王子瑜，容 易，王海濤，彭 越，徐 洋

（北京宇航系統(tǒng)工程研究所，北京，100076）

待發(fā)段地面逃逸控制組合設計及關鍵技術研究

王子瑜，容 易，王海濤，彭 越，徐 洋

（北京宇航系統(tǒng)工程研究所，北京，100076）

待發(fā)段地面逃逸控制組合作為載人航天工程待發(fā)段地面逃逸控制系統(tǒng)的核心組成部分，主要負責接收逃逸控制計算機和控制面板的指令，進行邏輯條件判斷后與逃逸系統(tǒng)硬件設備完成有線逃逸控制指令的通信。針對酒泉衛(wèi)星發(fā)射場現(xiàn)有控制組合設備設計較早、使用年限較長等問題，提出一種基于雙冗余架構的高可靠待發(fā)段地面逃逸控制組合設計方案，采用主從冗余熱備份設計實現(xiàn)系統(tǒng)級冗余架構，同時采用基于改進型ModBus/TCP協(xié)議的冗余網(wǎng)絡通信技術、基于測試數(shù)據(jù)的故障自檢測技術以及高可靠邏輯控制軟件設計技術，極大提高控制組合的可靠性，縮短故障處理時間，降低待發(fā)段風險，滿足載人航天飛行任務對待發(fā)段逃逸救生的需求，具有較強的工程意義和實用價值。

載人航天；待發(fā)段逃逸；控制組合；高可靠性

0 引 言

對于載人航天工程而言，確保宇航員的生命安全是載人飛行的首要任務[1,2]。中國載人運載火箭進入待發(fā)段后，運載火箭及載人飛船的推進劑已完成加注，火工品、爆炸器已完成連接，若出現(xiàn)火箭傾倒、推進劑泄漏、發(fā)射臺著火等故障，必須確保宇航員迅速、可靠地逃逸救生[3,4]，這就要求負責地面逃逸控制的設備安全、可靠，同時嚴格進行逃逸控制指令的“防誤逃”、“防漏逃”設計[5]，確保萬無一失。中國載人運載火箭已成功進行了多次發(fā)射，在載人航天工程一期時采用的逃逸控制組合采用傳統(tǒng)繼電器組合設計，在飛行任務過程中起到了重要作用，但控制組合設備設計時間較早、使用年限較長等問題也越來越突顯。同時隨著載人航天工程的發(fā)展，對待發(fā)段地面逃逸控制組合的可靠性也提出了更高的要求。基于上述原因，亟需對待發(fā)段地面逃逸控制組合從可靠性、安全性等方面進行升級和改造。

可編程邏輯控制器（Programmable Logic Controller，PLC）以模塊選擇的多樣性、模塊配置的靈活性及程序設計的便捷性等優(yōu)點，在運載火箭地面測試發(fā)射控制系統(tǒng)的設計中得到越來越多的應用[6,7]。本文提出了一種基于雙冗余PLC架構的高可靠待發(fā)段逃逸指制組合設計方案，通過采用基于改進型ModBus/TCP協(xié)議的冗余網(wǎng)絡通信技術、基于測試數(shù)據(jù)的故障自檢測技術、高可靠邏輯控制軟件設計等，大大提高了控制組合的可靠性及安全性，可滿足載人航天工程要求。

1 地面逃逸控制組合總體方案

1.1 設計需求

待發(fā)段地面逃逸控制組合（簡稱“控制組合”）布置于酒泉衛(wèi)星發(fā)射場載人運載火箭后端測發(fā)控大廳中的標準機柜內，由雙冗余PLC測控設備及運行在PLC測控設備上的嵌入式邏輯控制軟件組成。待發(fā)段逃逸控制系統(tǒng)組成如圖1所示。

控制組合的主要功能要求如下：

a）冗余熱備功能?？刂平M合采用PLC雙機并聯(lián)熱備份工作模式，2臺PLC設備同時接收指令，并聯(lián)輸出指令，實現(xiàn)系統(tǒng)級冗余設計。

b）冗余架構的網(wǎng)絡通信功能?？刂平M合PLC1、PLC2通過雙網(wǎng)卡分別與交換機（主）及交換機（從）連接，構成冗余網(wǎng)絡拓撲架構與逃逸控制計算機進行允許逃逸、逃逸控制指示、逃逸解鎖、電源電壓等信息的交互。

c）開關量信號采集功能?？刂平M合采集控制面板發(fā)送的允許逃逸、逃逸解鎖、逃逸控制等開關量指令，并能采集逃逸系統(tǒng)硬件設備反饋的逃逸控制狀態(tài)指示信號。

d）模擬量信號采集功能?？刂平M合具備采集供電電源輸出電壓等工作狀態(tài)信息的功能。

e）開關量控制信號輸出功能?？刂平M合接收逃逸控制計算機和控制面板的指令，完成邏輯條件判斷后向故障檢測系統(tǒng)硬件設備輸出有線逃逸控制指令，并能完成供電電源的直流供電輸出控制。

f）故障自檢測功能?？刂平M合能夠實時進行自檢測，并將診斷信息通過網(wǎng)絡發(fā)送給逃逸控制計算機。

1.2 工作流程

載人運載火箭待發(fā)段，逃逸指揮員匯集火箭、飛船及發(fā)射場各系統(tǒng)逃逸請求、允許逃逸等信息進行綜合分析，做出是否需要逃逸的判決。若需要執(zhí)行逃逸控制，由逃逸指揮員下達逃逸口令，逃逸控制計算機通過冗余網(wǎng)絡、控制面板通過直連電纜向控制組合發(fā)送逃逸相關的“允許逃逸”、“逃逸解鎖”、“逃逸控制”等指令信號，控制組合經過邏輯條件判斷后，向逃逸系統(tǒng)硬件設備輸出“有線逃逸”指令?？刂平M合采集供電電源輸出電壓等工作狀態(tài)信息，反饋給逃逸控制計算機，同時控制組合也可向供電電源發(fā)送直流供電輸出控制指令。

1.3 總體方案

1.3.1 硬件設計方案

控制組合采用PLC雙機并聯(lián)熱備份工作模式，PLC1和PLC2同時接收信號，并聯(lián)輸出信號。PLC測控設備是控制組合中關鍵硬件裝置，選用GE公司PAC System 3i系列PLC設備，單臺設備的組成框架如圖2所示。為了適應模擬量采集板卡電壓采集范圍的需求，在模擬量采集模塊上還設計了信號調理模塊。

a）電源模塊。選用IC695PSA040型電源模塊，主要為PLC內部其它各功能模塊供電，具有限流功能，在發(fā)生短路故障時能夠自動關段以避免硬件模塊的損壞。

b）CPU模塊。選用IC695CPE310型模塊，運行CPU邏輯控制程序，負責控制組合的功能控制。

c）模擬量采集模塊。選用IC694ALG222型模塊采集供電電源電壓等工作狀態(tài)信息，具備16通道電壓模擬量采集，采集精度達0.25%。模擬量采集接口如圖3所示。信號調理模塊通過分壓電路將供電電源的28 V直流供電電壓變換成采集板卡適應的0～10 V電壓。

d）開關量采集模塊。選用3塊IC694MDL645型模塊采集控制面板的控制指令，通過3個模塊各自獨立通道采集開關量指令，并在每個采集通道設計隔離二極管防止?jié)撏?。開關量采集接口原理如圖4所示。

e）開關量輸出模塊。選用IC694MDL940型模塊輸出逃逸控制等指令信號，通過4個繼電器觸點并串聯(lián)的形式完成開關量輸出。開關量輸出接口原理如圖5所示。

f）以太網(wǎng)模塊。選用IC695ETM001型模塊，具有10M/100M速度自適應功能，控制組合通過以太網(wǎng)模與交換機連接。

1.3.2 軟件設計方案

嵌入式邏輯控制軟件基于GE Machine Edition 8.0環(huán)境進行設計，主要負責分別從逃逸控制計算機和控制面板接收允許逃逸信息和解鎖、逃逸等開關量信號，進行邏輯判斷后將有線逃逸指令發(fā)送給故障檢測系統(tǒng)硬件設備，并采集故障檢測系統(tǒng)逃逸狀態(tài)反饋信號、供電電源工作狀態(tài)信息，同時將采集的信息發(fā)送給逃逸控制計算機。嵌入式邏輯控制軟件組成如圖6所示。

a）自檢測模塊：自檢測模塊主要完成PLC設備工作狀態(tài)監(jiān)測、累計工作時間計時等功能。邏輯控制軟件具備自檢測功能，能實時檢測控制組合的工作狀態(tài)，并將工作狀態(tài)信息發(fā)送給逃逸控制計算機進行監(jiān)視；同時軟件也完成PLC設備累計通電時間記錄及PLC工作狀態(tài)指示的功能。

b）數(shù)據(jù)采集模塊：接收逃逸控制計算機發(fā)送的允許逃逸等指令信號，并進行數(shù)據(jù)的有效性判別，防止誤輸入信號。軟件接收控制面板發(fā)送的逃逸控制指令信號以及逃逸系統(tǒng)硬件設備的逃逸狀態(tài)反饋狀態(tài)量指示信號。邏輯控制軟件防誤指令接收工作流程如圖7所示。

c）輸出模塊：軟件接收逃逸控制計算機及控制面板的控制指令，完成邏輯判斷后發(fā)出逃逸控制指令。

2 地面逃逸控制組合關鍵技術設計

2.1 系統(tǒng)級冗余設計

待發(fā)段地面逃逸控制組合的核心PLC測控設備采用雙冗余熱備份設計[8]，2臺PLC設備的配置完全相同。正常工作狀態(tài)，PLC1和PLC2均接收控制面板的手動控制指令和逃逸控制計算機的網(wǎng)絡信號，完成邏輯條件判斷后向逃逸系統(tǒng)硬件設備并聯(lián)輸出控制信號。2臺PLC設備同時接收故障檢測系統(tǒng)的逃逸狀態(tài)反饋信號及供電電源工作狀態(tài)信號?？刂平M合冗余熱備份工作原理如圖8所示。

從圖8中可以看出，若單臺PLC出現(xiàn)故障，另一臺PLC仍可按要求完成正常測控任務，不影響系統(tǒng)的正常運行，盡可能消除了單點故障模式。

2.2 可靠性設計

2.2.1 數(shù)據(jù)鏈路的可靠性設計

控制組合在設計中，涉及信息傳遞和逃逸指令傳輸過程鏈路均強調了可靠性設計：

a）控制組合采集控制面板輸入的狀態(tài)量信號，使用3塊獨立的開關量采集模塊接收，實現(xiàn)了硬件通道冗余采集；同時內部PLC邏輯控制軟件對采集的指令進行“三取二”邏輯判斷，并通過設置100 ms時間濾波，防止誤指令輸入。

b）控制組合接收從網(wǎng)絡發(fā)送過來的允許逃逸信號，通過PLC邏輯控制軟件進行“1 s內連續(xù)收到3次”有效判別，防止誤網(wǎng)絡信號輸入。

c）控制組合輸出逃逸控制指令采用雙繼電器觸點“串并聯(lián)”方式冗余輸出，確保關鍵信號的可靠輸出。

d）控制組合采用雙網(wǎng)卡與主、從網(wǎng)絡交換機連接，2條冗余通信鏈路提高了信息傳輸?shù)目煽啃浴?/p>

e）逃逸控制指令邏輯設計。在待發(fā)段工作過程，逃逸指揮員先后通過“解鎖”和“逃逸”2個口令下達逃逸指揮命令，在邏輯控制軟件中設計相關逃逸指令輸出邏輯，確?！安宦┨印薄ⅰ安徽`逃”設計。具體控制邏輯如下：

1）火箭允許逃逸、飛船允許逃逸及發(fā)射場允許逃逸指令全部發(fā)出是逃逸解鎖指令發(fā)出的必要條件，逃逸解鎖指令（主）、逃逸解鎖指令（從）任一發(fā)出即認為解鎖指令發(fā)出，而逃逸解鎖指令發(fā)出是逃逸指令和試驗指令的必要條件；

2）逃逸指令發(fā)出和試驗指令發(fā)出邏輯上受逃逸解鎖指令的限制；

3）試驗狀態(tài)與發(fā)射狀態(tài)邏輯上互斥，試驗狀態(tài)只能發(fā)出試驗指令，發(fā)射狀態(tài)只能發(fā)出逃逸指令。

2.2.2 基于測試數(shù)據(jù)的故障自檢測技術

控制組合利用邏輯控制軟件實現(xiàn)PLC設備自診斷信息的獲取、解析。軟件啟動即執(zhí)行自檢測功能，每2 s將PLC工作狀態(tài)信息發(fā)送給逃逸控制計算機，供系統(tǒng)指揮員進行監(jiān)視，必要時可實現(xiàn)手動設備切換。

2.2.3 防誤操作設計

控制組合針對使用過程中操作各環(huán)節(jié)采取了針對性的防誤操作設計?？刂平M合機箱上與外系統(tǒng)的電氣接口，相鄰位置均采用不同型號、不同鍵位的接插件，避免人員插錯的可能。嵌入式邏輯控制軟件中，從指令采集的濾波處理、指令輸出的冗余判斷設計以及PLC設備啟動時對采集到的指令不進行處理并進行提示，防止控制面板或逃逸控制軟件在上次使用后忘記恢復初識狀態(tài)引起誤動作。

2.3 自主可控的通信協(xié)議設計

采用GE公司配套軟件中的iFix數(shù)據(jù)組件進行控制組合的通信設計。同時針對待發(fā)段地面逃逸控制組合對實時性、可靠性的要求，控制組合設計中在傳輸層采用TCP/IP協(xié)議，應用層采用ModBus協(xié)議，同時在Modbus/TCP控制通信協(xié)議基礎上進行改進，開發(fā)了專用PLC數(shù)據(jù)通信源插件（見圖9），實現(xiàn)了測控組合PLC設備與逃逸控制計算機間高可靠、低延遲通信。

3 結束語

針對載人航天工程中對待發(fā)段逃逸救生需要的安全及可靠性要求，本文提出了一種基于雙冗余架構的高可靠待發(fā)段地面逃逸控制組合設計方案，設計中突出了可靠性、可維修性和安全性設計?？刂平M合通過系統(tǒng)級冗余設計、可靠性設計、自主可控的通信協(xié)議設計、防誤操作設計及基于測試數(shù)據(jù)的自檢測等關鍵技術，確保載人火箭待發(fā)段出現(xiàn)重大故障時宇航員能迅速可靠地實施逃逸救生，滿足后續(xù)載人航天空間站工程待發(fā)段逃逸救生任務的需求，同時也具備向運載火箭地面測發(fā)控系統(tǒng)設計推廣的前景。學報, 2001(6): 68-71.

[2] 劉竹生, 張智. CZ-2F載人運載火箭[J]. 導彈與航天運載技術, 2004(1): 6-12.

[3] 李波, 陳曉斌, 李國強. 待發(fā)段火箭傾倒實時監(jiān)測技術研究與實現(xiàn)[J].宇航學報, 2004(5): 330-333.

[4] 張智. CZ-2F火箭逃逸系統(tǒng)[J]. 導彈與航天運載技術, 2004(1): 20-27.

[5] 張文育, 王家伍, 劉燕超, 孫強. 載人航天工程地面逃逸按控系統(tǒng)可靠性技術[J]. 裝備指揮技術學院學報, 2006(10): 107-110.

[6] 陳放, 田建宇, 王雨萌, 連盟. 新一代大型運載火箭熱備冗余PLC發(fā)控系統(tǒng)設計[J]. 導彈與航天運載技術, 2015(5): 96-106.

[7] 連盟, 張雅順, 張煥鑫, 張鵬. PLC在發(fā)射控制系統(tǒng)中的可靠性應用研究[J]. 航天控制, 2015(1): 88-93.

[8] 張磊. 載人航天運載火箭地面測試發(fā)射控制系統(tǒng)[J]. 導彈與航天運載技術, 2004(1): 34-37.

[1] 李長海. 待發(fā)段航天員逃逸救生決策指揮問題探討[J]. 指揮技術學院

The Design and Key Technology Research of Escape Control Combination in Pre-launching Stages

Wang Zi-yu, Rong Yi, Wang Hai-tao, Peng Yue, Xu Yang
(Beijing Institute of Astronautical Systems Engineering, Beijing, 100076)

As the core part of the escape control system in the manned spaceflight engineering, escape control combination in pre-launching stages is mainly responsible for receiving the instructions from both the escape control computer and the control panel, and communicating with hardware equipment after the judgment of logic conditions. According to the situation of existing technique being ancient, a high reliability escape control combination is proposed based on dual redundancy. Thanks to the redundant network communication technology based on improved ModBus/TCP protocol, the fault detection technology based on the test data, and the high reliability technology based on logic control software design, the reliability of the control combination is greatly increased and the troubleshooting time is effectively reduced. It indicate that the methods proposed in this paper are of great value in engineering application, as it not only can reduce the entire system risk but also can meet the life-saving needs.

Manned spaceflight engineering; Escape in pre-launching stages; Control combination; High reliability

V448.235

A

1004-7182(2017)03-0012-05

10.7654/j.issn.1004-7182.20170303

2016-09-10；

2016-10-21

王子瑜（1985-），男，工程師，主要研究方向為運載火箭電氣系統(tǒng)總體設計