幾種典型電路防潛在電路的設計規則

嚴殿啟 孟鵬飛

北京航天自動控制研究所，北京 100854

?

幾種典型電路防潛在電路的設計規則

嚴殿啟 孟鵬飛

北京航天自動控制研究所，北京 100854

潛在電路對產品的可靠性影響很大，減少潛在電路設計可以提高電路設計的可靠性。結合電路示例，提出了彈(箭)控制系統幾種典型電路減少潛在電路設計的13條規則。從潛在通路的預防和潛在定時的預防2個方面探討了避免潛在電路的設計方法，具體內容涉及測試接口電路要避免使用雙向電路，時序電路要避免同時接通，在指示電路和控制電路中要避免使用“地側開關”，供斷電電路要保證驅動電源后通先斷、控制電源要保證先通后斷，滅弧保護電路要避免使用電容器等。針對每條設計規則的示例表明規則是有效的，可支持電路的可靠性設計。 關鍵詞 控制電路； 潛在電路； 設計規則

建立減少潛在電路的設計規則是設計人員所期望的，本文通過大量的示例，針對彈(箭)控制系統中典型的測試電路、時序相關電路、指示電路、供斷電電路和滅弧保護電路等，詳細介紹了防潛在電路的設計規則。

1 潛在定時(ST)的預防

1.1 設計規則

(1)規則1

系統加電順序應遵循控制電源母線(小功率信號電路供電)先加電，待復位穩定后再接通驅動電源母線(各種功放及執行電路供電)，而斷電順序則相反。否則，當信號電路在加、斷電過程中產生輸出時，可能使執行電路誤動作，引起事故或系統初、終態錯誤。

(2)規則2

采用繼電器、壓力開關等力學元件的控制電路，特別是“多線或”(并聯冗余)電路，所有觸點在環境條件下的瞬間閉合時間，要充分小于受控繼電器在環境條件下的最小吸合時間。否則，在環境條件下的瞬間閉合可能引起ST輸出。

(3)規則3

各時序指令的接通狀態，盡可能沒有重疊的時間段。這樣，有利于減少ST狀態。

(4)規則4

復位信號饋線通過系統運行過程中要分離的插頭時，應將各級復位信號分開。否則，當負線所在的分離插頭先分離，正線所在的插頭后分離時，在二者時差內，容易引入ST。

(5)規則5

不同系統間有條件的順序操作控制應采用“握手+定時”式的邏輯控制方式。否則，容易引入ST。

(6)規則6

當控制順序不能改變，而又必須定時與非定時混合控制時，必須對混合部分的時間偏差做“最壞情況分析”，以避免發生能夠導致改變控制順序的ST。

(7) 規則7

用繼電器執行的時序指令的實際時序必須考慮包括繼電器動作時間在內的所有相關的電路延時，保證在最壞情況下也能滿足設計要求。

1.2 示例

(1)規則1示例

某單元測試電路如圖1所示。加電時先接通S，后接通K(步進電機供電)，斷電時先斷K而后斷S。實際操作順序相反，在通斷電過程中由于輸出ST脈沖而K尚未斷開發生誤動作，引起系統初、終態錯誤。步進電機按A→AB→B→BC→C→CA六拍運行：系統初態鎖定于A拍，當ST產生于B相時，則A→AB向前運動一拍；當ST產生于C相時，則A→CA向后退一拍，均會離開初態位置。這是人為因素(操作者依據自己的理解，沒有按規定的順序操作)引起潛在電路的典型情況。如果沒有K開關，由S一起通斷電，易造成通電時步進電機錯位。

圖1 某單元測試電路網絡樹

(2)規則2示例

如圖2所示的控制電路，預令Kdy接通，K1.2吸合，其轉換觸點將電爆管由短路保護狀態轉為允許由Kd1點火狀態。點火后當壓力達到要求時，壓力開關Cyk1和Cyk2閉合，與指令Kdh2構成三線或電路，使K20.21吸合，K20.21常開觸點使K22.23吸合且自保，其常閉觸點使K1.2釋放，電爆管與指令Kd1斷開，恢復短路保護狀態，以防止點火后電爆管的“短路”電流消耗電源和燒壞電纜網。

如果壓力開關由于沖擊引起的瞬態閉合時間大于繼電器K20.21的實際吸合時間值，則使K20.21吸合。這樣，在發出Kd1指令之前，電爆管已經由于K1.2釋放，從允許點火狀態又轉為短路保護狀態，導致Kd1功能被抑制。

圖2 某控制電路網絡森林示意圖

(3)規則3示例

某控制電路如圖3所示，設計的飛行狀態是：由分爆點火指令Zt作為地側開關，將火工品負母線-H接到K7線圈負端，使K7吸合并自保于B4。設Zt和ZTF兩個時序指令觸點接通狀態的重疊時間段為Δt。在測試狀態下用火工品供電繼電器Zf不吸合控制K7不吸合，在Δt時段存在+B3→K7線圈→Zt觸點→--H節點→常閉觸點Zf→+H節點→ZTF觸點→Ldf線圈→GB的ST。這個ST可以使K7或Ldf誤吸合。

圖3 某控制電路網絡樹示意圖

(4)規則4示例

圖4所示的某復位接口電路，V22，V32反向并接于接口電路2，3發光二極管上的防反二極管。用一個按扭開關和一條饋線對各級時序裝置同時復位。安裝于三級火箭的+28V電源通過分離插頭Xf1向二級時序裝置等效負載電阻Rh2供電，而28V地G28V通過分離插頭Xf3與Rh2連接。如果Xf3先分開，到Xf1分開的時差內，分離插頭存在+28V→Xf1→Rh2→V22→R2→Xf1→R3→V31→G28V構成的ST通路。由于光電耦合器激勵電流潛在危害閾值很小，由這個ST通路引起的潛在電流足以使三級時序裝置誤復位。

圖4 某復位接口電路網絡樹

(5)規則5示例

1)實例1

圖5所示的某點火電路，若發射時XB插頭較XC插頭早脫開Δt,則在Δt內存在2條ST路徑。第1條：+B→點火指示觸點Zdh→XC→點火指示燈ZD→應急指示繼電器阻尼二極管V和線圈Kyj(并聯)→XC→關機線圈Lgj→GB。當潛在電流達到關機線圈的吸合電流時，會導致火箭誤關機的事故；第2條：+M→應急關機開關Syj→XC→Lgj→GB節點→XB(斷開)→GM，這是一條期望的路徑。但在Δt時段，XB已斷開，應急關機功能被抑制。

如果采用“點火好”信號握手控制斷開應急關機電路，而將XB插頭脫開時間充分延長的方式，就不會發生上述ST。

圖5 某點火電路網絡樹

2)實例2

某系統功能執行條件中有 Tpz超上限。Tpz和PZ指令是由外系統控制的。功能執行電爆管SZ的點火信號要通過PZ指令控制的分離插頭XF，如圖6所示。如果在功能執行過程中外系統發出PZ指令，XF分離，SZ電爆管點火電路將被斷開，從而抑制了點火功能，即抑制了期望功能。如果系統在確認Tpz超限后給外系統發1個“禁止發PZ指令”的握手信號，那么此ST就可避免。

圖6 某點火控制電路網絡樹

(6)規則6示例

1)實例1

如果圖5采用起飛距離和定時混合控制的方式：點火和應急關機均為定時控制，通過XC傳遞。而GM和GB的連接由XB實現。XB和XC的斷開用起飛行程開關控制。在最壞情況下必須保證控制XC 斷開的行程開關的行程時間小于最壞情況下的應急關機時間最小值?？刂芚B斷開的行程開關的行程時間要大于或等于控制XC 斷開的行程開關的行程時間。這樣“點火好”指示電流通過指示燈后就可以通過XB回到GB。而應急關機電流也可以通過關機線圈后再通過XB回到GM，實現設計期望。

2)實例2

若有效載荷分離時間由運載火箭的關機時間(Tg+t)浮動控制，有效載荷解鎖時間Tj為定時控制，且在收到分離信號后立即重新復位，開始運行后續程序。在最壞情況下，必須滿足Tj<(Tg+t)，否則存在改變控制順序的ST，即有效載荷將在發出解鎖指令前復位，開始運行后續程序。在復位時清除解鎖指令定時數據，從而抑制了解鎖功能，導致有效載荷控制功能喪失。

(7)規則7示例

某系統時序控制電源母線供電(+T)和火工品驅動電源母線的供電(+H)是同時控制的。設計意圖是：控制+T用小功率繼電器，其吸合時間較快(<10ms)，而控制+H用大功率繼電器，其吸合時間較慢(<20ms)，這樣，雖然在一般情況下“符合”要求的加電順序，但由于繼電器的動作時間參數散度較大，且大功率繼電器吸合時間小于10ms也符合指標規定。在這種情況下加電順序就不符合規則。而斷電則由同一個時序指令控制，在原理上，+T斷電后約10ms+H才斷電，斷電順序違背了規則的要求。如果在這10ms之內，時序控制電路產生了過渡過程通常存在的ST輸出，則可能誤引爆火工品。

2 潛在通路(SP)的預防

2.1 設計規則

(1)規則1

“線或”供電電路“斷電”的分支不要設置在每個“或”分支上，要盡可能設置在相加點之后。否則，可能存在抑制“斷電”功能或產生意外“供電”功能的SP。

(2)規則2

盡可能不用不帶電常閉觸點做不同分系統之間的狀態指示或連鎖信號(標志)。否則，在外系統通電運行而本系統斷電狀態下，存在誤發指示或標志信號的SP。

(3)規則3

使用場效應管作開關元件時，其供電斷路器應并接(50～100)KΩ電阻。

(4)規則4

輸入、輸出接口電路應盡量避免使用“雙向電路”。

(5)規則5

多用戶的公共信號源到各用戶之間，或多個信號線或控制一個用戶時，都要加隔離二極管，以消除各信號源到用戶之間的雙向通路，以減少各用戶之間的SP或ST。

(6)規則6

對控制感性負載的觸點或開關管的保護(滅弧)，不宜采用并電容或阻容串聯電路，應盡可能采用在感性負載上并電阻串二極管的方式。

2.2 示例

(1)規則1示例

某系統+T11和+TD電源的轉(供)電電路的網絡樹如圖7所示。箭上+T11和地面+TD對箭上用電負載KH形成了“線或”供電電路。由于箭上供電和地面供電均有手動和自動狀態，且手動和自動之間沒有連鎖控制，相互獨立操作運行。在緊急斷電操作或其他特殊情況下切斷箭上供電時，如果地面供電是接通的(Kgd接通)，則箭上負載仍然是供電狀態，抑制了斷電功能。

如果將斷電觸點KD移到相加點之下(圖7中虛線所示)，則可消除此潛在電路。

圖7 供、轉、斷電路網絡樹

(2)規則2示例

因為不帶電常閉觸點的指示或標志的自然屬性具有二義性，即所在系統不加電、繼電器不工作兩種含義。就是說，不帶電常閉觸點本身就是SI或SL。只能在一種屬性為“非”的連鎖控制的前提下，另一種屬性才具有唯一性，才能作為指示或標志。例如，某系統用繼電器K的常閉觸點作為指示觸點，且定義觸點接通時表示“準備好”送給相關系統。如圖8所示，系統中的“準備好”開關Szb初態常閉，上電接通K，使常閉點斷開?！皽蕚浜谩睍r，合上Szb(常閉點斷開)，使K釋放，常閉點接通，給出“準備好”指示信號。

當系統處于斷電狀態，而相關系統為上電工作狀態，K也是釋放狀態，常閉點也是接通的，但指示的是另一種屬性，即：“所在系統不上電工作”，但相關系統的識別電路只取一種屬性 “準備好”，于是產生了錯誤。

如果相關系統上電時，通過二極管連鎖控制Szb/2加電(如圖8中虛線所示)，從而使K吸合(所在系統不上電工作為“非”)，問題可以解決，但不是好方案。

圖8 指示電路網絡森林

(3)規則3示例

因為場效應管源漏極間結電容Csd較大且散布度高，在給源極S供電瞬間可能形成SP，干擾測試工作甚至造成受控器件誤動作。在供、斷電開關K上并接(50～100)KΩ電阻，只要電源有電就會對結電容慢慢充電直到充滿。這樣，在上電瞬間就不會形成SP，如圖9所示。

圖9 場效應管開關電路的供電

(4)規則4示例

雙向電路就是正、反向電阻差別很小、電流能正、反向流過的電路。它是引起SP或ST的重要因素之一。如圖4中V22，V32防反二極管與光電耦合器發光二極管并聯使用使電路變成雙向電路。否則，雖然Xf3先于Xf1分開，也不會形成ST。再如圖10所示，他測和自測接口電路，GM2和GB2相互隔離，由于V6和V8的存在，接口變為雙向電路。

圖10 某接口電路網絡樹

+B2供電測試時，當K1接通時，存在+B2→K1→TB1→R1→V5→GM2節點→V8→R5→TB2→R7→R8→V3→GB2的SP，如箭頭所示?？墒棺詼y接口收到K1信號，而他測接口收到假“K2”信號。

當K2接通時，又通過完全類似的SP：+B2→K2→TB2→R5→V7→GM2節點→V6→R1→TB1→R3→R4→V1→B2，而使自測接口收到K2信號，他測接口收到假“K1”信號。

如果將防反二極管和發光二極管串聯使用，仍然可以達到防反目的，卻消除了雙向電路，也防止了潛在電路。

(5)規則5示例

如圖4的復位信號，如果在每個時序裝置的輸入端都加上隔離二極管，在Xf3，Xf1分離的時差內，就不會有SP。

(6)規則6示例

作為滅弧用，電容必須較大，電容或阻容串聯電路本身就是一個瞬時電流路徑。如圖3中ZTF觸點上并聯的阻容串聯滅弧電路，使得在測試狀態下，存在+B3→K7線圈→Zt觸點→-H節點→串聯常閉觸點Zf→+H節點→R→C→Ldf線圈→GB的SP。這個SP也可使K7誤吸合，并有使分離插頭誤分離的可能。如果在Ldf處引出測量點，還可能測到假ZTF接通信號。

在使用狀態下，仍然存在由RC滅弧電路形成的SP。它使得當接通+H母線時，沿+H→R→C→Ldf→B流過的潛在電流也有使分離插頭誤分離的可能，并測到假ZTF接通信號。

3 結束語

航天器具有高可靠性、高安全性的要求，需盡量避免潛在電路的存在，這就要求各級設計人員、電總體負責人員對潛在電路的特點和危害有深刻的認識。一個復雜電子電氣系統，要消除潛在電路，不僅需要在設計完成后應用潛在分析技術進行分析驗證，更需要在設計過程中盡量避免引入潛在電路。本文針對彈(箭)控制系統中典型的測試接口電路、時序電路、指示電路、供斷電電路、滅弧保護電路等，提出了13條避免潛在電路的設計規則，為電路的可靠性設計提供了參考。

[1] 嚴殿啟.潛通路分析技術[J].導彈與航天運載技術，2000,(1)：43-47.(YanDianqi.SneakPassageAnalysisTechnology[J].MissilesandSpacevehicles,2000,(1):43-47)

[2]JamesL,Vogas,SneakAnalysisofApplicalionSpecificIntegratedCircuits[C]. 1992AerospaceDesignConterenceFebruary3-6 ,1992.

[3]JeffM.SneakCircuitAnalysisfortheCommonMan,ADA21575[R].FortBelvoir:DTIC, 1989.

Design Rules to Avoid Sneak Circuit with Regard to Several Typical Circuit

Yan Dianqi ， Meng Pengfei

Beijing Aerospace Automatic Control Institute, Beijing 100854, China

Sneakcircuithasgreatinfluenceonthereliabilityoftheproductandsneakcircuitreductioncanimprovethereliabilityofcircuitdesign.Thethirteendesignrulestoavoidsneakcircuitwithexamplesinconnectionwithseveraltypicalcircuitofcontrolsystemareproposedinthispaper.Twoaspectstoavoidsneakcircuitarediscussed,includingthepreventionofsneakpathandsneaktiming.Thecontentsareinvolvedinavoidingusingbidirectionalcircuitintestinterfacecircuit,avoidingsimultaneousconnectioninsequentialcircuit,avoidingusingthe“groundswitch”intheindicatingcircuitandcontrolcircuit,ensuringdrivingpowersupplywith“thenconnect,firstdisconnect”behaviourandcontrolpowersupplywith“firstconnect,thendisconnect”behaviourinpowersupplycircuit,avoidingusingcapacitorinarcquenchingprotectioncircuitetc.Theexampleforeachdesignruleindicatesthattheruleiseffectivetosupportcircuitreliabilitydesign.

Controlcircuit;Sneakcircuit;Designrules

2013-09-11

嚴殿啟(1935-)，男，吉林伊通人，研究員，主要研究方向為潛通路分析技術及其應用；孟鵬飛(1982-)，男，河南商丘人，碩士研究生，工程師，主要研究方向為可靠性、環境適應性測試性等通用質量特性技術。

V448.15

A

1006-3242(2016)04-0095-06