几种典型电路防潜在电路的设计规则

严殿启 孟鹏飞

北京航天自动控制研究所，北京 100854



几种典型电路防潜在电路的设计规则

严殿启 孟鹏飞

北京航天自动控制研究所，北京 100854

潜在电路对产品的可靠性影响很大，减少潜在电路设计可以提高电路设计的可靠性。结合电路示例，提出了弹(箭)控制系统几种典型电路减少潜在电路设计的13条规则。从潜在通路的预防和潜在定时的预防2个方面探讨了避免潜在电路的设计方法，具体内容涉及测试接口电路要避免使用双向电路，时序电路要避免同时接通，在指示电路和控制电路中要避免使用“地侧开关”，供断电电路要保证驱动电源后通先断、控制电源要保证先通后断，灭弧保护电路要避免使用电容器等。针对每条设计规则的示例表明规则是有效的，可支持电路的可靠性设计。 关键词 控制电路； 潜在电路； 设计规则

建立减少潜在电路的设计规则是设计人员所期望的，本文通过大量的示例，针对弹(箭)控制系统中典型的测试电路、时序相关电路、指示电路、供断电电路和灭弧保护电路等，详细介绍了防潜在电路的设计规则。

1 潜在定时(ST)的预防

1.1 设计规则

(1)规则1

系统加电顺序应遵循控制电源母线(小功率信号电路供电)先加电，待复位稳定后再接通驱动电源母线(各种功放及执行电路供电)，而断电顺序则相反。否则，当信号电路在加、断电过程中产生输出时，可能使执行电路误动作，引起事故或系统初、终态错误。

(2)规则2

采用继电器、压力开关等力学元件的控制电路，特别是“多线或”(并联冗余)电路，所有触点在环境条件下的瞬间闭合时间，要充分小于受控继电器在环境条件下的最小吸合时间。否则，在环境条件下的瞬间闭合可能引起ST输出。

(3)规则3

各时序指令的接通状态，尽可能没有重叠的时间段。这样，有利于减少ST状态。

(4)规则4

复位信号馈线通过系统运行过程中要分离的插头时，应将各级复位信号分开。否则，当负线所在的分离插头先分离，正线所在的插头后分离时，在二者时差内，容易引入ST。

(5)规则5

不同系统间有条件的顺序操作控制应采用“握手+定时”式的逻辑控制方式。否则，容易引入ST。

(6)规则6

当控制顺序不能改变，而又必须定时与非定时混合控制时，必须对混合部分的时间偏差做“最坏情况分析”，以避免发生能够导致改变控制顺序的ST。

(7) 规则7

用继电器执行的时序指令的实际时序必须考虑包括继电器动作时间在内的所有相关的电路延时，保证在最坏情况下也能满足设计要求。

1.2 示例

(1)规则1示例

某单元测试电路如图1所示。加电时先接通S，后接通K(步进电机供电)，断电时先断K而后断S。实际操作顺序相反，在通断电过程中由于输出ST脉冲而K尚未断开发生误动作，引起系统初、终态错误。步进电机按A→AB→B→BC→C→CA六拍运行：系统初态锁定于A拍，当ST产生于B相时，则A→AB向前运动一拍；当ST产生于C相时，则A→CA向后退一拍，均会离开初态位置。这是人为因素(操作者依据自己的理解，没有按规定的顺序操作)引起潜在电路的典型情况。如果没有K开关，由S一起通断电，易造成通电时步进电机错位。

图1 某单元测试电路网络树

(2)规则2示例

如图2所示的控制电路，预令Kdy接通，K1.2吸合，其转换触点将电爆管由短路保护状态转为允许由Kd1点火状态。点火后当压力达到要求时，压力开关Cyk1和Cyk2闭合，与指令Kdh2构成三线或电路，使K20.21吸合，K20.21常开触点使K22.23吸合且自保，其常闭触点使K1.2释放，电爆管与指令Kd1断开，恢复短路保护状态，以防止点火后电爆管的“短路”电流消耗电源和烧坏电缆网。

如果压力开关由于冲击引起的瞬态闭合时间大于继电器K20.21的实际吸合时间值，则使K20.21吸合。这样，在发出Kd1指令之前，电爆管已经由于K1.2释放，从允许点火状态又转为短路保护状态，导致Kd1功能被抑制。

图2 某控制电路网络森林示意图

(3)规则3示例

某控制电路如图3所示，设计的飞行状态是：由分爆点火指令Zt作为地侧开关，将火工品负母线-H接到K7线圈负端，使K7吸合并自保于B4。设Zt和ZTF两个时序指令触点接通状态的重叠时间段为Δt。在测试状态下用火工品供电继电器Zf不吸合控制K7不吸合，在Δt时段存在+B3→K7线圈→Zt触点→--H节点→常闭触点Zf→+H节点→ZTF触点→Ldf线圈→GB的ST。这个ST可以使K7或Ldf误吸合。

图3 某控制电路网络树示意图

(4)规则4示例

图4所示的某复位接口电路，V22，V32反向并接于接口电路2，3发光二极管上的防反二极管。用一个按扭开关和一条馈线对各级时序装置同时复位。安装于三级火箭的+28V电源通过分离插头Xf1向二级时序装置等效负载电阻Rh2供电，而28V地G28V通过分离插头Xf3与Rh2连接。如果Xf3先分开，到Xf1分开的时差内，分离插头存在+28V→Xf1→Rh2→V22→R2→Xf1→R3→V31→G28V构成的ST通路。由于光电耦合器激励电流潜在危害阈值很小，由这个ST通路引起的潜在电流足以使三级时序装置误复位。

图4 某复位接口电路网络树

(5)规则5示例

1)实例1

图5所示的某点火电路，若发射时XB插头较XC插头早脱开Δt,则在Δt内存在2条ST路径。第1条：+B→点火指示触点Zdh→XC→点火指示灯ZD→应急指示继电器阻尼二极管V和线圈Kyj(并联)→XC→关机线圈Lgj→GB。当潜在电流达到关机线圈的吸合电流时，会导致火箭误关机的事故；第2条：+M→应急关机开关Syj→XC→Lgj→GB节点→XB(断开)→GM，这是一条期望的路径。但在Δt时段，XB已断开，应急关机功能被抑制。

如果采用“点火好”信号握手控制断开应急关机电路，而将XB插头脱开时间充分延长的方式，就不会发生上述ST。

图5 某点火电路网络树

2)实例2

某系统功能执行条件中有 Tpz超上限。Tpz和PZ指令是由外系统控制的。功能执行电爆管SZ的点火信号要通过PZ指令控制的分离插头XF，如图6所示。如果在功能执行过程中外系统发出PZ指令，XF分离，SZ电爆管点火电路将被断开，从而抑制了点火功能，即抑制了期望功能。如果系统在确认Tpz超限后给外系统发1个“禁止发PZ指令”的握手信号，那么此ST就可避免。

图6 某点火控制电路网络树

(6)规则6示例

1)实例1

如果图5采用起飞距离和定时混合控制的方式：点火和应急关机均为定时控制，通过XC传递。而GM和GB的连接由XB实现。XB和XC的断开用起飞行程开关控制。在最坏情况下必须保证控制XC 断开的行程开关的行程时间小于最坏情况下的应急关机时间最小值。控制XB断开的行程开关的行程时间要大于或等于控制XC 断开的行程开关的行程时间。这样“点火好”指示电流通过指示灯后就可以通过XB回到GB。而应急关机电流也可以通过关机线圈后再通过XB回到GM，实现设计期望。

2)实例2

若有效载荷分离时间由运载火箭的关机时间(Tg+t)浮动控制，有效载荷解锁时间Tj为定时控制，且在收到分离信号后立即重新复位，开始运行后续程序。在最坏情况下，必须满足Tj<(Tg+t)，否则存在改变控制顺序的ST，即有效载荷将在发出解锁指令前复位，开始运行后续程序。在复位时清除解锁指令定时数据，从而抑制了解锁功能，导致有效载荷控制功能丧失。

(7)规则7示例

某系统时序控制电源母线供电(+T)和火工品驱动电源母线的供电(+H)是同时控制的。设计意图是：控制+T用小功率继电器，其吸合时间较快(<10ms)，而控制+H用大功率继电器，其吸合时间较慢(<20ms)，这样，虽然在一般情况下“符合”要求的加电顺序，但由于继电器的动作时间参数散度较大，且大功率继电器吸合时间小于10ms也符合指标规定。在这种情况下加电顺序就不符合规则。而断电则由同一个时序指令控制，在原理上，+T断电后约10ms+H才断电，断电顺序违背了规则的要求。如果在这10ms之内，时序控制电路产生了过渡过程通常存在的ST输出，则可能误引爆火工品。

2 潜在通路(SP)的预防

2.1 设计规则

(1)规则1

“线或”供电电路“断电”的分支不要设置在每个“或”分支上，要尽可能设置在相加点之后。否则，可能存在抑制“断电”功能或产生意外“供电”功能的SP。

(2)规则2

尽可能不用不带电常闭触点做不同分系统之间的状态指示或连锁信号(标志)。否则，在外系统通电运行而本系统断电状态下，存在误发指示或标志信号的SP。

(3)规则3

使用场效应管作开关元件时，其供电断路器应并接(50～100)KΩ电阻。

(4)规则4

输入、输出接口电路应尽量避免使用“双向电路”。

(5)规则5

多用户的公共信号源到各用户之间，或多个信号线或控制一个用户时，都要加隔离二极管，以消除各信号源到用户之间的双向通路，以减少各用户之间的SP或ST。

(6)规则6

对控制感性负载的触点或开关管的保护(灭弧)，不宜采用并电容或阻容串联电路，应尽可能采用在感性负载上并电阻串二极管的方式。

2.2 示例

(1)规则1示例

某系统+T11和+TD电源的转(供)电电路的网络树如图7所示。箭上+T11和地面+TD对箭上用电负载KH形成了“线或”供电电路。由于箭上供电和地面供电均有手动和自动状态，且手动和自动之间没有连锁控制，相互独立操作运行。在紧急断电操作或其他特殊情况下切断箭上供电时，如果地面供电是接通的(Kgd接通)，则箭上负载仍然是供电状态，抑制了断电功能。

如果将断电触点KD移到相加点之下(图7中虚线所示)，则可消除此潜在电路。

图7 供、转、断电路网络树

(2)规则2示例

因为不带电常闭触点的指示或标志的自然属性具有二义性，即所在系统不加电、继电器不工作两种含义。就是说，不带电常闭触点本身就是SI或SL。只能在一种属性为“非”的连锁控制的前提下，另一种属性才具有唯一性，才能作为指示或标志。例如，某系统用继电器K的常闭触点作为指示触点，且定义触点接通时表示“准备好”送给相关系统。如图8所示，系统中的“准备好”开关Szb初态常闭，上电接通K，使常闭点断开。“准备好”时，合上Szb(常闭点断开)，使K释放，常闭点接通，给出“准备好”指示信号。

当系统处于断电状态，而相关系统为上电工作状态，K也是释放状态，常闭点也是接通的，但指示的是另一种属性，即：“所在系统不上电工作”，但相关系统的识别电路只取一种属性 “准备好”，于是产生了错误。

如果相关系统上电时，通过二极管连锁控制Szb/2加电(如图8中虚线所示)，从而使K吸合(所在系统不上电工作为“非”)，问题可以解决，但不是好方案。

图8 指示电路网络森林

(3)规则3示例

因为场效应管源漏极间结电容Csd较大且散布度高，在给源极S供电瞬间可能形成SP，干扰测试工作甚至造成受控器件误动作。在供、断电开关K上并接(50～100)KΩ电阻，只要电源有电就会对结电容慢慢充电直到充满。这样，在上电瞬间就不会形成SP，如图9所示。

图9 场效应管开关电路的供电

(4)规则4示例

双向电路就是正、反向电阻差别很小、电流能正、反向流过的电路。它是引起SP或ST的重要因素之一。如图4中V22，V32防反二极管与光电耦合器发光二极管并联使用使电路变成双向电路。否则，虽然Xf3先于Xf1分开，也不会形成ST。再如图10所示，他测和自测接口电路，GM2和GB2相互隔离，由于V6和V8的存在，接口变为双向电路。

图10 某接口电路网络树

+B2供电测试时，当K1接通时，存在+B2→K1→TB1→R1→V5→GM2节点→V8→R5→TB2→R7→R8→V3→GB2的SP，如箭头所示。可使自测接口收到K1信号，而他测接口收到假“K2”信号。

当K2接通时，又通过完全类似的SP：+B2→K2→TB2→R5→V7→GM2节点→V6→R1→TB1→R3→R4→V1→B2，而使自测接口收到K2信号，他测接口收到假“K1”信号。

如果将防反二极管和发光二极管串联使用，仍然可以达到防反目的，却消除了双向电路，也防止了潜在电路。

(5)规则5示例

如图4的复位信号，如果在每个时序装置的输入端都加上隔离二极管，在Xf3，Xf1分离的时差内，就不会有SP。

(6)规则6示例

作为灭弧用，电容必须较大，电容或阻容串联电路本身就是一个瞬时电流路径。如图3中ZTF触点上并联的阻容串联灭弧电路，使得在测试状态下，存在+B3→K7线圈→Zt触点→-H节点→串联常闭触点Zf→+H节点→R→C→Ldf线圈→GB的SP。这个SP也可使K7误吸合，并有使分离插头误分离的可能。如果在Ldf处引出测量点，还可能测到假ZTF接通信号。

在使用状态下，仍然存在由RC灭弧电路形成的SP。它使得当接通+H母线时，沿+H→R→C→Ldf→B流过的潜在电流也有使分离插头误分离的可能，并测到假ZTF接通信号。

3 结束语

航天器具有高可靠性、高安全性的要求，需尽量避免潜在电路的存在，这就要求各级设计人员、电总体负责人员对潜在电路的特点和危害有深刻的认识。一个复杂电子电气系统，要消除潜在电路，不仅需要在设计完成后应用潜在分析技术进行分析验证，更需要在设计过程中尽量避免引入潜在电路。本文针对弹(箭)控制系统中典型的测试接口电路、时序电路、指示电路、供断电电路、灭弧保护电路等，提出了13条避免潜在电路的设计规则，为电路的可靠性设计提供了参考。

[1] 严殿启.潜通路分析技术[J].导弹与航天运载技术，2000,(1)：43-47.(YanDianqi.SneakPassageAnalysisTechnology[J].MissilesandSpacevehicles,2000,(1):43-47)

[2]JamesL,Vogas,SneakAnalysisofApplicalionSpecificIntegratedCircuits[C]. 1992AerospaceDesignConterenceFebruary3-6 ,1992.

[3]JeffM.SneakCircuitAnalysisfortheCommonMan,ADA21575[R].FortBelvoir:DTIC, 1989.

Design Rules to Avoid Sneak Circuit with Regard to Several Typical Circuit

Yan Dianqi ， Meng Pengfei

Beijing Aerospace Automatic Control Institute, Beijing 100854, China

Sneakcircuithasgreatinfluenceonthereliabilityoftheproductandsneakcircuitreductioncanimprovethereliabilityofcircuitdesign.Thethirteendesignrulestoavoidsneakcircuitwithexamplesinconnectionwithseveraltypicalcircuitofcontrolsystemareproposedinthispaper.Twoaspectstoavoidsneakcircuitarediscussed,includingthepreventionofsneakpathandsneaktiming.Thecontentsareinvolvedinavoidingusingbidirectionalcircuitintestinterfacecircuit,avoidingsimultaneousconnectioninsequentialcircuit,avoidingusingthe“groundswitch”intheindicatingcircuitandcontrolcircuit,ensuringdrivingpowersupplywith“thenconnect,firstdisconnect”behaviourandcontrolpowersupplywith“firstconnect,thendisconnect”behaviourinpowersupplycircuit,avoidingusingcapacitorinarcquenchingprotectioncircuitetc.Theexampleforeachdesignruleindicatesthattheruleiseffectivetosupportcircuitreliabilitydesign.

Controlcircuit;Sneakcircuit;Designrules

2013-09-11

严殿启(1935-)，男，吉林伊通人，研究员，主要研究方向为潜通路分析技术及其应用；孟鹏飞(1982-)，男，河南商丘人，硕士研究生，工程师，主要研究方向为可靠性、环境适应性测试性等通用质量特性技术。

V448.15

A

1006-3242(2016)04-0095-06