GB/T 40698-2021 航天控制系统工程通用要求

　　ICS 49 . 020 CCS V 73

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 40698—2021

　　航天控制系统工程通用要求

　　Generalrequirementsforaerospacecontrolsystem engineering

　　2021-10-1 1 发布 2022-05-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 40698—202 1

　　前 言

　　本文件按照 GB/T 1 . 1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规定起草。

　　请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别专利的责任。

　　本文件由全国宇航技术及其应用标准化技术委员会(SAC/TC 425)提出并归口 。

　　本文件起草单位：北京航天自动控制研究所、中国航天标准化研究所。

　　本文件主要起草人：胡海峰、柳嘉润、肖利红、张隽、张雅顺、徐国强、韩利军、王光辉、王伟、孙赵根、宋轶姝。

　　GB/T 40698—202 1

　　航天控制系统工程通用要求

　　1 范围

　　本文件规定了航天控制系统工程技术活动(需求定义、分析、设计、生产、验证与确认、操作、维护与处置)的一般要求和过程要求。

　　本文件适用于航天器和运载火箭控制系统的设计、生产、验证和使用。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注 日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 8566 信息技术 软件生存周期过程

　　GB/T 9414 . 9 维修性 第 9 部分：维修和维修保障

　　GB/T 22032 系统工程 系统生存周期过程

　　GB/T 32295 运载火箭剩余推进剂排放设计要求

　　GB/T 32297 航天控制系统仿真要求

　　GB/T 32423 系统与软件工程 验证与确认

　　GB/T 32451 航天项目管理

　　GB/T 34513 空间碎片减缓要求

　　GB/T 38194 运载火箭操作性碎片减缓设计要求

　　3 术语和定义

　　下列术语和定义适用于本文件。

　　3.1

　　控制部件 controlcomponent

　　为实现控制 目标，在控制系统中部分或全部使用的部件。

　　3.2

　　控制器 controller

　　使被控对象具有特定控制性能的控制部件。

　　3.3

　　传感器 sensor

　　测量被控对象状态并将其输入给控制器的设备。

　　3.4

　　执行机构 actuator

　　根据控制器的指令，产生控制所需力或力矩的部件。

　　GB/T 40698—202 1

　　4 一般要求

　　4 . 1 控制系统组成

　　控制系统对被控对象进行控制，使其状态实现工程要求，实现控制 目标。 控制系统一般由控制器、传感器、执行机构等控制部件组成，如图 1 所示。

　　图 1 控制系统组成

　　对于航天应用，被控对象一般包括：

　　a) 航天器(含人造卫星、飞船、探测器、空间站);

　　b) 运载火箭(含基础级和上面级)。

　　4 . 2 工程阶段划分

　　根据 GB/T 32451 定义，控制系统工程一般划分为互相关联的不同阶段，使工程过程受控，并最大限度降低工程的技术、进度和经济风险。

　　控制系统工程阶段划分见表 1 。

　　表 1 控制系统工程阶段划分及对应关系

　　GB/T 40698—202 1

　　各工程阶段主要工作如下：

　　a) 在阶段 0,对控制系统的任务进行初步定义，开展任务需求分析，对阶段 A 中要考虑的初步方案进行预评估;

　　b) 在阶段 A,探索各种可能的控制系统方案，进行可行性论证，以满足航天系统对控制系统的要求，包括性能、成本和进度;

　　c) 在阶段 B,从阶段 A结束时提出的备选方案中选择方案进行开发，并制定必要的需求;

　　d) 在阶段 C,对阶段 B 的方案进行详细研究，以获得合格的控制系统解决方案，完成系统设计，开展样机研制，进行试生产和试验飞行;

　　e) 在阶段 D,完成控制系统的规模化批量制造、组装、集成和交付;

　　f) 在阶段 E,通过正确操作，控制系统投入使用;

　　g) 在阶段 F,完成控制系统的维护或终止运行。

　　在控制系统工程开始应确定工程阶段的数量和 目标。 可依据风险情况对工程阶段进行裁剪，裁剪方法可参考附录 A。

　　4 . 3 工程活动

　　控制系统工程一般包括以下工程活动。

　　a) 需求定义：包括任务的正确理解、控制系统需求到较低层级需求的分配;在需求定义活动中，基于定性或定量分析，对上层需求进行合理分解，获得控制系统需求，并进一步分解为对控制部件的需求。

　　b) 分析：在控制系统功能和性能需求定义、控制设计方案评估、控制性能确认和验证的所有层级和方面进行分析;控制系统工程中的分析活动与工程中的其他活动均有交互。

　　c) 设计：包括系统功能架构设计、算法设计、物理架构设计、硬件设计、软件设计;在设计活动中，根据需求定义的结果，对控制系统功能和物理架构、算法、硬件和软件进行概念设计或详细设计 。在设计过程中，需通过分析以获得最优或次优的结果，通过对正式或临时设计结果的验证和确认，确保设计结果满足需求。

　　d) 生产：包括制造、组装和集成;获得设计结果后，进行控制系统生产，将控制系统产品组装到航天系统上进行验证性飞行试验或投入实际使用。

　　e) 验证与确认：通过仿真、软件测试、部件测试、综合测试、飞行确认等方式，证明控制系统满足预期控制 目标和要求。

　　f) 操作：为满足航天特定目的，实现特定功能，在地面或飞行中进行相关操作，使控制系统和被控对象保持或恢复到要求的状态。

　　g) 维护与处置：维护包括硬件维护和软件维护;处置涉及将航天系统移动到废弃轨道，不产生太空垃圾，确保该区域未来的安全和可持续使用。

　　以上活动在控制系统工程不同阶段进行，其交互关系如图 2 所示。

　　图 2 控制系统工程活动

　　GB/T 40698—202 1

　　4 . 4 工程活动任务

　　控制系统工程各个活动的主要任务如表 2 所示。

　　表 2 控制系统工程活动中的主要任务

　　在不同工程阶段，控制系统工程活动任务可根据具体属性和需要进行裁剪，裁剪方法可参考附录 A。 各工程阶段中各活动的输入、任务和输出，如表 3~表 6 所示。

　　表 3 阶段 0/阶段 A控制系统工程输入、任务和输出

　　表 4 阶段 B 控制系统工程输入、任务和输出

　　表 5 阶段 C/阶段 D控制系统工程输入、任务和输出

　　表 6 阶段 E/阶段 F控制系统工程输入、任务和输出

　　GB/T 40698—202 1

　　5 过程要求

　　5 . 1 需求定义

　　5 . 1 . 1 总则

　　控制系统需求应根据任务目标(如功能、成本和可靠性等)进行定义，并应考虑其他系统的约束，如机械结构、环境条件和操作等。

　　在需求定义过程中，需将控制系统需求分解为较低层级需求，并分配给控制部件。

　　5 . 1 . 2 控制系统需求生成

　　控制系统需求的生成应具备可追溯性和合理性。 控制系统需求应明确、具体，确保与总体要求的一致性可被追溯，并满足其他系统的约束条件。

　　控制系统需求的生成一般采用自顶向下方式;若存在已有控制部件和控制律重用的情况，可采用自底向上方式。

　　控制系统需求应形成受控的文档(如规范、技术条件、接口控制文件等)，控制系统的任务专用需求应在对应的文档中记录。

　　控制系统需求一般包括以下部分：

　　a) 控制系统功能需求，如飞行轨迹控制、姿态稳定和机动、轨道机动和轨道保持;

　　b) 控制系统性能需求，如制导和轨道控制精度、姿态控制精度、电气性能、寿命;

　　c) 任务专用需求，如任务中避免碰撞、离轨、入轨、羽流效应限制的最小允许推力倾斜角、传感器测量范围、执行机构工作范围、对准要求、机械刚度、固有频率;

　　d) 其他需求，如物理约束(重量、功耗)、环境约束、六性要求、成本约束、进度约束。

　　5 . 1 . 3 控制系统需求到控制部件的分配

　　5 . 1 . 3 . 1 一般要求

　　应识别和定义控制部件需求，根据工程阶段分阶段细化部件需求。

　　应对控制部件的所有属性进行可行性确认。

　　5 . 1 . 3 . 2 传感器

　　可规定下列传感器属性。

　　a) 功能与性能需求：

　　1) 测量体制;

　　2) 绝对/相对精度(校准前/后);

　　3) 测量范围(包括运行条件带来的限制);

　　4) 分辨率;

　　5) 线性度;

　　6) 最大允许不可预测偏差;

　　7) 测量带宽;

　　8) 时间要求(如采样率、最大延迟时间);

　　9) 最大允许噪声，包括模数转换导致的量化噪声;

　　10) 故障检测、隔离与恢复要求。

　　GB/T 40698—202 1

　　b) 运行需求：

　　1) 测量模式(如精细模式或粗糙模式);

　　2) 模式转换条件;

　　3) 运行限制(如光学传感器的太阳规避角及致盲后恢复);

　　4) 校准要求：类型(永久或临时)、频率、刷新的时间和参数。

　　c) 配置需求：

　　1) 调节要求(如 自 由视场、传感器与执行机构之间的最小刚度);

　　2) 内部干扰约束(如振动)。

　　d) 接口需求：

　　1) 安装要求(如偏差和稳定性);

　　2) 电气接口要求(如模拟接口最大噪声);

　　3) 数据接口要求(如分辨率)。

　　e) 验证需求：

　　1) 测试接口要求(如激励输入);

　　2) 地面测试的特殊要求(如自检)。

　　5 . 1 . 3 . 3 执行机构

　　可规定下列执行机构属性。

　　a) 功能与性能要求：

　　1) 工作原理;

　　2) 绝对/相对精度(校准前/后);

　　3) 运行范围(包括运行条件带来的限制);

　　4) 分辨率;

　　5) 线性度;

　　6) 最大允许不可预测偏差;

　　7) 不同控制指令下的带宽、响应时间和调节时间(在阶跃信号指令下的响应);

　　8) 时间要求(如指令变化率、最大延迟时间);

　　9) 最大允许噪声，包括数模转换导致的噪声;

　　10) 故障检测、隔离与恢复要求。

　　b) 运行需求：

　　1) 执行模式(如力矩或速度控制);

　　2) 模式转换条件;

　　3) 运行限制(如执行机构的最大数量);

　　4) 校准要求：类型(永久或临时)、频率、刷新的时间和参数。

　　c) 配置需求：

　　1) 调节要求(如执行机构的位置和方向);

　　2) 避免由执行机构引起干扰。

　　d) 接口需求：

　　1) 安装要求(如偏差和稳定性);

　　2) 电气接口要求(如模拟接口最大噪声);

　　3) 数据接口要求(如分辨率)。

　　e) 验证需求：

　　1) 测试接口要求(如激励输入);

　　GB/T 40698—202 1

　　2) 地面测试的特殊要求(如地面驱动能源)。

　　5 . 1 . 3 . 4 控制器

　　5 . 1 . 3 . 4 . 1 控制器硬件需求

　　可规定下列控制器硬件需求：

　　a) 传感器数据读取的采样频率;

　　b) 执行机构指令的输出频率;

　　c) 传感器信息读取、控制器处理和发出执行器指令的允许处理延迟;

　　d) 延时的允许时间波动;

　　e) 电气接口要求;

　　f) 计算性能和内存要求。

　　以上参数的定义过程需与控制器软件需求定义协同开展。

　　5 . 1 . 3 . 4 . 2 控制器软件需求

　　可规定下列控制器软件需求。

　　a) 在控制器中实现控制功能的算法：

　　1) 期望状态的定义;

　　2) 估计状态的确定;

　　3) 控制指令的计算;

　　4) 控制模式管理;

　　5) 控制系统状态监控;

　　6) 故障检测、隔离与恢复;

　　7) 外部接口交互，一般包括遥控和遥测数据交互。

　　b) 控制算法的计算精度。

　　c) 控制软件时间要求(采样率、延时)与控制器硬件时间要求保持一致。

　　d) 安全关键控制功能的时间、吞吐量和空间要求。

　　e) 控制软件接口要求：

　　1) 系统内软件接口要求;

　　2) 系统间软件接口要求。

　　5 . 2 分析

　　5 . 2 . 1 总则

　　分析活动一般需贯穿整个控制系统工程，与其他控制系统工程活动紧密耦合，实现以下目的：

　　a) 支撑需求在不同控制功能间的分配;

　　b) 支撑控制功能或物理架构及实现的选择;

　　c) 权衡备选控制方案;

　　d) 识别风险因素;

　　e) 验证控制系统性能。

　　5 . 2 . 2 分析模型

　　根据分析的目的和工程阶段，应使用经过证实的、具备足够精度的模型。 应对图 1 所示的所有元素进行建模。

　　GB/T 40698—202 1

　　模型的数量和详细程度取决于工程阶段。 在工程早期阶段(阶段 0、阶段 A 和阶段 B),开发简化分析模型，以进行控制性能预评估。 简化模型为控制系统需求可行性评估提供输入。 可采用简化模型对备选控制架构、控制原理(算法)的评估和不同控制部件的选择进行数值权衡。

　　一般采用以下分析模型。

　　a) 数学模型

　　对被控对象、控制部件、环境及干扰的行为进行数学描述，包括算法、公式和参数等。 数学模型开发和使用需满足性能分析的要求。 数学模型为控制系统性能评估提供充分的输入和输出数据。

　　为进行性能分析，应使用验证过的参数或通过专项试验确定的参数对干扰进行建模。 典型的内外部干扰包括：

　　1) 航天器的质量分布参数偏差;

　　2) 振动、摩擦和噪声;

　　3) 推力扰动;

　　4) 气动特性参数偏差;

　　5) 传感器和执行机构的安装误差、测量误差;

　　6) 天体引力场的扰动，如地球、月球;

　　7) 天体磁场的扰动，如地球、火星;

　　8) 大气温度和密度的扰动;

　　9) 风;

　　10) 等离子环境的扰动，如太阳风。

　　b) 仿真模型

　　将数学模型用计算机程序实现，以获得仿真模型。

　　在阶段 C和阶段 D,为验证和优化控制系统设计，应建立详细的闭环仿真模型。 仿真模型应采用与控制性能需求相匹配的数值计算精度进行计算。

　　5 . 2 . 3 分析方法

　　根据控制系统工程的每个阶段，针对具体的分析目的，选择和使用一种或多种分析方法的组合，如时域频域方法、开环闭环仿真方法等，并以适当的方式对分析方法的有效性进行确认。

　　5 . 2 . 4 需求分析

　　进行以下分析：

　　a) 高层任务目标应分解为可行的控制 目标;

　　b) 应进行与弹道或轨道、姿态和指向控制等任务需求相关的分析，且此类任务需求或航天系统需求直接成为控制系统需求;

　　c) 控制系统定性需求分析;

　　d) 控制系统定量需求分析;

　　e) 将控制系统需求分解为较低层级需求，并分配给控制部件;

　　f) 对分配给各控制部件的需求进行可行性评估分析;

　　g) 在每个阶段应对任务要求和控制系统需求的协调匹配性进行分析。

　　5 . 2 . 5 性能分析

　　5 . 2 . 5 . 1 总则

　　通过控制系统性能分析，确定影响控制系统性能的参数。 在工程的每个阶段，应评估控制系统性能

　　GB/T 40698—202 1

　　与下列需求是否一致：

　　a) 通过任务需求分析得到的控制 目标;

　　b) 通过需求分析定义的定量需求。

　　在工程初始阶段(阶段 0、阶段 A 和阶段 B),应开发简化分析模型并进行控制性能初步评估，以评估控制需求可行性、分解误差预估、评估备选控制架构和控制原理(算法)、选择控制部件。

　　在工程后期阶段(阶段 C、阶段 D、阶段 E 和阶段 F),应开发详细数学模型，通过仿真分析等进行性能评估，应审查功能和性能是否满足要求。

　　5 . 2 . 5 . 2 干扰分析

　　通过干扰分析，对外部干扰和内部干扰进行定义。

　　应根据总体要求，按工程每个阶段的精度要求开展分析，并评估干扰分析结果是否满足总体要求。若控制系统对外部和内部干扰的鲁棒性已通过最坏情况分析的验证，该分析可裁剪。

　　5 . 2 . 5 . 3 误差预估分析

　　使用误差分析方法分析控制 目标的误差，并评估是否满足已分配的需求。

　　5 . 2 . 5 . 4 稳定性分析和鲁棒性分析

　　应在考虑额定工况和非额定工况情况下，评估是否达到分配的裕度;在系统稳定的前提下，评估系统在干扰下的性能。

　　5 . 2 . 6 验证分析

　　作为最终性能验证，应基于数学模型进行任务运行场景性能分析。

　　为避免对分析工具的依赖，如有需要，可采用不同的验证分析工具。

　　在阶段 C 和阶段 D,采用优化后的控制系统设计进行控制系统验证。 在阶段 C后期，应通过仿真分析对备保模式和故障检测、隔离与恢复功能进行验证。

　　5 . 3 设计

　　5 . 3 . 1 功能架构设计

　　在设计控制系统功能架构时，应满足如下要求。

　　a) 在技术需求、进度需求和全生命周期成本间综合权衡。 应同时考虑技术先进性和工程可行性，考虑架构的应用及适应性，采用成熟的技术，测试并验证新技术，确定合理的控制系统解决方案。

　　b) 实现控制 目标到控制系统功能及各子功能之间接口的转换。

　　c) 功能架构需由控制系统功能(和子功能)及接口组成，这些功能共同满足控制 目标。

　　d) 功能设计需覆盖额定和非额定工况，以及用于测试和验证的特定功能。

　　5 . 3 . 2 控制算法设计

　　5 . 3 . 2 . 1 总则

　　控制器基于传感器测量和控制器的输入指令(如参考输入)，用算法产生操纵执行机构的指令。 控制算法以数字或模拟的信号形式执行。

　　设计控制器使控制系统和被控对象满足规定的性能要求，设计中需考虑对控制回路有影响的因素(如控制部件的性能、被控对象的动态特性和环境干扰等)。典型的控制算法设计包括制导与轨道控制

　　GB/T 40698—202 1

　　设计、姿态控制设计、冗余容错算法设计。

　　5 . 3 . 2 . 2 制导与轨道控制设计

　　制导与轨道控制设计主要包括：

　　a) 概念设计，包括可行性分析与设计、控制系统指标分析和分配、制导体制设计、制导策略设计、冗余配置设计和部件指标设计;

　　b) 导航方法设计和制导律设计;

　　c) 试验设计，包括数学仿真试验设计、制导系统半实物仿真试验设计、初始对准试验设计和精度试验设计等。

　　5 . 3 . 2 . 3 姿态控制设计

　　姿态控制设计主要包括：

　　a) 姿控系统设计、控制能力设计、控制系统极性设计和设备指标设计;

　　b) 控制律设计，包括控制策略设计和控制方程设计;

　　c) 控制参数设计，包括控制系统模型线性化、控制系统偏差组合设计和控制系统稳定性设计;

　　d) 试验设计，包括仿真试验模型建立、数学仿真试验设计和半实物仿真试验设计。

　　5 . 3 . 2 . 4 冗余容错算法设计

　　在制导和姿控设计时都应进行冗余与容错算法设计，分析故障模式并采用故障诊断方法。 冗余算法设计通常包括冗余信息管理设计、故障诊断逻辑设计、故障判别门限设计、冗余部件切换策略设计和故障信息重构设计。

　　5 . 3 . 3 物理架构设计

　　控制系统物理架构设计应满足如下要求：

　　a) 基于控制系统功能架构和控制算法设计结果，将控制系统的各个功能分配到各个控制部件和软件;

　　b) 确定用于实现控制 目标的一系列部件配置及其接口 ;

　　c) 应考虑各种部件物理特性的限制，获得可行的设计结果;

　　d) 控制系统接口设计应包括控制系统内部部件间的接口和控制系统与其他系统间的接 口，控制系统工程相关接口应互相匹配，接口设计的结果应在接口控制文件中说明。

　　5 . 3 . 4 硬件设计

　　每个控制部件的硬件设计都应依据系统设计结果进行，应设计必要的电气和机械部件，应以产品说明、接口控制文件或流程等记录和管理设计结果。 控制系统应根据分系统层的需求开展集成，并满足和支撑上层系统实现。

　　5 . 3 . 5 软件设计

　　软件设计应选择一个合适的生命周期模型，如瀑布模型、递增模型、螺旋模型、快速原型模型等。

　　控制系统软件设计主要包括控制系统软件需求开发、软件需求分析、软件设计、软件实现和软件测试 。具体要求应在由需求定义过程生成的控制系统说明文件中确定。

　　控制系统软件设计相关活动应满足 GB/T 22032 中定义的要求。

　　5 . 3 . 6 六性设计

　　应进行控制系统可靠性、维修性、保障性、测试性、安全性和环境适应性(含电磁兼容性)设计。 应编

　　GB/T 40698—202 1

　　制六性大纲或工作要求，制定工作计划，开展指标分配，提出系统及各部件的指标要求，进行指标预计，开展故障模式及影响分析，完成六性工程试验设计和评审。

　　5 . 4 生产

　　控制系统工程中的生产是航天工程生产的一部分，包括制造、组装和集成。 控制部件的生产应满足各部件的具体规范要求，并满足如下要求：

　　a) 在生产前，应对生产准备状态进行全面系统的检查(含设计文件、试制计划、生产设施与环境、人员配备、工艺准备、采购产品)，对其开工条件作出评价;

　　b) 应对影响生产过程及部件质量的文件、人员、设备和工装、器材、方法和环境进行控制，确保处于受控状态;

　　c) 对所有关键特性和重要特性实行检验;

　　d) 对需要重点监视和测量的过程参数和部件特性，应设置过程控制点，明确控制的项 目和要求、控制方法、类型、检测的频次和方法以及实施控制的人员;

　　e) 应根据部件的特点，识别多余物的来源和产生过程，制定并执行多余物控制措施，以有效地预防和控制多余物;

　　f) 对生产过程中的不合格品进行标识、隔离、评价和处理，避免不合格品的重复出现，并防止不合格品的非预期的使用或交付;

　　g) 进行部件标识，确保部件的可追溯性;

　　h) 在部件的标识、搬运、包装、贮存和保护等过程中，应针对部件的符合性提供防护;

　　i) 应对生产过程进行监视和测量，并依据监视和测量结果对生产过程进行分析和改进，以提高生产过程的有效性。

　　5 . 5 验证与确认

　　5 . 5 . 1 总则

　　控制系统工程中的验证与确认是航天工程验证与确认的一部分，应与 GB/T 32423 中的要求一致。

　　控制系统验证与确认活动从工程初期识别出可能方案，并选择出控制系统方案时即开始进行。 工程过程中应对是否满足需求(包括余量)进行迭代检查。 控制系统验证与确认活动还包括控制系统的软硬件部分验证和不同部件集成后测试的系统级验证与确认。 控制系统需求应在地面进行充分验证与确认 。无法在地面验证与确认的需求，应在开展必要分析后，通过飞行试验进行确认。

　　仿真应与 GB/T 32297 中的要求一致。

　　5 . 5 . 2 验证方案确定

　　验证方案的确定应与航天工程验证计划一致，需确保所有控制系统需求均可得到验证。 可根据设计成熟度和以往飞行试验结果，适当调整验证方案。 控制系统工程验证活动包括：

　　a) 验证控制系统和被控对象能够达到规定的任务目标;

　　b) 根据分配的要求验证控制系统的设计与性能;

　　c) 验证控制系统的飞行硬件和软件部分符合要求并能够使用。

　　控制系统工程验证任务分阶段进行，并应与用户、总体和控制部件的验证任务保持一致。

　　5 . 5 . 3 初步性能验证

　　为减少风险，应在项目早期启动验证工作，并根据成熟度不断迭代。

　　在阶段 C,依赖仿真模型或开发模型(原型)进行初步性能验证。 应评估验证用的仿真模型和工具

　　GB/T 40698—202 1

　　的有效性及精度。

　　5 . 5 . 4 最终功能与性能验证

　　5 . 5 . 4 . 1 通过分析进行验证

　　通过基于系统典型仿真模型的闭环分析，对控制系统性能进行验证。 验证包括控制模式、传感器和执行机构的正常运行配置，以及备用配置状态，开展包括故障检测隔离与恢复和相关可能降级配置的最坏情况分析。

　　当与硬件相关或可能相关时，应通过硬件测试结果修正数学模型。

　　5 . 5 . 4 . 2 使用飞行硬件与软件进行验证

　　验证应使用飞行硬件和软件或等效设备进行端到端测试，可通过地面电气支持设备给真实传感器提供激励。 可验证以下方面：

　　a) 控制系统飞行硬件部分的功能和性能;

　　b) 控制系统软件在目标硬件(或仿真器)上的数值精度;

　　c) 模式转换，包括故障检测隔离与恢复机制;

　　d) 最终集成后的传感器和执行机构的极性;

　　e) 飞行时序的正确性;

　　f) 操作流程及文档的正确性。

　　5 . 5 . 5 飞行确认

　　通过飞行试验评估控制系统的功能和性能是否满足需求。

　　5 . 6 操作

　　应根据阶段 C 的操作需求在操作手册或细则等文件中描述操作所需的信息(包括异常情况下的操作信息)。

　　控制系统操作所需的操作文档(在轨操作计划和操作流程、发射操作规程等)应在阶段 C 准备并进行验证。

　　在阶段 E 和阶段 F,应按照操作文档执行操作，获取控制系统运行数据，监控控制系统功能和性能是否降级，评估分析后给出功能性能符合性结论。

　　5 . 7 维护与处置

　　5 . 7 . 1 硬件维护

　　通过硬件维护维持控制部件提供服务的能力。

　　应持续监控控制系统工作中部件提供服务的能力，记录用于分析的事件，并采取纠正性的、适应性的和预防性的措施。

　　硬件维护的输出、活动和任务的策划应与 GB/T 22032 中描述的要求一致。

　　按 GB/T 9414 . 9 的要求进行控制系统维护过程的设备管理。

　　5 . 7 . 2 软件维护

　　软件维护包括软件产品的修正、变更、改进及配置。

　　软件生存周期过程在 GB/T 8566 中定义。 航天控制系统软件维护过程的输出、活动和任务的策划应与 GB/T 8566 中描述的需求一致。

　　GB/T 40698—202 1

　　应根据阶段 C建立并明确在维护阶段保持的维护需求，并在维护手册、细则或软件使用说明中描述软件维护。

　　5 . 7 . 3 处置

　　进入或通过近地空间的任何无人系统，包括运载火箭末级、在轨航天器和由常规操作或处置行为释放的任何物体，都应遵循 GB/T 34513 和 GB/T 38194 。剩余推进剂排放控制要求应遵循 GB/T 32295 。

　　当需要进行包括离轨在内的处置时，应进行离轨所需的处置分析。 处置所需的控制系统功能设计应纳入阶段 C控制系统工程活动。 若有必要进行包括离轨在内的处置，应在控制系统工程活动中提供所需的支持。

　　GB/T 40698—202 1

　　附 录 A

　　(资料性)

　　控制系统工程裁剪指南

　　A.1 总则

　　控制系统工程可根据项目情况对本标准中的要求进行裁剪。 项 目情况包括控制系统可靠性要求、控制系统技术成熟度等级及技术风险分析等。

　　A.2 可靠性等级

　　飞行任务时间越长，对控制系统的可靠性要求越高。 任务成本越高，对控制系统的可靠性要求越高 。载人任务通常比无人任务的可靠性要求高。 评估可靠性需求时应考虑用户因素。

　　可靠性等级定义如下。

　　a) 可靠性 Ⅰ 级 ：

　　来自用户的高等级可靠性需求的、或长期的、或高成本的任务(无备保的应用卫星和深空探测、可重复使用的运载火箭、载人航天系统)。

　　b ) 可靠性 Ⅱ级：

　　来自用户的高等级可靠性需求的短期任务(工程测试飞行器、一次性运载火箭)。

　　c) 可靠性 Ⅲ级：

　　中等级可靠性需求。 成本需求先于可靠性需求(短期任务的低成本技术测试卫星)。

　　d) 可靠性 Ⅳ级：

　　低等级可靠性需求(低成本工程开发卫星)。

　　A.3 技术成熟度等级

　　技术成熟度等级用于对参与任务的元素的技术成熟状态进行量化。 技术成熟度等级定义如表 A. 1所示。

　　表 A.1 技术成熟度等级定义

　　GB/T 40698—202 1

　　A.4 控制系统设计应用指南

　　根据需要的可靠性等级和控制系统技术成熟度等级对控制系统设计标准的应用指南如表 A. 2所示。

　　表 A.2 可靠性等级和技术成熟度等级对控制系统工程应用指南