严殿启 孟鹏飞

北京航天自动控制研究所，北京 100854



火工品控制及供配电系统减少潜在电路的设计规则

严殿启 孟鹏飞

北京航天自动控制研究所，北京 100854

潜在电路对产品的可靠性影响很大，为提高电路设计可靠性，提出了火工品控制及供配电系统电路减少潜在电路的设计规则。从潜在通路的预防、潜在定时的预防和电磁感应损伤预防3个方面探讨了避免潜在电路的设计方法，具体内容涉及火工品限流电阻不能“共用”，同一时序控制的火工品回流点间结构分布电阻不能过大，火工品测试电路的接地点必须与火工品一致、不能直接接电源地，系统火工品控制电路要避免使用“地侧开关”控制，断路器尽量避免设置在地端，测试试验场地要用一个接地极系统等。针对每条设计规则的示例表明规则是有效的，可支持电路的可靠性设计。

火工品控制电路；供配电；潜在电路

潜在电路(Sneak Circuit)的概念是最早由美国波音公司在完成阿波罗登月计划期间针对电子电气系统提出来的。当时波音公司通过对许多重大故障与事故案例的研究，发现有许多故障与事故并不是由元器件失效引起的，而是由系统设计方案中固有状态引起的。而这些状态是设计者为了实现设计意图而无意带进设计方案的，在这些状态下系统存在着某些设计者未认识到的电回路，不同程度地传递着某种能量流、信息流或控制信号流。系统的有关部分一旦被这些潜流所激发，就会产生非预期的功能或抑制了预期的功能，引起系统故障，有时会造成严重事故：包括设备损坏和人员伤亡。

火工品对航天器发射或者飞行的重要性不言而喻，其能否准时有效的起爆，直接关系着航天器能否发射成功及按预定程序飞行。同时，对任何一个电路而言，电源对电路的功能、性能有非常重要的影响，对电路中存在的潜通路要进行仔细分析，将其消除。本文主要针对火工品控制和供配电系统电路，提出避免产生潜在电路的设计规则，文中提到的电源地系指电源负端或零伏点。

1 潜在通路(SP)的预防

1.1 设计规则

(1)规则1

火工品桥丝的限流电阻不能共用，也不能用电缆的分布电阻代替，即使是并联使用的火工品。

(2)规则2

火工品的控制指令触点接有其它负载时，负载“地”端应与火工品“地”端连接，而不宜与电源“地”相连，否则可能引入潜在电路。

(3)规则3

用共地电源控制火工品起爆时，在用同一个控制指令引爆相互距离较远的敏感火工品的情况下，相互距离较远的火工品的地端应单独连线接到火工品负母线上，不应与其他火工品共用连接线。否则，其它的控制指令接通时，将由于连线电阻的存在而引入SP。

(4)规则4

尽量避免在源、地侧混设断路器。

(5)规则5

不同电源供电的设备或分系统要保持电源地和信号地的一致性。

1.2 示例

(1)规则1示例

共用限流电阻可能引入抑制火工品起爆的SP：当一支桥丝(Rd1)发生短路故障时会形成对其它桥丝旁路的SP，从而抑制了其它桥丝的引爆功能，如图1(a)所示。同时，也引入了使火工品的引爆电流一致性差的设计缺陷。一般最后引爆的桥丝电流大，可能超过允许最大电流值。应遵循每个桥丝串联1个限流电阻的规则，如图1(b)所示。

图1 火工品桥丝限流电阻原理图

(2)规则2示例

如图2所示，因为将联锁电路Ktl线圈的回流点就近接到了点火电源的地Gm，而没有接到桥丝地Gh，所以已经接通的指令(F3～F7)电流通过Gh到Gm形成了SP：Gh→尚未接通的火工品桥丝Rd6及其限流电阻→Ktl线圈→Gm，如图2所示。

如果通过Ktl线圈的潜在电流使Ktl误动作，从而联锁延时继电器Ky和脱落线圈TL动作，会造成受TL控制的点火插头XC意外脱落，中止点火，致使发射失败。常见的“其他”负载还有：测试或遥测电路、隔离电路等。

图2 某点火电路网络森林示意图

(3)规则3示例

如图3(a)和(b)箭头所示，其潜在电流随Rl增大而增大，当Rl大到一定程度，可能引起敏感火工品误爆。对于钝感火工品可能引起误发K2测试信号。

图3 火工品之间的SP示意图

(4)规则4示例

如图4所示的原理电路，在S1接通、S2和S3断开的时间内，由电路C1，C2和C3构成了SP。C1和C3正向，而C2反向流过潜在电流，使得C1和C3可能在非期望的时间里产生误输出，C2则可能受损伤。

图4 源、地侧混设断路器示意图

由于违背了规则4而引起的SC是比较多的。为了加深理解，再举2个示例。

1)示例1

某指示电路如图5所示。设计意图是：被指示信号发出后，Kh吸合，其触点(相当于地侧开关)使Kg吸合，同时指示灯ZDh亮。

按加电顺序，要先接通Sm1，然后接通Sb1。在操作间隔时间内，存在+M1→ZDh→Kg→+B1负载电阻Rh→电源地GM，形成了SP。由于Rh很低，因此ST引起的潜在电流较大，如果达到Kg的吸合电流值，Kg将误吸合，危害严重。若使ZDh发亮则形成SI，引起操作人员误判。

图5 某指示电路网络树

2)示例2

某控制电路如图6所示，设计的状态是：由某指令Zt作为地侧开关，将火工品负母线-H接到K7线圈负端，使K7吸合并自保于B4。其触点分别将启动控制线圈两端接到电池B4的正、负端，完成启动。经延迟发分离插头电分指令，触点ZTF闭合，接通电分线圈Ldf，使分离插头分离。

在一种测试状态，脱落插头XC不脱落，不启动。通过XC控制火工品母线±H 不接通的方式来实现(Zf常开触点不闭合，串联的常闭触点Zf闭合，将母线±H节点短路)，在此状态下，当常开触点Zt闭合时，存在+B3→K7线圈→Zt触点→ -H节点→常闭触点Zf→+H节点→XC→K8线圈→GB的SP。当潜在电流达到K7的吸合电流值时，它就会误吸合，引起Lqd误启动。达到K8的吸合电流值时，K8也会误吸合，形成SI(错误地指示火工品母线+H已经有电)。

图6 某控制电路网络森林示意图

(5)规则5示例

采用这条规则可以有效减少设备或分系统之间的SP。如图7中的他测接口电路，如果光电耦合器发光二极管V5和V7地端接GB2(即将GM2改为GB2),自测系统与他测系统之间就不会有SP，并且他测系统还能接收到信号，实现测试冗余。

图7 某测试接口电路网络树

2 潜在定时(ST)的预防

2.1 设计规则

(1)规则1

火工品安装后的测试线路设计，应断开点火电源插头，只使用恒流或恒压的安全电源，以保证绝对安全。

(2)规则2

地电阻(负母线电阻)应尽量避免大电流电路和小电流电路共用，避免产生危害小电流电路的潜在路径。

2.2 示例

(1)规则1示例

某火工品测试电路如图8所示。连接火工品引爆电源(+M01)的插头C+连接着，靠K01继电器断开。测试时J8吸合，其触点使F3吸合。同时将恒流源F4的正、负端分别接到+DF和-DF，从而完成测试激励。这种状态自动保持到对全部火工品测完，才自动断开J8。

如果在测试过程中需要紧急断电，按操作规程断开了K12，再去断J8和M01电源。继电器释放时间为10ms，K12断→K0断→K01断共需30ms，而操作人员在断开K12后再去断M01电源和J8，间隔时间至少也有300ms。在K01已经释放，而M01和J8继电器尚未断开(从而F3也未释放)的时间内，形成了2条ST路径，如图8所示。第1条SP路径是：+M01→K01的常闭触点→F3常开触点→火工品限流电阻→火工品桥丝→-DF节点→C-→GM01。与设计期望路径完全一致，持续时间又足够长，能引起电爆管误爆。

图8 火工品测试电路网络森林

第2条SP路径是：+M01→C+→K01常闭触点→+F源内阻→XC→-DF节点→C-→GM01，对恒流源充电，恒流源内阻很大，不会损坏。但如果是内阻很小的恒压源，则损坏无疑。

(2)规则2示例

1)示例1

某系统H1电压遥测接口电路隔离放大器YC与火工品共地GH11。从GH11到GH1的“共用”地电阻如图9所示。火工品引爆时的大电流将通过共用地电阻使电池电压+H11的遥测信号电平产生一个下跌。如果遥测电路的地从电池地GH1引出，就消除了引起遥测电平下跌的SP。

图9 某遥测电路网络树示意图

2)示例2

某系统调压电路、继电器控制电路与伺服电机有共用地电阻，如图10所示。Rl0和Rl1是共用地电阻，Rh3是调压电路电阻，Rh2，Rh1和Rh4分别是3个小电流电路电阻，K13和K14是分离控制继电器，Msf是伺服电机。

图10 某供电电路网络树示意图

当Msf中流过大且变化的工作电流时，由Rl0形成的SP将使Rh3和Rh2的供电电压降低且不稳定；Rl0和Rl1形成的SP将使Rh1和Rh4的供电电压降低且不稳定；当S3和S4闭合时，如果U1降低至K13和K14吸合电压以下，K13和K14将不能及时吸合，从而抑制了控制指令按时发出。

3 电磁感应损伤预防

3.1 设计规则

在同一个电子电气系统测试场地中不宜同时采用2个接地极系统。

3.2 示例

某系统在测试时采用单独接地桩(这在实际上就形成了独立于厂房接地极系统的另一个接地极系统)，其功放(SNA586)1次损坏5个，之后的工作也不稳定。在进行潜在电路分析时生成的网络树如图11所示。图中，N表示SNA586，1为栅极，2为漏极，3为源极；Z50表示工频电源感应耦合或漏电等效阻抗；ZT表示天电对厂房接地系统的耦合等效阻抗；Zo表示接于输出电容端的电路对厂房接地系统(G0)的等效阻抗；Zi表示接于输入电容端的电路对厂房接地系统(G0)；C0G0表示功能电路输出端对(G0)的分布电容；CiG0表示功能电路输入端对(G0)的分布电容；RG0表示厂房接地网(G0)对大地的电阻；RG1表示测试专用接地桩对大地的电阻；其他元件都是电路本身的元件。

图11表明，各种结构参数、分布参数与有关电路元件一起形成了明显的“H”型拓扑结构，而功能元件SNA586恰位于H形结构的横梁位置，其潜在通路非常明显。

图11 功放电路网络树

工频电源U50感应电流除了通过接地电阻RG1流入大地外，还通过如下4个横梁路径和RG0流入大地。这4条路径是：

1)N/2,1→N/1,3→Co→Zo→RG0→ G；

2)N/2,1→N/1,3→C0G0→G；

3)N/2,1→CiG0→RG0→G；

4)N/2,1→Ci→Zi→RG0→G。

再看天电源ET，它的电流除通过RG0入地外，还通过下述4条路径入大地：

1)Zo→Co→N/3,1→N/1，2→RG1→ G；

2)C0G0→N/3,1→N/1，2→RG1→G；

3)CiG0→N/1，2→RG1→G；

4)Zi→Ci→N/1，2→RG1→G。

上述对U50和ET源均存在的4条潜在路径实际上就是电路中存在的4个“H”形拓扑结构的4条横梁。4条路径都包含了功能元件N/1，2(或者N/2，1)分支，这意味着它们所承担的“潜在电流”是四者之和，从这一点看，这一个分支受损的可能性最大。这一个分支就是SNA586的源-栅极分支。

很明显，这4条潜在路径即使不能损坏功能元件，也要引入对功能元件的干扰，这种干扰随天电和工频电感应变化而变化，极不稳定。G1和G0正是H形横梁的端结点，而G0又是工频电源中线引出点，在该情况下，不管哪个以G1作为保护地的设备漏电，都要将漏电压直接加在横梁上。如果是220V全漏(直接碰壳)，那么就是220V加在了横梁的两端，烧坏元件是必然的。

上述潜在通路存在的根本原因是采用独立地(G1)作为系统保护地和信号参考地的接地方式，这种方式被定义为“TT”方式，它实际上是容易引入干扰并且也不安全的方式，在国军标GJB1696-93中不推荐使用。容易引入干扰的机理已如上述，不安全是因为它往往使漏电保护失灵，原因如图12所示。

图12 漏电保护原理图

图12(a)表明，在TT方式下，漏电流为I：

I=220/(RG0+Rdd+ RG1)

(1)式中，Rdd为2个接地点之间的地电阻。当RG0+Rdd+RG1的值使I小于断路保护器阈值时，就不会跳闸。因而就会使信号地(G1)带有漏电压，起不到保护作用。

图12(b)说明，当将G1和G0连起来后，就采用一个接地极系统，也就是在国军标GJB1696-93中推荐的航天系统的接地方式，称为TN-S方式。在这种方式下，漏电流通过搭接线直接回到零线。一般搭接电阻是接近零值的极低阻抗(国军标要求搭接线应为截面积不小于95mm2的铜线或160 mm2的镀锌扁钢)，因而短路电流很大，能保证I大于保护断路器动作阈值而使之跳闸，从而起到保护作用。

图13 采用TN-S方式时的网络树

当采用TN-S方式后，G1和G0连接成一个节点，消除了H形拓扑结构，4条潜通路全部消失，如图13所示。图13中可以识别出7个“I”形结构，11个“Y”形结构，其中有2个I形和11个Y形包含有ET, U50，但是所有这些拓扑结构中ET和U50(感应电或漏电)都是通往大地的，且只通过厂房接地极系统接地电阻RG0，不通过任何电路元件，因而具有较高的安全性和抗干扰性能。这是应用潜在分析技术解决EMC问题的一个典型示例。

4 结束语

航天器具有高可靠性、高安全性的要求，需尽量避免潜在电路的存在，这就要求各级设计人员、电总体负责人员对潜在电路的特点和危害有深刻的认识，一个复杂电子电气系统，要消除潜在电路，不仅需要在设计完成后应用潜在分析技术进行分析验证，更需要在设计过程中尽量避免引入潜在电路。本文针对火工品控制和供配电系统电路等，结合电路示例提出了8条避免潜在电路的设计规则，可为电路的可靠性设计提供参考。

[1] 严殿启.潜通路分析技术[J].导弹与航天运载技术，2000，(1)：43-47.(Yan Dianqi.Sneak Passage Analysis Technology[J]. Missiles and Spacevehicles, 2000，(1)：43-47.)

[2] James L Vogas.Sneak Analysis of Applicalion Specific Integrated Circuits[C]. 1992 Aerospace Design Conterence February 3-6 ,1992.

[3] Jeff M. Sneak Circuit Analysis for the Common Man,ADA215275[R].Fort Belvoir: DTIC, 1989.

Design Rules to Avoid Sneak Circuit in Connection with Eed Control and Power Supply System

Yan Dianqi ，Meng Pengfei

Beijing Aerospace Automatic Control Institute, Beijing 100854, China

Sneakcircuithasgreatinfluenceonthereliabilityoftheproduct.Aimingatimprovingcircuitdesignreliability,thedesignrulestoavoidsneakcircuitarepresentedwithexamplesinconnectionwitheedcontrolandpowersupplysysteminthispaper.Threeaspectstoavoidsneakcircuitarediscussed,includingthepreventionofsneakpath,sneaktimingandelectromagneticinductiondamage.Thecontentsareinvolvedineedcurrentlimitingresistorthatcannotbeshared,distributedresistancethatcannotbetoolargeineedrefluxpointwiththesametimingcontrol,eedtestcircuitgroundthatmustbeconsistentwiththeeedwhichcannotbedirectlyconnectedtopowerground,avoidingtheuseof“ground-sideswitch”ineedsystemcontrolcircuit,avoidingsettingthecircuitbreakeratthegroundterminalandusingonegroundingsysteminthetestsiteetc.Theexampleforeachdesignruleindicatesthattheruleiseffectivetosupportcircuitreliabilitydesign.

Eedcontrolcircuit;Powersupplysystem;Sneakcircuit

2015-05-04

严殿启(1935-)，男，吉林伊通人，研究员，主要研究方向为潜通路分析技术及其应用；孟鹏飞(1982-)，男，河南商丘人，硕士研究生，工程师，主要研究方向为可靠性、环境适应性和测试性等通用质量特性技术。

V448.15

A

1006-3242(2016)03-0083-06