蔡 彪，林 宇，劉 波

(北京控制工程研究所，北京100190)

天宮一號(hào)目標(biāo)飛行器GNC分系統(tǒng)容錯(cuò)策略設(shè)計(jì)

蔡 彪，林 宇，劉 波

(北京控制工程研究所，北京100190)

天宮一號(hào)目標(biāo)飛行器是中國(guó)研制的新一代專門用于交會(huì)對(duì)接的大型載人航天器.為保證其長(zhǎng)期在軌安全可靠運(yùn)行，順利完成與載人飛船的交會(huì)對(duì)接任務(wù)，以及單體飛行和組合體飛行期間的姿態(tài)和軌道控制任務(wù)，要求GNC分系統(tǒng)設(shè)計(jì)充分的容錯(cuò)策略.對(duì)GNC分系統(tǒng)軟硬件平臺(tái)進(jìn)行介紹，對(duì)敏感器、執(zhí)行機(jī)構(gòu)以及控制器的軟硬件容錯(cuò)策略進(jìn)行詳述.該策略在實(shí)際應(yīng)用中得到驗(yàn)證，結(jié)果表明設(shè)計(jì)合理，可以有效提高GNC分系統(tǒng)的系統(tǒng)性能和可靠性.

天宮一號(hào)目標(biāo)飛行器;載人飛船;GNC;交會(huì)對(duì)接;容錯(cuò)策略

天宮一號(hào)目標(biāo)飛行器(本文以下簡(jiǎn)稱為目標(biāo)飛行器)是中國(guó)研制的新一代專門用于交會(huì)對(duì)接的大型載人航天器，在軌運(yùn)行壽命可達(dá)2年，在軌運(yùn)行期間將完成與載人飛船的多次交會(huì)對(duì)接，且支持多名航天員在軌工作和活動(dòng).制導(dǎo)、導(dǎo)航與控制(GNC)分系統(tǒng)是目標(biāo)飛行器的關(guān)鍵分系統(tǒng)之一，負(fù)責(zé)完成該目標(biāo)飛行器單獨(dú)飛行以及與載人飛船對(duì)接后組合體飛行的姿態(tài)與軌道控制任務(wù).相比其他無(wú)人航天器，其控制過(guò)程和控制模式更為復(fù)雜、控制精度要求更高、載人安全性要求更高.

為保證目標(biāo)飛行器長(zhǎng)期在軌可靠安全運(yùn)行，成功完成各階段任務(wù)，要求GNC分系統(tǒng)硬件和軟件設(shè)計(jì)時(shí)，必須設(shè)計(jì)合理、充分的容錯(cuò)手段和策略，以確保分系統(tǒng)具備對(duì)長(zhǎng)期在軌可能發(fā)生的故障的處理能力.

從目前國(guó)外航天飛行器的容錯(cuò)技術(shù)發(fā)展來(lái)看，除了通過(guò)設(shè)計(jì)合理的體系結(jié)構(gòu)實(shí)現(xiàn)部組件層面的有效備份或冗余外，隨著高性能處理處理器、實(shí)時(shí)操作系統(tǒng)以及各類高吞吐能力的系統(tǒng)總線的不斷問(wèn)世，航天器控制系統(tǒng)的容錯(cuò)策略更多的是通過(guò)星載計(jì)算機(jī)系統(tǒng)的軟硬件容錯(cuò)設(shè)計(jì)來(lái)實(shí)現(xiàn).

基于目標(biāo)飛行器的基本配置狀態(tài)，本文提出了GNC分系統(tǒng)的容錯(cuò)策略設(shè)計(jì)方案，并得到了實(shí)際應(yīng)用.

1 容錯(cuò)設(shè)計(jì)原則

容錯(cuò)是容忍故障的簡(jiǎn)稱.容錯(cuò)技術(shù)的最基本實(shí)現(xiàn)方法是設(shè)計(jì)并合理使用冗余技術(shù)，即通過(guò)給系統(tǒng)增添或設(shè)計(jì)一些冗余的硬件或軟件信息來(lái)提高系統(tǒng)的可靠性，依靠控制計(jì)算機(jī)軟件實(shí)現(xiàn)系統(tǒng)容錯(cuò)策略，當(dāng)系統(tǒng)中一個(gè)或多個(gè)關(guān)鍵部分發(fā)生故障或出錯(cuò)時(shí)，系統(tǒng)能自動(dòng)檢測(cè)與診斷，并采取相應(yīng)措施，合理利用冗余信息完成系統(tǒng)重組或降級(jí)，從而保證系統(tǒng)維持其規(guī)定功能或保持其功能在可接受的范圍內(nèi)[1-2].

目標(biāo)飛行器GNC分系統(tǒng)以GNC控制器為核心，對(duì)各類敏感器完成信息采集和處理，按照控制律進(jìn)行計(jì)算后產(chǎn)生控制指令對(duì)執(zhí)行機(jī)構(gòu)進(jìn)行控制，從而完成閉環(huán)控制.該目標(biāo)飛行器GNC分系統(tǒng)容錯(cuò)策略的基本思想是在系統(tǒng)體系結(jié)構(gòu)上精心設(shè)計(jì)，充分利用外加資源的冗余技術(shù)來(lái)達(dá)到屏蔽故障影響，從而自動(dòng)地或借助地面遙控手段恢復(fù)分系統(tǒng)正常運(yùn)行或達(dá)到分系統(tǒng)安全的目的.

考慮到該目標(biāo)飛行器將長(zhǎng)期在軌自主運(yùn)行以及在地面測(cè)控支持條件下進(jìn)行交會(huì)對(duì)接，GNC分系統(tǒng)在容錯(cuò)策略設(shè)計(jì)時(shí)遵循以下原則:

1)GNC分系統(tǒng)應(yīng)具備單機(jī)或部件級(jí)的冗余以及系統(tǒng)級(jí)冗余手段;

2)GNC分系統(tǒng)具備不依賴于地面測(cè)控手段而自主容錯(cuò)的能力;

3)地面遙控的優(yōu)先級(jí)高于航天器自主容錯(cuò)，地面可對(duì)航天器自主容錯(cuò)能力進(jìn)行禁止或使能，確保地面操作的唯一性和有針對(duì)性.

2 GNC分系統(tǒng)軟硬件平臺(tái)概述

目標(biāo)飛行器GNC分系統(tǒng)的基本組成框圖見(jiàn)圖1.

圖1 目標(biāo)飛行器GNC分系統(tǒng)組成框圖

如圖所示，其中紅外地球敏感器、太陽(yáng)敏感器、星敏感器、慣性敏感器等敏感器以及單框架控制力矩陀螺(CMG)和噴氣執(zhí)行機(jī)構(gòu)均采用冗余備份設(shè)計(jì)，其處理線路也相應(yīng)地設(shè)計(jì)為多通道模式，每個(gè)通道包括供電、信息處理和遙測(cè)信息等，各通道間相互獨(dú)立，互為備份.

GNC分系統(tǒng)的核心部件是主控制器和備控制器，其中主控制器采用雙機(jī)冷備份的結(jié)構(gòu)，備控制器在功能上與主控制器任一單機(jī)功能相當(dāng)，在物理上與主控制器隔離.

對(duì)于GNC分系統(tǒng)來(lái)說(shuō)，主控制器和備控制器是實(shí)現(xiàn)分系統(tǒng)容錯(cuò)功能的關(guān)鍵部件.主控制器與備控制器選用的軟硬件平臺(tái)一致，包括TSC695F處理器及實(shí)時(shí)操作系統(tǒng)，實(shí)時(shí)操作系統(tǒng)集成了完成控制器管理的系統(tǒng)軟件和完成任務(wù)需求的應(yīng)用軟件.其本身也提供了一些支持容錯(cuò)的機(jī)制.

2.1 控制器體系結(jié)構(gòu)

GNC分系統(tǒng)的控制器包括主控制器和備控制器.其中主控制器采用冷備份雙模冗余結(jié)構(gòu)，備控制采用單模結(jié)構(gòu)，3臺(tái)單機(jī)(下文簡(jiǎn)稱 A、B、C機(jī))在邏輯上構(gòu)成三機(jī)冷備份模式，三機(jī)之間的容錯(cuò)切換則由安裝于主控器中的容錯(cuò)(FT)板實(shí)現(xiàn).A、B、C三機(jī)分別獨(dú)立供電.控制器結(jié)構(gòu)如圖2所示.

圖2 目標(biāo)飛行器GNC控制器結(jié)構(gòu)圖

2.2 看門狗

看門狗是為了監(jiān)視控制器的工作狀態(tài)而設(shè)計(jì)的一種電路，它在容錯(cuò)計(jì)算機(jī)中有較廣泛的應(yīng)用[3-4].

在GNC控制器設(shè)計(jì)時(shí)，主控制器采取了兩級(jí)看門狗技術(shù)，即處理器看門狗(WDT1)以及FT板看門狗(WDT2).正常情況下，實(shí)時(shí)操作系統(tǒng)軟件在每個(gè)調(diào)度控制周期對(duì)看門狗執(zhí)行“清狗”操作，并進(jìn)行看門狗管理，異常情況下，則通過(guò)“不清狗”引發(fā)處理器復(fù)位或FT板進(jìn)行自主切機(jī)動(dòng)作.

2.3 控制器軟件

目標(biāo)飛行器GNC分系統(tǒng)的控制器軟件包括系統(tǒng)軟件和應(yīng)用軟件，應(yīng)用軟件主要完成正常在軌運(yùn)行的模式控制任務(wù)以及遙測(cè)任務(wù)，系統(tǒng)軟件則負(fù)責(zé)控制器的任務(wù)調(diào)度、狀態(tài)監(jiān)視和系統(tǒng)管理等任務(wù).

GNC分系統(tǒng)的工作模式多達(dá)數(shù)十種，為保證長(zhǎng)期運(yùn)行期間發(fā)生故障時(shí)分系統(tǒng)的安全性，應(yīng)用軟件模式控制任務(wù)中專門設(shè)計(jì)了?？亍?duì)日定向等安全模式.?？啬Ｊ较翯NC控制器不向噴氣執(zhí)行機(jī)構(gòu)發(fā)送任何有效指令，同時(shí)控制CMG處于角動(dòng)量保持，確保航天器處于自由漂浮狀態(tài);對(duì)日定向模式下，GNC控制器控制航天器本體-Z軸對(duì)太陽(yáng)定向，確保足夠的整器能源，為后續(xù)故障處理提供條件.

控制器系統(tǒng)軟件實(shí)時(shí)對(duì)系統(tǒng)任務(wù)調(diào)度和工作狀態(tài)進(jìn)行監(jiān)視管理，利用TSC695F處理器提供的陷阱機(jī)制以及特定的狀態(tài)寄存器對(duì)程序執(zhí)行過(guò)程中產(chǎn)生的異常進(jìn)行診斷并做相應(yīng)的處理，同時(shí)負(fù)責(zé)進(jìn)行看門狗的管理.

在控制器軟件設(shè)計(jì)時(shí)，為保證可靠性，在RAM區(qū)劃分出3塊獨(dú)立的單元，程序運(yùn)行中的關(guān)鍵數(shù)據(jù)或變量可以同時(shí)存入RAM的3個(gè)數(shù)據(jù)區(qū)中，對(duì)RAM區(qū)的數(shù)據(jù)采用三取二表決的取出方法.下文對(duì)此3塊獨(dú)立單元稱之為容錯(cuò)三區(qū).

2.4 交會(huì)對(duì)接及分離模式切換

目標(biāo)飛行器在軌需與載人飛船完成多次交會(huì)對(duì)接，為保證對(duì)接的安全性，在對(duì)接和分離過(guò)程中，GNC分系統(tǒng)處于停控模式，由對(duì)接機(jī)構(gòu)完成兩飛行器的物理連接和分離.交會(huì)及分離模式轉(zhuǎn)換流程如圖3所示.目標(biāo)飛行器單獨(dú)飛行過(guò)程中，觸發(fā)條件1則轉(zhuǎn)入對(duì)接過(guò)程?？啬Ｊ剑|發(fā)條件2則轉(zhuǎn)入組合體飛行模式;組合體飛行過(guò)程中，觸發(fā)條件3則轉(zhuǎn)入分離過(guò)程停控模式，觸發(fā)條件4后則恢復(fù)至目標(biāo)飛行器單獨(dú)飛行模式.

圖3 目標(biāo)飛行器GNC分系統(tǒng)交會(huì)對(duì)接及分離模式切換

3 GNC分系統(tǒng)容錯(cuò)策略設(shè)計(jì)

目標(biāo)飛行器GNC分系統(tǒng)的容錯(cuò)設(shè)計(jì)包括硬件級(jí)容錯(cuò)和軟件級(jí)容錯(cuò).

硬件級(jí)容錯(cuò)主要是設(shè)計(jì)合理的硬件“冗余”，即在系統(tǒng)中使用二個(gè)或二個(gè)以上的具有相同功能的模塊或單機(jī)，當(dāng)一個(gè)模塊或單機(jī)出現(xiàn)故障時(shí)可以從系統(tǒng)中切除或由其他模塊或單機(jī)取代其完成任務(wù)[5].

在硬件容錯(cuò)設(shè)計(jì)的基礎(chǔ)上，確定了基本的軟件結(jié)構(gòu)，相應(yīng)地設(shè)計(jì)了多種容錯(cuò)策略.軟件容錯(cuò)策略是利用硬件提供的支持，結(jié)合對(duì)分系統(tǒng)常見(jiàn)故障分析的基礎(chǔ)上，有針對(duì)性地提出的.

3.1 敏感器和執(zhí)行機(jī)構(gòu)容錯(cuò)策略設(shè)計(jì)

如圖1所示，目標(biāo)飛行器GNC分系統(tǒng)的敏感器和執(zhí)行結(jié)構(gòu)均采取了一定的冗余備份.

1)對(duì)于冗余備份的紅外地球敏感器、太陽(yáng)敏感器，通過(guò)應(yīng)用軟件對(duì)敏感器信息進(jìn)行實(shí)時(shí)故障診斷，并根據(jù)自主診斷結(jié)果對(duì)故障敏感器的信息進(jìn)行切除，待故障排除后，軟件具備再次引入該敏感器信息的能力.此外，地面遙控具備最高優(yōu)先權(quán)，可以通過(guò)遙控手段對(duì)指定的敏感器信息進(jìn)行切除和引入.

2)對(duì)于冗余備份的星敏感器、二浮慣性敏感器、光纖慣性敏感器以及單框架控制力矩陀螺，其容錯(cuò)策略上除了可以對(duì)故障信息進(jìn)行切除和引入之外，也可以通過(guò)地面遙控或者軟件自主對(duì)其電源進(jìn)行加電和斷電，實(shí)現(xiàn)熱備份與冷備份狀態(tài)的轉(zhuǎn)換.

3)姿態(tài)確定設(shè)計(jì)了“慣性敏感器+紅外敏感器+太陽(yáng)敏感器”定姿、“慣性敏感器 +紅外敏感器”定姿與“慣性敏感器+星敏感器”定姿的互為備份的手段，在上述(1)或(2)所采取的容錯(cuò)策略的基礎(chǔ)上，若自主診斷出某一類敏感器信息全失效時(shí)，可以通過(guò)地面遙控或者軟件自主進(jìn)行3種定姿方式的切換.

4)姿態(tài)控制設(shè)計(jì)了“CMG姿態(tài)控制”方式與“噴氣姿態(tài)控制”方式互為備份的手段，默認(rèn)采用“CMG姿態(tài)控制”方式.在上述(1)或(2)所采取的容錯(cuò)策略的基礎(chǔ)上自主診斷出CMG故障個(gè)數(shù)多于允許故障的個(gè)數(shù)時(shí)，可以通過(guò)地面遙控或者軟件自主切換至“噴氣姿態(tài)控制”方式，若故障消除，同樣可以通過(guò)地面或者軟件自主切換至“CMG姿態(tài)控制”方式.

3.2 控制器容錯(cuò)策略

如2.1節(jié)所述，GNC分系統(tǒng)的控制器包括互為冷備份的A機(jī)、B機(jī)和C機(jī)以及FT板.FT板是多機(jī)冷備份控制器系統(tǒng)的核心單元，直接負(fù)責(zé)對(duì)控制器的實(shí)時(shí)監(jiān)控，當(dāng)某一當(dāng)班單機(jī)發(fā)生故障時(shí)，F(xiàn)T板將控制冷備份切換過(guò)程，同時(shí)FT板可收集和保存系統(tǒng)關(guān)鍵狀態(tài)，隨時(shí)通過(guò)遙測(cè)向地面提供GNC控制器運(yùn)行的相關(guān)信息，并可以接收地面遙控發(fā)送的最高優(yōu)先級(jí)控制指令，并根據(jù)這些指令改變系統(tǒng)狀態(tài).

3.2.1 控制器容錯(cuò)策略原則

正常情況下，主控制器電源接通默認(rèn)自主打開(kāi)A機(jī)，并默認(rèn)“自主容錯(cuò)切機(jī)使能”，通過(guò)控制器系統(tǒng)軟件進(jìn)行容錯(cuò)管理.自主容錯(cuò)切換只能單向進(jìn)行，即A機(jī)→B機(jī)→C機(jī)的順序自主切換.

為保證地面具備可干預(yù)手段，對(duì) A機(jī)、B機(jī)、C機(jī)分別設(shè)計(jì)了加電和斷電指令.在 GNC控制器內(nèi)部，自主切機(jī)和遙控切機(jī)是邏輯“或”的關(guān)系，但地面遙控指令可以通過(guò)“自主容錯(cuò)切機(jī)使能”或“自主容錯(cuò)切機(jī)禁止”指令來(lái)打開(kāi)或封鎖自主容錯(cuò)切換功能，避免遙控切機(jī)與自主切機(jī)沖突，從而保證地面遙控指令的最高優(yōu)先級(jí).任何情況下，當(dāng)“自主切機(jī)禁止”時(shí)，控制器不進(jìn)行自主切機(jī)，此時(shí)由地面遙控指令進(jìn)行切機(jī)管理.

當(dāng)“自主切機(jī)允許”時(shí)，控制器則由系統(tǒng)軟件負(fù)責(zé)進(jìn)行容錯(cuò)管理，具體的容錯(cuò)策略如下文所述.

3.2.2 控制器單機(jī)加電時(shí)容錯(cuò)策略

正常情況下，默認(rèn)A機(jī)工作，主控制器系統(tǒng)軟件負(fù)責(zé)管理WDT1和WDT2兩級(jí)看門狗，只有當(dāng)A機(jī)單機(jī)故障情況下才進(jìn)行容錯(cuò)切換.

A機(jī)故障，則系統(tǒng)軟件對(duì) A機(jī)的 WDT1和WDT2不清狗，若不清狗時(shí)間超過(guò)設(shè)定的WDT1時(shí)間，則 A機(jī)復(fù)位，若超過(guò)設(shè)定的 WDT2時(shí)間，則 FT板負(fù)責(zé)實(shí)現(xiàn)A機(jī)斷電，B機(jī)加電.

B機(jī)加電后，其看門狗的管理同 A機(jī).同理，B機(jī)故障，則會(huì)引發(fā)B機(jī)復(fù)位或B機(jī)斷電，C機(jī)加電.

C機(jī)只設(shè)計(jì)一級(jí)看門狗WDT1.C機(jī)故障，則系統(tǒng)軟件對(duì)C機(jī)的WDT1不清狗，若不清狗時(shí)間超過(guò)設(shè)定的WDT1時(shí)間，則C機(jī)復(fù)位.

3.2.3 控制器多機(jī)加電時(shí)容錯(cuò)策略

由于地面指令具有最高優(yōu)先權(quán)，地面指令可以實(shí)現(xiàn)對(duì)A、B、C三機(jī)的獨(dú)立控制，或者由于在軌出現(xiàn)其他意外原因也可能會(huì)導(dǎo)致A、B、C機(jī)出現(xiàn)兩機(jī)或兩機(jī)以上同時(shí)加電的情況.

在硬件的容錯(cuò)設(shè)計(jì)上，控制器的硬件設(shè)計(jì)可以保證B機(jī)加電后A、B雙機(jī)不存在競(jìng)爭(zhēng)現(xiàn)象，同樣，可以保證C機(jī)加電后主控制器和備控制器不存在競(jìng)爭(zhēng)現(xiàn)象.

在此硬件設(shè)計(jì)的基礎(chǔ)上，GNC分系統(tǒng)的控制器容錯(cuò)策略如下:

(1)主控制器A機(jī)和B機(jī)同時(shí)加電

在主控制器雙機(jī)加電情況下，系統(tǒng)軟件對(duì)A機(jī)的WDT1和WDT2不清狗，當(dāng)超過(guò)設(shè)定的WDT2時(shí)間后，F(xiàn)T板將自主關(guān)斷A機(jī)，以保持B機(jī)單機(jī)加電的正常工作狀態(tài).

(2)主控制器A機(jī)與備控制器C機(jī)同時(shí)加電

在A機(jī)與C機(jī)同時(shí)加電情況下，系統(tǒng)軟件對(duì)A機(jī)的WDT1和 WDT2不清狗，當(dāng)超過(guò)設(shè)定的 WDT2時(shí)間后，F(xiàn)T板將自主關(guān)斷 A機(jī)，打開(kāi) B機(jī)，系統(tǒng)進(jìn)入B機(jī)與C機(jī)同時(shí)加電的情況.

(3)主控制器B機(jī)與備控制器C機(jī)同時(shí)加電

同理，系統(tǒng)軟件對(duì)B機(jī)的WDT1和WDT2不清狗，當(dāng)超過(guò)設(shè)定的 WDT2時(shí)間后，F(xiàn)T板將自主關(guān)斷B機(jī)，同時(shí)再次對(duì)C機(jī)進(jìn)行一次自主加電，確保C機(jī)有效加電工作.

(4)主控制器A機(jī)、B機(jī)與備控制器 C機(jī)同時(shí)加電

在三機(jī)同時(shí)加電情況下，先按照(2)所述策略處理，自主實(shí)現(xiàn)對(duì)A機(jī)斷電，保持B、C機(jī)同時(shí)加電狀態(tài)，然后按照(3)所述策略處理.

3.2.4 控制器應(yīng)用軟件容錯(cuò)邏輯設(shè)計(jì)

如前文所述，GNC分系統(tǒng)設(shè)計(jì)了?？亍?duì)日定向等安全模式，在控制器應(yīng)用軟件設(shè)計(jì)時(shí)，當(dāng)控制器發(fā)生切機(jī)或復(fù)位后，軟件的入口邏輯設(shè)計(jì)如下:

1)當(dāng)控制器容錯(cuò)切機(jī)后，由于RAM區(qū)數(shù)據(jù)已被清除，無(wú)法獲取切機(jī)前系統(tǒng)狀態(tài)信息，為確保安全，GNC分系統(tǒng)均首先轉(zhuǎn)入?？匕踩Ｊ?，后續(xù)根據(jù)目標(biāo)飛行器和載人飛船實(shí)際飛行情況采取措施.

2)當(dāng)控制器發(fā)生復(fù)位后，RAM區(qū)數(shù)據(jù)可以保留，此時(shí)首先判斷容錯(cuò)三區(qū)數(shù)據(jù)，若三區(qū)數(shù)據(jù)比對(duì)正常，則按照三取二后的飛行階段標(biāo)志進(jìn)行相應(yīng)設(shè)置并轉(zhuǎn)入對(duì)應(yīng)的飛行模式;若三區(qū)數(shù)據(jù)比對(duì)不正常，則參照控制器容錯(cuò)切機(jī)后的邏輯運(yùn)行.

入口邏輯流程圖見(jiàn)圖4，其中 T1、T2時(shí)間可根據(jù)目標(biāo)飛行器和載人飛船交會(huì)對(duì)接和分離過(guò)程中對(duì)接機(jī)構(gòu)特性來(lái)確定.

3.3 軟件在軌注入程序修改

目標(biāo)飛行器的設(shè)計(jì)壽命為2年，若在軌運(yùn)行期間，發(fā)現(xiàn)了原系統(tǒng)的嚴(yán)重缺陷和設(shè)計(jì)錯(cuò)誤，或者根據(jù)新的需求需要修改應(yīng)用程序，則必須進(jìn)行軟件的在軌注入程序修改.GNC分系統(tǒng)系統(tǒng)軟件和應(yīng)用軟件設(shè)計(jì)時(shí)預(yù)留了一定規(guī)模的可供修改程序的接口.

系統(tǒng)在軌注入程序修改是指由地面控制臺(tái)向控制器重新注入相應(yīng)的軟件，從而對(duì)系統(tǒng)進(jìn)行更新.在操作系統(tǒng)中內(nèi)核中，有專門的系統(tǒng)級(jí)任務(wù)，用于運(yùn)行在軌程序注入?yún)f(xié)議，控制硬件進(jìn)行系統(tǒng)注入動(dòng)作[6-8].

在軌注入程序修改按以下步驟進(jìn)行:

1)地面控制臺(tái)向軟件注入“解除注入?yún)^(qū)寫保護(hù)”標(biāo)志，調(diào)用相關(guān)的注入處理任務(wù)模塊，解除程序注入?yún)^(qū)的保護(hù)功能;

2)將新的代碼上傳至指定的程序注入?yún)^(qū);

3)向軟件注入“執(zhí)行新程序”的相關(guān)標(biāo)志，包括修改程序的地址、ID號(hào)等信息;

4)注入“使能注入?yún)^(qū)寫保護(hù)”標(biāo)志，調(diào)用相關(guān)的注入處理任務(wù)模塊，完成在軌程序修改.

圖4 目標(biāo)飛行器GNC分系統(tǒng)控制器軟件入口邏輯

3.4 能源安全模式設(shè)計(jì)

能源管理是航天器系統(tǒng)管理的重要組成部分.在空間環(huán)境下，太陽(yáng)能電池板受外界環(huán)境影響可能致使能源供應(yīng)水平逐漸降低，當(dāng)系統(tǒng)提供的能源不足以維持整個(gè)系統(tǒng)的運(yùn)轉(zhuǎn)時(shí)，就會(huì)造成能源供應(yīng)故障.使用“降級(jí)重構(gòu)”的策略來(lái)解決這個(gè)問(wèn)題.

“降級(jí)重構(gòu)”的策略為:優(yōu)先降低冗余單元的冗余余度，將熱備份變?yōu)槔鋫浞?，若仍達(dá)不到能源供應(yīng)下限，則選擇關(guān)閉部分單元的電源，將系統(tǒng)進(jìn)行降級(jí).

目標(biāo)飛行器GNC分系統(tǒng)的能源安全模式是:當(dāng)整器能源故障導(dǎo)致供電輸出小于負(fù)載所需能源時(shí)，將9個(gè)處于加電熱備份狀態(tài)的慣性敏感器中的3個(gè)斷電，將6個(gè)處于加電熱備份狀態(tài)單框架控制力矩陀螺中1個(gè)斷電，若整器能源供應(yīng)仍無(wú)法滿足需求，則對(duì)單框架控制力矩陀螺的轉(zhuǎn)子和框架進(jìn)行斷電，系統(tǒng)姿態(tài)控制轉(zhuǎn)入噴氣控制模式.

4 結(jié) 論

本文對(duì)中國(guó)新研制的目標(biāo)飛行器GNC分系統(tǒng)的特點(diǎn)、軟硬件平臺(tái)進(jìn)行了分析，在此基礎(chǔ)上提出了分系統(tǒng)的容錯(cuò)策略原則，按此原則有針對(duì)性地設(shè)計(jì)了分系統(tǒng)硬件及軟件的容錯(cuò)策略.該容錯(cuò)策略已經(jīng)在實(shí)際應(yīng)用中得到了驗(yàn)證，結(jié)果表明，該容錯(cuò)策略設(shè)計(jì)合理有效，可以較好地提高GNC分系統(tǒng)的系統(tǒng)性能和可靠性安全性，同時(shí)對(duì)后續(xù)大型載人航天器的容錯(cuò)設(shè)計(jì)提供了一定的參考價(jià)值.

[1] 徐拾義.容錯(cuò)計(jì)算系統(tǒng)[M].武漢:武漢大學(xué)出版社，2010

[2] 楊孝宗.容錯(cuò)技術(shù)與 STRATUS容錯(cuò)計(jì)算機(jī)[M].哈爾濱:哈爾濱工業(yè)大學(xué)出版社，1993

[3] Kouba C，Busche D，Busa J.The X-38 spacecraft faulttolerant avionics system[R].NASA Johnson Space Center，August 19， 2003

[4] George M D，Brichacek J.Radiation hardened 32-bit processor(RH32)for fault-tolerant spaceborne computers[C].The 15thAIAA International Communications Satellite Systems Conference，San Diego，CA， Feb.28-Mar.3，1994

[5] 王霆.星載并行計(jì)算機(jī)系統(tǒng)容錯(cuò)設(shè)計(jì)與分析[D].長(zhǎng)沙:國(guó)防科學(xué)技術(shù)大學(xué)，2008

[6] 張擁軍，張怡，彭宇行，等.一種基于多處理機(jī)的容錯(cuò)實(shí)時(shí)任務(wù)調(diào)度算法[J].計(jì)算機(jī)研究與發(fā)展，2000，37(4):425-429

[7] Berten V，Goossens J，Jeannot E.A probabilistic approach for fault tolerantmultiprocessor real-time scheduling[C].The 20thInternational Parallel and Distributed Processing Symposiu，Rhodes Island， Greece， April 25-29，2006

[8] 王平，孫寧，李華旺，等.小衛(wèi)星星載容錯(cuò)計(jì)算機(jī)控制系統(tǒng)軟硬件設(shè)計(jì)[J].宇航學(xué)報(bào)，2006，27(3):412-415

A Fault-Tolerant Strategy Design for GNC Subsystem of Tiangong-1 Spacecraft

CAIBiao，LIN Yu，LIU Bo
(Beijing Institute of Control Engineering，Beijing 100190，China)

The Tiangong-1 spacecraft is a new ly-developed spacecraft dedicated to rendezvous and docking.It is necessary to design a full fault-tolerant strategy to ensure the reliability and safety of the spacecraft in orbit for a long life， to achieve rendezvous and docking with manned-spacecraft successfully， and to implement both attitude and orbit control during the single body flight and the combination flight.The p latform of both hardware and software for GNC subsystem is presented and the fault-tolerant strategy in both hardware and software for sensors，actuators and the GNC controller is described in detail.The fault-tolerant strategy is proved in practical application.The results show that the design is reasonable and effective，and it can enhance the performance and reliability of the GNC subsystem.

Tiangong-1 spacecraft;manned-spacecraft;guidance navigation and control;rendezvous and docking;fault-tolerant strategy

TP302.8

A

1674-1579(2011)06-0040-07

DO I:10.3969/j.issn.1674-1579.2011.06.007

2011-07-19

蔡 彪(1980—)，男，山西人，高級(jí)工程師，研究方向?yàn)楹教炱髦茖?dǎo)、導(dǎo)航與控制(e-mail:tigertsai@126.com).