北京航天試驗技術(shù)研究所，北京 100074

一、引言

液體火箭試驗用于考核全箭或子級方案正確性、各系統(tǒng)工作協(xié)調(diào)性和可靠性的綜合性試驗，并且為火箭靶場發(fā)射的測發(fā)流程的制定提供重要的技術(shù)依據(jù)，具有規(guī)模大、周期長、系統(tǒng)復(fù)雜、狀態(tài)切換頻繁、試驗環(huán)境惡劣的特點?？刂葡到y(tǒng)作為地面試驗系統(tǒng)中的關(guān)鍵部分，其可靠性直接影響試驗?zāi)芊耥樌M行，且對發(fā)射場的控制系統(tǒng)設(shè)計具有指導(dǎo)作用。

出于高可靠性需求，目前試驗場、發(fā)測站所用的控制系統(tǒng)大多采用西門子PLC設(shè)備[1]。本文就進一步提高系統(tǒng)整體可靠性，組織構(gòu)建基于S7-417H CPU的冗余控制系統(tǒng)，并在設(shè)計思路中，采用冗余互聯(lián)模塊、外圍電路保護、軟件防干擾計算模塊等，進一步保障試驗控制系統(tǒng)的可靠性。

二、冗余的硬件設(shè)計

PLC控制系統(tǒng)的硬件冗余，包括CPU 冗余、通訊模塊冗余、輸入輸出模塊冗余、電源冗余、現(xiàn)場閥門儀表冗余。

1、冗余CPU的架構(gòu)

控制系統(tǒng)采用主/從控制結(jié)構(gòu)，采用西門子最新冗余CPU 417-5H作為主站，ET200M與PLC300其他分系統(tǒng)CPU作為從站。這種主/從結(jié)構(gòu)實現(xiàn)了信號的數(shù)字化傳輸，減少了電纜的使用數(shù)量，控制、采集功能均由一套系統(tǒng)處理完成，提高了系統(tǒng)的集成度[2]。

2個冗余組S7-417H CPU采用雙機運行，同時參與運算，同時進行控制。冗余的ET200M負責(zé)現(xiàn)場I/O信號的冗余輸入與輸出。S7-417H主站與S7-300從站（其他分系統(tǒng)）通過Y-LINK進行通訊，采集分系統(tǒng)關(guān)鍵參數(shù)。

2、冗余通訊模塊

全系統(tǒng)采用PROFIBUS-DP協(xié)議，主站具有對總線的控制權(quán)。系統(tǒng)通訊拓撲如圖1所示。按照主—從方式向從站發(fā)送或索取信息，實現(xiàn)點對點通信[2]。

如圖1所示，本地從站直接通過冗余的通訊模塊CP443-1中的DP接口建立通訊；遠距離從站點采用DP電纜將ET200M的信號通過冗余的光電轉(zhuǎn)換模塊OLM/G12轉(zhuǎn)換為光纖傳輸方式，遠傳至控制室后，再由主控制室內(nèi)冗余光電轉(zhuǎn)換模塊OLM/G12轉(zhuǎn)換為DP電纜傳輸至主站；S7-300等其他分系統(tǒng)從站，通過Y-LINK模塊統(tǒng)一接口與協(xié)議，實現(xiàn)與主站的通訊握手。

3、冗余輸入輸出模塊

控制輸出和采集信號輸入是通過ET200M從站的輸入輸出模塊實現(xiàn)[2]，模塊類型有：

數(shù)字量輸入模塊——按鈕開關(guān)的輸入信號和閥門開啟到位反饋信號；

數(shù)字量輸出模塊——中間繼電器線圈控制信號和指示燈開關(guān)控制信號；

模擬量輸入模塊——壓力、溫度等傳感器輸出信號和調(diào)節(jié)閥開度反饋；

模擬量輸出信號——電動調(diào)節(jié)閥控制；

頻率信號采集模塊——采集流量計的輸出信號。

4、電源的冗余

電源是控制系統(tǒng)的關(guān)鍵環(huán)節(jié)，一旦發(fā)生故障將使整個系統(tǒng)癱瘓，從而造成巨大的損失。所以，合理的配電設(shè)計對系統(tǒng)的可靠性、安全性與使用壽命都至關(guān)重要。在液體火箭試驗控制系統(tǒng)中，所有電源均采用雙回路冗余電源供電方式。控制系統(tǒng)的電源按功能區(qū)分包括：系統(tǒng)總電220V、CPU供電電源、I/O模塊供電電源、控制按鈕開關(guān)供電電源、現(xiàn)場閥門供電電源、現(xiàn)場儀表供電電源。系統(tǒng)總電源采用APS與UPS應(yīng)急電源雙路供電，保證系統(tǒng)電源正常工作[3]。系統(tǒng)供配電原理如圖2所示。

其中，控制臺帶指示燈按鈕操作較為頻繁，易發(fā)生故障。系統(tǒng)中，在雙電源冗余供電方式的基礎(chǔ)上，采用電源正負極冗余接線方式，即同組按鈕的首尾分別焊接兩組電源的正極、負極。這種接線方式極大地保證了系統(tǒng)的可靠性，并對按鈕線路故障排查具有較高的指向性。

5、現(xiàn)場閥門、儀表的冗余

為了滿足液體火箭發(fā)動機試驗系統(tǒng)的高可靠性要求，在關(guān)鍵工藝部分必須采用控制執(zhí)行器、儀表冗余備份。其中，涉及關(guān)鍵程序點判斷執(zhí)行的測量儀表，甚至需要多重備份進行程序的聯(lián)合判讀，比如緊急關(guān)機程序[3]。

三、外圍保護電路設(shè)計

控制系統(tǒng)中的四種類型的信號，包括數(shù)字量輸入DI信號、數(shù)字量輸出DO信號、模擬量輸入AI信號、模擬量輸出AO信號。其中，數(shù)字量輸入DI信號，因其信號類型為24VDC電壓信號，不需要配置保護電路以外，其他信號均需配置不同結(jié)構(gòu)的保護電路[2]。

1、冗余配置的數(shù)字量輸出的DO信號

冗余配置數(shù)字量輸出回路如圖3所示。信號來自兩塊不同的模板的輸出通道。當(dāng)模塊1輸出通道輸出24VDC信號時，二極管的反向截止功能防止電流流向模塊2中冗余的輸出通道，確保了互為冗余的通道間信號的相互隔離。選擇二極管時，其反向擊穿電壓必須大于模塊的輸出電壓[4]。

2、冗余配置的模擬量輸入的AI信號

控制系統(tǒng)中現(xiàn)場一次儀表將信號經(jīng)由隔離器、安全柵，由冗余配置的AI模板通道采集。隔離器、安全柵負責(zé)給現(xiàn)場一次儀表供電，并調(diào)整、隔離、轉(zhuǎn)換為4mA～20mA、1V～5V等PLC標(biāo)準(zhǔn)信號。安全柵配套本安型防爆儀器儀表，當(dāng)本安防爆設(shè)備發(fā)生故障時，安全柵能將傳入危險場所的能量限制在安全值之內(nèi)，保證控制系統(tǒng)中二次回路設(shè)備的安全。

3、冗余配置的模擬量輸出的AO信號

冗余配置模擬量輸出回路的信號來自兩塊不同的模板的輸出通道。保護電路與數(shù)字量輸出信號類似，二極管的反向截止功能防止電流在冗余通道中串電。電路中，二極管的反向擊穿電壓必須大于模板輸出電壓[4]。

四、抗干擾防錯軟件設(shè)計

軟件利用了PLC高速運算能力、眾多的寄存器以及豐富的邏輯判斷指令，配合硬件冗余設(shè)計，在成本增加不多的情況下，進一步提高控制系統(tǒng)的可靠性，取得很好的抗干擾效果[3]。常用的軟件抗干擾技術(shù)有以下方法：

1、動作指令的延時判讀

為了防止由于操作員誤碰，造成其按鈕開關(guān)將24VDC信號傳至DI通道讀取，程序讀取信號后，控制閥門誤動作，對開關(guān)量輸入信號進行延時（一般為兩個刷新周期，關(guān)鍵設(shè)備適當(dāng)延長時間），多次讀取，兩次結(jié)果一致，方進行指令輸出。

2、模擬信號的數(shù)字濾波

采取軟件數(shù)字濾波技術(shù)消除工業(yè)現(xiàn)場瞬時干擾，常用方法包括：

（1）算術(shù)平均值法：連續(xù)多次采樣，計算平均值作為結(jié)果，適用于一般隨機干擾信號的濾波，計算公式：

（2）防脈沖干擾平均值法：采樣N個數(shù)值，去掉最大最小，剩余采樣值取平均值，可消除脈沖及小信號隨機干擾，計算公式：

（3）中值法：對一個采樣點連續(xù)采集多個信號，采用冒泡法對N個數(shù)據(jù)進行排序，取N/2的整數(shù)部分為k，計算公式：

（4）一階遞推數(shù)字濾波法：利用軟件完成RC低濾波算法，減小模擬濾波器隨時間累積增大的誤差，計算公式：

其中，Xn—第N次的采樣值；

Yn—濾波后的輸出值；

Yn-1—前一次濾波后的輸出值；

α—濾波系數(shù)；

τ—時間常數(shù)；

T—采樣周期。

五、冗余的以太網(wǎng)設(shè)計

S7-417H主站的實時數(shù)據(jù)通過工業(yè)以太網(wǎng)接入冗余路由器（SWT），上位機和其它計算機終端通過連入以太網(wǎng)，實現(xiàn)數(shù)據(jù)的共享。每臺計算機安裝冗余的工業(yè)以太網(wǎng)卡CP1623，雙操作員站、雙交換機、雙主站PLC和雙纜的網(wǎng)絡(luò)配置，使系統(tǒng)在兩套以太網(wǎng)上同時運行，切實保證了網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和可靠性[2]。

六、可靠性指標(biāo)計算

本雙機雙工并聯(lián)控制系統(tǒng)采用雙部件雙重結(jié)構(gòu)，即每部分元件均有2個結(jié)構(gòu)相同、功能相同的裝置并聯(lián)組成。[5]控制系統(tǒng)關(guān)鍵部件結(jié)構(gòu)簡化拓撲如圖4所示。

產(chǎn)品的可靠性是由可靠度R(t)、失效率λ、平均無故障時間（Mean Time Between Failures, MTBF）三個指標(biāo)來描述。

其中，ri(t)—系統(tǒng)中第i個單元的可靠度。

圖4所示的控制系統(tǒng)是由多環(huán)節(jié)的并聯(lián)設(shè)備組串聯(lián)而成。每個環(huán)節(jié)內(nèi)并聯(lián)了兩個相同的設(shè)備，其可靠度相等設(shè)為ri(t)，失效率相等為λi（i=1,2…7），由公式（5）～（7）推導(dǎo)可推得：

第一步、對于每種設(shè)備有：

第二步、對于每個并聯(lián)單元有：

第三步、對于最后的串聯(lián)單元有：

表1給出了7種設(shè)備的MTBF值，分別計算了系統(tǒng)連續(xù)工作周期為1y、5y、10y、20y時單個設(shè)備及并聯(lián)設(shè)備單元的可靠度，并計算了單一串聯(lián)控制系統(tǒng)及雙機雙工并聯(lián)控制系統(tǒng)的可靠度。

根據(jù)計算結(jié)果比較，雙機雙工并聯(lián)控制系統(tǒng)的可靠度遠大于單一控制系統(tǒng)，并且，隨著使用周期的延長，系統(tǒng)可靠度逐年降低。可以根據(jù)該計算結(jié)果，合理安排系統(tǒng)的更新、升級。[6-7]

七、總結(jié)

本文從冗余的硬件設(shè)計、外圍保護電路設(shè)計、抗干擾防錯軟件設(shè)計、冗余的以太網(wǎng)設(shè)計4個方面，從提高系統(tǒng)可靠性為系統(tǒng)設(shè)計出發(fā)點，闡述了一種基于冗余S7-417H PLC的液體火箭試驗控制系統(tǒng)的設(shè)計方法。并通過可靠度計算，定量計算，得到以下結(jié)論：

1、在選用合格元器件的前提下，相同運行周期時間內(nèi)，采用冗余設(shè)計方式的系統(tǒng)的可靠度值要遠遠大于單一系統(tǒng)；

2、隨著工作時間的推移，系統(tǒng)可靠度逐年降低，建議控制系統(tǒng)的使用壽命限制在15年以內(nèi)。

表1 不同周期下各并聯(lián)設(shè)備及控制系統(tǒng)的可靠度(40℃)