畢顯婷，祝 偉，馮敏潔，翟 晉

(北京宇航系統(tǒng)工程研究所，北京 100076)

0 引言

運(yùn)載火箭貯箱完成推進(jìn)劑加注后至發(fā)射前一直處于地面貯存狀態(tài)，貯存過程中貯箱內(nèi)氣枕和推進(jìn)劑溫度會(huì)隨貯存環(huán)境溫度調(diào)控而變化，會(huì)導(dǎo)致貯箱壓力變化，進(jìn)而產(chǎn)生貯箱表面應(yīng)力變化。對(duì)于使用低溫推進(jìn)劑的情況，貯箱壁面漏熱也會(huì)導(dǎo)致推進(jìn)劑溫度升高并汽化，從而導(dǎo)致推進(jìn)劑可用量減少[1-3]。因此一旦遇到緊急情況需要推遲發(fā)射，或者因使用需求延長(zhǎng)存放時(shí)間時(shí)，對(duì)箭上力、熱和環(huán)境等關(guān)鍵參數(shù)的長(zhǎng)期監(jiān)測(cè)至關(guān)重要，關(guān)系到貯存安全和發(fā)射任務(wù)的成敗。

新一代運(yùn)載火箭要求測(cè)控系統(tǒng)具有長(zhǎng)時(shí)間連續(xù)加電的能力，尤其是在液氫加注后，前端設(shè)備實(shí)現(xiàn)“無人值守”。現(xiàn)有運(yùn)載火箭地面監(jiān)測(cè)系統(tǒng)雖然在故障監(jiān)測(cè)和冗余等方面進(jìn)行了設(shè)計(jì)，但并未考慮出現(xiàn)單機(jī)故障后，在系統(tǒng)不斷電的情況下更換設(shè)備[4-5]。針對(duì)此問題，本文采用冗余熱備設(shè)計(jì)，確保在故障情況下，可對(duì)故障單機(jī)進(jìn)行在線更換，不影響系統(tǒng)功能。為實(shí)現(xiàn)箭上力、熱和環(huán)境等關(guān)鍵參數(shù)的實(shí)時(shí)測(cè)量，需要為運(yùn)載火箭上設(shè)備連續(xù)供電，同時(shí)將接收到的參數(shù)處理后回傳，用于監(jiān)測(cè)和判讀。此外，考慮到加電期間可能會(huì)出現(xiàn)故障，因此供配電單機(jī)自身的狀態(tài)參數(shù)也要回傳，異常情況下便于快速定位問題。

由于地面數(shù)據(jù)解調(diào)軟件需要長(zhǎng)期運(yùn)行，要求長(zhǎng)時(shí)間運(yùn)行的穩(wěn)定性和可靠性高。現(xiàn)有運(yùn)載火箭的地面測(cè)控系統(tǒng)遠(yuǎn)距離測(cè)控普遍基于傳統(tǒng)的Windows平臺(tái)軟件[6-10]，但系統(tǒng)運(yùn)行狀態(tài)的開銷較大，難以保證可靠性。

考慮到長(zhǎng)期加電期間箭上采集的只是一些關(guān)鍵參數(shù)，數(shù)據(jù)量較小，本系統(tǒng)基于嵌入式操作系統(tǒng)平臺(tái)開發(fā)了具有測(cè)控功能和監(jiān)測(cè)功能的實(shí)時(shí)監(jiān)測(cè)軟件，完成供配電指令下發(fā)和單機(jī)狀態(tài)及箭上關(guān)鍵參數(shù)的顯示。

1 系統(tǒng)組成

1.1 硬件組成

用于長(zhǎng)期監(jiān)測(cè)的高可靠供配電系統(tǒng)由箭上設(shè)備和地面設(shè)備組成，如圖1所示。箭上設(shè)備主要由箭上配電器組成；地面設(shè)備包括地面電源,監(jiān)測(cè)控制組合,前、后端交換機(jī)和后端監(jiān)控設(shè)備組成。

圖1 用于長(zhǎng)期監(jiān)測(cè)的高可靠供配電系統(tǒng)組成框圖

監(jiān)測(cè)控制組合集成了配電和數(shù)據(jù)處理的功能。兩臺(tái)監(jiān)測(cè)控制組合冗余熱備，接收來自后端監(jiān)控設(shè)備的加、斷電指令，為箭上設(shè)備供電。

后端監(jiān)控臺(tái)用于向前端發(fā)送指令，接收前端發(fā)送的數(shù)據(jù)并顯示。地面電源采用雙機(jī)冗余熱備份設(shè)計(jì)。

為提高網(wǎng)絡(luò)傳輸?shù)目煽啃?，所有上網(wǎng)設(shè)備均采用雙網(wǎng)卡綁定方式接入交換機(jī)。

1.2 軟件組成

用于長(zhǎng)期監(jiān)測(cè)的供配電系統(tǒng)軟件由前端監(jiān)測(cè)控制軟件和后端測(cè)控軟件組成。

前端監(jiān)測(cè)控制軟件運(yùn)行于監(jiān)測(cè)控制組合，完成供電測(cè)控、數(shù)據(jù)處理、故障檢測(cè)和網(wǎng)絡(luò)通信等任務(wù)。箭上各傳感器采集到的力、熱、濃度等參數(shù)經(jīng)換流采編單元編幀后通過422總線傳輸給前端監(jiān)測(cè)控制軟件，前端監(jiān)測(cè)控制軟件對(duì)數(shù)據(jù)進(jìn)行處理后經(jīng)以太網(wǎng)傳輸給后端監(jiān)控設(shè)備顯示。前端監(jiān)測(cè)控制軟件同時(shí)將地面電源參數(shù)、本機(jī)工作參數(shù)傳輸至后端顯示。

為解決長(zhǎng)期加電狀態(tài)下系統(tǒng)監(jiān)測(cè)問題，后端監(jiān)控設(shè)備上部署的后端測(cè)控軟件實(shí)時(shí)接收前端發(fā)送過來的數(shù)據(jù)信息，通過數(shù)據(jù)解析、參數(shù)監(jiān)測(cè)、故障報(bào)警等功能對(duì)采集的數(shù)據(jù)進(jìn)行處理分析，并將異常狀態(tài)信息進(jìn)行記錄，統(tǒng)一監(jiān)測(cè)系統(tǒng)的安全狀況和工作狀態(tài)，一旦故障發(fā)生，從計(jì)算機(jī)收到的信息可以根據(jù)設(shè)備號(hào)明確判斷是哪一臺(tái)設(shè)備的某個(gè)模塊出現(xiàn)問題，實(shí)現(xiàn)了地面設(shè)備良好的維修性。

2 高可靠設(shè)計(jì)

Windows 平臺(tái)的軟件由于系統(tǒng)運(yùn)行狀態(tài)的開銷較大，難以實(shí)現(xiàn)長(zhǎng)期實(shí)時(shí)數(shù)據(jù)處理以及長(zhǎng)時(shí)間運(yùn)行的可靠性。為了確保系統(tǒng)的實(shí)時(shí)性、可靠性、穩(wěn)定性等需求，本方案中前后端均采用國(guó)產(chǎn)化處理器，軟件運(yùn)行于嵌入式操作系統(tǒng)，在軟件及硬件層面均采用熱冗余設(shè)計(jì)。

2.1 嵌入式操作系統(tǒng)

前端監(jiān)測(cè)控制軟件和后端測(cè)控軟件均運(yùn)行于嵌入式操作系統(tǒng)，包括BSP和應(yīng)用軟件兩部分。嵌入式操作系統(tǒng)的組件如圖2所示。

圖2 嵌入式操作系統(tǒng)組件

在操作系統(tǒng)與目標(biāo)板底層硬件之間，有一個(gè)重要部分板級(jí)支持包BSP(Board Support Package)。板級(jí)支持包為硬件功能提供了統(tǒng)一的軟件接口，包括硬件初始化、中斷的產(chǎn)生和處理、硬件時(shí)鐘和計(jì)時(shí)器的管理，本地和總線內(nèi)存地址映射、內(nèi)存空間大小、實(shí)時(shí)內(nèi)核載入等。

BSP的功能包括：

1)上電或復(fù)位后的初始化：CPU初始化和內(nèi)存控制器初始化；

2)硬件初始化和配置：I/0口、RS422接口、1553B接口、硬盤。

3)BSP特定硬件的支持：中斷控制器、時(shí)鐘和定時(shí)器。

2.2 冗余設(shè)計(jì)

系統(tǒng)設(shè)計(jì)過程中，對(duì)單機(jī)功能、網(wǎng)絡(luò)、雙機(jī)切換等方面均進(jìn)行了冗余設(shè)計(jì)。單機(jī)設(shè)計(jì)過程中，對(duì)關(guān)鍵部件及關(guān)鍵功能均采用了冗余設(shè)計(jì)，地面電源、監(jiān)測(cè)控制組合等設(shè)備并聯(lián)構(gòu)成冗余備份工作模式，任意一個(gè)正常工作就可以完成系統(tǒng)要求的全部功能；設(shè)備內(nèi)部對(duì)于接插件、開關(guān)、繼電器的觸點(diǎn)增加冗余接點(diǎn)，采用并聯(lián)工作模式。

2.2.1 供配電單元冗余設(shè)計(jì)

監(jiān)測(cè)控制組合內(nèi)部供配電單元的設(shè)計(jì)主要是通過對(duì)繼電器的控制實(shí)現(xiàn)對(duì)箭上設(shè)備的28V供電。為保證長(zhǎng)期加電可靠性，繼電器采用磁保持繼電器，確保對(duì)箭上設(shè)備可靠供電，電路進(jìn)行冗余設(shè)計(jì)，供電支路采用雙繼電器雙觸點(diǎn)冗余設(shè)計(jì)，對(duì)于同一供電負(fù)載支路，冗余接點(diǎn)間進(jìn)行短接。供配電繼電器連接如圖3所示。

圖3 監(jiān)測(cè)控制組合供配電冗余電路原理圖

2.2.2 雙網(wǎng)冗余設(shè)計(jì)

為保障數(shù)據(jù)傳輸?shù)目煽啃?，?duì)主板上的雙網(wǎng)口進(jìn)行綁定，將兩個(gè)以太網(wǎng)口在系統(tǒng)中映射為同一個(gè)IP地址及MAC地址，從而實(shí)現(xiàn)邏輯地址為1個(gè)IP地址，而實(shí)際傳輸中采用雙網(wǎng)口傳輸。

本方案采用雙網(wǎng)卡綁定的機(jī)制，軟件中啟動(dòng)兩個(gè)任務(wù)分別對(duì)主控上的兩個(gè)網(wǎng)卡狀態(tài)進(jìn)行實(shí)時(shí)檢測(cè)，當(dāng)主網(wǎng)卡出現(xiàn)故障時(shí)，設(shè)計(jì)邏輯將工作網(wǎng)卡切換到備用網(wǎng)卡，并且要滿足切換時(shí)間，雙網(wǎng)切換邏輯如圖4所示。

圖4 雙網(wǎng)切換邏輯設(shè)計(jì)示意圖

為了驗(yàn)證雙網(wǎng)冗余設(shè)計(jì)的性能，采用兩個(gè)網(wǎng)卡監(jiān)測(cè)任務(wù)分別監(jiān)測(cè)網(wǎng)卡0和網(wǎng)卡1的狀態(tài)，軟件采用嵌入式操作系統(tǒng)實(shí)時(shí)操作系統(tǒng)，可以實(shí)現(xiàn)對(duì)網(wǎng)卡狀態(tài)的實(shí)時(shí)檢測(cè)。設(shè)計(jì)了4種工況進(jìn)行切換，包括：

1)初始上電時(shí)，初始狀態(tài)到網(wǎng)卡1的切換；

2)雙網(wǎng)口工作時(shí)，主備網(wǎng)卡的切換；

3)雙網(wǎng)口工作時(shí)，拔出備網(wǎng)卡，沒有切換動(dòng)作；

4)拔除雙網(wǎng)口，然后插回任意網(wǎng)口，前后端通信正常。

通過網(wǎng)絡(luò)抓包測(cè)試，記錄10組測(cè)試時(shí)間，主備網(wǎng)卡切換時(shí)間小于130 ms。

2.2.3 雙機(jī)熱備設(shè)計(jì)

監(jiān)測(cè)控制組合采用雙機(jī)熱備的系統(tǒng)架構(gòu)，在系統(tǒng)長(zhǎng)時(shí)間加電的情況下，保證在單機(jī)設(shè)備故障時(shí)，系統(tǒng)功能不失效。

對(duì)系統(tǒng)加電時(shí)可能發(fā)生的故障類型分類分析，由于監(jiān)測(cè)控制組合切換支持自動(dòng)切換及手動(dòng)切換兩種方式，而引起自動(dòng)切換的故障又包括死機(jī)故障和非死機(jī)故障兩種，故將切換動(dòng)作按以下3類實(shí)現(xiàn)：

(1)故障判別后主機(jī)發(fā)起的自動(dòng)切換

當(dāng)主機(jī)在故障判別完成，首先進(jìn)行故障隔離，使故障單機(jī)的所有輸出進(jìn)入安全狀態(tài)，并報(bào)送后端。若為主機(jī)故障，則自動(dòng)進(jìn)行主從切換，從機(jī)更改配置變?yōu)橹鳈C(jī)，并進(jìn)入單機(jī)工作模式；若為從機(jī)故障，則主機(jī)進(jìn)入單機(jī)工作模式。切換流程如圖5所示。

圖5 非死機(jī)類故障導(dǎo)致的自動(dòng)切換流程圖

(2)主機(jī)死機(jī)后由從機(jī)發(fā)起的自動(dòng)切換

主機(jī)死機(jī)類故障直接表現(xiàn)為主機(jī)自身無法對(duì)故障進(jìn)行檢測(cè)并發(fā)起相應(yīng)的切換動(dòng)作，這一類故障的檢測(cè)只能由從機(jī)通過監(jiān)聽有無主機(jī)心跳來實(shí)現(xiàn)。

其基本的動(dòng)作流程與主機(jī)自身發(fā)起的切換流程類似，不同之處在于對(duì)于從機(jī)來說，切換動(dòng)作是由自身故障監(jiān)測(cè)模塊調(diào)用故障監(jiān)聽插件在主機(jī)心跳超時(shí)后主動(dòng)發(fā)起的，而不是由網(wǎng)絡(luò)傳輸模塊等待接收主機(jī)發(fā)出的切換信息，這之后的動(dòng)作流程與主機(jī)非死機(jī)類故障完全一致。切換流程如圖6所示。

圖6 死機(jī)類故障導(dǎo)致的自動(dòng)切換流程圖

(3)后端監(jiān)控設(shè)備進(jìn)行的手動(dòng)切換干預(yù)

手動(dòng)切換本質(zhì)與主機(jī)非死機(jī)類故障相同，后端監(jiān)控設(shè)備通過前后端之間的以太網(wǎng)鏈接將手動(dòng)切換命令發(fā)送至主/從機(jī)的應(yīng)用層，應(yīng)用層通過與熱備層之間的通信連接將切換指令傳遞給熱備層內(nèi)的故障檢測(cè)模塊，故障檢測(cè)模塊在收到切換指令并對(duì)比當(dāng)前主從機(jī)健康狀態(tài)后進(jìn)入切換流程，之后的動(dòng)作與主機(jī)主動(dòng)發(fā)起的切換過程相同。切換流程如圖7所示。

圖7 手動(dòng)切換流程圖

3 測(cè)試驗(yàn)證

根據(jù)上述分析，雙機(jī)熱備情況下可能發(fā)生的切換模式包括：主機(jī)非死機(jī)故障引起的自動(dòng)切換、主機(jī)死機(jī)故障引起的自動(dòng)切換和手動(dòng)切換。對(duì)這幾種情況所需切換時(shí)間進(jìn)行統(tǒng)計(jì)，統(tǒng)計(jì)結(jié)果如表1所示。由統(tǒng)計(jì)結(jié)果可知，雙機(jī)切換時(shí)間較短，均小于15 ms，可以滿足長(zhǎng)期加電系統(tǒng)使用要求。

表1 雙機(jī)切換時(shí)間統(tǒng)計(jì)

4 結(jié)論

本文設(shè)計(jì)了一種用于運(yùn)載火箭加注后長(zhǎng)期監(jiān)測(cè)的高可靠供配電方案，基于自主可控嵌入式操作系統(tǒng)和國(guó)產(chǎn)控制器開發(fā)了應(yīng)用軟件，解決了傳統(tǒng)運(yùn)載型號(hào)使用的Windows操作系統(tǒng)難以實(shí)現(xiàn)長(zhǎng)期實(shí)時(shí)數(shù)據(jù)處理以及長(zhǎng)時(shí)間運(yùn)行的問題。通過冗余熱備設(shè)計(jì)有效保證了單機(jī)故障情況主從機(jī)切換，保證在系統(tǒng)不斷電更換故障設(shè)備，提高了系統(tǒng)可靠性，有效保障長(zhǎng)期加電期間靶場(chǎng)安全。