三冗余設計在安全控制器中的應用

上海航天電子技術研究所 王祖全 王天鵬 吳紅 羅捷 張丹楓

本文探討了一種基于三冗余設計結合三取二判決電路，最終輸出執行驅動信號的安全控制器設計架構，從設計源頭消除了單點故障失效模式，提升了產品的可靠性和安全性。本控制器按照時序要求將指令信號同時送入三片獨立的DSP進行信號處理，按照時序要求輸出相應的控制執行信號，信號經三取二判決后輸出最終的執行驅動信號，進而避免單路故障下的指令的誤輸出和漏輸出。結果表明：三冗余設計可徹底消除I、II類故障單點，實現產品可靠、穩定的重復生產，以滿足航天型號高可靠、安全性的發射需求。

安全控制器為了滿足高可靠性和安全性的要求，既可通過選擇高質量等級的電子元器件，又可通過采用多模冗余的方法來提高可靠性和安全性[1-3]。目前常用的冗余結構主要為二乘二取二結構和三取二結構，其中，三取二結構是一種基于三取二表決原理的三模冗余架構[4]。在該結構中，當且僅當兩個以上模塊同時出現故障時才會使結果出現錯誤，而此種情況出現的概率很低，因此在安全性得到保證的同時，系統的可靠性也顯著提高[5]。

傳統安全控制器采用DSP或CPLD的設計方案，在指令信號處理中無冗余設計或僅對引爆通路關鍵執行電路采用繼電器觸點的并串聯設計，整機可靠性設計欠缺，存在較多的II類單點故障模式。本文針對上述方面的不足，通過采用三冗余構架結合三判二執行電路的設計方式，提高產品的可靠性和安全性。

1 整機可靠性設計

安全控制器按照功能分為接口處理模塊、時序控制模塊和驅動電源模塊，整機功能框圖如圖1所示。時序控制模塊分為時序控制模塊1（DSP1）、時序控制模塊2（DSP2）、時序控制模塊3（DSP3）。接口處理模塊處理對系統發出的指令信號進行隔離轉換，將隔離轉換后指令信號并入三路獨立的DSP進行數據的采集。在設計上采取充分的冗余措施，消除I、II類故障單點，保證安全控制器的可靠性和安全性。

圖1 整機原理框圖Fig.1 Schematic block diagram of the whole machine

DSP按照時序約束，對采集到的指令信號進行判寬，以保證接收到的信號不是干擾信號，采集到合格的判寬信號后，三片DSP獨立輸出母線供電控制信號、解保控制信號和火工品引爆控制信號，之后三路獨立的信號經硬件三判二執行電路進行判決輸出，最終輸出母線供電、解保和引爆執行控制信號驅動相應的固體繼電器動作，并通過RS422與數據處理器進行實時通信輸出遙測信息。

三路獨立的電源模塊，將28V電壓隔離轉換后每路DSP獨立工作需要的二次電源電壓，每個模塊使用獨立的電源模塊供電，避免了電源模塊失效造成整機功能失效。整機各模塊之間采用高可靠三通連接器實現信號的交互和傳遞。

為了增強安全控制器的靈活性，適應不同搭載任務，便于安全控制器在不更改軟件情況下更改時序參數，在數據處理部分設置參數裝訂模塊，地面測試臺可通過RS422串口實時裝訂和讀取時序參數，方便地面進行狀態管理。

2 冗余設計

2.1 時序處理模塊設計

時序處理模塊如圖2所示，在時序處理方面，安全控制器接收系統的指令信號，作為輸出指令的基準參考信號。為保證時序處理電路的可靠性，時序處理電路采用冗余設計三片DSP互為冗余，指令1和指令2信號同時送入三路彼此完全獨立的DSP進行信號采集和時序控制，采用光耦隔離轉換電路實現輸入信號的隔離轉換；當接收到判寬合格的指令信號后，三片DSP啟動延時并按照時序約束獨立輸出母線供電控制信號，以實現火工品引爆通路母線電壓加電；延時一定的時間后輸出火工品解保控制信號，以斷開母線正負橋絲短路保護狀態，做好引爆準備；分離延時到后輸出火工品引爆控制信號，驅動固體繼電器輸出火工品引爆電壓，實現目標的自毀功能。

圖2 時序處理電路Fig.2 Sequence processing circuit

2.2 三判二執行電路

為充分保證執行結果的正確性，安全控制器三冗余驅動策略需配合采取三判二的冗余判決方式，最終輸出執行控制信號。正常狀態下三片DSP均獨立工作，輸出的控制信號進過電平轉換后，通過三個固態繼電器的六組觸點實現控制指令輸出的三判二功能。判決電路如圖3所示。

圖3 三判二冗余判決電路Fig.3 Three decision two redundant decision circuit

該當控制指令1、控制指令2或控制指令3為邏輯高電平時，所有開關接通，輸入信號28V+通過K1、K2、K3繼電器的三路通路輸出。此時三路通路中至少各有一個開關同時出現開路失效時，表決電路才會發生漏輸出故障；當控制信號1、控制信號2或控制信號3為邏輯低電平時，所有開關斷開，OUT無輸出。此時至少1路通路中的兩個開關同時出現短路失效時，表決電路才會發生誤輸出故障。

即K1、K2、K3或控制信號1、控制信號2、控制信號3其中任意一路繼電器或任意一路指令輸出異常，DSP輸出的控制信號仍能通過其余兩路串聯觸點形成控制回路，從而有效保證了三取二冗余功能，消除了表決電路漏輸出和誤輸出單點故障，加強了整機的可靠性，徹底消除I、II類故障單點。

2.3 控制信號輸出結果測試

按照以上的分析，對冗余設計輸出結果的正確性進行實際驗證。為了對此部分功能的正確性進行驗證，需要驗證三片DSP及三判二模塊均正常工作時，在三判二執行模塊輸出的母線供電執行信號、解保執行信號及引爆執行信號時序圖，典型的輸出時序圖如圖4所示。通過422串口裝訂時序參數，將三片獨立的DSP飛行時序參數裝訂為收到系統指令后的1s輸出母線加電控制信號，5s后輸出解保控制信號，50s后輸出引爆信號。

圖4 指令輸出時序圖Fig.4 Instruction output sequence diagram

2.4 模擬一路DSP故障試驗輸出結果

通過RS422串口模塊將DSP1模塊裝訂錯誤時序參數，以模擬一路DSP故障狀態下，最終輸出結果的正確性，將DSP1模塊的母線加電控制、解保控制及引爆控制的輸出時間分別裝訂為2s、7s和70s，用以模擬指令的誤輸出。測量結果如表1所示，可以分析出單路DSP故障下單條指令或多條指令故障下，均不影響輸出執行結果的正確性，避免單路故障下的誤輸出和漏輸出。

表1 一路DSP故障模式下輸出匯總表Tab.1 Summary of output of one-way DSP under fault mode

3 結語

本文從安全控制器的可靠性及安全性出發，提出了一種基于DSP三冗余驅動及三判二電路的設計架構。三冗余的DSP對指令信號進行處理，并按照時序約束獨立輸出控制信號信號，經硬件三判二進行判決最終輸出執行的驅動信號。測試結果表明：單路DSP故障下單條指令或多條指令故障下，均不影響輸出執行結果的正確性。電路設計上采取充分的冗余設計，消除I、II類故障單點，保證安全控制器的可靠性和安全性。該冗余設計的安全控制器與傳統的控制器相比，具有更高的可靠性及安全性，應用前景廣泛。