上海航天电子技术研究所 王祖全 王天鹏 吴红 罗捷 张丹枫
本文探讨了一种基于三冗余设计结合三取二判决电路,最终输出执行驱动信号的安全控制器设计架构,从设计源头消除了单点故障失效模式,提升了产品的可靠性和安全性。本控制器按照时序要求将指令信号同时送入三片独立的DSP进行信号处理,按照时序要求输出相应的控制执行信号,信号经三取二判决后输出最终的执行驱动信号,进而避免单路故障下的指令的误输出和漏输出。结果表明:三冗余设计可彻底消除I、II类故障单点,实现产品可靠、稳定的重复生产,以满足航天型号高可靠、安全性的发射需求。
安全控制器为了满足高可靠性和安全性的要求,既可通过选择高质量等级的电子元器件,又可通过采用多模冗余的方法来提高可靠性和安全性[1-3]。目前常用的冗余结构主要为二乘二取二结构和三取二结构,其中,三取二结构是一种基于三取二表决原理的三模冗余架构[4]。在该结构中,当且仅当两个以上模块同时出现故障时才会使结果出现错误,而此种情况出现的概率很低,因此在安全性得到保证的同时,系统的可靠性也显著提高[5]。
传统安全控制器采用DSP或CPLD的设计方案,在指令信号处理中无冗余设计或仅对引爆通路关键执行电路采用继电器触点的并串联设计,整机可靠性设计欠缺,存在较多的II类单点故障模式。本文针对上述方面的不足,通过采用三冗余构架结合三判二执行电路的设计方式,提高产品的可靠性和安全性。
安全控制器按照功能分为接口处理模块、时序控制模块和驱动电源模块,整机功能框图如图1所示。时序控制模块分为时序控制模块1(DSP1)、时序控制模块2(DSP2)、时序控制模块3(DSP3)。接口处理模块处理对系统发出的指令信号进行隔离转换,将隔离转换后指令信号并入三路独立的DSP进行数据的采集。在设计上采取充分的冗余措施,消除I、II类故障单点,保证安全控制器的可靠性和安全性。
图1 整机原理框图Fig.1 Schematic block diagram of the whole machine
DSP按照时序约束,对采集到的指令信号进行判宽,以保证接收到的信号不是干扰信号,采集到合格的判宽信号后,三片DSP独立输出母线供电控制信号、解保控制信号和火工品引爆控制信号,之后三路独立的信号经硬件三判二执行电路进行判决输出,最终输出母线供电、解保和引爆执行控制信号驱动相应的固体继电器动作,并通过RS422与数据处理器进行实时通信输出遥测信息。
三路独立的电源模块,将28V电压隔离转换后每路DSP独立工作需要的二次电源电压,每个模块使用独立的电源模块供电,避免了电源模块失效造成整机功能失效。整机各模块之间采用高可靠三通连接器实现信号的交互和传递。
为了增强安全控制器的灵活性,适应不同搭载任务,便于安全控制器在不更改软件情况下更改时序参数,在数据处理部分设置参数装订模块,地面测试台可通过RS422串口实时装订和读取时序参数,方便地面进行状态管理。
时序处理模块如图2所示,在时序处理方面,安全控制器接收系统的指令信号,作为输出指令的基准参考信号。为保证时序处理电路的可靠性,时序处理电路采用冗余设计三片DSP互为冗余,指令1和指令2信号同时送入三路彼此完全独立的DSP进行信号采集和时序控制,采用光耦隔离转换电路实现输入信号的隔离转换;当接收到判宽合格的指令信号后,三片DSP启动延时并按照时序约束独立输出母线供电控制信号,以实现火工品引爆通路母线电压加电;延时一定的时间后输出火工品解保控制信号,以断开母线正负桥丝短路保护状态,做好引爆准备;分离延时到后输出火工品引爆控制信号,驱动固体继电器输出火工品引爆电压,实现目标的自毁功能。
图2 时序处理电路Fig.2 Sequence processing circuit
为充分保证执行结果的正确性,安全控制器三冗余驱动策略需配合采取三判二的冗余判决方式,最终输出执行控制信号。正常状态下三片DSP均独立工作,输出的控制信号进过电平转换后,通过三个固态继电器的六组触点实现控制指令输出的三判二功能。判决电路如图3所示。
图3 三判二冗余判决电路Fig.3 Three decision two redundant decision circuit
该当控制指令1、控制指令2或控制指令3为逻辑高电平时,所有开关接通,输入信号28V+通过K1、K2、K3继电器的三路通路输出。此时三路通路中至少各有一个开关同时出现开路失效时,表决电路才会发生漏输出故障;当控制信号1、控制信号2或控制信号3为逻辑低电平时,所有开关断开,OUT无输出。此时至少1路通路中的两个开关同时出现短路失效时,表决电路才会发生误输出故障。
即K1、K2、K3或控制信号1、控制信号2、控制信号3其中任意一路继电器或任意一路指令输出异常,DSP输出的控制信号仍能通过其余两路串联触点形成控制回路,从而有效保证了三取二冗余功能,消除了表决电路漏输出和误输出单点故障,加强了整机的可靠性,彻底消除I、II类故障单点。
按照以上的分析,对冗余设计输出结果的正确性进行实际验证。为了对此部分功能的正确性进行验证,需要验证三片DSP及三判二模块均正常工作时,在三判二执行模块输出的母线供电执行信号、解保执行信号及引爆执行信号时序图,典型的输出时序图如图4所示。通过422串口装订时序参数,将三片独立的DSP飞行时序参数装订为收到系统指令后的1s输出母线加电控制信号,5s后输出解保控制信号,50s后输出引爆信号。
图4 指令输出时序图Fig.4 Instruction output sequence diagram
通过RS422串口模块将DSP1模块装订错误时序参数,以模拟一路DSP故障状态下,最终输出结果的正确性,将DSP1模块的母线加电控制、解保控制及引爆控制的输出时间分别装订为2s、7s和70s,用以模拟指令的误输出。测量结果如表1所示,可以分析出单路DSP故障下单条指令或多条指令故障下,均不影响输出执行结果的正确性,避免单路故障下的误输出和漏输出。
表1 一路DSP故障模式下输出汇总表Tab.1 Summary of output of one-way DSP under fault mode
本文从安全控制器的可靠性及安全性出发,提出了一种基于DSP三冗余驱动及三判二电路的设计架构。三冗余的DSP对指令信号进行处理,并按照时序约束独立输出控制信号信号,经硬件三判二进行判决最终输出执行的驱动信号。测试结果表明:单路DSP故障下单条指令或多条指令故障下,均不影响输出执行结果的正确性。电路设计上采取充分的冗余设计,消除I、II类故障单点,保证安全控制器的可靠性和安全性。该冗余设计的安全控制器与传统的控制器相比,具有更高的可靠性及安全性,应用前景广泛。