王海霞，金 朝，王 聰，蔣 科，張立輝，楊明浩，徐 艷，王 紅，李寶輝

（空軍特色醫(yī)學(xué)中心，北京 100142）

0 引言

離心機(jī)是利用高速旋轉(zhuǎn)產(chǎn)生離心場，完成醫(yī)學(xué)、檢驗(yàn)、科研等作用的設(shè)備[1]，為保障運(yùn)轉(zhuǎn)過程中設(shè)備的安全，其安全防護(hù)系統(tǒng)的設(shè)計(jì)至關(guān)重要。如王堅(jiān)[1]依據(jù)醫(yī)用離心機(jī)的組成和工作流程，基于控制器局域網(wǎng)絡(luò)（controller area network，CAN）總線設(shè)計(jì)了涵蓋離心機(jī)門蓋、驅(qū)動、電動機(jī)、控制等分系統(tǒng)的綜合報警平臺。李果等[2]采取超速保護(hù)、過失保護(hù)、生理信號檢測等方法設(shè)計(jì)了單自由度載人離心機(jī)的安全監(jiān)控平臺。陸惠良[3]介紹了通用載人離心機(jī)多裕度安全系統(tǒng)的綜合設(shè)計(jì)方案。上述安全系統(tǒng)以不同應(yīng)用領(lǐng)域的離心機(jī)為設(shè)計(jì)對象，針對性較強(qiáng)，在實(shí)際應(yīng)用中有著較好的效果，但是多自由度載人離心機(jī)的結(jié)構(gòu)更加復(fù)雜，由機(jī)械、控制驅(qū)動、飛行仿真、醫(yī)學(xué)監(jiān)護(hù)及其他輔助設(shè)備等組成[4]，分布于主機(jī)室、控制間、地下室等不同位置，而且多自由度功能所需信號滑環(huán)數(shù)量較多，導(dǎo)致安全防護(hù)系統(tǒng)在設(shè)計(jì)時存在傳輸距離長、中轉(zhuǎn)環(huán)節(jié)多、信號整合困難等問題，因此需根據(jù)實(shí)際需求開展設(shè)計(jì)。

本研究針對多自由度載人離心機(jī)的安全防護(hù)系統(tǒng)設(shè)計(jì)的難點(diǎn)，采用分布式主從結(jié)構(gòu)進(jìn)行系統(tǒng)設(shè)計(jì)，通過從站匯總分散的監(jiān)控點(diǎn)信號，集中傳輸至主站進(jìn)行綜合判斷，并采取冗余的設(shè)計(jì)方法以多重保護(hù)措施保障離心機(jī)運(yùn)行過程中設(shè)備和受試者的安全。

1 安全防護(hù)系統(tǒng)需求分析和功能設(shè)計(jì)

多自由度載人離心機(jī)是一種特殊的離心機(jī)，用于飛行員或航天員持續(xù)性加速度耐力選拔及訓(xùn)練[5-7]，其利用主軸、滾轉(zhuǎn)和俯仰3 個方向旋轉(zhuǎn)實(shí)現(xiàn)多自由度過載模擬，目前國內(nèi)在役的僅有我中心1 臺。該類載人離心機(jī)的安全防護(hù)系統(tǒng)應(yīng)重點(diǎn)關(guān)注離心機(jī)全狀態(tài)參數(shù)及運(yùn)行過程中人體生理信號的實(shí)時采集及判斷，應(yīng)具備故障自動分級處理功能，能夠根據(jù)故障風(fēng)險等級相應(yīng)地采取警告、報警、限制啟動、緊急停機(jī)等措施。

多自由度載人離心機(jī)的安全防護(hù)系統(tǒng)應(yīng)實(shí)現(xiàn)以下功能：（1）具備多自由度載人離心機(jī)主體參數(shù)的全生命周期工作狀態(tài)監(jiān)控功能；（2）具備多自由度載人離心機(jī)斷電自我保護(hù)功能，且斷電保護(hù)時間不少于15 min；（3）具備門安全聯(lián)鎖功能；（4）具有多自由度載人離心機(jī)運(yùn)行環(huán)境視頻監(jiān)控和煙火探測功能；（5）具備受試者生理指標(biāo)、音頻及視頻監(jiān)測功能；（6）具有多自由度載荷及增長率超限值防護(hù)功能。

多自由度載人離心機(jī)安全防護(hù)系統(tǒng)的可靠性設(shè)計(jì)指標(biāo)為平均故障間隔時間≥30 h，可維護(hù)性指標(biāo)為平均故障修復(fù)時間≤4 h。

2 硬件設(shè)計(jì)

2.1 硬件架構(gòu)

多自由度載人離心機(jī)的布局較為復(fù)雜（如圖1所示），地下室放置離心機(jī)配套設(shè)備；一層為主機(jī)室，放置離心機(jī)主體結(jié)構(gòu)；二層為控制間，放置計(jì)算機(jī)系統(tǒng)和安全主站等分部件。因安全監(jiān)控信號傳輸距離遠(yuǎn)，安全防護(hù)系統(tǒng)采取分布式主從結(jié)構(gòu)設(shè)計(jì)，其包含1 個主站和3 個從站，各監(jiān)控信號傳輸至附近從站，經(jīng)整合后再傳入主站進(jìn)行綜合判斷、處理，主、從站模塊化程度高，可擴(kuò)充性強(qiáng)。

圖1 多自由度載人離心機(jī)布局圖

安全主站位于控制間，與安全防護(hù)上位機(jī)相連，除采集各從站信息外，還采集主機(jī)室視頻、門鎖和煙火探測信號，以及驅(qū)動可編程邏輯控制器（programmable logic controller，PLC）和計(jì)算機(jī)存活信號。主站與從站之間采用Profibus 總線連接，主站至上位機(jī)采用高速以太網(wǎng)連接。

安全防護(hù)系統(tǒng)的3 個從站分別是座艙從站、主臂從站和地下室從站。其中，座艙從站安裝于離心機(jī)座艙內(nèi)部，采集座艙內(nèi)的傳感器信號，如座艙平衡狀態(tài)、三軸向加速度值、艙內(nèi)供氣壓力、座艙門鎖、受試者生理信號等，經(jīng)俯仰滑環(huán)、滾轉(zhuǎn)滑環(huán)、主滑環(huán)后進(jìn)入控制間安全主站；主臂從站安裝于離心機(jī)主臂末端，采集離心機(jī)結(jié)構(gòu)關(guān)鍵點(diǎn)應(yīng)力參數(shù)、滾轉(zhuǎn)和俯仰軸電動機(jī)和軸剎車狀態(tài)參數(shù)、主旋轉(zhuǎn)加速度值等，經(jīng)主滑環(huán)后進(jìn)入安全主站；地下室從站位于離心機(jī)配套設(shè)備所在地下室處，采集配電間、冷卻系統(tǒng)、壓縮空氣系統(tǒng)、不間斷電源（uninterruptible power supply，UPS）系統(tǒng)、變頻器、主電動機(jī)和主剎車等離心機(jī)配套設(shè)備的狀態(tài)參數(shù)，直接從電纜井進(jìn)入安全主站。安全防護(hù)系統(tǒng)整體架構(gòu)如圖2 所示。

圖2 安全防護(hù)系統(tǒng)整體架構(gòu)圖

2.2 硬件配置

（1）PLC 配置。

安全主站采用西門子S7-400 PLC 實(shí)現(xiàn)[8-9]。S7-400 PLC 采用模塊化、無風(fēng)扇結(jié)構(gòu)，易于實(shí)現(xiàn)分布式設(shè)計(jì)，通信能力強(qiáng)，容易擴(kuò)展，可通過滑軌擴(kuò)展安裝多個模塊，實(shí)現(xiàn)安全主站功能。根據(jù)設(shè)計(jì)需求，除電源、CPU、接口模塊外，還需要配置6 個32 通道數(shù)字量輸入（digital input，DI）模塊、2 個32 通道數(shù)字量輸出（digital output，DO）模塊和2 個16 通道16 bit 模擬量輸入（analog input，AI）模塊。

3 個從站采用西門子ET200M 遠(yuǎn)程輸入/輸出（input/output，I/O）模塊進(jìn)行配置，根據(jù)信號種類和需求，各從站分別配置接口模塊1 個，座艙從站配置DI、DO 模塊各1 個及AI 模塊3 個，主臂從站配置DI、DO、AI 模塊各1 個及模擬量輸出（analog output，AO）模塊2 個，地下室從站配置DI、DO、AO 模塊各1 個及AI 模塊2 個。

（2）UPS 配置。

按照系統(tǒng)設(shè)計(jì)需求，在市電斷電情況下UPS 需持續(xù)供電15 min 以上。經(jīng)計(jì)算需采用UPS 保護(hù)的設(shè)備功率合計(jì)42 kVA，功率因素取0.8，設(shè)計(jì)保證30%的用電余量，則UPS 容量為75 kVA，因此選擇80 kVA、直流電壓380 V 的UPS。以電池使用期限5 a、每年損耗15%計(jì)算，后備時間約為33.8 min，根據(jù)以上計(jì)算配備1 組32 只12 V、150 Ah 的蓄電池可滿足使用需求。為確保系統(tǒng)供電切換無延時，選擇在線式UPS，該UPS 的逆變器始終處于工作狀態(tài)，不存在時間切換問題。

（3）信號采集及判斷裝置配置。

依據(jù)所監(jiān)控信號的類型和量程，配置合適的傳感器、繼電器等硬件。三軸向加速度傳感器選擇美國PCB 三軸向加速度傳感器，量程為±20g；受試者生理信號采集裝置為我中心根據(jù)載人離心機(jī)試驗(yàn)實(shí)際需求自主研發(fā)，可進(jìn)行心電、耳脈搏、呼吸、語音和面部視頻等信號的實(shí)時采集及處理；配電系統(tǒng)、風(fēng)機(jī)冷卻系統(tǒng)、壓縮空氣系統(tǒng)等離心機(jī)配套設(shè)備的安全監(jiān)控信號來自其自身的狀態(tài)、溫度、壓力等傳感器；電子限位器選擇德國PMA KS90-1 工業(yè)控制器，通過內(nèi)部編程設(shè)置三軸向加速度限值，超限值時其內(nèi)部繼電器啟動，將信號發(fā)送至安全主站。

3 軟件設(shè)計(jì)

3.1 安全事件處理流程

多自由度載人離心機(jī)安全事件可出現(xiàn)在運(yùn)轉(zhuǎn)全周期中，包括待運(yùn)行狀態(tài)和運(yùn)行狀態(tài)。本研究依據(jù)安全事件所帶來傷害的程度、人員或設(shè)備危險暴露度、風(fēng)險事件發(fā)生概率、避免或限制風(fēng)險的可能性4 個要素，采用風(fēng)險矩陣法對多自由度載人離心機(jī)待運(yùn)行和運(yùn)行過程中可能遇到的安全事件進(jìn)行分類分級，相應(yīng)啟動風(fēng)險處理流程。

（1）待運(yùn)行狀態(tài)。

系統(tǒng)上電后，主、從站各自采集監(jiān)控點(diǎn)信息，檢查載人離心機(jī)各分系統(tǒng)的狀態(tài)，并判斷受試者語音通信、視頻通信和生理信號是否正常等。若監(jiān)測點(diǎn)出現(xiàn)異常，軟件根據(jù)風(fēng)險等級判斷為警告或報警，啟動相應(yīng)處理流程。若為警告級別，即暫未對載人離心機(jī)運(yùn)行造成影響，則給出提示信息，由操作人員判斷是否對此警告信息進(jìn)行處理，若不處理則系統(tǒng)進(jìn)入待運(yùn)行狀態(tài)；若為報警級別，主站將故障信號傳輸至驅(qū)動系統(tǒng)，并提示不可運(yùn)行載人離心機(jī)，直至故障排除。

（2）運(yùn)行狀態(tài)。

主、從站持續(xù)監(jiān)測所有載人離心機(jī)主體參數(shù)安全信息，同時實(shí)時監(jiān)測載人離心機(jī)運(yùn)轉(zhuǎn)載荷、載荷增長率、受試者生理信號等。若受試者信號異常，則由主持人執(zhí)行醫(yī)學(xué)停機(jī)操作[10]；若出現(xiàn)警告信息，系統(tǒng)將記錄該警告日志，載人離心機(jī)正常運(yùn)行至停機(jī)后由操作人員采取進(jìn)一步措施消除該信息；若出現(xiàn)報警信息，系統(tǒng)將根據(jù)風(fēng)險等級采取正常停機(jī)、緊急停機(jī)等處理措施。安全防護(hù)系統(tǒng)安全事件處理流程圖如圖3 所示。

圖3 安全防護(hù)系統(tǒng)安全事件處理流程圖

3.2 上位機(jī)軟件平臺設(shè)計(jì)

上位機(jī)軟件平臺是安全防護(hù)系統(tǒng)實(shí)現(xiàn)的重要部分，該軟件平臺基于LabVIEW 2018，以狀態(tài)機(jī)方式實(shí)現(xiàn)，包含系統(tǒng)總覽、安全防護(hù)狀態(tài)信息、實(shí)時運(yùn)行參數(shù)及限值、報警/故障信息列表、安全系統(tǒng)網(wǎng)絡(luò)連接、風(fēng)險邏輯矩陣、視頻監(jiān)控等功能模塊，方便操作人員隨時掌握各分系統(tǒng)運(yùn)行狀況，快速定位故障點(diǎn)。其中系統(tǒng)總覽模塊以實(shí)物圖方式顯示載人離心機(jī)的系統(tǒng)布局；安全防護(hù)狀態(tài)信息模塊將載人離心機(jī)所有分系統(tǒng)和部件的狀態(tài)綜合并集中顯示，用于判斷其工作狀態(tài)，若某系統(tǒng)狀態(tài)出現(xiàn)異常，則指示燈變紅，啟動相應(yīng)的安全事件處理流程，并將警告和報警狀態(tài)寫入信息列表；實(shí)時運(yùn)行參數(shù)及限值模塊實(shí)時顯示分系統(tǒng)中各類傳感器信號值及限值；報警/故障信息列表模塊以列表方式顯示報警或故障發(fā)生的時間、故障點(diǎn)和故障描述；安全系統(tǒng)網(wǎng)絡(luò)連接模塊顯示安全主站與從站間的網(wǎng)絡(luò)連接，提示網(wǎng)絡(luò)連接通斷情況；視頻監(jiān)控模塊實(shí)時監(jiān)控載人離心機(jī)主機(jī)室和受試者視頻信號。安全防護(hù)系統(tǒng)的安全防護(hù)狀態(tài)信息模塊和報警/故障信息列表模塊的界面如圖4、5所示。

圖4 安全防護(hù)狀態(tài)信息模塊界面

4 可靠性設(shè)計(jì)

為提升安全防護(hù)系統(tǒng)的故障識別率，避免因漏檢導(dǎo)致的安全隱患，本研究從軟、硬件多角度出發(fā)，采取冗余的技術(shù)制訂安全策略。

首先，通過多重保護(hù)措施實(shí)現(xiàn)載人離心機(jī)主體的安全防護(hù)：第一級保護(hù)為軟件保護(hù)，即通過主、從站采集監(jiān)測值，并與軟件限值對比，當(dāng)實(shí)際值超限值時判斷風(fēng)險等級并啟動防護(hù)。第二級保護(hù)為電氣保護(hù)，即在信號傳輸通道上安裝繼電保護(hù)裝置，當(dāng)安全值超過限值時繼電器啟動，同時將故障點(diǎn)信號傳輸至安全站點(diǎn)反饋給安全防護(hù)系統(tǒng)上位機(jī)，啟動安全防護(hù)并同步顯示故障點(diǎn)信息。軟件保護(hù)與電氣保護(hù)限值逐級遞進(jìn)，在充分保護(hù)系統(tǒng)安全的基礎(chǔ)上也便于操作人員判斷安全防護(hù)系統(tǒng)繼電保護(hù)裝置等硬件部件的工作狀態(tài)。

其次，在載荷超限值保護(hù)方面，通過在軟件和電子限位器中分級設(shè)置Gx、Gy、Gz與其變化率的限值、主機(jī)轉(zhuǎn)速限值、滾轉(zhuǎn)和俯仰角度的警告和報警限值，使載人離心機(jī)在限值包線內(nèi)運(yùn)行，且受試者在限值包線內(nèi)訓(xùn)練，從而保障設(shè)備和受試者安全。

安全主站采用雙CPU 冗余設(shè)計(jì)，進(jìn)一步提高了系統(tǒng)可靠性。

5 效果測試

根據(jù)設(shè)計(jì)需求，對安全防護(hù)系統(tǒng)的各項(xiàng)功能設(shè)計(jì)了測試用例，并進(jìn)行了第三方軟件測試評估。本研究以其中部分測試結(jié)果為例，詳見表1，包含了門聯(lián)鎖功能、過載超限值、主體參數(shù)監(jiān)控、計(jì)算機(jī)存活信號、UPS 供電時長等，結(jié)果顯示，本系統(tǒng)能夠達(dá)到預(yù)期設(shè)計(jì)目標(biāo)。

表1 安全防護(hù)系統(tǒng)測試結(jié)果

圖5 報警/故障信息列表模塊界面

綜合統(tǒng)計(jì)近1 a 來我中心多自由度載人離心機(jī)安全防護(hù)系統(tǒng)的運(yùn)行情況，軟件平臺共提示警告信息28條，報警信息12 條。維修技術(shù)人員依據(jù)軟件平臺提示信息，結(jié)合故障現(xiàn)象和圖紙，能夠快速準(zhǔn)確地定位故障點(diǎn)并進(jìn)行排除，平均維修時間＜2 h。按照載人離心機(jī)每工作日運(yùn)行4 h 統(tǒng)計(jì)，平均無故障時間＞30 h，滿足載人離心機(jī)安全防護(hù)系統(tǒng)可靠性指標(biāo)設(shè)計(jì)要求。

6 結(jié)語

載人離心機(jī)是航空航天領(lǐng)域的特種醫(yī)療裝備，在高載荷下運(yùn)轉(zhuǎn)，承擔(dān)特殊人群的訓(xùn)練任務(wù)，因此其安全防護(hù)系統(tǒng)需能夠全面保障設(shè)備和人員安全。本研究根據(jù)多自由度載人離心機(jī)的安全防護(hù)需求，設(shè)計(jì)了一套基于西門子S7-400 PLC 和ET200M 遠(yuǎn)程I/O 模塊的分布式主從防護(hù)系統(tǒng)，能夠?qū)崿F(xiàn)對載人離心機(jī)狀態(tài)參數(shù)的實(shí)時監(jiān)控、報警推送和應(yīng)急處理等功能，運(yùn)維管理人員可通過上位機(jī)軟件平臺實(shí)時掌握設(shè)備狀態(tài)，及時定位報警點(diǎn)并進(jìn)行維護(hù)，提高了故障的應(yīng)急處理能力。測試結(jié)果表明，本系統(tǒng)能夠滿足載人離心機(jī)運(yùn)行和維護(hù)的多級安全監(jiān)控需求，平臺監(jiān)控范圍全面、監(jiān)控顆粒度高、報警收斂性強(qiáng)，解決了載人離心機(jī)安全信號種類多、位置分散、傳輸距離長所帶來的難以整合的問題。在使用過程中也發(fā)現(xiàn)，本系統(tǒng)軟件平臺在界面友好性、人機(jī)工效設(shè)計(jì)方面仍有不足，將在后續(xù)工作中逐步完善。