彭 越，容 易，王海濤，徐 洋，王子瑜

（北京宇航系統(tǒng)工程研究所，北京，100076）

高可靠待發(fā)段地面逃逸指揮控制系統(tǒng)設計及關鍵技術研究

彭 越，容 易，王海濤，徐 洋，王子瑜

（北京宇航系統(tǒng)工程研究所，北京，100076）

在載人航天任務中，為確保在運載火箭待發(fā)段出現(xiàn)危及航天員生命安全的緊急情況時能可靠、迅速地實現(xiàn)航天員的逃逸救生，一般采用待發(fā)段地面逃逸指揮控制系統(tǒng)承擔待發(fā)段地面逃逸輔助決策、地面逃逸指令生成和發(fā)送的任務。提出一種基于雙冗余架構的高可靠待發(fā)段逃逸指揮控制系統(tǒng)設計方案，集成了冗余供配電控制、冗余網(wǎng)絡通信和安全控制以及遠程測控等功能，系統(tǒng)設計均突出高可靠性、安全性、人機工學設計及國產(chǎn)化設計，可滿足載人航天待發(fā)段逃逸救生的需求。

載人航天；待發(fā)段逃逸；冗余設計

0 引 言

為了確保航天員生命安全，載人航天任務在待發(fā)段、上升段、在軌段和返回段等不同階段中發(fā)生嚴重故障時開展應急逃逸救生任務[1]。其中，待發(fā)段指運載火箭發(fā)射前航天員進艙到運載火箭起飛（含緊急關機）的階段。運載火箭待發(fā)段過程一般針對火箭傾倒[1]、推進劑泄漏[2]、著火[3]等多種故障模式實施航天員應急逃逸救生，確保能夠在待發(fā)段出現(xiàn)危及航天員生命安全的緊急情況時可靠、迅速地實現(xiàn)航天員的逃逸救生。待發(fā)段地面逃逸指揮控制系統(tǒng)一般在載人航天任務中承擔待發(fā)段地面逃逸輔助決策、地面逃逸指令生成和發(fā)送的任務，是承擔待發(fā)段逃逸救生任務的核心系統(tǒng)之一[4～6]。1983年9月26日，蘇聯(lián)發(fā)射聯(lián)盟T10A載人飛船時，運載火箭由于推進劑閥門失靈在發(fā)射臺上爆炸，由待發(fā)段地面逃逸指揮控制系統(tǒng)發(fā)出逃逸指令使飛船成功脫離危險區(qū)域，挽救了航天員的生命。

本文提出一種基于雙冗余架構的高可靠待發(fā)段逃逸指揮控制系統(tǒng)設計方案，集成了自動供配電控制、自動流程控制、冗余網(wǎng)絡通信和安全控制以及遠程測控等功能，從可靠性、安全性、人機工學及國產(chǎn)化等方面進行改進，可滿足載人航天待發(fā)段逃逸救生任務的需求。

1 待發(fā)段逃逸控制系統(tǒng)方案設計

1.1 總體方案

待發(fā)段逃逸指揮控制系統(tǒng)在運載火箭待發(fā)段將根據(jù)飛船、火箭等外系統(tǒng)發(fā)送到待發(fā)段逃逸指揮控制系統(tǒng)的“允許逃逸”、“逃逸請求”等信號，同時結合發(fā)射場系統(tǒng)提供的有關地勤系統(tǒng)信息，作出是否逃逸的判決。當需要逃逸時，由待發(fā)段逃逸指揮控制系統(tǒng)進行逃逸約束條件的判斷，當滿足約束條件時向火箭系統(tǒng)逃逸控制設備發(fā)送逃逸指令。

為了提高待發(fā)段逃逸救生任務的可靠性和安全性，本文提出一種基于雙冗余架構的高可靠待發(fā)段逃逸指揮控制系統(tǒng)設計方案，系統(tǒng)組成如圖1所示。

待發(fā)段地面逃逸控制系統(tǒng)由控制計算機（主、從）、虛擬顯示計算機、控制組合、供電電源、網(wǎng)絡交換機（主、從）、防火墻（主、從）等組成。其中控制計算機（主、從）作為待發(fā)段逃逸控制信號處理的核心設備，主機、副機互為冗余備份，其負責與外系統(tǒng)網(wǎng)絡接口通信、系統(tǒng)內(nèi)信息的接收、處理和轉發(fā)、系統(tǒng)對時等功能。虛擬顯示計算機接收控制計算機發(fā)送的全系統(tǒng)運行狀態(tài)，并進行顯示。控制組合由雙冗余PLC設備組成，負責接收控制計算機的指令和控制面板的指令，進行條件判斷后完成有線逃逸指令輸出，完成與火箭系統(tǒng)逃逸控制設備的硬件接口通信，并進行電源信號采集?？刂泼姘遑撠煵僮魅藛T在網(wǎng)絡通信異常的情況下進行手動控制。供電電源負責向控制組合提供外部直流供電，并可通過網(wǎng)絡進行控制和測量。網(wǎng)絡交換機（主、從）負責系統(tǒng)內(nèi)各設備間的網(wǎng)絡通信，以及負責與外系統(tǒng)的網(wǎng)絡通信。防火墻（主、從）負責檢查和過濾本系統(tǒng)與外系統(tǒng)的網(wǎng)絡通信，確保網(wǎng)絡通信的信息安全。

1.2 工作流程

控制計算機（主、從）通過網(wǎng)絡交換機和防火墻與外系統(tǒng)進行信息交互，向控制組合通過網(wǎng)絡交換機發(fā)送飛船允許逃逸、火箭允許逃逸及發(fā)射場允許逃逸指令等指令狀態(tài)，向虛擬顯示計算機發(fā)送系統(tǒng)工作狀態(tài)；控制組合接收供電電源的直流供電輸入并采集電源狀態(tài)，并向供電電源發(fā)送直流輸出控制指令；控制組合接收控制計算機（主、從）或控制面板發(fā)出的逃逸指令、發(fā)射/測試狀態(tài)選擇及電源直流輸出指令，通過直連電纜向火箭系統(tǒng)逃逸控制設備發(fā)送有線逃逸指令并采集其工作狀態(tài)，并通過網(wǎng)絡交換機向控制計算機（主、從）發(fā)送火箭系統(tǒng)反饋的逃逸狀態(tài)信息。交換機（主）與交換機（從）通過互聯(lián)網(wǎng)線進行冗余狀態(tài)同步，防火墻（主）與防火墻（從）通過互聯(lián)網(wǎng)線進行冗余狀態(tài)同步。待發(fā)段逃逸指揮控制系統(tǒng)工作信息流如圖2所示。

2 關鍵技術設計

2.1 冗余網(wǎng)絡架構設計

待發(fā)段逃逸指揮控制系統(tǒng)采用以太網(wǎng)進行設備間及與外系統(tǒng)的數(shù)據(jù)通信，網(wǎng)絡設備主要包括：計算機、網(wǎng)絡交換機、防火墻等設備，為提高通信鏈路的可靠性，通信網(wǎng)絡均采用雙冗余硬件通信鏈路，當主鏈路發(fā)生一度故障，都會冗余切換至備份鏈路，確保網(wǎng)絡通信正常。

控制計算機（主機、副機）、虛擬顯示計算機均使用雙網(wǎng)卡分別連接主、從交換機進行網(wǎng)絡通信，計算機雙網(wǎng)卡進行交換器容錯綁定；交換機與外系統(tǒng)通信通過主、從防火墻，從交換機之間采用虛擬路由冗余協(xié)議（Virtual Router Redundant Protocol，VRRP），冗余防火墻之間采用心跳同步，交換機與防火墻之間采用口字形連接關系。正常狀態(tài)下主通信鏈路為設備主網(wǎng)卡—主交換機—主防火墻。

控制計算機正常工作狀態(tài)下和故障狀態(tài)下系統(tǒng)網(wǎng)絡信息流如圖3～6所示。

當系統(tǒng)正常工作時，網(wǎng)絡信息流鏈路為計算機主網(wǎng)卡—主交換機—主防火墻；當計算機主網(wǎng)卡發(fā)生故障或主網(wǎng)卡與主交換機之間的鏈路發(fā)生故障時，計算機主、從網(wǎng)卡自動切換，交換機不切換，網(wǎng)絡信息流鏈路切換為計算機從網(wǎng)卡—從交換機—主交換機—主防火墻；當主交換機發(fā)生故障時，主、從交換機切換，計算機主網(wǎng)卡檢測到鏈路故障后進行主、從網(wǎng)卡自動切換，主交換機通過鏈路數(shù)據(jù)監(jiān)測或端口數(shù)據(jù)監(jiān)聽進行自動主、從網(wǎng)卡切換，網(wǎng)絡信息流鏈路切換為計算機從網(wǎng)卡—從交換機—從防火墻；當主防火墻發(fā)生故障或主防火墻與主交換機之間或外系統(tǒng)的鏈路發(fā)生故障時，主防火墻可通過端口數(shù)據(jù)監(jiān)聽進行自動主、從防火墻切換，交換機不切換，網(wǎng)絡信息流鏈路切換為計算機主網(wǎng)卡—主交換機—從交換機—從防火墻。

待發(fā)段逃逸指揮控制系統(tǒng)選用的防火墻通過互聯(lián)心跳接口支持雙機熱備份工作，通過鏈路數(shù)據(jù)和IP檢測進行自動故障切換，經(jīng)測試設備故障切換后數(shù)據(jù)傳輸恢復時間小于1 s。系統(tǒng)選用的主、從交換機通過互聯(lián)網(wǎng)線進行冗余狀態(tài)同步，支持VRRP熱備冗余配置協(xié)議，經(jīng)測試交換機故障切換后數(shù)據(jù)傳輸恢復時間小于3 s。

2.2 冗余供配電設計

供電電源為控制組合輸出提供直流 28 V外部供電，采用雙電源熱備冗余工作，2臺直流穩(wěn)壓電源互為熱備份，主備電源輸出端通過轉接盒設置正向二極管防止電流倒灌，防止電源短路和斷路失效模式。交流輸入由手動開關進行控制，供電電源的直流輸出由控制組合進行控制，電源直流輸出電壓由控制組合進行采集。供配電工作原理如圖7所示。

2.3 可靠性設計及評估

待發(fā)段逃逸指揮控制系統(tǒng)中涉及到信息傳遞和逃逸指令傳輸鏈路中的核心設備均采用冗余設計，如控制計算機、網(wǎng)絡交換機、防火墻、控制組合設備、供電電源均采用雙機熱備份的方式提高其可靠性，待發(fā)段逃逸指揮控制系統(tǒng)與飛船、火箭、發(fā)射場系統(tǒng)以及測控系統(tǒng)等外系統(tǒng)以及系統(tǒng)間的網(wǎng)絡通信均保證2條通信鏈路，以提高信息傳輸?shù)目煽啃浴?/p>

為了驗證網(wǎng)絡冗余設計的正確性，在不同故障狀態(tài)下進行了全系統(tǒng)網(wǎng)絡冗余切換試驗測試，分別測試：a）控制計算機及虛擬顯示計算機在斷一路網(wǎng)線狀態(tài)下，驗證軟件的路由鏈路切換功能；b）控制組合在斷一路網(wǎng)線狀態(tài)下，系統(tǒng)功能的正確性；c）關閉一個交換機供電狀態(tài)下，系統(tǒng)功能的正確性；d）網(wǎng)絡由故障狀態(tài)恢復至正常狀態(tài)下，系統(tǒng)功能恢復的正確性。經(jīng)試驗驗證，在不同故障狀態(tài)下全系統(tǒng)冗余切換功能、性能均滿足要求。

與逃逸指令發(fā)出相關的信號均采用冗余設計，控制面板送入控制組合的信號為3路硬件冗余采集，內(nèi)部PLC程序進行軟件三取二判斷，并采用時間濾波，防止誤指令輸入；控制計算機通過網(wǎng)絡發(fā)送的火箭允許逃逸、飛船允許逃逸和地勤允許逃逸信號采用時間濾波，PLC設備1 s內(nèi)連續(xù)3次有效接收，防止誤指令輸入；控制組合輸出逃逸指令采用繼電器雙觸點串并聯(lián)冗余輸出；網(wǎng)絡設備均采用雙冗余熱備份，支持故障狀態(tài)下的自動切換；外部供電電源采用主、從熱備份工作；所有線路連接均為雙點雙線。

控制面板上重要開關，如解鎖、逃逸指令，均采用雙開關備份，且每個開關雙觸點并聯(lián)輸出。

待發(fā)段逃逸指揮控制系統(tǒng)可靠性如圖8所示。

系統(tǒng)可靠性計算公式如下：

2.4 防誤操作設計

待發(fā)段逃逸指揮控制系統(tǒng)中針對防誤操作開展針對性設計工作?？刂平M合PLC設備通過內(nèi)部程序實現(xiàn)邏輯連鎖。對面板輸入開關量指令信號采用3路硬件冗余采集，內(nèi)部PLC程序進行軟件三取二判斷，防止干擾信號引起的誤動作。有線逃逸指令采用繼電器觸點串聯(lián)輸出，減少觸點粘連引起的誤指令輸出。

控制面板的按鈕開關采用嵌入式面板開關，開關按鍵動作力大防止誤動作，并采用不同的醒目顏色進行區(qū)分，外加保護蓋，確保保障面板操作可靠性?？刂泼姘迳显O置鑰匙型工作開關，當開關關閉時面板按鍵無法發(fā)出指令。

控制組合 PLC設備的嵌入式軟件增強可靠性設計，從指令采集和指令輸出環(huán)節(jié)進行濾波和冗余判斷設計，在PLC設備啟動時采集到逃逸相關指令時不進行處理并進行提示，防止控制面板開關使用后忘記恢復造成誤動作。

2.5 人機工學設計

除顯示器、鍵盤鼠標及控制面板外，待發(fā)段逃逸控制系統(tǒng)全部設備均可安裝在標準控制臺體內(nèi)，全系統(tǒng)共占用3個標準工作臺位置，其中控制計算機（主）、控制計算機（從）和虛擬顯示計算機屏幕各使用1個工作臺位置，控制面板安裝在虛擬顯示計算機工作臺位置?？刂婆_外形尺寸如圖9所示。控制臺面板布局如圖10所示。

控制面板設計充分考慮到操作者的使用習慣和操作可靠性，并將試驗流程和連鎖控制邏輯與面板按鈕、開關布局進行綜合設計，同時考慮到快速安裝和維修。

控制面板設計及布局如圖11所示，其主要特點如下：

a）控制面板通過螺釘安裝于控制臺臺體上表面安裝孔內(nèi)；

b）控制開關、按鈕均設置指示燈，重要按鈕設置保護蓋；

c）設置主、從電源直流輸出開關及指示燈，各設備電源開關及指示燈，設置鑰匙式面板工作開關；

d）各開關及按鈕合理布局，相鄰按鈕間距較大并有不同指示燈顏色及文字標示區(qū)別，防止誤操作；

e）面板上按鈕、開關從左至右按照測試流程布置，主要按鈕的邏輯關系在面板上利用文字、圖例及指示燈進行提示，確保操作者快速了解工作狀態(tài)；

f）控制面板使用螺釘通過安裝孔與控制臺臺體連接固定，便于安裝、維修及更換。

2.6 國產(chǎn)化設計

待發(fā)段逃逸指揮控制系統(tǒng)中交換機、防火墻、計算機設備、控制組合、B碼時統(tǒng)設備及地面電源設備均采用國產(chǎn)化設備，確保全部設備的安全性自主可控。計算機選用國產(chǎn)中標麒麟操作系統(tǒng)，應用軟件均采用QT跨平臺開發(fā)工具。網(wǎng)絡設備、電源設備、計算機設備及操作系統(tǒng)均采用國產(chǎn)化產(chǎn)品，在運載火箭型號應用尚屬首次，并針對國產(chǎn)操作系統(tǒng)自主研發(fā)的國產(chǎn)設備驅動軟件和應用軟件進行了大量的開發(fā)和測試工作，網(wǎng)絡安全設備和網(wǎng)絡交換設備進行了充分考核，地面電源系統(tǒng)及控制組合設備均進行了補充環(huán)境試驗的考核。

3 結 論

待發(fā)段地面逃逸指揮控制系統(tǒng)是載人航天任務中承擔待發(fā)段逃逸救生任務的重要系統(tǒng)。本文提出了一種基于雙冗余架構的高可靠待發(fā)段逃逸指揮控制系統(tǒng)設計方案，集成了供配電控制、自動流程控制、冗余網(wǎng)絡通信和安全控制以及遠程測控等功能。通過系統(tǒng)級冗余設計、網(wǎng)絡通信冗余設計、防誤操作設計、連鎖控制邏輯設計等關鍵技術，突出高可靠性和安全性，確保待發(fā)段不誤逃、不漏逃；產(chǎn)品充分考慮到操作者的使用習慣和操作可靠性，通過人機工學設計將試驗流程和連鎖控制邏輯與面板布置進行綜合設計；核心設備及軟件均采用國產(chǎn)化產(chǎn)品，確保產(chǎn)品自主可控。高可靠待發(fā)段逃逸指揮控制系統(tǒng)可滿足載人航天待發(fā)段逃逸救生任務的需求，有助于提升后續(xù)待發(fā)段逃逸救生任務的工作質量和測試效率。

[1] 王向陽. 國外載人航天器的應急救生[J]. 中國航天, 1993(8): 36-40.

[2] 卞韓城, 朱偉濤. 上升段陸上航天員應急搜救模式改進探討[J]. 載人航天, 2005(1): 44-49.

[3] 李波, 陳曉斌, 李國強. 待發(fā)段火箭傾倒實時監(jiān)測技術研究與實現(xiàn)[J].宇航學報, 2004(3): 330-333.

[4] 賈瑛, 趙后隨. 液體推進劑泄漏應急處理[J]. 上海航天, 2003(1): 60-62.

[5] 張晨光, 孫沂昆, 劉巧珍, 等. 載人火箭信息傳輸網(wǎng)絡系統(tǒng)設計及關鍵技術研究[J]. 載人航天, 2015(2): 153-157.

[6] 李長海. 待發(fā)段航天員逃逸救生決策指揮問題探討[J]. 指揮技術學院學報, 2001(3): 68-71.

[7] 張智. CZ-2F火箭逃逸系統(tǒng)[J]. 導彈與航天運載技術, 2004(1): 20-27.

[8] John H, Ashely H, Bernard B. Launch vehicle failure dynamics and abort triggering analysis[C]. Portland, Oregon: AIAA Guidance, Navigation, and Control Conference, 2011.

Research on Key Technology of Pre-launch Escape Command and Control System

Peng Yue, Rong Yi, Wang Hai-tao, Xu Yang, Wang Zi-yu
(Beijing Institute of Astronautical Systems Engineering, Beijing, 100076)

In manned space engineering, pre-launch escape command and control system is required to make the assistant decision and generate the command of pre-launch escape, which is responsible for keeping astronaut safety in emergency. In this paper, a high reliable pre-launch escape command and control system scheme based on dual redundancy architecture is proposed, which contains power control, automatic process control, redundant network communication, security control and remote test function. The system design focuses on high reliability, high safety, ergonomics and equipment localization, and will meet the requirement of manned space program in the future.

Manned space; Pre-launch escape; Redundant design

V445

A

1004-7182(2017)02-0029-06

10.7654/j.issn.1004-7182.20170207

2016-05-03；

2016-07-01；數(shù)字出版時間：2017-04-10；數(shù)字出版網(wǎng)址：www.cnki.net

彭 越（1983-），男，博士，高級工程師，主要研究方向為運載火箭電氣系統(tǒng)總體設計