北京航天試驗(yàn)技術(shù)研究所，北京 100074

一、引言

液體火箭試驗(yàn)用于考核全箭或子級(jí)方案正確性、各系統(tǒng)工作協(xié)調(diào)性和可靠性的綜合性試驗(yàn)，并且為火箭靶場發(fā)射的測(cè)發(fā)流程的制定提供重要的技術(shù)依據(jù)，具有規(guī)模大、周期長、系統(tǒng)復(fù)雜、狀態(tài)切換頻繁、試驗(yàn)環(huán)境惡劣的特點(diǎn)?？刂葡到y(tǒng)作為地面試驗(yàn)系統(tǒng)中的關(guān)鍵部分，其可靠性直接影響試驗(yàn)?zāi)芊耥樌M(jìn)行，且對(duì)發(fā)射場的控制系統(tǒng)設(shè)計(jì)具有指導(dǎo)作用。

出于高可靠性需求，目前試驗(yàn)場、發(fā)測(cè)站所用的控制系統(tǒng)大多采用西門子PLC設(shè)備[1]。本文就進(jìn)一步提高系統(tǒng)整體可靠性，組織構(gòu)建基于S7-417H CPU的冗余控制系統(tǒng)，并在設(shè)計(jì)思路中，采用冗余互聯(lián)模塊、外圍電路保護(hù)、軟件防干擾計(jì)算模塊等，進(jìn)一步保障試驗(yàn)控制系統(tǒng)的可靠性。

二、冗余的硬件設(shè)計(jì)

PLC控制系統(tǒng)的硬件冗余，包括CPU 冗余、通訊模塊冗余、輸入輸出模塊冗余、電源冗余、現(xiàn)場閥門儀表冗余。

1、冗余CPU的架構(gòu)

控制系統(tǒng)采用主/從控制結(jié)構(gòu)，采用西門子最新冗余CPU 417-5H作為主站，ET200M與PLC300其他分系統(tǒng)CPU作為從站。這種主/從結(jié)構(gòu)實(shí)現(xiàn)了信號(hào)的數(shù)字化傳輸，減少了電纜的使用數(shù)量，控制、采集功能均由一套系統(tǒng)處理完成，提高了系統(tǒng)的集成度[2]。

2個(gè)冗余組S7-417H CPU采用雙機(jī)運(yùn)行，同時(shí)參與運(yùn)算，同時(shí)進(jìn)行控制。冗余的ET200M負(fù)責(zé)現(xiàn)場I/O信號(hào)的冗余輸入與輸出。S7-417H主站與S7-300從站（其他分系統(tǒng)）通過Y-LINK進(jìn)行通訊，采集分系統(tǒng)關(guān)鍵參數(shù)。

2、冗余通訊模塊

全系統(tǒng)采用PROFIBUS-DP協(xié)議，主站具有對(duì)總線的控制權(quán)。系統(tǒng)通訊拓?fù)淙鐖D1所示。按照主—從方式向從站發(fā)送或索取信息，實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)通信[2]。

如圖1所示，本地從站直接通過冗余的通訊模塊CP443-1中的DP接口建立通訊；遠(yuǎn)距離從站點(diǎn)采用DP電纜將ET200M的信號(hào)通過冗余的光電轉(zhuǎn)換模塊OLM/G12轉(zhuǎn)換為光纖傳輸方式，遠(yuǎn)傳至控制室后，再由主控制室內(nèi)冗余光電轉(zhuǎn)換模塊OLM/G12轉(zhuǎn)換為DP電纜傳輸至主站；S7-300等其他分系統(tǒng)從站，通過Y-LINK模塊統(tǒng)一接口與協(xié)議，實(shí)現(xiàn)與主站的通訊握手。

3、冗余輸入輸出模塊

控制輸出和采集信號(hào)輸入是通過ET200M從站的輸入輸出模塊實(shí)現(xiàn)[2]，模塊類型有：

數(shù)字量輸入模塊——按鈕開關(guān)的輸入信號(hào)和閥門開啟到位反饋信號(hào)；

數(shù)字量輸出模塊——中間繼電器線圈控制信號(hào)和指示燈開關(guān)控制信號(hào)；

模擬量輸入模塊——壓力、溫度等傳感器輸出信號(hào)和調(diào)節(jié)閥開度反饋；

模擬量輸出信號(hào)——電動(dòng)調(diào)節(jié)閥控制；

頻率信號(hào)采集模塊——采集流量計(jì)的輸出信號(hào)。

4、電源的冗余

電源是控制系統(tǒng)的關(guān)鍵環(huán)節(jié)，一旦發(fā)生故障將使整個(gè)系統(tǒng)癱瘓，從而造成巨大的損失。所以，合理的配電設(shè)計(jì)對(duì)系統(tǒng)的可靠性、安全性與使用壽命都至關(guān)重要。在液體火箭試驗(yàn)控制系統(tǒng)中，所有電源均采用雙回路冗余電源供電方式?？刂葡到y(tǒng)的電源按功能區(qū)分包括：系統(tǒng)總電220V、CPU供電電源、I/O模塊供電電源、控制按鈕開關(guān)供電電源、現(xiàn)場閥門供電電源、現(xiàn)場儀表供電電源。系統(tǒng)總電源采用APS與UPS應(yīng)急電源雙路供電，保證系統(tǒng)電源正常工作[3]。系統(tǒng)供配電原理如圖2所示。

其中，控制臺(tái)帶指示燈按鈕操作較為頻繁，易發(fā)生故障。系統(tǒng)中，在雙電源冗余供電方式的基礎(chǔ)上，采用電源正負(fù)極冗余接線方式，即同組按鈕的首尾分別焊接兩組電源的正極、負(fù)極。這種接線方式極大地保證了系統(tǒng)的可靠性，并對(duì)按鈕線路故障排查具有較高的指向性。

5、現(xiàn)場閥門、儀表的冗余

為了滿足液體火箭發(fā)動(dòng)機(jī)試驗(yàn)系統(tǒng)的高可靠性要求，在關(guān)鍵工藝部分必須采用控制執(zhí)行器、儀表冗余備份。其中，涉及關(guān)鍵程序點(diǎn)判斷執(zhí)行的測(cè)量儀表，甚至需要多重備份進(jìn)行程序的聯(lián)合判讀，比如緊急關(guān)機(jī)程序[3]。

三、外圍保護(hù)電路設(shè)計(jì)

控制系統(tǒng)中的四種類型的信號(hào)，包括數(shù)字量輸入DI信號(hào)、數(shù)字量輸出DO信號(hào)、模擬量輸入AI信號(hào)、模擬量輸出AO信號(hào)。其中，數(shù)字量輸入DI信號(hào)，因其信號(hào)類型為24VDC電壓信號(hào)，不需要配置保護(hù)電路以外，其他信號(hào)均需配置不同結(jié)構(gòu)的保護(hù)電路[2]。

1、冗余配置的數(shù)字量輸出的DO信號(hào)

冗余配置數(shù)字量輸出回路如圖3所示。信號(hào)來自兩塊不同的模板的輸出通道。當(dāng)模塊1輸出通道輸出24VDC信號(hào)時(shí)，二極管的反向截止功能防止電流流向模塊2中冗余的輸出通道，確保了互為冗余的通道間信號(hào)的相互隔離。選擇二極管時(shí)，其反向擊穿電壓必須大于模塊的輸出電壓[4]。

2、冗余配置的模擬量輸入的AI信號(hào)

控制系統(tǒng)中現(xiàn)場一次儀表將信號(hào)經(jīng)由隔離器、安全柵，由冗余配置的AI模板通道采集。隔離器、安全柵負(fù)責(zé)給現(xiàn)場一次儀表供電，并調(diào)整、隔離、轉(zhuǎn)換為4mA～20mA、1V～5V等PLC標(biāo)準(zhǔn)信號(hào)。安全柵配套本安型防爆儀器儀表，當(dāng)本安防爆設(shè)備發(fā)生故障時(shí)，安全柵能將傳入危險(xiǎn)場所的能量限制在安全值之內(nèi)，保證控制系統(tǒng)中二次回路設(shè)備的安全。

3、冗余配置的模擬量輸出的AO信號(hào)

冗余配置模擬量輸出回路的信號(hào)來自兩塊不同的模板的輸出通道。保護(hù)電路與數(shù)字量輸出信號(hào)類似，二極管的反向截止功能防止電流在冗余通道中串電。電路中，二極管的反向擊穿電壓必須大于模板輸出電壓[4]。

四、抗干擾防錯(cuò)軟件設(shè)計(jì)

軟件利用了PLC高速運(yùn)算能力、眾多的寄存器以及豐富的邏輯判斷指令，配合硬件冗余設(shè)計(jì)，在成本增加不多的情況下，進(jìn)一步提高控制系統(tǒng)的可靠性，取得很好的抗干擾效果[3]。常用的軟件抗干擾技術(shù)有以下方法：

1、動(dòng)作指令的延時(shí)判讀

為了防止由于操作員誤碰，造成其按鈕開關(guān)將24VDC信號(hào)傳至DI通道讀取，程序讀取信號(hào)后，控制閥門誤動(dòng)作，對(duì)開關(guān)量輸入信號(hào)進(jìn)行延時(shí)（一般為兩個(gè)刷新周期，關(guān)鍵設(shè)備適當(dāng)延長時(shí)間），多次讀取，兩次結(jié)果一致，方進(jìn)行指令輸出。

2、模擬信號(hào)的數(shù)字濾波

采取軟件數(shù)字濾波技術(shù)消除工業(yè)現(xiàn)場瞬時(shí)干擾，常用方法包括：

（1）算術(shù)平均值法：連續(xù)多次采樣，計(jì)算平均值作為結(jié)果，適用于一般隨機(jī)干擾信號(hào)的濾波，計(jì)算公式：

（2）防脈沖干擾平均值法：采樣N個(gè)數(shù)值，去掉最大最小，剩余采樣值取平均值，可消除脈沖及小信號(hào)隨機(jī)干擾，計(jì)算公式：

（3）中值法：對(duì)一個(gè)采樣點(diǎn)連續(xù)采集多個(gè)信號(hào)，采用冒泡法對(duì)N個(gè)數(shù)據(jù)進(jìn)行排序，取N/2的整數(shù)部分為k，計(jì)算公式：

（4）一階遞推數(shù)字濾波法：利用軟件完成RC低濾波算法，減小模擬濾波器隨時(shí)間累積增大的誤差，計(jì)算公式：

其中，Xn—第N次的采樣值；

Yn—濾波后的輸出值；

Yn-1—前一次濾波后的輸出值；

α—濾波系數(shù)；

τ—時(shí)間常數(shù)；

T—采樣周期。

五、冗余的以太網(wǎng)設(shè)計(jì)

S7-417H主站的實(shí)時(shí)數(shù)據(jù)通過工業(yè)以太網(wǎng)接入冗余路由器（SWT），上位機(jī)和其它計(jì)算機(jī)終端通過連入以太網(wǎng)，實(shí)現(xiàn)數(shù)據(jù)的共享。每臺(tái)計(jì)算機(jī)安裝冗余的工業(yè)以太網(wǎng)卡CP1623，雙操作員站、雙交換機(jī)、雙主站PLC和雙纜的網(wǎng)絡(luò)配置，使系統(tǒng)在兩套以太網(wǎng)上同時(shí)運(yùn)行，切實(shí)保證了網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和可靠性[2]。

六、可靠性指標(biāo)計(jì)算

本雙機(jī)雙工并聯(lián)控制系統(tǒng)采用雙部件雙重結(jié)構(gòu)，即每部分元件均有2個(gè)結(jié)構(gòu)相同、功能相同的裝置并聯(lián)組成。[5]控制系統(tǒng)關(guān)鍵部件結(jié)構(gòu)簡化拓?fù)淙鐖D4所示。

產(chǎn)品的可靠性是由可靠度R(t)、失效率λ、平均無故障時(shí)間（Mean Time Between Failures, MTBF）三個(gè)指標(biāo)來描述。

其中，ri(t)—系統(tǒng)中第i個(gè)單元的可靠度。

圖4所示的控制系統(tǒng)是由多環(huán)節(jié)的并聯(lián)設(shè)備組串聯(lián)而成。每個(gè)環(huán)節(jié)內(nèi)并聯(lián)了兩個(gè)相同的設(shè)備，其可靠度相等設(shè)為ri(t)，失效率相等為λi（i=1,2…7），由公式（5）～（7）推導(dǎo)可推得：

第一步、對(duì)于每種設(shè)備有：

第二步、對(duì)于每個(gè)并聯(lián)單元有：

第三步、對(duì)于最后的串聯(lián)單元有：

表1給出了7種設(shè)備的MTBF值，分別計(jì)算了系統(tǒng)連續(xù)工作周期為1y、5y、10y、20y時(shí)單個(gè)設(shè)備及并聯(lián)設(shè)備單元的可靠度，并計(jì)算了單一串聯(lián)控制系統(tǒng)及雙機(jī)雙工并聯(lián)控制系統(tǒng)的可靠度。

根據(jù)計(jì)算結(jié)果比較，雙機(jī)雙工并聯(lián)控制系統(tǒng)的可靠度遠(yuǎn)大于單一控制系統(tǒng)，并且，隨著使用周期的延長，系統(tǒng)可靠度逐年降低?？梢愿鶕?jù)該計(jì)算結(jié)果，合理安排系統(tǒng)的更新、升級(jí)。[6-7]

七、總結(jié)

本文從冗余的硬件設(shè)計(jì)、外圍保護(hù)電路設(shè)計(jì)、抗干擾防錯(cuò)軟件設(shè)計(jì)、冗余的以太網(wǎng)設(shè)計(jì)4個(gè)方面，從提高系統(tǒng)可靠性為系統(tǒng)設(shè)計(jì)出發(fā)點(diǎn)，闡述了一種基于冗余S7-417H PLC的液體火箭試驗(yàn)控制系統(tǒng)的設(shè)計(jì)方法。并通過可靠度計(jì)算，定量計(jì)算，得到以下結(jié)論：

1、在選用合格元器件的前提下，相同運(yùn)行周期時(shí)間內(nèi)，采用冗余設(shè)計(jì)方式的系統(tǒng)的可靠度值要遠(yuǎn)遠(yuǎn)大于單一系統(tǒng)；

2、隨著工作時(shí)間的推移，系統(tǒng)可靠度逐年降低，建議控制系統(tǒng)的使用壽命限制在15年以內(nèi)。

表1 不同周期下各并聯(lián)設(shè)備及控制系統(tǒng)的可靠度(40℃)