CN103034232B - 一种基于分层结构的深空探测器gnc系统自主故障处理和保护方法 - Google Patents

Abstract

一种基于分层结构的深空探测器GNC系统自主故障处理和保护方法，(1)根据FMEA结果，对导致其他部件或部件内其他部分永久性损坏或失效的故障，进行硬件保护；对于其他故障，采用红线法判断采集的测点数据是否正常，将部件的状态进行标志，并提交给控制器供系统级故障诊断使用；(2)利用提交到控制器的状态信息及测点数据，进行故障诊断，如果存在硬件冗余或解析冗余，则将故障部件切换为正常的冗余部件，如果不存在硬件冗余或解析冗余，则转步骤(3)；(3)当步骤(2)不能定位故障源或故障源无冗余备份替换，且检测出姿态超差，指向失控时，则转入对日定向模式，并关闭深空探测器飞行非必须设备以减少电能消耗；当探测器失控，推进系统乱喷气，星体翻滚，则关自锁阀，转入停控模式，以节省探测器的推进剂消耗。

Description

一种基于分层结构的深空探测器GNC系统自主故障处理和保护方法

技术领域

本发明属于深空探测器故障处理领域，涉及一种自主故障处理和保护方法，适用于深空探测器GNC系统的故障自主诊断、处理与保护。

背景技术

对于深空探测任务来说，航天器的探测对象、目的和所处的环境都不同于地球卫星系统，从而对航天器的操作和控制技术带来了新的挑战。首先深空探测航天器飞行时间长，深空环境未知因素多且复杂，这就使得航天器GNC系统及部件遭遇突发事件和出现故障的概率增大。其次，深空探测航天器与地面测控站的通信延迟大，信号还可能被太阳及其他天体遮挡，这使得基于地面测控站的导航与控制反应慢，不利于突发事件的处理，尤其对于载人深空探测任务将是十分危险的。因此，为了保证深空探测航天器发生故障后能够及时处理，从而降低故障风险，需要发展自主故障保护技术，实现在地面通信完全中断的情况下仍然能够完成轨道确定和控制、姿态定向及目标跟踪等任务，增强深空探测航天器的自主生存能力。为此，美国国家宇航局(NASA)和欧空局(ESA)在探测任务中都考虑了采用自主故障保护技术，例如土星探测器Cassini、近地小行星交会任务(NEAR)、深空一号(DS-1)、深空撞击计划和彗星探测的罗塞塔(Rosetta)计划等都开发了相应的故障自主保护系统。我国在深空探测航天器设计方面也考虑了故障保护技术，但目前具有的故障保护功能较凌乱，尚未形成故障保护体系，且自主性不够。

发明内容

本发明的技术解决问题是：克服现有技术的不足，设计了一种深空探测器GNC系统自主故障保护模式。该模式通过将故障处理分成了部件级故障保护、系统级硬件故障保护、系统级功能故障保护三个层次，从而使得故障发生后能够尽快诊断，并将故障影响限制在尽可能小的范围，保证了系统的安全性和可靠性。

本发明的技术解决方案是：基于分层结构的深空探测器GNC系统自主故障处理和保护方法，方法分成部件级故障保护、系统级硬件故障保护、系统级功能故障保护三个层次；方法步骤如下：

(1)对GNC系统内部件进行故障模式分析，根据部件故障模式分析(FMEA)结果，对导致其他部件或部件内其他部分永久性损坏或失效的故障，进行硬件保护，即进行过压保护、过流保护、过速保护、强光保护或温度保护；对于其他故障，在部件内设置测点，采集测点数据，采用红线法判断采集的测点数据是否正常，将部件的状态进行标志，并将状态信息及采集的测点数据提交给控制器供系统级故障诊断使用，并转步骤(2)；

(2)利用步骤(1)提交到控制器的状态信息及测点数据，进行故障诊断，针对诊断结果，如果存在硬件冗余或解析冗余，则将故障部件切换为正常的冗余部件，如果不存在硬件冗余或解析冗余，则转步骤(3)；

(3)当步骤(2)不能定位故障源或故障源无冗余备份替换，且检测出姿态超差，指向失控时，则转入对日定向模式，并关闭深空探测器飞行非必须设备以减少电能消耗；当探测器失控，推进系统乱喷气，星体翻滚，则关自锁阀，转入停控模式，以节省探测器的推进剂消耗。

所述步骤(2)中的故障诊断步骤如下：

(2.1)根据步骤(1)提交到控制器的状态信息及测点数据，建立故障-测点关联矩阵；根据GNC系统各部件提供的自检信息、模拟量遥测信息以及根据故障模式-测点关联矩阵进行故障诊断，若根据故障-测点关联矩阵能够唯一确定故障模式，则该故障模式即为诊断结果；否则转步骤(2.2)进行组件级故障诊断；

(2.2)利用GNC系统敏感器之间的冗余关系以及执行机构输入输出关系的一致性进行故障诊断，得到发生故障的部件；将不满足冗余关系或不能唯一确定故障的部件转步骤(2.3)进行系统级故障诊断；

(2.3)判断GNC系统是否为最小系统，若不是最小系统，则首先利用敏感器或执行机构的冗余关系判断是敏感器故障还是执行机构故障，再将控制器产生的理论控制力矩代入探测器的动力学和运动学方程，解算探测器的理论角速度，根据理论角速度与敏感器测量角速度的一致性诊断出具体发生故障的部件；否则转步骤(2.4)；所述的最小系统为敏感器、执行机构都不存在冗余；

(2.4)累计推力器三轴各方向的喷气时间，在规定的时间内，如果三轴任一方向的累计喷气时间超过预先设定的阈值，则GNC系统存在故障，否则GNC系统正常。

所述的组件级故障诊断主要包括基于奇偶空间的陀螺诊断、星敏感器诊断、陀螺与星敏感器联合诊断；基于输入输出直接冗余的动量轮故障诊断。

所述的陀螺与星敏感器联合诊断适用于陀螺与星敏感器数量总和大于等于5时，且假设发生单故障，诊断步骤如下：

(2.2.1)当陀螺数量为4个时，根据每个陀螺输出的一致性，判断陀螺是否异常，若输出一致，则陀螺均正常，否则陀螺存在异常，转步骤(2.2.3)；

(2.2.2)当星敏感器数量为2个时，根据每个星敏感器输出的一致性，判断星敏感器是否异常，若输出一致，则星敏感器正常，否则星敏感器异常，转步骤(2.2.3)；

(2.2.3)当陀螺或星敏感器任意一种部件存在异常时，则根据陀螺和星敏感器测得的角速度的一致性，确定故障部件。

本发明与现有技术相比有益效果为：

(1)本发明提出的部件级故障保护策略能够对严酷度高的故障实现部件级保护，保证了故障部件不会对正常部件产生危害。对于不能确定是否部件自身故障的情况，以标志位的形式提交给控制计算机，由控制计算机通过系统级诊断实现故障定位，从而降低了故障的误诊率。

(2)本发明提出的系统级硬件故障保护能够综合整个系统的信息进行系统级故障诊断，提高了诊断结果的准确性，并可利用解析冗余进行系统重构。

(3)本发明提出的系统级功能故障保护可以处理难以定位故障源的故障，通过工作模式切换保证航天器电能供应和限制推进剂消耗，为后续有地面支撑的故障处理提供条件。

(4)本发明采用的分层机制使得故障发生后能够尽快诊断，并将故障影响限制在尽可能小的范围，保证了系统的安全性和可靠性，符合工程实际需求。

附图说明

图1为本发明中自主故障处理与保护模式的工作原理图；

图2为本发明姿态控制系统的系统级故障诊断示意图。

具体实施方式

下面结合附图对本发明的具体实施方式进行进一步的详细描述。

本发明提供了一种深空探测器GNC系统自主故障处理和保护方法，用于深空探测器GNC系统发生故障后的自主处理，提高航天器的安全性，降低故障风险。如图1所示为本发明的自主故障处理和保护方法工作原理，共分成三个层次：部件级故障保护、系统级硬件故障保护和系统级功能故障保护。

(1)部件级故障保护

首先对GNC系统内部件进行故障模式分析(FMEA)，根据故障模式的严酷度将部件级保护分成两类：

①对于可能导致其他部件或部件内其他模块受到永久性损坏或失效的高严酷度故障，进行硬件保护，包括过压保护、过流保护、过速保护、强光保护、温度保护等。

②对于部件其他故障，进行软件保护。利用部件内设置的能够反映部件故障的测点，部件的处理器采用红线法对测点信息进行诊断，当测点数据、复位电平、杂光干扰强度超出设计阈值或内存写入数据与读取数据比对不一致，则认为部件存在故障。对部件提交给控制器的数据进行故障诊断标志处理，即将部件中不正常的状态进行标志，并将标志后的信息提交给控制器供系统故障诊断使用。例如，当部件出现内存读写异常或杂光干扰时，将相应的内存性能标准位或数据有效性标志位置为无效，根据通讯协议提交给姿态轨道控制计算机供系统级诊断使用。

(2)系统级硬件故障保护

系统级硬件故障保护包括两部分。第一部分是系统级故障诊断模块，通过系统级软件设计来实现；第二部分是冗余部件切换模块，主要是针对系统级故障诊断的结果，判断是否存在正常部件替换故障部件(包括解析冗余)，如果存在则产生控制指令，将故障部件切换为正常部件；如果不存在，则将判断结果提交给工作模式切换模块转步骤(3)。

①自主故障诊断

深空探测器GNC系统自主故障诊断方法包括部件级故障诊断、组件级故障诊断、系统级故障诊断三个层次。首先利用部件自身的自检信息和模拟量遥测数据进行部件级故障诊断，其次利用部件之间的冗余关系、输入输出关系进行组件级故障诊断，当部件级冗余关系不能满足组件级诊断的冗余需求时，利用航天器动力学进行系统级故障诊断，最后当GNC系统为最小系统时，通过推力器在规定时间内的累计喷气时间是否超过设定阈值检测系统是否存在故障。所述的最小系统为敏感器、执行机构都不存在冗余。如图2所示：

a.部件级故障诊断

该步骤利用部件自身提供的自检信息和模拟量遥测数据，采用故障字典方法进行诊断，可以定位到部件的功能模块。部件的自检信息包括RAM自检、

复位状态、数据有效标志、见强光标志、工作模式等，一般以0或1表示正常或异常。模拟量遥测数据包括电源遥测、温度遥测、马达遥测、电流遥测、转速方向遥测等，一般为0～5V的电压量。

针对模拟量遥测，首先通过红线法将其转换为0或1表示的形式。例如，电源遥测为4～5V有效，则当实测值V∈[4，5]时，认为电源遥测正常，用0表示；当实测值V∈[0，4)时，认为电源遥测异常，用1表示。

根据部件故障模式分析(FMEA)结果或故障仿真分析结果，建立故障-测点关联矩阵，如表1所示。

表1故障-测点关联矩阵

	测点1	测点2	…	测点n
					故障模式1	1	0	…	1
故障模式2	0	0	…	1
					…	…	…	…	…
故障模式m	0	1	…	0

上表中，行为测点(部件自检信息和模拟量遥测信息的集合)，列为故障模式，行列交叉处的数字表示故障模式与测点的关联关系，为0则表示故障模式对测点无影响，为1则表示故障模式发生后测点表现为异常。因此，根据故障-测点关联矩阵形成了故障字典，在探测器运行中实时检测各测点的输出，当测点输出异常时，根据不同测点的异常情况，通过查表1所示的故障字典，便可实现部件级故障诊断。例如，当检测到测点2异常(对应测点2的列的数字为1)，其他测点均正常(对应其他测点的数字为0)时，通过表1所示的故障字典可以得到故障为故障模式n。

b.组件级故障诊断

当部件级诊断不能唯一确定故障源时，则转入到组件级诊断。组件级故障诊断主要包括同类敏感器的互诊断、不同类敏感器的联合诊断、基于输入输出一致性的执行机构故障诊断。针对目前常用的深空探测器GNC系统配置，这里主要讨论基于奇偶空间的陀螺诊断、星敏感器诊断、陀螺与星敏感器联合诊断、基于输入输出一致性的动量轮故障诊断，且根据工程实际，认为同时仅发生一个故障，即满足单故障假设。

组件级诊断主要通过敏感器之间的冗余关系以及执行机构输入输出关系的一致性来实现，因此需要满足以下诊断条件：

(a)利用多个陀螺进行互诊断时，要求参加定姿的陀螺个数大于4个；

(b)利用多个星敏感器进行互诊断时，要求参加定姿的星敏感器个数大于2个；

(c)利用陀螺和星敏感器进行联合诊断时，要求参加定姿的陀螺和星敏感器数量总和大于等于5个；

(d)控制计算机能够获取发送给动量轮的控制指令和动量轮转速、转向等工作状态。

在满足以上条件的基础上，通过以下步骤实现组件级诊断：

(a)当参加定姿的陀螺个数大于4个时，利用多个陀螺进行互诊断

当可用陀螺个数大于4个时，根据陀螺测量轴之间夹角尽可能接近90°的原则引入其中5个陀螺为工作陀螺，分别设5个陀螺的测量角速度为g₁，g₂，...，g₅，安装矩阵分别为A₁，A₂，...，A₅，A₁～A₅均为1×3维的向量。则由其中任意3个陀螺i，j，k(i≠j≠k)确定的探测器三轴角速度为

${\mathrm{\ω}}_{\mathrm{ijk}}=\mathrm{inv}\left(\left[\begin{array}{c}{A}_i\\ A_j\\ A_k\end{array}\right]\right)\left[\begin{array}{c}{g}_i\\ g_j\\ g_k\end{array}\right]---\left(1\right)$

其中，inv()代表矩阵求逆(下同)，则第l(l≠i，j，k)个陀螺的测量值与ω_ijk在该陀螺测量轴方向的投影之间的残差为

ε_ijkl＝|g_l-A_lω_ijk|                     (2)

将i，j，k，l分别在1～5取值，则可分别得到ε₁₂₃₄，ε₁₂₃₅，ε₂₃₄₅，ε₁₃₄₅，ε₁₂₄₅，设定残差阈值r₀，使得当i个陀螺故障时，脚标中与i相关的残差均大于r₀，而与i无关的残差小于r₀。

探测器在轨运行中，利用残差ε_ijkd和阈值r₀实现对陀螺的诊断：分别对陀螺1～5设定诊断分值f₁～f₅，当ε_ijkl＞r₀时，则f_i，f_j，f_k，f_l均减1，当ε_ijkl＜r₀时，则f_i，f_j，f_k，f_l均加1，诊断分值最先达到0的陀螺为故障陀螺。

(b)当参加定姿的星敏感器个数大于2个时，利用多个星敏感器进行互诊断

当可用星敏个数大于2个时，任选其中三个星敏为工作星敏，分别设3个星敏测得的光轴在惯性系的指向为Z_S1，Z_S2，Z_S3，则根据测量值分别计算三个星敏的光轴夹角：

${\mathrm{\α}}_{\mathrm{ij}}=\arccos \left(\frac{Z_{\mathrm{Si}}\·Z_{\mathrm{Sj}}}{\left|Z_{\mathrm{Si}}\right|\left|Z_{\mathrm{Sj}}\right|}\right)$ i≠j且i，j∈(1，2，3)(3)

根据星敏的安装矩阵分别可得到光轴之间的理论夹角为α_ij0，则星敏i和星敏j之间夹角的测量结果与理论值之间的残差为：

ε_ij＝|α_ij-α_ij0|                    (4)

设定残差阈值r_S0，使得当i个星敏故障时，脚标中与i相关的残差均大于r_S0，而与i无关的残差小于r_S0。

探测器在轨运行中，利用残差ε_ij和阈值r_S0实现对星敏的诊断：分别对星敏1～3设定诊断分值f_S1～f_S3，当ε_ij＞r_S0时，则f_Si，f_Sj均减1，当ε_ij＜r_S0时，则f_Si，f_Sj均加1，诊断分值最先达到0的星敏为故障星敏。

(c)当不满足①和②的要求且参加定姿的陀螺和星敏感器总和大于等于5个时，利用陀螺和星敏感器进行联合诊断

需要联合诊断的包括以下2种情况：

1.4个陀螺+1个星敏感器

当陀螺个数为4个、星敏个数为1个时，首先对陀螺是否故障进行检测。根据式(2)计算ε₁₂₃₄，如果ε₁₂₃₄＜r₀则说明4个陀螺均工作正常，否则若ε₁₂₃₄＞r₀则说明存在陀螺故障。

如果陀螺均正常，则可通过陀螺测量结果对星敏进行故障隔离。设星敏测得的三轴姿态角速度为ω_S＝[ω_Sx，ω_Sy，ω_Sz]′，利用陀螺计算得到三轴姿态角速度为

${\mathrm{\ω}}_{1234}=\left[\begin{array}{c}{\mathrm{\ω}}_{1234x}\\ {\mathrm{\ω}}_{1234y}\\ {\mathrm{\ω}}_{1234z}\end{array}\right]=\mathrm{inv}\left(\left[\begin{array}{cccc}{A_1}^{\′}& {A_2}^{\′}& {A_3}^{\′}& \end{array}{A_4}^{\′}\right]\left[\begin{array}{c}{A}_1\\ A_2\\ A_3\\ A_4\end{array}\right]\right)\left[\begin{array}{cccc}{A_1}^{\′}& {A_2}^{\′}& {A_3}^{\′}& {A_4}^{\′}\end{array}\right]\left[\begin{array}{c}{g}_1\\ g_2\\ g_3\\ g_4\end{array}\right]---\left(5\right)$

则计算

${\mathrm{\ϵ}}_S=\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Sx}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{1234x}(t_0+j)*\mathrm{\Δt}\left)\right)\right|+\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Sy}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{1234y}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{1234y}(t_0+j*\mathrm{\Δt}))\right|$

$+\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Sz}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{1234z}(t_0+j*\mathrm{\Δt}))\right|---\left(6\right)$

式中Δt控制周期，t₀为计算初始时刻，m为累计次数，上标“′”代表矩阵转置(下同)。

当ε_S大于设定阈值r_S0时，则星敏故障。

如果陀螺存在故障，在单故障假设下，通过星敏感器测量结果对其进行隔离。分别计算

${\mathrm{\ϵ}}_{\mathrm{Gi}}=|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{g}_i-A_i\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_S(t_0+j*\mathrm{\Δt})*\mathrm{\Δt})|,i=\mathrm{1,2,3,4}---\left(7\right)$

当ε_Gi大于设定阈值r_G0时，则陀螺i故障。

II.3个陀螺+2个星敏感器

当陀螺个数为3个、星敏感器个数为2个时，首先对星敏感器是否故障进行检测。设星敏测得的三轴姿态角速度分别为ω_S1＝[ω_S1x，ω_S1y，ω_S1z]′和ω_S2＝[ω_S2x，ω_S2y，ω_S2z]′，根据式(4)计算ε₁₂，如果ε₁₂＜r_S0则说明两个星敏工作正常，否则若ε₁₂＞r_S0则说明存在星敏故障。

如果星敏感器均正常，可通过星敏感器测量结果对陀螺进行故障检测和隔离，分别计算

${\mathrm{\ϵ}}_{\mathrm{Gi}}=|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{g}_i-A_i\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{S1}(t_0+j*\mathrm{\Δ})+{\mathrm{\ω}}_{S2}(t_0+j*\mathrm{\Δt}))*\mathrm{\Δt}/2|,i=\mathrm{1,2,3}---\left(8\right)$

当ε_Gi大于设定阈值r_G0时，则陀螺i故障。

如果星敏感器存在故障，在单故障假设下，通过陀螺测量结果对其进行隔离。根据式(1)利用3个陀螺的测量值计算探测器三轴角速度ω_ijk＝[ω_ijkx ω_ijky ω_ijkz]′，然后分别计算：

${\mathrm{\ϵ}}_{\mathrm{Si}}=\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Six}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{\mathrm{ijkx}}(t_0+j*\mathrm{\Δt}))\right|+\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Siy}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{\mathrm{ijky}}(t_0+j*\mathrm{\Δt}))\right|$

$+\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Siz}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{\mathrm{ijkz}})(t_0+j*\mathrm{\Δt})\right|,i=\mathrm{1,2}---\left(9\right)$

式中Δt控制周期，t₀为计算初始时刻，m为累计次数。当ε_Si大于设定阈值r_S0时，则星敏i故障。

(d)基于输入输出关系的动量轮诊断

设t时刻动量轮输入控制指令为U_w(t)，则m*Δt时间内动量轮角动量的理论变化量为其中ΔU(t)为t-1到t时刻输入指令的变化量。因此可计算得到动量轮转速的理论变化量为Δω_w＝ΔH/I_w。根据动量轮实际变化量和理论变化量得到残差

ε_w＝|Δω_w-(ω_w(t₀+mΔt)-ω_w(t₀))|               (10)

当ε_w大于阈值r_w0时，则认为动量轮故障。

c.系统级故障诊断

当不满足组件级诊断的冗余条件时，需要引入探测器的星体动力学和运动学，利用敏感器、执行机构、控制器的数学模型和动力学、运动学之间的解析冗余进行系统级故障诊断。由于动量轮可以通过基于输入输出的直接冗余进行诊断，往往不需要放在系统级进行诊断。

系统级诊断往往用于不满足组件级诊断条件，且GNC系统不为最小系统的情况。这里最小系统指的是敏感器、执行机构都不存在冗余的系统。作为一种典型情况，这里分析了敏感器包括3个陀螺、1个星敏和1组推力器(含三轴正负方向)的情况，其他情况可利用上述思想进行相似分析。

针对3个陀螺+1个星敏+1组推力器(含三轴正负方向)的情况，首先根据式(1)利用3个陀螺的测量值计算探测器三轴角速度ω_ijk＝[ω_ijkx ω_ijky ω_ijkz]′，再通过下式检测敏感器是否存在故障：

${\mathrm{\ϵ}}_S=\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Sx}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{\mathrm{ijkx}}(t_0+j*\mathrm{\Δt}))\right|+\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Sy}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{\mathrm{ijky}}(t_0+j*\mathrm{\Δt}))\right|$

$+\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Sz}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{\mathrm{ijkz}}(t_0+j*\mathrm{\Δt}))\right|---\left(11\right)$

式中Δt控制周期，t₀为计算初始时刻，m为累计次数。当ε_S大于设定阈值r_S0时，则敏感器存在故障，否则敏感器正常。

在此基础上，引入系统动力学方程：

$I_x{\mathrm{\ω}}_x=\frac{1}{S}[(I_y-I_z){\mathrm{\ω}}_y{\mathrm{\ω}}_z+u_{x,r}]$

$I_y{\mathrm{\ω}}_y=\frac{1}{S}[(I_z-I_x){\mathrm{\ω}}_z{\mathrm{\ω}}_x+u_{y,r}]$

$I_z{\mathrm{\ω}}_z=\frac{1}{S}[(I_x-I_y){\mathrm{\ω}}_x{\mathrm{\ω}}_y+u_{z,r}]---\left(12\right)$

u_x，r＝u_x+Δu_x

u_y，r＝u_y+Δu_y                  (13)

u_z，r＝u_z+Δu_z

其中I＝diag(I_x，I_y，I_z)为探测器惯量阵，u_r＝[u_x，ru_y，ru_z，r]′为实际控制力矩，u＝[u_x u_y u_z]′为控制器发出的期望控制力矩，可由控制器获得。Δu＝[Δu_x Δu_y Δu_z]′为实际控制力矩与期望控制力矩之间的偏差，正常情况为小量。

当敏感器存在故障时，令Δu＝0，将u＝[u_x u_y u_z]′代入式(12)解算出三轴理论角速度ω_t＝[ω_tx，ω_ty，ω_tz]′，通过下式隔离故障敏感器：

${\mathrm{\ϵ}}_{\mathrm{Gi}}=|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{g}_i-A_i\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{\mathrm{\ω}}_t(t_0+j*\mathrm{\Δt})*\mathrm{\Δt}|,i=\mathrm{1,2,3}---\left(14\right)$

${\mathrm{\ϵ}}_S=\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Sx}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{\mathrm{tx}}(t_0+j*\mathrm{\Δt}))\right|+\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Sy}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{\mathrm{ty}}(t_0+j*\mathrm{\Δt}))\right|$

$+\left|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}({\mathrm{\ω}}_{\mathrm{Sz}}(t_0+j*\mathrm{\Δt})-{\mathrm{\ω}}_{\mathrm{tz}}(t_0+j*\mathrm{\Δt}))\right|---\left(15\right)$

式中Δt控制周期，t₀为计算初始时刻，m为累计次数。

当ε_Gi大于设定阈值r_G0时，则第i个陀螺存在故障。

当ε_S大于设定阈值r_S0时，则星敏感器存在故障。

当敏感器均正常时，令Δu＝0，将u＝[u_x u_y u_z]′代入式(12)解算出三轴理论角速度ω_t＝[ω_tx，ω_ty，ω_tz]′，通过下式隔离故障敏感器：

${\mathrm{\ϵ}}_T=\left[\begin{array}{c}{\mathrm{\ϵ}}_{\mathrm{Tx}}\\ {\mathrm{\ϵ}}_{\mathrm{Ty}}\\ {\mathrm{\ϵ}}_{\mathrm{Tz}}\end{array}\right]=|\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{\mathrm{\ω}}_t(t_0+j*\mathrm{\Δt})-\underset{j=1}{\overset{m}{\mathrm{\Σ}}}\mathrm{inv}\left(\left[\begin{array}{c}{A}_i\\ A_j\\ A_k\end{array}\right]\right)\left[\begin{array}{c}{g}_i(t_0+j*\mathrm{\Δt})/\mathrm{\Δt}\\ g_j(t_0+j*\mathrm{\Δt})/\mathrm{\Δt}\\ g_k(t_0+j*\mathrm{\Δt})/\mathrm{\Δt}\end{array}\right]|---\left(16\right)$

当ε_Tx、ε_Ty、ε_Tz大于设定阈值r_T0时，则相应方向上的推力器存在故障。

d.基于喷气时间约束的故障检测

当探测为最小系统时，仅进行故障检测，不再进行故障隔离。在探测器稳定运行期间，以t₀时刻开始累计m*Δt时间内三轴正负方向的喷气时间，如果任何方向的累计喷气时间超过设定阈值r_t0，则系统存在故障。

②冗余部件切换

冗余部件切换模块主要是针对系统级故障诊断的结果，判断是否存在正常部件替换故障部件(包括解析冗余)，如果存在则产生控制指令，将故障部件切换为正常部件；如果不存在，则将判断结果提交给工作模式切换模块，转步骤(3)。

将故障部件切换为正常部件包括陀螺重构、星敏感器重构和动量轮重构等。

陀螺重构

控制器与多个通道的陀螺局部终端单元(LTU)通信，根据陀螺故障诊断结果，决定选取分值最大的3或4个陀螺参加定姿，并在地面允许自主的情况下完成陀螺的自主重构。当诊断出陀螺故障，如果有备用陀螺，则在地面注入允许自主加断电的情况下，切除故障陀螺，对备用陀螺进行加电。

当陀螺LTU与控制器通讯故障时，首先在参与定姿的陀螺中切除该陀螺并引入正常陀螺，并进行通讯测试，若通讯正常，则与其他陀螺同时进行打分诊断，若复位后通讯异常，则切除该陀螺并将备用陀螺加电。

当正常工作的陀螺个数小于3个时，在地面注入允许自主复位时，可由应用软件自主实现对所有加电陀螺的LTU复位。若连续3次复位后可正常工作的陀螺个数仍然小于3个，则应用软件置“禁止清切机狗”标志为有效，等待控制器切机。

星敏感器重构

如果通过故障诊断发现星敏感器故障，则切除故障的星敏感器并引入备用的星敏感器，从而保证至少有一个星敏感器参加姿态确定。

当星敏感器与控制器通讯故障时，首先切除该星敏感器并引入正常星敏感器，然后对该故障星敏感器进行复位，若复位后通讯正常，则将该星敏感器作为备用产品；若复位后通讯异常，则切除该星敏感器。

动量轮重构

根据动量轮故障诊断结果，切除故障动量轮，如果存在备用动量轮则引入备用动量轮，如果不存在备用动量轮，则根据实际可用动量轮个数和安装矩阵采用伪逆法重构分配律。

当动量轮与控制器通讯故障时，首先切除该动量轮并引入正常动量轮，然后对该故障部件进行复位测试，若复位后通讯正常，则将该动量轮作为备用产品；若复位后通讯异常，则切除该动量轮。

当正常工作的动量轮个数小于3个时，在地面注入允许自主复位时，可由应用软件自主实现对所有加电动量轮的LTU复位。若连续3次复位后可正常工作的动量轮个数仍然小于3个，则切换为喷气控制，进而由地面决策是否进行控制器切机。

(3)系统级功能故障保护

系统级功能故障保护用于处理系统级硬件故障保护不能处理的故障和导致姿态超差的未能诊断出来的故障，主要通过工作模式切换的方式实现。当系统级故障诊断不能定位故障源或故障源无冗余备份替换，且检测出姿态超差，指向失控时，则转入对日定向模式，并关闭深空探测器飞行非必须设备以减少电能消耗；当探测器失控，推进系统乱喷气，星体翻滚，则关自锁阀，转入停控模式，以节省探测器的推进剂消耗。上述两种故障保护方式均为安全模式，目的是为飞控人员排查故障争取时间，而不能从根本上对故障进行处理。

本发明说明书中未作详细描述的内容属本领域技术人员的公知技术。

Claims (4)

1.一种基于分层结构的深空探测器GNC系统自主故障处理和保护方法，其特征在于：方法分成部件级故障保护、系统级硬件故障保护、系统级功能故障保护三个层次；方法步骤如下：

(1)对GNC系统内部件进行故障模式分析，根据部件故障模式分析(FMEA)结果，对导致其他部件或部件内其他部分永久性损坏或失效的故障，进行硬件保护，即进行过压保护、过流保护、过速保护、强光保护或温度保护；对于其他故障，在部件内设置测点，采集测点数据，采用红线法判断采集的测点数据是否正常，将部件的状态进行标志，并将状态信息及采集的测点数据提交给控制器供系统级故障诊断使用，并转步骤(2)；

(2)利用步骤(1)提交到控制器的状态信息及测点数据，进行故障诊断，针对诊断结果，如果存在硬件冗余或解析冗余，则将故障部件切换为正常的冗余部件，如果不存在硬件冗余或解析冗余，则转步骤(3)；

(3)当步骤(2)不能定位故障源或故障源无冗余备份替换，且检测出姿态超差，指向失控时，则转入对日定向模式，并关闭深空探测器飞行非必须设备以减少电能消耗；当探测器失控，推进系统乱喷气，星体翻滚，则关自锁阀，转入停控模式，以节省探测器的推进剂消耗。

2.根据权利要求1所述的基于分层结构的深空探测器GNC系统自主故障处理和保护方法，其特征在于：所述步骤(2)中的故障诊断步骤如下：

(2.1)根据步骤(1)提交到控制器的状态信息及测点数据，建立故障-测点关联矩阵；根据GNC系统各部件提供的自检信息、模拟量遥测信息以及根据故障模式-测点关联矩阵进行故障诊断，若根据故障-测点关联矩阵能够唯一确定故障模式，则该故障模式即为诊断结果；否则转步骤(2.2)进行组件级故障诊断；

(2.2)利用GNC系统敏感器之间的冗余关系以及执行机构输入输出关系的一致性进行故障诊断，得到发生故障的部件；将不满足冗余关系或不能唯一确定故障的部件转步骤(2.3)进行系统级故障诊断；

(2.3)判断GNC系统是否为最小系统，若不是最小系统，则首先利用敏感器或执行机构的冗余关系判断是敏感器故障还是执行机构故障，再将控制器产生的理论控制力矩代入探测器的动力学和运动学方程，解算探测器的理论角速度，根据理论角速度与敏感器测量角速度的一致性诊断出具体发生故障的部件；否则转步骤(2.4)；所述的最小系统为敏感器、执行机构都不存在冗余；

(2.4)累计推力器三轴各方向的喷气时间，在规定的时间内，如果三轴任一方向的累计喷气时间超过预先设定的阈值，则GNC系统存在故障，否则GNC系统正常。

3.根据权利要求2所述的基于分层结构的深空探测器GNC系统自主故障处理和保护方法，其特征在于：所述的组件级故障诊断包括基于奇偶空间的陀螺诊断、星敏感器诊断、陀螺与星敏感器联合诊断；基于输入输出直接冗余的动量轮故障诊断。

4.根据权利要求3所述的基于分层结构的深空探测器GNC系统自主故障处理和保护方法，其特征在于：所述的陀螺与星敏感器联合诊断适用于陀螺与星敏感器数量总和大于等于5时，且假设发生单故障，诊断步骤如下：

(2.2.1)当陀螺数量为4个时，根据每个陀螺输出的一致性，判断陀螺是否异常，若输出一致，则陀螺均正常，否则陀螺存在异常，转步骤(2.2.3)；

(2.2.2)当星敏感器数量为2个时，根据每个星敏感器输出的一致性，判断星敏感器是否异常，若输出一致，则星敏感器正常，否则星敏感器异常，转步骤(2.2.3)；

(2.2.3)当陀螺或星敏感器任意一种部件存在异常时，则根据陀螺和星敏感器测得的角速度的一致性，确定故障部件。