基于FPGA的改進型電子安全與解除保險系統

張 旭 孫國先

（西安機電信息技術研究所，陜西 西安 710065）

1 引言

與傳統機械式、機電式引信安全解除保險系統相比，全電子安全解除保險系統（Electronic Safety and Arming System，ESA）具有更大的優勢，系統全部由電子元件組成，具有較高的安全性、可靠性以及良好的抗干擾性能。全電子安全與解除保險系統能夠使用多種環境信息作為解除保險的激勵信號，極大地拓展了全電子安全與解除保險系統的應用領域[1,2]。

一般來說，電子安全與解除保險裝置的邏輯控制器包括ASIC、ARM、單片機等。早期FPGA產品的功能和性能有很多局限性，如功耗高、成本高、密度低、加工速度慢等，實現電子安全與解除保險裝置功能的控制器通常采用ASIC 技術。ASIC 技術的應用大大降低了產品的成本和規模，同時提高了產品的可靠性，推動了全電子安全與解除保險裝置小型化、集成化的發展[3]。然而，隨著近幾十年來FPGA技術的快速突破，FPGA產品的性能不斷得到顯著提高，其大量應用在工業控制領域。與傳統ASIC相比，FPGA產品具有可編程性強、易于修改等特點，具有極大的靈活性。此外，應用FPGA技術開發電子安全與解除保險裝置能大大縮短研發周期，同時能很好地控制成本[4]。在系統設計的正常水平上，FPGA產品正在迅速占據原來由ASIC產品占據的市場份額。

雖然ARM 和單片機價格低廉，在工業上得到了廣泛的應用，但在高溫、強磁場、強沖擊和振動等惡劣環境中應用時可靠性較差。為了解決現有單片機ESA 系統的不易修改性及變成性差的問題，同時為了極大地適應ESA系統在強電磁干擾等惡劣環境條件下使用的安全性及可靠性，提出了采用雙FPGA 芯片作為ESA 系統解除保險的邏輯控制單元。兩個FPGA控制器主要負責識別彈上環境激勵信號，同時也控制解除相應的保險開關。本文最后對整個工作過程進行了仿真和相應的分析，驗證了該系統的正確性和有效性。

2 電子安全與解除保險系統

導彈發射后將經歷不同的物理場，包括力場、聲場、電場、熱場和磁場[5]。選擇不同的環境信息作為解除保險的激勵信號需要考慮兩個因素，一方面，它必須有一個獨有的特征，能夠區別于其他環境信息。另一方面，這種環境信息必須能夠利用技術手段方便地被檢測和識別[6]。

經過試驗表明，火箭發動機產生的加速度是穩定的，并且持續很長時間。彈上控制系統給出的制導信息是在導彈飛行的某個時刻，具有唯一性。這兩種解除保險的環境激勵信號都具有唯一的特點，同時易于檢測和識別。因此，選擇發動機加速度和制導信息作為解除保險的環境激勵。本系統框架如圖1所示。

圖1 電子安全和接觸保險系統組件

為了識別導彈發動機在點火以后產生的加速度，采用AD22035 加速度傳感器來識別加速度信號。加速度傳感器由信號濾波電路、放大電路和AD0805 組成的信號處理電路對加速度模擬信號進行處理。然后將經過AD轉換后的數字信號輸入到FPGA1 器件中進行進一步的可靠識別，當可靠識別到加速度信號時打開電子開關SW1。

當制導信息到達時，相應的開關閉合，接通15V 電源。該信號經濾波后調整到標準電壓3.3V，最后輸入到FPGA 2器件中進一步可靠識別。

ESA 系統中的三個電子開關起著保持系統安全的作用。當各級解保環境信號均被正確識別時，電子開關將打開，相應的保險解除。當所有三個開關都打開時，ESA 系統處于解除保險狀態。簡而言之，兩個微控制器FPGA1和FPGA2負責環境激勵信號的識別，同時兩個控制器協同工作生成驅動信號以打開所有開關，解除所有保險使ESA系統處于保險解除狀態。

3 系統工作原理

整個ESA系統處于安全狀態時，三個負責保險的電子開關均與解保電源斷開。由于沒有向通信模塊提供電源，因此在安全狀態下，起爆控制器FPGA3不工作。當導彈發射后，兩個FPGA控制器協同工作將按順序打開三個電子開關，當所有開關均被打開后，引信由安全狀態轉入解除保險狀態。圖2為兩個環境激勵信號識別原理和相應時序。

圖2 環境激勵識別的原理

在圖2中，“a0”和“a1”的代表環境激勵信號的閾值。“t”表示導彈工作時間，其單位為秒。虛線代表有效信號，而實線代表時間窗口。從圖中可以看出，所有的三個信號是由閾值和三個時間窗分別判斷[7]。

控制器FPGA1 用于識別導彈發動機加速度信號，其工作頻率為1MHz。導彈發動機產生的加速度信號將持續很長時間。因此，信號識別策略采取了兩個原則，就是信號幅度和時間窗口。對于此特定應用場景，將選擇20g加速度作為閾值，當其幅度大于20g的信號被認為是預定的信號。同時如果這一預定信號持續時間超過0.8s，以及小于1s，則此信號識別為正確有效信號。加速度信號進行有效識別后，控制器FPGA1 將輸出兩個信號，right_acc 和sw1。其中right_acc作為反饋信號保存在FPGA2中，而sw1信號用作打開電子開關SW1的驅動信號。

控制器FPGA2的工作頻率為1kHz。當right_acc保持高電平為0.2s，則該時間窗口方法用于進一步識別信號的有效性。如圖2 所示，right_acc 的時間窗口為0.8s～1.4s。只有當right_acc持續在這個時間窗口內時，系統才認為它是有效的信號。然后，識別right_acc作為正確有效信號所需時間保存在FPGA2中的CNT3計數器。

控制器需要識別的另一個解保環境信號是制導信息。利用控制器FPGA2 識別制導信號，同樣，也采用閾值+時間窗的方法來識別該信號。當其電壓上升為邏輯高電平時，FPGA2 相應計數器開始計算其持續時間。如果高電平持續時間超過0.2s，則該信號被認為是正確有效的。此時，FPGA2輸出sw2信號以驅動SW2開關打開。同時FPGA2計數器也保存有效的制導信息到達的時刻。然后FPGA2 比較right_acc 的到達時間和制導信息到達時間。如果right_acc信號先出現并且制導信息后到達，則FPGA2將輸出sw3以打開開關SW3。如果沒有，則沒有信號輸出，并且開關保持與電源不連接，則整個系統處于安全狀態。

4 實驗驗證

本系統采用Altera 公司生產的Cyclone II FPGA 進行設計實現。在QuartusII 軟件中編寫和編譯Verilog HDL 程序，借助Modelsim仿真軟件進行時序仿真，仿真結果如圖3至圖7所示。

圖3 FPGA1從AD讀取數據

圖3表示出控制器FPGA1從AD設備中讀取加速度信號的過程。圖3中顯示的所有信號解釋如下：

Clk是FPGA1的基本工作頻率大小為1MHz。rst_n表示復位信號，當rst_n為邏輯低時，內部信號的值被重置。Wr_n用作來控制AD設備，當wr_n為邏輯低電平時，AD設備將復位，同時d0～d7 的值變為零；當它變為高電平，開始數據傳輸，在進行數據傳輸期間，intr信號保持邏輯高。在64個時鐘周期之后，8位二進制代碼被傳送到輸出鎖存器同時將intr變為邏輯低電平。Intr信號的邏輯低表示整個AD數據完成傳輸。當數據傳輸完成，rd_n 信號變為低電平，FPGA1 可以讀取d0～d7 的值，將讀取到的數據臨時存儲到一個8 位寄存器中，該寄存器的名稱為read_data。然后在下一個時鐘周期內，FPGA1通過相關指令將該值與設置的閾值進行比較。如果它超過閾值，則cnt2的值將加1。如果不是，則cnt2的值保持不變。此時，wr_n變為邏輯低電平，將進行下一次的信號識別和傳輸過程。

圖4 表示加速度信號的識別結果。如圖4 所示，在1s 的時間窗內當read_data里面保存的值超過閾值時，計數器cnt2的值就會增加。在1s的時間窗之后，將cnt2和11765的值之間進行比較。根據圖4，若cnt2 累計值超過11765，這表明加速度信號的持續時間超過0.8s（計算公式如下：11765×0.068=800.2ms），當幅值和持續時間都滿足要求時則認為該信號為有效信號。同時在下一個時鐘周期到來時，將right_acc 和sw1 都置為高。sw1 信號驅動打開開關SW1，并且將right_acc作為反饋信號傳輸給控制器FPGA2。

圖4 識別加速度信號的結果

圖5 FPGA2信號的仿真結果

FPGA2 的工作頻率為1 kHz。仿真時間設置為35s。根據圖4，該系統在31194ms完成解保。

FPGA2 中為了識別right_acc 信號，使用閾值+時間窗的方法。當right_acc 變高時，cnt1 開始記錄其持續時間，如果持續時間為200ms，則在時間窗內進一步識別它。從圖4 可知，right_acc 將在1s 內傳輸給FPGA2。在識別其預設閾值200ms 后，FPGA2 中的時間窗在1s～1.4s 的范圍內。根據圖6，right_acc在1193ms到達，在預設的1s～1.4s的范圍內，將其視為有效的信號，同時將該值記錄到cnt3中以進一步識別。

圖6 識別right_acc信號的結果

圖7 識別制導信號和輸出

圖7所示是識別制導信號的過程。為了識別制導信號，使用時間窗口的方法。如果此信號變高并持續200ms，則視為正確信號。當可靠識別到制導信號后，sw2變量置高，驅動打開電子開關SW2。同時，cnt4 記錄識別制導信號的時間。在下一個時鐘周期中，比較cnt2 的值和cnt4 的值，可以明確兩個環境激勵信號到來的先后順序。如果cnt3 的值小于cnt4 的值，則sw3 將變高，然后打開電子開關SW3。如果不是，則sw3保持低電平，開關SW3不會打開。

5 結語

本文提出了基于FPGA 的電子安全與解除保險系統。通過改進現有基于ARM 和單片機作為邏輯控制單元的體系，通過使用兩個FPGA 芯片進行保險解除的邏輯控制單元，使得設計過程變得更容易，開發周期短，產品易于修改。通過實驗模擬和仿真分析了基于FPGA 的電子安全和解除保險系統的整個工作過程，模擬和仿真時序表明本系統能夠基于“閾值+時間窗”兩個信號識別原則正確區分不同的環境激勵信號。結果表明該系統能替代現有的基于ARM 和單片機的ESA 系統，方法可行、有效，符合相應國軍標的要求。此外，在設計過程中，嚴格遵循了幾個重要的設計標準。依據這些標準[8,9]，兩個FPGA 芯片應該在不同的時鐘頻率下工作，以防時鐘問題可能導致兩個FPGA 器件都出現故障。本系統中，兩個FPGA 工作在不同的時鐘頻率，這不僅符合設計標準，而且使系統更可靠。