Алгоритмы управления резервированием литий-ионных батарей космических экспериментальных комплексов

Литий-ионные аккумуляторные батареи имеют весьма многообещающие возможности для применения в условиях проведения разного рода экспериментов на орбите Земли, касающиеся в основном их очень хороших массогабаритных характеристик [1, 2]. Наряду с этим данная технология обладает рядом принципиальных недостатков, к которым можно отнести: малый температурный диапазон применения, повышенная взрывоопасность и ускоренная деградация при отклонении режимов заряда/разряда от оптимальных, малый срок службы по сравнению с батареями других типов. Указанные недостатки могут быть во многом преодолены при условии применения интеллектуальных систем управления подобными батареями, в том числе встраиваемыми в саму батарею, а также применением особых подходов к организации систем электроснабжения и методов управления ими. В данной статье рассматриваются вопросы, связанные с алгоритмами управления двумя или более батареями с основной целью их взаимного резервирования в архитектуре системы управления, описанной в [3].

АРХИТЕКТУРА СИСТЕМЫ И ПОЛИТИКА РЕЗЕРВИРОВАНИЯ БАТАРЕЙ

Типичная архитектура организации системы электроснабжения экспериментального космиче- ского аппарата, в которую с целью резервирования входят две литий-ионные аккумуляторные батареи, показана на рис. Вопросы, связанные с ее функционированием, достаточно подробно описаны в [3], однако приведенная на рис. схема имеет принципиальное отличие от рассматриваемой в [3] — с целью обеспечения возможности управления коммутацией основной и резервной батарей в нее введено два поляризованных реле отключения батареи. Применение поляризованных реле позволяет обеспечить энергонезависимость выбранной конфигурации, а само их наличие — возможность реализовывать различные политики управления резервированием, например:

• 1)    обе батареи всегда соединены параллельно для увеличения общей емкости; однако при обнаружении в данных телеметрии признаков опасной деградации, в частности необратимой разбалансировки элементов [4], батарея может быть отключена от силовой шины как автоматически, так и по команде наземного центра управления (ЦУП);

• 2)    одна из батарей находится "в холодном резерве", т.е. отключена от силовой шины изначально и подключается к ней только в случаях обнаружения критического разряда основной батареи — автоматически или по команде ЦУП; ^∗

^∗ Примечание. На рис. подразумевается, что цепи заряда всех батарей подключены к ним постоянно, управляются автоматически и на рисунке не показаны, т.к. не относятся к рассмотрению

Рис. Архитектура системы электроснабжения космического аппарата.

ВИП — вторичный источник электропитания, РК — радиокоманда, КПА — наземная контрольно-поверочная аппаратура

• 3)    в каждый момент времени питание нагрузки осуществляется только от одной батареи, выбор которой циклически меняется с некоторой периодичностью (также автоматически или по команде ЦУП).

Каждая из вышеперечисленных политик имеет свои достоинства и недостатки, обсуждение которых выходит за рамки настоящей статьи, призванной осветить лишь алгоритмы реализации столь ответственного действия, как коммутация силовых шин бортовых аккумуляторных батарей космического аппарата в процессе реализации вышеперечисленных или каких-либо иных политик управления их резервированием.

ДОСТОИНСТВА И НЕДОСТАТКИ ПРЕДЛАГАЕМОЙ АРХИТЕКТУРЫ

Применение управляемых ключей (поляризованных реле) в силовых цепях обеих резервируемых батарей открывает широкие возможности в реализации различных вариантов их взаимного резервирования, особенно с учетом достаточно специфических характеристик литий-ионных элементов [1], однако представляет собой чрезвычайно опасное решение с точки зрения управления подобной системой. Основ- ная опасность — подать ошибочную последовательность команд, которая приведет к отключению обеих батарей, что равнозначно потере космического аппарата. Тем не менее возможность фактически заменить неисправную батарею во время орбитального полета, в том числе в автоматическом режиме, зачастую может дать весьма значительные результаты с учетом существенного продления времени работы сложного и дорогостоящего комплекса экспериментальной аппаратуры, который питается от нее.

В случае принятия достаточных системных мер для защиты от ошибочного необратимого отключения обеих батарей предлагаемая архитектура может быть использована с сохранением достаточного уровня надежности комплекса аппаратуры в целом. Такие меры можно классифицировать по трем основным группам: аппаратные, программные и программноаппаратные защиты. В качестве аппаратных мер может быть предусмотрено, например, использование дополнительных контактных групп поляризованных реле, которые служили бы датчиками их состояния для аппаратной схемы блокирования подачи импульсных команд на отключение обоих реле одновременно. Возможны и иные варианты аппаратной организации схемы коммутации батарей, которая исключала бы их одновременное отключение, однако их рассмотрение выходит за рамки настоящей статьи. При разработке предлагаемого подхода к решению описанной выше основной проблемы был выдвинут принцип минимизации использования аппаратных цепей в узле коммутации, т.к. надежность правильно спроектированного алгоритма всегда выше надежности контактов реле и других аппаратных компонентов.

ЛОГИКА УПРАВЛЕНИЯ КЛЮЧАМИ СИЛОВЫХ ШИН БАТАРЕЙ

Рассмотрим общую логику работы поляризованных реле отключения батарей на рис., которые для краткости будем называть ключами их силовых шин. Следует подчеркнуть, что эти ключи предназначены не для управления коммутацией нагрузок (служебные системы космического аппарата, приборы комплекса научной аппаратуры и т.д.), а исключительно для управления коммутацией бортовых аккумуляторных батарей. Эта коммутация может выполняться в двух основных состояниях космического аппарата: при наземной отработке и в ходе орбитального полета.

В первом случае выдача импульсных команд на переключение ключей выполняется в ручном режиме от контрольно-поверочной аппаратуры (КПА), которая обычно подключается к специально выделенным для нее соединителям. Как правило, это будут специально обозначенные кнопки с наименованиями типа "ВКЛ. АБ-1", "ОТКЛ. АБ-1" и т.п. с соответствующей индикацией либо соответствующие релейные выходы некоторой автоматизированной системы, применяемой при наземной отработке комплекса. В этом случае переключение контактных групп (реконфигурация аккумуляторных батарей аппарата) должно происходить при отсутствии тока нагрузки (контакт отделения, его имитаторы и схемы его блокировки на рис. должны быть разомкнуты). В этом случае практически не будет происходить износа контактов при любом объеме экспериментальной отработки. Это требование достаточно несложно обеспечить соответствующим построением программ наземной экспериментальной отработки (ПНЭО) комплекса.

Во втором случае эти импульсные команды генерируются как автоматически действующими на базе модулей цифрового/аварийного управления (МЦУ/МАУ) алгоритмами, так и прямыми командами, получаемыми по бортовой радиолинии космического аппарата от ЦУП.

Например, типичный сценарий проведения наземных испытаний с последовательным использованием обеих батарей может выглядеть так:

• •    нажатиями кнопок "ВКЛ. АБ-1", "ОТКЛ. АБ-2" на пульте контрольно-поверочной аппаратуры (КПА) батарея № 1 подключается к силовой шине, а батарея № 2 отключается от нее;

• •    нажатием кнопки "ВКЛ" происходит шунтирование контакта отделения, питание подается на модуль цифрового управления (МЦУ), который начинает отработку штатной циклограммы включения и включает нагрузку;

• •    после отработки циклограммы проверок с питанием от батареи № 1 на пульте КПА нажимается кнопка "ОТКЛ", что воздействует на схему удержания и разрывает цепь шунтирования контакта отделения, отключая нагрузку;

• •    нажатиями кнопок "ОТКЛ. АБ-1", "ВКЛ. АБ-2" на пульте КПА батарея № 1 отключается, а батарея № 2 подключается к силовой шине, и циклограмма проверок повторяется с питанием от батареи № 2;

• •    нагрузка отключается кнопкой "ОТКЛ", поляризованные реле отключения батарей командами от КПА переводятся в исходное состояние, соответствующее избранной политике резервирования батарей.

В этом случае отключение обеих аккумуляторных батарей в процессе наземной отработки вполне возможно и может быть в ряде случаев даже желательным вариантом отладки комплекса. Рассматриваемая архитектура алгоритма управления включает в себя два независимых контура защиты, совместная работа которых представляется достаточной для применения в рассматриваемой области. При управлении по второму контуру (автоматическими алгоритмами или по командам ЦУП) возможность отключения обеих аккумуляторных батарей должна быть полностью исключена.

Следует отметить, что дальнейшее изложение предполагает управление модулем цифрового управления (МЦУ) системы электроснабжения от бортовой системы управления космического аппарата по стандартному мультиплексному каналу обмена (МКО), что, однако, не снижает общности изложения, т.к. управление по иным протоколам так или иначе будет использовать принцип пакетной передачи набора команд. При этом, безусловно, подразумевается и далее не оговаривается наличие высоконадежных средств проверки достоверности передаваемых командных пакетов на всех этапах — от форми- рования их в ЦУП до передачи в МЦУ по бортовому каналу, обеспечиваемых применением хэш-сумм, корректирующих кодов и других способов обнаружения одиночных и групповых ошибок.

ПЕРВЫЙ КОНТУР АЛГОРИТМИЧЕСКОЙ ЗАЩИТЫ

Для отключения батареи с индексом i по команде наземного центра управления необходимо выполнить следующие действия:

• 1.    Подать команду "Разрешить отключение АБ- i ". Эта команда разрешает прохождение дальнейшей команды отключения АБ- i в течение 5 с, после чего режим разрешения автоматически отменяется. Обязательное требование: эта команда должна быть единственной в командном пакете МКО, в противном случае она выполнена не будет.

• 2.    Подать команду "Отключить АБ- i ". Если ни одна блокировка этому не препятствует, реле АБ- i будет отключено. Обязательное требование: эта команда должна быть единственной в командном пакете МКО, в противном случае она выполнена не будет.

Требование единственности критической команды в пакете обусловлено необходимостью подтверждения намерения центра управления осуществить потенциально опасное действие без организации полноценной обратной петли типа "запрос – ответ". В данном случае логика защиты простирается в том числе и на возможные варианты сбоев автоматизированных систем формирования командных последовательностей, широко применяемых в современных ЦУП, которые по каким-то гипотетическим причинам могут сформировать правильный формат критической команды.

Если подобная команда в результате программного, аппаратного сбоя или ошибочных действий оператора будет создана и вставлена в общую последовательность команд, то она будет проигнорирована в силу требования единственности в пакете.

Если по подобным причинам будет создан пакет, содержащий единственную одну из двух критических команд, то она также будет проигнорирована в силу требования их последовательной подачи в течение 5 с.

Во всех остальных случаях разнородных технических сбоев в каналах передачи, алгоритмах хеширования и т.п. этот уровень обеспечит дополнительную страховку имеющихся средств обнаружения и коррекции ошибок.

При необходимости количество последовательных разрешений для снятия блокировки отключения может быть увеличено, однако предлагаемый вариант представляется вполне достаточным в практических применениях. Время действия команды снятия блокировки в 5 с также выбрано на компромиссной основе путем анализа опыта работы с различными каналами управления космическими аппаратами и может быть при необходимости изменено.

ВТОРОЙ КОНТУР АЛГОРИТМИЧЕСКОЙ ЗАЩИТЫ

Второй уровень защиты работает автоматически путем учета значений "Битов Блокировки Отключения" (ББО- i , i = 1, 2) для каждой батареи i . Состояние этих битов должно отображаться в телеметрии космического аппарата и имеет следующий смысл:

• -    если бит "ББО- i " установлен в "0", то прохождение команды отключения на реле i разрешено;

• - если бит "ББО- i " установлен в "1", то прохождение команды отключения на реле i безусловно запрещено. В этом случае МЦУ в принципе не должен иметь возможность выдать команду на отключение соответствующего реле на аппаратном уровне, а соответствующий триггер должен иметь устойчивую к однократным сбоям аппаратную архитектуру (троирование с автокоррекцией).

При начальной загрузке вычислителя МЦУ (включение питания, перезагрузка по сторожевому таймеру и по аварийному снижению напряжения питания процессора) биты "ББО- i " устанавливаются в состояние "0", т.е. блокировка отключения батарей неактивна. Этому должна соответствовать ситуация, когда все батареи изначально подключены к силовым шинам питания в ходе наземной отработки перед запуском, что является критическим моментом и должно быть четко прописано в ПНЭО. Для упрощения далее приводится алгоритм для случая двух бортовых батарей.

После выполнения команды "Отключить АБ-1":

– бит "ББО-2" устанавливается в "1", безусловно запрещая в дальнейшем отключение реле АБ-2;

– работа алгоритма управления нивелиром поэлементных напряжений АБ-1 блокируется установкой соответствующего бита управления, отключается также сам нивелир [4];

– работа алгоритма поэлементного контроля АБ-1 [4] блокируется установкой соответствующего бита управления;

– МЦУ выдает импульсную команду на поляризованное реле отключения АБ-1, которая отключает ее от силовой шины питания нагрузки.

После выполнения команды "Отключить АБ-2":

– бит "ББО-1" устанавливается в "1", безусловно запрещая в дальнейшем отключение реле АБ-1;

– работа алгоритма управления нивелиром поэлементных напряжений АБ-2 блокируется установкой соответствующего бита управления, отключается также сам нивелир;

– работа алгоритма поэлементного контроля АБ-2 блокируется установкой соответствующего бита управления;

– МЦУ выдает импульсную команду на поляризованное реле отключения АБ-2, которая отключает ее от силовой шины питания нагрузки.

После выполнения команды "Включить АБ-1":

– бит "ББО-2" устанавливается в "0", делая возможным в дальнейшем отключение реле АБ-2;

– работа алгоритмов управления нивелиром и поэлементным контролем напряжений АБ-1 разрешается;

– МЦУ выдает импульсную команду на поляризованное реле отключения АБ-1, которая подключает ее к силовой шине питания нагрузки.

После выполнения команды "Включить АБ-2":

– бит "ББО-1" устанавливается в "0", делая возможным в дальнейшем отключение реле АБ-1;

– работа алгоритмов управления нивелиром и поэлементным контролем напряжений АБ-2 разрешается;

– МЦУ выдает импульсную команду на поляризованное реле отключения АБ-2, которая подключает ее к силовой шине питания нагрузки.

При выполнении условия, что перед запуском аппарата оба реле АБ-1 и АБ-2 будут находиться в замкнутом состоянии (обе АБ подключены к шине питания), состояние битов "ББО-1/2" будет правильно отражать текущее состояние блокировок и самих батарей:

– значения "ББО-2" = 0 и "ББО-1" = 0 ("00") будут показывать, что обе батареи подключены к силовой шине;

– значения "ББО-2" = 1 и "ББО-1" = 0 ("10") будут показывать, что АБ-1 отключена;

– значения "ББО-2" = 0 и "ББО-1" = 1 ("01") будут показывать, что АБ-2 отключена;

– комбинация "ББО-2" = 1 и "ББО-1" = 1 ("11") будет невозможной.

Однако следует иметь в виду, что в случае перезагрузки вычислителя МЦУ в процессе полета (воздействие тяжелой заряженной частицы, просадка питания, вызвавшие перезагрузку от встроенных средств парирования однократных сбоев) значения битов ББО будут установлены в исходные состояния (00) и перестанут правильно отображать фактическое состояние реле отключения АБ. При этом в случае, если одна из АБ отключена, функция блокировки одновременного отключения обоих АБ работать не будет — снимается второй уровень защиты. Этот факт может быть зафиксирован по телеметрии космического аппарата, т.к. биты ББО изменят свое значение, а в признаках срабатывания защит должна быть показана информация о факте перезагрузки вычислителя МЦУ. При этом первый уровень защиты будет работать при любых условиях.

Для восстановления второго уровня защиты от необратимого события (отключения обоих АБ) имеется возможность восстановить правильные значения битов ББО специальными командами типа "Установить ББО 01" и "Установить ББО 10":

– если зафиксирован факт перезагрузки бортового вычислителя МЦУ и известно, что АБ-1 отключена от шины, то следует подать команду "Установить ББО 10" и проконтролировать по последующей телеметрии факт правильной установки этих битов;

– если зафиксирован факт перезагрузки вычислителя и известно, что АБ-2 отключена от шины, то следует подать команду "Установить ББО 01" и также проконтролировать факт правильной установки этих битов;

– если зафиксирован факт перезагрузки вычислителя и известно, что обе АБ подключены к шине, то действий никаких не требуется, т.к. биты ББО будут установлены в правильные состояния 00.

Ввиду потенциальной опасности неправильной установки битов ББО командами типа "Установить ББО 01/10" на каждую из них целесообразно установить защиту предварительной подачей соответствующей разрешающей команды, аналогично первому контуру защиты от отключения обоих АБ.

Для подключения батареи с индексом i по команде наземного центра управления необходимо выполнить следующие действия также в соответствии с первым контуром защиты:

• 1.    Подать команду "Разрешить включение АБ- i ". Эта команда разрешает прохождение дальнейшей команды включения АБ- i в течение 5 с, после чего режим разрешения автоматически отменяется. Эта команда должна быть единственной в командном пакете МКО, в противном случае она выполнена не будет.

• 2.    Подать команду "Включить АБ- i ". Если блокировка по предыдущей команде разрешения этому не препятствует, реле АБ- i будет включено. Эта команда также должна быть единственной в командном пакете МКО, в противном случае она выполнена не будет.

Описанная выше логика защиты по понятным причинам будет иметь смысл исключительно при условии ручного режима управления перекоммутацией бортовых батарей со стороны ЦУП. С учетом новизны предлагаемой архитектуры системы электроснабжения это представляется вполне достаточным на первых этапах ее внедрения и возможной доработки. Для реализации потенциально заложенных в нее возможностей безопасной автоматической перекоммутации в аварийных случаях, по-види-мому, единственным вариантом ее реализации следует признать введение в систему дополнительных датчиков состояния поляризованных реле отключения батарей в процессе начальной загрузки вычислителя МЦУ в случае разнородных сбоев при эксплуатации, приводящих к его перезагрузке.

ВЫВОДЫ

Описанные алгоритмы управления резервированием литий-ионных аккумуляторных батарей открывают возможность рассмотрения этих специфических элементов систем электроснабжения космических экспериментальных комплексов как объектов применения классических методов резервирования. Это позволяет снять некоторые ограничения, препятствующие применению батарей этого типа в условиях космического пространства, как уже отмечалось ранее в работе [3].

Следует подчеркнуть, что предлагаемые алгоритмы имеют основным предназначением защиту от необратимого отключения батарей в режиме ручного управления со стороны ЦУП исключительно в результате разнородных непреднамеренных ошибок и сбоев, включая такие, вероятность которых зачастую невозможно достоверно установить в численном выражении аналитически или по различного рода нормативной документации. В основном это касается ошибок, обусловленных человеческим фактором, который, как показывает практика различного рода аварий и техногенных катастроф, никогда нельзя исключать из рассмотрения.