本文所述的架构为火箭测试系统设计提供了一种设计模式。实现该架构需要做出许多工程决策。本文的目的是引导团队了解架构的各个方面,确保在设计过程之初就考虑到最重要的方面。
在决定如何实现架构时,经证明,以下主题是在过程早期需要考虑的最关键问题。
系统延迟
每个子系统以及整个测试设施中,为了保持测试区域的正常运行和安全,可接受的最大延迟时间是多少?
整个系统的延迟是多个设计决策的结果。更快的循环速度可以提高不同系统之间组件的通信速度。但工程师还必须考虑系统间的跳跃节点数,如果数据必须经过多个系统传递才能到达最终终端,则累积延迟会比数据直接在控制系统之间传递的延迟要多。进行设计决策时,应考虑如何将数据提供给其他系统:直接传递还是在多个系统间多次复制。
定时
设施内分布的系统具有不同的时间时钟。那么,测量中可接受的时滞是多少?
大多数系统使用本地设备的系统时钟标记测量。如需跨系统分析数据,则跨系统关联数据非常有帮助。常见的解决方案是使用IEEE-1588或类似协议为所有系统提供绝对时间。时间可由设施监控系统提供,或系统可依赖GPS信号作为时基。
另一个相关的考虑因素是如何关联过程计算机和地面系统之间的数据。在火箭测试中,这相当简单,但在发射情况下,由于地面系统和火箭之间的任何连接都将在发射时丢失,就会变得更加复杂。由于测试系统会模拟发射条件,因此设计测试台时应考虑这一点。
共享资源分配
哪些子系统在测试台之间共享,哪些子系统专用于特定的测试台?
考虑共享资源时需要平衡两种成本:复制资源的成本和共享资源的成本。安装低温液罐系统需要大量资金。但将低温流体输送至两个不同的测试台也会产生巨额成本,提高复杂程度。如果两项操作都需要使用该资源,共享资源还可能限制两项操作同时进行。
管理竞争状态
如何保护共享资源免受控制系统中竞争指令的影响?
由于通信系统缺乏纪律性,任何可由多个命令系统控制的控制系统都面临执行非预期操作的风险。例如,阀门可能根据测试台的请求开始操作,但如果第二个测试台覆盖了设定值,则两个测试台都将发生灾难性故障。
设计团队必须仔细检查系统的潜在竞争状态,确保系统中的任何命令信号都有适当的锁定程序。
如果数据在存储系统检索数据之前被覆盖,竞争状态也会影响测量数据,即获取的数据可能并非预期数据。
冗余
哪些系统必须具有冗余控制?采用何种级别的冗余?
冗余可以应用于系统中的许多位置,例如,冗余传感器、布线、采集设备、处理器、算法或电源。某些太空公司要求系统全程三重冗余,以实现最大程度的安全性。其他公司则识别最高风险的故障点,并将其视为冗余工作重点。
设计团队可为系统中的每个点选择多种冗余模型。备用冗余是指相同的次级单元会备份主单元。在闲置备用系统中,次级单元处于空闲状态,仅在看门狗发现主单元发生故障时运行。在活跃备用系统中,次级单元上电并主动监控系统,但其输出在看门狗切换控制之前不会被使用。这可以缩短故障时的停机时间,但由于次级单元处于活动状态,因此不会保持其可靠性。
模块化冗余类似于活跃备用方法,但两个系统并行运行,均为系统生成输出。投票系统(有时称为拍卖器或表决器)决定使用何种输出。当控制器之一发生故障时,可实现无扰传输。该模型可从两个控制器扩展至多个控制器。NI冗余系统基本概念白皮书对这些内容以及其他范例进行了讨论。
环境要求
测量设备会受到哪些环境的影响?需要哪些其他基础设施来保护测量和控制设备?
在推进测试期间,测试台上或附近的设备将处于极端环境条件下。其中可能包括突然冲击、持续振动和高温。
在两次测试之间,设备也将面临环境的极端变化。高温或低温、湿度和盐雾都是对设备可用性构成威胁的具体因素。
工程师必须了解测试台的环境条件。根据这些信息,他们必须选择或设计超出系统潜在需求的设备。这可能需要购买坚固耐用的设备、增加防护措施(如保形涂层)或将设备放置在机柜或可控环境的建筑物中。
网络拓扑
哪些网络技术可为网络上的数据传输提供最佳性能,包括组件故障时的冗余?
设计网络拓扑时有许多选项可供选择。成功的设施拓扑需要IT基础架构团队和测试工程团队之间进行详细的讨论。测试团队需要描述数据带宽、延迟和技术需求。IT团队需要了解加密、布局和冗余,以规划网络布局。
在设计网络进行决策时,设计团队必须确定冗余模型,包括在整个设施中运行冗余网线、使用快速生成树协议(RSTP)以及使用多个分配交换机。
I/O覆盖率
需要测量或控制哪些信号?
工程团队面临的首要任务之一是收集测试台中需要测量或控制的信号列表。记录信号时,需列出信号类型、位置、分辨率、数据速率、激励需求、安全需求以及电压和电流水平。
通过这些信息,工程师可以将信号收集到测量组,然后选择合适的硬件来访问所有信号。
数据带宽
网络拓扑能否处理测试期间预期的数据量?
网络设计(包括计算设备、交换机硬件和子网架构)决定了可在网络上传输的数据量上限。设计团队必须仔细检查网络组件,查找系统中的瓶颈。
理论计算可为系统设计提供指导,但网络应用程序永远无法达到全部理论数据速率。数据开销和延迟会影响网络的总吞吐量。设计网络时,建议数据速率保持在显著低于理论极限的水平。
安全性
需要安装哪些安全系统?
火箭设施存在许多危险条件。系统设计、实现或操作中的任何错误都可能导致灾难性事故。设计团队必须了解联邦和地方法律要求的安全协议。设计团队还必须考虑如何保护测试站相关的人员、设备和区域安全,方法不仅限于法律规定。
考虑到火箭发动机使用的气体,火箭设施的某些区域属于危险区域。部分气体无法完全封闭,产生电火花即可能引发火灾或爆炸。为防止出现这种情况,危险区域内的任何设备必须都是本质安全的,即不会产生火花。这可通过将电气设备移出危险区域来管理。电控阀可置于区域外,因此区域中的唯一设备就是连接区域外阀门的管道。
如设备必须位于危险区域内,设备供应商必须对其进行本质安全认证。在美国,这意味着需要通过Class 1 Div 1认证。在欧洲,这意味着需要根据气体类型进行ATEX认证。
如设备位于危险区域外,但其信号进入危险区域,则设备必须具有本质安全屏障,以防止设备中产生的火花进入危险区域。即使是低电平设备(如热电偶测量仪器),也需要本质安全屏障,以防止设备的电源(如连接的电源)进入该区域。本质安全屏障可以安装在设备与危险区域之间的信号路径中,提供电压和电流峰值保护。注意,本质安全屏障因信号类型而异,因此专为热电偶设计的屏障不适用于阀门控制器。
认证
设施、支持系统和测试台需要满足哪些认证?
根据人口、设施用途、当地法律和火箭设备用途,不同地区需要不同的认证。例如,在美国空军基地进行的火箭测试在执行任何火箭活动之前,均需获得AFSPCMAN 91-7108认证。
除了执行测试所需的认证外,认证还会影响测试的目标。如测试的目的是验证火箭发动机的可用性,测试台的设计必须满足该认证的要求。例如,MIL-STD-8109可确保被测设备满足产品使用的预期条件。MIL-STD-20210可确保重量在300磅以下的组件满足严苛应用中的电气和环境要求。如果美国国防部是被受测技术的预期客户,这些可能都是必备条件。