運載火箭火工品自動保護與解保安全控制技術研究與應用

汪 灝，周恒保，張青青，李 明，張粒子，徐 昕

(1.上海宇航系統工程研究所，上海 201100; 2.上海航天電子技術研究所，上海 201100;3.南京航空航天大學 航天學院，南京 210016)

0 引言

運載火箭發射是一個復雜的系統工程，推進劑、高壓氣體、火工品等都是重大危險源。高可靠性和高安全性是運載火箭發展的基礎，也是提高行業競爭力和生存的根本[1]。

目前，我國運載火箭在加注燃料及發射準備過程中自動化程度不高，尤其在火箭發射前的燃料加注、狀態準備等諸多環節仍采用大量的人工操作，存在較大的系統安全風險。美國、前蘇聯、巴西等國家都曾發生過火箭在塔架爆炸而導致大量人員傷亡和財產損失的災難性事故，教訓慘痛。2016 年 9 月，獵鷹 9 火箭在加注燃料后的靜態測試中發生爆炸，由于其采用了自動控制技術，實現了發射前端的無人值守，未造成人員傷亡。

因此運載火箭各系統應盡可能減少前端的人工操作，尤其是進入發射流程后應實現自動運行，實現前端無人值守，確保人員安全。

在運載火箭發動機點火、級間分離、整流罩分離、星箭分離等節點普遍使用火工品完成相應功能。火工品易受到雜散電流、射頻、靜電等因素影響，一旦產生誤爆炸將帶來巨大災難性的后果[2-5]，所以在運載火箭發射前對箭上火工品進行短路保護十分必要；在運載火箭發射后箭上火工品必須正常引爆，否則也將帶來災難性的后果，因此在火箭臨射前必須將箭上火工品解保。

針對運載火箭火工品保護與解保的問題，國內外均有相關研究。

日本Epslion火箭箭上安裝了小型化火工品回路檢測設備(MOC)，主要完成火工品回路的檢查，并可模擬起飛、分離等信號。該設備在火箭發射前拆除，可以反復使用。

歐洲阿里安5運載火箭在射前-7 min進入同步程序，自動完成補加液氧液氫、火工品解保、一子級增壓至飛行值、一子級發動機冷卻、打開地面和箭上電源開關、對地面和箭上接口檢查等。阿里安5箭上火工品控制采用了繼電器，其火工品保護采用了繼電器觸點短接方式，在射前7 min內自動完成繼電器保護狀態至解保狀態的切換。

國內運載火箭電氣系統，已基本實現箭上設備遠程控制、狀態參數遠程監測和發射流程自動化運行。但國內運載火箭火工品仍采用傳統火工品總短路保護插頭方式進行保護，在臨射前人工手動拆除。XX-2D、XX-3、XX-4B/C等現役運載火箭一般在最后一次加電前拆除火工品總短路保護插頭；XX-6運載火箭在推進劑加注后人工拆除火工品總短路插頭，均未實現電氣系統箭上無人值守。這種通過人工斷開箭上火工品總短路插頭的方法，在火箭發射流程發生中斷或遇到緊急情況時，無法實現火工品保護狀態的快速恢復。

為實現運載火箭射前電氣系統箭上無人值守、射前故障狀態下火工品保護狀態快速恢復，提高運載火箭射前操作安全性，本文開展了運載火箭火工品自動保護與解保安全控制技術研究[6-9]。

在運載火箭電氣系統中配置火工品自動保護與解保裝置，通過磁保持繼電器觸點開閉完成火工品線路短接實現火工品保護與解保，磁保持繼電器依靠自身磁路完成火工品保護回路“常開”、“常閉”兩種狀態的自保持，解決了單機未加電情況下火工品保護狀態的維持問題。由地面測試設備與箭上火工品自動保護和解保裝置進行通信，控制完成火工品自動保護與解保工作。

目前該技術已在某型號運載火箭電氣系統設計中應用。由此，運載火箭射前火工品保護與解保可以自動切換實現運載火箭臨射前電氣系統箭上零人工操作，做到無人值守；并可實現運載火箭在射前故障狀態下火工品保護狀態快速恢復。

1 系統結構及原理

常規運載火箭火工品控制系統一般由綜合控制器和電阻盒組成，火工品控制指令由綜合控制器發出，通過電阻盒完成引爆電流轉換并傳送給火工品完成引爆。當火工品控制線路引入干擾信號時，可能導致火工品誤爆炸帶來災難性事故[10-14]。

運載火箭火工品自動保護與解保安全控制系統是在常規運載火箭火工品控制系統基礎上增加配置火工品保護控制器，將火工品通過電纜網引至控制器，由其完成保護與解保。系統原理結構如圖1所示。

如圖1所示，火工品控制系統電阻盒內部火工品指令輸入點與負母線引入火工品保護控制器，此時火工品和電阻盒中限流電阻與火工品保護控制器串聯，利用控制器內部的繼電器觸點進行短接，以實現火工品短路保護功能。當控制器內部繼電器觸點處于閉合狀態(即保護狀態)時，若火工品控制線路中出現干擾，干擾信號會通過火工品保護線路釋放，避免火工品誤爆炸的可能。當控制器內部繼電器觸點處于打開狀態(即解保狀態)時，火工品保護線路處于斷路狀態，此時火工品控制線路與原狀態相同。

火工品保護的特殊性要求是火工品保護控制器在斷電后仍能維持火工品保護狀態，即保護繼電器閉合狀態，因此火工品保護與解保繼電器需使用磁保持繼電器。磁保持繼電器的特性是：收到脈沖控制信號就會發生觸點狀態跳變，在脈沖控制信號消失后維持觸點狀態不變[15-16]。

考慮到磁保持繼電器收到脈沖信號跳變的特性，當火工品保護控制器受到脈沖干擾也可能會導致火工品保護狀態改變，因此增加一個火工品解控繼電器作為火工品保護與解保繼電器的開關。火工品解控繼電器采用電磁繼電器，只有收到控制信號才會動作。這就相當于給火工品保護與解保新增了一層保護，只有解控繼電器觸點閉合時才能對火工品保護與解保繼電器進行操作，增強了系統抵御外界干擾的能力。

如圖1所示，火工品保護控制器由地面測發控系統通過RS422信號進行控制。在火箭測試階段由地面測發控系統通過RS422信號發出“解控”、“保護”、“解控斷”指令至火工品保護控制器，設備將指令轉換為繼電器的28 V控制信號自動完成火工品保護工作；在箭上加電過程中通過RS422實時監測火工品保護狀態(即繼電器觸點閉合狀態)；在火箭臨射前，地面測發控系統通過RS422信號發出“解控”、“解保”、“解控斷”指令至火工品保護控制器，設備將指令轉換為繼電器的28 V控制信號自動完成火工品解保，在箭上加電過程中通過RS422實時監測火工品解保狀態(即繼電器觸點打開狀態)。

火工品保護與解保控制電路原理如圖2所示。以火工品解保為例介紹整個控制過程，當火工品保護與解保控制設備受到地面測發控系統發出的解控指令后，J1-J4解控繼電器(電磁繼電器)得電動作，保護及解保指令并聯回路中的J1-J4觸點變為打開狀態，串聯回路中的J1-J4觸點變為閉合狀態，此時火工品保護及解保指令具備控制條件；當地面發出火工品解保指令時，K1-K20火工品保護與解保繼電器(磁保持繼電器)變為打開狀態并磁保持，火工品解保；此時斷開解控指令，J1-J4解控繼電器(電磁繼電器)斷電恢復，保護及解保指令并聯回路中的J1-J4觸點變為閉合狀態，串聯回路中的J1-J4觸點變為打開狀態，此時地面火工品保護與解保指令不再作用，火工品被維持在解保狀態。火工品保護原理同上。

火工品保護與解保繼電器、解控繼電器觸點在單機加電情況下處于實時監控狀態，可用于火工品保護與解保控制操作時的狀態確認和火箭測試及飛行過程中的火工品狀態監控。

在運載火箭電氣系統使用時，在地面測試狀態下火工品置保護狀態；在火箭進入發射流程射前10分鐘準備時地面主控微機流程自動將火工品置解保狀態；當火箭出現發射流程中斷或緊急故障問題時，可通過主控微機將火工品置回保護狀態；當火箭點火后出現發動機故障發生緊急關機時，主控微機可通過接收到的緊急關機指令自動將火工品置回保護狀態。

2 火工品自動保護與解保控制關鍵技術

2.1 磁保持繼電器技術

運載火箭火工品的特殊安全性要求在于其在火箭發射前必須處于短路保護狀態，確保無誤爆炸的風險；在火箭發射時必須處于非短路保護狀態，確保其飛行過程中引爆正常。因此火工品自動保護與解保控制要求在單機未加電情況下維持火工品處于保護狀態。

在運載火箭電氣系統設計中多采用電磁繼電器或固態繼電器，均需在繼電器加電情況下才能維持觸點的打開或閉合狀態，無法滿足火工品自動保護與解保控制的使用要求。且在飛行高頻振動、沖擊、高低溫等惡劣環境條件下，火工品解保狀態觸點需維持其狀態不變，這對火工品自動保護與解保控制繼電器的選取也提出了更高的要求[17-18]。

磁保持繼電器就解決了以上難題，其工作原理為：磁保持繼電器觸點開、合狀態由永久磁鐵所產生的磁力所保持。當繼電器的觸點需要開或合狀態時，只需要用正(反)直流脈沖電壓激勵線圈，繼電器在瞬間就完成了開與合的狀態轉換。當觸點處于保持狀態時，線圈不需要繼續通電，僅靠永久磁鐵的磁力就能維持繼電器的狀態不變。其工作原理見圖3。

圖3 磁保持繼電器工作原理

圖3演示了狀態轉換過程。當繼電器的觸點需要從初始變為置位狀態時，用正直流脈沖電壓激勵線圈 J2，線圈 J2 勵磁后產生的磁極與永磁鐵的磁極相互作用，同極性相互吸引，異極性相互排斥，使得繼電器在瞬間就完成了狀態轉換，反之同理。

磁保持繼電器只需一次性脈沖觸發就能長久保持一種狀態，無需長時間供電維持狀態。火工品保護與解保繼電器選用磁保持繼電器，繼電器依靠自身磁路完成“常開”、“常閉”兩種狀態的自保持，無需額外加電維持。磁保持繼電器這種特點使得在全箭斷電情況的火工品保護變得十分簡單，適用于單機未加電情況下的火工品保護需求。另外磁保持繼電器還具有體積小、負載能力強的特點，因此該技術非常適用于火工品自動保護與解保控制。

航天科技集團九院165廠生產的4JB2-2超小型磁保持繼電器，有4副觸點，額定電壓28 V，額定電流2 A，體積21 mm×11 mm×11.5 mm。其具有體積小、功耗低、重量輕、集成方便等特點。經飛行環境試驗考核，該繼電器可以滿足在飛行高頻振動、沖擊、高低溫等惡劣工況下工作。因此選用該產品作為火工品保護控制器的磁保持繼電器。

2.2 高可靠電路設計技術

系統實現火工品自動保護與解保安全控制技術的核心為火工品保護控制器，該設備由電源模塊、通信控制模塊、火工品保護控制模塊、繼電器觸點狀態采集模塊組成，其原理如圖4所示，通過接受地面指令完成箭上火工品的保護和解保。

圖4 火工品保護控制設備原理框圖

電源模塊用于將外部的28 V一次電源轉化成為單機需要的5 V、3.3 V和1.8 V二次電源；通信控制模塊主要完成與地面RS422信號的通信控制；火工品保護控制模塊接收地面控制信號驅動繼電器組合完成火工品保護與解保控制；繼電器觸點狀態采集模塊用于實現火工品保護狀態的監測功能。

TI公司的DSP芯片SMJ320F2812具有速度高、性能強、軟件資源豐富等特點，目前在運載火箭電氣系統單機中均有應用。該處理器工作溫度-55～125 ℃，已經過飛行驗證。

火工品保護控制模塊在接收DSP發出的解控、保護或解保指令后，通過驅動電路控制相應繼電器的線包實現控制。火工品解控采用6JT5-1電磁繼電器，火工品保護與解保采用4JB2-2磁保持繼電器，均為航天成熟應用產品。兩種繼電器驅動均采用晶體開關管，控制線包正端的方法實現。采用了4D5713 硅NPN 高頻小功率三極管陣列，最大電流0.5 A，每路400 mW。為了增加可靠性，采用雙三極管開關的方式，見圖5所示。當其中一個三極管失效(開路或性能衰減)時，電路仍能正常工作。DSP根據接收的指令，輸出相應的IO信號，IO信號經光耦隔離、三極管放大后，實現驅動繼電器線圈的驅動功能。

圖5 雙三極管控制驅動電路圖

繼電器觸點狀態采集模塊由通路切換電路、信號調理電路、采樣電路組成，如圖6所示。該模塊主要用于對火工品保護解保繼電器、解控繼電器觸點的閉合和打開狀態進行采樣監測，使用不大于10 mA的恒流源作為信號源，狀態采集模塊狀態采集完成后，斷開恒流源輸出，確保火工品安全。

圖6 繼電器觸點狀態采集電路示意圖

火工品狀態經采集后，通過RS422通路傳給地面測發控系統。火工品保護與解保控制裝置配置3路422接口，分別與測量系統(1路)及地面測發控系統(1主1備)通信，傳輸控制指令及監視參數。DSP F2812內置2路SCI接口協議，配置外部接口電路即可實現RS422功能。RS422輸入器件采用DS26C32、輸出器件采用DS26C31，都為TI公司產品，采用標準的422串行、異步、全雙工電路。工作溫度范圍為-55～+125 ℃的軍級芯片。串口通信的工作方式為全雙工，采用RS-422A通信標準，通信速率選擇在9 600 bps、19 200 bps、38 400 bps及115 200 bps四個常用波特率之中，誤碼率小于1×10-6；數據按字節發送，每幀含1位起始位、8位數據位、1位偶校驗位、1位停止位。所選的DSP有片上SCI串行通信接口模塊，與外部RS422物理層驅動接口芯片連接，符合標準RS422電氣接口規范(見圖7)。

2.3 系統冗余設計技術

為提高火工品自動保護與解保控制的可靠性，對系統進行冗余設計[19-21]，具體如下：

1)控制指令冗余設計。地面測發控系統和火工品保護控制器采用1主1備的雙路RS422通信模式。RS422通信不僅傳輸地面發出的火工品狀態控制指令，還接收箭上下發的火工品狀態監視參數。配置雙冗余RS422通信接口，實現了指令傳輸線路的冗余。

2)火工品狀態觸點冗余設計。火工品保護與解保觸點采用2個磁保持繼電器觸點串聯的結構，在火箭飛行過程中當其中一個繼電器出現問題后，仍然能夠保證火工品保護線路斷開，不會影響飛行任務。

3)火工品解控線路冗余設計。火工品解控觸點電路采用4個電磁繼電器2并2串的結構設計，可適應單個繼電器觸點異常的一度故障。同時在火工品保護與解保觸點線路上串聯一個常開的火工品解控觸點線路，并聯一個常閉的火工品解控觸點線路，與火工品保護與解保線路形成互鎖結構，提高指令控制安全性。

4)繼電器驅動信號冗余。火工品保護與解保、解控繼電器采用雙三極管開關的方式驅動。當其中一個三極管失效(開路或性能衰減)時，電路仍能正常工作，確保繼電器驅動正常。

2.4 層疊式結構綜合電子技術

火工品保護控制器包含電源模塊、通信控制模塊、火工品保護控制模塊、繼電器觸點狀態采集模塊等多個模塊，但火工品保護與解保技術對可靠性要求極高，任何一點閃失都會導致箭毀人亡，任務失敗的損失。這就需要在單機結構設計中選擇既保持結構強度，又滿足電磁兼容性設計的結構。同時因為驅動電路電流較大，所以需考慮散熱及大電流要求。因而火工品保護控制器整體結構采用層疊式結構形式，如圖8所示。

圖8 層疊式結構示意圖

火工品保護控制器印制板按功能相關的模塊分類設計，采用層疊式結構組合，印制板設計中增加隔離層，防止層與層相互之間的影響，同時這種結構有利于調試和維護[22]。

棧接接插件上通過的信號有電源、驅動信號、反饋采樣信號、數據總線等。棧接接插件選用J80/J80C型直插轉接插座96/48芯，接點間距 2.0 × 2.0，具有直插轉接以及防錯插功能。工作電流大3 A, 接觸電阻≤10 mΩ，絕緣電阻≥5 000 MΩ，介質耐壓1 000 V。

殼體結構為一體化鋁材料框架，表面為天藍色絕緣鍍層。側面及兩印制板安裝位置之間均有加強徑。整體剛性較好、結構強度高、重量較輕。

考慮功率模塊通過殼體散熱，因此把電源功率模塊的散熱面直接安裝于殼體結構上，散熱面積盡可能大。

2.5 智能BIT檢測技術

對于火工品自動保護與解保安全控制系統而言，有效的故障診斷能夠及早發現故障并及時處理[23]，對保障火工品安全保護及飛行正常工作有重要意義。

火工品自動保護與解保安全控制系統采用了狀態檢測、監控和故障隔離綜合技術(built-in-test，BIT)能夠檢測到故障，確定故障模式，界定故障范圍，并執行故障預測和隔離等相關措施，具有一定的報警能力。

火工品自動保護與解保安全控制系統具備以下BIT功能：

1)火工品保護與解保設備在上電時或接收到上位機自檢指令時，完成自身初始狀態自檢，自檢內容包括接口芯片、處理器芯片、內存、供電電源、寄存器狀態等。

2)對于火工品保護與解保設備內部控制芯片、采樣電路等突然發生損壞或停止工作的 故障問題，火工品保護與解保設備根據采集的狀態信息，對照內嵌的狀態分析表進行故障模式判斷和定位，并將故障信息上傳上位機。

3)對于火工品保護與解保、解控等觸點狀態，火工品保護與解保設備通過RS422通信接口將監測數據上傳給地面測發控系統或上位機，由地面測發控系統或上位機通過對數據進行對比判斷，得出相關繼電器及其觸點是否發生故障的結論。

3 試驗驗證與分析

運載火箭火工品自動保護與解保技術試驗驗證平臺組成如圖9所示。地面測試設備可向火工品保護與解保設備發出設備供電、自檢、火工品解控、火工品解保、火工品保護、火工品解控斷等指令，并接收火工品保護控制器回傳的自檢消息、火工品解控觸點狀態、火工品解控保護與解保觸點狀態等數據。

圖9 火工品自動保護與解保技術試驗平臺

3.1 初始狀態確認

將地面測試設備、火工品保護控制器、電阻盒和等效火工品負載按圖9進行連接，使用地面測試設備給火工品保護控制器上電，確認初始狀態如圖10所示。

圖10 火工品保護控制器初始狀態確認

按照表1進行狀態檢查，結果確認合格。

表1 初始狀態檢查確認表

3.2 解控接通測試

地面測試設備軟件發出“解控”命令，對火工品解控控制功能進行測試，如圖11所示。

圖11 火工品解控測試

按照表2進行檢查，檢查確認此時控制器解控狀態，結果合格。

表2 火工品解控測試檢查表

3.3 解保指令測試

如圖12所示，地面測試設備軟件發出“解保”命令，對火工品解保控制功能進行測試。

圖12 火工品解保測試

按照表3進行測試檢查，顯示此時1～30路火工品為非保護狀態，結果合格。

表3 火工品解保測試檢查表

3.4 恢復非解控并重新上電

如圖13所示，地面測試設備發出“恢復鎖定”命令，然后控制火工品保護控制器下電后重新上電，對火工品解保狀態進行確認。

圖13 恢復鎖定并重新上電

按照表4進行測試檢查，顯示此時1～30路火工品為解保狀態，結果合格。

表4 重新上電狀態檢查表

3.5 保護指令測試

地面測試設備發出“解控”、“恢復保護”命令，進行火工品保護控制功能測試，如圖14所示。

圖14 火工品保護測試

按照表5進行測試檢查，軟件顯示此時1～30路火工品為保護狀態，結果合格。

表5 火工品保護控制測試檢查表

3.6 重新上電確認

對火工品保護控制器執行恢復“恢復鎖定”并重新上電后，確認火工品保護狀態，如圖15所示。

圖15 恢復鎖定并重新上電

按表6進行確認，火工品保持保護狀態。

表6 解控接通測試檢查表

3.7 火工品控制器下電

在測試結束后，地面測試設備發出“火工品保護控制器下電”命令，火工品保護控制器下電。

上述試驗表明火工品保護控制器，控制火工品解控、解保、保護功能正常。在單機下電后依然可維持火工品保護觸點狀態不變。

4 系統可靠性安全性分析

運載火箭火工品自動保護與解保安全控制技術主要在箭上配置火工品保護控制器。通過地面測試設備控制箭上設備的火工品解控、火工品保護與解保繼電器實現箭上火工品自主保護與解保控制[24-25]。

為保證火箭測試和飛行過程中的可靠性安全性，對系統進行可靠性安全性分析：

1)為避免火工品保護與解保磁保持繼電器受異常指令或干擾驅動導致狀態異常翻轉，采用電磁繼電器J1～J4的“常閉”觸點對其進行短接鎖定，若需要對磁保持繼電器進行控制，則需要先進行J1～J4繼電器線圈加電，解除磁保持繼電器的鎖定；

2)采用第3.3章介紹的系統冗余設計，進行了控制指令、火工品解控觸點、火工品保護與解保觸點、繼電器驅動電路等冗余設計措施；

3)為保護或解保指令控制安全性，設置一副J1～J4的常開觸點串入指令回路，設置一副J1～J4的常閉觸點并入指令回路，保護/解保指令與指令解控形成互鎖電路，提高指令控制安全性；

4)在射前完成火工品解保后，繼電器處于斷開，設備內部電路與電阻盒線路完全物理隔離，最大程度保證設備內部線路不對電阻盒產生影響；

5)火工品保護及解保指令均由地面測發控系統發出，確保起飛后火工品保護指令不會發出，進一步提高火工品解保線路的安全性；

6)采用火工品自動保護與解保安全控制技術后，在射前故障狀態下可實現火工品保護狀態快速恢復，可減少風險。

5 結束語

當前中國新一代運載火箭，火箭推進劑采用液氧煤油，因此在測發流程中液氧煤油加注往往和箭上操作并行，存在很大的風險。電氣系統采用無人值守運載火箭火工品自動保護與解保安全控制技術，可在射前箭上自主實現火工品保護與解保，實現電氣系統臨射前箭上零人工操作，電氣系統箭上射前無人值守，在射前故障狀態下可實現火工品保護狀態快速恢復，可減少風險，降低經濟損失。

運載火箭火工品自動保護與解保安全控制技術可以有效提升便捷性和效率，降低人員現場值守風險；為后續多個在研運載火箭型號電氣系統提供無人值守解決途徑，可以有效地實現運載火箭加注后發射區無人值守要求，顯著提升了運載火箭可靠性安全性。