王子瑜，容 易，王海涛，彭 越，徐 洋

（北京宇航系统工程研究所，北京，100076）

待发段地面逃逸控制组合设计及关键技术研究

王子瑜，容 易，王海涛，彭 越，徐 洋

（北京宇航系统工程研究所，北京，100076）

待发段地面逃逸控制组合作为载人航天工程待发段地面逃逸控制系统的核心组成部分，主要负责接收逃逸控制计算机和控制面板的指令，进行逻辑条件判断后与逃逸系统硬件设备完成有线逃逸控制指令的通信。针对酒泉卫星发射场现有控制组合设备设计较早、使用年限较长等问题，提出一种基于双冗余架构的高可靠待发段地面逃逸控制组合设计方案，采用主从冗余热备份设计实现系统级冗余架构，同时采用基于改进型ModBus/TCP协议的冗余网络通信技术、基于测试数据的故障自检测技术以及高可靠逻辑控制软件设计技术，极大提高控制组合的可靠性，缩短故障处理时间，降低待发段风险，满足载人航天飞行任务对待发段逃逸救生的需求，具有较强的工程意义和实用价值。

载人航天；待发段逃逸；控制组合；高可靠性

0 引 言

对于载人航天工程而言，确保宇航员的生命安全是载人飞行的首要任务[1,2]。中国载人运载火箭进入待发段后，运载火箭及载人飞船的推进剂已完成加注，火工品、爆炸器已完成连接，若出现火箭倾倒、推进剂泄漏、发射台着火等故障，必须确保宇航员迅速、可靠地逃逸救生[3,4]，这就要求负责地面逃逸控制的设备安全、可靠，同时严格进行逃逸控制指令的“防误逃”、“防漏逃”设计[5]，确保万无一失。中国载人运载火箭已成功进行了多次发射，在载人航天工程一期时采用的逃逸控制组合采用传统继电器组合设计，在飞行任务过程中起到了重要作用，但控制组合设备设计时间较早、使用年限较长等问题也越来越突显。同时随着载人航天工程的发展，对待发段地面逃逸控制组合的可靠性也提出了更高的要求。基于上述原因，亟需对待发段地面逃逸控制组合从可靠性、安全性等方面进行升级和改造。

可编程逻辑控制器（Programmable Logic Controller，PLC）以模块选择的多样性、模块配置的灵活性及程序设计的便捷性等优点，在运载火箭地面测试发射控制系统的设计中得到越来越多的应用[6,7]。本文提出了一种基于双冗余PLC架构的高可靠待发段逃逸指制组合设计方案，通过采用基于改进型ModBus/TCP协议的冗余网络通信技术、基于测试数据的故障自检测技术、高可靠逻辑控制软件设计等，大大提高了控制组合的可靠性及安全性，可满足载人航天工程要求。

1 地面逃逸控制组合总体方案

1.1 设计需求

待发段地面逃逸控制组合（简称“控制组合”）布置于酒泉卫星发射场载人运载火箭后端测发控大厅中的标准机柜内，由双冗余PLC测控设备及运行在PLC测控设备上的嵌入式逻辑控制软件组成。待发段逃逸控制系统组成如图1所示。

控制组合的主要功能要求如下：

a）冗余热备功能。控制组合采用PLC双机并联热备份工作模式，2台PLC设备同时接收指令，并联输出指令，实现系统级冗余设计。

b）冗余架构的网络通信功能。控制组合PLC1、PLC2通过双网卡分别与交换机（主）及交换机（从）连接，构成冗余网络拓扑架构与逃逸控制计算机进行允许逃逸、逃逸控制指示、逃逸解锁、电源电压等信息的交互。

c）开关量信号采集功能。控制组合采集控制面板发送的允许逃逸、逃逸解锁、逃逸控制等开关量指令，并能采集逃逸系统硬件设备反馈的逃逸控制状态指示信号。

d）模拟量信号采集功能。控制组合具备采集供电电源输出电压等工作状态信息的功能。

e）开关量控制信号输出功能。控制组合接收逃逸控制计算机和控制面板的指令，完成逻辑条件判断后向故障检测系统硬件设备输出有线逃逸控制指令，并能完成供电电源的直流供电输出控制。

f）故障自检测功能。控制组合能够实时进行自检测，并将诊断信息通过网络发送给逃逸控制计算机。

1.2 工作流程

载人运载火箭待发段，逃逸指挥员汇集火箭、飞船及发射场各系统逃逸请求、允许逃逸等信息进行综合分析，做出是否需要逃逸的判决。若需要执行逃逸控制，由逃逸指挥员下达逃逸口令，逃逸控制计算机通过冗余网络、控制面板通过直连电缆向控制组合发送逃逸相关的“允许逃逸”、“逃逸解锁”、“逃逸控制”等指令信号，控制组合经过逻辑条件判断后，向逃逸系统硬件设备输出“有线逃逸”指令。控制组合采集供电电源输出电压等工作状态信息，反馈给逃逸控制计算机，同时控制组合也可向供电电源发送直流供电输出控制指令。

1.3 总体方案

1.3.1 硬件设计方案

控制组合采用PLC双机并联热备份工作模式，PLC1和PLC2同时接收信号，并联输出信号。PLC测控设备是控制组合中关键硬件装置，选用GE公司PAC System 3i系列PLC设备，单台设备的组成框架如图2所示。为了适应模拟量采集板卡电压采集范围的需求，在模拟量采集模块上还设计了信号调理模块。

a）电源模块。选用IC695PSA040型电源模块，主要为PLC内部其它各功能模块供电，具有限流功能，在发生短路故障时能够自动关段以避免硬件模块的损坏。

b）CPU模块。选用IC695CPE310型模块，运行CPU逻辑控制程序，负责控制组合的功能控制。

c）模拟量采集模块。选用IC694ALG222型模块采集供电电源电压等工作状态信息，具备16通道电压模拟量采集，采集精度达0.25%。模拟量采集接口如图3所示。信号调理模块通过分压电路将供电电源的28 V直流供电电压变换成采集板卡适应的0～10 V电压。

d）开关量采集模块。选用3块IC694MDL645型模块采集控制面板的控制指令，通过3个模块各自独立通道采集开关量指令，并在每个采集通道设计隔离二极管防止潜通路。开关量采集接口原理如图4所示。

e）开关量输出模块。选用IC694MDL940型模块输出逃逸控制等指令信号，通过4个继电器触点并串联的形式完成开关量输出。开关量输出接口原理如图5所示。

f）以太网模块。选用IC695ETM001型模块，具有10M/100M速度自适应功能，控制组合通过以太网模与交换机连接。

1.3.2 软件设计方案

嵌入式逻辑控制软件基于GE Machine Edition 8.0环境进行设计，主要负责分别从逃逸控制计算机和控制面板接收允许逃逸信息和解锁、逃逸等开关量信号，进行逻辑判断后将有线逃逸指令发送给故障检测系统硬件设备，并采集故障检测系统逃逸状态反馈信号、供电电源工作状态信息，同时将采集的信息发送给逃逸控制计算机。嵌入式逻辑控制软件组成如图6所示。

a）自检测模块：自检测模块主要完成PLC设备工作状态监测、累计工作时间计时等功能。逻辑控制软件具备自检测功能，能实时检测控制组合的工作状态，并将工作状态信息发送给逃逸控制计算机进行监视；同时软件也完成PLC设备累计通电时间记录及PLC工作状态指示的功能。

b）数据采集模块：接收逃逸控制计算机发送的允许逃逸等指令信号，并进行数据的有效性判别，防止误输入信号。软件接收控制面板发送的逃逸控制指令信号以及逃逸系统硬件设备的逃逸状态反馈状态量指示信号。逻辑控制软件防误指令接收工作流程如图7所示。

c）输出模块：软件接收逃逸控制计算机及控制面板的控制指令，完成逻辑判断后发出逃逸控制指令。

2 地面逃逸控制组合关键技术设计

2.1 系统级冗余设计

待发段地面逃逸控制组合的核心PLC测控设备采用双冗余热备份设计[8]，2台PLC设备的配置完全相同。正常工作状态，PLC1和PLC2均接收控制面板的手动控制指令和逃逸控制计算机的网络信号，完成逻辑条件判断后向逃逸系统硬件设备并联输出控制信号。2台PLC设备同时接收故障检测系统的逃逸状态反馈信号及供电电源工作状态信号。控制组合冗余热备份工作原理如图8所示。

从图8中可以看出，若单台PLC出现故障，另一台PLC仍可按要求完成正常测控任务，不影响系统的正常运行，尽可能消除了单点故障模式。

2.2 可靠性设计

2.2.1 数据链路的可靠性设计

控制组合在设计中，涉及信息传递和逃逸指令传输过程链路均强调了可靠性设计：

a）控制组合采集控制面板输入的状态量信号，使用3块独立的开关量采集模块接收，实现了硬件通道冗余采集；同时内部PLC逻辑控制软件对采集的指令进行“三取二”逻辑判断，并通过设置100 ms时间滤波，防止误指令输入。

b）控制组合接收从网络发送过来的允许逃逸信号，通过PLC逻辑控制软件进行“1 s内连续收到3次”有效判别，防止误网络信号输入。

c）控制组合输出逃逸控制指令采用双继电器触点“串并联”方式冗余输出，确保关键信号的可靠输出。

d）控制组合采用双网卡与主、从网络交换机连接，2条冗余通信链路提高了信息传输的可靠性。

e）逃逸控制指令逻辑设计。在待发段工作过程，逃逸指挥员先后通过“解锁”和“逃逸”2个口令下达逃逸指挥命令，在逻辑控制软件中设计相关逃逸指令输出逻辑，确保“不漏逃”、“不误逃”设计。具体控制逻辑如下：

1）火箭允许逃逸、飞船允许逃逸及发射场允许逃逸指令全部发出是逃逸解锁指令发出的必要条件，逃逸解锁指令（主）、逃逸解锁指令（从）任一发出即认为解锁指令发出，而逃逸解锁指令发出是逃逸指令和试验指令的必要条件；

2）逃逸指令发出和试验指令发出逻辑上受逃逸解锁指令的限制；

3）试验状态与发射状态逻辑上互斥，试验状态只能发出试验指令，发射状态只能发出逃逸指令。

2.2.2 基于测试数据的故障自检测技术

控制组合利用逻辑控制软件实现PLC设备自诊断信息的获取、解析。软件启动即执行自检测功能，每2 s将PLC工作状态信息发送给逃逸控制计算机，供系统指挥员进行监视，必要时可实现手动设备切换。

2.2.3 防误操作设计

控制组合针对使用过程中操作各环节采取了针对性的防误操作设计。控制组合机箱上与外系统的电气接口，相邻位置均采用不同型号、不同键位的接插件，避免人员插错的可能。嵌入式逻辑控制软件中，从指令采集的滤波处理、指令输出的冗余判断设计以及PLC设备启动时对采集到的指令不进行处理并进行提示，防止控制面板或逃逸控制软件在上次使用后忘记恢复初识状态引起误动作。

2.3 自主可控的通信协议设计

采用GE公司配套软件中的iFix数据组件进行控制组合的通信设计。同时针对待发段地面逃逸控制组合对实时性、可靠性的要求，控制组合设计中在传输层采用TCP/IP协议，应用层采用ModBus协议，同时在Modbus/TCP控制通信协议基础上进行改进，开发了专用PLC数据通信源插件（见图9），实现了测控组合PLC设备与逃逸控制计算机间高可靠、低延迟通信。

3 结束语

针对载人航天工程中对待发段逃逸救生需要的安全及可靠性要求，本文提出了一种基于双冗余架构的高可靠待发段地面逃逸控制组合设计方案，设计中突出了可靠性、可维修性和安全性设计。控制组合通过系统级冗余设计、可靠性设计、自主可控的通信协议设计、防误操作设计及基于测试数据的自检测等关键技术，确保载人火箭待发段出现重大故障时宇航员能迅速可靠地实施逃逸救生，满足后续载人航天空间站工程待发段逃逸救生任务的需求，同时也具备向运载火箭地面测发控系统设计推广的前景。学报, 2001(6): 68-71.

[2] 刘竹生, 张智. CZ-2F载人运载火箭[J]. 导弹与航天运载技术, 2004(1): 6-12.

[3] 李波, 陈晓斌, 李国强. 待发段火箭倾倒实时监测技术研究与实现[J].宇航学报, 2004(5): 330-333.

[4] 张智. CZ-2F火箭逃逸系统[J]. 导弹与航天运载技术, 2004(1): 20-27.

[5] 张文育, 王家伍, 刘燕超, 孙强. 载人航天工程地面逃逸按控系统可靠性技术[J]. 装备指挥技术学院学报, 2006(10): 107-110.

[6] 陈放, 田建宇, 王雨萌, 连盟. 新一代大型运载火箭热备冗余PLC发控系统设计[J]. 导弹与航天运载技术, 2015(5): 96-106.

[7] 连盟, 张雅顺, 张焕鑫, 张鹏. PLC在发射控制系统中的可靠性应用研究[J]. 航天控制, 2015(1): 88-93.

[8] 张磊. 载人航天运载火箭地面测试发射控制系统[J]. 导弹与航天运载技术, 2004(1): 34-37.

[1] 李长海. 待发段航天员逃逸救生决策指挥问题探讨[J]. 指挥技术学院

The Design and Key Technology Research of Escape Control Combination in Pre-launching Stages

Wang Zi-yu, Rong Yi, Wang Hai-tao, Peng Yue, Xu Yang
(Beijing Institute of Astronautical Systems Engineering, Beijing, 100076)

As the core part of the escape control system in the manned spaceflight engineering, escape control combination in pre-launching stages is mainly responsible for receiving the instructions from both the escape control computer and the control panel, and communicating with hardware equipment after the judgment of logic conditions. According to the situation of existing technique being ancient, a high reliability escape control combination is proposed based on dual redundancy. Thanks to the redundant network communication technology based on improved ModBus/TCP protocol, the fault detection technology based on the test data, and the high reliability technology based on logic control software design, the reliability of the control combination is greatly increased and the troubleshooting time is effectively reduced. It indicate that the methods proposed in this paper are of great value in engineering application, as it not only can reduce the entire system risk but also can meet the life-saving needs.

Manned spaceflight engineering; Escape in pre-launching stages; Control combination; High reliability

V448.235

A

1004-7182(2017)03-0012-05

10.7654/j.issn.1004-7182.20170303

2016-09-10；

2016-10-21

王子瑜（1985-），男，工程师，主要研究方向为运载火箭电气系统总体设计