容錯設計技術在彈上點火系統的應用研究*

鄧康

(北京電子工程總體研究所， 北京 100854)

0 引言

為了適應不同的惡劣使用環境，對導彈系統全壽命周期的可靠性提出了越來越高的要求。自從20世紀60年代初馮·諾依曼提出了系統若具有自動修復和容忍故障的能力就能實現高可靠性的基本思想,冗余技術已取得了很大的發展和應用,成為了提高導彈可靠性的重要設計手段。

“阿波羅-13”宇宙飛船正是采用了SINS 冗余系統才能脫離危險平安返回地球[1]。我國載人航天工程使用的CZ-2F運載火箭系統為確保遠高于一般運載火箭的高可靠性，采用了三余度的慣導系統等多種冗余技術手段[2]。國內某型號發動機點火系統由于初期未采取冗余設計措施，在地面對接時曾出現過因異常情況導致誤發點火信號的情況。

冗余技術的內涵就是通過投入超過常規設計所需的外加資源,抵銷故障產生的后果,達到提高可靠性的目的[3]。采用的方法有硬件冗余、軟件冗余、功能冗余、信息冗余、時間冗余或幾種冗余方法的綜合運用。常用的典型的硬件冗余結構有:串聯式結構、并聯式結構、串并或并串式結構、表決式冗余結構、儲備式結構等。

彈上點火系統是按照時序產生或執行控制指令完成導彈助推器及彈上各動力系統點火、執行拋罩和級間分離控制等功能的系統，其安全性及可靠性直接影響導彈的整體性能，是關系到導彈飛行任務的成敗的關鍵系統。為實現要求的高可靠性與高安全性，盡量減少或消除單故障危險點，采用冗余技術是非常必要的。采用冗余設計雖然增加系統的復雜性，但與因故障造成飛行失敗的損失相比是微不足道的。

容錯技術是指系統在運行時某些部件發生故障的情況下，系統仍能按原定性能指標安全地完成任務的方法和技術[4]。冗余技術是實現容錯的基礎，容錯技術的實質是通過資源的冗余設計來處理故障，從而提高系統的安全性和可靠性[5]。容錯技術在許多領域得到了廣泛的應用，現已成為提高彈上點火系統安全性和可靠性的重要手段之一。

1 冗余設計的原則

(1) 在單純提高元器件可靠性不滿足指標要求時采用

提高一個系統的可靠性需要有多方面的設計措施，元器件是系統的基礎，首先必須選用高質量等級的元器件。但是僅靠提高元器件的可靠性實現系統的高可靠水平，會給元器件造成難以克服的困難或需要要花費高的代價[6]。在一定的可靠性水平的元器件基礎上，采用冗余技術是提高系統可靠性的有效設計措施。

(2) 冗余度要適度

冗余度指冗余與非冗余所用資源的比值[7]。很明顯,冗余度越高,飛行可靠性提高的幅度就越大,在仍能完成飛行任務所容許的故障數就越多,但需要的資源(硬軟件)代價也越大;冗余度要適度,不宜過高。冗余度要適度的原因除資源代價外,還有以下2個方面。

1) 理論上講是冗余度越高可靠性越高,但隨冗余度的增加提高的幅度越來越小,檢測和試驗難度越大,投入效益比越小[8]。例如并聯冗余結構,單路的可靠性為0.9時:

a)冗余度為2時,可靠性為0.99,提高了10%,資源投入增加100%;

b)冗余度為3時,可靠性為0.999,比冗余度為2時只提高了0.9%,資源投入增加50%。

冗余度再高其比值將更低。

2) 在目前的工業及技術水平和采取了其他可靠性設計和措施的情況下,單個儀器或裝置已具有較高的可靠性水平,不需要太高的冗余度就能把可靠度提高到滿足要求的指標。另外,導彈飛行任務時間比較短,在短時間內發生多個故障的可能性非常低，因而就分系統或單機級范圍,一般能有容許一度故障的冗余設計應是適宜的。所謂容許一度故障就是發生一個故障時仍能實現其正常的功能。

(3) 采用無共因失效設計

共因失效是指某一處的失效會同時導致多個裝置失效的情況。使用相同的元器件或電路已經成為提高可靠性常見的策略，冗余系統若不注意進行無共因失效設計, 就有可能當某一電路或元件失效后使冗余的電路或裝置同時失效, 失去冗余作用。

共因失效因素與具體的電路密切相關, 應對具體電路作具體的分析, 采取措施消除共因失效源。

2 彈上點火系統中的冗余設計

彈上點火系統的功能是按要求的時序發出控制指令，依次引爆彈上各火工品負載。主要包括: 固體火箭發動機的點火、彈上高壓氣瓶電爆管點爆、助推器分離、級間分離、整流罩分離、有效載荷分離等。彈上點火系統一般由點火時序控制電路、時間基準輸入信號電路、控制指令接收電路、點火執行電路及火工品負載幾部分組成。

冗余技術在彈上點火系統的應用主要有硬件冗余、功能冗余、時間冗余等。

2.1 級間分離火工系統的冗余設計

硬件冗余設計是通過對重要部件及易發生故障部件提供備份，從而提高系統的容錯性能。

靜態硬件冗余在導彈中應用最為普遍，也最為成熟。方法是直接設置2個以上的單元執行同一項任務，即采用2套火工系統，各自獨立完成規定的功能，實現雙路冗余[9]。由于導彈飛行任務時間短，不需要多度故障冗余，每個冗余結構按一度故障冗余度設計。

某導彈級間分離火工系統采用了采用靜態硬件冗余方式，其冗余結構為并聯結構，如圖1所示。

圖1 級間分離系統冗余結構示意圖Fig.1 Redundancy structure diagram of interstage separation system

為了保證分離裝置可靠起爆，在分離系統中采用兩個并聯的電起爆器接入起爆通路，當接到控制系統傳來的分離點火控制信號時，電起爆器1 和2 同時起爆，每個電起爆器都各自獨立工作[10]，引爆相應的傳爆組件( 分別如圖中實線和虛線所示。) ，然后進一步引爆2個分離裝置。這套分離系統使用兩個電起爆器和兩套導爆索組件，即使有一處發生故障不能正常工作，另一個電起爆器和導爆索組件仍能保證分離裝置正常起爆，確保級間可靠分離。

2.2 點火時序控制電路的冗余設計

點火時序控制電路采用動態硬件冗余方式。

如圖2所示，某型導彈電氣控制裝置的點火時序控制電路采用雙CPU熱備份的冗余結構方案。

圖2 主、備份單片機冗余結構示意圖Fig.2 Redundancy structure diagram of main and spare singelchip

正常情況下，彈上點火時序由主單片機控制，當起始信號輸入后，主單片機按時序產生點火控制信號，經驅動器驅動放大后，驅動點火執行繼電器完成點火。同步地，備份單片機也進行同樣的工作，只是沒有接入控制回路中。當故障判別電路判斷出主單片機出現故障時，立即切換至備份單片機執行控制任務。

硬件冗余設計是通過多個相同部件完成同一功能，在提高系統安全性和可靠性的同時，也存在一些不足，如增加了彈上點火系統的成本、結構、質量和所需空間[11];由于導彈內狹小的空間、復雜的系統，使硬件冗余技術的應用受到限制;隨著彈上設備小型化的發展趨勢，對大型復雜點火系統全部采用硬件冗余設計是不可能的[12]，只能由設計師權衡利弊，在確保點火的可靠性、安全性與系統的尺寸、重量之間尋找平衡點。

2.3 時間基準輸入信號電路的冗余設計

功能冗余是利用系統中部件在功能上的冗余設計，通過合理構建控制方式，以實現故障容錯控制[13]。

時間基準輸入信號電路采用功能冗余方式。

某型防空導彈采用垂直冷彈射的發射方式，導彈從發射筒中由燃氣推出后，由點火控制電路按嚴格時序對其固體火箭發動機在空中實施點火。如果此時發動機沒有成功點火，導彈回落后，可能會砸壞地面設備，引起爆炸，彈上的動力系統液體液體推進劑可能會泄露，造成人員傷害。因此首先必須確保導彈在空中點火的時序基準的可靠性。在實際設計中，時間基準輸入信號電路采用兩種不同形式輸入的并聯結構，如圖3所示。

圖3 點火時序控制電路輸入信號冗余結構框圖Fig.3 Redundancy structure block diagram of input signal for ignition sequential control circuit

發動機點火的原理是電氣控制裝置內部的點火時序控制電路在接收到輸入觸發信號后，按照設定的時序對發動機點火裝置進行點火[14]。觸發信號有2種不同的方式：第1種方式是脫落信號，是指當導彈起飛時，脫落插頭脫落瞬間產生的開關量信號；第2種方式是過載動作信號，是指當導彈從發射筒中彈射后產生的過載使彈載的過載開關動作而產生的信號。上述兩者任一種都可以作為電氣控制裝置執行對發動機點火裝置點火時序控制電路的輸入條件，如果其中一路出現故障，點火信號依然可以到達發動機點火裝置，使發動機可靠點火。

由于2種輸入信號產生的來源不同，可以有效地避免因相同的故障原因導致出現共因失效的風險。

2.4 控制指令接收電路的冗余設計

時間冗余是通過附加執行時間來診斷系統是否發生永久性故障, 并排除瞬時故障的影響[15]。

控制指令接收電路采用時間冗余方式。

導彈的級間分離時導彈飛行過程中的關鍵動作之一。其具體過程為當電氣控制裝置收到彈上機發出的級間分離控制指令后，執行分離裝置點火，助推級與導彈前半段分離。在現代戰爭中，導彈所處的電磁環境空前復雜，如果因為受到電磁干擾導致非正常級間分離，將導致整個任務失敗。因此，某型號導彈在確認分離控制信號的有效性上采用了時間冗余的方式。判斷信號有效具體過程如下：單片機間隔0.25 ms采集信號電平，若連續4次采集到低電平，則認為信號的下降沿有效，否則繼續采集信號電平。確認信號下降沿有效后開始連續采集50 ms信號電平，間隔0.25 ms，共200次。然后開始判斷，若采集到的低電平次數≥160次，則判定為有效信號；若采集到的低電平次數<160次，則繼續采集信號電平，此時，采集一次，判斷一次，若采集到的低電平次數≥160次，則判定為有效信號；若65 ms內始終收不到有效信號，則不再進行判斷，只繼續采集信號電平。連續多次判斷信號電平可以有效地避免因電磁干擾造成的誤點火，確保點火的準確性與可靠性。

3 結束語

冗余技術在導彈彈上點火系統中發揮著重要的作用。在某彈上點火系統的實際應用中，有無冗余設計的對比情況如下：級間分離火工系統的可靠性由0.998 2提升至0.999 97，時序控制電路的可靠性由0.990提升至0.999 8，在采用了硬件冗余、功能冗余、時間冗余等多種冗余方式后，彈上點火系統的整體點火可靠性由0.987提升至0.999 4，效果是明顯的，滿足了總體的要求。

隨著導彈向高可靠性、長壽命的方向快速發展，合理設計冗余結構，確定系統可信的冗余度;完善的冗余可檢測設計;進行全面的無共因失效設計,不斷提高系統的安全性、可靠性,這些都是彈上點火系統容錯設計技術的發展方向。

[1] 顏華，陳家斌，劉星橋.冗余技術提高慣性導航系統可靠性的應用[J].中國慣性技術學報,2003,11(3):68-72.

YAN Hua,CHEN Jia-bin,LIU Xing-qiao.Application of Redundancy Technology in Inertial Navigation Systems[J].Journal of Chinese Inertial Technology，2003,11(3):68-72.

[2] 孫凝生，冗余技術在載人運載火箭飛行控制中的應用[J].載人航天，2003,15(4):21-27.

SUN Ning-sheng, The Redundancy Technique for Guidance and Control System of Manned Launch Vehicle[J].Manned Spaceflight, 2003,15(4):21-27.

[3] 梁思禮． 容錯技術在航天領域的應用[J]．系統工程與電子技術，1993,15(12):59-61.

LIANG Si-li. The Application of Fault-Tolerant Technique in Aerospace [J]. Systems Engineering and Electronics,1993,15(12):59-61.

[4] 溫鵬，陳傳波． GTR在火箭點火控制系統中的應用[J]．系統工程與電子技術，1993,15(12):70-76.

WEN Peng ,CHEN Chuan-bo. The Application of GTR in Rocket Firing Control System [J]. Systems Engineering and Electronics,1993,15(12): 70-76.

[5] 寧新建． 容錯技術在火控計算機中的應用[J]．航空兵器，2005,37(1) :36-39.

NING Xin-jian .Application of Fault-Tolerant Technique in Aerial Fire Control Computer[J]. Aero Weaponry ,2005,37(1):36-39.

[6] 馬吉亭，李運來． 新型的固體導彈分離火工系統[J]． 火工品，2002,48(1):8-11.

MA Ji-ting,LI Yun-lai. A New Type of Initiating Explosive Separation System of Solid Missile[J].Initiators & Pyrotechnics, 2002,48(1):8-11.

[7] 胡昌華，許化龍． 控制系統故障診斷與容錯控制的分析和設計[M]．北京: 國防工業出版社，2000.

HU Chang-hua,XU Hua-long.Fault Analysis and Design of Diagnosis and Fault-Tolerant Control for Control System[M]. Beijing: Defense Industry Publishing House，2000.

[8] 高濱．航天火工技術的現狀和發展[J].航天返回與遙感，1999，20(3):63-67.

GAO Bin.The Curvent Situation and Development of Space Pyrotechnics Devices[J]. Spacecraft Recovery & Remote Sensing. 1999，20(3):63-67.

[9] 徐衍海，惠蕾． 火工系統新技術的發展動向[J]．火工品，2002,48(1):37-41.

XU Yan-hai, HUI Lei. Development Trend of the System of Initiating Explosive Device[J]. Initiators & Pyrotechnics, 2002,48(1):37-41.

[10] 馮國田，孟憲珍． 火工系統產品技術及其藥劑發展[J]． 火工品，1999,34(4):34-37.

FENG Guo-tian, MENG Xian-zhen .Development of the Technology and Loading Materials for Initiating Explosive Device[J]. Initiators & Pyrotechnics, 1999,34(4):34-37.

[11] 程卓，遇今，郭涇平，等． 航天器共因失效分析與預防初探[J]．航天器工程，2010，19(6):34-37.

CHENG Zhuo, YU Jin,GUO Jing-ping,et al. Primary Study on Spacecraft Common Cause Failure and Preventive Actions[J].Spacecraft Engineering. 2010，19(6):34-37.

[12] 史洪亮，楊登仿，譚勇,等.新型安全的點火控制系統的設計和實現[J]. 計算機測量與控制, 2006,14(10):1343-1345.

SHI Hong-liang,YANG Deng-fang,TAN Yong,et al.Design and Realization of New Safe Ignition Control System[J].Computer Measurement & Control, 2006,14(10):1343-1345.

[13] 李靜海.艦載導彈火工品點火電路安全技術研究[J].國防技術基礎 ,2008,37(2):43-47.

LI Jing-hai.Research of Safety for Ignition Circuit of Initiating Explosive Device on Shipborne Missile[J]. Technology Foundation of National Defence,2008,37(2):43-47.

[14] 張勝利，劉保賦，倪冬冬.機載導彈武器系統的安全性設計[J]. 彈箭與制導學報,2005,25(3):4-7.

ZHANG Sheng-li,LIU Bao-fu,NI Dong-dong.Safety Design of Airborne Missile Weapon System[J]. Journal of Projectides,Rochets,Missiles and Guidance, 2005,25(3):4-7.

[15] 常虹，劉大柱． 控制系統中的容錯技術[J]．電力情報，2002,63(6):52-55.

CHANG Hong, LIU Da-zhu. Fault-Tolerant Technique in Control Systems[J]. Electric Power Science and Engineering, 2002,63(6):52-55.