裴翔
(中国直升机设计研究所,江西景德镇,333000)
直升机目前配电系统主要分为常规配电系统和自动配电系统。自动配电系统由供电处理机,电源控制板和前后两台负载管理中心组成[1~2]。电源控制板通过开关将配电模式指令和任务加载指令输送给供电处理机,供电处理机根据开关状态和上位机指令向两台负载管理中心输出固态功率控制器(以下简称SSPC)控制指令,实现向机上用电设备通电的功能。SSPC 根据I2t 反延时保护曲线对配电负载进行过流保护和短路保护。当电流超过额定电流的7 倍后,会触发SSPC 短路保护,SSPC 控制电源关断,同时上报“跳闸故障”[3~4]。本文通过对直升机自动配电系统短路保护后,无故障上报并无法操作的故障进行故障分析,通过故障树的方法进行故障定位,提出有效改进措施,提高自动配电系统可靠性,保证自动配电系统满足机上使用需求。
在直升机风冷交流发电机转油冷交流发电机后,后负载管理中心为综合射频供电的三相交流SSPC 自行关断,返回上位机的状态为关断且无任何报故。综合射频交流实际未能供电。通过上位机对后负载管理中心相应SSPC 进行接通、复位等操作无响应,对后负载管理中心断电再上电后故障消除。
后负载管理中心与供电处理机进行联试试验,综合射频交流对应的三相SSPC 加额定负载,试验过程中控制综合射频交流SSPC 接通断开,故障未复现;对综合射频交流进行过流试验和单相短路试验,故障未复现;对综合射频交流SSPC 进行任意两相短路试验和三相同时短路试验,综合射频交流SSPC 断开且不受控,未上报任何故障,与机上现象一致,故障复现。后经地面联试试验,确认综合射频交流在转电时多相存在较大冲击电流,可触发SSPC 短路保护。
系统交联关系如图1 所示。
供电处理机与后负载管理中心之间仅有RS422 总线信号交联。供电处理机向后负载管理中心CPU 下发控制指令,同时接收后负载管理中心CPU 反馈的后负载管理中心状态信息,包括SSPC 通断、电流值等。
后负载管理中心CPU 与通讯模块之间有RS485 总线信号交联。CPU 向通讯模块下发解析后的供电处理机指令,同时接收通讯模块反馈的SSPC 的状态信息。
后负载管理中心通讯模块与SSPC 之间有CAN 总线信号交联。通讯模块向SSPC 下发解析后的CPU 指令,同时接收SSPC 反馈的自身状态信息。
根据故障现象分析,综合对产品的原理进行分析,梳理可能引起相应故障现象的因素,建立产品故障树见图2 所示。
图2 SSPC 断开后不接通故障树
由故障树可知,导致产品SSPC 断开后不接通的原因有:
(1)机上线路故障
机上线路分为两部分:后负载管理中心与供电处理机RS422 通讯线路和后负载管理中心输出至综合射频交流线路。
(a)后负载管理中心与供电处理机RS422 通讯线路故障
后负载管理中心与供电处理机RS422 通讯线路故障会导致上报RS422 总线故障且所有SSPC 不受控,与故障现象不符。
(b)后负载管理中心输出至综合射频交流线路故障
通过万用表实际测量该路SSPC 输出至负载端的线路,为导通状态。机上线路故障,应为SSPC 可开通可控但上报电流为零,与故障现象不符。
结论:可排除机上线路故障。
(2)供电处理机RS422 通讯电路故障
供电处理机与后负载管理中心交联部分为RS422总线,具有BIT 功能。若供电处理机RS422 通讯电路故障,会导致RS422 通讯异常上报总线故障,经确认,机上无故障信息上报。同时如果供电处理机RS422 通讯电路故障,则应为后负载管理中心所有SSPC 均不受总线控制,经确认只有为综合射频交流供电的SSPC 不受控,其他负载对应的SSPC 可正常控制。
结论:可排除供电处理机RS422 通讯电路故障。
(3)供电处理机RS422 指令下发异常
对供电处理机RS422 相关软件代码进行分析检查,包括RS422 接收中断处理程序、接收指令校验与存储程序、指令解析程序、下发指令打包程序,对以上程序的功能、性能及过程处理的安全性等方面进行检查,通过检查确认无误处理操作。产品正常和故障复现时监控供电处理机下发的RS422 通讯数据,通讯包格式、数据和校验等正常,综合射频交流SSPC 对应的数据位符合通信协议,无异常现象。故障复现时供电处理机RS422 下发的对综合射频交流SSPC 的控制指令为接通,后负载管理中心返回的综合射频交流SSPC 的状态为断开。
结论:可排除供电处理机RS422 指令下发异常。
(4)后负载管理中心CPU RS422 和RS485 电路故障
后负载管理中心CPU RS422 和RS485 电路具有BIT 设计,该电路故障会导致产品RS422 总线和板卡报故,经确认,机上无故障信息上报。产品正常和故障复现时监控产品CPU 向板卡下发的RS485 通讯数据正常,无异常现象。
结论:可排除后负载管理中心CPU RS422 和RS485 电路故障。
(5)后负载管理中心CPU 数据解析和下发异常
对后负载管理中心CPU数据解析和下发进行分析检查,包括数据接收中断处理程序、接收指令校验与存储程序、指令解析程序、下发指令打包程序,对以上程序的功能、性能及过程处理的安全性等方面进行检查,通过检查确认CPU软件无误处理操作。产品正常和故障复现时监控CPU 下发的RS485 通讯数据,通讯包格式、数据和校验等正常,综合射频交流SSPC 对应的数据位符合通信协议。故障复现时CPU 下发的对综合射频交流SSPC 的控制指令为接通,SSPC 板卡返回的综合射频交流SSPC 的状态为断开。
结论:可排除后负载管理中心CPU 数据解析和下发异常。
(6)后负载管理中心SSPC 板卡通讯模块RS485 和CAN 电路故障
后负载管理中心SSPC 板卡通讯模块RS485 和CAN 电路具有BIT 设计,该电路故障会导致产品板卡和SSPC 节点报故,经确认,机上无故障信息上报。产品正常和故障复现时监控产品SSPC 通讯模块向SSPC 下发的CAN 通讯数据正常,无异常现象。
结论:可排除后负载管理中心SSPC 板卡通讯模块RS485 和CAN 电路故障。
(7)后负载管理中心SSPC 板卡通讯模块数据解析和下发异常
对后负载管理中心SSPC 板卡通讯块数据解析和下发进行分析检查,包括数据接收中断处理程序、接收指令校验、指令解析程序、下发指令打包程序,对以上程序的功能、性能及过程处理的安全性等方面进行检查,通过检查确认通讯软件无误处理操作。产品正常和故障复现时监控通讯模块下发的CAN 通讯数据,通讯包格式、数据和校验等正常,综合射频交流SSPC 对应的数据位符合通信协议。故障复现时通讯模块下发的对综合射频交流SSPC 的控制指令为接通,SSPC 返回的综合射频交流SSPC 的状态为断开。
结论:可排除后负载管理中心SSPC 板卡通讯模块数据解析和下发异常。
(8)后负载管理中心交流SSPC 驱动电路故障
交流SSPC 驱动电路原理如图3 所示。
图3 交流SSPC 驱动电路原理图
信号①②为交流SSPC 控制电路输出的驱动控制信号,③④为驱动电路输出至MOS 管的驱动信号,⑤⑥为驱动的回采信号。经实际测量,产品正常时,①②信号为低电平时,③④⑤⑥均为低电平,①②信号为高电平时(3.26V),③④⑤⑥均为高电平(③④为8.93V,⑤⑥为2.9V);故障复现后,①②信号始终为低电平时,③④⑤⑥均为低电平。驱动电路的输入输出状态正常。
结论:可排除交流SSPC 驱动电路故障。
(9)后负载管理中心交流SSPC 功率电路故障
交流SSPC 功率电路原理如图4 所示。
图4 交流SSPC 功率电路原理图
信号①②处为功率电路的驱动信号,③⑤为MOS 管的G 极,④⑥为MOS 管的S 极。经实际测量产品正常时,①②信号为低电平时,③④、⑤⑥均为低电平,两个MOS管均未开通,①②信号为高电平时(8.93V),③④、⑤⑥均为高电平8.92V),两个MOS 管均开通;故障复现时,①②信号始终为低电平时,③④⑤⑥均为低电平。功率电路的输入输出状态正常。功率回路开通后加载不同的电流,测量采样电阻(R14_3 和R15_3)两端电压,其值随加载电流不同而不同,采样信号正常。
结论:可排除交流SSPC 功率电路故障。
(10)后负载管理中心交流SSPC 采样电路故障
产品正常时,机上可正常显示开通状态和负载电流值,且负载电流值与实际电流相符。故障复现后,无驱动信号MOS 管未开通,显示为断开电流为零。同时电流采样电路与通断状态无关,若电流采样故障,机上应显示为开通无电流实际负载可加载,与机上故障现象不符。另厂内对故障件进行加载试验,通道上报电流与实际加载电流相符,过流保护正常,当加载电流超过短路保护点(初始定额的7 倍)后可正常短路保护。
结论:可排除交流SSPC 采样电路故障。
(11)交流SSPC 指令解析和识别异常
对交流SSPC 软件的接收指令处理程序代码检查分析,包括CAN 总线接收中断处理程序、指令接收校验程序、指令转换程序和指令执行程序,对以上程序的功能、性能及过程处理的安全性等方面进行检查,通过检查确认交流SSPC 软件无对接收指令进行误处理的操作。通过在线仿真观察数据,交流SSPC 软件解析后输出的驱动信号与接收到的开通关断指令一致。
结论:可排除指令解析和识别错误。
(12)三相联动逻辑漏洞
交流三相SSPC 之间设置有三相联动逻辑,发生短路的SSPC 会向其他两相SSPC发送关断和短路保护标志置位指令。经梳理三相联动逻辑,当40ms 内两相或三相SSPC 同时发生短路保护时,首先发生短路保护的SSPC短路保护计数变为1,40ms 之后会进行重合闸,但在此期间,其会接收到同样发生短路保护的其他相SSPC 发送的关断和短路保护标志置位指令,这将导致自身关断以及短路保护计数清零,同时屏蔽上位机指令,无法执行重合闸和上位机复位操作。导致机上一直显示关断,无法接通且无故障信息上报。
结论:三相联动逻辑漏洞会导致上述故障现象的发生。
经问题定位分析,机上线路、供电处理机、后负载管理中心CPU、后负载管理中心SSPC 板卡通讯模块、后负载管理中心交流SSPC 硬件和交流SSPC 软件指令解析和识别均无问题,该故障由交流SSPC 软件的三相联动逻辑漏洞导致。
短路保护逻辑梳理:当发生线路短路时,SSPC 的会自动进行第一次短路保护跳闸,40ms 后会自动重合闸1 次,重合闸后如果再次触发短路保护,方才认定确实存在短路现象,SSPC 保持跳闸状态,并上报该短路信息。
第一次短路保护后,本通道SSPC 立即向其他两相发送关断和短路保护标志置位指令,其他两相收到指令后执行关断操作,40ms 后本通道SSPC 重合闸,再次跳闸后本通道SSPC 跳闸状态置1,同时向其余相输出跳闸信号,使其他相跳闸。
短路保护存在任一相短路保护、任两相同时短路保护、三相同时短路保护三种情况,当两相或者三相SSPC 同时短路保护时会触发三相联动逻辑漏洞(经地面联试试验,确认综合射频交流在转电时多相存在较大冲击电流,可触发两相或者三相SSPC 同时短路保护),详细机理如下:
(1)任一相短路保护(假设为A 相)
A 相发生短路保护后,A 相短路保护计数置1,同时向B、C 相发送关断和短路保护标志置位指令,B、C 相关断。经过40ms 后A 相进行重合闸,重合闸后再次触发短路保护,A 相认定存在短路现象,A 相跳闸并向B、C 相输出跳闸信号,B、C 相也跳闸。三相实现联动保护,逻辑正常。
如果重合闸后未触发第二次短路保护,则500ms 后将清除短路保护计数。
(2)任两相同时短路保护(假设为A、B 两相)
当A、B 两相发生短路保护时,A 相(B 相)短路保护计数置1,在40ms 期间接收到B 相(A 相)发送的关断指令和短路保护标志位置位指令,使得 A 相(B 相)的短路保护标志位置1 且短路保护计数清零。短路保护标志位置1导致上位机指令被屏蔽无法执行,短路保护计数清零导致无法进行重合闸,跳闸状态不能置1,因此导致三相通道一直显示关断状态不受上位机控制且无保护信息上报。
(3)三相同时短路保护
当三相同时短路保护时,软件运行逻辑类似任两相同时短路保护,三相SSPC 都将屏蔽上位机指令,不能进行重合闸操作,跳闸状态不能置1,因此导致三相通道一直显示关断状态不受上位机控制且无保护信息上报。
软件流程图见图5 所示。
图5 短路保护软流程图
通过分析得出,当任两相或者三相SSPC 同时发生短路保护时会触发交流SSPC 软件三相联动逻辑漏洞,该逻辑漏洞导致SSPC 处于关断状态不受上位机控制且无保护信息上报。
产品下电再上电后,交流SSPC 软件就重新运行可清除标志位,因此可恢复控制。
将后负载管理中心正常上电,选取综合射频交流供电的三相SSPC 进行试验:
(1)A 相、B 相、C 相SSPC 分别进行短路试验,可正常保护并上报保护信息,SSPC 通道受控;
(2)三相SSPC 的A 相和 B 相、B 相和 C 相、A 相和C 相进行短路试验,故障复现;
(3)三相SSPC 的A 相、 B 相和 C 相同时进行短路试验,故障复现。
各短路试验的详细试验波形及现象如下:
(1)综合射频交流供电的三相SSPC 中的A 相、B相、C 相分别进行短路试验,可正常保护并上报保护信息,SSPC 通道受控,故障未复现。试验波形及SSPC 上报状态见图6。
图6 单相短路保护试验
(2)综合射频交流供电的三相SSPC 中的A 相和 B 相、B 相和 C 相、A 相和C 相进行短路试验,三相通道一直显示关断状态,不受上位机控制无法接通且无保护信息上报,故障复现。试验波形及SSPC 上报状态见图7。
图7 两相短路保护试验
(3)综合射频交流供电的三相SSPC 的A 相、 B 相和C 相同时进行短路试验,三相通道一直显示关断状态,不受上位机控制无法接通且无保护信息上报,故障复现。试验波形及SSPC 上报状态见图8。
图8 三相短路保护试验
根据问题定位及机理分析,采取的主要措施如下:
修改交流SSPC 软件中有关短路保护的三相联动逻辑,当本通道经过重合闸后发生第二次短路保护后才向其他通道发送关断和跳闸指令,保证能正确执行短路保护动作。主要针对产品的短路保护功能进行软件回归验证,经软件回归测试结果正确未引入新的软件缺陷,满足软件需求。软件更改仅对短路保护三相联动逻辑进行完善,其他功能相关的软件代码未做更改,对产品其他功能性能无影响。
完善后的交流SSPC软件三相联动逻辑流程图如图9所示。
图9 完善后短路保护软件流程图
改进后进行了如下试验室验证:
将后负载管理中心正常上电,选取综合射频交流供电的三相SSPC 进行试验:
(1)三相SSPC 的A 相、B 相、C 相SSPC 分别进行10 次短路试验;
(2)三相SSPC 的A 相和B 相、B 相和C 相、A 相和C 相进行10 次短路试验;
(3)三相SSPC 的A 相、B 相和C 相同时进行10 次短路试验。
上述三种试验SSPC 均可正常保护并上报保护信息,SSPC 通道受控,故障未发生。
通过以上试验验证结果可知更改措施有效。
根据上述分析,由于转电时综合射频交流两相同时产生了较大冲击电流,触发了SSPC 短路保护。当交流SSPC 任两相或者三相SSPC同时发生短路保护时会触发交流SSPC 软件三相联动逻辑漏洞,该逻辑漏洞导致SSPC处于关断状态不受上位机控制且无保护信息上报。针对此故障对交流SSPC 软件三相联动逻辑中关断和跳闸指令的发送时机进行完善,经试验室验证逻辑漏洞已消除,故障未再发生。综上所述,改进措施有效规避出现短路保护后不受上位机控制且不上报保护信息的故障,提高自动配电系统可靠性,避免后续此类故障的发生。