Die in diesem Dokument beschriebene Architektur bietet ein Entwurfsmuster für den Entwurf eines Raketentestsystems. Zur Implementierung dieser Architektur müssen viele technische Entscheidungen getroffen werden. Ziel dieses Dokuments ist es, ein Team durch die Aspekte der Architektur zu führen, um sicherzustellen, dass die kritischsten Aspekte zu Beginn des Entwurfsprozesses berücksichtigt werden.
Bei Entscheidungen zur Implementierung der Architektur haben sich die folgenden Themen als die kritischsten erwiesen, die so früh wie möglich berücksichtigt werden sollten.
Systemlatenz
Welche Verzögerung ist innerhalb jedes Subsystems und in der gesamten Testanlage tolerierbar, um die Kontrolle und Sicherheit im Testbereich aufrechtzuerhalten?
Latenz im gesamten System ist das Ergebnis mehrerer Entwurfsentscheidungen. Schnellere Schleifen erhöhen die Kommunikationsgeschwindigkeit zwischen einer Komponente in einem System und einer anderen Komponente in einem anderen System. Ingenieure müssen jedoch auch die Anzahl der Sprünge zwischen Systemen berücksichtigen. Wenn Daten zwischen mehreren Systemen ausgetauscht werden müssen, um das endgültige Zielsystem zu erreichen, sind die kumulierten Verzögerungen größer, als bei direkter Datenübertragung zwischen Steuerungssystemen. Berücksichtigen Sie bei Entwurfsentscheidungen, wie Daten anderen Systemen zur Verfügung gestellt werden: entweder direkt oder durch mehrfaches Kopieren zwischen den Systemen.
Timing
Über die Anlage verteilte Systeme verfügen über unterschiedliche Zeituhren. Welche Laufzeitunterschiede können Sie bei Ihren Messungen tolerieren?
Die meisten Systeme kennzeichnen Messungen mit der Systemuhr des lokalen Geräts. Bei der systemübergreifenden Analyse von Daten ist es hilfreich, die Daten systemübergreifend korrelieren zu können. Eine gängige Lösung ist die Vorgabe einer absoluten Zeit für alle Systeme mithilfe von IEEE-1588 oder einem ähnlichen Protokoll. Die Zeit kann vom Anlagenüberwachungssystem bereitgestellt werden oder Systeme können auf ein GPS-Signal als Zeitbasis zurückgreifen.
Eine damit verbundene Überlegung ist, wie die Daten zwischen dem Prozesscomputer und dem Bodensystem korreliert werden. In einem Raketentest ist dies recht einfach, bei einem Start wird es jedoch komplizierter, da beim Start sämtliche Verbindungen zwischen dem Bodensystem und der Rakete verloren gehen. Da Testsysteme Startbedingungen nachbilden, sollte dies beim Entwurf des Teststands berücksichtigt werden.
Verteilung gemeinsam genutzter Ressourcen
Welche Subsysteme werden von Testständen gemeinsam genutzt und welche Subsysteme werden einem bestimmten Teststand zugewiesen?
Bei der gemeinsamen Nutzung von Ressourcen müssen zwei Kosten abgewogen werden: die Kosten für die Duplizierung von Ressourcen und die Kosten für die gemeinsame Nutzung von Ressourcen. Die Einrichtung eines Kryotanksystems ist mit erheblichen Kosten verbunden. Allerdings ist die Versorgung zweier separater Teststände mit kryogenen Flüssigkeiten auch mit erheblichen Kosten und Aufwand verbunden. Durch die gemeinsame Nutzung von Ressourcen ist es möglicherweise nicht möglich, zwei Aktivitäten parallel auszuführen, wenn für beide die Ressource erforderlich ist.
Umgang mit Laufzeitproblemen
Wie werden gemeinsam genutzte Ressourcen vor konkurrierenden Anweisungen von Steuerungssystemen geschützt?
Bei jedem Steuerungssystem, das von mehreren Befehlssystemen gesteuert werden kann, besteht das Risiko, dass aufgrund mangelnder Disziplin im Kommunikationssystem eine unbeabsichtigte Aktion ausgeführt wird. So kann z. B. ein Ventil auf Anforderung eines Teststands eine Operation starten, aber wenn ein zweiter Teststand den Sollwert überschreibt, kommt es zu einem katastrophalen Ausfall in beiden Testständen.
Das Entwurfsteam muss das System sorgfältig auf mögliche Laufzeitprobleme prüfen, um sicherzustellen, dass es eine ordnungsgemäße Sperrprozedur für jedes Befehlssignal im System gibt.
Laufzeitprobleme können sich auch auf Messdaten auswirken, wenn Daten überschrieben werden, bevor ein Speichersystem die Daten abruft. Die abgerufenen Daten entsprechen möglicherweise nicht den beabsichtigten Daten.
Redundanz
Welche Systeme müssen redundante Elemente haben? Wie hoch ist die Redundanz?
Redundanz kann an vielen Stellen innerhalb eines Systems angewendet werden – es kann redundante Sensoren, Verkabelungen, Erfassungsgeräte, Prozessoren, Algorithmen oder Stromversorgungen geben. Manche Raumfahrtunternehmen fordern für maximale Sicherheit eine dreifache Redundanz im gesamten System. Andere ermitteln die Ausfallpunkte mit dem höchsten Risiko und konzentrieren ihre Redundanzmaßnahmen darauf.
Für jeden Punkt im System stehen dem Entwurfsteam verschiedene Redundanzmodelle zur Auswahl. Bei der Standby-Redundanz wird die Primäreinheit durch eine identische Sekundäreinheit gesichert. Bei einem Cold-Standby-System ist die Sekundäreinheit im Ruhezustand und funktioniert nur, wenn ein Watchdog erkennt, dass die Primäreinheit ausgefallen ist. Bei einem Hot-Standby-System ist die Sekundäreinheit eingeschaltet und überwacht das System aktiv, aber ihre Ausgänge werden erst verwendet, wenn ein Watchdog die Steuerung auf sie umschaltet. Dadurch kann sich die Stillstandszeit bei einem Ausfall verkürzen, aber die Zuverlässigkeit der Sekundäreinheit bleibt nicht erhalten, da sie sich im aktiven Betrieb befindet.
Die modulare Redundanz ähnelt dem Hot-Standby-Ansatz, jedoch werden beide Systeme parallel ausgeführt und beide erzeugen Ausgaben für das System. Ein Abstimmungssystem, manchmal Auktionator oder Voter genannt, entscheidet, welche Ausgänge verwendet werden sollen. Dies ermöglicht reibungslose Übertragungen bei Ausfall einer der Steuerungen. Dieses Modell kann über zwei Steuerungen hinaus auf mehrere Steuerungen erweitert werden. Diese und andere Beispiele werden im NI-Whitepaper über Grundlegende Konzepte redundanter Systeme erläutert.
Umweltanforderungen
Welchen Umgebungen sind die Messgeräte ausgesetzt? Welche zusätzliche Infrastruktur ist zum Schutz der Mess- und Steuertechnik erforderlich?
Während eines Antriebstests werden die Geräte auf oder in der Nähe des Teststands extremen Umgebungsbedingungen ausgesetzt. Dazu können plötzliche Erschütterungen, kontinuierliche Vibrationen und hohe Temperaturen gehören.
Auch zwischen den Tests sind die Geräte extremen Umwelteinflüssen ausgesetzt. Heiße oder kalte Temperaturen, Luftfeuchtigkeit und Salzspray sind spezifische Bedrohungen für die Verfügbarkeit der Geräte für einen Test.
Ingenieure müssen die Umgebungsbedingungen des Teststands kennen. Mit diesen Informationen müssen sie Geräte auswählen oder entwerfen, die die potenziellen Anforderungen des Systems übertreffen. Dies kann den Kauf robusterer Geräte, zusätzliche Schutzmaßnahmen wie eine Schutzbeschichtung oder den Schutz der Geräte in einem Schrank oder einem Nebengebäude mit kontrollierter Klimatisierung erfordern.
Netzwerktopologie
Welche Netzwerktechnologien bieten die optimale Leistung für den Datenaustausch im Netzwerk, einschließlich Redundanz bei einem Komponentenausfall?
Beim Entwerfen einer Netzwerktopologie stehen viele Optionen zur Verfügung. Eine erfolgreiche Anlagentopologie erfordert detaillierte Konversationen zwischen dem IT-Infrastrukturteam und den Testentwicklungsteams. Testteams müssen Anforderungen an Datenbandbreite, Latenz und Technologie beschreiben. Das IT-Team muss sich mit Verschlüsselung, Layout und Redundanz auskennen, um das Netzwerklayout zu planen.
Zu den Entscheidungen beim Entwurf des Netzwerks gehört auch die Entscheidung über ein Redundanzmodell, das die Verlegung redundanter Netzwerkkabel in der gesamten Anlage, die Verwendung des Rapid Spanning Tree Protocol (RSTP) sowie die Verwendung mehrerer Verteilungs-Switche umfassen kann.
I/O-Abdeckung
Welche Signale müssen gemessen oder gesteuert werden?
Eine der ersten Aufgaben des Ingenieurteams ist das Erstellen einer Liste der Signale, die im Teststand gemessen oder gesteuert werden müssen. Während der Dokumentation von Signalen müssen Typ, Position, Auflösung, Datenrate, Erregungsbedarf, Sicherheitsanforderungen sowie Spannungs- und Stromstärke des Signals aufgelistet werden.
Mit diesen Informationen können Ingenieure die Signale in Messbänken sammeln und dann die richtige Hardware für den Zugriff auf alle Signale auswählen.
Datenbandbreite
Kann die Netzwerktopologie die während eines Tests erwartete Datenmenge verarbeiten?
Der Entwurf des Netzwerks, einschließlich Computergeräte, Switch-Hardware und Subnetzwerkarchitektur, legt die Grenze für die Menge der Daten fest, die über das Netzwerk übertragen werden können. Das Entwurfsteam muss die Komponenten des Netzwerks sorgfältig prüfen und nach Engpässen im System suchen.
Eine theoretische Berechnung kann Hinweise für einen Systementwurf geben, aber Netzwerkanwendungen erreichen nie die volle theoretische Datenrate. Daten-Overhead und Latenzen beeinflussen den Gesamtdurchsatz im Netzwerk. Beim Entwurf eines Netzwerks ist es ratsam, die Datenraten deutlich unter dem theoretischen Grenzwert zu halten.
Sicherheit
Welche Sicherheitssysteme müssen vorhanden sein?
Eine Raketenanlage hat viele gefährliche Bedingungen. Ein Fehler in der Konstruktion, Implementierung oder im Betrieb der Systeme kann einen katastrophalen Unfall zur Folge haben. Das Entwurfsteam muss mit den Sicherheitsprotokollen vertraut sein, die durch Bundes- und Kommunalgesetze vorgeschrieben sind. Das Entwurfsteam muss auch darüber nachdenken, wie das Personal, die Ausrüstung und der Bereich der Teststation in einer Weise geschützt werden, die nicht durch Gesetze abgedeckt ist.
Einige Bereiche einer Raketenanlage sind aufgrund der zum Antrieb des Raketentriebwerks verwendeten Gase Gefahrenzonen. Einige dieser Gase können nicht vollständig eingedämmt werden, wodurch eine Zone entsteht, in der jeder elektrische Funke einen Brand oder eine Explosion verursachen kann. Um dies zu verhindern, müssen alle Geräte in der Gefahrenzone eigensicher sein, d. h. sie dürfen keinen Funken erzeugen können. Dies kann erreicht werden, indem elektrische Geräte außerhalb der Gefahrenzone positioniert werden. Ein elektrisch gesteuertes Ventil kann außerhalb der Zone platziert werden, so dass sich in der Zone nur die vom Ventil wegführende Leitung befindet.
Muss ein Gerät innerhalb der Gefahrenzone aufgestellt werden, so muss es vom Hersteller als eigensicher zertifiziert sein. In den USA bedeutet dies eine Zertifizierung nach Class 1 Div 1. In Europa bedeutet dies eine ATEX-Zertifizierung basierend auf der Gasart.
Wenn ein Gerät außerhalb der Gefahrenzone aufgestellt ist, aber ein Signal in diese leitet, muss das Gerät eine intrinsische Barriere haben, um zu verhindern, dass ein im Gerät erzeugter Funke in die Zone gelangt. Selbst Low-Level-Geräte, wie Thermoelementmessgeräte, benötigen eine intrinsische Barriere, um zu verhindern, dass Strom vom Gerät (wie eine angeschlossene Stromversorgung) in die Zone gelangt. In den Signalweg zwischen Gerät und Gefahrenzone kann eine intrinsische Barriere eingefügt werden, die sowohl vor Spannungs- als auch Stromspitzen schützt. Beachten Sie, dass intrinsische Barrieren je nach Signaltyp variieren. Daher wäre eine Barriere für ein Thermoelement für eine Ventilsteuerung nicht geeignet.
Zertifizierungen
Welche Zertifizierungen müssen die Anlage, die Supportsysteme und der Teststand erfüllen?
Je nach Bevölkerungszahl, Zweck der Anlage, örtlichen Gesetzen und Zweck der Raketenausrüstung sind für unterschiedliche Bereiche unterschiedliche Zertifikate erforderlich. Beispielsweise kann ein Raketentest, der an einem US-Luftwaffenstützpunkt ausgeführt wird, vor jeder Raketenaktivität eine AFSPCMAN 91-7108-Zertifizierung erfordern.
Zusätzlich zu den für die Durchführung des Tests erforderlichen Zertifizierungen wirken sich Zertifizierungen auf das Ziel des Tests aus. Wenn der Zweck des Tests darin besteht, das Raketentriebwerk für die Verwendung zu zertifizieren, muss der Teststandsentwurf die Anforderungen dieser Zertifizierung erfüllen. So stellt z. B. MIL-STD-8109 sicher, dass das getestete Gerät die erwarteten Bedingungen für die Verwendung des Produkts erfüllt. MIL-STD-20210 stellt sicher, dass Komponenten unter 300 Pfund die elektrischen und ökologischen Anforderungen einer anspruchsvollen Anwendung erfüllen. Diese können erforderlich sein, wenn das US-Verteidigungsministerium Zielkunde der getesteten Technologie ist.