基于CHS软件的潜在通路分析方法

(北京航天自动控制研究所，北京 100854)

0 引言

潜在通路(sneak circuit analysis, SCA)是指在电气电子系统中无意中引入的一种在特定情况下使得系统产生非期望功能或抑制期望功能的电路，它与硬件失效无关，而是设计者无意地设计并进入系统的一种潜在状态[1]。由于潜在通路具有普遍性、突发性等特点，使得潜在通路激发条件和状态经常不能被设计人员提前认知，导致对潜在通路缺乏防范性的措施，因此潜通路对复杂电路系统的危害是巨大的、灾难性的，通过对潜在通路产生的原因进行分析，主要原因归纳为以下4种：

1)设计更改导致：对原始电路设计更改造成系统中产生潜在通路；

2)设计者疏忽：大型复杂电路中，由于设计者的疏忽，设计之初没有意识潜在通路发生条件，将潜在通路风险引入到系统中；

3)不兼容设计导致：庞大的电路系统通常由不同部分组成，每个部分的部组件不尽相同，组装成的系统中部组件不兼容可能会诱发潜在通路的风险；

4)人为原因：许多潜在通路发生的原因，是由于人未按照规程操作，误动作导致的误触发而造成的。

在航天发射领域，由于大量采用以开关、继电器电路为特征的供配电程序、时序系统，软硬件状态切换频繁，人工操作与自动操作并存，多部门协作、多学科综合的复杂状态，很容易出现潜在通路。所以事先分析出潜通路并采取相应措施，对提高系统的安全性与可靠性是非常必要的[2]。

CHS是国际著名设计软件厂商Mentor Graphics公司推出的一款专业线缆设计软件工具，主要应用于航空航天、汽车电气系统线束设计[3-5]，其特色在于强大的数据管理和流程管理能力，企业级应用整合能力，简单易学的用户交互界面，大量的自动化设计功能，和高度的用户可配置性及可扩展性。CHS软件包含的仿真模块Capital Analysis具备建立元组件Symbol库功能，支持绘制电路原理接线图，但CHS软件本身不自带仿真分析功能[6]。

本文提出基于线束设计系统CHS的潜在通路分析方法，依托CHS仿真平台Capital SimProve模块，结合具体任务需求开展潜在通路分析，能够大幅缩短分析时间，提高潜在通路分析效率，通过计算机仿真分析技术的应用，实现对部分电路自动化进行潜在通路分析，全面识别系统中存在的潜在通路，极大提升仿真分析结果的可靠性，为复杂电路潜在通路自动分析提供了一种新的思路和方法。

1 典型电气元件建模

电气元件模型库在Mentor CHS软件中建立。CHS模型库中自带的电气元件非常有限[7]，元件模型中包含的参数也比较少，在进行潜在通路分析前需对常规电子元器件和电气组件进行建模。

对于CHS电气元件的模型而言，最重要的两个部分是Structure(模型结构)和Behavior(模型行为)，模型结构是由节点和负载组成，负载表征模型特性，节点与Symbol的Pin进行Attach链接，而模型行为即通过CHS能够识别的Saint语言对模型结构进行说明，即可表征出模型所实现的相应功能[8]，电气元件建模流程如图1所示。

图1 电气元件建模流程

以直流电压源模型为例，具体建模流程如下：

1)构建Symbol图标：启动CHS仿真软件，点击进入Capital Symbol，完成图标的形状、节点和属性设置，图2为直流电压源Symbol图。

图2 直流电压源Symbol图

2)建立模型结构：直流电压源的模型结构设置两个外部节点分别为VP、VM，中间是理想电压源，和电源内阻POS_SUPPLY和NEG_SUPPLY，其中NEG_SUPPLY为0。将模型结构中外部节点VP、VM与图2中V+、V-外部节点Attach链接，实现实现Symbol模块和Structure模块的统一。

图3 模型结构图

3)描述模型行为：根据元件的行为模型，CHS建立功能模型有表达式和状态机两种方式。

表达式建模的优点是简单、直观，利用Saint语言表达式即可表征模型的相应电气属性，如开关电阻等简单元器件即是采用这种建模方式进行建模的。

状态机建模方式唯一与表达式有区别的是模型的Behavior部分，每个状态代表实现电气元件相应的静态功能，状态之间由触发条件进行切换，动态元件就是通过在静态状态之间切换等效其动态特性，每个静态状态功能也是通过Saint语言实现的。状态机建模的优点是能对复杂电气元件进行建模，利用Saint语言表达式编写电气元件相应的静态状态，通过触发条件进行状态之间的切换，可以实现对动态元件的建模。

直流电压源模型采用状态机建模的方式，模型行为如图4所示。

图4 模型行为

4)建立模型参数：在直流电压源Model特性中设置模型参数，设置的参数通过参数名称传递到图4中State Machine建模中，直流电压源模型参数如图5所示。

图5 模型参数

2 Capital SimProve仿真器

CHS软件中的SCA仿真器Capital SimProve允许用户进行潜在通路仿真验证，具体流程如图6所示。

图6 潜在通路仿真验证流程图

2.1 建立原理接线图

原理接线图是指系统的所有组成部分、工作原理和互联关系的图样，选择CHS软件的原理/接线设计模块(Capital Logic)，进行电路原理接线图设计，选择新建逻辑设计的菜单。依次输入设计的名字，修订编号，按照逻辑和接线关系绘制出等效的系统原理接线图。

以飞机起落架为例，按照电路逻辑图的关系，在CHS中画出电路如图7所示，接线图描述了原理图中的信号线转化成独立导线的过程，表征了电路的功能与原理。

图7 飞机起落架逻辑图

从CHS仿真软件符号(Symbol)库中选择相应的符号添加到逻辑图中，依次设置各电气元件的参数属性值，按照电路逻辑关系采用Wire连接方式对各电气元件连线，并按图8所示的步骤设置CHS仿真范围，至此完成了SCA仿真的所有仿真配置步骤。

图8 设置原理接线图仿真范围

2.2 建立Function功能约束

Function又称为SCA仿真分析的功能约束文件，它是整个SimProve仿真引擎的核心部分，表征了电路原理图中开关组合和电气元件的功能约束关系。基于CHS软件的潜在通路分析采用的是遍历的原则，筛选出不符合设计预期的潜在导通通路并在电路图中高亮显示，筛选的原则就是此处建立的Function文件。

图9 建立Capital SimProject

依次选择分析→工具→Capital SimProject，如图9所示。按照飞机起落架电路图的电路逻辑关系，只有当紧急开关(emergency switch)闭合，或者起落架开关(gear down switch)和舱门开关(normal door switch)同时闭合，飞机舱门才会触发打开。建立其Function函数如图10所示。

图10 飞机起落架电路图Function功能约束

为了实现设计的Function中的函数与电路逻辑图中电气元件进行链接，需要对电路图的原理接线图进行项目设置，配置步骤如下：

图11 电路原理接线图项目设置

配置完项目设置后，需要继续对原理接线图中电气元件Attach其Function属性，以emergency Switch开关的属性为例，它表征的Function属性为emergency Switch开关闭合时舱门被触发打开，因此属性(Property)设置勾选闭合(closed)状态，如图12所示。

图12 链接Function功能约束属性

2.3 Capital SimProve仿真

依次选择分析→仿真→Capital SimProve进入SCA仿真界面，点选Simulation即可进行SCA仿真分析。仿真运行完成后，显示潜在通路列表。电路图中的潜在通路在图中高亮显示，界面上显示此时的开关状态和误触发导通状态，供设计人员检查与确认。

3 仿真验证与分析

以某型号运载火箭箭上地面配电图为例，基于CHS仿真软件进行潜在通路仿真验证与分析。箭上、地面所采用的继电器均为165厂生产的6JRXM-2，接通电压≥16 V，线包电阻为250Ω，1C32中消反峰电阻为27Ω，箭上+E供电单机正负端之间电阻可以忽略不计。+B1→-B1电压：28 V；+E→-B1电压：28 V。具体表示如图13所示。

图13 某型号运载火箭箭上地面配电图

图13表示的电路功能关系为：只有当开关5E71闭合时，继电器KF5所对应的线圈才会被触发带电，其它任何形式的误触发使得继电器KF5线圈带电导通均视为潜在通路。

按照电路图的逻辑连接关系，在CHS软件的Capital Logic仿真工具中绘制其等效的电路原理图，如图14所示。

图14 某型号运载火箭箭上地面配电原理接线图

+B1与+E分别为箭上供电电源和地面供电电源，+B1_SW与+E_SW分别为电源选择开关，默认为闭合状态，当电源选择开关打开时，表示该条支路的电源线转为供电公用线。D1～D4为理想二极管，当电流反向流通时，二极管支路反向截止。KF1～KF5、K3～K4为继电器线圈等效电阻，5E71为火箭发射分离等效开关。按照电路图逻辑关系，建立Function功能约束如图15所示。

图15 箭上地面配电图Function功能约束

按照CHS潜在通路仿真工具Capital SimProve仿真步骤，对电气元件功能模块分别Attach其对应的Function功能约束，具体步骤如图16所示。

图16 箭上地面配电图链接功能约束

设置完成仿真范围之后，即可进行Capital SimProve仿真功能，仿真显示按照设置的功能约束，电路中存在一条潜在导通通路，其开关组合如图17所示。

图17 箭上地面配电图潜在通路开关组合

在Capital Logic仿真模块中高亮显示如图18所示。

图18 箭上地面配电图潜在通路高亮显示

从仿真结果可以看出，当+B1_SW开关闭合，+E_SW开关打开，即使5E71开关处于打开状态，继电器KF5线圈仍会触发带电导通，证明系统中存在一条潜在通路，验证了Capital SimProve仿真功能的正确性。

4 结束语

针对传统潜在通路分析状态复杂、耗时久等特点，本文提出了基于CHS仿真平台包含的SimProve模块开展潜在

通路分析的方法，只需按照仿真步骤依次建立电气元件模型、构造功能约束，即可自动进行潜在通路遍历分析，提高分析效率，保证了分析结果的可靠性，从根源上避免潜在通路的形成，在实际工程应用中具有借鉴和实用价值。