通信衛(wèi)星系統(tǒng)潛在故障識(shí)別與應(yīng)對(duì)方法

種婧宜，周昊澄，王 敏，陳余軍

（1.中國(guó)空間技術(shù)研究院 通信與導(dǎo)航衛(wèi)星總體部； 2.北京空間飛行器總體設(shè)計(jì)部：北京 100094）

0 引言

地球同步軌道（GEO）通信衛(wèi)星具有信號(hào)覆蓋面積廣、便于快速組網(wǎng)以及對(duì)地理地形和距離因素不敏感等優(yōu)勢(shì)，被廣泛應(yīng)用于廣播電視、數(shù)據(jù)傳輸和移動(dòng)通信等領(lǐng)域。隨著技術(shù)水平的不斷發(fā)展與市場(chǎng)需求的多樣化，通信衛(wèi)星從傳統(tǒng)的廣播業(yè)務(wù)、固定和窄帶通信為主，逐漸向移動(dòng)通信、寬帶和高通量通信為主轉(zhuǎn)變。因此，對(duì)衛(wèi)星的信息承載能力、用電功率以及姿態(tài)控制精度等的要求大幅提高。通信衛(wèi)星的設(shè)計(jì)運(yùn)行壽命一般是15 年，在軌不具備維修能力，且需要面對(duì)真空、等離子體、輻射以及微流星體/空間碎片等復(fù)雜而嚴(yán)酷的空間環(huán)境。因此，在系統(tǒng)集成度顯著提高，軟/硬件接口邏輯越來(lái)越復(fù)雜的情況下，衛(wèi)星呈現(xiàn)出較多的跨分系統(tǒng)耦合現(xiàn)象，使得衛(wèi)星系統(tǒng)總體設(shè)計(jì)、空間環(huán)境適應(yīng)能力、在軌運(yùn)行可靠性與健壯性等提升面臨著極大的挑戰(zhàn)[1-2]。

傳統(tǒng)通信衛(wèi)星系統(tǒng)設(shè)計(jì)與可靠性分析過(guò)程中，各分系統(tǒng)的設(shè)計(jì)與分析工作相對(duì)獨(dú)立，因此對(duì)跨分系統(tǒng)間故障傳遞問(wèn)題的認(rèn)識(shí)存在局限。如果未識(shí)別的風(fēng)險(xiǎn)從系統(tǒng)設(shè)計(jì)階段被帶到研制階段，會(huì)導(dǎo)致物理試驗(yàn)時(shí)暴露較多設(shè)計(jì)問(wèn)題。為了滿(mǎn)足新一代通信衛(wèi)星系統(tǒng)可靠性和健壯性設(shè)計(jì)需求，必須提升對(duì)系統(tǒng)故障機(jī)理的認(rèn)識(shí)，為跨分系統(tǒng)的故障分析提供有效的理論方法。在航空和鐵路等工程領(lǐng)域[3]，部分學(xué)者從系統(tǒng)控制角度對(duì)系統(tǒng)故障開(kāi)展分析，有效識(shí)別跨組件和跨分系統(tǒng)的故障風(fēng)險(xiǎn)，提升了系統(tǒng)可靠性和安全性設(shè)計(jì)水平[4]。然而，針對(duì)通信衛(wèi)星，目前缺少系統(tǒng)級(jí)故障分析的理論方法。

本文針對(duì)GEO 通信衛(wèi)星，提出基于系統(tǒng)理論事故模型與過(guò)程（STAMP）[1]的系統(tǒng)故障分析方法，通過(guò)建立系統(tǒng)控制邏輯架構(gòu)分析系統(tǒng)潛在的控制缺陷，自上至下地開(kāi)展系統(tǒng)頂層故障分析，有效識(shí)別系統(tǒng)設(shè)計(jì)中影響業(yè)務(wù)連續(xù)性與系統(tǒng)安全性的關(guān)鍵功能[5]，并從施加控制約束的角度提出可靠性設(shè)計(jì)需求，以指導(dǎo)系統(tǒng)可靠性和健壯性設(shè)計(jì)。

1 通信衛(wèi)星系統(tǒng)故障分析特點(diǎn)

1.1 系統(tǒng)架構(gòu)

隨著技術(shù)水平發(fā)展，現(xiàn)代通信衛(wèi)星有效載荷的質(zhì)量和功率均顯著增大，故而對(duì)衛(wèi)星系統(tǒng)的空間環(huán)境適應(yīng)能力、平臺(tái)承載效率以及姿態(tài)控制精度等提出了更高要求。為此，須通過(guò)優(yōu)化的架構(gòu)設(shè)計(jì)以及先進(jìn)技術(shù)、產(chǎn)品的應(yīng)用來(lái)實(shí)現(xiàn)系統(tǒng)的集成化與輕量化，包括集成化綜合電子系統(tǒng)、高效率電源系統(tǒng)以及電推進(jìn)技術(shù)等[6]。

如圖1 所示，通信衛(wèi)星系統(tǒng)由多個(gè)關(guān)鍵分系統(tǒng)組成。綜合電子在各階段為系統(tǒng)提供并分配電能，確保系統(tǒng)能源供應(yīng)。測(cè)控分系統(tǒng)提供星地之間的測(cè)控通道，并結(jié)合綜合電子系統(tǒng)保證衛(wèi)星的遙測(cè)、遙控和測(cè)距等功能?？刂品窒到y(tǒng)和推進(jìn)分系統(tǒng)負(fù)責(zé)姿態(tài)控制以及軌道機(jī)動(dòng)、位置保持，保證有效載荷的正常工作。除此之外，系統(tǒng)還配備其他保證系統(tǒng)正常運(yùn)行的結(jié)構(gòu)、熱控分系統(tǒng)等。

圖1 GEO 通信衛(wèi)星系統(tǒng)組成Fig.1 Block diagram of GEO communication satellite system

1.2 故障分析特點(diǎn)

通信衛(wèi)星任務(wù)包括為發(fā)射入軌與在軌提供業(yè)務(wù)2 個(gè)階段。發(fā)射入軌階段的主要目標(biāo)是將衛(wèi)星成功發(fā)射入軌定點(diǎn)并完成在軌測(cè)試工作；在軌提供業(yè)務(wù)階段的目標(biāo)是按照指標(biāo)要求完成覆蓋區(qū)域內(nèi)的通信業(yè)務(wù)。通信衛(wèi)星系統(tǒng)要求在較長(zhǎng)任務(wù)周期和嚴(yán)酷空間環(huán)境下具有較高的安全性與可靠性，以保證業(yè)務(wù)的連續(xù)穩(wěn)定[7]。而隨著對(duì)衛(wèi)星性能指標(biāo)要求的不斷提升以及降低發(fā)射與運(yùn)維成本的需求，新一代通信衛(wèi)星還要求具備較高的自主運(yùn)行能力，包括在星箭分離以后可自主變軌，在軌運(yùn)行階段可自主進(jìn)行姿態(tài)與軌道控制、自主能源管理和自主故障恢復(fù)等[8]。因此，新一代通信衛(wèi)星系統(tǒng)的健壯性設(shè)計(jì)極為關(guān)鍵，而傳統(tǒng)“先分后總”的研制模式由于缺少設(shè)計(jì)階段早期的頂層故障分析，難以提出有針對(duì)性的可靠性和健壯性設(shè)計(jì)需求，極易將問(wèn)題帶入后續(xù)測(cè)試階段，造成設(shè)計(jì)返工，影響研制進(jìn)度[9-10]。

系統(tǒng)故障主要表現(xiàn)為實(shí)際運(yùn)行情況超出設(shè)計(jì)預(yù)期，并對(duì)業(yè)務(wù)連續(xù)性或系統(tǒng)安全性造成不可接受的影響。因此，故障大多源于對(duì)系統(tǒng)認(rèn)識(shí)的不足，體現(xiàn)在對(duì)內(nèi)和對(duì)外兩方面，如圖2 所示：一方面，沒(méi)有吃透系統(tǒng)內(nèi)部組成的故障模式及影響，特別是跨分系統(tǒng)的耦合影響，導(dǎo)致系統(tǒng)發(fā)生非預(yù)期的失效；另一方面，系統(tǒng)運(yùn)行環(huán)境存在非預(yù)期的擾動(dòng)，如空間環(huán)境因素或其他外部干擾等[11]。因此，通信衛(wèi)星系統(tǒng)可靠性和健壯性增長(zhǎng)需要結(jié)合歷史經(jīng)驗(yàn)、故障分析與試驗(yàn)驗(yàn)證等多種手段提升對(duì)系統(tǒng)故障認(rèn)識(shí)的科學(xué)性和全面性，并通過(guò)系統(tǒng)設(shè)計(jì)避免故障發(fā)生或提升系統(tǒng)應(yīng)對(duì)故障的能力。

圖2 系統(tǒng)故障來(lái)源分析Fig.2 Source analysis of system faults

在系統(tǒng)設(shè)計(jì)的過(guò)程中，單機(jī)內(nèi)部故障機(jī)理和可靠性增長(zhǎng)不屬于系統(tǒng)故障分析的范疇，因此常常將系統(tǒng)故障簡(jiǎn)單歸結(jié)于對(duì)某種單機(jī)產(chǎn)品故障機(jī)理認(rèn)識(shí)不足。這種分析結(jié)論不利于將系統(tǒng)與單機(jī)進(jìn)行有效的耦合設(shè)計(jì)，常常會(huì)出現(xiàn)單機(jī)功能無(wú)法達(dá)到系統(tǒng)要求，需通過(guò)系統(tǒng)設(shè)計(jì)彌補(bǔ)單機(jī)功能的缺失，大大浪費(fèi)了系統(tǒng)資源并降低了系統(tǒng)可靠性。因此，在系統(tǒng)設(shè)計(jì)階段需深入分析衛(wèi)星內(nèi)部復(fù)雜的交互耦合，形成分級(jí)策略，從降低故障發(fā)生概率到阻斷故障傳播再到風(fēng)險(xiǎn)控制，分層級(jí)地降低風(fēng)險(xiǎn)影響，提高衛(wèi)星的可靠性和健壯性。

2 STAMP 與故障分析方法

2.1 STAMP 簡(jiǎn)介

隨著對(duì)復(fù)雜系統(tǒng)故障發(fā)生機(jī)制的深入研究，Leveson 提出以系統(tǒng)理論為基礎(chǔ)的事故因果關(guān)系分析模型，即STAMP[7-10,12]。STAMP 從控制邏輯角度對(duì)系統(tǒng)進(jìn)行描述，并形成分層控制結(jié)構(gòu)，每一層都對(duì)下一層通過(guò)控制行為執(zhí)行一定的約束；系統(tǒng)中所有約束的正確執(zhí)行不僅保障了系統(tǒng)功能的實(shí)現(xiàn)，同時(shí)保證了系統(tǒng)運(yùn)行的安全性。由此，STAMP 認(rèn)為系統(tǒng)故障的發(fā)生是由于系統(tǒng)控制過(guò)程中的安全性約束沒(méi)有被充分執(zhí)行，而單機(jī)失效只是原因之一。根據(jù)經(jīng)典控制理論，對(duì)一個(gè)過(guò)程進(jìn)行控制需要4 個(gè)條件——目標(biāo)條件、行動(dòng)條件、可觀察條件和模型條件。在STAMP 中，上述條件將對(duì)應(yīng)成為系統(tǒng)安全性約束、控制行為、反饋以及過(guò)程模型。

與傳統(tǒng)的故障模型相比，STAMP 充分體現(xiàn)了系統(tǒng)設(shè)計(jì)的重要作用，認(rèn)為故障來(lái)源除了單機(jī)失效外，還有可能來(lái)自系統(tǒng)內(nèi)部或系統(tǒng)與外部不正確的交互行為，充分體現(xiàn)了系統(tǒng)全局觀。并且，STAMP的分析依據(jù)是系統(tǒng)的控制邏輯架構(gòu)，不依賴(lài)具體的物理設(shè)計(jì)，可以在系統(tǒng)設(shè)計(jì)的早期開(kāi)展，以便通過(guò)故障分析形成有針對(duì)性的系統(tǒng)可靠性與健壯性設(shè)計(jì)約束，并以此為需求驅(qū)動(dòng)系統(tǒng)設(shè)計(jì)開(kāi)展。

2.2 系統(tǒng)故障分析方法

依據(jù)STAMP 與故障機(jī)理，從系統(tǒng)控制邏輯角度開(kāi)展系統(tǒng)級(jí)故障分析的具體步驟包括：

1）定義頂層事故和危險(xiǎn)

故障分析的本質(zhì)是充分認(rèn)識(shí)系統(tǒng)故障發(fā)生規(guī)律，識(shí)別薄弱環(huán)節(jié)，并通過(guò)設(shè)計(jì)避免或有效應(yīng)對(duì)故障影響。因此，首先應(yīng)明確系統(tǒng)不可接受的事故清單，并通過(guò)分析將其原因逐漸細(xì)化。作為自上至下的故障分析，將系統(tǒng)不可接受的頂層故障定義為事故（accidents），一般指人員傷害、經(jīng)濟(jì)損失、環(huán)境污染或功能喪失等。然后，對(duì)可能導(dǎo)致事故發(fā)生的危險(xiǎn)情況（hazards）進(jìn)行初步定義，并在后續(xù)分析中從控制邏輯角度對(duì)故障原因進(jìn)行細(xì)化，以便形成明確的設(shè)計(jì)約束。

2）建立系統(tǒng)控制邏輯模型

根據(jù)STAMP，需要對(duì)系統(tǒng)從控制邏輯角度進(jìn)行建模，明確控制與反饋關(guān)系。復(fù)雜系統(tǒng)的控制邏輯架構(gòu)往往分多個(gè)層級(jí)，從頂層高度抽象的控制關(guān)系逐層向內(nèi)部細(xì)化，具體粒度根據(jù)分析需求決定。

3）梳理系統(tǒng)控制過(guò)程，分析潛在系統(tǒng)故障

根據(jù)系統(tǒng)控制邏輯模型梳理出所有的控制過(guò)程。對(duì)每個(gè)控制過(guò)程，首先從未提供、提供、提供過(guò)早（或過(guò)晚）、結(jié)束過(guò)早（或過(guò)晚）的角度對(duì)其是否存在故障風(fēng)險(xiǎn)展開(kāi)分析，形成系統(tǒng)故障清單。然后針對(duì)所有系統(tǒng)故障，從避免控制缺陷發(fā)生的角度，轉(zhuǎn)換形成初步的可靠性設(shè)計(jì)約束。

4）分析故障發(fā)生場(chǎng)景并形成詳細(xì)設(shè)計(jì)約束

根據(jù)控制邏輯模型，對(duì)存在風(fēng)險(xiǎn)的控制過(guò)程從控制與反饋回路的各個(gè)環(huán)節(jié)審查可能的故障原因——可能是硬件失效，也可能是系統(tǒng)控制中不正確的交互。根據(jù)故障場(chǎng)景形成詳細(xì)的分系統(tǒng)可靠性設(shè)計(jì)約束，以指導(dǎo)后續(xù)設(shè)計(jì)。

3 通信衛(wèi)星系統(tǒng)故障分析案例

3.1 頂層事故和危險(xiǎn)定義

本文以STAMP 為基礎(chǔ)，針對(duì)如圖1 所示的典型新一代通信衛(wèi)星系統(tǒng)，在系統(tǒng)概念設(shè)計(jì)階段初期便將空間環(huán)境因素考慮在內(nèi)，開(kāi)展自上至下的系統(tǒng)故障分析，形成詳細(xì)的分系統(tǒng)可靠性和健壯性設(shè)計(jì)約束，從正向設(shè)計(jì)角度提高通信衛(wèi)星的系統(tǒng)設(shè)計(jì)可靠度和空間環(huán)境適應(yīng)能力，以滿(mǎn)足具備自主工作能力的新一代通信衛(wèi)星平臺(tái)高可靠性、長(zhǎng)壽命的系統(tǒng)設(shè)計(jì)需求。

案例分析目標(biāo)：設(shè)計(jì)階段早期開(kāi)展系統(tǒng)故障分析，形成有針對(duì)性的可靠性設(shè)計(jì)需求以指導(dǎo)后續(xù)設(shè)計(jì)開(kāi)展，解決新一代通信衛(wèi)星GEO 真空環(huán)境下系統(tǒng)集成度與復(fù)雜度提升給系統(tǒng)總體設(shè)計(jì)與可靠性增長(zhǎng)帶來(lái)的難題，提高新一代通信衛(wèi)星的系統(tǒng)設(shè)計(jì)能力。

針對(duì)設(shè)計(jì)要求和分析目標(biāo)，定義系統(tǒng)級(jí)事故如表1 所示，分別從系統(tǒng)安全性與業(yè)務(wù)連續(xù)性2 個(gè)角度考慮無(wú)法接受的頂層事故：事故A1 指太陽(yáng)輻射激增和微流星體/空間碎片等非預(yù)期空間環(huán)境因素導(dǎo)致的產(chǎn)品損壞；事故A2 指由于對(duì)空間環(huán)境認(rèn)識(shí)不足所造成的設(shè)計(jì)缺陷導(dǎo)致任務(wù)無(wú)法完成。本案例分析將從系統(tǒng)正向設(shè)計(jì)角度充分認(rèn)識(shí)可能導(dǎo)致這些事故發(fā)生的場(chǎng)景，并轉(zhuǎn)換形成細(xì)化的設(shè)計(jì)約束。

表1 系統(tǒng)事故定義Table 1 Definition of system accident

根據(jù)衛(wèi)星系統(tǒng)特點(diǎn)，初步定義可能導(dǎo)致系統(tǒng)事故的危險(xiǎn)如表2 所示。危險(xiǎn)H1 指的是衛(wèi)星的能源供應(yīng)異常，例如微流星體/空間碎片碰撞損壞太陽(yáng)電池陣，可能影響通信業(yè)務(wù)，情況嚴(yán)重有可能威脅衛(wèi)星安全。危險(xiǎn)H2 指的是硬件系統(tǒng)暴露于危險(xiǎn)的環(huán)境中，例如進(jìn)入存在威脅的空間環(huán)境或危險(xiǎn)的軌道等，可能導(dǎo)致衛(wèi)星非預(yù)期的損毀。危險(xiǎn)H3 指的是衛(wèi)星與地面的測(cè)控通信存在異常，例如等離子體環(huán)境變化產(chǎn)生干擾，既有可能影響任務(wù)實(shí)現(xiàn)，也有可能造成衛(wèi)星安全無(wú)法得到保證。危險(xiǎn)H4 指的是系統(tǒng)的姿態(tài)與軌道控制異常，既有可能影響通信功能，也可能導(dǎo)致衛(wèi)星失控?fù)p壞。危險(xiǎn)H5 指的是在衛(wèi)星完好的情況下沒(méi)能實(shí)現(xiàn)通信任務(wù)。

根據(jù)系統(tǒng)頂層事故與危險(xiǎn)定義，以避免它們的發(fā)生為目標(biāo)，形成的頂層系統(tǒng)設(shè)計(jì)需求如表3 所示。隨著故障分析開(kāi)展，頂層設(shè)計(jì)需求將被細(xì)化，為可指導(dǎo)系統(tǒng)設(shè)計(jì)的明確設(shè)計(jì)約束，驅(qū)動(dòng)后續(xù)設(shè)計(jì)工作。

表3 系統(tǒng)頂層設(shè)計(jì)需求Table 3 System top-level design requirements

3.2 系統(tǒng)控制邏輯架構(gòu)

根據(jù)STAMP 的系統(tǒng)理論故障機(jī)理，以系統(tǒng)的控制邏輯模型作為分析依據(jù)。該模型不同于物理模型，無(wú)須體現(xiàn)具體設(shè)計(jì)信息，僅描述系統(tǒng)運(yùn)行中的控制與反饋關(guān)系。根據(jù)通信衛(wèi)星系統(tǒng)功能，建立如圖3 所示的頂層控制邏輯模型，包括地面控制中心、星上自主星務(wù)管理模塊、自主控制模塊、測(cè)控通信模塊、溫度管理模塊、供配電管理模塊和有效載荷模塊等。通信衛(wèi)星在軌運(yùn)行的任務(wù)連續(xù)性和穩(wěn)定性是其安全重點(diǎn)，衛(wèi)星的連續(xù)通信能力由GNC自主控制模塊和星上測(cè)控通信模塊共同保證。

圖3 通信衛(wèi)星系統(tǒng)的頂層控制邏輯模型Fig.3 Top-level control logic model of communication satellite system

3.3 控制過(guò)程分析及潛在故障描述

根據(jù)3.2 節(jié)建立的系統(tǒng)控制邏輯模型，從控制角度分析存在故障風(fēng)險(xiǎn)的控制過(guò)程，形成系統(tǒng)故障清單。STAMP 故障機(jī)理從系統(tǒng)控制角度來(lái)認(rèn)識(shí)系統(tǒng)運(yùn)行過(guò)程，認(rèn)為系統(tǒng)功能的實(shí)現(xiàn)是通過(guò)一系列控制完成的，任何一個(gè)環(huán)節(jié)的控制未被正確或充分執(zhí)行都可能引起系統(tǒng)故障，如圖4 所示。結(jié)合通信衛(wèi)星任務(wù)特點(diǎn)，給出其電推進(jìn)姿態(tài)控制系統(tǒng)的控制過(guò)程示例如表4 所示。

圖4 典型控制與反饋回路故障原因Fig.4 Typical fault causes of control and feedback loop

表4 電推進(jìn)姿態(tài)控制系統(tǒng)控制過(guò)程示例Table 4 Control process example of electric propulsion attitude control system

對(duì)每個(gè)控制過(guò)程分析以下4 種可能：

1）沒(méi)有提供有效控制導(dǎo)致故障；

2）提供控制過(guò)早（或過(guò)晚）（包括與其他控制的時(shí)序錯(cuò)誤）導(dǎo)致故障；

3）控制結(jié)束過(guò)早（或過(guò)晚）導(dǎo)致故障。

本案例以控制過(guò)程C5“控制模塊進(jìn)入對(duì)日定向模式”為例，分析其潛在控制缺陷可能引發(fā)的系統(tǒng)故障。該控制過(guò)程與通信衛(wèi)星發(fā)射入軌和在軌工作2 個(gè)任務(wù)階段均有關(guān)。

在發(fā)射入軌階段，衛(wèi)星與運(yùn)載火箭分離后，首先進(jìn)入速率阻尼模式，消除星箭分離角速度，然后展開(kāi)太陽(yáng)電池陣進(jìn)行對(duì)日捕獲。衛(wèi)星在轉(zhuǎn)移軌道期間，為了保證長(zhǎng)期穩(wěn)定的能源供應(yīng)，在太陽(yáng)電池陣展開(kāi)后需要維持對(duì)日定向姿態(tài)。假設(shè)衛(wèi)星采用太陽(yáng)敏感器確定對(duì)日的姿態(tài)，利用陀螺測(cè)量角速度，并使用推力器噴氣的方式控制衛(wèi)星的滾動(dòng)、俯仰以及將角速度保持在一定范圍內(nèi)。此外，考慮到自主變軌需求，衛(wèi)星配備提供軌道位置信息的導(dǎo)航敏感器。圖5 所示為通信衛(wèi)星的對(duì)日定向模式控制回路。表5 所示為針對(duì)衛(wèi)星的軌道轉(zhuǎn)移階段，從控制缺陷的4 種可能形式分析控制過(guò)程C5 可能引起的系統(tǒng)故障的結(jié)果。

表5 控制過(guò)程C5 轉(zhuǎn)移軌道階段的故障分析結(jié)果Table 5 Fault analysis results of control process C5 at transfer orbit stage

圖5 對(duì)日定向模式控制回路Fig.5 Control loolp for sun-pointing guidance

同理，針對(duì)衛(wèi)星同步軌道工作階段開(kāi)展上述故障分析。衛(wèi)星在軌工作階段，對(duì)日定向模式可以?xún)?yōu)先保證衛(wèi)星的能源供應(yīng)與測(cè)控手段，對(duì)衛(wèi)星的系統(tǒng)安全至關(guān)重要，也是衛(wèi)星的安全模式。表6 所示為針對(duì)衛(wèi)星同步軌道工作階段開(kāi)展故障分析的結(jié)果。

表6 控制過(guò)程C5 同步軌道階段的故障分析結(jié)果Table 6 Fault analysis results of control process C5 at synchronous orbit stage

結(jié)合上述分析，根據(jù)潛在的系統(tǒng)故障形式，可以從對(duì)控制過(guò)程施加約束條件的角度形成初步的控制系統(tǒng)可靠性設(shè)計(jì)需求，如表7 所示。

表7 控制系統(tǒng)可靠性設(shè)計(jì)需求Table 7 Reliability design requirements of control system

3.4 分析故障場(chǎng)景并細(xì)化系統(tǒng)設(shè)計(jì)約束

對(duì)梳理出的系統(tǒng)故障進(jìn)一步開(kāi)展故障原因與發(fā)生場(chǎng)景分析，從控制與反饋關(guān)系中審查潛在的控制缺陷如何發(fā)生，并形成細(xì)化的可靠性設(shè)計(jì)約束。根據(jù)STAMP，控制缺陷有可能源于控制器、傳感器或執(zhí)行器的硬件故障，也可能源于交互過(guò)程中缺少必要的約束導(dǎo)致控制過(guò)程沒(méi)有被充分執(zhí)行。

根據(jù)圖4 所示的典型控制與反饋回路故障原因，結(jié)合圖5 對(duì)日定向模式控制回路，以故障F4“衛(wèi)星無(wú)法達(dá)到對(duì)日定向姿態(tài)”的潛在故障原因與發(fā)生場(chǎng)景為例展開(kāi)分析，得出以下故障發(fā)生場(chǎng)景：

1）星上自主控制器功能失效；

2）執(zhí)行機(jī)構(gòu)功能失效；

3）姿態(tài)控制結(jié)果超差；

4）敏感器采集信息功能失效。

經(jīng)匯總與詳細(xì)分析，可以得到故障原因，并轉(zhuǎn)換形成對(duì)設(shè)計(jì)中關(guān)鍵功能的設(shè)計(jì)約束和改進(jìn)方向，如表8 所示。

表8 故障原因與設(shè)計(jì)約束Table 8 Fault causes and design constraints

3.5 小結(jié)

本案例運(yùn)用STAMP 分析方法，從控制邏輯角度建立了通信衛(wèi)星系統(tǒng)的頂層控制架構(gòu)，自上至下分析故障原因，提出控制需求和設(shè)計(jì)約束，既保證了產(chǎn)品的可靠性又考慮到不同層級(jí)間的故障傳播條件，通過(guò)頂層設(shè)計(jì)阻斷了系統(tǒng)間的故障傳播。以系統(tǒng)可靠性設(shè)計(jì)約束實(shí)現(xiàn)了目標(biāo)條件、行動(dòng)條件、可觀察條件和模型條件之間的相互契合。

4 結(jié)束語(yǔ)

本文針對(duì)通信衛(wèi)星系統(tǒng)，基于STAMP 分析方法，在方案設(shè)計(jì)階段即結(jié)合GEO 空間環(huán)境開(kāi)展故障場(chǎng)景分析，對(duì)系統(tǒng)需求進(jìn)行梳理，在系統(tǒng)設(shè)計(jì)早期階段得到系統(tǒng)潛在故障清單并識(shí)別出系統(tǒng)的薄弱環(huán)節(jié)和故障原因，匯總出較為詳細(xì)的設(shè)計(jì)約束，從而有針對(duì)性地制定可靠性和安全性保證措施。

STAMP 與傳統(tǒng)以事件鏈模型為基礎(chǔ)的故障分析方法有著顯著區(qū)別，從以生產(chǎn)過(guò)程的質(zhì)量控制提高衛(wèi)星固有可靠性轉(zhuǎn)變?yōu)樵谠缙诘南到y(tǒng)設(shè)計(jì)過(guò)程中考慮空間環(huán)境因素以提高衛(wèi)星的固有可靠性。將衛(wèi)星設(shè)計(jì)定型后的故障預(yù)案和快速處置措施設(shè)計(jì)工作前移，重點(diǎn)放在系統(tǒng)設(shè)計(jì)前期。通過(guò)系統(tǒng)設(shè)計(jì)控制單機(jī)故障傳播速度與系統(tǒng)間的耦合故障，降低突發(fā)性空間環(huán)境因素對(duì)系統(tǒng)的影響。并根據(jù)故障發(fā)生場(chǎng)景形成系統(tǒng)設(shè)計(jì)約束，提高通信衛(wèi)星平臺(tái)的自主運(yùn)行能力，降低運(yùn)營(yíng)成本。

結(jié)合對(duì)復(fù)雜系統(tǒng)故障機(jī)理的深入分析與理解，探索系統(tǒng)設(shè)計(jì)初期的故障分析理論和方法，對(duì)系統(tǒng)集成化程度高、軟件密集度大、平臺(tái)設(shè)計(jì)迭代快的新一代通信衛(wèi)星系統(tǒng)的可靠性及健壯性設(shè)計(jì)具有重要意義。