PLC在發(fā)射控制系統(tǒng)中的可靠性應(yīng)用研究

連 盟 張雅順 張煥鑫 張 鵬

北京航天自動(dòng)控制研究所，北京100854

作為運(yùn)載火箭的主要組成部分之一，地面測(cè)試發(fā)射控制系統(tǒng)在射前按照規(guī)定流程對(duì)箭上控制系統(tǒng)進(jìn)行供配電操作，并完成設(shè)備功能檢查與火箭飛行諸元裝訂、控制發(fā)動(dòng)機(jī)點(diǎn)火與箭體起飛等重要功能［1］。與箭上控制系統(tǒng)單次設(shè)計(jì)單次使用工作模式不同，運(yùn)載火箭地面測(cè)發(fā)控系統(tǒng)設(shè)計(jì)使用壽命年限長(zhǎng)，長(zhǎng)時(shí)間存儲(chǔ)將顯著降低系統(tǒng)工作可靠性。同時(shí)一套地面測(cè)發(fā)控設(shè)備通常會(huì)連續(xù)執(zhí)行多次靶場(chǎng)發(fā)射任務(wù)，特別是隨著近年來(lái)國(guó)內(nèi)各現(xiàn)役型號(hào)運(yùn)載火箭高密度發(fā)射模式逐漸常態(tài)化［2］，同樣對(duì)測(cè)發(fā)控系統(tǒng)可靠性設(shè)計(jì)提出了更高的要求。

隨著控制系統(tǒng)對(duì)測(cè)發(fā)控功能模塊化、高靈活性、遠(yuǎn)距離控制方式等客觀要求，使得具備多種功能模塊和開放接口協(xié)議的PLC 技術(shù)在運(yùn)載火箭地面測(cè)發(fā)控系統(tǒng)中得到了越來(lái)越廣泛的應(yīng)用。針對(duì)不同的PLC 冗余系統(tǒng)中對(duì)實(shí)際使用的不同影響，綜合考慮選擇最優(yōu)冗余方案以提高系統(tǒng)可靠性，是保障運(yùn)載火箭持續(xù)發(fā)射成功的關(guān)鍵，具有十分重要的理論和工程意義［3］。

PLC 在控制系統(tǒng)中的冗余設(shè)計(jì)一般分為處理器冗余、通訊冗余、I/O 冗余和電源冗余［4］。目前，在役及在研的運(yùn)載火箭型號(hào)中多數(shù)采用的是2 套整機(jī)PLC 并聯(lián)的方案。這樣看似做到了以上所有功能模塊的冗余，但由于單套設(shè)備內(nèi)部為串聯(lián)結(jié)構(gòu)，使得設(shè)備中只要有一個(gè)功能模塊發(fā)生故障，單套設(shè)備就會(huì)失效，造成成本大幅增加而可靠性并沒有顯著增強(qiáng)的結(jié)果。本文基于現(xiàn)有運(yùn)載火箭PLC 并聯(lián)發(fā)控方式的特點(diǎn)，提出在實(shí)際工程應(yīng)用過(guò)程中存在的3個(gè)問(wèn)題，針對(duì)問(wèn)題提出3 種替代解決方案，并對(duì)其進(jìn)行可靠性、系統(tǒng)平均壽命和系統(tǒng)成本的評(píng)估與分析。

1 并聯(lián)冗余系統(tǒng)架構(gòu)

并聯(lián)系統(tǒng)是最簡(jiǎn)單的冗余系統(tǒng)，也是現(xiàn)在運(yùn)載火箭發(fā)射控制系統(tǒng)中最常采用的一種冗余架構(gòu)，它耗用資源代價(jià)來(lái)?yè)Q取系統(tǒng)可靠性一定程度的提高，組成系統(tǒng)的所有部件都發(fā)生故障時(shí)，整個(gè)系統(tǒng)才失效。其可靠度計(jì)算數(shù)學(xué)模型為

式中，Rs(t)為整個(gè)系統(tǒng)的可靠度;Ri(t)為各個(gè)組成部分的可靠度。

在并聯(lián)冗余系統(tǒng)架構(gòu)的測(cè)試發(fā)射控制系統(tǒng)中，PLC 采用了完全獨(dú)立的雙機(jī)并聯(lián)冗余架構(gòu)。后端和前端各配置2 套PLC，2 套PLC 的前后端分別對(duì)應(yīng)映射，其架構(gòu)見圖1。

圖1 并聯(lián)系統(tǒng)模型

針對(duì)PLC 并聯(lián)冗余系統(tǒng)，本文提出此系統(tǒng)存在的3個(gè)主要問(wèn)題:

1)PLC 觸點(diǎn)粘連問(wèn)題:PLC 發(fā)射控制的雙機(jī)并聯(lián)冗余架構(gòu)相比單機(jī)架構(gòu)的防誤斷可靠度有明顯提高，即對(duì)每一路的控制信號(hào)都是保證接通的可靠性更高。但對(duì)于控制信號(hào)的斷開，一旦有一路PLC 觸點(diǎn)發(fā)生粘連將導(dǎo)致接通的信號(hào)無(wú)法斷開，造成測(cè)發(fā)控系統(tǒng)防誤通能力的降低;

2)CPU 邏輯問(wèn)題:并聯(lián)冗余架構(gòu)的兩路PLC 都有其各自的CPU 進(jìn)行運(yùn)算，當(dāng)其中某一個(gè)CPU 運(yùn)行狀態(tài)發(fā)生錯(cuò)誤，會(huì)導(dǎo)致兩路PLC 最終的輸出結(jié)果不同，這就需要系統(tǒng)的其他設(shè)備對(duì)此有一個(gè)判斷機(jī)制，從而采取相應(yīng)措施;

3)時(shí)間同步性問(wèn)題:在比較極端的情況下，由于并聯(lián)的2 套PLC 在時(shí)間同步性上沒有互聯(lián)，即使2 套PLC 的軟件程序完全一樣，在程序掃描周期很短的情況下，也有可能會(huì)使2 套PLC 的運(yùn)行不同步，甚至?xí)蠵LC 掃描的程序行差距很大的情況出現(xiàn)。如圖2 所示，假如第1 套PLC 運(yùn)行程序的時(shí)間稍稍提前于第2 套PLC，導(dǎo)致第1 套PLC 已經(jīng)在程序中經(jīng)過(guò)邏輯2 和3 后走到了邏輯1，而邏輯1 會(huì)斷開之前的邏輯2 和3，而此時(shí)第2 套PLC 還沒有走到邏輯2，邏輯2 和3 被斷開后最終邏輯1 也不可能再觸發(fā)到了，這樣的結(jié)果有可能導(dǎo)致第2 套PLC 后面的程序都運(yùn)行不下去，造成推遲發(fā)射等嚴(yán)重后果。為了避免這樣的事故，應(yīng)當(dāng)對(duì)PLC 的測(cè)發(fā)控程序運(yùn)行進(jìn)行嚴(yán)格考核，測(cè)算出實(shí)際程序掃描并執(zhí)行完畢后的周期，確保此周期小于觸發(fā)該信號(hào)繼電器觸點(diǎn)的時(shí)間。

針對(duì)以上3個(gè)問(wèn)題，本文設(shè)計(jì)了以下3 種冗余架構(gòu)來(lái)提高測(cè)發(fā)控系統(tǒng)的可靠性。

圖2 雙機(jī)并聯(lián)冗余架構(gòu)的時(shí)間同步性問(wèn)題

2 串并聯(lián)和并串聯(lián)冗余架構(gòu)

為了解決PLC 觸點(diǎn)粘連，改良并聯(lián)冗余架構(gòu)在防誤通能力上的不足，并聯(lián)冗余架構(gòu)可以改進(jìn)為串并聯(lián)冗余架構(gòu)或并串聯(lián)冗余架構(gòu)。

串并電路在各器件可靠度相同的情況下，其可靠度計(jì)算數(shù)學(xué)模型為:

并串電路在各器件可靠度相同的情況下，其可靠度計(jì)算的數(shù)學(xué)模型為。

式中:Rs(t)為整個(gè)電路的可靠度;R(t)為電路中一個(gè)器件的可靠度。

在實(shí)際的運(yùn)載火箭發(fā)射控制系統(tǒng)中利用現(xiàn)有的雙機(jī)并聯(lián)模式，每一套后端PLC 的輸入輸出模塊各使用2 組繼電器觸點(diǎn)，形成單套PLC 電路中的并串混聯(lián)，然后2 套PLC 再并聯(lián)，組成在后端輸入輸出4觸點(diǎn)的形式，繼而防止由于某一個(gè)PLC 繼電器觸點(diǎn)粘連而導(dǎo)致一整套PLC 不能正常工作的情況發(fā)生，提高控制系統(tǒng)信號(hào)收發(fā)的可靠性。在關(guān)鍵信號(hào)的處理上，前端的2 套PLC 也使用4 觸點(diǎn)形式，其中單套PLC 中的2 觸點(diǎn)為串聯(lián)結(jié)構(gòu)，而2 套PLC 的輸出單元形成并串聯(lián)結(jié)構(gòu)，這樣能夠做到前端信號(hào)既不誤發(fā)也不誤斷，從而大幅提升測(cè)發(fā)控系統(tǒng)的可靠性，而在系統(tǒng)成本上僅僅通過(guò)添加幾個(gè)PLC 的輸入輸出模塊，或者僅僅使用PLC 上留有余量的觸點(diǎn)即可做到，具體關(guān)系如圖3 所示。

盡管串并聯(lián)冗余架構(gòu)或者并串聯(lián)冗余架構(gòu)能夠解決并聯(lián)冗余系統(tǒng)的防接通能力，但2 套PLC 的CPU 運(yùn)算狀態(tài)不同和時(shí)間同步性上的不一致仍然無(wú)法解決，而貯備冗余架構(gòu)可以解決以上問(wèn)題。

3 貯備冗余架構(gòu)

貯備冗余系統(tǒng)一般有冷貯備(無(wú)載貯備)、熱貯備(滿載貯備)和所謂溫貯備(輕載貯備)之分［5］。在簡(jiǎn)單的二單元貯備系統(tǒng)中，設(shè)工作部件失效率為常數(shù)λ1，貯備部件的貯備失效率為常數(shù)η2，轉(zhuǎn)入工作后的失效率為λ2，當(dāng)轉(zhuǎn)換開關(guān)的失效率為λSW，整個(gè)貯備系統(tǒng)可靠性為:

系統(tǒng)平均壽命:

當(dāng)η2= λ2，為熱貯備系統(tǒng);當(dāng)η2= 0，為冷貯備系統(tǒng);當(dāng)0 ＜η2＜λ2，為溫貯備系統(tǒng)。

圖3 關(guān)鍵信號(hào)的前端并串聯(lián)PLC 發(fā)控冗余架構(gòu)

在運(yùn)載火箭的發(fā)射控制系統(tǒng)中，由于冷備份對(duì)于轉(zhuǎn)換開關(guān)的可靠性要求很高，且需要人為進(jìn)行切換，使測(cè)發(fā)控流程無(wú)法在PLC 故障的情況下無(wú)縫隙的繼續(xù)進(jìn)行，對(duì)火箭發(fā)射造成一定程度的影響，所以在運(yùn)載火箭的發(fā)射控制系統(tǒng)中應(yīng)該選用熱貯備冗余系統(tǒng)，這種架構(gòu)的好處在于同一時(shí)間只有一個(gè)CPU在工作，而另一個(gè)CPU 處于熱備份狀態(tài)，與主CPU運(yùn)行相同的程序，一旦主CPU 發(fā)生故障，熱備份的CPU 即無(wú)接縫的實(shí)現(xiàn)接管，確保測(cè)試發(fā)射控制流程的繼續(xù)進(jìn)行，避免了并聯(lián)冗余系統(tǒng)2個(gè)CPU 運(yùn)行狀態(tài)不一致造成系統(tǒng)混亂的可能，也能夠防止2 套PLC 出現(xiàn)時(shí)間不同步，最大程度的提升測(cè)發(fā)控系統(tǒng)的可靠性。熱備冗余PLC 位于圖4 的中心，而位于圖4 兩側(cè)的輸入輸出PLC(簡(jiǎn)稱I/O PLC)擔(dān)負(fù)起接受后端指令以及控制前端指令輸出的任務(wù)，其架構(gòu)與一般并聯(lián)PLC 冗余系統(tǒng)相同。

在成本上，熱備冗余的PLC 系統(tǒng)需要增加具有熱備冗余功能的CPU 模塊以及內(nèi)存交換模塊，剩下部分可以完全沿用并聯(lián)冗余PLC 發(fā)控系統(tǒng)，對(duì)于系統(tǒng)的升級(jí)改造具有極大的便利性。

雖然熱備冗余系統(tǒng)可以解決并聯(lián)冗余系統(tǒng)存在的幾個(gè)問(wèn)題，但輸入輸出仍然是雙機(jī)并聯(lián)的形式，為了提高可靠性，設(shè)計(jì)了輸入輸出單元具有3 取2 表決機(jī)制的熱備冗余系統(tǒng)架構(gòu)。

4 表決機(jī)制冗余架構(gòu)

在航天飛行器電路設(shè)計(jì)中，常用的3 取2 表決電路冗余設(shè)計(jì)模型示意圖如5 所示。

圖5 3 取2 表決電路的設(shè)計(jì)模式

圖5 是最常見的3 取2 表決電路設(shè)計(jì)模式，使用6個(gè)元器件組成，每一路的2個(gè)元器件分別由2個(gè)控制器控制，整個(gè)電路既可以防一度誤判，又可以在一個(gè)控制器失效的情況下不影響電路功能，同時(shí)通過(guò)并聯(lián)提高了電路的可靠度。在各個(gè)元器件可靠度相同的情況下，其可靠度計(jì)算的數(shù)學(xué)模型為

式中，Rs(t)為整個(gè)電路的可靠度;R(t)為電路中一個(gè)器件的可靠度。

根據(jù)3 取2 表決電路的思路，以熱貯備冗余系統(tǒng)作為基礎(chǔ)，建立起一套3 取2 表決機(jī)制的測(cè)發(fā)控系統(tǒng)架構(gòu)。系統(tǒng)后端設(shè)置3 套I/O PLC 作為3 取2的輸入輸出基礎(chǔ)，另外在后端放置一套具備熱備冗余功能的PLC 作為主副切換的邏輯運(yùn)算核心。具體架構(gòu)詳見圖6 所示。

圖6 3 取2 表決系統(tǒng)PLC 發(fā)控系統(tǒng)冗余架構(gòu)

信號(hào)通過(guò)自動(dòng)發(fā)控流程同時(shí)輸入到后端3 套I/O PLC 的6個(gè)輸入單元中，再將輸入變量分別映射到熱備冗余PLC 的主副機(jī)中，其中主PLC 以“激活”方式控制整個(gè)發(fā)控系統(tǒng)的工作，另一套作為“備份”方式與“激活”方式的PLC 保持狀態(tài)同步，在CPU 編程邏輯中利用從后端映射而來(lái)的6個(gè)輸入變量組成形如圖7 的3 取2 程序邏輯，并接通4個(gè)輸出變量，再將其映射到前端I/O PLC 中再次組成一道輸出的并串聯(lián)處理，最終輸出結(jié)果，如圖7 所示。

圖7 三取二程序邏輯

這種3 取2 的冗余系統(tǒng)架構(gòu)最大程度的保證了控制指令的接收，而熱備冗余的CPU 構(gòu)架能夠保證邏輯運(yùn)算處理上的獨(dú)立性、同步性，再加上前端PLC的雙機(jī)并串聯(lián)處理，確?？刂菩盘?hào)既不誤發(fā)也不誤斷，在整體上使PLC 發(fā)控系統(tǒng)達(dá)到了更高的可靠性。

在成本上，3 取2 表決系統(tǒng)更加復(fù)雜，用到的PLC 模塊數(shù)量也更多，但與單純的熱備冗余系統(tǒng)相比，系統(tǒng)只是在后端增加了一套I/O PLC，在可靠性提升的同時(shí)成本并沒有明顯的增加。

5 各冗余系統(tǒng)可靠度、壽命比較

5.1 各冗余系統(tǒng)的可靠度比較

可靠度是隨時(shí)間及失效率變化的函數(shù)，以機(jī)電設(shè)備和大型復(fù)雜系統(tǒng)服從的指數(shù)分布為例，選擇比較的冗余系統(tǒng)有單機(jī)系統(tǒng)、并聯(lián)系統(tǒng)、3 取2 表決系統(tǒng)、串并聯(lián)系統(tǒng)和并串聯(lián)系統(tǒng)。以λt為橫坐標(biāo)，可靠度為縱坐標(biāo)，繪制了可靠度變化曲線，如圖8 所示。

圖8 幾種冗余電路可靠度隨λt 的變化趨勢(shì)

由圖8 可以看出各個(gè)冗余系統(tǒng)的可靠度變化趨勢(shì)，整體來(lái)看可靠度最高的是并聯(lián)系統(tǒng)，其次依次從高至低分別是3 取2 表決系統(tǒng)、并串聯(lián)系統(tǒng)、串并聯(lián)系統(tǒng)和單機(jī)系統(tǒng)。隨著時(shí)間的推移，串并聯(lián)系統(tǒng)在λt 大于0.49 時(shí)可靠度小于單機(jī)系統(tǒng)，表明串并聯(lián)系統(tǒng)只有任務(wù)時(shí)間小于0.49 倍的平均無(wú)故障時(shí)間時(shí)才具有實(shí)用價(jià)值，如果任務(wù)時(shí)間過(guò)長(zhǎng)，可靠度下降速率反而加快。所以系統(tǒng)復(fù)雜度的提高，并沒有帶來(lái)系統(tǒng)可靠度的有效提高。

由于運(yùn)載火箭發(fā)射任務(wù)的設(shè)備工作時(shí)間一般都不長(zhǎng)，所以對(duì)各種冗余系統(tǒng)的可靠性分析應(yīng)更加側(cè)重于在發(fā)射任務(wù)的時(shí)間區(qū)間內(nèi)進(jìn)行。將時(shí)間軸細(xì)化到0.2/λ 的范圍內(nèi)，取橫軸單位為0.02/λ，觀測(cè)到實(shí)際上3 取2 表決系統(tǒng)在的初始任務(wù)時(shí)間期間內(nèi)可靠性超越了并聯(lián)冗余系統(tǒng)，具有最高的可靠性。以發(fā)射場(chǎng)單機(jī)設(shè)備平均無(wú)故障時(shí)間2000h 計(jì)算，0.175/λ 相當(dāng)于350h，這個(gè)時(shí)間是遠(yuǎn)遠(yuǎn)大于發(fā)射任務(wù)的時(shí)間區(qū)間的，因此也說(shuō)明在實(shí)際的發(fā)射任務(wù)內(nèi)采用3 取2 表決的冗余方式具有最佳的可靠性，如圖9 所示。

圖9 發(fā)射任務(wù)時(shí)間區(qū)間內(nèi)的可靠度曲線

5.2 各種冗余系統(tǒng)的壽命比較

根據(jù)系統(tǒng)平均壽命公式:

可以計(jì)算出各個(gè)冗余系統(tǒng)的平均壽命見表1。

表1 各冗余系統(tǒng)平均壽命

各冗余系統(tǒng)平均壽命由高到低依次是:并聯(lián)＞并串聯(lián)＞單機(jī)＞串并聯(lián)＞3 取2 表決，如圖10 所示。

圖10 幾種冗余方式的平均壽命分布

5.3 各冗余系統(tǒng)的成本比較

以一般滿足系統(tǒng)需求的PLC 配置為例，各冗余系統(tǒng)的成本如圖11 所示，并串聯(lián)系統(tǒng)由于可以利用現(xiàn)有PLC 輸入模塊的空點(diǎn)，成本基本沒有增加。而熱備冗余系統(tǒng)雖然可以利用現(xiàn)有并聯(lián)系統(tǒng)的架構(gòu)，但其熱備冗余CPU 等單元模塊的成本較高，因此帶來(lái)了整體成本的上升，較并聯(lián)系統(tǒng)有76. 6%的增長(zhǎng)。3 取2 系統(tǒng)相比熱備冗余系統(tǒng)，只是在后端增加了一套PLC，成本只有13%的增長(zhǎng)。

圖11 幾種冗余方式的成本比較

綜合來(lái)看，對(duì)于接通可靠性較高的場(chǎng)合，并聯(lián)冗余系統(tǒng)平均壽命最高，成本也最低，但會(huì)導(dǎo)致一些重要信號(hào)誤通概率的增加，其次是并串聯(lián)冗余系統(tǒng)。復(fù)雜系統(tǒng)如3 取2 表決系統(tǒng)的平均壽命比單機(jī)平均壽命還要低，但這些系統(tǒng)以犧牲系統(tǒng)平均壽命的代價(jià)來(lái)提高任務(wù)時(shí)間內(nèi)的可靠性，而任務(wù)時(shí)間通常比平均壽命小得多，成本相對(duì)增長(zhǎng)幅度也不大，在實(shí)際使用過(guò)程中也可以避免本文提出的3個(gè)問(wèn)題，因此可以接受這樣的代價(jià)。

6 結(jié)論

從現(xiàn)有運(yùn)載火箭PLC 發(fā)射控制系統(tǒng)存在的問(wèn)題入手，提出了幾種代替并聯(lián)冗余架構(gòu)的解決方案，以可靠度計(jì)算數(shù)學(xué)模型為基礎(chǔ)，對(duì)各種冗余方式進(jìn)行可靠性、系統(tǒng)平均壽命與成本的綜合評(píng)估與分析，找到了在運(yùn)載火箭測(cè)試發(fā)射任務(wù)時(shí)間內(nèi)最有效的可靠性冗余系統(tǒng)架構(gòu)，對(duì)于提高運(yùn)載火箭PLC 發(fā)射控制系統(tǒng)的安全性和可靠性有很大意義。

［1］張學(xué)英，易航，汪洋，等.運(yùn)載火箭測(cè)發(fā)控系統(tǒng)通用化設(shè)計(jì)［J］. 導(dǎo)彈與航天運(yùn)載技術(shù)，2010(4):15-19.(ZHANG Xue Ying，YI Hang，WANG Yang. General Design of Test and Launch Control System of Launch Vehicle［J］. Missiles and Space Vehicles，2010(4):15-19.)

［2］蔡遠(yuǎn)文，同江，姚靜波，等.我國(guó)航天自動(dòng)測(cè)試系統(tǒng)體系結(jié)構(gòu)研究［J］. 裝備學(xué)院學(xué)報(bào)，2012，(12):1-5.(CAI Yuanwen，TONG Jiang，YAO Jingbo. Research on the Architecture of Aerospace Automatic Test System in our Country［J］. Journal of Academy of Equipment，2012，(12):1-5.)

［3］郭江杰，丁芳頤，余力凡，蘇磊.幾種冗余電路的可靠性評(píng)估及其選用方法評(píng)析［C］.第二屆中國(guó)航天質(zhì)量論壇論文集，2008.

［4］趙忠敏.冗余設(shè)計(jì)在PLC 控制系統(tǒng)中的應(yīng)用［J］.機(jī)床電器，2007，(3):42-45. (ZHAO Zhongmin. The Application of Redundancy Design in PLC Control System［J］. Machine Tool Electric Apparaus，2007，(3):42-45.)

［5］胡昌壽，何國(guó)偉.可靠性工程——設(shè)計(jì) 試驗(yàn) 分析 管理［M］.北京:宇航出版社，1988，58-61.