)計模塊構(gòu)成

1)構(gòu)建健康管理規(guī)則庫，用鏈入碼串聯(lián)數(shù)據(jù)流，靈活設(shè)置健康檢測規(guī)則。

典型的監(jiān)視系統(tǒng)狀態(tài)的方法有兩種，分別是極限檢查和基于模型的檢測[3]。

極限檢查：一種跟蹤系統(tǒng)關(guān)鍵參數(shù)是否處于正常工作范圍的方法。存在參數(shù)范圍可能隨著系統(tǒng)壽命或不同操作狀況而發(fā)生改變的問題。

基于模型的檢測：它將系統(tǒng)當前狀態(tài)同模型相比對，如果當前行為偏離模型的預(yù)期，則認為系統(tǒng)處于故障狀態(tài)。這種方法受系統(tǒng)模型好壞的制約，當前階段在軌獲得的有效建模數(shù)據(jù)量有限，影響系統(tǒng)模型的構(gòu)建。

針對兩種常用手段的可實現(xiàn)程度，提出并實現(xiàn)一種擴展型極限檢查方法，構(gòu)建健康管理規(guī)則庫，支持靈活修改系統(tǒng)關(guān)鍵參數(shù)范圍與檢測規(guī)則。自主健康管理規(guī)則庫是航天器自主健康管理的依據(jù)，負責引導(dǎo)完成自主健康管理。它的建立過程是將以往人工健康管理手段和管理策略代碼化[4-6]。規(guī)則庫由三部分組成：規(guī)則鏈入模塊、規(guī)則元語、規(guī)則提取器。

(1)規(guī)則鏈入模塊：讀取文本文件中的關(guān)鍵參數(shù)的定量值，將其轉(zhuǎn)化成軟件代碼嵌入系統(tǒng)中。

該模塊涉及關(guān)鍵參數(shù)的選取、閾值關(guān)系和閾值范圍的設(shè)置。建立規(guī)范化的鏈入表格設(shè)計規(guī)則，通過工具軟件生成規(guī)則元語，降低人工開發(fā)引入的錯誤，提高開發(fā)效率和正確率。文本示例如表1、表2所示，表1生成規(guī)則元語，表2定義規(guī)則提取方式，生成規(guī)則提取器。

表1 規(guī)則鏈入文本示例1

表2 規(guī)則鏈入文本示例2

(2)規(guī)則元語：是健康管理規(guī)則庫的基本單元，由規(guī)則鏈入模塊自動生成，具有唯一性。將一條包含關(guān)鍵參數(shù)與正常范圍信息的語句設(shè)定為基礎(chǔ)判斷元語，故障診斷過程中需要依據(jù)的所有規(guī)則都由基礎(chǔ)元語組合生成。為每一條規(guī)則元語自動設(shè)置專屬鏈入碼，便于規(guī)則提取器快速提取。有效規(guī)則元語在使用時，具有特定性，即每一個規(guī)則元語只服務(wù)于一個故障識別模式，多個故障識別模式中出現(xiàn)相同的判決條件時，對應(yīng)的規(guī)則元語擁有不同的專屬鏈入碼。

(3)規(guī)則提取器：通過規(guī)則鏈入模塊，將規(guī)則元語按一定規(guī)則進行組合，建立故障診斷的方案。為了實現(xiàn)航天器自主高效地故障診斷。該模塊實現(xiàn)過程，采用圖形化選擇的方式，避免人為檢入鏈入碼帶來的錯誤，規(guī)避操作風險。

健康管理規(guī)則庫構(gòu)建的過程，以其核心的鏈入碼將數(shù)據(jù)流串聯(lián)，實現(xiàn)高定位，高靈活性的規(guī)則設(shè)置，支持在軌參數(shù)的修改，可修改規(guī)則鏈入文本中的各項內(nèi)容。并能夠通過狀態(tài)下載的方式，支持設(shè)置的校驗。

(4)多維動態(tài)配置庫：基于規(guī)則鏈入模塊、規(guī)則元語、規(guī)則提取器實現(xiàn)。分為兩個操作層級：

針對開發(fā)階段：通過規(guī)則鏈入表格的升級實現(xiàn)。

針對應(yīng)用階段：通過上注指令的方式，修改規(guī)則元語與規(guī)則庫。

達到的效果是，支持故障識別的全更新，能有效提高系統(tǒng)的使用效能。

2)執(zhí)行多通道采集數(shù)據(jù)擬合，實現(xiàn)雙流程的健康數(shù)據(jù)生成，提高數(shù)據(jù)有效性。

航天器的數(shù)據(jù)采集由數(shù)據(jù)采集終端和智能終端聯(lián)合實現(xiàn)。通常由數(shù)據(jù)采集終端完成對硬通道遙測數(shù)據(jù)的采集，由智能終端實現(xiàn)軟通道遙測數(shù)據(jù)的采集，出于安全性考慮，將硬通道采集設(shè)計成雙備份形式，即通過主備兩個通道對同一數(shù)據(jù)源的數(shù)據(jù)進行采集，可規(guī)避在一臺數(shù)據(jù)采集終端出現(xiàn)問題時導(dǎo)致重要數(shù)據(jù)采集數(shù)據(jù)無法獲取的問題[7]。同時，軟遙測與硬通道遙測相結(jié)合的故障判決方式能夠進一步加強故障識別能力。而針對無硬件遙測的狀態(tài)，支持全軟遙測的故障判決。

針對上述特點，根據(jù)不同的數(shù)據(jù)源類型設(shè)計兩種數(shù)據(jù)擬合方案，以提高故障識別的準確度。

方案1：適用于數(shù)據(jù)采集終端采集的硬通道遙測數(shù)據(jù)與智能終端采集的軟通道遙測數(shù)據(jù)有冗余備份關(guān)系的情況，例如電源分系統(tǒng)。由數(shù)據(jù)采集終端的主備硬通道遙測數(shù)據(jù)和由智能終端采集的軟通道遙測數(shù)據(jù)發(fā)送給中央處理單元，在中央處理單元數(shù)據(jù)管理系統(tǒng)中依據(jù)規(guī)則庫中的規(guī)則，分別生成健康狀態(tài)字a、b、c。對健康狀態(tài)字a、b、c進行數(shù)據(jù)擬合，綜合生成健康狀態(tài)字。同時在健康狀態(tài)字變化時刻記錄事件數(shù)據(jù)與故障數(shù)據(jù)信息[8]。冗余備份的遙測設(shè)計能夠?qū)收系陌l(fā)生起到增強識別的作用，在軟遙測異常時，只要硬通道遙測其一發(fā)生異常，則可將識別出異常狀態(tài)。同時，該方案支持故障的加嚴判決，即也可設(shè)定必須a、b、c三者均為異常特征時，才做為故障。數(shù)據(jù)擬合方式如圖3所示，任一數(shù)據(jù)擬合器有3個數(shù)據(jù)源。

圖3 健康數(shù)據(jù)擬合-方案1

方案2：適用于數(shù)據(jù)采集終端采集的硬通道遙測數(shù)據(jù)與智能終端采集的軟通道遙測數(shù)據(jù)沒有冗余備份關(guān)系的情況。由數(shù)據(jù)采集終端的主備硬通道遙測數(shù)據(jù)分別生成健康狀態(tài)字a、b，由軟遙測通道生成健康狀態(tài)字c。ac，bc，ab，cc，通過abc三種數(shù)據(jù)源兩兩組合的方式，通過數(shù)據(jù)擬合器生成健康狀態(tài)字。特別的是，該方案中允許cc作為數(shù)據(jù)擬合器的數(shù)據(jù)源，由全軟遙測執(zhí)行故障識別操作。同時，在健康狀態(tài)字變化時，記錄事件信息及故障信息[9]。由智能終端采集的軟通道遙測數(shù)據(jù)通過數(shù)據(jù)擬合器生成分系統(tǒng)/單機健康狀態(tài)字，并在健康狀態(tài)字變化時刻記錄事件數(shù)據(jù)與故障數(shù)據(jù)信息，如圖4所示。任一擬合器有兩個輸入源。

圖4 健康數(shù)據(jù)擬合-方案2

綜上，兩種方案的選用策略，與硬件設(shè)計相關(guān)，原則為：重要安全相關(guān)遙測設(shè)計硬通道備份遙測，執(zhí)行故障識別時，選用方案1；無硬通道備份的遙測，執(zhí)行故障識別時選用方案2；無硬通道遙測的終端故障狀態(tài)，執(zhí)行故障識別時選用方案2。

為每一個故障識別條目設(shè)定一個健康狀態(tài)字，默認為健康狀態(tài)。在選用數(shù)據(jù)執(zhí)行故障識別判決時，應(yīng)關(guān)注數(shù)據(jù)有效性，數(shù)據(jù)的有效性應(yīng)作為判決的前提。設(shè)置異常計時器，在滿足異常條件時計時加1，不滿足條件時及時清0。在異常計時器達到異常門限后，對應(yīng)健康狀態(tài)字變?yōu)楫惓?，發(fā)生健康狀態(tài)跳變，生成故障事件，保存故障前后一段時間的相關(guān)數(shù)據(jù)，以備后用。

3)故障診斷與處置模塊，執(zhí)行自主健康分級分類管理，提高安全性設(shè)計。

該模塊輸入為健康狀態(tài)字，輸出為故障事件、健康狀態(tài)、故障數(shù)據(jù)。以生成的健康數(shù)據(jù)為基礎(chǔ)，采用分級管理分類處理的原則執(zhí)行自主故障處置。

分級管理原則：設(shè)備的自檢、健康遙測數(shù)據(jù)的自主判讀、故障的診斷與處置都遵循分級管理的原則，分為單機級、分系統(tǒng)級和系統(tǒng)級分別管理。不同層級的故障處理機制，使每一層級均對下一級的數(shù)據(jù)進行預(yù)處理，剔除或壓縮無效數(shù)據(jù)，提取有效數(shù)據(jù)并生成更有效信息(健康狀態(tài)數(shù)據(jù))向上傳遞，改變了現(xiàn)有航天器遙測數(shù)據(jù)從源到地面的狀態(tài)，數(shù)據(jù)有效性大大提升。為了防止航天器自主故障處理帶來風險，設(shè)置自主故障處理功能使能禁止開關(guān)，只有定位清晰、處置措施無風險的故障，才使能由航天器自主處理。

分類處理原則：將航天器上設(shè)備分為長期工作設(shè)備、短期工作設(shè)備兩類，不同類別設(shè)備采取不同手段的故障處置。對于長期工作設(shè)備，檢測并記錄其健康狀態(tài)后，對有時效性要求的故障及時進行航天器自主處理措施。對于短期工作設(shè)備，故障后僅自主進行重新加斷電操作，不進行自主切機動作。該手段有效確保了航天器運行的安全性[10]。

4)健康數(shù)據(jù)收集與下傳模塊，接收故障結(jié)果相關(guān)信息，包括故障事件、健康狀態(tài)、故障數(shù)據(jù)，完成相關(guān)數(shù)據(jù)的組織與下傳。

作為健康管理系統(tǒng)全數(shù)據(jù)流的最后一道關(guān)口，健康數(shù)據(jù)收集與下傳模塊主要執(zhí)行兩方面工作：數(shù)據(jù)收集、數(shù)據(jù)下傳。

對于數(shù)據(jù)收集，應(yīng)區(qū)分數(shù)據(jù)類別，不同類別數(shù)據(jù)形成專用數(shù)據(jù)包，設(shè)計健康事件包、健康狀態(tài)包、故障數(shù)據(jù)記錄包。健康事件包為突發(fā)包，在生成時可立即下傳，確保故障狀態(tài)在第一時間下傳給地面。同時應(yīng)進行事件個數(shù)累加操作，并作為遙測下傳，作為輔助故障排查的依據(jù)。健康狀態(tài)包，能夠?qū)崟r反應(yīng)健康狀態(tài)即可，按一定周期進行數(shù)據(jù)的存儲，在執(zhí)行故障排查時可作為輔助的依據(jù)。故障數(shù)據(jù)記錄包，將故障發(fā)生前后一定時長范圍內(nèi)的數(shù)據(jù)記錄下來，在發(fā)生故障時，可通過發(fā)指令的方式將該包下傳，輔助排查。

數(shù)據(jù)的下傳，針對故障事件、健康狀態(tài)、故障數(shù)據(jù)三類數(shù)據(jù)采用不同策略，已在上文中簡述，分別為：突發(fā)、存儲回放、指令觸發(fā)的方式。

3 結(jié)束語

該設(shè)計方案已在多個航天器得到整器級測試驗證，對恢復(fù)航天器正常工作狀態(tài)起到了關(guān)鍵性作用。在工程實用性上具有明顯優(yōu)勢，提煉總結(jié)10余項功能和算法，形成通用化構(gòu)件，多維動態(tài)可配置的設(shè)計,使軟件代碼復(fù)用率達90%以上，研制效率有效提高3倍,型號間通用化程度有效提升。該設(shè)計方案對提高航天器自主健康管理的具有較高的通用性設(shè)計意義。

后續(xù)需深入研究基于大數(shù)據(jù)分析的航天器故障診斷、預(yù)測、健康狀態(tài)評估技術(shù)，為航天器任務(wù)管理和運行維護提供更高水平的系統(tǒng)健康狀態(tài)分析能力。