基于冗余PLC低溫加注集散控制系統(tǒng)研究

張雷杰，袁學(xué)飛，徐 浩

基于冗余PLC低溫加注集散控制系統(tǒng)研究

張雷杰，袁學(xué)飛，徐 浩

（北京航天發(fā)射技術(shù)研究所，北京，100076）

低溫加注控制系統(tǒng)作為新一代運載火箭加注系統(tǒng)的重要組成部分，直接影響低溫加注系統(tǒng)工作的連續(xù)性、實時性、可靠性和加注精度。以氧氮加注控制系統(tǒng)為例，介紹了低溫加注集散控制系統(tǒng)的總體方案，并對冗余控制系統(tǒng)的實現(xiàn)方法進(jìn)行了重點研究。該系統(tǒng)采用電源冗余、CPU冗余、通訊網(wǎng)絡(luò)冗余、I/O站冗余、計算機(jī)冗余等技術(shù)，提高了控制系統(tǒng)的可靠性和安全性。

低溫加注；集散控制系統(tǒng)；PLC；冗余

0 引 言

某低溫加注系統(tǒng)承擔(dān)著中國新一代運載火箭液氫、液氧、液氮低溫推進(jìn)劑的加注任務(wù)，低溫加注工作貫穿于火箭發(fā)射的全流程，一直持續(xù)到火箭點火起飛。低溫加注控制系統(tǒng)作為低溫加注系統(tǒng)的重要組成部分，用于完成低溫加注過程中工序控制、單點控制、信號采集、流程顯示等任務(wù)。火箭發(fā)射的關(guān)鍵流程是不可逆的，作為進(jìn)入發(fā)射流程的設(shè)備，低溫加注控制系統(tǒng)必須匹配火箭發(fā)射流程，可靠性、實時性、安全性要求非常高。同時，針對易燃易爆環(huán)境，低溫加注控制系統(tǒng)必須滿足無人值守、遠(yuǎn)程控制的系統(tǒng)要求。

低溫加注控制系統(tǒng)包括氧氮加注控制系統(tǒng)和液氫加注控制系統(tǒng)，以氧氮加注控制系統(tǒng)為例，介紹了低溫加注集散控制系統(tǒng)的總體方案，并對冗余控制系統(tǒng)的實現(xiàn)方法進(jìn)行了重點的研究。該系統(tǒng)采用以冗余PLC為核心的集散控制系統(tǒng)，通過電源、CPU、通訊網(wǎng)絡(luò)、I/O站、計算機(jī)等冗余技術(shù)來實現(xiàn)系統(tǒng)的高可靠性和高安全性[1]。

1 總體方案及系統(tǒng)組成

氧氮加注控制系統(tǒng)總體方案見圖1。氧氮加注控制包括近控設(shè)備和遠(yuǎn)控設(shè)備，近控設(shè)備和遠(yuǎn)控設(shè)備各自設(shè)置一組冗余PLC，遠(yuǎn)端PLC與近端PLC通過PROFIBUS DP光纖冗余環(huán)網(wǎng)實現(xiàn)前后端通訊。氧氮加注控制系統(tǒng)采用三級集散控制模式，現(xiàn)場級包括變送器（溫度、壓力、流量、液位）、電動執(zhí)行機(jī)構(gòu)（截止閥、調(diào)節(jié)閥）、變頻器、液位開關(guān)等；控制級包括近端冗余PLC（含控制器和遠(yuǎn)程I/O站）、DP光電轉(zhuǎn)換模塊、操作面板等；管理級包括遠(yuǎn)端冗余PLC（含控制器）、光電轉(zhuǎn)換模塊、工控機(jī)、操作面板等。

近控設(shè)備包括放置于氧氮庫區(qū)113的庫房控制柜（3臺）、泵控制柜（6臺）、氧氣濃度報警控制器（1臺）和放置于101固定塔的塔架控制柜（1臺）、201固定塔的塔架控制柜（1臺）；遠(yuǎn)控設(shè)備包括放置于測發(fā)指揮中心的加注遠(yuǎn)控臺（2臺）、工控機(jī)（4臺）。

圖1 氧氮加注控制系統(tǒng)總體方案

2 冗余控制系統(tǒng)的實現(xiàn)

氧氮加注控制系統(tǒng)采用西門子冗余PLC為主控制器，實現(xiàn)了電源、CPU、通訊網(wǎng)絡(luò)、遠(yuǎn)程I/O站、計算機(jī)等多種冗余控制技術(shù)的綜合應(yīng)用，極大提高了系統(tǒng)的安全性和可靠性。下面介紹主要冗余設(shè)備的配置及實現(xiàn)方法。

2.1 冗余控制器

冗余控制器包括電源模塊、CPU模塊、以太網(wǎng)模塊、冗余總線模塊、冗余熱備模塊等，核心器件均為相互獨立的模塊化設(shè)計，且以1:1冗余配置分別安裝在兩個獨立的機(jī)架上，實現(xiàn)完全硬件冗余。當(dāng)電源、CPU、以太網(wǎng)、冗余總線、冗余熱備等核心模塊中的任一部分工作異常時，主備系統(tǒng)均可由硬件實現(xiàn)自動切換，避免采用由軟件編程實現(xiàn)主備切換的方式，以保證主備系統(tǒng)無擾動切換控制權(quán)，即發(fā)生故障時所有設(shè)備保持不間斷運行，避免停機(jī)。主備系統(tǒng)的切換時間為 70 ms之內(nèi)，該切換時間是包含電源、CPU、以太網(wǎng)、冗余總線和冗余熱備模塊等所有核心器件全部完成切換的時間[2]。

下面以主CPU側(cè)網(wǎng)卡發(fā)生故障為例，介紹冗余以太網(wǎng)通訊功能的切換過程。圖2為主CPU側(cè)網(wǎng)卡發(fā)生故障前后上位機(jī)與PLC通訊數(shù)據(jù)路由對比圖，其中虛線標(biāo)識為上位機(jī)與主CPU數(shù)據(jù)交互的通訊路由。當(dāng)主CPU側(cè)網(wǎng)卡正常時，冗余PLC通過主CPU側(cè)網(wǎng)卡實現(xiàn)與上位機(jī)計算機(jī)的數(shù)據(jù)通訊；當(dāng)主CPU側(cè)網(wǎng)卡發(fā)生故障時，主備CPU不切換控制權(quán)，主CPU通過備用CPU側(cè)的網(wǎng)卡，經(jīng)由同步模塊、同步電纜實現(xiàn)與上位計算機(jī)的以太網(wǎng)通訊，完成數(shù)據(jù)交互。

需要重點說明的是，只有在主PLC背板故障、主PLC電源故障（或停電）、主PLC本身CPU故障這3種極端工況下，才會進(jìn)行主備CPU的切換，其余工況下不會發(fā)生主備CPU的切換而能保證整個控制系統(tǒng)的功能是完整的[3]。

圖2 主CPU側(cè)網(wǎng)卡發(fā)生故障前后通訊路由對比

2.2 冗余I/O站

冗余I/O站是指兩組配置完全相同的模塊組態(tài)成冗余對使用，包括模塊冗余和通道冗余兩種模式。氧氮加注測控系統(tǒng)采用通道冗余，即模塊上某一通道故障時，只屏蔽該通道，該剩余通道的信號讀取和輸出可正常執(zhí)行。

a）冗余開入。圖3為冗余開入原理。

圖3 冗余開入原理

開入信號經(jīng)過單入雙出數(shù)字量隔離柵后分別接入主模塊和冗余模塊，CPU同時讀取冗余模塊的信號，并根據(jù)模塊有效狀態(tài)，選擇主模塊或冗余模塊的信號進(jìn)行處理。

b）冗余開出。圖4為冗余開出原理。主模塊和冗余模塊同時驅(qū)動雙繼電器，繼電器觸點按照串并聯(lián)方式實現(xiàn)開關(guān)量的冗余輸出[4]。

圖4 冗余開出原理

c）冗余模入。圖5為冗余模入原理。模入信號經(jīng)過單入雙出模擬量隔離柵后分別接入主模塊和冗余模塊，CPU同時讀取2個模塊的信號，而有效的信號被選中，并在CPU中處理[4]。

圖5 冗余模入原理

d）冗余模出。圖6為冗余模出原理。主模塊和冗余模塊同時輸出，每個模塊輸出控制值的50%。當(dāng)某個模塊發(fā)生故障時，互為冗余模塊輸出為控制值的100%。

圖6 冗余模出原理

2.3 網(wǎng)絡(luò)冗余

通過介質(zhì)冗余、重復(fù)設(shè)置組件單元或者重復(fù)設(shè)置所有總線組件來增大通訊系統(tǒng)的可用性，實現(xiàn)網(wǎng)路冗余。網(wǎng)絡(luò)冗余包括以工業(yè)太網(wǎng)冗余和PROFIBUS DP現(xiàn)場總線網(wǎng)絡(luò)冗余。

2.3.1 近端PLC與遠(yuǎn)程I/O

圖7為近端PLC與遠(yuǎn)程I/O站光纖冗余環(huán)網(wǎng)連接示意，近端PLC與遠(yuǎn)程I/O站之間采用PROFIBUS DP通訊。氧氮控制系統(tǒng)在氧氮庫區(qū)113、101固定塔、201固定塔分別設(shè)置一組光電轉(zhuǎn)換模塊，并按照冗余環(huán)網(wǎng)方式連接光纖，光纖閉合模式保證了通訊網(wǎng)絡(luò)的高度安全性。冗余的光纖環(huán)網(wǎng)必須使用雙光纖端口并且是相同型號的光電轉(zhuǎn)換模塊。環(huán)形冗余環(huán)網(wǎng)中單個光電模塊發(fā)生故障時，冗余環(huán)網(wǎng)變成線性連接，不影響通訊功能。故障修復(fù)后，網(wǎng)絡(luò)自動恢復(fù)成環(huán)形冗余結(jié)構(gòu)[2]。

圖7 光纖冗余環(huán)網(wǎng)連接示意

2.3.2 近端PLC與遠(yuǎn)端PLC

近端PLC、遠(yuǎn)端PLC的網(wǎng)絡(luò)連接方式與近端PLC、遠(yuǎn)程I/O站連接方式相同，不作重復(fù)介紹。

2.3.3 遠(yuǎn)端PLC與工作站

遠(yuǎn)端PLC與工作站之間的通訊采用工業(yè)以太網(wǎng)，如圖8所示。

圖8 遠(yuǎn)端PLC與工作站連接示意

主控、輔控計算機(jī)配置雙1613以太網(wǎng)網(wǎng)卡，并分別連接至機(jī)架0、機(jī)架1的以太網(wǎng)模塊。這種連接方式，實現(xiàn)了以太網(wǎng)的冗余連接，當(dāng)某一鏈路出現(xiàn)故障，網(wǎng)絡(luò)會自動切換到另一鏈路，保證通訊不中斷[5]。

2.4 冗余工作站

測發(fā)指揮中心的工作站采用工業(yè)控制計算機(jī)，包括主控計算機(jī)、輔控計算機(jī)、接口計算機(jī)和顯示計算機(jī)。其中，主控、輔控計算機(jī)互為冗余，完成操作、顯示、數(shù)據(jù)記錄、系統(tǒng)診斷等功能；接口計算機(jī)完成加注系統(tǒng)與火箭系統(tǒng)的信息交互；顯示計算機(jī)完成大屏幕投影顯示。

主控、輔控計算機(jī)的監(jiān)控軟件采用西門子的WINCC7.0，通過采用冗余功能選件Redundancy配置，即組態(tài)運行兩臺并聯(lián)的WINCC單用戶系統(tǒng)，實現(xiàn)計算機(jī)冗余。當(dāng)主控計算機(jī)發(fā)生故障時，輔控計算機(jī)自動接替控制權(quán)。主控計算機(jī)恢復(fù)運行后，輔控計算機(jī)自動為主控計算機(jī)復(fù)制所有的過程變量和信息，主控計算機(jī)恢復(fù)控制權(quán)。

2.5 冗余電源

圖9為冗余電源原理。通過采用兩組相同功率電源和冗余模塊實現(xiàn)電源冗余。正常工況下，兩組電源同時工作，每組電源承擔(dān)約一半的負(fù)載功率。當(dāng)一組電源故障時，另一組電源承擔(dān)全部負(fù)載功率。因此，為了實現(xiàn)電源冗余，應(yīng)確保單個電源的功率大于負(fù)載最大功率。

圖9 冗余電源原理

3 系統(tǒng)可靠性建模及分析

3.1 冗余系統(tǒng)可靠性計算

冗余系統(tǒng)是指在系統(tǒng)中若有某一單元失效時，有相同的備用單元頂替它繼續(xù)工作，以保證系統(tǒng)能夠正常工作。

對于有個單元同時工作，另有個單元備用，當(dāng)一個工作單元失效后由個中的一個替換，則系統(tǒng)可靠度為

3.2 可靠性模型

設(shè)某低溫加注控制系統(tǒng)由計算機(jī)工作站、網(wǎng)絡(luò)交換機(jī)、以太網(wǎng)通信模塊、遠(yuǎn)控CPU、遠(yuǎn)控DP通信模塊、光電轉(zhuǎn)換模塊、近控DP通信模塊、I/O模塊組成。簡化后的可靠性模型如圖10所示。

圖10 某低溫加注控制系統(tǒng)任務(wù)可靠性模型

系統(tǒng)可靠度取決于組成設(shè)備的可靠度及可靠性模型，假設(shè)各組成設(shè)備的單機(jī)可靠度如表1所示，冗余可靠度根據(jù)第3.1節(jié)冗余系統(tǒng)可靠度可靠性公式進(jìn)行計算。

表1 某低溫加注控制系統(tǒng)單機(jī)設(shè)備及冗余設(shè)備可靠度

Tab.1 Reliability of Stand-alone Equipment and Redundant Equipment of a Cryogenic Filling Control System

設(shè)備名稱單機(jī)可靠度代號冗余可靠度代號 計算機(jī)工作站0.950.998 網(wǎng)絡(luò)交換機(jī)0.980.999 以太網(wǎng)通信模塊0.960.999 遠(yuǎn)控CPU0.980.999 遠(yuǎn)控DP通信模塊0.960.999 光電轉(zhuǎn)換模塊0.980.999 近控DP通信模塊0.960.999 近控CPU0.980.999 I/O模塊0.970.999

由此可見，通過對低溫加注測控系統(tǒng)采用全冗余設(shè)計，大大提高了整個系統(tǒng)的可靠度。

4 冗余測試方法

冗余功能測試是設(shè)備出廠及靶場自檢階段的非常重要的環(huán)節(jié)，下面總結(jié)了主要冗余設(shè)備的測試方法[7]。

a）工作站冗余功能測試方法。

通過強(qiáng)制關(guān)閉工作站電源或斷開工作站全部網(wǎng)線等方法，分別模擬主控正常、輔控故障和主控故障、輔控正常工況，主控計算機(jī)、輔控計算機(jī)在單一工作模式下均能完成控制任務(wù)，表明工作站冗余功能正常；

b）控制器冗余測試方法。

通過強(qiáng)制關(guān)閉控制器電源或斷開控制器全部網(wǎng)線等方法，分別模擬主控制器正常、備控制器故障和主控制器故障、備控制器正常工況，主控制器、備控制器在單一工作模式下均能完成控制任務(wù)，表明控制器冗余功能正常；

c）I/O站冗余測試方法。

通過強(qiáng)制關(guān)閉I/O站電源或斷開I/O站全部網(wǎng)線等方法，分別模擬主I/O站正常、備I/O站故障和主I/O站故障、備I/O站正常工況，主I/O站、備I/O站在單一工作模式下均能完成控制任務(wù)，表明控制器冗余功能正常；

d）網(wǎng)絡(luò)冗余測試方法。

通過分別斷開工作站與遠(yuǎn)端PLC、遠(yuǎn)端PLC與近端PLC、近端PLC與遠(yuǎn)程I/O之間的網(wǎng)線的方法，確保在單一網(wǎng)線連接模式下，均能完成控制任務(wù)，表明網(wǎng)絡(luò)冗余功能正常。

5 結(jié)束語

低溫加注控制系統(tǒng)采用了冗余PLC控制架構(gòu)，提高了系統(tǒng)運行的可靠性和穩(wěn)定性。該系統(tǒng)已成功完成新一代運載火箭首飛低溫加注任務(wù)，控制系統(tǒng)運行穩(wěn)定可靠，滿足加注系統(tǒng)的控制要求。

[1] 王雁鳴. 低溫加注控制技術(shù)[J]. 低溫工程, 1996, 4(8): 13-19, 32.

Wang Yanming. Cryogenic filling control technology[J]. Cryogenics, 1996, 4(8): 13-19, 32.

[2] 賀明智, 等. PLC冗余系統(tǒng)在多晶硅還原爐電源系統(tǒng)中的應(yīng)用[J]. 電氣自動化, 2010, 32(6): 45-47.

He Mingzhi, et al. Application of PLC redundancy system in the power supply system of polysilicon reducing furnace[J]. Electrical Engineering and Automation, 2010, 32(6): 45-47.

[3] 胡田力, 張云鵬. PLC冗余系統(tǒng)與性能分析[J]. 工業(yè)控制計算機(jī), 2013, 26(10): 121-122.

Hu Tianli, Zhang Yunpeng. PLC redundant system and performance analysis[J]. Industrial Control Computer, 2013, 26(10): 121-122.

[4] 何鴻輝, 劉國青, 詹海洋. PCS7-400H冗余控制在KM6水平艙中的應(yīng)用[J]. 航天器環(huán)境工程, 2008, 25(1): 68-71.

He Honghui, Liu Guoqing, Zhan Haiyang. The application of PCS7-400H redundant control in the KM6 horizontal chamber[J]. Spacecraft Environment Engineering, 2008, 25(1): 68-71.

[5] 龐宇翔. S7-400H冗余PLC在核電站淡水廠儀控系統(tǒng)中的應(yīng)用[J]. 中國核電, 2013, 6(1): 45-49.

Pang Yuxiang. The application of S7-400H redundant PLC in I&C system for waterworks in nuclear power plant[J]. China Nuclear Power, 2013, 6(1): 45-49.

[6] 賈愛梅, 蔣賢志. 指揮控制系統(tǒng)可靠性設(shè)計與評估方法研究[J]. 艦船電子工程, 2010, 10(10): 45-47, 74.

Jia Aimei, Jiang Xianzhi. Research of reliability design and evaluation methods for command and control system[J]. Ship Electronic Engineering, 2010, 10(10): 45-47, 74.

[7] 于慶廣. PLC控制系統(tǒng)雙機(jī)熱備及可靠性設(shè)計與實現(xiàn)[J]. 儀表技術(shù)與傳感器, 2004(4): 22-24.

Yu Qingguang. Design and accomplishment of PLC control system in reliability and hot standby[J]. Instrument Technique and Sensor, 2004(4): 22-24.

Research on Distributed Control System of CryogenicFilling based on Redundant PLC

Zhang Lei-jie, Yuan Xue-fei, Xu Hao

(Beijing Institute of Space Launch Technology, Beijing, 100076)

The control system for cryogenic filling as an important part of new generation launch vehicle filling system, which has a direct impact on the continuity, real-time, reliability, and the filling accuracy of filling system. Based on oxygen and nitrogen filling control system, the scheme of distributed control system for cryogenic filling is introduced, and the realization of redundant control system is focused on. The system uses the power supply redundancy, CPU redundancy, communication network redundancy, I/O station redundancy, computer redundancy etc., which improve the reliability and security of the control system.

cryogenic filling; distributed control system; PLC; redundancy

2097-1974(2023)01-0043-05

10.7654/j.issn.2097-1974.20230109

TP273

A

2019-08-14；

2021-05-09

張雷杰（1980-），男，高級工程師，主要研究方向為加注測控系統(tǒng)設(shè)計。

袁學(xué)飛（1980-），男，高級工程師，主要研究方向為加注測控系統(tǒng)設(shè)計。

徐 浩（1982-），男，工程師，主要研究方向為加注測控軟件設(shè)計。