王子瑜，容 易，王海濤，彭 越，徐 洋

（北京宇航系統(tǒng)工程研究所，北京，100076）

待發(fā)段地面逃逸控制組合設(shè)計(jì)及關(guān)鍵技術(shù)研究

王子瑜，容 易，王海濤，彭 越，徐 洋

（北京宇航系統(tǒng)工程研究所，北京，100076）

待發(fā)段地面逃逸控制組合作為載人航天工程待發(fā)段地面逃逸控制系統(tǒng)的核心組成部分，主要負(fù)責(zé)接收逃逸控制計(jì)算機(jī)和控制面板的指令，進(jìn)行邏輯條件判斷后與逃逸系統(tǒng)硬件設(shè)備完成有線逃逸控制指令的通信。針對(duì)酒泉衛(wèi)星發(fā)射場(chǎng)現(xiàn)有控制組合設(shè)備設(shè)計(jì)較早、使用年限較長等問題，提出一種基于雙冗余架構(gòu)的高可靠待發(fā)段地面逃逸控制組合設(shè)計(jì)方案，采用主從冗余熱備份設(shè)計(jì)實(shí)現(xiàn)系統(tǒng)級(jí)冗余架構(gòu)，同時(shí)采用基于改進(jìn)型ModBus/TCP協(xié)議的冗余網(wǎng)絡(luò)通信技術(shù)、基于測(cè)試數(shù)據(jù)的故障自檢測(cè)技術(shù)以及高可靠邏輯控制軟件設(shè)計(jì)技術(shù)，極大提高控制組合的可靠性，縮短故障處理時(shí)間，降低待發(fā)段風(fēng)險(xiǎn)，滿足載人航天飛行任務(wù)對(duì)待發(fā)段逃逸救生的需求，具有較強(qiáng)的工程意義和實(shí)用價(jià)值。

載人航天；待發(fā)段逃逸；控制組合；高可靠性

0 引 言

對(duì)于載人航天工程而言，確保宇航員的生命安全是載人飛行的首要任務(wù)[1,2]。中國載人運(yùn)載火箭進(jìn)入待發(fā)段后，運(yùn)載火箭及載人飛船的推進(jìn)劑已完成加注，火工品、爆炸器已完成連接，若出現(xiàn)火箭傾倒、推進(jìn)劑泄漏、發(fā)射臺(tái)著火等故障，必須確保宇航員迅速、可靠地逃逸救生[3,4]，這就要求負(fù)責(zé)地面逃逸控制的設(shè)備安全、可靠，同時(shí)嚴(yán)格進(jìn)行逃逸控制指令的“防誤逃”、“防漏逃”設(shè)計(jì)[5]，確保萬無一失。中國載人運(yùn)載火箭已成功進(jìn)行了多次發(fā)射，在載人航天工程一期時(shí)采用的逃逸控制組合采用傳統(tǒng)繼電器組合設(shè)計(jì)，在飛行任務(wù)過程中起到了重要作用，但控制組合設(shè)備設(shè)計(jì)時(shí)間較早、使用年限較長等問題也越來越突顯。同時(shí)隨著載人航天工程的發(fā)展，對(duì)待發(fā)段地面逃逸控制組合的可靠性也提出了更高的要求?；谏鲜鲈?，亟需對(duì)待發(fā)段地面逃逸控制組合從可靠性、安全性等方面進(jìn)行升級(jí)和改造。

可編程邏輯控制器（Programmable Logic Controller，PLC）以模塊選擇的多樣性、模塊配置的靈活性及程序設(shè)計(jì)的便捷性等優(yōu)點(diǎn)，在運(yùn)載火箭地面測(cè)試發(fā)射控制系統(tǒng)的設(shè)計(jì)中得到越來越多的應(yīng)用[6,7]。本文提出了一種基于雙冗余PLC架構(gòu)的高可靠待發(fā)段逃逸指制組合設(shè)計(jì)方案，通過采用基于改進(jìn)型ModBus/TCP協(xié)議的冗余網(wǎng)絡(luò)通信技術(shù)、基于測(cè)試數(shù)據(jù)的故障自檢測(cè)技術(shù)、高可靠邏輯控制軟件設(shè)計(jì)等，大大提高了控制組合的可靠性及安全性，可滿足載人航天工程要求。

1 地面逃逸控制組合總體方案

1.1 設(shè)計(jì)需求

待發(fā)段地面逃逸控制組合（簡(jiǎn)稱“控制組合”）布置于酒泉衛(wèi)星發(fā)射場(chǎng)載人運(yùn)載火箭后端測(cè)發(fā)控大廳中的標(biāo)準(zhǔn)機(jī)柜內(nèi)，由雙冗余PLC測(cè)控設(shè)備及運(yùn)行在PLC測(cè)控設(shè)備上的嵌入式邏輯控制軟件組成。待發(fā)段逃逸控制系統(tǒng)組成如圖1所示。

控制組合的主要功能要求如下：

a）冗余熱備功能。控制組合采用PLC雙機(jī)并聯(lián)熱備份工作模式，2臺(tái)PLC設(shè)備同時(shí)接收指令，并聯(lián)輸出指令，實(shí)現(xiàn)系統(tǒng)級(jí)冗余設(shè)計(jì)。

b）冗余架構(gòu)的網(wǎng)絡(luò)通信功能。控制組合PLC1、PLC2通過雙網(wǎng)卡分別與交換機(jī)（主）及交換機(jī)（從）連接，構(gòu)成冗余網(wǎng)絡(luò)拓?fù)浼軜?gòu)與逃逸控制計(jì)算機(jī)進(jìn)行允許逃逸、逃逸控制指示、逃逸解鎖、電源電壓等信息的交互。

c）開關(guān)量信號(hào)采集功能?？刂平M合采集控制面板發(fā)送的允許逃逸、逃逸解鎖、逃逸控制等開關(guān)量指令，并能采集逃逸系統(tǒng)硬件設(shè)備反饋的逃逸控制狀態(tài)指示信號(hào)。

d）模擬量信號(hào)采集功能?？刂平M合具備采集供電電源輸出電壓等工作狀態(tài)信息的功能。

e）開關(guān)量控制信號(hào)輸出功能?？刂平M合接收逃逸控制計(jì)算機(jī)和控制面板的指令，完成邏輯條件判斷后向故障檢測(cè)系統(tǒng)硬件設(shè)備輸出有線逃逸控制指令，并能完成供電電源的直流供電輸出控制。

f）故障自檢測(cè)功能?？刂平M合能夠?qū)崟r(shí)進(jìn)行自檢測(cè)，并將診斷信息通過網(wǎng)絡(luò)發(fā)送給逃逸控制計(jì)算機(jī)。

1.2 工作流程

載人運(yùn)載火箭待發(fā)段，逃逸指揮員匯集火箭、飛船及發(fā)射場(chǎng)各系統(tǒng)逃逸請(qǐng)求、允許逃逸等信息進(jìn)行綜合分析，做出是否需要逃逸的判決。若需要執(zhí)行逃逸控制，由逃逸指揮員下達(dá)逃逸口令，逃逸控制計(jì)算機(jī)通過冗余網(wǎng)絡(luò)、控制面板通過直連電纜向控制組合發(fā)送逃逸相關(guān)的“允許逃逸”、“逃逸解鎖”、“逃逸控制”等指令信號(hào)，控制組合經(jīng)過邏輯條件判斷后，向逃逸系統(tǒng)硬件設(shè)備輸出“有線逃逸”指令?？刂平M合采集供電電源輸出電壓等工作狀態(tài)信息，反饋給逃逸控制計(jì)算機(jī)，同時(shí)控制組合也可向供電電源發(fā)送直流供電輸出控制指令。

1.3 總體方案

1.3.1 硬件設(shè)計(jì)方案

控制組合采用PLC雙機(jī)并聯(lián)熱備份工作模式，PLC1和PLC2同時(shí)接收信號(hào)，并聯(lián)輸出信號(hào)。PLC測(cè)控設(shè)備是控制組合中關(guān)鍵硬件裝置，選用GE公司PAC System 3i系列PLC設(shè)備，單臺(tái)設(shè)備的組成框架如圖2所示。為了適應(yīng)模擬量采集板卡電壓采集范圍的需求，在模擬量采集模塊上還設(shè)計(jì)了信號(hào)調(diào)理模塊。

a）電源模塊。選用IC695PSA040型電源模塊，主要為PLC內(nèi)部其它各功能模塊供電，具有限流功能，在發(fā)生短路故障時(shí)能夠自動(dòng)關(guān)段以避免硬件模塊的損壞。

b）CPU模塊。選用IC695CPE310型模塊，運(yùn)行CPU邏輯控制程序，負(fù)責(zé)控制組合的功能控制。

c）模擬量采集模塊。選用IC694ALG222型模塊采集供電電源電壓等工作狀態(tài)信息，具備16通道電壓模擬量采集，采集精度達(dá)0.25%。模擬量采集接口如圖3所示。信號(hào)調(diào)理模塊通過分壓電路將供電電源的28 V直流供電電壓變換成采集板卡適應(yīng)的0～10 V電壓。

d）開關(guān)量采集模塊。選用3塊IC694MDL645型模塊采集控制面板的控制指令，通過3個(gè)模塊各自獨(dú)立通道采集開關(guān)量指令，并在每個(gè)采集通道設(shè)計(jì)隔離二極管防止?jié)撏?。開關(guān)量采集接口原理如圖4所示。

e）開關(guān)量輸出模塊。選用IC694MDL940型模塊輸出逃逸控制等指令信號(hào)，通過4個(gè)繼電器觸點(diǎn)并串聯(lián)的形式完成開關(guān)量輸出。開關(guān)量輸出接口原理如圖5所示。

f）以太網(wǎng)模塊。選用IC695ETM001型模塊，具有10M/100M速度自適應(yīng)功能，控制組合通過以太網(wǎng)模與交換機(jī)連接。

1.3.2 軟件設(shè)計(jì)方案

嵌入式邏輯控制軟件基于GE Machine Edition 8.0環(huán)境進(jìn)行設(shè)計(jì)，主要負(fù)責(zé)分別從逃逸控制計(jì)算機(jī)和控制面板接收允許逃逸信息和解鎖、逃逸等開關(guān)量信號(hào)，進(jìn)行邏輯判斷后將有線逃逸指令發(fā)送給故障檢測(cè)系統(tǒng)硬件設(shè)備，并采集故障檢測(cè)系統(tǒng)逃逸狀態(tài)反饋信號(hào)、供電電源工作狀態(tài)信息，同時(shí)將采集的信息發(fā)送給逃逸控制計(jì)算機(jī)。嵌入式邏輯控制軟件組成如圖6所示。

a）自檢測(cè)模塊：自檢測(cè)模塊主要完成PLC設(shè)備工作狀態(tài)監(jiān)測(cè)、累計(jì)工作時(shí)間計(jì)時(shí)等功能。邏輯控制軟件具備自檢測(cè)功能，能實(shí)時(shí)檢測(cè)控制組合的工作狀態(tài)，并將工作狀態(tài)信息發(fā)送給逃逸控制計(jì)算機(jī)進(jìn)行監(jiān)視；同時(shí)軟件也完成PLC設(shè)備累計(jì)通電時(shí)間記錄及PLC工作狀態(tài)指示的功能。

b）數(shù)據(jù)采集模塊：接收逃逸控制計(jì)算機(jī)發(fā)送的允許逃逸等指令信號(hào)，并進(jìn)行數(shù)據(jù)的有效性判別，防止誤輸入信號(hào)。軟件接收控制面板發(fā)送的逃逸控制指令信號(hào)以及逃逸系統(tǒng)硬件設(shè)備的逃逸狀態(tài)反饋狀態(tài)量指示信號(hào)。邏輯控制軟件防誤指令接收工作流程如圖7所示。

c）輸出模塊：軟件接收逃逸控制計(jì)算機(jī)及控制面板的控制指令，完成邏輯判斷后發(fā)出逃逸控制指令。

2 地面逃逸控制組合關(guān)鍵技術(shù)設(shè)計(jì)

2.1 系統(tǒng)級(jí)冗余設(shè)計(jì)

待發(fā)段地面逃逸控制組合的核心PLC測(cè)控設(shè)備采用雙冗余熱備份設(shè)計(jì)[8]，2臺(tái)PLC設(shè)備的配置完全相同。正常工作狀態(tài)，PLC1和PLC2均接收控制面板的手動(dòng)控制指令和逃逸控制計(jì)算機(jī)的網(wǎng)絡(luò)信號(hào)，完成邏輯條件判斷后向逃逸系統(tǒng)硬件設(shè)備并聯(lián)輸出控制信號(hào)。2臺(tái)PLC設(shè)備同時(shí)接收故障檢測(cè)系統(tǒng)的逃逸狀態(tài)反饋信號(hào)及供電電源工作狀態(tài)信號(hào)?？刂平M合冗余熱備份工作原理如圖8所示。

從圖8中可以看出，若單臺(tái)PLC出現(xiàn)故障，另一臺(tái)PLC仍可按要求完成正常測(cè)控任務(wù)，不影響系統(tǒng)的正常運(yùn)行，盡可能消除了單點(diǎn)故障模式。

2.2 可靠性設(shè)計(jì)

2.2.1 數(shù)據(jù)鏈路的可靠性設(shè)計(jì)

控制組合在設(shè)計(jì)中，涉及信息傳遞和逃逸指令傳輸過程鏈路均強(qiáng)調(diào)了可靠性設(shè)計(jì)：

a）控制組合采集控制面板輸入的狀態(tài)量信號(hào)，使用3塊獨(dú)立的開關(guān)量采集模塊接收，實(shí)現(xiàn)了硬件通道冗余采集；同時(shí)內(nèi)部PLC邏輯控制軟件對(duì)采集的指令進(jìn)行“三取二”邏輯判斷，并通過設(shè)置100 ms時(shí)間濾波，防止誤指令輸入。

b）控制組合接收從網(wǎng)絡(luò)發(fā)送過來的允許逃逸信號(hào)，通過PLC邏輯控制軟件進(jìn)行“1 s內(nèi)連續(xù)收到3次”有效判別，防止誤網(wǎng)絡(luò)信號(hào)輸入。

c）控制組合輸出逃逸控制指令采用雙繼電器觸點(diǎn)“串并聯(lián)”方式冗余輸出，確保關(guān)鍵信號(hào)的可靠輸出。

d）控制組合采用雙網(wǎng)卡與主、從網(wǎng)絡(luò)交換機(jī)連接，2條冗余通信鏈路提高了信息傳輸?shù)目煽啃浴?/p>

e）逃逸控制指令邏輯設(shè)計(jì)。在待發(fā)段工作過程，逃逸指揮員先后通過“解鎖”和“逃逸”2個(gè)口令下達(dá)逃逸指揮命令，在邏輯控制軟件中設(shè)計(jì)相關(guān)逃逸指令輸出邏輯，確?！安宦┨印薄ⅰ安徽`逃”設(shè)計(jì)。具體控制邏輯如下：

1）火箭允許逃逸、飛船允許逃逸及發(fā)射場(chǎng)允許逃逸指令全部發(fā)出是逃逸解鎖指令發(fā)出的必要條件，逃逸解鎖指令（主）、逃逸解鎖指令（從）任一發(fā)出即認(rèn)為解鎖指令發(fā)出，而逃逸解鎖指令發(fā)出是逃逸指令和試驗(yàn)指令的必要條件；

2）逃逸指令發(fā)出和試驗(yàn)指令發(fā)出邏輯上受逃逸解鎖指令的限制；

3）試驗(yàn)狀態(tài)與發(fā)射狀態(tài)邏輯上互斥，試驗(yàn)狀態(tài)只能發(fā)出試驗(yàn)指令，發(fā)射狀態(tài)只能發(fā)出逃逸指令。

2.2.2 基于測(cè)試數(shù)據(jù)的故障自檢測(cè)技術(shù)

控制組合利用邏輯控制軟件實(shí)現(xiàn)PLC設(shè)備自診斷信息的獲取、解析。軟件啟動(dòng)即執(zhí)行自檢測(cè)功能，每2 s將PLC工作狀態(tài)信息發(fā)送給逃逸控制計(jì)算機(jī)，供系統(tǒng)指揮員進(jìn)行監(jiān)視，必要時(shí)可實(shí)現(xiàn)手動(dòng)設(shè)備切換。

2.2.3 防誤操作設(shè)計(jì)

控制組合針對(duì)使用過程中操作各環(huán)節(jié)采取了針對(duì)性的防誤操作設(shè)計(jì)?？刂平M合機(jī)箱上與外系統(tǒng)的電氣接口，相鄰位置均采用不同型號(hào)、不同鍵位的接插件，避免人員插錯(cuò)的可能。嵌入式邏輯控制軟件中，從指令采集的濾波處理、指令輸出的冗余判斷設(shè)計(jì)以及PLC設(shè)備啟動(dòng)時(shí)對(duì)采集到的指令不進(jìn)行處理并進(jìn)行提示，防止控制面板或逃逸控制軟件在上次使用后忘記恢復(fù)初識(shí)狀態(tài)引起誤動(dòng)作。

2.3 自主可控的通信協(xié)議設(shè)計(jì)

采用GE公司配套軟件中的iFix數(shù)據(jù)組件進(jìn)行控制組合的通信設(shè)計(jì)。同時(shí)針對(duì)待發(fā)段地面逃逸控制組合對(duì)實(shí)時(shí)性、可靠性的要求，控制組合設(shè)計(jì)中在傳輸層采用TCP/IP協(xié)議，應(yīng)用層采用ModBus協(xié)議，同時(shí)在Modbus/TCP控制通信協(xié)議基礎(chǔ)上進(jìn)行改進(jìn)，開發(fā)了專用PLC數(shù)據(jù)通信源插件（見圖9），實(shí)現(xiàn)了測(cè)控組合PLC設(shè)備與逃逸控制計(jì)算機(jī)間高可靠、低延遲通信。

3 結(jié)束語

針對(duì)載人航天工程中對(duì)待發(fā)段逃逸救生需要的安全及可靠性要求，本文提出了一種基于雙冗余架構(gòu)的高可靠待發(fā)段地面逃逸控制組合設(shè)計(jì)方案，設(shè)計(jì)中突出了可靠性、可維修性和安全性設(shè)計(jì)?？刂平M合通過系統(tǒng)級(jí)冗余設(shè)計(jì)、可靠性設(shè)計(jì)、自主可控的通信協(xié)議設(shè)計(jì)、防誤操作設(shè)計(jì)及基于測(cè)試數(shù)據(jù)的自檢測(cè)等關(guān)鍵技術(shù)，確保載人火箭待發(fā)段出現(xiàn)重大故障時(shí)宇航員能迅速可靠地實(shí)施逃逸救生，滿足后續(xù)載人航天空間站工程待發(fā)段逃逸救生任務(wù)的需求，同時(shí)也具備向運(yùn)載火箭地面測(cè)發(fā)控系統(tǒng)設(shè)計(jì)推廣的前景。學(xué)報(bào), 2001(6): 68-71.

[2] 劉竹生, 張智. CZ-2F載人運(yùn)載火箭[J]. 導(dǎo)彈與航天運(yùn)載技術(shù), 2004(1): 6-12.

[3] 李波, 陳曉斌, 李國強(qiáng). 待發(fā)段火箭傾倒實(shí)時(shí)監(jiān)測(cè)技術(shù)研究與實(shí)現(xiàn)[J].宇航學(xué)報(bào), 2004(5): 330-333.

[4] 張智. CZ-2F火箭逃逸系統(tǒng)[J]. 導(dǎo)彈與航天運(yùn)載技術(shù), 2004(1): 20-27.

[5] 張文育, 王家伍, 劉燕超, 孫強(qiáng). 載人航天工程地面逃逸按控系統(tǒng)可靠性技術(shù)[J]. 裝備指揮技術(shù)學(xué)院學(xué)報(bào), 2006(10): 107-110.

[6] 陳放, 田建宇, 王雨萌, 連盟. 新一代大型運(yùn)載火箭熱備冗余PLC發(fā)控系統(tǒng)設(shè)計(jì)[J]. 導(dǎo)彈與航天運(yùn)載技術(shù), 2015(5): 96-106.

[7] 連盟, 張雅順, 張煥鑫, 張鵬. PLC在發(fā)射控制系統(tǒng)中的可靠性應(yīng)用研究[J]. 航天控制, 2015(1): 88-93.

[8] 張磊. 載人航天運(yùn)載火箭地面測(cè)試發(fā)射控制系統(tǒng)[J]. 導(dǎo)彈與航天運(yùn)載技術(shù), 2004(1): 34-37.

[1] 李長海. 待發(fā)段航天員逃逸救生決策指揮問題探討[J]. 指揮技術(shù)學(xué)院

The Design and Key Technology Research of Escape Control Combination in Pre-launching Stages

Wang Zi-yu, Rong Yi, Wang Hai-tao, Peng Yue, Xu Yang
(Beijing Institute of Astronautical Systems Engineering, Beijing, 100076)

As the core part of the escape control system in the manned spaceflight engineering, escape control combination in pre-launching stages is mainly responsible for receiving the instructions from both the escape control computer and the control panel, and communicating with hardware equipment after the judgment of logic conditions. According to the situation of existing technique being ancient, a high reliability escape control combination is proposed based on dual redundancy. Thanks to the redundant network communication technology based on improved ModBus/TCP protocol, the fault detection technology based on the test data, and the high reliability technology based on logic control software design, the reliability of the control combination is greatly increased and the troubleshooting time is effectively reduced. It indicate that the methods proposed in this paper are of great value in engineering application, as it not only can reduce the entire system risk but also can meet the life-saving needs.

Manned spaceflight engineering; Escape in pre-launching stages; Control combination; High reliability

V448.235

A

1004-7182(2017)03-0012-05

10.7654/j.issn.1004-7182.20170303

2016-09-10；

2016-10-21

王子瑜（1985-），男，工程師，主要研究方向?yàn)檫\(yùn)載火箭電氣系統(tǒng)總體設(shè)計(jì)