毕显婷，祝 伟，冯敏洁，翟 晋

(北京宇航系统工程研究所，北京 100076)

0 引言

运载火箭贮箱完成推进剂加注后至发射前一直处于地面贮存状态，贮存过程中贮箱内气枕和推进剂温度会随贮存环境温度调控而变化，会导致贮箱压力变化，进而产生贮箱表面应力变化。对于使用低温推进剂的情况，贮箱壁面漏热也会导致推进剂温度升高并汽化，从而导致推进剂可用量减少[1-3]。因此一旦遇到紧急情况需要推迟发射，或者因使用需求延长存放时间时，对箭上力、热和环境等关键参数的长期监测至关重要，关系到贮存安全和发射任务的成败。

新一代运载火箭要求测控系统具有长时间连续加电的能力，尤其是在液氢加注后，前端设备实现“无人值守”。现有运载火箭地面监测系统虽然在故障监测和冗余等方面进行了设计，但并未考虑出现单机故障后，在系统不断电的情况下更换设备[4-5]。针对此问题，本文采用冗余热备设计，确保在故障情况下，可对故障单机进行在线更换，不影响系统功能。为实现箭上力、热和环境等关键参数的实时测量，需要为运载火箭上设备连续供电，同时将接收到的参数处理后回传，用于监测和判读。此外，考虑到加电期间可能会出现故障，因此供配电单机自身的状态参数也要回传，异常情况下便于快速定位问题。

由于地面数据解调软件需要长期运行，要求长时间运行的稳定性和可靠性高。现有运载火箭的地面测控系统远距离测控普遍基于传统的Windows平台软件[6-10]，但系统运行状态的开销较大，难以保证可靠性。

考虑到长期加电期间箭上采集的只是一些关键参数，数据量较小，本系统基于嵌入式操作系统平台开发了具有测控功能和监测功能的实时监测软件，完成供配电指令下发和单机状态及箭上关键参数的显示。

1 系统组成

1.1 硬件组成

用于长期监测的高可靠供配电系统由箭上设备和地面设备组成，如图1所示。箭上设备主要由箭上配电器组成；地面设备包括地面电源,监测控制组合,前、后端交换机和后端监控设备组成。

图1 用于长期监测的高可靠供配电系统组成框图

监测控制组合集成了配电和数据处理的功能。两台监测控制组合冗余热备，接收来自后端监控设备的加、断电指令，为箭上设备供电。

后端监控台用于向前端发送指令，接收前端发送的数据并显示。地面电源采用双机冗余热备份设计。

为提高网络传输的可靠性，所有上网设备均采用双网卡绑定方式接入交换机。

1.2 软件组成

用于长期监测的供配电系统软件由前端监测控制软件和后端测控软件组成。

前端监测控制软件运行于监测控制组合，完成供电测控、数据处理、故障检测和网络通信等任务。箭上各传感器采集到的力、热、浓度等参数经换流采编单元编帧后通过422总线传输给前端监测控制软件，前端监测控制软件对数据进行处理后经以太网传输给后端监控设备显示。前端监测控制软件同时将地面电源参数、本机工作参数传输至后端显示。

为解决长期加电状态下系统监测问题，后端监控设备上部署的后端测控软件实时接收前端发送过来的数据信息，通过数据解析、参数监测、故障报警等功能对采集的数据进行处理分析，并将异常状态信息进行记录，统一监测系统的安全状况和工作状态，一旦故障发生，从计算机收到的信息可以根据设备号明确判断是哪一台设备的某个模块出现问题，实现了地面设备良好的维修性。

2 高可靠设计

Windows 平台的软件由于系统运行状态的开销较大，难以实现长期实时数据处理以及长时间运行的可靠性。为了确保系统的实时性、可靠性、稳定性等需求，本方案中前后端均采用国产化处理器，软件运行于嵌入式操作系统，在软件及硬件层面均采用热冗余设计。

2.1 嵌入式操作系统

前端监测控制软件和后端测控软件均运行于嵌入式操作系统，包括BSP和应用软件两部分。嵌入式操作系统的组件如图2所示。

图2 嵌入式操作系统组件

在操作系统与目标板底层硬件之间，有一个重要部分板级支持包BSP(Board Support Package)。板级支持包为硬件功能提供了统一的软件接口，包括硬件初始化、中断的产生和处理、硬件时钟和计时器的管理，本地和总线内存地址映射、内存空间大小、实时内核载入等。

BSP的功能包括：

1)上电或复位后的初始化：CPU初始化和内存控制器初始化；

2)硬件初始化和配置：I/0口、RS422接口、1553B接口、硬盘。

3)BSP特定硬件的支持：中断控制器、时钟和定时器。

2.2 冗余设计

系统设计过程中，对单机功能、网络、双机切换等方面均进行了冗余设计。单机设计过程中，对关键部件及关键功能均采用了冗余设计，地面电源、监测控制组合等设备并联构成冗余备份工作模式，任意一个正常工作就可以完成系统要求的全部功能；设备内部对于接插件、开关、继电器的触点增加冗余接点，采用并联工作模式。

2.2.1 供配电单元冗余设计

监测控制组合内部供配电单元的设计主要是通过对继电器的控制实现对箭上设备的28V供电。为保证长期加电可靠性，继电器采用磁保持继电器，确保对箭上设备可靠供电，电路进行冗余设计，供电支路采用双继电器双触点冗余设计，对于同一供电负载支路，冗余接点间进行短接。供配电继电器连接如图3所示。

图3 监测控制组合供配电冗余电路原理图

2.2.2 双网冗余设计

为保障数据传输的可靠性，对主板上的双网口进行绑定，将两个以太网口在系统中映射为同一个IP地址及MAC地址，从而实现逻辑地址为1个IP地址，而实际传输中采用双网口传输。

本方案采用双网卡绑定的机制，软件中启动两个任务分别对主控上的两个网卡状态进行实时检测，当主网卡出现故障时，设计逻辑将工作网卡切换到备用网卡，并且要满足切换时间，双网切换逻辑如图4所示。

图4 双网切换逻辑设计示意图

为了验证双网冗余设计的性能，采用两个网卡监测任务分别监测网卡0和网卡1的状态，软件采用嵌入式操作系统实时操作系统，可以实现对网卡状态的实时检测。设计了4种工况进行切换，包括：

1)初始上电时，初始状态到网卡1的切换；

2)双网口工作时，主备网卡的切换；

3)双网口工作时，拔出备网卡，没有切换动作；

4)拔除双网口，然后插回任意网口，前后端通信正常。

通过网络抓包测试，记录10组测试时间，主备网卡切换时间小于130 ms。

2.2.3 双机热备设计

监测控制组合采用双机热备的系统架构，在系统长时间加电的情况下，保证在单机设备故障时，系统功能不失效。

对系统加电时可能发生的故障类型分类分析，由于监测控制组合切换支持自动切换及手动切换两种方式，而引起自动切换的故障又包括死机故障和非死机故障两种，故将切换动作按以下3类实现：

(1)故障判别后主机发起的自动切换

当主机在故障判别完成，首先进行故障隔离，使故障单机的所有输出进入安全状态，并报送后端。若为主机故障，则自动进行主从切换，从机更改配置变为主机，并进入单机工作模式；若为从机故障，则主机进入单机工作模式。切换流程如图5所示。

图5 非死机类故障导致的自动切换流程图

(2)主机死机后由从机发起的自动切换

主机死机类故障直接表现为主机自身无法对故障进行检测并发起相应的切换动作，这一类故障的检测只能由从机通过监听有无主机心跳来实现。

其基本的动作流程与主机自身发起的切换流程类似，不同之处在于对于从机来说，切换动作是由自身故障监测模块调用故障监听插件在主机心跳超时后主动发起的，而不是由网络传输模块等待接收主机发出的切换信息，这之后的动作流程与主机非死机类故障完全一致。切换流程如图6所示。

图6 死机类故障导致的自动切换流程图

(3)后端监控设备进行的手动切换干预

手动切换本质与主机非死机类故障相同，后端监控设备通过前后端之间的以太网链接将手动切换命令发送至主/从机的应用层，应用层通过与热备层之间的通信连接将切换指令传递给热备层内的故障检测模块，故障检测模块在收到切换指令并对比当前主从机健康状态后进入切换流程，之后的动作与主机主动发起的切换过程相同。切换流程如图7所示。

图7 手动切换流程图

3 测试验证

根据上述分析，双机热备情况下可能发生的切换模式包括：主机非死机故障引起的自动切换、主机死机故障引起的自动切换和手动切换。对这几种情况所需切换时间进行统计，统计结果如表1所示。由统计结果可知，双机切换时间较短，均小于15 ms，可以满足长期加电系统使用要求。

表1 双机切换时间统计

4 结论

本文设计了一种用于运载火箭加注后长期监测的高可靠供配电方案，基于自主可控嵌入式操作系统和国产控制器开发了应用软件，解决了传统运载型号使用的Windows操作系统难以实现长期实时数据处理以及长时间运行的问题。通过冗余热备设计有效保证了单机故障情况主从机切换，保证在系统不断电更换故障设备，提高了系统可靠性，有效保障长期加电期间靶场安全。