电子安全系统备用解除保险模块逻辑设计

张欣港,彭志凌,段昊言,陈子华

(中北大学 机电工程学院, 太原 030051)

0 引言

引信电子安全系统即电子安全与解除保险装置(ESAD)[1],自20世纪70年代美国首次公开以来[2],伴随着冲击片雷管起爆技术的不断发展[3],已经有了比较完善且成熟的结构与时序功能,且本身能够实现重复功能测试,便于后续系统调试作业[4],得到了广泛的应用。

未来战场面临着高科技、高烈度、强电磁干扰的环境,这对抗电磁干扰能力较弱的全电子安全系统在安全性方面提出了更高的要求。传统安全逻辑控制电路通过双专用集成电路(ASIC)控制串联的解除保险开关电路以达到冗余保险的目的。这种结构的弊端是一旦单芯片及其外围电路出现故障,仍会使整个安全系统失去工作能力,无法彻底解决单点失效的问题。为了达到在解除保险周期前与周期内将单点失效降至最少[5]的目的,可对该结构进行相应的补偿设计。

随着引信中软件应用范畴的不断扩展和深入,随之而来引信软件失效造成的系统故障或事故也会不断增加[7],同时过度防护会带来电子安全系统体积、质量增大,限制了引信电子安全系统的小型化[8]的问题。目前国内尚未有人研究双逻辑控制电路单点失效的应急补偿方案,本文基于引信传统结构在若干特定情况下的需求,设计出了一种在单芯片故障时启用备用解除保险模块的工作模式,利用电子安全系统的专用集成电路(ASIC)芯片中剩余的逻辑阵列资源进行设计,同时对芯片以外的开关电路进行优化设计,将传统的串联开关电路改成元器件并联型的电路。使电子安全系统在即使有一片ASIC芯片失效的情况下,另一片芯片可通过备用解除保险模块接管系统,作为应急部件完成解除保险的流程,从而在较低的改装成本下提高安全性与可靠性。

1 系统结构设计

1.1 电子安全系统结构分析

电子安全按系统可分为接口电路、逻辑控制电路、开关电路和起爆电路。如图1所示,以某型弹药中电子安全系统为例,参考《GJB373A—97引信安全设计准则》的要求,逻辑控制电路由2个“独立的实体”构成[8],即逻辑控制电路中的FPGA1、FPGA2。电子安全系统的输入端接入了由传感器电路处理好的3个环境电信号ev1、ev2、ev3,其中ev1接入FPGA1,ev2、ev3接入FPGA2。电子安全系统[10]的输出端通常布局方式为2个静态开关分别控制电源与电路地线,而动态开关控制高压转换电路,同时设计两套独立的控制电路,将3个保险开关分置其上,进而实现冗余保险、时序保险、延期解保等功能。

图1 传统电子安全系统结构图Fig.1 Structure diagram of electronic safety system

逻辑控制电路通过识别不同环境信号输入的时间来控制开关电路中开关的闭合来达到解除保险的目的。全电子安全系统[10]用“顺序+阈值+时间窗”的原则进行识别[12],顺序的含义是环境信号随特定时间依次出现,每个环境信号都有一个对应的时间范围成为时间窗,环境信号只有在规定的时间窗内依次出现,连接开关电路对应的输出引脚才会输出信号,在全部开关闭合后,开关电路导通,为高压充电电容提供启动电压,进而进入后续引爆步骤。环境信号只有在对应时间窗内出现才能闭合开关,时间窗内未出现或出现在别的时间窗都会使安全系统报错并停止工作。

提高引信安全性的主要途径有增加独立保险件的个数、巧妙地设计安全系统的逻辑等[9]。由于采用了双ASIC芯片控制开关电路的设计,因而两片芯片都有较多资源与引脚的剩余。同时可以看出,两片芯片虽然分别处理了不同的环境信息与开关电路,但本质上是串联工作关系,当一片芯片故障时,电子安全系统整体便会失去工作能力,属于失效模式中的单点失效。因此利用芯片的剩余资源,设计出独立于原有解除保险电路的备用电路,使得在特殊环境下由一片芯片接管解除保险工作的逻辑设计具备可行性与实际意义。

1.2 备用解除保险模块逻辑设计

微处理器控制方式提高了引信电路的安全性[11],备用解除保险模块本质上是通过对ASIC芯片编程(此处以FPGA芯片为例),用一片芯片即可完成对静态开关SW1、SW2、动态开关SWD的控制任务的电路。由于ASIC程序编写是将电路划分为不同的功能模块加以整合,故将这部分电路称为备用解除保险模块。备用解除保险模块独立于其他的模块,在电子安全系统正常工作时,备用解除保险模块处于休眠状态,不参与对解除保险过程的控制。只有当其中一片芯片出现故障时,调用备用解除保险模块作为应急方案接管工作。同时将输入的3个环境信号均接入FPGA1、FPGA2中,两片FPGA芯片均输出3个引脚,相对应的引脚两两取或逻辑后接入开关电路,使每片FPGA具备独立的环境信号接收能力与开关电路控制能力,备用保险模块的软件编写与仿真具备结构基础。改进后的电子安全系统结构示意图如图2所示。

图2 新型电子安全系统结构示意图Fig.2 Schematic diagram of electronic safety system structure

这种设计的FPGA芯片可分别接收全部的环境信号,同时可分别控制全部的开关。控制输出开关信号的方式为逻辑上将对应的输出信号进行逻辑运算,实现的方式有增加一个逻辑运算芯片整合输入输出接口,或在每个功率开关的基础上并联一个功率开关,分别接入FPGA1、FPGA2。连接方法如图3所示。

2 软件设计

2.1 逻辑流程设计

安全系统通过2个互相独立的电路控制功率开关来避免共因失效的问题,但同时带来了单点失效的隐患。引入备用解除保险模块的目的就是在这种情况下提供应急解决方案,从而提高装备的可靠性。研究备用保险模块的启动逻辑流程首先要明确安全系统的故障类型与故障出现的时间。弹药出现故障可能出现在贮存期间,也可能出现在某个解除保险时的节点。同时为了保证备用保险模块不会误干扰到正常情况下的解除保险工作,需要经过多重方法判断故障模式,以确保备用保险模块的可靠性。判定流程如下:

1) 系统在通电后首先进行上位机自检,通常引信在此阶段若发现故障就会进入报错状态。经优化后的安全系统会首先判定是否出现故障,若出现故障后会进一步判断该故障是否符合单一芯片的故障,如果不是则报错;如果是则进入下一步验证。

2) 芯片间通过串口通信进行握手,互相发送并接收彼此的工作状态,若出现单芯片故障,则进入下一步验证;若不是,系统报错。

3) 通过输出端的状态进行反馈,芯片故障后输出端会表现出高阻态,由此可以作为判定的依据(通信端也视为一种输出反馈),若并非单芯片故障,则报错;若是则判定符合条件,可以启动备用解除保险模块。判定流程如图4所示。该判定流程所需时间极短,相较于整个但要工作流程来说可以忽略不计,故可在系统工作期间进行多次故障判定,在多个时间节点都可以启动备用解除保险模块,增加了模块的使用场景的范围。触发备用解除保险模块工作的原因有:识别环境信号的接口电路故障、输出控制开关关闭的接口故障,片间通信中断、单个芯片断电、芯片烧毁等。

图4 启动模块的判定流程Fig.4 Determination process of the module

2.2 系统内部模块设计

现拟设定正常工作情况下由芯片FPGA1接收环境信号ev1并控制开关sw1的闭合,芯片FPGA2接收环境信号ev2、ev3并控制开关sw2、swd的闭合。输入信号ev1对应时间窗1、sw1;ev2对应时间窗2、sw2;ev3对应时间窗3,swd,引入时间窗的概念可以很好的区分3个电信号。

同时根据模块化的思路可将芯片内部分为若干模块。clk为外部时钟,用于提供工作所需的频率。rst为复位控制指令,可以在故障或需要恢复时结束工作。每片FPGA中都有一个控制模块,集成了开关控制、信号传输、判断解除保险状态与故障、高压起爆异常与识别等功能,同时控制信号的接收与发送。时间窗模块负责时间窗的打开与闭合,并负责环境信号的识别,同时向控制模块发送闭合开关的指令或报错信号。tx为发送数据模块,rx为接收数据模块。在此基础上加入所设计的备用解除保险模块,并接入通信端口、全部的环境信号端口与输出端口等。

FPGA1、FPGA2内部模块框图如图5、图6所示。可见备用保险模块与安全系统主体保持相对独立。正常工作时安全系统的结构与功能基本不变,全部的时间窗与输入、输出信号仅接入备用保险模块,并未接入主体系统,以保证正常工作时不会出现因结构改变引起的故障。

图5 FPGA1模块图Fig.5 Functional module diagram of FPGA1

图6 FPGA2模块图Fig.6 Functional module diagram of FPGA2

如图7所示,两FPGA芯片的备用解除保险模块内部结构相同,均由一个控制模块,信号接收模块、信号发送模块、3个时间窗模块组成。同时接收与安全系统相同的通信数据,只用在经过多重检验,判定系统出现单芯片故障时,备用解除保险模块会通过通信获得指令开始工作。

图7 模块内部功能框图Fig.7 Internal functional block diagram of the module

3 解除保险逻辑分析

引信本质上是一个信息控制系统[13],假设3个环境解除保险信号,分别对应2个静态开关、一个动态开关,同时加入一个启动备用保险模块信号,其工作过程可视作一个具有4个变量的状态转换流程。引信的安全性是对引信的最基本也是最重要的要求[14],利用随机过程的Markov理论[15],对备用保险模块的安全性进行分析,状态转换图如图8所示。

图8 备用保险模块状态转换图Fig.8 Status conversion diagram of the module

转换图中四位数,从右到左,第一位表示备用保险模块状态,0为未启动,1为启动;第2～4位依次表示静态开关sw1、sw2,动态开关swd,0为开关断开,1为开关闭合。经过分析,状态转换图共存在9个状态,分别对应不同时刻下的故障情况。

设引信在上电后出现解除保险或误打开备用保险模块的概率相同,为pi,i=1,2,3,…,则对应开关断开或未启动备用保险模块概率为1-pi。

对状态转换图进行状态转移分析,得出其一步转移概率矩阵:

代入n步转移矩阵公式[16]:

P(n)=Pn

得到未来n时刻解除保险概率[17]:

因此,安全系统解除保险概率P为[9]

取p1=p2=p3=p4=0.001,n=50[1],代入计算后,所设计的包含备用解除保险逻辑模块的安全系统意外解除保险的概率为2.656×10-7,满足安全性指标。

4 系统仿真验证

根据上述设计的引信电子安全系统备用解除保险模块的结构与功能,通过使用Verilog HDL语言编写满足功能的逻辑控制程序,并映射出对应的RTL逻辑电路图。RTL电路如图9所示。

在编写出的备用解除保险程序的基础上进行时序仿真,模拟单芯片故障通信中断与芯片完好但各种接口出现故障的情况下,备用解除保险模块的工作时序。

备用保险模块通过串口通信与外界进行信息交换,这种通信的特点是用一根导线一次可传输8位串行数据,不妨取其中高三位分别表示系统自检结果、片间通信结果和输出反馈结果,当系统正常工作时,这三位会向备用保险模块输出高电平,数据表现为1,即[7:0]=(111xxxxx),当其中一片芯片通过自检识别出接口故障(包括输入与输出接口)无法完成闭合开关的工作时,经过三重验证后,会将这三位的电平拉低,即[7:0]=(000xxxxx),表示输出的8位数据在高三位均为0时,另一片芯片启动备用保险模块。启动后备用解除保险模块参与的解除保险流程如图10所示。

图10 波形图Fig.10 Wave chart

当芯片接收到通信信号pi_data高三位信号均为0时,备用解除保险模块工作,在时间窗内依次接收到对应的环境信号后,开关均闭合,系统进入起爆状态,解除保险的工作过程与正常情况下相同。

5 结论

1) 通过过分析目前引信电子安全系统结构上的不足,提出了一种备用保险模块的补偿方法,旨在满足安全性指标的前提下增加弹药的使用场景。

2) 在现有硬件环境的基础上,遵循电子安全系统冗余保险的原则,在电子安全系统单芯片失效时,备用解除保险模块仍可以完成解除保险流程。

3) 系统意外解除保险概率为2.656×10-7,满足引信安全性能指标。

4) 通过RTL电路仿真与时序仿真,验证的时序满足预设要求,为弹药故障应急方案的研究提供参考。