面向任務的小衛星自主指令設計

伍保峰 李志剛 李軍予 李娟 史簡

（航天東方紅衛星有限公司，北京 100094）

1 引言

以往衛星型號的在軌任務操作主要依靠程控指令完成，遙控數據注入量大，并且存在注入遙控指令鏈不完整的可能，對衛星在軌安全運行造成嚴重的風險，為了保證遙控指令的安全性，需要地面遙控操作平臺進行專門設計［1］。現代小衛星裝載的有效載荷種類和數量越來越多，如環境減災-1A、1B衛星有3種相機［2］，工作模式復雜，衛星用戶需要了解多種復雜指令模版的細節，才能生成執行正常任務的遙控注入數據，如此增加了衛星用戶使用衛星的難度。如何提高衛星操作的效率和安全性，是衛星用戶和研制方普遍關心的問題。國外針對分布式航天器系統開展了自主指令和控制技術的研究［3］。在我國，星務系統已經廣泛應用于小衛星中，星上具備較強的數據處理和計算能力［4］，為優化衛星在軌任務操作提供了軟硬件基礎。為了簡化衛星遙控操作，提高衛星的安全性、可靠性和可用性，降低衛星對地面人工管理的依賴性，本文分析了小衛星遙控指令執行的特點，提出了面向任務的自主指令設計方案，可以有效簡化衛星遙控操作，并提高指令的安全性。

2 小衛星遙控指令特點和設計原則

小衛星只使用少量的直接指令用于部分關鍵設備加斷電或主備份切換控制，此外，由星載計算機執行的遙控數據和間接指令是控制衛星工作的主要手段。星務中心計算機是整星的信息中心，接收遙控數據和間接指令，并通過總線發送給各下位機。星務中心計算機監視全星狀態，協調整星的工作，控制有效載荷在軌工作和參數重新設置。各下位機接收來自總線的遙控數據和間接指令，完成相應的控制。

1）小衛星遙控指令特點

（1）大部分指令由星載軟件執行，可以完成復雜的指令控制，支持帶參數的指令；

（2）如果指令執行是有條件的，該條件是否滿足，可以由星上自主判斷，也可以由地面判斷；

（3）衛星常規任務管理有一定的規律性，可以由固定指令系列完成，地面控制重復執行；

（4）指令之間有一定的相關性。

2）設計原則

根據以上特點，在設計遙控指令時應遵循以下原則：

（1）安全設計：對于關鍵危險指令，應采取硬件或軟件措施保證遙控指令的安全性，確保任何情況下不對衛星造成破壞性損傷。

（2）容錯設計：星上軟件應能夠完成遙控數據和間接指令漏發時的重發，完成完整性和正確性判斷，自動剔除錯誤的數據和指令。

（3）簡化操作：星上設備應當盡量支持簡化操作，減小星地操作的復雜性和人工誤操作的可能性。

（4）自動故障監測處理：判斷星上設備工作和健康狀態，發現故障由星上自動處理，避免故障范圍擴大，并便于地面對衛星的狀態監視和管理。

3 面向任務的自主指令設計

美國國家航空航天局（NASA）采用自主指令技術對衛星群進行控制［5］，在我國研制的小衛星中，也不斷改進衛星遙控指令設計，簡化衛星操作并提高衛星的安全性。以星務中心計算機為信息處理中心，充分發揮星載計算機的智能處理能力，對常用工作模式或異常處理的指令系列進行封裝，例如，只須發送一條類似“照相幾分鐘”的帶參數指令，即可控制一次有效載荷的工作，而不必了解星上設備工作需要幾條指令、指令順序以及控制設備等細節，避免了地面發送多條遙控指令可能導致指令鏈不完整等錯誤引起的故障風險，簡化了衛星系統與用戶的接口關系。星務中心計算機軟件實現的面向任務的自主指令功能，包括遙控數據接收、程控指令、自主任務管理、自主故障監測與處理、封裝系列指令和間接指令處理等功能模塊，其控制流程如圖1所示。

圖1 面向任務的自主指令控制流程圖Fig．1 Mission-oriented autonomous commands control flow

3．1 封裝系列指令

間接指令包括執行條件標志、指令代碼和參數。封裝系列指令技術對載荷工作、故障處理等需要的多條間接指令進行封裝，包括間接指令代碼、時間間隔、最大允許執行時間、執行條件標志、故障判據調整量、臨界資源標志、指令執行優先級等信息，存儲在星務中心計算機中，可以通過遙控注入數據進行在軌修改或增加。封裝系列指令代碼格式如圖2所示，執行條件標志的每一位對應一種衛星健康狀態，“1”為相關，“0”為無關。臨界資源標志的每一位對應一種臨界資源，“1”為相關，“0”為無關。具體的設計要配合程控、自主任務管理和自主故障監測與處理等模塊的需求而進行，支持它們完成特定的功能。

圖2 封裝系列指令格式Fig．2 Format of encapsulated batch commands

封裝系列指令在執行時，判斷能源、姿態和熱控等衛星健康狀態是否滿足執行條件，對執行條件標志和衛星健康狀態作“與”運算，結果為“0”才可以執行，還須判斷臨界資源使用是否與正在執行的指令有沖突。由于衛星工作模式的改變會引起故障判據的變化，根據封裝系列指令的執行情況，實時修改故障監測的判據，如載荷設備開關時，要對整星電流判斷門限動態調整。星上很多間接指令執行是有條件的，錯誤執行可能造成嚴重后果，所以，在執行間接指令時，判斷執行條件是否滿足，否則執行異常處理流程。例如，某星上設備有幾路電壓分別由幾條指令控制，要求嚴格按順序加電，否則設備就會損傷，在這種情況下星上需要嚴格判斷加電情況。如果不采取安全性設計措施，一旦在單機測試、整星測試和在軌長期使用中由于某種原因發生漏指令問題，則可能造成災難性后果，封裝系列指令技術則可以有效避免這類誤操作的風險。封裝系列指令執行流程如圖3所示。

圖3 封裝系列指令執行流程Fig．3 Implementation flow diagram of encapsulated batch commands

3．2 封裝系列指令啟動方法

封裝系列指令可以由地面發送指令或程控指令啟動，也可以由自主任務管理、自主故障監測與處理模塊產生的特定事件觸發啟動。

程控指令是一種廣泛使用的傳統衛星操作方式，衛星用戶選擇對應任務的封裝系列指令，計算好指令執行的開始時刻，確定需要的執行時間長度等間接指令參數，把包含執行時刻和間接指令代碼的數據注入到星上。星上計算機定時檢查程控指令的執行時間，如果時間到，則按間接指令代碼啟動相應的封裝系列指令。對于一次任務，地面只須注入一條程控指令就可以完成任務的啟動。

目前，衛星有效載荷在軌工作主要靠地面注入的程控指令完成，采用在軌任務自主管理技術可以進一步簡化衛星操作。NASA 的深空-1（DS-1）、地球觀測-1（EO-1）、3CS（Three Corner Sat）等衛星采用連續規劃與調度系統（Continuous Activity Scheduling，Planning，Execution and Replanning，CASPER）技術自主完成載荷的控制［6］。為了方便衛星用戶的使用，2000年在我國海洋一號（HY-1）衛星中，根據有效載荷主要重復觀測特定地理區域的工作特點，綜合利用GPS信息、能源信息和衛星姿態信息，滿足條件后星上自動產生觸發事件啟動相應的封裝系列指令，實現了有效載荷在我國境內工作的自主運行管理，降低了衛星日常管理的工作量［7］。

自主故障監測與處理模塊對整星狀態進行分析、監測，自動更新整星的健康狀態作為封裝系列指令的執行條件，發現異常時產生特定的事件觸發相應的封裝系列指令，完成故障隔離、恢復或系統重組等措施，如對故障設備加斷電、主備機切換、恢復工作狀態和冗余系統重構等。采用封裝系列指令技術有效解決了以往衛星型號中的故障監測與執行指令的邏輯復雜、不易擴展以及整星指令執行時序不易控制等難題。

4 面向任務的自主指令在軌應用情況

面向任務的自主指令已經成功應用到多個小衛星型號，在軌應用情況證明，它的確顯著簡化了衛星遙控操作和任務管理。2008年發射的環境減災-1（HJ-1）衛星，每種任務模式的指令間執行時間相對固定，唯一不同的是成像時間長度不同，采用了面向任務的自主指令技術，只須注入一塊數據（小于256byte）就可完成一個星期的工作任務，其效率比以往衛星型號提高了約20～30倍，大大簡化了衛星管理的復雜度，并提高了衛星的可靠性和安全性［8］。

2010年遙感-9（YaoGan-9）衛星發射后，由于軌道輻照條件惡劣，單粒子事件發生頻繁，多臺設備發生了多種意想不到的故障模式，嚴重影響衛星的正常使用。針對在軌新發生的故障，5次在軌升級星務中心計算機軟件的自主故障監測與恢復功能模塊和封裝系列指令功能模塊，改進故障監測方法及封裝系列指令，從而實現自動監測故障，并在最短時間內故障設備自動恢復工作，把故障對衛星的影響降到最低程度，有效保證了衛星可靠性和可用性，顯示了面向任務的自主指令技術的作用和擴展工作能力。

5 結束語

本文提出的小衛星面向任務的自主指令技術已經成功應用到我國多顆小衛星上，經過在軌飛行驗證，有效提高了衛星的可靠性、安全性和可用性，簡化了衛星的操作，比以往傳統的程控指令操作方式提高20～30倍的遙控注入效率。在后續衛星型號研制中，需要根據衛星的工作特點，進一步改進和完善面向任務的自主指令技術。

（References）

［1］楊永安，余培軍，陳建平，等．基于SCL的航天器遙控操作平臺設計與實現［J］．宇航學報，2006，27（3）：438-441

Yang Yongan，Yu Peijun，Chen Jianping，et al．Design and realization of telecommand operation platform based on spacecraft control language［J］．Journal of Astronautics，2006，27（3）：438-441（in Chinese）

［2］白照廣，沈中，王肇宇．環境減災-1A、1B 衛星技術［J］．航天器工程，2009，18（6）：1-11

Bai Zhaoguang，Shen Zhong，Wang Zhaoyu．HJ-1A／1B satellite technology［J］．Spacecraft Engineering，2009，18（6）：1-11（in Chinese）

［3］Stadter P A，Barrett G R，Watson D P．Autonomous command and control for distributed spacecraft system operations［C］／／2003 Aerospace Conference．New York：IEEE，2003（2）：825-835

［4］李孝同．“實踐五號”衛星星務管理系統［J］．中國空間科學技術，2000，20（5）：30-35

Li Xiaotong．Satellite housekeeping system of SJ-5［J］．Chinese Space Science and Technology，2000，20（5）：30-35（in Chinese）

［5］Zetocha P，Self L，Wainwright R，et al．Commanding and controlling satellite clusters［J］．IEEE Intelligent Systems，2000，15：8-13

［6］Knight R，Rabideau G，Chien S，et al．Casper：space exploration through continuous planning［J］．IEEE Intelligent Systems，2001，16：70-75

［7］賈濤，伍保峰．中國海洋一號衛星星務管理系統設計與在軌性能評估［J］．航天器工程，2003，12（3）：71-78

Jia Tao，Wu Baofeng．Design and in-orbit performance evaluation of HY-1housekeeping system ［J］．Spacecraft Engineering，2003，12（3）：71-78（in Chinese）

［8］李志剛，伍保峰，馮永．環境減災-1A、1B 衛星星務分系統技術［J］．航天器工程，2009，18（6）：76-80

Li Zhigang，Wu Baofeng，Feng Yong．Technical Characteristics of HJ-1A／1Bhousekeeping system［J］．Spacecraft Engineering，2009，18（6）：76-80（in Chinese）