您所在的位置:首页 >> 产品中心

北京航天智控监测技术研究院

潜在分析技术(潜通路)研究中心

一、潜在分析技术简介(SA: Sneak Analysis;SCA:Sneak Circuit Analysis)

  潜在通路是指在电气/电子系统中使得系统产生非期望功能或抑制期望功能的电路,它与硬件失效无关,而是设计者无意地设计进系统的一种潜在状态。潜在通路的出现常常会给系统设备乃至人身造成巨大的危害。因此,一种解决潜在问题的技术——潜在通路分析技术(SA: Sneak  Analysis)应运而生。它可以全面地分析大型复杂系统的可靠性设计缺陷和潜在问题,把事故隐患消除在产品设计阶段,从根本上提高大型复杂系统的可靠性、安全性和战备完好率,同时也可以避免灾难性事故及由此带来的巨大经济损失。

二、潜在通路分析技术在国外的发展

  潜在通路分析技术是1967年由美国国家宇航局在阿波罗登月计划中为提高系统的安全性与可靠性而投资研究的,旨在事先识别存在于系统设计中的潜在问题。波音宇航公司承担了这个历史上第一个SA研究。1974年,波音公司将潜在电路分析技术用于F-4C飞行控制系统;1976年,波音公司利用已有的潜在电路分析技术查找软件中的潜在问题,所开发的技术使用了拓扑模式识别方法辨识汇编语言子程序中的软件错误。此方法包含研究过去所出现的软件故障案例并收集含有问题的计算机线索表,分析这些案例并在网络树中用类推方法描述软件命令,从而达到识别出潜在问题的目的。波音公司经多年的摸索和大量实际系统分析的补充和完善,最终建立起了一套相当完善的线索表和一支熟练应用线索表的分析队伍,不过由于军事和商业利益,这一技术处于严格保密的状态,因而也被称作是一种“黑色艺术”。八十年代中后期,欧洲也开始了此方面的研究。1997年10月,根据ESA的SA方法改编、修订的欧洲空间合作标准化组织(ECSS)的潜在分析标准的实施,标志着欧洲在该领域的研究和应用趋于规范化。历经几十年的发展,潜在通路分析技术已日臻完善。到目前为止,在国外已经形成了以波音公司和欧洲空间局为代表的2种分析方法和手段,并且都已经开发出了比较成熟的应用软件系统。 SA技术在航天领域的应用取得了巨大的成功。同时,这一技术也渐渐的应用到了其他的领域,大量应用于工业、民用等各类复杂系统。

三、潜在通路分析技术在国内的发展

  随着我国航天技术的发展,我国已经认识到SA技术的重要性,我国军标规定1988,GJB450第205工作项目,2005,GJB450A第306工作项目中均有相关要求,在90年代初我国逐渐开始了SA技术的研究。到目前为止,我国已经开发出极少数几个SA系统,其中以严殿启先生为首的中国运载火箭技术研究院北京航天自动控制研究所开发的计算机辅助网络树生成系统CANTGS,首次完成了具有相当规模的运载火箭长征三号控制系统关键电路的潜在分析任务,在工程应用上取得了突破性的成就。2011年以来北京航天智控监测技术研究院组建了以严殿启先生为首潜在分析技术(潜通路)研究中心,创建了《网络树布图的融合路径法 》,解决了具有多引脚电子器件的网络树图形生成的瓶颈问题。提出了智能潜通路分析(SSPA)的基本需求和算法,为USAS软件开发提供了强有力的基础和依据,使我国通用潜在分析系统(USAS)软件在航空、航天、船舶等国防领域全面进入实用阶段。

此外成都电子科技大学、第二炮兵工程学院等高校在潜通路分析领域也有一定的研究。

四、潜在通路分析技术难点

  利用现有的技术完成潜在分析任务必须要由系统经验极其丰富的专家根据长期工作积累的经验,对由计算机辅助识别出来的网络拓扑模式进行具体的分析与判断,其分析工作量巨大、周期长,且容易出现漏判而不全面,这些大大妨碍了一般控制系统综合设计人员的使用。为进一步提高航天、航空、船舶等复杂控制系统潜在分析的有效性和实用性,必须组建专业软件团队,将潜在分析技术领域权威专家的丰富经验系统化、智能化,最大限度的提高潜在分析技术的自动化和实用化水平。

五、航天智控潜在分析技术中心专家简介

  严殿启,1936年生,北京航天智控监测技术研究院潜在分析技术(潜通路)研究中心首席专家,国务院特殊津贴专家,中国潜在分析技术(潜通路)的开创者和奠基人,原中国运载火箭技术研究院副总设计师。

1959-1963年 北京航空航天大学火箭控制系统设计专业

1963-2004年 中国航天科技集团中国运载火箭技术研究院从事火箭控制系统设计与实验。历任工程组长、主任设计师 副总设计师、DF-4延寿项目技术负责人等。

1988-2004年 兼任SA技术研究课题组组长、研究生导师、博士后指导组副组长。首创“功能追踪法”等SA新方法。

2005-至今 中国航天科技集团安全性与可靠性中心高级顾问,指导航天系统SA技术研究。

2011-至今 担任北京航天智控监测技术研究院潜在分析技术(潜通路)研究中心首席专家,创建了《网络树布图的融合路径法 》,解决了具有多引脚电子器件的网络树图形生成的瓶颈问题。提出了智能潜通路分析(SSPA)的基本需求和算法,为USAS软件开发提供了强有力的基础和依据,使我国通用潜在分析系统(USAS)软件在航空、航天、船舶等国防领域全面进入实用阶段。

六、北京航天智控监测技术研究院潜在技术研究中心部分成果。

减少潜在电路的设计规则

Rules of design to avoid sneak circuit

摘要:北京航天智控监测技术研究院潜在分析技术研究中心专家综合近三十年潜在电路分析技术的研究与应用中的部分体会,以“设计规则”的形式加以总结。并以大量的示例进行了说明,以便于正确地理解与应用。 

Abstract: Design rules derived from 24 years of experience on research and application of sneak circuit analysis by author. They are illustrated by large amount of examples (net tree or forest) to 

show how to understand and apply. 

主题词:减少潜在电路   设计规则

Key word: reduce sneak circuit  design rules

主要缩略语:

SC: 潜在电路( SNEAK  CIRCUIT)

SP: 潜在路径( SNEAK  PATH)          

ST: 潜在定时(SNEAK  TIMING)

SI: 潜在指示(SNEAK  INDICATION)  

SL: 潜在标志(SNEAK  LABEL)                         

前言

  建立减少潜在电路的设计规则是人们所特别期望的,因为执行这些规则确实能减少潜在电路。但是,执行规则本身就是设计,同样存在三个因素的作用,即面条因素(Spaghetti factor),管视因素(Tunnel vision factor),和人的因素(Human factor)。一个复杂电子电气系统,要彻底消除潜在电路,不仅需要在设计过程中尽量避免引入潜在电路,更需要在设计完成后应用潜在分析技术进行潜在电路分析。因此,必须继续进行潜在分析技术的应用研究,尤其是对省时省力的全自动智能化的潜在分析技术的开发和应用研究。

为了提高示例线路的可识性,采用了潜在电路分析时使用的网络树(森林)的形式。

这些规则在进行潜在电路分析时可以作为提示线索使用。

规则

1  火工品桥丝的限流电阻不能共用,即便是并联使用的火工品。更不能用电缆的分布电阻代替。这种作法可能引入抑制火工品起爆的SC:当一支桥丝故障时会形成对其它桥丝旁路的SP,从而抑制了其它桥丝的引爆功能。如图1(a)所示。同时还引入使火工品的引爆电流一致性差的设计缺陷。一般最后引爆的桥丝电流大,可能超过允许最大电流值。最先引爆的桥丝电流小,可能超过允许最小电流值。应遵循每个桥丝串联一个限流电阻的规则。

2  用火工品的控制指令同时直接带动其它负载时,负载“地”端应与火工品“地”端连接,而不宜与电源“地”(负端)相连。否则可能引入潜在电路。如图2所示的实例,就是由于将指示电路(JF25等)、联锁继电器JK11的回流点就近接到了点火电源的负端而没有接到桥丝地。结果,已经接通的指令(JF13┄JF17)电流通过桥丝地、尚未接通的火工品桥丝(WQ1,3及其限流电阻)、指示电路和联锁继电器线圈,对点火电源地形成了SP。如图2之T3箭头所示。通过JK11的潜在电流引起JK11误动作,从而联锁JT5.6和脱落线圈TL动作,造成点火脱落插头TC提前脱落,致使发射失败! 常见的“其他”负载还有:测试或遥测电路、隔离电路等。

3 用共地电源控制火工品起爆时:

a. 在用同一个控制指令引爆相互距离较远的火工品的情况下,相互距离较远的火工品的地端母线之间应单独连线接到火工品负母线上,不应与其他火工品共用连接线。否则,当其它的控制指令接通时,由于连线电阻RL的存在而引入SP。如图3(a、b)箭头所示。其潜在电流随RL增大而增大,当RL大到一定程度,可能引起火工品误爆,比较危险。

4火工品安装后的测试线路设计,应断开点火电源插头,只使用恒流或恒压的安全电源,以保证绝对安全。例如,某火工品测试线路如图4所示。连接火工品引爆电源(+M2)的插头C70(+)仍然连接着,靠JK01继电器常闭触点断开。测试时J10-118吸合,其触点使JF3.4吸合(参看图4之T1)。同时将恒流源F4的正、负端分别接到+DF和-DF,从而完成了测试激励。这种状态一直保持到对各个火工品桥丝通路参数采样完毕,才能自动断开J10-118。

在采样过程中需要紧急断电,按操作规程断开了K12(图中未绘出),测试中的所有火工品(四台发动机的16只电爆管)全部误爆!原因是在紧急断电过程中存在ST。

紧急断电程序是先断K12,再去断译码器(J10-118)和M01(M2)电源。继电器释放时间为10ms,K12断—K1-0断—JK01断为30ms,而人在断开K12后再去断总电源(+M01)或译码器(J10-118)开关,操作时间至少也需300ms。在JK01已经释放而+M01和J10-118继电器尚未断开(从而JF3.4也未释放)的间隔时间内,+M2—JK01的常闭触点—JF3,4常开触点—火工品限流电阻—火工品桥丝—-M2是接通的,形成了两条ST路径,如图4之T2中箭头所示。

其中,通过火工品的“潜在电流”因其ST路径与设计期望路径完全一致,因而“潜在电流”既是设计的引爆电流,持续时间又足够大(百毫秒级),所以,电爆管误爆是必然的。

第二条ST路径将+M2与恒流源+F4并联起来,由于恒流源内阻很大,不会损坏。如果是内阻很小的恒压源,必然损坏。

5系统加电顺序应遵循信号电路先加电,待复位稳定后再接通各种功放及执行电路供电,而断电顺序则要相反。否则,当信号电路在加、断电过程中产生输出时(简称ST输出),可能使执行电路误动作,引起事故或系统初、终态错误。例如,程序机构单元测试电路如图5所示。加电时先脉冲源电(接通S),后接通步进电机(接通K),断电时先断K而后断S。在一次测试结束后,操作人员按照自己的理解,在没有断开K、S的情况下就断开了工频电源。在系统测试时发现程序机构离开了零位。原因就是在单元测试结束后,在没有断开K、S的情况下就断开了工频电源,使得脉冲源和步进电机的实际断电顺序与规则相反而且脉冲源在断电过程中又输出脉冲。这是由于“人的因素”引起的潜在电路的典型实例。

再如,某系统在测试时发现程序机构离开了零位,事后查明,其原因就是由于计算机二次电源和程序机构执行部件步进电机同时加电。计算机二次电源输出滞后一个时间常数,计算机复位过程中输出一个程序脉冲,致使步进电机转动,使程序机构离开了零位。由于改变供、断电顺序难度较大,纠正措施采取了在信号电路设计上消除ST输出的方案。

又如,某系统在有火工品参加的初样试验中,就发生过由于时序电路在断电过程中产生了一个ST脉冲,而火工品母线虽然“同时”断电,但同样因为电源时间常数所决定的过度过程,使得此时并没有完全断电,尚有足够的电能使火工品起爆,导致火工品误爆故障。采取的纠正措施是使时序电路和火工品供电母线通断电顺序符合本规则。

6  采用继电器、压力开关、过载开关等力学元件的控制电路特别是“多线或”电路,所有触点在环境条件下的瞬间闭合时间,要充分小于受控继电器在环境条件下的潜在时间危害阈值(最小吸合时间)。否则,在环境条件下的瞬间闭合可能引起ST输出,导致事故。例如,某导弹采用弹射筒发射,设计意图是(参看图6):发射预令发出后,控制系统转电,Kdy接通,K1.2吸合,其转换触点将脱尾罩和一级发动机点火电爆管由短路保护状态转为允许引爆状态。导弹被弹射出筒后由计算机发指令Kt和Kd1控制脱尾罩和发动机点火。当发动机点火正常、燃烧室压力达到要求时,两对并联的压力触点Cyk1、Cyk2和计算机发出的定时指令Kdh2(三线或)闭合,使继电器K20.21吸合,K1.2释放,使电爆管与指令电路断开,恢复短路保护状态,以防止点火后电爆管的“短路”电流消耗弹上电源和烧坏电缆网。但压力触点对弹射冲击的瞬态响应时间大于继电器K20.21的潜在时间危害阈值,使得K20.21吸合,其触点闭合后使K22.23吸合并自保,其常闭触点断开,使K1.2释放。这样,在计算机发出脱尾罩和发动机点火指令之前,脱尾罩和一级点火电爆管已经由于K1.2释放,从允许点火状态又转为短路保护状态。计算机发出的点火指令加不到电爆管上,导致脱尾罩和一级点火功能被抑制,自毁系统对导弹实施了“不点火”自毁,损失巨大。

7 尽量避免在源、地侧混设断路器。如图7(Y)所示的原理电路,在S1接通、S2、S3断开的时间内,由电路C1、C2、C3就构成了ST。C1、C3正向而C2反向流过潜在电流。使得C1、C3可能在非期望的时间里产生误输出,C2则可能受损伤。

由于违背了这条规则而引起的SC是比较多的。为了加深理解,再举三个实例:

 S1 某火箭助推器耗尽关机指示电路如图7(S1)所示。设计意图是:助推器耗尽关机信号发出后,Kh吸合,其触点(相当于地侧开关)使Kg吸合,同时使指示灯ZDh亮。

通常的加电顺序,要首先加+M1(接通Sm1开关),然后加+B1(接通Sb1开关)。但是,在已加好+M1到加好+B1之前的时间内(此时所有继电器都没有动作),由+M1®ZDh®Kg®+B1负载电阻Rh(如二次电源内阻)®地(-M)形成了ST。由于Rh很低,因此ST引起的潜在电流较大,若使ZDh发亮则形成SI,如果达到Kg的吸合电流值,Kg将误吸合,危害严重。

S2 某救护系统在其救护时段内冗余系统工作,救护时段结束,冗余系统断电。设计意图是:避免冗余系统在下阶段发生故障时危害后续系统工作,参看图7(S2)。

继电器K1~K12是功能执行部件,VT1~VT12是冗余系统12路输出OC门,VS1~VS12是后续系统12路输出OC门,构成地侧“线或”控制K1~K12的接口电路。当救护时段结束,系统发出“预断电”指令,使Kyd继电器(线圈未绘出)吸合,其常闭触点将冗余接口电路的28V(-)断开。在飞行或测试时,后续系统陆续打开VS1~VS12接通相应的继电器时,将由尚未打开的11个继电器和相应的OC门串并联®与打开的后续系统OC门线或的冗余系统OC门(反向)®已打开的后续系统OC门形成SP(图中箭头所示)。与打开的后续系统OC门线或的冗余系统OC门将反向流过潜在电流,受到损伤。这种损伤经过多次测试积累,必然缩短冗余系统OC门的可靠寿命。图7箭头所示是VS1打开的情形。

S3 某导弹头体分离、反推喷管启动电路如图7(S3)所示,飞行状态是:由头体分离爆炸螺栓点火指令Ktb接通继电K17.18(Ktb作为地侧开关将火工品负母线-BF接到K17,18线圈负端),使K17,18吸合并自保。其触点分别将反推喷管启动活门控制线圈两端接到专用电池74的正、负端,完成反推喷管启动。延迟40ms,计算机发头体分离插头电分指令,触点Ktf闭合,接通+BF母线与电分线圈Ldf,使头体分离插头Xtf分离。

在垂直模拟飞行测试时,脱落插头XTC不脱落,反推喷管不启动。由地面控制火工品母线±BF不带电(Kbf常开触点不闭合,常闭触点闭合将母线±BF短路),反推喷管不启动。在此状态下,当头体分离指令发出、常开触点Ktb闭合时,存在着+B3®K17,18线圈®Ktb触点 –BF节点®常闭触点Kbf®+BF节点®XTC® K1-8线圈®-B的SP。当潜在电流达到K17.18的电流危害阈值时,它就会误吸合,达到K1-8的电流危害阈值时,K1-8也会误吸合。

8  对控制感性负载的触点或开关管的保护(灭弧),不宜采用并电容或阻容串联电路,应尽可能采用在感性负载上并电阻串二极管的方式。因为,作为灭弧用,电容必须较大,使得电容或阻容串联电路本身就是一个瞬时电流路径。如图7(S3)的T2中Ktf触点上并的阻容串联电路,使得在垂直模拟飞行测试状态下,存在着+B3®K17,18线圈®Ktb触点® –BF节点®常闭触点Kbf®+BF节点®R ®C®Ldf线圈®-B的SP。这个SP也可以使K17.18误吸合,并有使分离插头Xtf误分离的可能。如果在Ldf处引出测量点,还可能测到假Ktf接通信号。

在飞行状态下,仍然存在由RC灭弧电路形成的SP。它使得,当接通+BF母线供电时,沿+BF®R®C®Ldf®-B流过的潜在电流也有使Xtf误分离的可能,并测到假Ktf接通信号。

9 各时序指令的接通状态,尽可能不要有重叠的时间段。这样,有利于减少ST状态。还以图7(S3)的电路为例,设Ktb和Ktf两个时序指令触点的接通状态的重叠的时间段Δt。在垂直模拟飞行测试状态下,在Δt时段存在+B3®K17,18线圈®Ktb触点® –BF节点®常闭触点Kbf®+BF节点® Ktf触点®Ldf线圈®-B的ST。这个ST可以使Ktf触点闭合时K17.18或Ldf误吸合。

10 源正、负馈线通过系统运行过程中要分离的插头(如分离插头、脱落

插头、脱拔插头等)时,应将其放在同一个插头中。否则,当负线所在的插头先分离、正线所在的插头后分离时,在二者时差内,如同“地侧开关”一样,容易引入ST。例如,图10(a)所示的某火箭的时序系统一级分离后的复位电路,设计意图是:用一个按扭开关对1、2、3级时序装置同时复位(图中示出了复位按钮开关)。当分离插头2F3(先)分开到2F1分开的时间内,存在着电源(+)®分离插头2F1®二级时序装置阻抗Rh2®二级防反二极管V22®R2®2F1®R3®三级发光二极管V31®电源(-)构成的ST通路。由于光电耦合器激励电流潜在危害阈值很小,由这个ST通路引起的潜在电流足以使三级时序装置误复位,导致飞行失败!

11 小功耗输入、输出接口电路应尽量避免使用“双向电路”。所谓双向电路,就是正、反向电阻差别很小、电流可以正、反向都能流过的电路。它是引起SP的重要因素之一。图10(a)实例V22、V32防反二极管与光电耦合器并联使用就使电路变成了双向电路。否则,虽然2F3先于2F1分开,也不会形成SP。

再举一个例子:某火箭在发射阵地进行电池供电、脱落插头脱落但脱拔插头(TB)不拔的状态下进行模拟飞行,其遥测和地测接口电路如图10(b)所示。

设计意图是:关机预令(Ky)或主令(Kz)虽然通过TB送到了地测接口电路(V5~V8),但由于其地端只接地面电源地(-M2)而不接电池地(-B2),因而没有电流流过发光二极管V5或V7,所以地面不会测到指令信号。只有谣测接口电路(V1~V4)的地端接电池地(-B2),发光二极管V1、V3有信号电流流过而能够收到信号。然而,由于V6、V8的存在,使接口变为双向电路。当Ky接通时,通过箭头标出的SP,可使地测接口收到关机预令、而谣测接口收到“关机主令”;当Kz接通时,又通过完全类似的SP+B2®Kz触点®TB/z®R5®V7®V6®R1®TB/y®R3®R4®V1®-B2而使地测接口收到关机主令、谣测接口收到“关机预令”。

如果将防反二极管和发光二极管串联使用,仍然可以达到防反目的,却消除了双向电路。

11 多用户的公共信号源到各用户之间,要加隔离二极管,以消除各用户之间的双向通路。如图10(a)的复位信号,如果在每级时序装置的输入端都加上隔离二极管,在电源负、正分离的时差内,就不会有SP。

12 不同电源供电的设备或分系统要保持电源地和信号地的一致性。采用这条规则可以彻底消除设备或分系统之间的SP。如图10(b)中的地测接口电路,如果不仅信号用光电隔离,其地也与电源地一致(光电耦合器地接-B2),地测系统与遥测系统之间也就不会有SP,并且地测系统还能接收到信号。。

13 不同系统之间有条件的顺序操作控制应采用“握手+定时”式的逻辑控制方式。否则,容易引入ST。

示例1 如图13(a)所示的火箭发射点火电路,若发射时脱拔(TB)插头较点火、应急关机插头(TC)早脱开了Δt,则存在两条ST路径:

a. +B ®点火指示触点®TC®点火指示灯®应急指示二极管®TC®关机线圈®-B。当潜在电流达到关机线圈的吸合电流时,导致火箭误关机的事故。

b.+M®应急关机开关®TC®关机®-B节点®TB®-M,这是一条设计期望路径。但在Δt时段TB已断开,使应急关机功能被抑制。

如果在火箭上采用“点火好”信号握手控制断开应急关机电路而将脱拔插头脱开时间充分延长的方式,就不至于发生上述ST。

示例2 某救生系统功能执行条件中有:当抛整流罩时间超上限。抛整流罩是由控制系统控制的。功能执行1SZ等21只电爆管的点火信号要通过整流罩纵向分离插头GX4F,如图13(b)所示。如果在功能执行过程(3秒)中控制系统发出了抛罩指令,分离插头GX4F分离,1SZ等21只电爆管点火控制电路将被断开,从而抑制了点火功能,即抑制了救生功能。                     如果救生系统在执行功能执行时序中先加上“禁止抛整流罩”的握手控制,那么这种ST就可以避免。

14  当控制顺序不能改变而又必须定时与非定时混合控制时,必须对混合部分的时间偏差做“最坏情况分析”。以避免发生能够导致改变控制顺序的ST。

示例1 目前导弹与火箭紧急关机插头分离和紧急关机控制,采用最多的就是起飞距离和定时混合控制的方式:点火和紧急关机均为定时控制,通过TB传递。而TB分离则是起飞距离(拉脱钢丝长度)控制。在正常情况下必须保证先TB分离,再“紧急关机”的顺序,不能颠倒!如果顺序颠倒,就会引起误紧急关机的ST。

示例2 运载火箭发出的分离时间由关机方程浮动控制(585.3±20s),有效载荷计算机打开推进剂自锁阀的时间为定时控制(573s),之后在收到分离信号后立即置零开始轨道控制程序。其设计意图是在火箭分离以前打开推进剂自锁阀。但火箭分离时间在负偏差的最坏情况下为565.3s。在565.3~573s时段内,存在改变控制顺序的ST,即有效载荷计算机将在发出打开自锁阀指令之前置零,开始轨道控制程序,从而抑制了打开自锁阀的功能,导致轨道控制功能丧失。

15 地电阻(负母线电阻)应尽量避免大电流电路和小电流电路共用。以避免产生危害小电流电路的潜在路径。这种情况往往出自于 “图方便、走线近”等设计意图。

示例1 某系统飞行状态H1电压遥测接口电路负端从配电器(代号041)中(–H11)引出,如图15(a)所示。从配电器插头点041X11/61到电池插头点X-H1/1的“地电阻”(图中–H11与-H1之间虚线所示)。火工品引爆时的大电流将使电池电压+H11的遥测信号电平产生一个下跌。如果遥测电路的地从电池插头点X-H1/1引出,就消除了引起遥测电平下跌的SP。

示例2 某系统带有伺服电机的电路与调压电路、继电器控制电路有共用地电阻,如图15(b)所示。RL0、RL1是共用地电阻,Rh3是调压电路电阻,Rh2、Rh1、Rh4分别是三个小电流电路电阻,K13、K14是助推器分离控制继电器,Msf是四台伺服电机的电阻。S3、S4分别是压力开关、过载开关,当助推器燃烧室压力或火箭过载低到界定值时,重新闭合,使K13或K14吸合,发出助推器分离控制指令。

当Msf中流过大而变化的工作电流时,由RL0形成的SP将使Rh3、Rh2的供电电压降低且不稳定;RL0、RL1形成的SP将使Rh1、Rh4的供电电压降低且不稳定;当S3、S4闭合时,如果U1降低到K13、K14吸合电压以下,K13、K14将不能及时吸合,从而抑制了助推器分离控制指令按时发出。

16线或”供电电路“断电”的分支不要设置在每个“或”分支上,要尽可能设置在相加点之后。否则,可能存在抑制“断电”功能或产生意外“通电”功能的SP。如,某系统H,B,T三种电源的箭上供电(转电)电路的网络树(如图16所)表明,箭上供电(+T11)和地面供电(+TD)对箭上用电负载(041/K1.1)形成了“线或”供电电路(Y形图)。

由于箭上供电和地面供电均有手动和自动状态,且手动和自动之间没有连锁关系,相互独立操作运行。在紧急断电操作或其他特殊情况下切断箭上供电时,如果地面供电是接通的(既603/K03继电器吸合)则箭上负载仍然是供电状态,抑制了断电功能。

如果将041,042中的K3/9,2移到相加点之下后(图16中虚线所示),则可消除此潜在电路。

17用继电器执行的时序指令的实际时序,必须考虑包括继电器动作时间在内的所有相关的电路延时,保证在最坏下也能满足设计要求。例如,某系统时序控制电路供电(+T)和火工品供电(+H)是同时控制的。设计意图是:控制+T用小功率继电器6JRXM-2,其吸合时间较快(<10ms),而控制+H的继电器用大功率继电器ZJGX-4,其吸合时间较慢(<20ms),这样,虽然“符合”规则 5要求的加电顺序,但由于6JRXM-2的释放时间也较快(<10ms)、ZJGX-4的释放时间也较慢(<20ms)这样就造成了断电顺序违背了规则5的要求。+T断电后约10ms+H才断电。如果在这10ms之内,时序控制电路产生了过渡过程通常存在的ST输出,则可能误引爆火工品。

18尽可能不用不带电常闭触点做不同分系统之间的状态指示或连锁信号(标志)。否则,在外系统通电运行而本系统断电状态下,存在误发指示或标志信号的潜在问题。因为不带电常闭触点的指示或标志的自然属性就具有二义性:所在系统不加电工作、继电器不工作两种含义。就是说,不带电常闭触点本身就是SI或SL。只能在一种含义为“非”的前提下,才具有唯一的指示或标志属性。例如,某系统用继电器K15的常闭触点作为指示触点,且定义触点接通时表示“应急准备好”送给有效载荷。如图18所示:

系统地面配电器603中的“应急准备好”开关KJT使用常闭初态,地面一上电就接通了02/K15,使常闭点断开(所在系统不上电工作为“非”)。 应急准备好时,合上KJT(常闭点断开),使02/K15释放,常闭点接通,给出“应急准备好”指示信号。

当系统处于断电状态,而有效载荷上电工作状态,K15也是释放状态,常闭点也是接通的,但指示的是另一种含义,即:“所在系统不上电工作”(不为非了),但有效载荷的识别电路只取一种含义“应急准备好”,于是产生了错误。

19在同一个电子电气系统测试场地中不宜同时采用两个接地极系统。

例如,某系统在测试时采用单独接地桩(这在实际上就形成了‘独立于厂房接地极系统的另一个接地极系统),其MOS功放(SNA586)一次损坏五个,之后的工作也不稳定。在进行SCA时生成的网络树如图19(1)所示:

图中:

Z50:工频电源感应耦合或漏电等效阻抗

ZT:天电对厂房接地系统的耦合等效阻抗

Zo:接于输出电容端的电路对厂房接地系统(G0)的等效阻抗

Zi:接于输入电容端的电路对厂房接地系统(G0)的等效阻抗

C0G0:功能电路输出端对(G0)的分布电容

CiG0:功能电路输入端对(G0)的分布电容

RG0:厂房接地网(G0)对大地的电阻

RG1:测试专用接地桩对大地的电阻

其他元件都是电路本身的元件,

功能元件的网络树图19(1)表明,各种结构参数,分布参数与有关电路元件一起形成了明显的“H”型拓扑结构,而功能元件SNA586恰位于H形结构的横梁位置,其潜在通路非常明显。

首先看工频电源U50。其感应电流除了通过接地电阻RG1流入大地外还通过如下四个横梁路径和RG0流入大地。这四条路径是:

①N/2.4,1 → N/1,3 → Co → Zo →RG0 → G

②N/2.4,1 → N/1,3 →C0G0 → G

③N/2.4,1 →CiG0 →RG0 →G

④N/2.4,1 → Ci → Zi →RG0 → G

再看天电源ET,它的电流除通过RG0入地外,还通过下述四条路径入大地:

①Zo →Co →N/3,1 → N/1,2.4 →RG1 → G

②C0G0 → N/3,1 → N/1,2.4 →RG1 → G

③CiG0 → N/1,2.4 →RG1 → G

④Zi → Ci → N/1,2.4 →RG1 → G

上述对U50和ET源均存在的四条潜在路径实际上就是电路中存在的四个“H”形拓扑结构的四条横梁。四条路径都包含了功能元件N/1,2.4(或者N/2.4,1)分支,这意味着它们所承担的“潜在电流”是四者之和,从这一点看,这一个分支受损的可能性最大。这一个分支就是SNA586的源-栅极分支。

很明显,这四条潜在路径即使不能损坏功能元件,也要引入对功能元件的干扰,这种干扰随天电和工频电感应变化而变化,是极不稳定的。

G1和G0正是H形横梁的端结点,而G0又是工频电源中线引出点,在这种情况下,不管哪个以G1作为保护地的设备漏电,都要将漏电压直接加在横梁上。如果是220V全漏(直接碰壳),那么就是220V加在了横梁的两端,烧坏元件是必然的。

上述潜在通路存在的根本原因是采用独立地(G1)作为系统保护地和信号参考地的接地方式。这种方式被定义为“TT”方式,是在国军标GJB1696-93中所不推荐使用的方式。之所以不推荐使用,就是因为它实际上是容易引入干扰并且也不安全的方式。容易引入干扰的机理已如上述,不安全是因为它往往使漏电保护失灵,原因如图19(2)所示:

图中(a)表明,在TT方式下,漏电流为I:

I=220/(RG0+Rdd+ RG1)  (1)

式中Rdd为两个接地点之间的地电阻。

当RG0+Rdd+ RG1的值使I小于断路保护器阈值时,就不会跳闸。因而就会使信号地(G1)带有漏电压,起不到保护作用。图(b)说明,当将G1和G0连起来后,就是采用一个接地极系统,也就是在国军标GJB1696-93中推荐的航天系统的接地方式,称为TN-S方式。在这种方式下,漏电流通过搭接线直接回到零线。一般搭接电阻是接近零值的极低阻抗(国军标要求搭接线应为截面积不小于95mm2的铜线或160 mm2的镀锌扁钢),因而短路电流很大,能保证I大于保护断路器动作阈值而使之跳闸从而起到保护作用。

当采用TN-S方式后,G1和G0连接成一个节点,消除了H形拓扑结构,四条潜通路全部消失,如图19(3)所示。

图19(3)中可以识别出七个“I”形结构,十一个“Y”形结构,其中有两个I形和十一个Y形包含有ET, U50,但是所有这些拓扑结构中ET和U50(感应电或漏电)都是通往大地的,且只通过厂房接地极系统接地电阻RG0,不通过任何电路元件,因而具有较高的安全性和抗干扰性能。这是应用SA技术解决EMC问题的一个典型实例。

更多资料请联系北京航天智控监测技术研究院潜在分析技术研究中心专家组,EMAIL:aicmonitor@163.com

 

云智慧远程监测,在线振动监测,现场动平衡,点检仪,测振仪,北京航天智控监测技术研究院
版权所有:航天智控(北京)监测技术有限公司 京ICP备10218719号   地址:北京市海淀区上地嘉华大厦           电话:010-82325110/57213882  传真:010-62308022  QQ:  
                              点击这里给我发消息点击这里给我发消息点击这里给我发消息