北京航天试验技术研究所，北京 100074

一、引言

液体火箭试验用于考核全箭或子级方案正确性、各系统工作协调性和可靠性的综合性试验，并且为火箭靶场发射的测发流程的制定提供重要的技术依据，具有规模大、周期长、系统复杂、状态切换频繁、试验环境恶劣的特点。控制系统作为地面试验系统中的关键部分，其可靠性直接影响试验能否顺利进行，且对发射场的控制系统设计具有指导作用。

出于高可靠性需求，目前试验场、发测站所用的控制系统大多采用西门子PLC设备[1]。本文就进一步提高系统整体可靠性，组织构建基于S7-417H CPU的冗余控制系统，并在设计思路中，采用冗余互联模块、外围电路保护、软件防干扰计算模块等，进一步保障试验控制系统的可靠性。

二、冗余的硬件设计

PLC控制系统的硬件冗余，包括CPU 冗余、通讯模块冗余、输入输出模块冗余、电源冗余、现场阀门仪表冗余。

1、冗余CPU的架构

控制系统采用主/从控制结构，采用西门子最新冗余CPU 417-5H作为主站，ET200M与PLC300其他分系统CPU作为从站。这种主/从结构实现了信号的数字化传输，减少了电缆的使用数量，控制、采集功能均由一套系统处理完成，提高了系统的集成度[2]。

2个冗余组S7-417H CPU采用双机运行，同时参与运算，同时进行控制。冗余的ET200M负责现场I/O信号的冗余输入与输出。S7-417H主站与S7-300从站（其他分系统）通过Y-LINK进行通讯，采集分系统关键参数。

2、冗余通讯模块

全系统采用PROFIBUS-DP协议，主站具有对总线的控制权。系统通讯拓扑如图1所示。按照主—从方式向从站发送或索取信息，实现点对点通信[2]。

如图1所示，本地从站直接通过冗余的通讯模块CP443-1中的DP接口建立通讯；远距离从站点采用DP电缆将ET200M的信号通过冗余的光电转换模块OLM/G12转换为光纤传输方式，远传至控制室后，再由主控制室内冗余光电转换模块OLM/G12转换为DP电缆传输至主站；S7-300等其他分系统从站，通过Y-LINK模块统一接口与协议，实现与主站的通讯握手。

3、冗余输入输出模块

控制输出和采集信号输入是通过ET200M从站的输入输出模块实现[2]，模块类型有：

数字量输入模块——按钮开关的输入信号和阀门开启到位反馈信号；

数字量输出模块——中间继电器线圈控制信号和指示灯开关控制信号；

模拟量输入模块——压力、温度等传感器输出信号和调节阀开度反馈；

模拟量输出信号——电动调节阀控制；

频率信号采集模块——采集流量计的输出信号。

4、电源的冗余

电源是控制系统的关键环节，一旦发生故障将使整个系统瘫痪，从而造成巨大的损失。所以，合理的配电设计对系统的可靠性、安全性与使用寿命都至关重要。在液体火箭试验控制系统中，所有电源均采用双回路冗余电源供电方式。控制系统的电源按功能区分包括：系统总电220V、CPU供电电源、I/O模块供电电源、控制按钮开关供电电源、现场阀门供电电源、现场仪表供电电源。系统总电源采用APS与UPS应急电源双路供电，保证系统电源正常工作[3]。系统供配电原理如图2所示。

其中，控制台带指示灯按钮操作较为频繁，易发生故障。系统中，在双电源冗余供电方式的基础上，采用电源正负极冗余接线方式，即同组按钮的首尾分别焊接两组电源的正极、负极。这种接线方式极大地保证了系统的可靠性，并对按钮线路故障排查具有较高的指向性。

5、现场阀门、仪表的冗余

为了满足液体火箭发动机试验系统的高可靠性要求，在关键工艺部分必须采用控制执行器、仪表冗余备份。其中，涉及关键程序点判断执行的测量仪表，甚至需要多重备份进行程序的联合判读，比如紧急关机程序[3]。

三、外围保护电路设计

控制系统中的四种类型的信号，包括数字量输入DI信号、数字量输出DO信号、模拟量输入AI信号、模拟量输出AO信号。其中，数字量输入DI信号，因其信号类型为24VDC电压信号，不需要配置保护电路以外，其他信号均需配置不同结构的保护电路[2]。

1、冗余配置的数字量输出的DO信号

冗余配置数字量输出回路如图3所示。信号来自两块不同的模板的输出通道。当模块1输出通道输出24VDC信号时，二极管的反向截止功能防止电流流向模块2中冗余的输出通道，确保了互为冗余的通道间信号的相互隔离。选择二极管时，其反向击穿电压必须大于模块的输出电压[4]。

2、冗余配置的模拟量输入的AI信号

控制系统中现场一次仪表将信号经由隔离器、安全栅，由冗余配置的AI模板通道采集。隔离器、安全栅负责给现场一次仪表供电，并调整、隔离、转换为4mA～20mA、1V～5V等PLC标准信号。安全栅配套本安型防爆仪器仪表，当本安防爆设备发生故障时，安全栅能将传入危险场所的能量限制在安全值之内，保证控制系统中二次回路设备的安全。

3、冗余配置的模拟量输出的AO信号

冗余配置模拟量输出回路的信号来自两块不同的模板的输出通道。保护电路与数字量输出信号类似，二极管的反向截止功能防止电流在冗余通道中串电。电路中，二极管的反向击穿电压必须大于模板输出电压[4]。

四、抗干扰防错软件设计

软件利用了PLC高速运算能力、众多的寄存器以及丰富的逻辑判断指令，配合硬件冗余设计，在成本增加不多的情况下，进一步提高控制系统的可靠性，取得很好的抗干扰效果[3]。常用的软件抗干扰技术有以下方法：

1、动作指令的延时判读

为了防止由于操作员误碰，造成其按钮开关将24VDC信号传至DI通道读取，程序读取信号后，控制阀门误动作，对开关量输入信号进行延时（一般为两个刷新周期，关键设备适当延长时间），多次读取，两次结果一致，方进行指令输出。

2、模拟信号的数字滤波

采取软件数字滤波技术消除工业现场瞬时干扰，常用方法包括：

（1）算术平均值法：连续多次采样，计算平均值作为结果，适用于一般随机干扰信号的滤波，计算公式：

（2）防脉冲干扰平均值法：采样N个数值，去掉最大最小，剩余采样值取平均值，可消除脉冲及小信号随机干扰，计算公式：

（3）中值法：对一个采样点连续采集多个信号，采用冒泡法对N个数据进行排序，取N/2的整数部分为k，计算公式：

（4）一阶递推数字滤波法：利用软件完成RC低滤波算法，减小模拟滤波器随时间累积增大的误差，计算公式：

其中，Xn—第N次的采样值；

Yn—滤波后的输出值；

Yn-1—前一次滤波后的输出值；

α—滤波系数；

τ—时间常数；

T—采样周期。

五、冗余的以太网设计

S7-417H主站的实时数据通过工业以太网接入冗余路由器（SWT），上位机和其它计算机终端通过连入以太网，实现数据的共享。每台计算机安装冗余的工业以太网卡CP1623，双操作员站、双交换机、双主站PLC和双缆的网络配置，使系统在两套以太网上同时运行，切实保证了网络系统的稳定性和可靠性[2]。

六、可靠性指标计算

本双机双工并联控制系统采用双部件双重结构，即每部分元件均有2个结构相同、功能相同的装置并联组成。[5]控制系统关键部件结构简化拓扑如图4所示。

产品的可靠性是由可靠度R(t)、失效率λ、平均无故障时间（Mean Time Between Failures, MTBF）三个指标来描述。

其中，ri(t)—系统中第i个单元的可靠度。

图4所示的控制系统是由多环节的并联设备组串联而成。每个环节内并联了两个相同的设备，其可靠度相等设为ri(t)，失效率相等为λi（i=1,2…7），由公式（5）～（7）推导可推得：

第一步、对于每种设备有：

第二步、对于每个并联单元有：

第三步、对于最后的串联单元有：

表1给出了7种设备的MTBF值，分别计算了系统连续工作周期为1y、5y、10y、20y时单个设备及并联设备单元的可靠度，并计算了单一串联控制系统及双机双工并联控制系统的可靠度。

根据计算结果比较，双机双工并联控制系统的可靠度远大于单一控制系统，并且，随着使用周期的延长，系统可靠度逐年降低。可以根据该计算结果，合理安排系统的更新、升级。[6-7]

七、总结

本文从冗余的硬件设计、外围保护电路设计、抗干扰防错软件设计、冗余的以太网设计4个方面，从提高系统可靠性为系统设计出发点，阐述了一种基于冗余S7-417H PLC的液体火箭试验控制系统的设计方法。并通过可靠度计算，定量计算，得到以下结论：

1、在选用合格元器件的前提下，相同运行周期时间内，采用冗余设计方式的系统的可靠度值要远远大于单一系统；

2、随着工作时间的推移，系统可靠度逐年降低，建议控制系统的使用寿命限制在15年以内。

表1 不同周期下各并联设备及控制系统的可靠度(40℃)