高可靠待發段地面逃逸指揮控制系統設計及關鍵技術研究

彭 越，容 易，王海濤，徐 洋，王子瑜

（北京宇航系統工程研究所，北京，100076）

高可靠待發段地面逃逸指揮控制系統設計及關鍵技術研究

彭 越，容 易，王海濤，徐 洋，王子瑜

（北京宇航系統工程研究所，北京，100076）

在載人航天任務中，為確保在運載火箭待發段出現危及航天員生命安全的緊急情況時能可靠、迅速地實現航天員的逃逸救生，一般采用待發段地面逃逸指揮控制系統承擔待發段地面逃逸輔助決策、地面逃逸指令生成和發送的任務。提出一種基于雙冗余架構的高可靠待發段逃逸指揮控制系統設計方案，集成了冗余供配電控制、冗余網絡通信和安全控制以及遠程測控等功能，系統設計均突出高可靠性、安全性、人機工學設計及國產化設計，可滿足載人航天待發段逃逸救生的需求。

載人航天；待發段逃逸；冗余設計

0 引 言

為了確保航天員生命安全，載人航天任務在待發段、上升段、在軌段和返回段等不同階段中發生嚴重故障時開展應急逃逸救生任務[1]。其中，待發段指運載火箭發射前航天員進艙到運載火箭起飛（含緊急關機）的階段。運載火箭待發段過程一般針對火箭傾倒[1]、推進劑泄漏[2]、著火[3]等多種故障模式實施航天員應急逃逸救生，確保能夠在待發段出現危及航天員生命安全的緊急情況時可靠、迅速地實現航天員的逃逸救生。待發段地面逃逸指揮控制系統一般在載人航天任務中承擔待發段地面逃逸輔助決策、地面逃逸指令生成和發送的任務，是承擔待發段逃逸救生任務的核心系統之一[4～6]。1983年9月26日，蘇聯發射聯盟T10A載人飛船時，運載火箭由于推進劑閥門失靈在發射臺上爆炸，由待發段地面逃逸指揮控制系統發出逃逸指令使飛船成功脫離危險區域，挽救了航天員的生命。

本文提出一種基于雙冗余架構的高可靠待發段逃逸指揮控制系統設計方案，集成了自動供配電控制、自動流程控制、冗余網絡通信和安全控制以及遠程測控等功能，從可靠性、安全性、人機工學及國產化等方面進行改進，可滿足載人航天待發段逃逸救生任務的需求。

1 待發段逃逸控制系統方案設計

1.1 總體方案

待發段逃逸指揮控制系統在運載火箭待發段將根據飛船、火箭等外系統發送到待發段逃逸指揮控制系統的“允許逃逸”、“逃逸請求”等信號，同時結合發射場系統提供的有關地勤系統信息，作出是否逃逸的判決。當需要逃逸時，由待發段逃逸指揮控制系統進行逃逸約束條件的判斷，當滿足約束條件時向火箭系統逃逸控制設備發送逃逸指令。

為了提高待發段逃逸救生任務的可靠性和安全性，本文提出一種基于雙冗余架構的高可靠待發段逃逸指揮控制系統設計方案，系統組成如圖1所示。

待發段地面逃逸控制系統由控制計算機（主、從）、虛擬顯示計算機、控制組合、供電電源、網絡交換機（主、從）、防火墻（主、從）等組成。其中控制計算機（主、從）作為待發段逃逸控制信號處理的核心設備，主機、副機互為冗余備份，其負責與外系統網絡接口通信、系統內信息的接收、處理和轉發、系統對時等功能。虛擬顯示計算機接收控制計算機發送的全系統運行狀態，并進行顯示?？刂平M合由雙冗余PLC設備組成，負責接收控制計算機的指令和控制面板的指令，進行條件判斷后完成有線逃逸指令輸出，完成與火箭系統逃逸控制設備的硬件接口通信，并進行電源信號采集?？刂泼姘遑撠煵僮魅藛T在網絡通信異常的情況下進行手動控制。供電電源負責向控制組合提供外部直流供電，并可通過網絡進行控制和測量。網絡交換機（主、從）負責系統內各設備間的網絡通信，以及負責與外系統的網絡通信。防火墻（主、從）負責檢查和過濾本系統與外系統的網絡通信，確保網絡通信的信息安全。

1.2 工作流程

控制計算機（主、從）通過網絡交換機和防火墻與外系統進行信息交互，向控制組合通過網絡交換機發送飛船允許逃逸、火箭允許逃逸及發射場允許逃逸指令等指令狀態，向虛擬顯示計算機發送系統工作狀態；控制組合接收供電電源的直流供電輸入并采集電源狀態，并向供電電源發送直流輸出控制指令；控制組合接收控制計算機（主、從）或控制面板發出的逃逸指令、發射/測試狀態選擇及電源直流輸出指令，通過直連電纜向火箭系統逃逸控制設備發送有線逃逸指令并采集其工作狀態，并通過網絡交換機向控制計算機（主、從）發送火箭系統反饋的逃逸狀態信息。交換機（主）與交換機（從）通過互聯網線進行冗余狀態同步，防火墻（主）與防火墻（從）通過互聯網線進行冗余狀態同步。待發段逃逸指揮控制系統工作信息流如圖2所示。

2 關鍵技術設計

2.1 冗余網絡架構設計

待發段逃逸指揮控制系統采用以太網進行設備間及與外系統的數據通信，網絡設備主要包括：計算機、網絡交換機、防火墻等設備，為提高通信鏈路的可靠性，通信網絡均采用雙冗余硬件通信鏈路，當主鏈路發生一度故障，都會冗余切換至備份鏈路，確保網絡通信正常。

控制計算機（主機、副機）、虛擬顯示計算機均使用雙網卡分別連接主、從交換機進行網絡通信，計算機雙網卡進行交換器容錯綁定；交換機與外系統通信通過主、從防火墻，從交換機之間采用虛擬路由冗余協議（Virtual Router Redundant Protocol，VRRP），冗余防火墻之間采用心跳同步，交換機與防火墻之間采用口字形連接關系。正常狀態下主通信鏈路為設備主網卡—主交換機—主防火墻。

控制計算機正常工作狀態下和故障狀態下系統網絡信息流如圖3～6所示。

當系統正常工作時，網絡信息流鏈路為計算機主網卡—主交換機—主防火墻；當計算機主網卡發生故障或主網卡與主交換機之間的鏈路發生故障時，計算機主、從網卡自動切換，交換機不切換，網絡信息流鏈路切換為計算機從網卡—從交換機—主交換機—主防火墻；當主交換機發生故障時，主、從交換機切換，計算機主網卡檢測到鏈路故障后進行主、從網卡自動切換，主交換機通過鏈路數據監測或端口數據監聽進行自動主、從網卡切換，網絡信息流鏈路切換為計算機從網卡—從交換機—從防火墻；當主防火墻發生故障或主防火墻與主交換機之間或外系統的鏈路發生故障時，主防火墻可通過端口數據監聽進行自動主、從防火墻切換，交換機不切換，網絡信息流鏈路切換為計算機主網卡—主交換機—從交換機—從防火墻。

待發段逃逸指揮控制系統選用的防火墻通過互聯心跳接口支持雙機熱備份工作，通過鏈路數據和IP檢測進行自動故障切換，經測試設備故障切換后數據傳輸恢復時間小于1 s。系統選用的主、從交換機通過互聯網線進行冗余狀態同步，支持VRRP熱備冗余配置協議，經測試交換機故障切換后數據傳輸恢復時間小于3 s。

2.2 冗余供配電設計

供電電源為控制組合輸出提供直流 28 V外部供電，采用雙電源熱備冗余工作，2臺直流穩壓電源互為熱備份，主備電源輸出端通過轉接盒設置正向二極管防止電流倒灌，防止電源短路和斷路失效模式。交流輸入由手動開關進行控制，供電電源的直流輸出由控制組合進行控制，電源直流輸出電壓由控制組合進行采集。供配電工作原理如圖7所示。

2.3 可靠性設計及評估

待發段逃逸指揮控制系統中涉及到信息傳遞和逃逸指令傳輸鏈路中的核心設備均采用冗余設計，如控制計算機、網絡交換機、防火墻、控制組合設備、供電電源均采用雙機熱備份的方式提高其可靠性，待發段逃逸指揮控制系統與飛船、火箭、發射場系統以及測控系統等外系統以及系統間的網絡通信均保證2條通信鏈路，以提高信息傳輸的可靠性。

為了驗證網絡冗余設計的正確性，在不同故障狀態下進行了全系統網絡冗余切換試驗測試，分別測試：a）控制計算機及虛擬顯示計算機在斷一路網線狀態下，驗證軟件的路由鏈路切換功能；b）控制組合在斷一路網線狀態下，系統功能的正確性；c）關閉一個交換機供電狀態下，系統功能的正確性；d）網絡由故障狀態恢復至正常狀態下，系統功能恢復的正確性。經試驗驗證，在不同故障狀態下全系統冗余切換功能、性能均滿足要求。

與逃逸指令發出相關的信號均采用冗余設計，控制面板送入控制組合的信號為3路硬件冗余采集，內部PLC程序進行軟件三取二判斷，并采用時間濾波，防止誤指令輸入；控制計算機通過網絡發送的火箭允許逃逸、飛船允許逃逸和地勤允許逃逸信號采用時間濾波，PLC設備1 s內連續3次有效接收，防止誤指令輸入；控制組合輸出逃逸指令采用繼電器雙觸點串并聯冗余輸出；網絡設備均采用雙冗余熱備份，支持故障狀態下的自動切換；外部供電電源采用主、從熱備份工作；所有線路連接均為雙點雙線。

控制面板上重要開關，如解鎖、逃逸指令，均采用雙開關備份，且每個開關雙觸點并聯輸出。

待發段逃逸指揮控制系統可靠性如圖8所示。

系統可靠性計算公式如下：

2.4 防誤操作設計

待發段逃逸指揮控制系統中針對防誤操作開展針對性設計工作?？刂平M合PLC設備通過內部程序實現邏輯連鎖。對面板輸入開關量指令信號采用3路硬件冗余采集，內部PLC程序進行軟件三取二判斷，防止干擾信號引起的誤動作。有線逃逸指令采用繼電器觸點串聯輸出，減少觸點粘連引起的誤指令輸出。

控制面板的按鈕開關采用嵌入式面板開關，開關按鍵動作力大防止誤動作，并采用不同的醒目顏色進行區分，外加保護蓋，確保保障面板操作可靠性?？刂泼姘迳显O置鑰匙型工作開關，當開關關閉時面板按鍵無法發出指令。

控制組合 PLC設備的嵌入式軟件增強可靠性設計，從指令采集和指令輸出環節進行濾波和冗余判斷設計，在PLC設備啟動時采集到逃逸相關指令時不進行處理并進行提示，防止控制面板開關使用后忘記恢復造成誤動作。

2.5 人機工學設計

除顯示器、鍵盤鼠標及控制面板外，待發段逃逸控制系統全部設備均可安裝在標準控制臺體內，全系統共占用3個標準工作臺位置，其中控制計算機（主）、控制計算機（從）和虛擬顯示計算機屏幕各使用1個工作臺位置，控制面板安裝在虛擬顯示計算機工作臺位置?？刂婆_外形尺寸如圖9所示?？刂婆_面板布局如圖10所示。

控制面板設計充分考慮到操作者的使用習慣和操作可靠性，并將試驗流程和連鎖控制邏輯與面板按鈕、開關布局進行綜合設計，同時考慮到快速安裝和維修。

控制面板設計及布局如圖11所示，其主要特點如下：

a）控制面板通過螺釘安裝于控制臺臺體上表面安裝孔內；

b）控制開關、按鈕均設置指示燈，重要按鈕設置保護蓋；

c）設置主、從電源直流輸出開關及指示燈，各設備電源開關及指示燈，設置鑰匙式面板工作開關；

d）各開關及按鈕合理布局，相鄰按鈕間距較大并有不同指示燈顏色及文字標示區別，防止誤操作；

e）面板上按鈕、開關從左至右按照測試流程布置，主要按鈕的邏輯關系在面板上利用文字、圖例及指示燈進行提示，確保操作者快速了解工作狀態；

f）控制面板使用螺釘通過安裝孔與控制臺臺體連接固定，便于安裝、維修及更換。

2.6 國產化設計

待發段逃逸指揮控制系統中交換機、防火墻、計算機設備、控制組合、B碼時統設備及地面電源設備均采用國產化設備，確保全部設備的安全性自主可控。計算機選用國產中標麒麟操作系統，應用軟件均采用QT跨平臺開發工具。網絡設備、電源設備、計算機設備及操作系統均采用國產化產品，在運載火箭型號應用尚屬首次，并針對國產操作系統自主研發的國產設備驅動軟件和應用軟件進行了大量的開發和測試工作，網絡安全設備和網絡交換設備進行了充分考核，地面電源系統及控制組合設備均進行了補充環境試驗的考核。

3 結 論

待發段地面逃逸指揮控制系統是載人航天任務中承擔待發段逃逸救生任務的重要系統。本文提出了一種基于雙冗余架構的高可靠待發段逃逸指揮控制系統設計方案，集成了供配電控制、自動流程控制、冗余網絡通信和安全控制以及遠程測控等功能。通過系統級冗余設計、網絡通信冗余設計、防誤操作設計、連鎖控制邏輯設計等關鍵技術，突出高可靠性和安全性，確保待發段不誤逃、不漏逃；產品充分考慮到操作者的使用習慣和操作可靠性，通過人機工學設計將試驗流程和連鎖控制邏輯與面板布置進行綜合設計；核心設備及軟件均采用國產化產品，確保產品自主可控。高可靠待發段逃逸指揮控制系統可滿足載人航天待發段逃逸救生任務的需求，有助于提升后續待發段逃逸救生任務的工作質量和測試效率。

[1] 王向陽. 國外載人航天器的應急救生[J]. 中國航天, 1993(8): 36-40.

[2] 卞韓城, 朱偉濤. 上升段陸上航天員應急搜救模式改進探討[J]. 載人航天, 2005(1): 44-49.

[3] 李波, 陳曉斌, 李國強. 待發段火箭傾倒實時監測技術研究與實現[J].宇航學報, 2004(3): 330-333.

[4] 賈瑛, 趙后隨. 液體推進劑泄漏應急處理[J]. 上海航天, 2003(1): 60-62.

[5] 張晨光, 孫沂昆, 劉巧珍, 等. 載人火箭信息傳輸網絡系統設計及關鍵技術研究[J]. 載人航天, 2015(2): 153-157.

[6] 李長海. 待發段航天員逃逸救生決策指揮問題探討[J]. 指揮技術學院學報, 2001(3): 68-71.

[7] 張智. CZ-2F火箭逃逸系統[J]. 導彈與航天運載技術, 2004(1): 20-27.

[8] John H, Ashely H, Bernard B. Launch vehicle failure dynamics and abort triggering analysis[C]. Portland, Oregon: AIAA Guidance, Navigation, and Control Conference, 2011.

Research on Key Technology of Pre-launch Escape Command and Control System

Peng Yue, Rong Yi, Wang Hai-tao, Xu Yang, Wang Zi-yu
(Beijing Institute of Astronautical Systems Engineering, Beijing, 100076)

In manned space engineering, pre-launch escape command and control system is required to make the assistant decision and generate the command of pre-launch escape, which is responsible for keeping astronaut safety in emergency. In this paper, a high reliable pre-launch escape command and control system scheme based on dual redundancy architecture is proposed, which contains power control, automatic process control, redundant network communication, security control and remote test function. The system design focuses on high reliability, high safety, ergonomics and equipment localization, and will meet the requirement of manned space program in the future.

Manned space; Pre-launch escape; Redundant design

V445

A

1004-7182(2017)02-0029-06

10.7654/j.issn.1004-7182.20170207

2016-05-03；

2016-07-01；數字出版時間：2017-04-10；數字出版網址：www.cnki.net

彭 越（1983-），男，博士，高級工程師，主要研究方向為運載火箭電氣系統總體設計