ISO 16615:2025
Космические системы — Требования к устойчивой работе системы управления ориентацией и орбитой космического аппарата

Стандартный №

ISO 16615:2025

Дата публикации

2025

Разместил

International Organization for Standardization (ISO)

Последняя версия

ISO 16615:2025

сфера применения

Обзор стандарта и техническая база

ISO 16615:2025, «Космические системы. Требования к стабильной работе систем ориентации и управления орбитой космических аппаратов», является первым международным стандартом, опубликованным Международной организацией по стандартизации, специально посвященным стабильной работе систем ориентации и управления орбитой космических аппаратов. Первое издание этого стандарта, выпущенное в июле 2025 года, знаменует собой новый этап в стандартизации управления операциями космических аппаратов на орбите.

С развитием коммерческих космических полетов и сетей созвездий спрос на стабильные операции космических аппаратов на орбите становится все более насущным. Традиционное проектирование космических аппаратов в первую очередь фокусируется на запуске и начальном этапе на орбите, в то время как системные требования к долгосрочным стабильным операциям на орбите относительно слабы. Настоящий стандарт заполняет этот пробел, предоставляя унифицированные технические характеристики для мировых производителей и операторов космических аппаратов.

---

Архитектура стабильной работы и иерархическая система

Глава 4 стандарта устанавливает полную архитектуру стабильной работы, классифицируя рабочее состояние AOCS космических аппаратов по трем уровням, формируя прогрессивную систему обеспечения эксплуатации.

Уровни эксплуатации	Определяющие характеристики	Требования к производительности	Цели восстановления
Непрерывная эксплуатация	Системные функции работают нормально и стабильно, и все показатели производительности соответствуют требованиям платформы	100% проектная производительность	Поддержание текущего состояния
Работа со сниженной производительностью	Имеется постоянный отказ оборудования, и контролируемое снижение производительности достигается за счет реконструкции системы	Производительность отклоняется от ожиданий, но максимизирует эффективность приложения	Восстановите непрерывную работу, насколько это возможно
Экстренный переход	Временное аварийное состояние для обеспечения безопасности энергии, конструкции, топлива и т. д.	Основные функции безопасности	Возврат к непрерывной или ограниченной работе

Эта многоуровневая система воплощает в себе прогрессивную философию проектирования безопасности, гарантируя базовую безопасность космического аппарата даже в самых неблагоприятных условиях. Стандарт уделяет особое внимание созданию стабильных эксплуатационных возможностей как при известных, так и при неизвестных исходных аномалиях.

---

Технические требования к оценке достоверности данных

Глава 5 подробно описывает полный процесс оценки достоверности данных, который является основой для обеспечения стабильной работы AOCS. Процесс оценки использует пятиэтапный подход:

Этапы оценки	Технические точки	Критерии оценки	Меры обработки
Оценка флага состояния	Состояние работоспособности компонента, индикатор успешности связи	Достоверность флага состояния	Прекратить оценку, если она недействительна
Оценка диапазона достоверности данных	Разумный диапазон данных, предопределенный на основе характеристик продукта	Минимальный и максимальный интервал значений	Прекратить, если выходит за пределы диапазона
Данные Оценка непрерывности	Разница между текущим значением и историческим допустимым значением	Предустановленный пороговый диапазон	Прекращение в случае разрыва
Оценка динамики данных	Своевременность данных, обнаружение проблем с передачей или функционированием	Соответствие ожидаемых изменений	Прекращение в случае несоответствия
Оценка согласованности данных	Расчет отклонения для схожих данных, логика «два из трех»	Диапазон пороговых значений отклонения	Окончательное определение достоверности

Стандарт специально вводит алгоритм «логика два из трех». При наличии трех типов схожих данных два набора данных с наилучшей согласованностью выбираются посредством расчета отклонения. Такая конструкция значительно повышает отказоустойчивость системы.

---

Иерархия обнаружения аномалий

Глава 6 устанавливает двухуровневую систему обнаружения аномалий на уровне компонентов и на уровне системы для формирования дополнительного механизма обнаружения неисправностей.

Обнаружение аномалий на уровне компонентов нацелено на аномалии различных датчиков и исполнительных механизмов. Это обнаружение выполняется во время цикла сбора данных о компонентах на основе информации об оборудовании и результатов оценки достоверности данных. Условия обнаружения включают в себя: длительность аномалии состояния оборудования, превышающую пороговое значение, или длительность недействительных данных измерений, превышающих пороговое значение.

Обнаружение аномалий на уровне системы нацелено на аномалии на уровне системы, вызванные необнаруженными аномалиями на уровне компонентов или аномалиями из неизвестных источников, включая отклонение угла ориентации, превышающее предел, отклонение угловой скорости ориентации, превышающее предел, и аномальную частоту управляющих воздействий.

Анализ развития технологий

По сравнению с традиционной конструкцией космических аппаратов система обнаружения аномалий ISO 16615:2025 достигла значительного прогресса:

• От одноточечного обнаружения до системной интеграции: традиционные методы в основном сосредоточены на отказах компонентов. Этот стандарт добавляет комплексный мониторинг индикаторов на системном уровне
• От пассивного реагирования к активному предотвращению: идентифицируйте потенциальные риски до возникновения сбоев с помощью оценки достоверности данных
• От наземного управления к спутниково-земному сотрудничеству: создан полный механизм обработки неисправностей, сочетающий бортовую автономность с наземной оптимизацией

---

Механизм обработки неисправностей программного и аппаратного обеспечения

В главе 7 различаются различные стратегии обработки неисправностей программного обеспечения и неисправностей оборудования, отражающие передовую концепцию управления классификацией неисправностей.

Тип неисправности	Описание характеристики	Меры по устранению	Цель восстановления
Программная неисправность	Устранимые неисправности, такие как сбой единичного события, дрейф программы и тайм-аут задачи	Обнаружение и исправление ошибок, логика «два из трёх», сброс, выключение и включение питания	Полное восстановление нормальной работы
Аппаратная неисправность	Необратимая постоянная неисправность или постоянная неисправность, требующая простоя для обслуживания	Переключение компонентов, реконструкция системы, комбинирование функций, изменение режима	Ухудшенная работа или аварийная ситуация режим

Стандарт особенно подчеркивает важность возможностей автономного переключения компонентов, обеспечивая быстрое восстановление после сбоев, когда это возможно. Для сценариев, где автономное переключение невозможно, требуются альтернативные методы управления сбоями.

---

Требования к проверке границ безопасности

Глава 8 устанавливает трехмерную систему проверки границ безопасности, чтобы гарантировать, что космический аппарат не получит структурных повреждений в экстремальных обстоятельствах.

Границы безопасности конструкции и механизмов основаны на максимальной угловой скорости, которую может выдержать космический аппарат, и оцениваются в режиме реального времени с использованием прямых измерений датчиков или расчета динамической угловой скорости на основе объема выброса двигателя.

Границы энергетической безопасности основаны на пороговых значениях отклонения наведения солнечной батареи и пороговых значениях длительности, вызывая переход в безопасный режим при выполнении обоих условий.

Границы безопасности топлива основаны на пороговом значении общего объема разряда двигателя или аномальном падении давления в баке с использованием прогрессивного подхода: сначала переключается ветвь линии топлива; при повторном запуске отключаются все двигатели.

Анализ случая реализации

Во время работы на орбите геосинхронный спутник связи испытал непрерывное увеличение угловой скорости из-за отказа маховика импульса. Согласно требованиям настоящего стандарта:

1. Обнаружение аномалий на системном уровне выявило отклонение угловой скорости, превышающее предел
2. Проверки границ безопасности подтвердили, что угловая скорость приближается к структурному пределу
3. Автономный переход в режим безопасности управления остановкой для предотвращения структурных повреждений
4. Вмешательство наземной системы завершило диагностику и восстановление неисправностей

Этот случай демонстрирует практическую ценность стандартных требований и позволил избежать полного отказа спутника.

---

Технические требования к режиму аварийного выживания

В главе 9 определены два режима аварийного выживания, каждый из которых предназначен для различных сценариев угроз безопасности.

Режим выживания	Условие срабатывания	Цель управления	Гарантия безопасности
Режим безопасности с наведением на солнце	Постоянная потеря ориентации, чрезмерное отклонение слежения солнечной батареи, энергетическая тревога	Сориентируйте солнечную батарею на солнце для обеспечения энергетической безопасности	Энергетическая безопасность, безопасность терморегулирования, безопасность полезной нагрузки
Режим безопасности управления остановкой	Постоянная чрезмерная ошибка угловой скорости, ненормальный расход топлива	Остановите работу привода и перейдите в состояние временной остановки управления	Конструктивная безопасность, механическая безопасность, безопасность топлива

Требования стандарта class=instrument>AOCS должны поддерживать ручные команды от всех исполнительных механизмов, гарантируя, что наземное управление может восстановить безопасные положения и условия низкой угловой скорости, что обеспечивает техническую основу для наземного вмешательства.

---

Требования к инновациям в области кибербезопасности

Глава 10 является ярким примером инноваций стандарта. Впервые в ней систематически излагаются требования к кибербезопасности для систем управления космическими аппаратами, отражающие все более серьезную реальность космических киберугроз.

Шифрование телеметрических данных требует использования современных протоколов шифрования (таких как AES-256 или квантово-устойчивое шифрование) и внедрения безопасных методов управления ключами, включая регулярную ротацию ключей.

Управление доступом к наземным системам требует внедрения многоуровневых механизмов контроля доступа, включая управление доступом на основе ролей и двухфакторную аутентификацию, а также регулярные проверки журналов доступа пользователей.

Обнаружение аномалий кибербезопасности требует разработки алгоритмов обнаружения аномалий в реальном времени, которые могут интегрировать модели машинного обучения для обнаружения сложных кибератак.

Стандарт также требует разработки отказоустойчивых механизмов для обеспечения безопасной работы спутников во время кибератак, включая автоматический переход в безопасное состояние, резервные пути команд и немедленное уведомление наземных систем.

---

Стандартные рекомендации по внедрению

На основе технических требований ISO 16615:2025 для производителей и операторов космических аппаратов предоставляются следующие рекомендации по внедрению:

Ключевые моменты для внедрения на этапе проектирования

• Проектирование архитектуры: Примите многоуровневую отказоустойчивую архитектуру для обеспечения плавного перехода между различными уровнями эксплуатации
• Управление данными: Создайте полную цепочку оценки достоверности данных и заранее определите разумный диапазон различных типов данных
• Проектирование избыточности: Ключевые компоненты должны иметь возможности автономного переключения для снижения зависимости от наземного вмешательства

Ключевые моменты для управления операциями на орбите

• Мониторинг состояния: Создайте систему оценки состояния работоспособности на орбите на основе стандартных требований
• Аварийные учения: Регулярно проводите учения по переключению в аварийный режим для проверки возможностей реагирования системы
• Анализ данных: Используйте наземные системы для проведения оценок снижения производительности и предупреждений о неисправностях

Требования к проверочным испытаниям

• Тестирование на внесение неисправностей: Моделируйте различные нештатные сценарии, чтобы убедиться, что реакции системы соответствуют стандартным требованиям
• Тестирование граничных условий: Проверьте эффективность механизмов проверки границ безопасности
• Тестирование кибербезопасности: Регулярно проводите тесты на проникновение и учения по кибербезопасности

Внедрение ISO 16615:2025 значительно повысит надежность и безопасность операций космических аппаратов на орбите, обеспечивая техническую поддержку для крупномасштабного развития коммерческих космических полетов. С ростом степени автономности космических аппаратов и растущим спросом на сетевое взаимодействие спутников технические требования этого стандарта станут эталонными спецификациями для проектирования космических аппаратов.