张雷杰，袁学飞，徐 浩

基于冗余PLC低温加注集散控制系统研究

张雷杰，袁学飞，徐 浩

（北京航天发射技术研究所，北京，100076）

低温加注控制系统作为新一代运载火箭加注系统的重要组成部分，直接影响低温加注系统工作的连续性、实时性、可靠性和加注精度。以氧氮加注控制系统为例，介绍了低温加注集散控制系统的总体方案，并对冗余控制系统的实现方法进行了重点研究。该系统采用电源冗余、CPU冗余、通讯网络冗余、I/O站冗余、计算机冗余等技术，提高了控制系统的可靠性和安全性。

低温加注；集散控制系统；PLC；冗余

0 引 言

某低温加注系统承担着中国新一代运载火箭液氢、液氧、液氮低温推进剂的加注任务，低温加注工作贯穿于火箭发射的全流程，一直持续到火箭点火起飞。低温加注控制系统作为低温加注系统的重要组成部分，用于完成低温加注过程中工序控制、单点控制、信号采集、流程显示等任务。火箭发射的关键流程是不可逆的，作为进入发射流程的设备，低温加注控制系统必须匹配火箭发射流程，可靠性、实时性、安全性要求非常高。同时，针对易燃易爆环境，低温加注控制系统必须满足无人值守、远程控制的系统要求。

低温加注控制系统包括氧氮加注控制系统和液氢加注控制系统，以氧氮加注控制系统为例，介绍了低温加注集散控制系统的总体方案，并对冗余控制系统的实现方法进行了重点的研究。该系统采用以冗余PLC为核心的集散控制系统，通过电源、CPU、通讯网络、I/O站、计算机等冗余技术来实现系统的高可靠性和高安全性[1]。

1 总体方案及系统组成

氧氮加注控制系统总体方案见图1。氧氮加注控制包括近控设备和远控设备，近控设备和远控设备各自设置一组冗余PLC，远端PLC与近端PLC通过PROFIBUS DP光纤冗余环网实现前后端通讯。氧氮加注控制系统采用三级集散控制模式，现场级包括变送器（温度、压力、流量、液位）、电动执行机构（截止阀、调节阀）、变频器、液位开关等；控制级包括近端冗余PLC（含控制器和远程I/O站）、DP光电转换模块、操作面板等；管理级包括远端冗余PLC（含控制器）、光电转换模块、工控机、操作面板等。

近控设备包括放置于氧氮库区113的库房控制柜（3台）、泵控制柜（6台）、氧气浓度报警控制器（1台）和放置于101固定塔的塔架控制柜（1台）、201固定塔的塔架控制柜（1台）；远控设备包括放置于测发指挥中心的加注远控台（2台）、工控机（4台）。

图1 氧氮加注控制系统总体方案

2 冗余控制系统的实现

氧氮加注控制系统采用西门子冗余PLC为主控制器，实现了电源、CPU、通讯网络、远程I/O站、计算机等多种冗余控制技术的综合应用，极大提高了系统的安全性和可靠性。下面介绍主要冗余设备的配置及实现方法。

2.1 冗余控制器

冗余控制器包括电源模块、CPU模块、以太网模块、冗余总线模块、冗余热备模块等，核心器件均为相互独立的模块化设计，且以1:1冗余配置分别安装在两个独立的机架上，实现完全硬件冗余。当电源、CPU、以太网、冗余总线、冗余热备等核心模块中的任一部分工作异常时，主备系统均可由硬件实现自动切换，避免采用由软件编程实现主备切换的方式，以保证主备系统无扰动切换控制权，即发生故障时所有设备保持不间断运行，避免停机。主备系统的切换时间为 70 ms之内，该切换时间是包含电源、CPU、以太网、冗余总线和冗余热备模块等所有核心器件全部完成切换的时间[2]。

下面以主CPU侧网卡发生故障为例，介绍冗余以太网通讯功能的切换过程。图2为主CPU侧网卡发生故障前后上位机与PLC通讯数据路由对比图，其中虚线标识为上位机与主CPU数据交互的通讯路由。当主CPU侧网卡正常时，冗余PLC通过主CPU侧网卡实现与上位机计算机的数据通讯；当主CPU侧网卡发生故障时，主备CPU不切换控制权，主CPU通过备用CPU侧的网卡，经由同步模块、同步电缆实现与上位计算机的以太网通讯，完成数据交互。

需要重点说明的是，只有在主PLC背板故障、主PLC电源故障（或停电）、主PLC本身CPU故障这3种极端工况下，才会进行主备CPU的切换，其余工况下不会发生主备CPU的切换而能保证整个控制系统的功能是完整的[3]。

图2 主CPU侧网卡发生故障前后通讯路由对比

2.2 冗余I/O站

冗余I/O站是指两组配置完全相同的模块组态成冗余对使用，包括模块冗余和通道冗余两种模式。氧氮加注测控系统采用通道冗余，即模块上某一通道故障时，只屏蔽该通道，该剩余通道的信号读取和输出可正常执行。

a）冗余开入。图3为冗余开入原理。

图3 冗余开入原理

开入信号经过单入双出数字量隔离栅后分别接入主模块和冗余模块，CPU同时读取冗余模块的信号，并根据模块有效状态，选择主模块或冗余模块的信号进行处理。

b）冗余开出。图4为冗余开出原理。主模块和冗余模块同时驱动双继电器，继电器触点按照串并联方式实现开关量的冗余输出[4]。

图4 冗余开出原理

c）冗余模入。图5为冗余模入原理。模入信号经过单入双出模拟量隔离栅后分别接入主模块和冗余模块，CPU同时读取2个模块的信号，而有效的信号被选中，并在CPU中处理[4]。

图5 冗余模入原理

d）冗余模出。图6为冗余模出原理。主模块和冗余模块同时输出，每个模块输出控制值的50%。当某个模块发生故障时，互为冗余模块输出为控制值的100%。

图6 冗余模出原理

2.3 网络冗余

通过介质冗余、重复设置组件单元或者重复设置所有总线组件来增大通讯系统的可用性，实现网路冗余。网络冗余包括以工业太网冗余和PROFIBUS DP现场总线网络冗余。

2.3.1 近端PLC与远程I/O

图7为近端PLC与远程I/O站光纤冗余环网连接示意，近端PLC与远程I/O站之间采用PROFIBUS DP通讯。氧氮控制系统在氧氮库区113、101固定塔、201固定塔分别设置一组光电转换模块，并按照冗余环网方式连接光纤，光纤闭合模式保证了通讯网络的高度安全性。冗余的光纤环网必须使用双光纤端口并且是相同型号的光电转换模块。环形冗余环网中单个光电模块发生故障时，冗余环网变成线性连接，不影响通讯功能。故障修复后，网络自动恢复成环形冗余结构[2]。

图7 光纤冗余环网连接示意

2.3.2 近端PLC与远端PLC

近端PLC、远端PLC的网络连接方式与近端PLC、远程I/O站连接方式相同，不作重复介绍。

2.3.3 远端PLC与工作站

远端PLC与工作站之间的通讯采用工业以太网，如图8所示。

图8 远端PLC与工作站连接示意

主控、辅控计算机配置双1613以太网网卡，并分别连接至机架0、机架1的以太网模块。这种连接方式，实现了以太网的冗余连接，当某一链路出现故障，网络会自动切换到另一链路，保证通讯不中断[5]。

2.4 冗余工作站

测发指挥中心的工作站采用工业控制计算机，包括主控计算机、辅控计算机、接口计算机和显示计算机。其中，主控、辅控计算机互为冗余，完成操作、显示、数据记录、系统诊断等功能；接口计算机完成加注系统与火箭系统的信息交互；显示计算机完成大屏幕投影显示。

主控、辅控计算机的监控软件采用西门子的WINCC7.0，通过采用冗余功能选件Redundancy配置，即组态运行两台并联的WINCC单用户系统，实现计算机冗余。当主控计算机发生故障时，辅控计算机自动接替控制权。主控计算机恢复运行后，辅控计算机自动为主控计算机复制所有的过程变量和信息，主控计算机恢复控制权。

2.5 冗余电源

图9为冗余电源原理。通过采用两组相同功率电源和冗余模块实现电源冗余。正常工况下，两组电源同时工作，每组电源承担约一半的负载功率。当一组电源故障时，另一组电源承担全部负载功率。因此，为了实现电源冗余，应确保单个电源的功率大于负载最大功率。

图9 冗余电源原理

3 系统可靠性建模及分析

3.1 冗余系统可靠性计算

冗余系统是指在系统中若有某一单元失效时，有相同的备用单元顶替它继续工作，以保证系统能够正常工作。

对于有个单元同时工作，另有个单元备用，当一个工作单元失效后由个中的一个替换，则系统可靠度为

3.2 可靠性模型

设某低温加注控制系统由计算机工作站、网络交换机、以太网通信模块、远控CPU、远控DP通信模块、光电转换模块、近控DP通信模块、I/O模块组成。简化后的可靠性模型如图10所示。

图10 某低温加注控制系统任务可靠性模型

系统可靠度取决于组成设备的可靠度及可靠性模型，假设各组成设备的单机可靠度如表1所示，冗余可靠度根据第3.1节冗余系统可靠度可靠性公式进行计算。

表1 某低温加注控制系统单机设备及冗余设备可靠度

Tab.1 Reliability of Stand-alone Equipment and Redundant Equipment of a Cryogenic Filling Control System

设备名称单机可靠度代号冗余可靠度代号 计算机工作站0.950.998 网络交换机0.980.999 以太网通信模块0.960.999 远控CPU0.980.999 远控DP通信模块0.960.999 光电转换模块0.980.999 近控DP通信模块0.960.999 近控CPU0.980.999 I/O模块0.970.999

由此可见，通过对低温加注测控系统采用全冗余设计，大大提高了整个系统的可靠度。

4 冗余测试方法

冗余功能测试是设备出厂及靶场自检阶段的非常重要的环节，下面总结了主要冗余设备的测试方法[7]。

a）工作站冗余功能测试方法。

通过强制关闭工作站电源或断开工作站全部网线等方法，分别模拟主控正常、辅控故障和主控故障、辅控正常工况，主控计算机、辅控计算机在单一工作模式下均能完成控制任务，表明工作站冗余功能正常；

b）控制器冗余测试方法。

通过强制关闭控制器电源或断开控制器全部网线等方法，分别模拟主控制器正常、备控制器故障和主控制器故障、备控制器正常工况，主控制器、备控制器在单一工作模式下均能完成控制任务，表明控制器冗余功能正常；

c）I/O站冗余测试方法。

通过强制关闭I/O站电源或断开I/O站全部网线等方法，分别模拟主I/O站正常、备I/O站故障和主I/O站故障、备I/O站正常工况，主I/O站、备I/O站在单一工作模式下均能完成控制任务，表明控制器冗余功能正常；

d）网络冗余测试方法。

通过分别断开工作站与远端PLC、远端PLC与近端PLC、近端PLC与远程I/O之间的网线的方法，确保在单一网线连接模式下，均能完成控制任务，表明网络冗余功能正常。

5 结束语

低温加注控制系统采用了冗余PLC控制架构，提高了系统运行的可靠性和稳定性。该系统已成功完成新一代运载火箭首飞低温加注任务，控制系统运行稳定可靠，满足加注系统的控制要求。

[1] 王雁鸣. 低温加注控制技术[J]. 低温工程, 1996, 4(8): 13-19, 32.

Wang Yanming. Cryogenic filling control technology[J]. Cryogenics, 1996, 4(8): 13-19, 32.

[2] 贺明智, 等. PLC冗余系统在多晶硅还原炉电源系统中的应用[J]. 电气自动化, 2010, 32(6): 45-47.

He Mingzhi, et al. Application of PLC redundancy system in the power supply system of polysilicon reducing furnace[J]. Electrical Engineering and Automation, 2010, 32(6): 45-47.

[3] 胡田力, 张云鹏. PLC冗余系统与性能分析[J]. 工业控制计算机, 2013, 26(10): 121-122.

Hu Tianli, Zhang Yunpeng. PLC redundant system and performance analysis[J]. Industrial Control Computer, 2013, 26(10): 121-122.

[4] 何鸿辉, 刘国青, 詹海洋. PCS7-400H冗余控制在KM6水平舱中的应用[J]. 航天器环境工程, 2008, 25(1): 68-71.

He Honghui, Liu Guoqing, Zhan Haiyang. The application of PCS7-400H redundant control in the KM6 horizontal chamber[J]. Spacecraft Environment Engineering, 2008, 25(1): 68-71.

[5] 庞宇翔. S7-400H冗余PLC在核电站淡水厂仪控系统中的应用[J]. 中国核电, 2013, 6(1): 45-49.

Pang Yuxiang. The application of S7-400H redundant PLC in I&C system for waterworks in nuclear power plant[J]. China Nuclear Power, 2013, 6(1): 45-49.

[6] 贾爱梅, 蒋贤志. 指挥控制系统可靠性设计与评估方法研究[J]. 舰船电子工程, 2010, 10(10): 45-47, 74.

Jia Aimei, Jiang Xianzhi. Research of reliability design and evaluation methods for command and control system[J]. Ship Electronic Engineering, 2010, 10(10): 45-47, 74.

[7] 于庆广. PLC控制系统双机热备及可靠性设计与实现[J]. 仪表技术与传感器, 2004(4): 22-24.

Yu Qingguang. Design and accomplishment of PLC control system in reliability and hot standby[J]. Instrument Technique and Sensor, 2004(4): 22-24.

Research on Distributed Control System of CryogenicFilling based on Redundant PLC

Zhang Lei-jie, Yuan Xue-fei, Xu Hao

(Beijing Institute of Space Launch Technology, Beijing, 100076)

The control system for cryogenic filling as an important part of new generation launch vehicle filling system, which has a direct impact on the continuity, real-time, reliability, and the filling accuracy of filling system. Based on oxygen and nitrogen filling control system, the scheme of distributed control system for cryogenic filling is introduced, and the realization of redundant control system is focused on. The system uses the power supply redundancy, CPU redundancy, communication network redundancy, I/O station redundancy, computer redundancy etc., which improve the reliability and security of the control system.

cryogenic filling; distributed control system; PLC; redundancy

2097-1974(2023)01-0043-05

10.7654/j.issn.2097-1974.20230109

TP273

A

2019-08-14；

2021-05-09

张雷杰（1980-），男，高级工程师，主要研究方向为加注测控系统设计。

袁学飞（1980-），男，高级工程师，主要研究方向为加注测控系统设计。

徐 浩（1982-），男，工程师，主要研究方向为加注测控软件设计。