专利名称:一种基于分层结构的深空探测器gnc系统自主故障处理和保护方法
技术领域:
本发明属于深空探测器故障处理领域,涉及一种自主故障处理和保护方法,适用于深空探测器GNC系统的故障自主诊断、处理与保护。
背景技术:
对于深空探测任务来说,航天器的探测对象、目的和所处的环境都不同于地球卫星系统,从而对航天器的操作和控制技术带来了新的挑战。首先深空探测航天器飞行时间长,深空环境未知因素多且复杂,这就使得航天器GNC系统及部件遭遇突发事件和出现故障的概率增大。其次,深空探测航天器与地面测控站的通信延迟大,信号还可能被太阳及其他天体遮挡,这使得基于地面测控站的导航与控制反应慢,不利于突发事件的处理,尤其对于载人深空探测任务将是十分危险的。因此,为了保证深空探测航天器发生故障后能够及时处理,从而降低故障风险,需要发展自主故障保护技术,实现在地面通信完全中断的情况下仍然能够完成轨道确定和控制、姿态定向及目标跟踪等任务,增强深空探测航天器的自主生存能力。为此,美国国家宇航局(NASA)和欧空局(ESA)在探测任务中都考虑了采用自主故障保护技术,例如土星探测器Cassin1、近地小行星交会任务(NEAR)、深空一号(DS-1)、深空撞击计划和彗星探测的罗塞塔(Rosetta)计划等都开发了相应的故障自主保护系统。我国在深空探测航天器设计方面也考虑了故障保护技术,但目前具有的故障保护功能较凌乱,尚未形成故障保护体系,且自主性不够。
发明内容
本发明的技术解决问题是克服现有技术的不足,设计了一种深空探测器GNC系统自主故障保护模式。该模式通过将故障处理分成了部件级故障保护、系统级硬件故障保护、系统级功能故障保护三个层次,从而使得故障发生后能够尽快诊断,并将故障影响限制在尽可能小的范围,保证了系统的安全性和可靠性。本发明的技术解决方案是基于分层结构的深空探测器GNC系统自主故障处理和保护方法,方法分成部件级故障保护、系统级硬件故障保护、系统级功能故障保护三个层次;方法步骤如下(I)对GNC系统内部件进行故障模式分析,根据部件故障模式分析(FMEA)结果,对导致其他部件或部件内其他部分永久性损坏或失效的故障,进行硬件保护,即进行过压保护、过流保护、过速保护、强光保护或温度保护;对于其他故障,在部件内设置测点,采集测点数据,采用红线法判断采集的测点数据是否正常,将部件的状态进行标志,并将状态信息及采集的测点数据提交给控制器供系统级故障诊断使用,并转步骤(2);(2)利用步骤⑴提交到控制器的状态信息及测点数据,进行故障诊断,针对诊断结果,如果存在硬件冗余或解析冗余,则将故障部件切换为正常的冗余部件,如果不存在硬件冗余或解析冗余,则转步骤(3);
(3)当步骤(2)不能定位故障源或故障源无冗余备份替换,且检测出姿态超差,指向失控时,则转入对日定向模式,并关闭深空探测器飞行非必须设备以减少电能消耗;当探测器失控,推进系统乱喷气,星体翻滚,则关自锁阀,转入停控模式,以节省探测器的推进剂消耗。所述步骤(2)中的故障诊断步骤如下(2.1)根据步骤⑴提交到控制器的状态信息及测点数据,建立故障-测点关联矩阵;根据GNC系统各部件提供的自检信息、模拟量遥测信息以及根据故障模式-测点关联矩阵进行故障诊断,若根据故障-测点关联矩阵能够唯一确定故障模式,则该故障模式即为诊断结果;否则转步骤(2. 2)进行组件级故障诊断;(2. 2)利用GNC系统敏感器之间的冗余关系以及执行机构输入输出关系的一致性进行故障诊断,得到发生故障的部件;将不满足冗余关系或不能唯一确定故障的部件转步骤(2. 3)进行系统级故障诊断; (2. 3)判断GNC系统是否为最小系统,若不是最小系统,则首先利用敏感器或执行机构的冗余关系判断是敏感器故障还是执行机构故障,再将控制器产生的理论控制力矩代入探测器的动力学和运动学方程,解算探测器的理论角速度,根据理论角速度与敏感器测量角速度的一致性诊断出具体发生故障的部件;否则转步骤(2.4);所述的最小系统为敏感器、执行机构都不存在冗余;(2. 4)累计推力器三轴各方向的喷气时间,在规定的时间内,如果三轴任一方向的累计喷气时间超过预先设定的阈值,则GNC系统存在故障,否则GNC系统正常。所述的组件级故障诊断主要包括基于奇偶空间的陀螺诊断、星敏感器诊断、陀螺与星敏感器联合诊断;基于输入输出直接冗余的动量轮故障诊断。所述的陀螺与星敏感器联合诊断适用于陀螺与星敏感器数量总和大于等于5时,且假设发生单故障,诊断步骤如下(2. 2.1)当陀螺数量为4个时,根据每个陀螺输出的一致性,判断陀螺是否异常,若输出一致,则陀螺均正常,否则陀螺存在异常,转步骤(2.2.3);(2. 2. 2)当星敏感器数量为2个时,根据每个星敏感器输出的一致性,判断星敏感器是否异常,若输出一致,则星敏感器正常,否则星敏感器异常,转步骤(2.2.3);(2. 2. 3)当陀螺或星敏感器任意一种部件存在异常时,则根据陀螺和星敏感器测得的角速度的一致性,确定故障部件。本发明与现有技术相比有益效果为(I)本发明提出的部件级故障保护策略能够对严酷度高的故障实现部件级保护,保证了故障部件不会对正常部件产生危害。对于不能确定是否部件自身故障的情况,以标志位的形式提交给控制计算机,由控制计算机通过系统级诊断实现故障定位,从而降低了故障的误诊率。(2)本发明提出的系统级硬件故障保护能够综合整个系统的信息进行系统级故障诊断,提高了诊断结果的准确性,并可利用解析冗余进行系统重构。(3)本发明提出的系统级功能故障保护可以处理难以定位故障源的故障,通过工作模式切换保证航天器电能供应和限制推进剂消耗,为后续有地面支撑的故障处理提供条件。
(4)本发明采用的分层机制使得故障发生后能够尽快诊断,并将故障影响限制在尽可能小的范围,保证了系统的安全性和可靠性,符合工程实际需求。
图1为本发明中自主故障处理与保护模式的工作原理图;图2为本发明姿态控制系统的系统级故障诊断示意图。
具体实施例方式下面结合附图对本发明的具体实施方式
进行进一步的详细描述。本发明提供了一种深空探测器GNC系统自主故障处理和保护方法,用于深空探测器GNC系统发生故障后的自主处理,提高航天器的安全性,降低故障风险。如图1所示为本发明的自主故障处理和保护方法工作原理,共分成三个层次部件级故障保护、系统级硬件故障保护和系统级功能故障保护。(I)部件级故障保护首先对GNC系统内部件进行故障模式分析(FMEA),根据故障模式的严酷度将部件级保护分成两类①对于可能导致其他部件或部件内其他模块受到永久性损坏或失效的高严酷度故障,进行硬件保护,包括过压保护、过流保护、过速保护、强光保护、温度保护等。②对于部件其他故障,进行软件保护。利用部件内设置的能够反映部件故障的测点,部件的处理器采用红线法对测点信息进行诊断,当测点数据、复位电平、杂光干扰强度超出设计阈值或内存写入数据与读取数据比对不一致,则认为部件存在故障。对部件提交给控制器的数据进行故障诊断标志处理,即将部件中不正常的状态进行标志,并将标志后的信息提交给控制器供系统故障诊断使用。例如,当部件出现内存读写异常或杂光干扰时,将相应的内存性能标准位或数据有效性标志位置为无效,根据通讯协议提交给姿态轨道控制计算机供系统级诊断使用。(2)系统级硬件故障保护系统级硬件故障保护包括两部分。第一部分是系统级故障诊断模块,通过系统级软件设计来实现;第二部分是冗余部件切换模块,主要是针对系统级故障诊断的结果,判断是否存在正常部件替换故障部件(包括解析冗余),如果存在则产生控制指令,将故障部件切换为正常部件;如果不存在,则将判断结果提交给工作模式切换模块转步骤(3)。①自主故障诊断深空探测器GNC系统自主故障诊断方法包括部件级故障诊断、组件级故障诊断、系统级故障诊断三个层次。首先利用部件自身的自检信息和模拟量遥测数据进行部件级故障诊断,其次利用部件之间的冗余关系、输入输出关系进行组件级故障诊断,当部件级冗余关系不能满足组件级诊断的冗余需求时,利用航天器动力学进行系统级故障诊断,最后当GNC系统为最小系统时,通过推力器在规定时间内的累计喷气时间是否超过设定阈值检测系统是否存在故障。所述的最小系统为敏感器、执行机构都不存在冗余。如图2所示a.部件级故障诊断该步骤利用部件自身提供的自检信息和模拟量遥测数据,采用故障字典方法进行诊断,可以定位到部件的功能模块。部件的自检信息包括RAM自检、复位状态、数据有效标志、见强光标志、工作模式等,一般以O或I表示正常或异常。模拟量遥测数据包括电源遥测、温度遥测、马达遥测、电流遥测、转速方向遥测等,一般为O 5V的电压量。针对模拟量遥测,首先通过红线法将其转换为O或I表示的形式。例如,电源遥测为4 5V有效,则当实测值Ve [4,5]时,认为电源遥测正常,用O表示;当实测值Ve [O,4)时,认为电源遥测异常,用I表示。根据部件故障模式分析(FMEA)结果或故障仿真分析结果,建立故障-测点关联矩阵,如表I所示。表I故障-测点关联矩阵
权利要求
1.一种基于分层结构的深空探测器GNC系统自主故障处理和保护方法,其特征在于方法分成部件级故障保护、系统级硬件故障保护、系统级功能故障保护三个层次;方法步骤如下 (1)对GNC系统内部件进行故障模式分析,根据部件故障模式分析(FMEA)结果,对导致其他部件或部件内其他部分永久性损坏或失效的故障,进行硬件保护,即进行过压保护、过流保护、过速保护、强光保护或温度保护;对于其他故障,在部件内设置测点,采集测点数据,采用红线法判断采集的测点数据是否正常,将部件的状态进行标志,并将状态信息及采集的测点数据提交给控制器供系统级故障诊断使用,并转步骤(2); (2)利用步骤(I)提交到控制器的状态信息及测点数据,进行故障诊断,针对诊断结果,如果存在硬件冗余或解析冗余,则将故障部件切换为正常的冗余部件,如果不存在硬件冗余或解析冗余,则转步骤(3); (3)当步骤(2)不能定位故障源或故障源无冗余备份替换,且检测出姿态超差,指向失控时,则转入对日定向模式,并关闭深空探测器飞行非必须设备以减少电能消耗;当探测器失控,推进系统乱喷气,星体翻滚,则关自锁阀,转入停控模式,以节省探测器的推进剂消耗。
2.根据权利要求1所述的基于分层结构的深空探测器GNC系统自主故障处理和保护方法,其特征在于所述步骤(2)中的故障诊断步骤如下 (2.1)根据步骤(I)提交到控制器的状态信息及测点数据,建立故障-测点关联矩阵;根据GNC系统各部件提供的自检信息、模拟量遥测信息以及根据故障模式-测点关联矩阵进行故障诊断,若根据故障-测点关联矩阵能够唯一确定故障模式,则该故障模式即为诊断结果;否则转步骤(2. 2)进行组件级故障诊断; (2. 2)利用GNC系统敏感器之间的冗余关系以及执行机构输入输出关系的一致性进行故障诊断,得到发生故障的部件;将不满足冗余关系或不能唯一确定故障的部件转步骤(2. 3)进行系统级故障诊断; (2. 3)判断GNC系统是否为最小系统,若不是最小系统,则首先利用敏感器或执行机构的冗余关系判断是敏感器故障还是执行机构故障,再将控制器产生的理论控制力矩代入探测器的动力学和运动学方程,解算探测器的理论角速度,根据理论角速度与敏感器测量角速度的一致性诊断出具体发生故障的部件;否则转步骤(2.4);所述的最小系统为敏感器、执行机构都不存在冗余; (2. 4)累计推力器三轴各方向的喷气时间,在规定的时间内,如果三轴任一方向的累计喷气时间超过预先设定的阈值,则GNC系统存在故障,否则GNC系统正常。
3.根据权利要求1所述的基于分层结构的深空探测器GNC系统自主故障处理和保护方法,其特征在于所述的组件级故障诊断主要包括基于奇偶空间的陀螺诊断、星敏感器诊断、陀螺与星敏感器联合诊断;基于输入输出直接冗余的动量轮故障诊断。
4.根据权利要求3所述的基于分层结构的深空探测器GNC系统自主故障处理和保护方法,其特征在于所述的陀螺与星敏感器联合诊断适用于陀螺与星敏感器数量总和大于等于5时,且假设发生单故障,诊断步骤如下 (2. 2.1)当陀螺数量为4个时,根据每个陀螺输出的一致性,判断陀螺是否异常,若输出一致,则陀螺均正常,否则陀螺存在异常,转步骤(2.2.3);(2. 2. 2)当星敏感器数量为2个时,根据每个星敏感器输出的一致性,判断星敏感器是否异常,若输出一致,则星敏感器正常,否则星敏感器异常,转步骤(2.2.3); (2. 2 . 3)当陀螺或星敏感器任意一种部件存在异常时,则根据陀螺和星敏感器测得的角速度的一致性,确定故障部件。
全文摘要
一种基于分层结构的深空探测器GNC系统自主故障处理和保护方法,(1)根据FMEA结果,对导致其他部件或部件内其他部分永久性损坏或失效的故障,进行硬件保护;对于其他故障,采用红线法判断采集的测点数据是否正常,将部件的状态进行标志,并提交给控制器供系统级故障诊断使用;(2)利用提交到控制器的状态信息及测点数据,进行故障诊断,如果存在硬件冗余或解析冗余,则将故障部件切换为正常的冗余部件,如果不存在硬件冗余或解析冗余,则转步骤(3);(3)当步骤(2)不能定位故障源或故障源无冗余备份替换,且检测出姿态超差,指向失控时,则转入对日定向模式,并关闭深空探测器飞行非必须设备以减少电能消耗;当探测器失控,推进系统乱喷气,星体翻滚,则关自锁阀,转入停控模式,以节省探测器的推进剂消耗。
文档编号G05B23/02GK103034232SQ201210519519
公开日2013年4月10日 申请日期2012年11月30日 优先权日2012年11月30日
发明者王大轶, 刘成瑞, 黄翔宇 申请人:北京控制工程研究所