孫艷秋，吳慶軍，張 碩，胡海峰,2

（1. 北京航天自動控制研究所，北京，100854；2. 宇航智能控制技術(shù)國家級重點試驗室，北京，100854）

0 引 言

CZ-2F運(yùn)載火箭承擔(dān)著載人航天飛行任務(wù)，測發(fā)控系統(tǒng)是CZ-2F火箭的關(guān)鍵系統(tǒng)之一。為滿足載人航天要求的高可靠性和高安全性的要求，CZ-2F一期測發(fā)控系統(tǒng)首次采用了VXI總線測試技術(shù)，VXI 總線技術(shù)提高了測發(fā)控系統(tǒng)的可靠性，縮短了測試時間，提高了測試精度，改善了測試系統(tǒng)的性能；首次采用可編程邏輯控制器（Programmanle Logic Controller， PLC）和光纖通訊技術(shù)實現(xiàn)遠(yuǎn)距離發(fā)射控制，人員可在數(shù)千米外進(jìn)行火箭測試發(fā)射控制保證了人員的安全；首次采用3套硬件配置相同的點火PLC，運(yùn)行3套不同的點火時序軟件的方式，實現(xiàn)點火、緊急關(guān)機(jī)時序控制的軟件異構(gòu)型冗余方式，提高了點火、緊急關(guān)機(jī)時序可靠性、安全性。CZ-2F一期測發(fā)控系統(tǒng)在以上技術(shù)基礎(chǔ)上圓滿完成了遙一到遙七的發(fā)射任務(wù)。

二期運(yùn)載火箭將執(zhí)行交會對接及載人飛行任務(wù)，對火箭提出了零窗口發(fā)射的高要求，測發(fā)控系統(tǒng)需要在發(fā)射流程中做到安全、可靠、準(zhǔn)時點火以保證火箭能分毫不差的點火起飛。一期測發(fā)控系統(tǒng)在主控微機(jī)、前端PLC設(shè)備等重要部位仍為單套配置設(shè)計，系統(tǒng)冗余度不足。為進(jìn)一步提升系統(tǒng)可靠性，更好地實現(xiàn)“零窗口”發(fā)射目標(biāo)，研制全冗余測發(fā)控系統(tǒng)迫在眉睫。

1 “全冗余”一體化測發(fā)控系統(tǒng)概述

載人航天交會對接運(yùn)載火箭測發(fā)控系統(tǒng)采用全冗余的系統(tǒng)方案，結(jié)合計算機(jī)自動化測試技術(shù)、VXI總線技術(shù)、光纖通信和網(wǎng)絡(luò)技術(shù)，構(gòu)建了虛實結(jié)合的分布式測發(fā)控系統(tǒng)，實現(xiàn)了對控制系統(tǒng)箭上設(shè)備的供配電和狀態(tài)控制，對各類參量的定量檢測和定性監(jiān)視，實施發(fā)射任務(wù)等功能。

測發(fā)控系統(tǒng)采用以主控微機(jī)為核心的自動測試發(fā)射工作方式，自動測控為主，手動參與部分配合動作，關(guān)鍵功能自動、手動互保。主控微機(jī)控制VXI實現(xiàn)自動測試與發(fā)射流程，接收測試數(shù)據(jù)與測試結(jié)果，對數(shù)據(jù)進(jìn)行分析判別，判斷測試結(jié)果的正確性和發(fā)控流程是否正常。發(fā)控臺控制PLC實現(xiàn)手動發(fā)控流程，手動給出所有的控制指令，既可與主控微機(jī)配合共同完成測發(fā)流程，亦可獨(dú)自完成測發(fā)流程。

測發(fā)控系統(tǒng)采取遠(yuǎn)控方式，前端皆為無人值守的自動化組合和VXI設(shè)備，集成在4個機(jī)柜中，見圖1；后端以計算機(jī)和PLC為核心構(gòu)成測發(fā)控網(wǎng)絡(luò)，放置在控制臺中，見圖2；前后端采用虛擬顯示技術(shù)實現(xiàn)流程控制、信息交互和監(jiān)控，采用光纖總線實現(xiàn)箭地通訊及網(wǎng)絡(luò)信號的遠(yuǎn)距離傳輸。測發(fā)控系統(tǒng)組成見圖3，主要分為以下4個部分：

圖1 前端設(shè)備控制臺Fig.1 The Devices Approach the Vehicle

圖2 后端設(shè)備控制臺Fig.2 Remote Control Equipment

圖3 控制測發(fā)控系統(tǒng)組成Fig.3 Composition Diagram of Ground Control System

a）前端發(fā)控設(shè)備：包括各前端控制組合、地面電源、電爆管電路等效器、轉(zhuǎn)臺控制器、速率陀螺轉(zhuǎn)臺、慣組轉(zhuǎn)臺、地面電纜網(wǎng)等；

b）后端控制設(shè)備：包括B碼點火終端、發(fā)控臺、虛擬顯示微機(jī)、控制系統(tǒng)主控微機(jī)、數(shù)據(jù)服務(wù)器、多屏顯示微機(jī)、數(shù)據(jù)處理微機(jī)、數(shù)字記錄儀專用微機(jī)等；

c）VXI采集系統(tǒng)：包括VXI機(jī)箱、VXI轉(zhuǎn)接機(jī)箱和VXI控制微機(jī)；

d）通信設(shè)備：包括局域網(wǎng)絡(luò)設(shè)備、光纖傳輸設(shè)備。

2 全冗余設(shè)計

2.1 流程控制電路冗余

“零窗口”要求分秒不差，而發(fā)射流程的任意一個節(jié)點發(fā)生問題，都有可能推遲或者取消發(fā)射。為了提高發(fā)射可靠性，保證測發(fā)流程的不間斷控制，發(fā)控系統(tǒng)對所有與發(fā)射流程相關(guān)的控制電路都采取了針對性的冗余措施，確保全發(fā)射流程無單故障點。

載人運(yùn)載火箭控制系統(tǒng)-8 h的發(fā)射流程，射前每個時間段都有供配電、控制和測試等工作。對-8 h工作流程進(jìn)行梳理，各時間節(jié)點控制測發(fā)控系統(tǒng)的主要工作流程和內(nèi)容如圖4所示。

圖4 -8h控制測發(fā)控系統(tǒng)工作流程Fig.4 Control Workflow Diagram before 8h Launch

對全流程每個控制點進(jìn)行分析，根據(jù)控制信號的性質(zhì)和意義，依據(jù)以下原則選擇合適的電路冗余方法：

a）確?？煽拷油ǖ男盘?，采取繼電器并聯(lián)或者并串聯(lián)冗余，如供電控制、時序安全檢查等。

b）確保可靠斷開的信號，采取繼電器串聯(lián)或者串并聯(lián)冗余，如調(diào)壓點開路、轉(zhuǎn)電好自保等。

c）對接通和斷開都有要求的信號，采取繼電器三取二冗余，主要是“點火”和“緊急關(guān)機(jī)”。

d）從系統(tǒng)開始加電至實施點火，根據(jù)流程要求重點對以下流程控制電路采取了針對性的冗余設(shè)計：供配電控制電路；復(fù)位電路；時序安全檢查電路；發(fā)射流程得以繼續(xù)的必備狀態(tài)；自動發(fā)射控制電路；舵機(jī)啟動控制電路；關(guān)鍵自保電路；發(fā)射必備條件的控制電路；電源調(diào)壓和跳壓的控制電路。

通過發(fā)射流程控制電路的冗余設(shè)計，既能確保接通，也能防止誤通，全面消除了單故障點，使發(fā)射流程得以順利進(jìn)行，從而確保“零窗口”發(fā)射。

2.2 發(fā)控方案異構(gòu)冗余

發(fā)控系統(tǒng)對VXI的測試與發(fā)控功能進(jìn)行集成優(yōu)化設(shè)計，采用VXI和PLC異構(gòu)型冗余的發(fā)控方案，解決了雙PLC并聯(lián)控制同構(gòu)型冗余共因失效的問題。控制測發(fā)控系統(tǒng)通過網(wǎng)絡(luò)通訊設(shè)備將主控微機(jī)、后端發(fā)控臺PLC、前端發(fā)控PLC和VXI結(jié)合起來?？刂葡到y(tǒng)發(fā)控信息流如圖5所示。

圖5 控制系統(tǒng)發(fā)控信息流圖Fig.5 Control System Information Flow

a）自動發(fā)控。PLC：主控微機(jī)發(fā)送控制指令到發(fā)控臺PLC，再通過網(wǎng)絡(luò)傳送給前端PLC，實現(xiàn)自動發(fā)控流程控制；同時主控微機(jī)自動查詢發(fā)控臺PLC的發(fā)控狀態(tài)，作為發(fā)射流程繼續(xù)的判定條件；VXI：主控微機(jī)發(fā)送控制指令到VXI，實現(xiàn)自動發(fā)控流程控制；同時主控微機(jī)自動查詢VXI模件的發(fā)控狀態(tài)，也作為發(fā)射流程繼續(xù)的判定條件之一。

PLC與VXI既可以相互配合，共同完成自動發(fā)控流程。若任意一路出現(xiàn)故障，主控微機(jī)能夠自動判定PLC還是VXI錯誤，放棄故障通路，依靠另一通路獨(dú)立完成流程。

b）手動發(fā)控。PLC：發(fā)控臺按鈕開關(guān)的手動控制指令通過網(wǎng)絡(luò)傳送給前端PLC，實現(xiàn)手動干預(yù)，備保自動發(fā)控。

2.3 發(fā)射指令傳輸冗余

“零窗口”發(fā)射要求點火時刻精確至秒級，系統(tǒng)使用B碼完成自動發(fā)射流程，點火和緊急關(guān)機(jī)等發(fā)射指令的傳輸過程如圖6所示。

圖6 “點火”及緊急關(guān)機(jī)信號流程Fig.6 The Signal Flow of “Fire” and Emergency Shutdown

a）B碼點火終端冗余。自動發(fā)射流程由B碼控制點火時刻。測發(fā)控系統(tǒng)使用2臺B碼熱備份工作，每臺B碼皆為三取二冗余。設(shè)定好點火時刻后，B碼內(nèi)部的3個計時主板獨(dú)立工作，計時結(jié)果三取二表決后向發(fā)控臺輸出時間控制信號“-5 min”、“-1 min”和 “0 s”，確保自動發(fā)射控制信號可靠發(fā)出。

b）PLC與VXI的傳輸通路冗余。發(fā)控臺分別通過網(wǎng)絡(luò)和直連電纜，將時間控制信號同時送到前端PLC和VXI，由PLC和VXI共同實現(xiàn)啟動舵I、啟動舵II、轉(zhuǎn)電和點火的自動發(fā)射流程，確保自動發(fā)射信號可靠傳輸。

c）點火PLC冗余。點火控制組合由3個獨(dú)立的PLC組成，接收到“0 s”信號后分別計時，各自的計時結(jié)果三取二表決后輸出。點火時序程序也是3套獨(dú)立運(yùn)行的軟件，由3個設(shè)計人員分別編制，并采用不同的計時基準(zhǔn)，降低了共因失效模式的概率，確保點火時序信號可靠輸出。

d）緊急關(guān)機(jī)自動/手動冗余?！皵嚯姟迸c“緊急關(guān)機(jī)”是與發(fā)射安全性緊密相關(guān)的關(guān)鍵信號，除了點火PLC自動輸出關(guān)機(jī)信號外，發(fā)控臺與點火輸出組合間還通過直連電纜連接。當(dāng)自動通路出現(xiàn)故障時，發(fā)控臺仍能手動控制緊急關(guān)機(jī)和斷電，確保發(fā)射的安全性。

2.4 主控微機(jī)冗余

主控微機(jī)是發(fā)控系統(tǒng)自動發(fā)射核心，控制自動測試與發(fā)射流程，接收測試數(shù)據(jù)與測試結(jié)果，對數(shù)據(jù)分析判別，判斷測試結(jié)果的正確性和發(fā)控流程是否正常。

主控微機(jī)采取熱備份雙機(jī)冗余的方式。主機(jī)與副機(jī)同步運(yùn)行一個主控測試程序，之間以UDP協(xié)議通訊。默認(rèn)情況下主機(jī)控制整個測發(fā)流程，并將當(dāng)前的工作狀態(tài)通知副機(jī)，副機(jī)處于監(jiān)聽狀態(tài)，接收主機(jī)發(fā)送的測試狀態(tài)信息以及結(jié)果數(shù)據(jù)。當(dāng)主機(jī)發(fā)生通訊、測量、狀態(tài)查詢等故障時，副機(jī)接管測發(fā)控工作，并向PLC和VXI系統(tǒng)發(fā)送主副切換指令。

2.5 網(wǎng)絡(luò)通訊鏈路冗余

網(wǎng)絡(luò)通信是發(fā)控系統(tǒng)的重要組成部分。自動發(fā)控指令、測試數(shù)據(jù)采集指令、箭地信息的傳遞等均以網(wǎng)絡(luò)為媒介進(jìn)行信息交換，網(wǎng)絡(luò)是關(guān)系發(fā)射成敗的大事。

測發(fā)控網(wǎng)絡(luò)的前后端設(shè)備通過主交換機(jī)、主光纖、副交換機(jī)、副光纖構(gòu)成的環(huán)形冗余網(wǎng)相連，為系統(tǒng)提供快速、安全、可靠的數(shù)據(jù)通信通道；前后端各測試發(fā)控計算機(jī)使用服務(wù)器網(wǎng)絡(luò)適配器同時連接到交換機(jī)，杜絕了數(shù)據(jù)通信中的單故障點失效隱患。

2.6 箭地通訊冗余

主控微機(jī)通過光端機(jī)與箭載計算機(jī)通訊，完成功能程序和飛行程序的裝訂，以及測試過程中箭地控制與應(yīng)答信息交換等功能。

默認(rèn)情況下箭地通路為：主控微機(jī)主機(jī)—后端光端機(jī)主機(jī)—前端光端機(jī)主機(jī)—箭載計算機(jī)；當(dāng)發(fā)控臺或者主控微機(jī)給出“主副機(jī)切換”指令后，箭地通路切換為：主控微機(jī)副機(jī)—后端光端機(jī)副機(jī)—前端光端機(jī)副機(jī)—箭載計算機(jī)。

2.7 VXI測試模件冗余

VXI測試系統(tǒng)由VXI控制微機(jī)、VXI模件和VXI轉(zhuǎn)接機(jī)箱組成。主控微機(jī)控制VXI微機(jī)完成電壓、頻率的采集測量，電壓、電流的加指令及時串接收等。

為了提高數(shù)據(jù)采集的可信度，VXI使用雙模件采集。在進(jìn)行參數(shù)測量時，主控微機(jī)先控制VXI機(jī)箱中的第1塊模件采集測試，如果數(shù)據(jù)正確，將其作為正確有效數(shù)據(jù)回傳；如果數(shù)據(jù)錯誤，再進(jìn)行三取二測試，正確則輸出，錯誤則報錯。

2.8 虛擬顯示冗余

發(fā)控臺中配備2臺虛擬顯示微機(jī)，分別接收前端發(fā)控裝置PLC和VXI控制微機(jī)送來的測試狀態(tài)信息，以圖形化的方式顯示在顯示屏上。

虛擬顯示微機(jī)1、2安裝相同的程序，每臺都能實時顯示4頁狀態(tài)信息，對控制系統(tǒng)的發(fā)控指令與狀態(tài)信息進(jìn)行全面監(jiān)控。2臺微機(jī)互為備份，異常時進(jìn)行比較即可判定是電路問題還是顯示問題，快速定位故障。此外，顯示的狀態(tài)可自動保存，利于故障回放，便于故障發(fā)生后進(jìn)行分析和排故。

3 全冗余系統(tǒng)的測試性設(shè)計

為了提高冗余系統(tǒng)的測試性，設(shè)計了不同階段和不同狀態(tài)的試驗，對其進(jìn)行檢測。由于部件等效器是測發(fā)控系統(tǒng)的自檢設(shè)備，冗余功能的測試在系統(tǒng)等效器試驗階段完成。

a）對PLC與VXI冗余設(shè)計的測試：控制系統(tǒng)PLC斷電，測試VXI能否正常完成自動發(fā)控功能；控制系統(tǒng)VXI斷電，測試PLC能否正常完成手動發(fā)控功能；

b）對點火冗余電路的測試：任意1臺B碼點火終端斷電，測試另1臺能否正常給出自動發(fā)射的-5 min、-1 min和0 s信號；任意1臺點火PLC斷電，測試另外兩臺能否正常發(fā)出點火時序和緊急關(guān)機(jī)時序；

c）對主控微機(jī)冗余的測試：模擬主控微機(jī)主機(jī)故障，系統(tǒng)實行主副機(jī)切換，由副機(jī)主動接管測發(fā)控流程，測試能否正常完成總檢查測試；

d）對網(wǎng)絡(luò)通訊鏈路冗余的測試：任意1臺交換機(jī)斷電，測試另一路網(wǎng)絡(luò)鏈路能否正常傳遞發(fā)控信息和測試數(shù)據(jù)；

e）對箭地通訊冗余的測試：由于主控微機(jī)主機(jī)—后端光端機(jī)主機(jī)—前端光端機(jī)主機(jī)—箭機(jī)這條通路在系統(tǒng)主副切換的過程中已轉(zhuǎn)換到主控微機(jī)副機(jī)—后端光端機(jī)副機(jī)—前端光端機(jī)副機(jī)—箭機(jī)，因此此項目可與對主控微機(jī)冗余的測試一起測試；

f）對冗余繼電器的測試：控制電路中使用不同繼電器雙線包并聯(lián)、相同繼電器雙觸點并聯(lián)、不同繼電器雙觸點并聯(lián)的方式，使用繼電器板測試儀可以對單個繼電器的單個觸點工作情況進(jìn)行測試，以確保并聯(lián)電路的單支分路工作正常。

4 全冗余一體化測發(fā)控系統(tǒng)分析

圖7為“零窗口”設(shè)計與測試思路。圖8為控制系統(tǒng)控制信號與測試信號流程。

圖7 “零窗口”設(shè)計與測試思路Fig.7 The Control and Test Design for “Zero-window” Mission

圖8 控制系統(tǒng)控制信號與測試信號流程Fig.8 The Control System Signal Flow for Luanch and Test

與CZ-2F一期測發(fā)控系統(tǒng)相比較，系統(tǒng)具備以下特點：

a）測發(fā)控系統(tǒng)首次采用VXI和PLC異構(gòu)型冗余的系統(tǒng)方案，將傳統(tǒng)劃分的“發(fā)控”和“測試”較好地融為一體，各司其職，互為備份。既節(jié)約了系統(tǒng)資源，也消除了共因失效的故障模式，大大提高了系統(tǒng)的應(yīng)急控制能力和故障適應(yīng)性，保證了測發(fā)控系統(tǒng)的發(fā)射可靠性。

b）通過對全冗余系統(tǒng)的測試性分析，系統(tǒng)中冗余設(shè)計均有檢測手段，提高系統(tǒng)測試覆蓋性和維修性；

c）主控微機(jī)、虛擬顯示微機(jī)等重要后端設(shè)備采用主副機(jī)備份方案，主控微機(jī)的熱備方案、虛擬顯示微機(jī)的互為備份方案實現(xiàn)了全流程的無縫對接及流程接管，消除主控微機(jī)、虛擬顯示微機(jī)引發(fā)的流程終止故障，提高計算機(jī)系統(tǒng)工作的可靠性，從而全面提高測發(fā)控系統(tǒng)的可靠性；

d）通信系統(tǒng)的冗余設(shè)計，采用抗干擾能力強(qiáng)、具有自恢復(fù)能力的多路冗余通信方式，提高系統(tǒng)通訊的可靠性；

e）VXI測試系統(tǒng)與發(fā)控系統(tǒng)的集成優(yōu)化設(shè)計，實現(xiàn)發(fā)控流程雙通道冗余控制，避免了控制流程共因失效的故障模式，提高控制通路可靠性及穩(wěn)定性；

f）測試和發(fā)射控制軟件的一體化設(shè)計，使控制流、信息流、被測設(shè)備、控制設(shè)備形成完整的閉環(huán)系統(tǒng)；

h）B碼控制終端的整機(jī)三取二冗余輸出及主副機(jī)切換的多冗余輸出設(shè)計，滿足發(fā)射任務(wù)的“零窗口”發(fā)射要求。

5 與中國同類技術(shù)的比較

與中國同類技術(shù)相比，本發(fā)控系統(tǒng)具有以下特征：

a）發(fā)射流程無單故障點，確保按時發(fā)射。

一般的發(fā)控系統(tǒng)僅考慮轉(zhuǎn)電以后的所有流程節(jié)點為繼電器雙觸點冗余。為適應(yīng)“零窗口”發(fā)射，發(fā)射流程必須順利進(jìn)行。為避免發(fā)生故障影響下一階段的工作，所有與發(fā)射流程相關(guān)的控制電路全部為雙觸點冗余，從而提高了系統(tǒng)的容錯能力和故障處理能力。測發(fā)流程的不間斷控制為“零窗口發(fā)射”奠定了堅實基礎(chǔ)。

b）異構(gòu)型冗余發(fā)控系統(tǒng)，消除共因失效。

測發(fā)控系統(tǒng)一般為PLC發(fā)控，VXI測試，雙PLC冗余的方案，雖也能提高系統(tǒng)可靠性，但同構(gòu)型冗余存在共因失效的風(fēng)險。將VXI的測試與發(fā)控功能進(jìn)行一體化融合，讓VXI參與發(fā)控，與PLC構(gòu)成異構(gòu)型冗余，能夠確保發(fā)射控制的順利實施。

6 結(jié) 論

本測發(fā)控系統(tǒng)采用全冗余技術(shù)，發(fā)射可靠性評估指標(biāo)達(dá)到0.998 704。經(jīng)8次發(fā)射任務(wù)的檢驗，測發(fā)控系統(tǒng)皆圓滿實現(xiàn)“零窗口”發(fā)射，充分驗證了高可靠發(fā)控系統(tǒng)設(shè)計的正確性和有效性。