汪 灏,周恒保,张青青,李 明,张粒子,徐 昕
(1.上海宇航系统工程研究所,上海 201100; 2.上海航天电子技术研究所,上海 201100;3.南京航空航天大学 航天学院,南京 210016)
运载火箭发射是一个复杂的系统工程,推进剂、高压气体、火工品等都是重大危险源。高可靠性和高安全性是运载火箭发展的基础,也是提高行业竞争力和生存的根本[1]。
目前,我国运载火箭在加注燃料及发射准备过程中自动化程度不高,尤其在火箭发射前的燃料加注、状态准备等诸多环节仍采用大量的人工操作,存在较大的系统安全风险。美国、前苏联、巴西等国家都曾发生过火箭在塔架爆炸而导致大量人员伤亡和财产损失的灾难性事故,教训惨痛。2016 年 9 月,猎鹰 9 火箭在加注燃料后的静态测试中发生爆炸,由于其采用了自动控制技术,实现了发射前端的无人值守,未造成人员伤亡。
因此运载火箭各系统应尽可能减少前端的人工操作,尤其是进入发射流程后应实现自动运行,实现前端无人值守,确保人员安全。
在运载火箭发动机点火、级间分离、整流罩分离、星箭分离等节点普遍使用火工品完成相应功能。火工品易受到杂散电流、射频、静电等因素影响,一旦产生误爆炸将带来巨大灾难性的后果[2-5],所以在运载火箭发射前对箭上火工品进行短路保护十分必要;在运载火箭发射后箭上火工品必须正常引爆,否则也将带来灾难性的后果,因此在火箭临射前必须将箭上火工品解保。
针对运载火箭火工品保护与解保的问题,国内外均有相关研究。
日本Epslion火箭箭上安装了小型化火工品回路检测设备(MOC),主要完成火工品回路的检查,并可模拟起飞、分离等信号。该设备在火箭发射前拆除,可以反复使用。
欧洲阿里安5运载火箭在射前-7 min进入同步程序,自动完成补加液氧液氢、火工品解保、一子级增压至飞行值、一子级发动机冷却、打开地面和箭上电源开关、对地面和箭上接口检查等。阿里安5箭上火工品控制采用了继电器,其火工品保护采用了继电器触点短接方式,在射前7 min内自动完成继电器保护状态至解保状态的切换。
国内运载火箭电气系统,已基本实现箭上设备远程控制、状态参数远程监测和发射流程自动化运行。但国内运载火箭火工品仍采用传统火工品总短路保护插头方式进行保护,在临射前人工手动拆除。XX-2D、XX-3、XX-4B/C等现役运载火箭一般在最后一次加电前拆除火工品总短路保护插头;XX-6运载火箭在推进剂加注后人工拆除火工品总短路插头,均未实现电气系统箭上无人值守。这种通过人工断开箭上火工品总短路插头的方法,在火箭发射流程发生中断或遇到紧急情况时,无法实现火工品保护状态的快速恢复。
为实现运载火箭射前电气系统箭上无人值守、射前故障状态下火工品保护状态快速恢复,提高运载火箭射前操作安全性,本文开展了运载火箭火工品自动保护与解保安全控制技术研究[6-9]。
在运载火箭电气系统中配置火工品自动保护与解保装置,通过磁保持继电器触点开闭完成火工品线路短接实现火工品保护与解保,磁保持继电器依靠自身磁路完成火工品保护回路“常开”、“常闭”两种状态的自保持,解决了单机未加电情况下火工品保护状态的维持问题。由地面测试设备与箭上火工品自动保护和解保装置进行通信,控制完成火工品自动保护与解保工作。
目前该技术已在某型号运载火箭电气系统设计中应用。由此,运载火箭射前火工品保护与解保可以自动切换实现运载火箭临射前电气系统箭上零人工操作,做到无人值守;并可实现运载火箭在射前故障状态下火工品保护状态快速恢复。
常规运载火箭火工品控制系统一般由综合控制器和电阻盒组成,火工品控制指令由综合控制器发出,通过电阻盒完成引爆电流转换并传送给火工品完成引爆。当火工品控制线路引入干扰信号时,可能导致火工品误爆炸带来灾难性事故[10-14]。
运载火箭火工品自动保护与解保安全控制系统是在常规运载火箭火工品控制系统基础上增加配置火工品保护控制器,将火工品通过电缆网引至控制器,由其完成保护与解保。系统原理结构如图1所示。
如图1所示,火工品控制系统电阻盒内部火工品指令输入点与负母线引入火工品保护控制器,此时火工品和电阻盒中限流电阻与火工品保护控制器串联,利用控制器内部的继电器触点进行短接,以实现火工品短路保护功能。当控制器内部继电器触点处于闭合状态(即保护状态)时,若火工品控制线路中出现干扰,干扰信号会通过火工品保护线路释放,避免火工品误爆炸的可能。当控制器内部继电器触点处于打开状态(即解保状态)时,火工品保护线路处于断路状态,此时火工品控制线路与原状态相同。
火工品保护的特殊性要求是火工品保护控制器在断电后仍能维持火工品保护状态,即保护继电器闭合状态,因此火工品保护与解保继电器需使用磁保持继电器。磁保持继电器的特性是:收到脉冲控制信号就会发生触点状态跳变,在脉冲控制信号消失后维持触点状态不变[15-16]。
考虑到磁保持继电器收到脉冲信号跳变的特性,当火工品保护控制器受到脉冲干扰也可能会导致火工品保护状态改变,因此增加一个火工品解控继电器作为火工品保护与解保继电器的开关。火工品解控继电器采用电磁继电器,只有收到控制信号才会动作。这就相当于给火工品保护与解保新增了一层保护,只有解控继电器触点闭合时才能对火工品保护与解保继电器进行操作,增强了系统抵御外界干扰的能力。
如图1所示,火工品保护控制器由地面测发控系统通过RS422信号进行控制。在火箭测试阶段由地面测发控系统通过RS422信号发出“解控”、“保护”、“解控断”指令至火工品保护控制器,设备将指令转换为继电器的28 V控制信号自动完成火工品保护工作;在箭上加电过程中通过RS422实时监测火工品保护状态(即继电器触点闭合状态);在火箭临射前,地面测发控系统通过RS422信号发出“解控”、“解保”、“解控断”指令至火工品保护控制器,设备将指令转换为继电器的28 V控制信号自动完成火工品解保,在箭上加电过程中通过RS422实时监测火工品解保状态(即继电器触点打开状态)。
火工品保护与解保控制电路原理如图2所示。以火工品解保为例介绍整个控制过程,当火工品保护与解保控制设备受到地面测发控系统发出的解控指令后,J1-J4解控继电器(电磁继电器)得电动作,保护及解保指令并联回路中的J1-J4触点变为打开状态,串联回路中的J1-J4触点变为闭合状态,此时火工品保护及解保指令具备控制条件;当地面发出火工品解保指令时,K1-K20火工品保护与解保继电器(磁保持继电器)变为打开状态并磁保持,火工品解保;此时断开解控指令,J1-J4解控继电器(电磁继电器)断电恢复,保护及解保指令并联回路中的J1-J4触点变为闭合状态,串联回路中的J1-J4触点变为打开状态,此时地面火工品保护与解保指令不再作用,火工品被维持在解保状态。火工品保护原理同上。
火工品保护与解保继电器、解控继电器触点在单机加电情况下处于实时监控状态,可用于火工品保护与解保控制操作时的状态确认和火箭测试及飞行过程中的火工品状态监控。
在运载火箭电气系统使用时,在地面测试状态下火工品置保护状态;在火箭进入发射流程射前10分钟准备时地面主控微机流程自动将火工品置解保状态;当火箭出现发射流程中断或紧急故障问题时,可通过主控微机将火工品置回保护状态;当火箭点火后出现发动机故障发生紧急关机时,主控微机可通过接收到的紧急关机指令自动将火工品置回保护状态。
运载火箭火工品的特殊安全性要求在于其在火箭发射前必须处于短路保护状态,确保无误爆炸的风险;在火箭发射时必须处于非短路保护状态,确保其飞行过程中引爆正常。因此火工品自动保护与解保控制要求在单机未加电情况下维持火工品处于保护状态。
在运载火箭电气系统设计中多采用电磁继电器或固态继电器,均需在继电器加电情况下才能维持触点的打开或闭合状态,无法满足火工品自动保护与解保控制的使用要求。且在飞行高频振动、冲击、高低温等恶劣环境条件下,火工品解保状态触点需维持其状态不变,这对火工品自动保护与解保控制继电器的选取也提出了更高的要求[17-18]。
磁保持继电器就解决了以上难题,其工作原理为:磁保持继电器触点开、合状态由永久磁铁所产生的磁力所保持。当继电器的触点需要开或合状态时,只需要用正(反)直流脉冲电压激励线圈,继电器在瞬间就完成了开与合的状态转换。当触点处于保持状态时,线圈不需要继续通电,仅靠永久磁铁的磁力就能维持继电器的状态不变。其工作原理见图3。
图3 磁保持继电器工作原理
图3演示了状态转换过程。当继电器的触点需要从初始变为置位状态时,用正直流脉冲电压激励线圈 J2,线圈 J2 励磁后产生的磁极与永磁铁的磁极相互作用,同极性相互吸引,异极性相互排斥,使得继电器在瞬间就完成了状态转换,反之同理。
磁保持继电器只需一次性脉冲触发就能长久保持一种状态,无需长时间供电维持状态。火工品保护与解保继电器选用磁保持继电器,继电器依靠自身磁路完成“常开”、“常闭”两种状态的自保持,无需额外加电维持。磁保持继电器这种特点使得在全箭断电情况的火工品保护变得十分简单,适用于单机未加电情况下的火工品保护需求。另外磁保持继电器还具有体积小、负载能力强的特点,因此该技术非常适用于火工品自动保护与解保控制。
航天科技集团九院165厂生产的4JB2-2超小型磁保持继电器,有4副触点,额定电压28 V,额定电流2 A,体积21 mm×11 mm×11.5 mm。其具有体积小、功耗低、重量轻、集成方便等特点。经飞行环境试验考核,该继电器可以满足在飞行高频振动、冲击、高低温等恶劣工况下工作。因此选用该产品作为火工品保护控制器的磁保持继电器。
系统实现火工品自动保护与解保安全控制技术的核心为火工品保护控制器,该设备由电源模块、通信控制模块、火工品保护控制模块、继电器触点状态采集模块组成,其原理如图4所示,通过接受地面指令完成箭上火工品的保护和解保。
图4 火工品保护控制设备原理框图
电源模块用于将外部的28 V一次电源转化成为单机需要的5 V、3.3 V和1.8 V二次电源;通信控制模块主要完成与地面RS422信号的通信控制;火工品保护控制模块接收地面控制信号驱动继电器组合完成火工品保护与解保控制;继电器触点状态采集模块用于实现火工品保护状态的监测功能。
TI公司的DSP芯片SMJ320F2812具有速度高、性能强、软件资源丰富等特点,目前在运载火箭电气系统单机中均有应用。该处理器工作温度-55~125 ℃,已经过飞行验证。
火工品保护控制模块在接收DSP发出的解控、保护或解保指令后,通过驱动电路控制相应继电器的线包实现控制。火工品解控采用6JT5-1电磁继电器,火工品保护与解保采用4JB2-2磁保持继电器,均为航天成熟应用产品。两种继电器驱动均采用晶体开关管,控制线包正端的方法实现。采用了4D5713 硅NPN 高频小功率三极管阵列,最大电流0.5 A,每路400 mW。为了增加可靠性,采用双三极管开关的方式,见图5所示。当其中一个三极管失效(开路或性能衰减)时,电路仍能正常工作。DSP根据接收的指令,输出相应的IO信号,IO信号经光耦隔离、三极管放大后,实现驱动继电器线圈的驱动功能。
图5 双三极管控制驱动电路图
继电器触点状态采集模块由通路切换电路、信号调理电路、采样电路组成,如图6所示。该模块主要用于对火工品保护解保继电器、解控继电器触点的闭合和打开状态进行采样监测,使用不大于10 mA的恒流源作为信号源,状态采集模块状态采集完成后,断开恒流源输出,确保火工品安全。
图6 继电器触点状态采集电路示意图
火工品状态经采集后,通过RS422通路传给地面测发控系统。火工品保护与解保控制装置配置3路422接口,分别与测量系统(1路)及地面测发控系统(1主1备)通信,传输控制指令及监视参数。DSP F2812内置2路SCI接口协议,配置外部接口电路即可实现RS422功能。RS422输入器件采用DS26C32、输出器件采用DS26C31,都为TI公司产品,采用标准的422串行、异步、全双工电路。工作温度范围为-55~+125 ℃的军级芯片。串口通信的工作方式为全双工,采用RS-422A通信标准,通信速率选择在9 600 bps、19 200 bps、38 400 bps及115 200 bps四个常用波特率之中,误码率小于1×10-6;数据按字节发送,每帧含1位起始位、8位数据位、1位偶校验位、1位停止位。所选的DSP有片上SCI串行通信接口模块,与外部RS422物理层驱动接口芯片连接,符合标准RS422电气接口规范(见图7)。
为提高火工品自动保护与解保控制的可靠性,对系统进行冗余设计[19-21],具体如下:
1)控制指令冗余设计。地面测发控系统和火工品保护控制器采用1主1备的双路RS422通信模式。RS422通信不仅传输地面发出的火工品状态控制指令,还接收箭上下发的火工品状态监视参数。配置双冗余RS422通信接口,实现了指令传输线路的冗余。
2)火工品状态触点冗余设计。火工品保护与解保触点采用2个磁保持继电器触点串联的结构,在火箭飞行过程中当其中一个继电器出现问题后,仍然能够保证火工品保护线路断开,不会影响飞行任务。
3)火工品解控线路冗余设计。火工品解控触点电路采用4个电磁继电器2并2串的结构设计,可适应单个继电器触点异常的一度故障。同时在火工品保护与解保触点线路上串联一个常开的火工品解控触点线路,并联一个常闭的火工品解控触点线路,与火工品保护与解保线路形成互锁结构,提高指令控制安全性。
4)继电器驱动信号冗余。火工品保护与解保、解控继电器采用双三极管开关的方式驱动。当其中一个三极管失效(开路或性能衰减)时,电路仍能正常工作,确保继电器驱动正常。
火工品保护控制器包含电源模块、通信控制模块、火工品保护控制模块、继电器触点状态采集模块等多个模块,但火工品保护与解保技术对可靠性要求极高,任何一点闪失都会导致箭毁人亡,任务失败的损失。这就需要在单机结构设计中选择既保持结构强度,又满足电磁兼容性设计的结构。同时因为驱动电路电流较大,所以需考虑散热及大电流要求。因而火工品保护控制器整体结构采用层叠式结构形式,如图8所示。
图8 层叠式结构示意图
火工品保护控制器印制板按功能相关的模块分类设计,采用层叠式结构组合,印制板设计中增加隔离层,防止层与层相互之间的影响,同时这种结构有利于调试和维护[22]。
栈接接插件上通过的信号有电源、驱动信号、反馈采样信号、数据总线等。栈接接插件选用J80/J80C型直插转接插座96/48芯,接点间距 2.0 × 2.0,具有直插转接以及防错插功能。工作电流大3 A, 接触电阻≤10 mΩ,绝缘电阻≥5 000 MΩ,介质耐压1 000 V。
壳体结构为一体化铝材料框架,表面为天蓝色绝缘镀层。侧面及两印制板安装位置之间均有加强径。整体刚性较好、结构强度高、重量较轻。
考虑功率模块通过壳体散热,因此把电源功率模块的散热面直接安装于壳体结构上,散热面积尽可能大。
对于火工品自动保护与解保安全控制系统而言,有效的故障诊断能够及早发现故障并及时处理[23],对保障火工品安全保护及飞行正常工作有重要意义。
火工品自动保护与解保安全控制系统采用了状态检测、监控和故障隔离综合技术(built-in-test,BIT)能够检测到故障,确定故障模式,界定故障范围,并执行故障预测和隔离等相关措施,具有一定的报警能力。
火工品自动保护与解保安全控制系统具备以下BIT功能:
1)火工品保护与解保设备在上电时或接收到上位机自检指令时,完成自身初始状态自检,自检内容包括接口芯片、处理器芯片、内存、供电电源、寄存器状态等。
2)对于火工品保护与解保设备内部控制芯片、采样电路等突然发生损坏或停止工作的 故障问题,火工品保护与解保设备根据采集的状态信息,对照内嵌的状态分析表进行故障模式判断和定位,并将故障信息上传上位机。
3)对于火工品保护与解保、解控等触点状态,火工品保护与解保设备通过RS422通信接口将监测数据上传给地面测发控系统或上位机,由地面测发控系统或上位机通过对数据进行对比判断,得出相关继电器及其触点是否发生故障的结论。
运载火箭火工品自动保护与解保技术试验验证平台组成如图9所示。地面测试设备可向火工品保护与解保设备发出设备供电、自检、火工品解控、火工品解保、火工品保护、火工品解控断等指令,并接收火工品保护控制器回传的自检消息、火工品解控触点状态、火工品解控保护与解保触点状态等数据。
图9 火工品自动保护与解保技术试验平台
将地面测试设备、火工品保护控制器、电阻盒和等效火工品负载按图9进行连接,使用地面测试设备给火工品保护控制器上电,确认初始状态如图10所示。
图10 火工品保护控制器初始状态确认
按照表1进行状态检查,结果确认合格。
表1 初始状态检查确认表
地面测试设备软件发出“解控”命令,对火工品解控控制功能进行测试,如图11所示。
图11 火工品解控测试
按照表2进行检查,检查确认此时控制器解控状态,结果合格。
表2 火工品解控测试检查表
如图12所示,地面测试设备软件发出“解保”命令,对火工品解保控制功能进行测试。
图12 火工品解保测试
按照表3进行测试检查,显示此时1~30路火工品为非保护状态,结果合格。
表3 火工品解保测试检查表
如图13所示,地面测试设备发出“恢复锁定”命令,然后控制火工品保护控制器下电后重新上电,对火工品解保状态进行确认。
图13 恢复锁定并重新上电
按照表4进行测试检查,显示此时1~30路火工品为解保状态,结果合格。
表4 重新上电状态检查表
地面测试设备发出“解控”、“恢复保护”命令,进行火工品保护控制功能测试,如图14所示。
图14 火工品保护测试
按照表5进行测试检查,软件显示此时1~30路火工品为保护状态,结果合格。
表5 火工品保护控制测试检查表
对火工品保护控制器执行恢复“恢复锁定”并重新上电后,确认火工品保护状态,如图15所示。
图15 恢复锁定并重新上电
按表6进行确认,火工品保持保护状态。
表6 解控接通测试检查表
在测试结束后,地面测试设备发出“火工品保护控制器下电”命令,火工品保护控制器下电。
上述试验表明火工品保护控制器,控制火工品解控、解保、保护功能正常。在单机下电后依然可维持火工品保护触点状态不变。
运载火箭火工品自动保护与解保安全控制技术主要在箭上配置火工品保护控制器。通过地面测试设备控制箭上设备的火工品解控、火工品保护与解保继电器实现箭上火工品自主保护与解保控制[24-25]。
为保证火箭测试和飞行过程中的可靠性安全性,对系统进行可靠性安全性分析:
1)为避免火工品保护与解保磁保持继电器受异常指令或干扰驱动导致状态异常翻转,采用电磁继电器J1~J4的“常闭”触点对其进行短接锁定,若需要对磁保持继电器进行控制,则需要先进行J1~J4继电器线圈加电,解除磁保持继电器的锁定;
2)采用第3.3章介绍的系统冗余设计,进行了控制指令、火工品解控触点、火工品保护与解保触点、继电器驱动电路等冗余设计措施;
3)为保护或解保指令控制安全性,设置一副J1~J4的常开触点串入指令回路,设置一副J1~J4的常闭触点并入指令回路,保护/解保指令与指令解控形成互锁电路,提高指令控制安全性;
4)在射前完成火工品解保后,继电器处于断开,设备内部电路与电阻盒线路完全物理隔离,最大程度保证设备内部线路不对电阻盒产生影响;
5)火工品保护及解保指令均由地面测发控系统发出,确保起飞后火工品保护指令不会发出,进一步提高火工品解保线路的安全性;
6)采用火工品自动保护与解保安全控制技术后,在射前故障状态下可实现火工品保护状态快速恢复,可减少风险。
当前中国新一代运载火箭,火箭推进剂采用液氧煤油,因此在测发流程中液氧煤油加注往往和箭上操作并行,存在很大的风险。电气系统采用无人值守运载火箭火工品自动保护与解保安全控制技术,可在射前箭上自主实现火工品保护与解保,实现电气系统临射前箭上零人工操作,电气系统箭上射前无人值守,在射前故障状态下可实现火工品保护状态快速恢复,可减少风险,降低经济损失。
运载火箭火工品自动保护与解保安全控制技术可以有效提升便捷性和效率,降低人员现场值守风险;为后续多个在研运载火箭型号电气系统提供无人值守解决途径,可以有效地实现运载火箭加注后发射区无人值守要求,显著提升了运载火箭可靠性安全性。