孙艳秋，吴庆军，张 硕，胡海峰,2

（1. 北京航天自动控制研究所，北京，100854；2. 宇航智能控制技术国家级重点试验室，北京，100854）

0 引 言

CZ-2F运载火箭承担着载人航天飞行任务，测发控系统是CZ-2F火箭的关键系统之一。为满足载人航天要求的高可靠性和高安全性的要求，CZ-2F一期测发控系统首次采用了VXI总线测试技术，VXI 总线技术提高了测发控系统的可靠性，缩短了测试时间，提高了测试精度，改善了测试系统的性能；首次采用可编程逻辑控制器（Programmanle Logic Controller， PLC）和光纤通讯技术实现远距离发射控制，人员可在数千米外进行火箭测试发射控制保证了人员的安全；首次采用3套硬件配置相同的点火PLC，运行3套不同的点火时序软件的方式，实现点火、紧急关机时序控制的软件异构型冗余方式，提高了点火、紧急关机时序可靠性、安全性。CZ-2F一期测发控系统在以上技术基础上圆满完成了遥一到遥七的发射任务。

二期运载火箭将执行交会对接及载人飞行任务，对火箭提出了零窗口发射的高要求，测发控系统需要在发射流程中做到安全、可靠、准时点火以保证火箭能分毫不差的点火起飞。一期测发控系统在主控微机、前端PLC设备等重要部位仍为单套配置设计，系统冗余度不足。为进一步提升系统可靠性，更好地实现“零窗口”发射目标，研制全冗余测发控系统迫在眉睫。

1 “全冗余”一体化测发控系统概述

载人航天交会对接运载火箭测发控系统采用全冗余的系统方案，结合计算机自动化测试技术、VXI总线技术、光纤通信和网络技术，构建了虚实结合的分布式测发控系统，实现了对控制系统箭上设备的供配电和状态控制，对各类参量的定量检测和定性监视，实施发射任务等功能。

测发控系统采用以主控微机为核心的自动测试发射工作方式，自动测控为主，手动参与部分配合动作，关键功能自动、手动互保。主控微机控制VXI实现自动测试与发射流程，接收测试数据与测试结果，对数据进行分析判别，判断测试结果的正确性和发控流程是否正常。发控台控制PLC实现手动发控流程，手动给出所有的控制指令，既可与主控微机配合共同完成测发流程，亦可独自完成测发流程。

测发控系统采取远控方式，前端皆为无人值守的自动化组合和VXI设备，集成在4个机柜中，见图1；后端以计算机和PLC为核心构成测发控网络，放置在控制台中，见图2；前后端采用虚拟显示技术实现流程控制、信息交互和监控，采用光纤总线实现箭地通讯及网络信号的远距离传输。测发控系统组成见图3，主要分为以下4个部分：

图1 前端设备控制台Fig.1 The Devices Approach the Vehicle

图2 后端设备控制台Fig.2 Remote Control Equipment

图3 控制测发控系统组成Fig.3 Composition Diagram of Ground Control System

a）前端发控设备：包括各前端控制组合、地面电源、电爆管电路等效器、转台控制器、速率陀螺转台、惯组转台、地面电缆网等；

b）后端控制设备：包括B码点火终端、发控台、虚拟显示微机、控制系统主控微机、数据服务器、多屏显示微机、数据处理微机、数字记录仪专用微机等；

c）VXI采集系统：包括VXI机箱、VXI转接机箱和VXI控制微机；

d）通信设备：包括局域网络设备、光纤传输设备。

2 全冗余设计

2.1 流程控制电路冗余

“零窗口”要求分秒不差，而发射流程的任意一个节点发生问题，都有可能推迟或者取消发射。为了提高发射可靠性，保证测发流程的不间断控制，发控系统对所有与发射流程相关的控制电路都采取了针对性的冗余措施，确保全发射流程无单故障点。

载人运载火箭控制系统-8 h的发射流程，射前每个时间段都有供配电、控制和测试等工作。对-8 h工作流程进行梳理，各时间节点控制测发控系统的主要工作流程和内容如图4所示。

图4 -8h控制测发控系统工作流程Fig.4 Control Workflow Diagram before 8h Launch

对全流程每个控制点进行分析，根据控制信号的性质和意义，依据以下原则选择合适的电路冗余方法：

a）确保可靠接通的信号，采取继电器并联或者并串联冗余，如供电控制、时序安全检查等。

b）确保可靠断开的信号，采取继电器串联或者串并联冗余，如调压点开路、转电好自保等。

c）对接通和断开都有要求的信号，采取继电器三取二冗余，主要是“点火”和“紧急关机”。

d）从系统开始加电至实施点火，根据流程要求重点对以下流程控制电路采取了针对性的冗余设计：供配电控制电路；复位电路；时序安全检查电路；发射流程得以继续的必备状态；自动发射控制电路；舵机启动控制电路；关键自保电路；发射必备条件的控制电路；电源调压和跳压的控制电路。

通过发射流程控制电路的冗余设计，既能确保接通，也能防止误通，全面消除了单故障点，使发射流程得以顺利进行，从而确保“零窗口”发射。

2.2 发控方案异构冗余

发控系统对VXI的测试与发控功能进行集成优化设计，采用VXI和PLC异构型冗余的发控方案，解决了双PLC并联控制同构型冗余共因失效的问题。控制测发控系统通过网络通讯设备将主控微机、后端发控台PLC、前端发控PLC和VXI结合起来。控制系统发控信息流如图5所示。

图5 控制系统发控信息流图Fig.5 Control System Information Flow

a）自动发控。PLC：主控微机发送控制指令到发控台PLC，再通过网络传送给前端PLC，实现自动发控流程控制；同时主控微机自动查询发控台PLC的发控状态，作为发射流程继续的判定条件；VXI：主控微机发送控制指令到VXI，实现自动发控流程控制；同时主控微机自动查询VXI模件的发控状态，也作为发射流程继续的判定条件之一。

PLC与VXI既可以相互配合，共同完成自动发控流程。若任意一路出现故障，主控微机能够自动判定PLC还是VXI错误，放弃故障通路，依靠另一通路独立完成流程。

b）手动发控。PLC：发控台按钮开关的手动控制指令通过网络传送给前端PLC，实现手动干预，备保自动发控。

2.3 发射指令传输冗余

“零窗口”发射要求点火时刻精确至秒级，系统使用B码完成自动发射流程，点火和紧急关机等发射指令的传输过程如图6所示。

图6 “点火”及紧急关机信号流程Fig.6 The Signal Flow of “Fire” and Emergency Shutdown

a）B码点火终端冗余。自动发射流程由B码控制点火时刻。测发控系统使用2台B码热备份工作，每台B码皆为三取二冗余。设定好点火时刻后，B码内部的3个计时主板独立工作，计时结果三取二表决后向发控台输出时间控制信号“-5 min”、“-1 min”和 “0 s”，确保自动发射控制信号可靠发出。

b）PLC与VXI的传输通路冗余。发控台分别通过网络和直连电缆，将时间控制信号同时送到前端PLC和VXI，由PLC和VXI共同实现启动舵I、启动舵II、转电和点火的自动发射流程，确保自动发射信号可靠传输。

c）点火PLC冗余。点火控制组合由3个独立的PLC组成，接收到“0 s”信号后分别计时，各自的计时结果三取二表决后输出。点火时序程序也是3套独立运行的软件，由3个设计人员分别编制，并采用不同的计时基准，降低了共因失效模式的概率，确保点火时序信号可靠输出。

d）紧急关机自动/手动冗余。“断电”与“紧急关机”是与发射安全性紧密相关的关键信号，除了点火PLC自动输出关机信号外，发控台与点火输出组合间还通过直连电缆连接。当自动通路出现故障时，发控台仍能手动控制紧急关机和断电，确保发射的安全性。

2.4 主控微机冗余

主控微机是发控系统自动发射核心，控制自动测试与发射流程，接收测试数据与测试结果，对数据分析判别，判断测试结果的正确性和发控流程是否正常。

主控微机采取热备份双机冗余的方式。主机与副机同步运行一个主控测试程序，之间以UDP协议通讯。默认情况下主机控制整个测发流程，并将当前的工作状态通知副机，副机处于监听状态，接收主机发送的测试状态信息以及结果数据。当主机发生通讯、测量、状态查询等故障时，副机接管测发控工作，并向PLC和VXI系统发送主副切换指令。

2.5 网络通讯链路冗余

网络通信是发控系统的重要组成部分。自动发控指令、测试数据采集指令、箭地信息的传递等均以网络为媒介进行信息交换，网络是关系发射成败的大事。

测发控网络的前后端设备通过主交换机、主光纤、副交换机、副光纤构成的环形冗余网相连，为系统提供快速、安全、可靠的数据通信通道；前后端各测试发控计算机使用服务器网络适配器同时连接到交换机，杜绝了数据通信中的单故障点失效隐患。

2.6 箭地通讯冗余

主控微机通过光端机与箭载计算机通讯，完成功能程序和飞行程序的装订，以及测试过程中箭地控制与应答信息交换等功能。

默认情况下箭地通路为：主控微机主机—后端光端机主机—前端光端机主机—箭载计算机；当发控台或者主控微机给出“主副机切换”指令后，箭地通路切换为：主控微机副机—后端光端机副机—前端光端机副机—箭载计算机。

2.7 VXI测试模件冗余

VXI测试系统由VXI控制微机、VXI模件和VXI转接机箱组成。主控微机控制VXI微机完成电压、频率的采集测量，电压、电流的加指令及时串接收等。

为了提高数据采集的可信度，VXI使用双模件采集。在进行参数测量时，主控微机先控制VXI机箱中的第1块模件采集测试，如果数据正确，将其作为正确有效数据回传；如果数据错误，再进行三取二测试，正确则输出，错误则报错。

2.8 虚拟显示冗余

发控台中配备2台虚拟显示微机，分别接收前端发控装置PLC和VXI控制微机送来的测试状态信息，以图形化的方式显示在显示屏上。

虚拟显示微机1、2安装相同的程序，每台都能实时显示4页状态信息，对控制系统的发控指令与状态信息进行全面监控。2台微机互为备份，异常时进行比较即可判定是电路问题还是显示问题，快速定位故障。此外，显示的状态可自动保存，利于故障回放，便于故障发生后进行分析和排故。

3 全冗余系统的测试性设计

为了提高冗余系统的测试性，设计了不同阶段和不同状态的试验，对其进行检测。由于部件等效器是测发控系统的自检设备，冗余功能的测试在系统等效器试验阶段完成。

a）对PLC与VXI冗余设计的测试：控制系统PLC断电，测试VXI能否正常完成自动发控功能；控制系统VXI断电，测试PLC能否正常完成手动发控功能；

b）对点火冗余电路的测试：任意1台B码点火终端断电，测试另1台能否正常给出自动发射的-5 min、-1 min和0 s信号；任意1台点火PLC断电，测试另外两台能否正常发出点火时序和紧急关机时序；

c）对主控微机冗余的测试：模拟主控微机主机故障，系统实行主副机切换，由副机主动接管测发控流程，测试能否正常完成总检查测试；

d）对网络通讯链路冗余的测试：任意1台交换机断电，测试另一路网络链路能否正常传递发控信息和测试数据；

e）对箭地通讯冗余的测试：由于主控微机主机—后端光端机主机—前端光端机主机—箭机这条通路在系统主副切换的过程中已转换到主控微机副机—后端光端机副机—前端光端机副机—箭机，因此此项目可与对主控微机冗余的测试一起测试；

f）对冗余继电器的测试：控制电路中使用不同继电器双线包并联、相同继电器双触点并联、不同继电器双触点并联的方式，使用继电器板测试仪可以对单个继电器的单个触点工作情况进行测试，以确保并联电路的单支分路工作正常。

4 全冗余一体化测发控系统分析

图7为“零窗口”设计与测试思路。图8为控制系统控制信号与测试信号流程。

图7 “零窗口”设计与测试思路Fig.7 The Control and Test Design for “Zero-window” Mission

图8 控制系统控制信号与测试信号流程Fig.8 The Control System Signal Flow for Luanch and Test

与CZ-2F一期测发控系统相比较，系统具备以下特点：

a）测发控系统首次采用VXI和PLC异构型冗余的系统方案，将传统划分的“发控”和“测试”较好地融为一体，各司其职，互为备份。既节约了系统资源，也消除了共因失效的故障模式，大大提高了系统的应急控制能力和故障适应性，保证了测发控系统的发射可靠性。

b）通过对全冗余系统的测试性分析，系统中冗余设计均有检测手段，提高系统测试覆盖性和维修性；

c）主控微机、虚拟显示微机等重要后端设备采用主副机备份方案，主控微机的热备方案、虚拟显示微机的互为备份方案实现了全流程的无缝对接及流程接管，消除主控微机、虚拟显示微机引发的流程终止故障，提高计算机系统工作的可靠性，从而全面提高测发控系统的可靠性；

d）通信系统的冗余设计，采用抗干扰能力强、具有自恢复能力的多路冗余通信方式，提高系统通讯的可靠性；

e）VXI测试系统与发控系统的集成优化设计，实现发控流程双通道冗余控制，避免了控制流程共因失效的故障模式，提高控制通路可靠性及稳定性；

f）测试和发射控制软件的一体化设计，使控制流、信息流、被测设备、控制设备形成完整的闭环系统；

h）B码控制终端的整机三取二冗余输出及主副机切换的多冗余输出设计，满足发射任务的“零窗口”发射要求。

5 与中国同类技术的比较

与中国同类技术相比，本发控系统具有以下特征：

a）发射流程无单故障点，确保按时发射。

一般的发控系统仅考虑转电以后的所有流程节点为继电器双触点冗余。为适应“零窗口”发射，发射流程必须顺利进行。为避免发生故障影响下一阶段的工作，所有与发射流程相关的控制电路全部为双触点冗余，从而提高了系统的容错能力和故障处理能力。测发流程的不间断控制为“零窗口发射”奠定了坚实基础。

b）异构型冗余发控系统，消除共因失效。

测发控系统一般为PLC发控，VXI测试，双PLC冗余的方案，虽也能提高系统可靠性，但同构型冗余存在共因失效的风险。将VXI的测试与发控功能进行一体化融合，让VXI参与发控，与PLC构成异构型冗余，能够确保发射控制的顺利实施。

6 结 论

本测发控系统采用全冗余技术，发射可靠性评估指标达到0.998 704。经8次发射任务的检验，测发控系统皆圆满实现“零窗口”发射，充分验证了高可靠发控系统设计的正确性和有效性。