天宮一號目標飛行器GNC分系統(tǒng)容錯策略設計

蔡 彪，林 宇，劉 波

(北京控制工程研究所，北京100190)

天宮一號目標飛行器GNC分系統(tǒng)容錯策略設計

蔡 彪，林 宇，劉 波

(北京控制工程研究所，北京100190)

天宮一號目標飛行器是中國研制的新一代專門用于交會對接的大型載人航天器.為保證其長期在軌安全可靠運行，順利完成與載人飛船的交會對接任務，以及單體飛行和組合體飛行期間的姿態(tài)和軌道控制任務，要求GNC分系統(tǒng)設計充分的容錯策略.對GNC分系統(tǒng)軟硬件平臺進行介紹，對敏感器、執(zhí)行機構以及控制器的軟硬件容錯策略進行詳述.該策略在實際應用中得到驗證，結果表明設計合理，可以有效提高GNC分系統(tǒng)的系統(tǒng)性能和可靠性.

天宮一號目標飛行器;載人飛船;GNC;交會對接;容錯策略

天宮一號目標飛行器(本文以下簡稱為目標飛行器)是中國研制的新一代專門用于交會對接的大型載人航天器，在軌運行壽命可達2年，在軌運行期間將完成與載人飛船的多次交會對接，且支持多名航天員在軌工作和活動.制導、導航與控制(GNC)分系統(tǒng)是目標飛行器的關鍵分系統(tǒng)之一，負責完成該目標飛行器單獨飛行以及與載人飛船對接后組合體飛行的姿態(tài)與軌道控制任務.相比其他無人航天器，其控制過程和控制模式更為復雜、控制精度要求更高、載人安全性要求更高.

為保證目標飛行器長期在軌可靠安全運行，成功完成各階段任務，要求GNC分系統(tǒng)硬件和軟件設計時，必須設計合理、充分的容錯手段和策略，以確保分系統(tǒng)具備對長期在軌可能發(fā)生的故障的處理能力.

從目前國外航天飛行器的容錯技術發(fā)展來看，除了通過設計合理的體系結構實現(xiàn)部組件層面的有效備份或冗余外，隨著高性能處理處理器、實時操作系統(tǒng)以及各類高吞吐能力的系統(tǒng)總線的不斷問世，航天器控制系統(tǒng)的容錯策略更多的是通過星載計算機系統(tǒng)的軟硬件容錯設計來實現(xiàn).

基于目標飛行器的基本配置狀態(tài)，本文提出了GNC分系統(tǒng)的容錯策略設計方案，并得到了實際應用.

1 容錯設計原則

容錯是容忍故障的簡稱.容錯技術的最基本實現(xiàn)方法是設計并合理使用冗余技術，即通過給系統(tǒng)增添或設計一些冗余的硬件或軟件信息來提高系統(tǒng)的可靠性，依靠控制計算機軟件實現(xiàn)系統(tǒng)容錯策略，當系統(tǒng)中一個或多個關鍵部分發(fā)生故障或出錯時，系統(tǒng)能自動檢測與診斷，并采取相應措施，合理利用冗余信息完成系統(tǒng)重組或降級，從而保證系統(tǒng)維持其規(guī)定功能或保持其功能在可接受的范圍內(nèi)[1-2].

目標飛行器GNC分系統(tǒng)以GNC控制器為核心，對各類敏感器完成信息采集和處理，按照控制律進行計算后產(chǎn)生控制指令對執(zhí)行機構進行控制，從而完成閉環(huán)控制.該目標飛行器GNC分系統(tǒng)容錯策略的基本思想是在系統(tǒng)體系結構上精心設計，充分利用外加資源的冗余技術來達到屏蔽故障影響，從而自動地或借助地面遙控手段恢復分系統(tǒng)正常運行或達到分系統(tǒng)安全的目的.

考慮到該目標飛行器將長期在軌自主運行以及在地面測控支持條件下進行交會對接，GNC分系統(tǒng)在容錯策略設計時遵循以下原則:

1)GNC分系統(tǒng)應具備單機或部件級的冗余以及系統(tǒng)級冗余手段;

2)GNC分系統(tǒng)具備不依賴于地面測控手段而自主容錯的能力;

3)地面遙控的優(yōu)先級高于航天器自主容錯，地面可對航天器自主容錯能力進行禁止或使能，確保地面操作的唯一性和有針對性.

2 GNC分系統(tǒng)軟硬件平臺概述

目標飛行器GNC分系統(tǒng)的基本組成框圖見圖1.

圖1 目標飛行器GNC分系統(tǒng)組成框圖

如圖所示，其中紅外地球敏感器、太陽敏感器、星敏感器、慣性敏感器等敏感器以及單框架控制力矩陀螺(CMG)和噴氣執(zhí)行機構均采用冗余備份設計，其處理線路也相應地設計為多通道模式，每個通道包括供電、信息處理和遙測信息等，各通道間相互獨立，互為備份.

GNC分系統(tǒng)的核心部件是主控制器和備控制器，其中主控制器采用雙機冷備份的結構，備控制器在功能上與主控制器任一單機功能相當，在物理上與主控制器隔離.

對于GNC分系統(tǒng)來說，主控制器和備控制器是實現(xiàn)分系統(tǒng)容錯功能的關鍵部件.主控制器與備控制器選用的軟硬件平臺一致，包括TSC695F處理器及實時操作系統(tǒng)，實時操作系統(tǒng)集成了完成控制器管理的系統(tǒng)軟件和完成任務需求的應用軟件.其本身也提供了一些支持容錯的機制.

2.1 控制器體系結構

GNC分系統(tǒng)的控制器包括主控制器和備控制器.其中主控制器采用冷備份雙模冗余結構，備控制采用單模結構，3臺單機(下文簡稱 A、B、C機)在邏輯上構成三機冷備份模式，三機之間的容錯切換則由安裝于主控器中的容錯(FT)板實現(xiàn).A、B、C三機分別獨立供電.控制器結構如圖2所示.

圖2 目標飛行器GNC控制器結構圖

2.2 看門狗

看門狗是為了監(jiān)視控制器的工作狀態(tài)而設計的一種電路，它在容錯計算機中有較廣泛的應用[3-4].

在GNC控制器設計時，主控制器采取了兩級看門狗技術，即處理器看門狗(WDT1)以及FT板看門狗(WDT2).正常情況下，實時操作系統(tǒng)軟件在每個調(diào)度控制周期對看門狗執(zhí)行“清狗”操作，并進行看門狗管理，異常情況下，則通過“不清狗”引發(fā)處理器復位或FT板進行自主切機動作.

2.3 控制器軟件

目標飛行器GNC分系統(tǒng)的控制器軟件包括系統(tǒng)軟件和應用軟件，應用軟件主要完成正常在軌運行的模式控制任務以及遙測任務，系統(tǒng)軟件則負責控制器的任務調(diào)度、狀態(tài)監(jiān)視和系統(tǒng)管理等任務.

GNC分系統(tǒng)的工作模式多達數(shù)十種，為保證長期運行期間發(fā)生故障時分系統(tǒng)的安全性，應用軟件模式控制任務中專門設計了?？?、對日定向等安全模式.停控模式下GNC控制器不向噴氣執(zhí)行機構發(fā)送任何有效指令，同時控制CMG處于角動量保持，確保航天器處于自由漂浮狀態(tài);對日定向模式下，GNC控制器控制航天器本體-Z軸對太陽定向，確保足夠的整器能源，為后續(xù)故障處理提供條件.

控制器系統(tǒng)軟件實時對系統(tǒng)任務調(diào)度和工作狀態(tài)進行監(jiān)視管理，利用TSC695F處理器提供的陷阱機制以及特定的狀態(tài)寄存器對程序執(zhí)行過程中產(chǎn)生的異常進行診斷并做相應的處理，同時負責進行看門狗的管理.

在控制器軟件設計時，為保證可靠性，在RAM區(qū)劃分出3塊獨立的單元，程序運行中的關鍵數(shù)據(jù)或變量可以同時存入RAM的3個數(shù)據(jù)區(qū)中，對RAM區(qū)的數(shù)據(jù)采用三取二表決的取出方法.下文對此3塊獨立單元稱之為容錯三區(qū).

2.4 交會對接及分離模式切換

目標飛行器在軌需與載人飛船完成多次交會對接，為保證對接的安全性，在對接和分離過程中，GNC分系統(tǒng)處于?？啬Ｊ?，由對接機構完成兩飛行器的物理連接和分離.交會及分離模式轉換流程如圖3所示.目標飛行器單獨飛行過程中，觸發(fā)條件1則轉入對接過程?？啬Ｊ剑|發(fā)條件2則轉入組合體飛行模式;組合體飛行過程中，觸發(fā)條件3則轉入分離過程?？啬Ｊ?，觸發(fā)條件4后則恢復至目標飛行器單獨飛行模式.

圖3 目標飛行器GNC分系統(tǒng)交會對接及分離模式切換

3 GNC分系統(tǒng)容錯策略設計

目標飛行器GNC分系統(tǒng)的容錯設計包括硬件級容錯和軟件級容錯.

硬件級容錯主要是設計合理的硬件“冗余”，即在系統(tǒng)中使用二個或二個以上的具有相同功能的模塊或單機，當一個模塊或單機出現(xiàn)故障時可以從系統(tǒng)中切除或由其他模塊或單機取代其完成任務[5].

在硬件容錯設計的基礎上，確定了基本的軟件結構，相應地設計了多種容錯策略.軟件容錯策略是利用硬件提供的支持，結合對分系統(tǒng)常見故障分析的基礎上，有針對性地提出的.

3.1 敏感器和執(zhí)行機構容錯策略設計

如圖1所示，目標飛行器GNC分系統(tǒng)的敏感器和執(zhí)行結構均采取了一定的冗余備份.

1)對于冗余備份的紅外地球敏感器、太陽敏感器，通過應用軟件對敏感器信息進行實時故障診斷，并根據(jù)自主診斷結果對故障敏感器的信息進行切除，待故障排除后，軟件具備再次引入該敏感器信息的能力.此外，地面遙控具備最高優(yōu)先權，可以通過遙控手段對指定的敏感器信息進行切除和引入.

2)對于冗余備份的星敏感器、二浮慣性敏感器、光纖慣性敏感器以及單框架控制力矩陀螺，其容錯策略上除了可以對故障信息進行切除和引入之外，也可以通過地面遙控或者軟件自主對其電源進行加電和斷電，實現(xiàn)熱備份與冷備份狀態(tài)的轉換.

3)姿態(tài)確定設計了“慣性敏感器+紅外敏感器+太陽敏感器”定姿、“慣性敏感器 +紅外敏感器”定姿與“慣性敏感器+星敏感器”定姿的互為備份的手段，在上述(1)或(2)所采取的容錯策略的基礎上，若自主診斷出某一類敏感器信息全失效時，可以通過地面遙控或者軟件自主進行3種定姿方式的切換.

4)姿態(tài)控制設計了“CMG姿態(tài)控制”方式與“噴氣姿態(tài)控制”方式互為備份的手段，默認采用“CMG姿態(tài)控制”方式.在上述(1)或(2)所采取的容錯策略的基礎上自主診斷出CMG故障個數(shù)多于允許故障的個數(shù)時，可以通過地面遙控或者軟件自主切換至“噴氣姿態(tài)控制”方式，若故障消除，同樣可以通過地面或者軟件自主切換至“CMG姿態(tài)控制”方式.

3.2 控制器容錯策略

如2.1節(jié)所述，GNC分系統(tǒng)的控制器包括互為冷備份的A機、B機和C機以及FT板.FT板是多機冷備份控制器系統(tǒng)的核心單元，直接負責對控制器的實時監(jiān)控，當某一當班單機發(fā)生故障時，F(xiàn)T板將控制冷備份切換過程，同時FT板可收集和保存系統(tǒng)關鍵狀態(tài)，隨時通過遙測向地面提供GNC控制器運行的相關信息，并可以接收地面遙控發(fā)送的最高優(yōu)先級控制指令，并根據(jù)這些指令改變系統(tǒng)狀態(tài).

3.2.1 控制器容錯策略原則

正常情況下，主控制器電源接通默認自主打開A機，并默認“自主容錯切機使能”，通過控制器系統(tǒng)軟件進行容錯管理.自主容錯切換只能單向進行，即A機→B機→C機的順序自主切換.

為保證地面具備可干預手段，對 A機、B機、C機分別設計了加電和斷電指令.在 GNC控制器內(nèi)部，自主切機和遙控切機是邏輯“或”的關系，但地面遙控指令可以通過“自主容錯切機使能”或“自主容錯切機禁止”指令來打開或封鎖自主容錯切換功能，避免遙控切機與自主切機沖突，從而保證地面遙控指令的最高優(yōu)先級.任何情況下，當“自主切機禁止”時，控制器不進行自主切機，此時由地面遙控指令進行切機管理.

當“自主切機允許”時，控制器則由系統(tǒng)軟件負責進行容錯管理，具體的容錯策略如下文所述.

3.2.2 控制器單機加電時容錯策略

正常情況下，默認A機工作，主控制器系統(tǒng)軟件負責管理WDT1和WDT2兩級看門狗，只有當A機單機故障情況下才進行容錯切換.

A機故障，則系統(tǒng)軟件對 A機的 WDT1和WDT2不清狗，若不清狗時間超過設定的WDT1時間，則 A機復位，若超過設定的 WDT2時間，則 FT板負責實現(xiàn)A機斷電，B機加電.

B機加電后，其看門狗的管理同 A機.同理，B機故障，則會引發(fā)B機復位或B機斷電，C機加電.

C機只設計一級看門狗WDT1.C機故障，則系統(tǒng)軟件對C機的WDT1不清狗，若不清狗時間超過設定的WDT1時間，則C機復位.

3.2.3 控制器多機加電時容錯策略

由于地面指令具有最高優(yōu)先權，地面指令可以實現(xiàn)對A、B、C三機的獨立控制，或者由于在軌出現(xiàn)其他意外原因也可能會導致A、B、C機出現(xiàn)兩機或兩機以上同時加電的情況.

在硬件的容錯設計上，控制器的硬件設計可以保證B機加電后A、B雙機不存在競爭現(xiàn)象，同樣，可以保證C機加電后主控制器和備控制器不存在競爭現(xiàn)象.

在此硬件設計的基礎上，GNC分系統(tǒng)的控制器容錯策略如下:

(1)主控制器A機和B機同時加電

在主控制器雙機加電情況下，系統(tǒng)軟件對A機的WDT1和WDT2不清狗，當超過設定的WDT2時間后，F(xiàn)T板將自主關斷A機，以保持B機單機加電的正常工作狀態(tài).

(2)主控制器A機與備控制器C機同時加電

在A機與C機同時加電情況下，系統(tǒng)軟件對A機的WDT1和 WDT2不清狗，當超過設定的 WDT2時間后，F(xiàn)T板將自主關斷 A機，打開 B機，系統(tǒng)進入B機與C機同時加電的情況.

(3)主控制器B機與備控制器C機同時加電

同理，系統(tǒng)軟件對B機的WDT1和WDT2不清狗，當超過設定的 WDT2時間后，F(xiàn)T板將自主關斷B機，同時再次對C機進行一次自主加電，確保C機有效加電工作.

(4)主控制器A機、B機與備控制器 C機同時加電

在三機同時加電情況下，先按照(2)所述策略處理，自主實現(xiàn)對A機斷電，保持B、C機同時加電狀態(tài)，然后按照(3)所述策略處理.

3.2.4 控制器應用軟件容錯邏輯設計

如前文所述，GNC分系統(tǒng)設計了?？亍θ斩ㄏ虻劝踩Ｊ?，在控制器應用軟件設計時，當控制器發(fā)生切機或復位后，軟件的入口邏輯設計如下:

1)當控制器容錯切機后，由于RAM區(qū)數(shù)據(jù)已被清除，無法獲取切機前系統(tǒng)狀態(tài)信息，為確保安全，GNC分系統(tǒng)均首先轉入?？匕踩Ｊ?，后續(xù)根據(jù)目標飛行器和載人飛船實際飛行情況采取措施.

2)當控制器發(fā)生復位后，RAM區(qū)數(shù)據(jù)可以保留，此時首先判斷容錯三區(qū)數(shù)據(jù)，若三區(qū)數(shù)據(jù)比對正常，則按照三取二后的飛行階段標志進行相應設置并轉入對應的飛行模式;若三區(qū)數(shù)據(jù)比對不正常，則參照控制器容錯切機后的邏輯運行.

入口邏輯流程圖見圖4，其中 T1、T2時間可根據(jù)目標飛行器和載人飛船交會對接和分離過程中對接機構特性來確定.

3.3 軟件在軌注入程序修改

目標飛行器的設計壽命為2年，若在軌運行期間，發(fā)現(xiàn)了原系統(tǒng)的嚴重缺陷和設計錯誤，或者根據(jù)新的需求需要修改應用程序，則必須進行軟件的在軌注入程序修改.GNC分系統(tǒng)系統(tǒng)軟件和應用軟件設計時預留了一定規(guī)模的可供修改程序的接口.

系統(tǒng)在軌注入程序修改是指由地面控制臺向控制器重新注入相應的軟件，從而對系統(tǒng)進行更新.在操作系統(tǒng)中內(nèi)核中，有專門的系統(tǒng)級任務，用于運行在軌程序注入?yún)f(xié)議，控制硬件進行系統(tǒng)注入動作[6-8].

在軌注入程序修改按以下步驟進行:

1)地面控制臺向軟件注入“解除注入?yún)^(qū)寫保護”標志，調(diào)用相關的注入處理任務模塊，解除程序注入?yún)^(qū)的保護功能;

2)將新的代碼上傳至指定的程序注入?yún)^(qū);

3)向軟件注入“執(zhí)行新程序”的相關標志，包括修改程序的地址、ID號等信息;

4)注入“使能注入?yún)^(qū)寫保護”標志，調(diào)用相關的注入處理任務模塊，完成在軌程序修改.

圖4 目標飛行器GNC分系統(tǒng)控制器軟件入口邏輯

3.4 能源安全模式設計

能源管理是航天器系統(tǒng)管理的重要組成部分.在空間環(huán)境下，太陽能電池板受外界環(huán)境影響可能致使能源供應水平逐漸降低，當系統(tǒng)提供的能源不足以維持整個系統(tǒng)的運轉時，就會造成能源供應故障.使用“降級重構”的策略來解決這個問題.

“降級重構”的策略為:優(yōu)先降低冗余單元的冗余余度，將熱備份變?yōu)槔鋫浞荩羧赃_不到能源供應下限，則選擇關閉部分單元的電源，將系統(tǒng)進行降級.

目標飛行器GNC分系統(tǒng)的能源安全模式是:當整器能源故障導致供電輸出小于負載所需能源時，將9個處于加電熱備份狀態(tài)的慣性敏感器中的3個斷電，將6個處于加電熱備份狀態(tài)單框架控制力矩陀螺中1個斷電，若整器能源供應仍無法滿足需求，則對單框架控制力矩陀螺的轉子和框架進行斷電，系統(tǒng)姿態(tài)控制轉入噴氣控制模式.

4 結 論

本文對中國新研制的目標飛行器GNC分系統(tǒng)的特點、軟硬件平臺進行了分析，在此基礎上提出了分系統(tǒng)的容錯策略原則，按此原則有針對性地設計了分系統(tǒng)硬件及軟件的容錯策略.該容錯策略已經(jīng)在實際應用中得到了驗證，結果表明，該容錯策略設計合理有效，可以較好地提高GNC分系統(tǒng)的系統(tǒng)性能和可靠性安全性，同時對后續(xù)大型載人航天器的容錯設計提供了一定的參考價值.

[1] 徐拾義.容錯計算系統(tǒng)[M].武漢:武漢大學出版社，2010

[2] 楊孝宗.容錯技術與 STRATUS容錯計算機[M].哈爾濱:哈爾濱工業(yè)大學出版社，1993

[3] Kouba C，Busche D，Busa J.The X-38 spacecraft faulttolerant avionics system[R].NASA Johnson Space Center，August 19， 2003

[4] George M D，Brichacek J.Radiation hardened 32-bit processor(RH32)for fault-tolerant spaceborne computers[C].The 15thAIAA International Communications Satellite Systems Conference，San Diego，CA， Feb.28-Mar.3，1994

[5] 王霆.星載并行計算機系統(tǒng)容錯設計與分析[D].長沙:國防科學技術大學，2008

[6] 張擁軍，張怡，彭宇行，等.一種基于多處理機的容錯實時任務調(diào)度算法[J].計算機研究與發(fā)展，2000，37(4):425-429

[7] Berten V，Goossens J，Jeannot E.A probabilistic approach for fault tolerantmultiprocessor real-time scheduling[C].The 20thInternational Parallel and Distributed Processing Symposiu，Rhodes Island， Greece， April 25-29，2006

[8] 王平，孫寧，李華旺，等.小衛(wèi)星星載容錯計算機控制系統(tǒng)軟硬件設計[J].宇航學報，2006，27(3):412-415

A Fault-Tolerant Strategy Design for GNC Subsystem of Tiangong-1 Spacecraft

CAIBiao，LIN Yu，LIU Bo
(Beijing Institute of Control Engineering，Beijing 100190，China)

The Tiangong-1 spacecraft is a new ly-developed spacecraft dedicated to rendezvous and docking.It is necessary to design a full fault-tolerant strategy to ensure the reliability and safety of the spacecraft in orbit for a long life， to achieve rendezvous and docking with manned-spacecraft successfully， and to implement both attitude and orbit control during the single body flight and the combination flight.The p latform of both hardware and software for GNC subsystem is presented and the fault-tolerant strategy in both hardware and software for sensors，actuators and the GNC controller is described in detail.The fault-tolerant strategy is proved in practical application.The results show that the design is reasonable and effective，and it can enhance the performance and reliability of the GNC subsystem.

Tiangong-1 spacecraft;manned-spacecraft;guidance navigation and control;rendezvous and docking;fault-tolerant strategy

TP302.8

A

1674-1579(2011)06-0040-07

DO I:10.3969/j.issn.1674-1579.2011.06.007

2011-07-19

蔡 彪(1980—)，男，山西人，高級工程師，研究方向為航天器制導、導航與控制(e-mail:tigertsai@126.com).