彭 越，容 易，王海涛，徐 洋，王子瑜

（北京宇航系统工程研究所，北京，100076）

高可靠待发段地面逃逸指挥控制系统设计及关键技术研究

彭 越，容 易，王海涛，徐 洋，王子瑜

（北京宇航系统工程研究所，北京，100076）

在载人航天任务中，为确保在运载火箭待发段出现危及航天员生命安全的紧急情况时能可靠、迅速地实现航天员的逃逸救生，一般采用待发段地面逃逸指挥控制系统承担待发段地面逃逸辅助决策、地面逃逸指令生成和发送的任务。提出一种基于双冗余架构的高可靠待发段逃逸指挥控制系统设计方案，集成了冗余供配电控制、冗余网络通信和安全控制以及远程测控等功能，系统设计均突出高可靠性、安全性、人机工学设计及国产化设计，可满足载人航天待发段逃逸救生的需求。

载人航天；待发段逃逸；冗余设计

0 引 言

为了确保航天员生命安全，载人航天任务在待发段、上升段、在轨段和返回段等不同阶段中发生严重故障时开展应急逃逸救生任务[1]。其中，待发段指运载火箭发射前航天员进舱到运载火箭起飞（含紧急关机）的阶段。运载火箭待发段过程一般针对火箭倾倒[1]、推进剂泄漏[2]、着火[3]等多种故障模式实施航天员应急逃逸救生，确保能够在待发段出现危及航天员生命安全的紧急情况时可靠、迅速地实现航天员的逃逸救生。待发段地面逃逸指挥控制系统一般在载人航天任务中承担待发段地面逃逸辅助决策、地面逃逸指令生成和发送的任务，是承担待发段逃逸救生任务的核心系统之一[4～6]。1983年9月26日，苏联发射联盟T10A载人飞船时，运载火箭由于推进剂阀门失灵在发射台上爆炸，由待发段地面逃逸指挥控制系统发出逃逸指令使飞船成功脱离危险区域，挽救了航天员的生命。

本文提出一种基于双冗余架构的高可靠待发段逃逸指挥控制系统设计方案，集成了自动供配电控制、自动流程控制、冗余网络通信和安全控制以及远程测控等功能，从可靠性、安全性、人机工学及国产化等方面进行改进，可满足载人航天待发段逃逸救生任务的需求。

1 待发段逃逸控制系统方案设计

1.1 总体方案

待发段逃逸指挥控制系统在运载火箭待发段将根据飞船、火箭等外系统发送到待发段逃逸指挥控制系统的“允许逃逸”、“逃逸请求”等信号，同时结合发射场系统提供的有关地勤系统信息，作出是否逃逸的判决。当需要逃逸时，由待发段逃逸指挥控制系统进行逃逸约束条件的判断，当满足约束条件时向火箭系统逃逸控制设备发送逃逸指令。

为了提高待发段逃逸救生任务的可靠性和安全性，本文提出一种基于双冗余架构的高可靠待发段逃逸指挥控制系统设计方案，系统组成如图1所示。

待发段地面逃逸控制系统由控制计算机（主、从）、虚拟显示计算机、控制组合、供电电源、网络交换机（主、从）、防火墙（主、从）等组成。其中控制计算机（主、从）作为待发段逃逸控制信号处理的核心设备，主机、副机互为冗余备份，其负责与外系统网络接口通信、系统内信息的接收、处理和转发、系统对时等功能。虚拟显示计算机接收控制计算机发送的全系统运行状态，并进行显示。控制组合由双冗余PLC设备组成，负责接收控制计算机的指令和控制面板的指令，进行条件判断后完成有线逃逸指令输出，完成与火箭系统逃逸控制设备的硬件接口通信，并进行电源信号采集。控制面板负责操作人员在网络通信异常的情况下进行手动控制。供电电源负责向控制组合提供外部直流供电，并可通过网络进行控制和测量。网络交换机（主、从）负责系统内各设备间的网络通信，以及负责与外系统的网络通信。防火墙（主、从）负责检查和过滤本系统与外系统的网络通信，确保网络通信的信息安全。

1.2 工作流程

控制计算机（主、从）通过网络交换机和防火墙与外系统进行信息交互，向控制组合通过网络交换机发送飞船允许逃逸、火箭允许逃逸及发射场允许逃逸指令等指令状态，向虚拟显示计算机发送系统工作状态；控制组合接收供电电源的直流供电输入并采集电源状态，并向供电电源发送直流输出控制指令；控制组合接收控制计算机（主、从）或控制面板发出的逃逸指令、发射/测试状态选择及电源直流输出指令，通过直连电缆向火箭系统逃逸控制设备发送有线逃逸指令并采集其工作状态，并通过网络交换机向控制计算机（主、从）发送火箭系统反馈的逃逸状态信息。交换机（主）与交换机（从）通过互联网线进行冗余状态同步，防火墙（主）与防火墙（从）通过互联网线进行冗余状态同步。待发段逃逸指挥控制系统工作信息流如图2所示。

2 关键技术设计

2.1 冗余网络架构设计

待发段逃逸指挥控制系统采用以太网进行设备间及与外系统的数据通信，网络设备主要包括：计算机、网络交换机、防火墙等设备，为提高通信链路的可靠性，通信网络均采用双冗余硬件通信链路，当主链路发生一度故障，都会冗余切换至备份链路，确保网络通信正常。

控制计算机（主机、副机）、虚拟显示计算机均使用双网卡分别连接主、从交换机进行网络通信，计算机双网卡进行交换器容错绑定；交换机与外系统通信通过主、从防火墙，从交换机之间采用虚拟路由冗余协议（Virtual Router Redundant Protocol，VRRP），冗余防火墙之间采用心跳同步，交换机与防火墙之间采用口字形连接关系。正常状态下主通信链路为设备主网卡—主交换机—主防火墙。

控制计算机正常工作状态下和故障状态下系统网络信息流如图3～6所示。

当系统正常工作时，网络信息流链路为计算机主网卡—主交换机—主防火墙；当计算机主网卡发生故障或主网卡与主交换机之间的链路发生故障时，计算机主、从网卡自动切换，交换机不切换，网络信息流链路切换为计算机从网卡—从交换机—主交换机—主防火墙；当主交换机发生故障时，主、从交换机切换，计算机主网卡检测到链路故障后进行主、从网卡自动切换，主交换机通过链路数据监测或端口数据监听进行自动主、从网卡切换，网络信息流链路切换为计算机从网卡—从交换机—从防火墙；当主防火墙发生故障或主防火墙与主交换机之间或外系统的链路发生故障时，主防火墙可通过端口数据监听进行自动主、从防火墙切换，交换机不切换，网络信息流链路切换为计算机主网卡—主交换机—从交换机—从防火墙。

待发段逃逸指挥控制系统选用的防火墙通过互联心跳接口支持双机热备份工作，通过链路数据和IP检测进行自动故障切换，经测试设备故障切换后数据传输恢复时间小于1 s。系统选用的主、从交换机通过互联网线进行冗余状态同步，支持VRRP热备冗余配置协议，经测试交换机故障切换后数据传输恢复时间小于3 s。

2.2 冗余供配电设计

供电电源为控制组合输出提供直流 28 V外部供电，采用双电源热备冗余工作，2台直流稳压电源互为热备份，主备电源输出端通过转接盒设置正向二极管防止电流倒灌，防止电源短路和断路失效模式。交流输入由手动开关进行控制，供电电源的直流输出由控制组合进行控制，电源直流输出电压由控制组合进行采集。供配电工作原理如图7所示。

2.3 可靠性设计及评估

待发段逃逸指挥控制系统中涉及到信息传递和逃逸指令传输链路中的核心设备均采用冗余设计，如控制计算机、网络交换机、防火墙、控制组合设备、供电电源均采用双机热备份的方式提高其可靠性，待发段逃逸指挥控制系统与飞船、火箭、发射场系统以及测控系统等外系统以及系统间的网络通信均保证2条通信链路，以提高信息传输的可靠性。

为了验证网络冗余设计的正确性，在不同故障状态下进行了全系统网络冗余切换试验测试，分别测试：a）控制计算机及虚拟显示计算机在断一路网线状态下，验证软件的路由链路切换功能；b）控制组合在断一路网线状态下，系统功能的正确性；c）关闭一个交换机供电状态下，系统功能的正确性；d）网络由故障状态恢复至正常状态下，系统功能恢复的正确性。经试验验证，在不同故障状态下全系统冗余切换功能、性能均满足要求。

与逃逸指令发出相关的信号均采用冗余设计，控制面板送入控制组合的信号为3路硬件冗余采集，内部PLC程序进行软件三取二判断，并采用时间滤波，防止误指令输入；控制计算机通过网络发送的火箭允许逃逸、飞船允许逃逸和地勤允许逃逸信号采用时间滤波，PLC设备1 s内连续3次有效接收，防止误指令输入；控制组合输出逃逸指令采用继电器双触点串并联冗余输出；网络设备均采用双冗余热备份，支持故障状态下的自动切换；外部供电电源采用主、从热备份工作；所有线路连接均为双点双线。

控制面板上重要开关，如解锁、逃逸指令，均采用双开关备份，且每个开关双触点并联输出。

待发段逃逸指挥控制系统可靠性如图8所示。

系统可靠性计算公式如下：

2.4 防误操作设计

待发段逃逸指挥控制系统中针对防误操作开展针对性设计工作。控制组合PLC设备通过内部程序实现逻辑连锁。对面板输入开关量指令信号采用3路硬件冗余采集，内部PLC程序进行软件三取二判断，防止干扰信号引起的误动作。有线逃逸指令采用继电器触点串联输出，减少触点粘连引起的误指令输出。

控制面板的按钮开关采用嵌入式面板开关，开关按键动作力大防止误动作，并采用不同的醒目颜色进行区分，外加保护盖，确保保障面板操作可靠性。控制面板上设置钥匙型工作开关，当开关关闭时面板按键无法发出指令。

控制组合 PLC设备的嵌入式软件增强可靠性设计，从指令采集和指令输出环节进行滤波和冗余判断设计，在PLC设备启动时采集到逃逸相关指令时不进行处理并进行提示，防止控制面板开关使用后忘记恢复造成误动作。

2.5 人机工学设计

除显示器、键盘鼠标及控制面板外，待发段逃逸控制系统全部设备均可安装在标准控制台体内，全系统共占用3个标准工作台位置，其中控制计算机（主）、控制计算机（从）和虚拟显示计算机屏幕各使用1个工作台位置，控制面板安装在虚拟显示计算机工作台位置。控制台外形尺寸如图9所示。控制台面板布局如图10所示。

控制面板设计充分考虑到操作者的使用习惯和操作可靠性，并将试验流程和连锁控制逻辑与面板按钮、开关布局进行综合设计，同时考虑到快速安装和维修。

控制面板设计及布局如图11所示，其主要特点如下：

a）控制面板通过螺钉安装于控制台台体上表面安装孔内；

b）控制开关、按钮均设置指示灯，重要按钮设置保护盖；

c）设置主、从电源直流输出开关及指示灯，各设备电源开关及指示灯，设置钥匙式面板工作开关；

d）各开关及按钮合理布局，相邻按钮间距较大并有不同指示灯颜色及文字标示区别，防止误操作；

e）面板上按钮、开关从左至右按照测试流程布置，主要按钮的逻辑关系在面板上利用文字、图例及指示灯进行提示，确保操作者快速了解工作状态；

f）控制面板使用螺钉通过安装孔与控制台台体连接固定，便于安装、维修及更换。

2.6 国产化设计

待发段逃逸指挥控制系统中交换机、防火墙、计算机设备、控制组合、B码时统设备及地面电源设备均采用国产化设备，确保全部设备的安全性自主可控。计算机选用国产中标麒麟操作系统，应用软件均采用QT跨平台开发工具。网络设备、电源设备、计算机设备及操作系统均采用国产化产品，在运载火箭型号应用尚属首次，并针对国产操作系统自主研发的国产设备驱动软件和应用软件进行了大量的开发和测试工作，网络安全设备和网络交换设备进行了充分考核，地面电源系统及控制组合设备均进行了补充环境试验的考核。

3 结 论

待发段地面逃逸指挥控制系统是载人航天任务中承担待发段逃逸救生任务的重要系统。本文提出了一种基于双冗余架构的高可靠待发段逃逸指挥控制系统设计方案，集成了供配电控制、自动流程控制、冗余网络通信和安全控制以及远程测控等功能。通过系统级冗余设计、网络通信冗余设计、防误操作设计、连锁控制逻辑设计等关键技术，突出高可靠性和安全性，确保待发段不误逃、不漏逃；产品充分考虑到操作者的使用习惯和操作可靠性，通过人机工学设计将试验流程和连锁控制逻辑与面板布置进行综合设计；核心设备及软件均采用国产化产品，确保产品自主可控。高可靠待发段逃逸指挥控制系统可满足载人航天待发段逃逸救生任务的需求，有助于提升后续待发段逃逸救生任务的工作质量和测试效率。

[1] 王向阳. 国外载人航天器的应急救生[J]. 中国航天, 1993(8): 36-40.

[2] 卞韩城, 朱伟涛. 上升段陆上航天员应急搜救模式改进探讨[J]. 载人航天, 2005(1): 44-49.

[3] 李波, 陈晓斌, 李国强. 待发段火箭倾倒实时监测技术研究与实现[J].宇航学报, 2004(3): 330-333.

[4] 贾瑛, 赵后随. 液体推进剂泄漏应急处理[J]. 上海航天, 2003(1): 60-62.

[5] 张晨光, 孙沂昆, 刘巧珍, 等. 载人火箭信息传输网络系统设计及关键技术研究[J]. 载人航天, 2015(2): 153-157.

[6] 李长海. 待发段航天员逃逸救生决策指挥问题探讨[J]. 指挥技术学院学报, 2001(3): 68-71.

[7] 张智. CZ-2F火箭逃逸系统[J]. 导弹与航天运载技术, 2004(1): 20-27.

[8] John H, Ashely H, Bernard B. Launch vehicle failure dynamics and abort triggering analysis[C]. Portland, Oregon: AIAA Guidance, Navigation, and Control Conference, 2011.

Research on Key Technology of Pre-launch Escape Command and Control System

Peng Yue, Rong Yi, Wang Hai-tao, Xu Yang, Wang Zi-yu
(Beijing Institute of Astronautical Systems Engineering, Beijing, 100076)

In manned space engineering, pre-launch escape command and control system is required to make the assistant decision and generate the command of pre-launch escape, which is responsible for keeping astronaut safety in emergency. In this paper, a high reliable pre-launch escape command and control system scheme based on dual redundancy architecture is proposed, which contains power control, automatic process control, redundant network communication, security control and remote test function. The system design focuses on high reliability, high safety, ergonomics and equipment localization, and will meet the requirement of manned space program in the future.

Manned space; Pre-launch escape; Redundant design

V445

A

1004-7182(2017)02-0029-06

10.7654/j.issn.1004-7182.20170207

2016-05-03；

2016-07-01；数字出版时间：2017-04-10；数字出版网址：www.cnki.net

彭 越（1983-），男，博士，高级工程师，主要研究方向为运载火箭电气系统总体设计