明 鋒,楊元喜,曾安敏,任 夏

(1. 地理信息工程國家重點實驗室,陜西 西安 710054; 2. 西安測繪研究所,陜西 西安 710054)

以天基無線電導航為代表的,能夠提供定位、導航與授時(positioning,navigation and timing,PNT)服務的系統(tǒng)已成為現(xiàn)代社會正常運行不可或缺的基礎設施。交通運輸導航、通信、互聯(lián)網(wǎng)的時間同步、軍事行動定位、導航與定時、金融、電網(wǎng)的時間同步等,都需要高精度、高連續(xù)、高可靠的PNT技術(shù);正在發(fā)展的物聯(lián)網(wǎng)、自動駕駛及智慧城市等同樣需要可靠的PNT支持。然而,由于天基無線電導航信號具有落地電平低、易受干擾、易受欺騙、易受遮擋等脆弱性和局限性,PNT服務的降級或拒止風險越來越大,對關(guān)系國家安全和社會經(jīng)濟正常運行的關(guān)鍵基礎設施造成巨大影響[1-3]。各國政府機構(gòu)、軍方、商業(yè)公司,以及國內(nèi)外學者對天基PNT系統(tǒng)的脆弱性進行了廣泛、深入的研究[4-9]。美國最早意識到天基無線電導航的脆弱性,并開始研究PNT發(fā)展戰(zhàn)略,2008年發(fā)布國家PNT架構(gòu)最終報告,2010年公布其實施計劃[10-11]。2021年發(fā)布《美國國家PNT彈性提升研發(fā)計劃》報告,旨在提高關(guān)鍵基礎設施的彈性,提高美國PNT的彈性[12]。美國陸軍、空軍也一直在尋求全球定位系統(tǒng)(GPS)的替代方案,研究、開發(fā)可替代技術(shù)[13-14]。

本文在對可靠性概念和指標分析的基礎上,嘗試對彈性及彈性PNT的概念進行辨析,重點探討彈性PNT概念的起源、特征及彈性指標,最后進行總結(jié)。

1 從可靠性到彈性——相關(guān)概念辨析

1.1 可靠性概念

可靠性是產(chǎn)品的重要質(zhì)量特性,表現(xiàn)為產(chǎn)品在長期使用過程中的性能穩(wěn)定性和故障發(fā)生頻次[15]。若產(chǎn)品在使用過程中穩(wěn)定性差、故障頻發(fā),則表明產(chǎn)品可靠性相對較低。因此,可靠性關(guān)系到產(chǎn)品能否使用、是否耐用?？煽啃允且环N以時間為導向的質(zhì)量[16]。由于產(chǎn)品的未來性能總是存在不確定性,因此可靠性是一個隨機變量,進而可用概率方法進行描述?？煽啃砸话愣x為產(chǎn)品在其生命周期條件下,在給定時間間隔內(nèi)按預期運行的概率[16]。需要指出的是,可靠性并不是一個單一的量,而是一個復雜的理論體系,有不同的量化指標[15]。對可靠性概念全面而深入的討論已超出本文的研究范圍。常用的可靠性指標包括4類參數(shù)[15]。

(1)基本可靠性參數(shù):如反映使用要求的平均維修間隔時間(mean time between maintenance,MTBM);用于設計的平均故障間隔時間(mean time between failure,MTBF),又稱平均無故障工作時間,描述系統(tǒng)從發(fā)生故障到維修結(jié)束之間時間段的平均值;失效前平均時間(mean time to failure,MTTF),指產(chǎn)品從開始使用到失效前工作時間(或工作次數(shù))的平均值;平均修復時間(mean time to repair,MTTR),指可維修產(chǎn)品的平均修理時間等。

(2)任務可靠性參數(shù):如平均致命性故障間隔時間(mean time between critical failure,MTBCF)、任務可靠度等。

(3)耐久性參數(shù):如使用壽命(首次翻修期、翻修間隔期限)、貯存壽命等。

(4)貯存可靠性參數(shù):如貯存可靠度等。

基本可靠性參數(shù)描述的是隨時間推移的平均概率,是建立在大量樣本數(shù)據(jù)基礎上的“統(tǒng)計平均”,反映的是系統(tǒng)全概率意義下的風險。另外,耐久性參數(shù)、貯存可靠性參數(shù)僅適用于需求、系統(tǒng)設計及環(huán)境不變的情況;當系統(tǒng)內(nèi)部組件已隨時間老化或外部環(huán)境發(fā)生顯著變化時不再適用。

1.2 彈性概念

“彈性”一詞最初起源于拉丁語“resiliere”,意思是“反彈”[17],體現(xiàn)的是一種狀態(tài)破壞事件發(fā)生后系統(tǒng)恢復到正常狀態(tài)的能力。一個具有彈性的實體或系統(tǒng),在遇到自身可承受的壓力時,會暫時偏離正常狀態(tài),而不是功能性失效。

近年來,彈性概念已經(jīng)在很多學科得到廣泛應用,如社會學[18]、生態(tài)學[19]、心理學[20]、經(jīng)濟學[21]、工程學[22]等。同時,彈性概念也被廣泛應用于各種政策領域,包括國家安全、公共衛(wèi)生、金融管理等。也有國內(nèi)學者將彈性概念應用于系統(tǒng)工程[23]、電網(wǎng)[24-25]、網(wǎng)絡[26]等。鑒于彈性概念應用的廣泛性及內(nèi)涵描述的多樣性,不同行業(yè)、領域根據(jù)自身特點,分別給出了各自的彈性定義[27-30]。

彈性概念的發(fā)展是伴隨復雜系統(tǒng)的發(fā)展而提出的。復雜系統(tǒng)通常定義為由許多相互作用的部分組成的系統(tǒng),并呈現(xiàn)出這些組成部分所不具備的集體行為特征,包括時空結(jié)構(gòu)的層次性或多尺度性、動態(tài)作用的非線性、整體大于部分之和的涌現(xiàn)性等[31]。隨著各類系統(tǒng)復雜性的增加、系統(tǒng)組件間耦合的擴散、自主性的引入、系統(tǒng)功能的增加及外部干擾可能性的持續(xù)增加,復雜系統(tǒng)所面對的不確定性因素增多。特別是緊耦合的方式使得某一故障更容易在系統(tǒng)內(nèi)部迅速蔓延,可能引起性能嚴重損害,即發(fā)生連鎖故障,該類型的故障即“單點故障”。與此同時,系統(tǒng)外部干擾、威脅的形態(tài)及危害程度也隨技術(shù)的發(fā)展而不斷演變。復雜系統(tǒng)內(nèi)、外環(huán)境的變化使得僅靠可靠性設計很難保證正常運行,因而迫切需要系統(tǒng)具有主動適應威脅、減弱風險及遭受干擾后快速恢復滿足用戶性能指標要求的能力。

彈性理論承認系統(tǒng)故障的不可避免性,考慮包括小概率高風險事件在內(nèi)的所有危害和事件,強調(diào)系統(tǒng)抵制各種危害、承受故障后果及快速恢復到正常運行狀態(tài)的能力。對于性能描述而言,彈性是可靠性概念在性能維度上的延展;對于系統(tǒng)設計角度而言,彈性概念的引入是將復雜系統(tǒng)設計思想從靜態(tài)性能和組件故障預防擴展到主動適應和解決系統(tǒng)內(nèi)、外潛在的中斷或干擾[32]。

1.3 彈性與可靠性對比

對于概率論的角度而言,彈性與可靠性所對應的系統(tǒng)在不同概率事件下的性能損失風險可用圖1表示[33]。

圖1 系統(tǒng)性能損失概率(p)與系統(tǒng)損失量(x)示意

可靠性通常反映的是系統(tǒng)在“全概率”意義下的平均風險,即

(1)

而彈性反映的是系統(tǒng)在條件概率意義下的風險,即小概率高損失事件下的風險,即

(2)

可以看出,可靠性是對一段較長時段內(nèi)系統(tǒng)性能狀態(tài)的評估,這種“全概率”意義下的平均風險主要針對高頻發(fā)低風險事件。因此,無論系統(tǒng)可靠性多高,都可能因不可預測的風險而導致性能降低甚至失效。即可靠性無法描述未知的、突發(fā)的、極端的外界風險,而該類風險往往能夠?qū)ο到y(tǒng)性能造成嚴重損害,這恰恰是彈性研究的內(nèi)容。顯然,彈性是對可靠性概念的有效補充。

對于系統(tǒng)性能狀態(tài)而言,實際中系統(tǒng)在正常和故障狀態(tài)之間還存在1～N種性能降級狀態(tài),即具有連續(xù)多態(tài)性。對于此多態(tài)系統(tǒng)采用“正?！焙汀肮收稀钡亩B(tài)性可靠性理論進行可靠性建模、設計、分析、評估,不足以全面描述系統(tǒng)的性能特性。因此,彈性所描述的多態(tài)性更符合實際。

彈性與可靠性之間既有聯(lián)系也有區(qū)別:一個不可靠的系統(tǒng)很大可能是缺少彈性的,更容易遭受連鎖故障;然而,一個高可靠性的系統(tǒng)并不總是具有高彈性。彈性與可靠性的對比見表1。

表1 彈性與可靠性的對比

2 彈性PNT回顧

為了對相關(guān)概念進行明確的辨析,將以全球?qū)Ш叫l(wèi)星系統(tǒng)(global navigation satellite system,GNSS)為代表的PNT技術(shù)稱為天基PNT信息基礎設施,而將能夠為用戶或平臺提供PNT解決方案的軟件、硬件的集成稱為PNT系統(tǒng),即PNT終端。PNT信息基礎設施提供相應的PNT信號源,PNT系統(tǒng)則可能集成多種接收設備,可同時接收、處理不同技術(shù)的PNT信號。更詳細的名詞解釋可參考附錄。

2.1 天基PNT信息基礎設施的脆弱性

天基PNT信息基礎設施是一個典型的復雜系統(tǒng)。按空間域可劃分為空間段、地面段、用戶段3部分,不同部分均受內(nèi)、外部多類擾動的影響[34]。除了常規(guī)設備故障外,另有2類擾動事件會對該設施產(chǎn)生重大影響。以GNSS技術(shù)為例:一類是低頻發(fā)的極端事件,如運行控制系統(tǒng)中斷、時間系統(tǒng)失靈、電離層閃爍、戰(zhàn)時攻擊、恐怖襲擊等,會導致設備故障,甚至PNT不可用,造成極大的損失;另一類是高頻發(fā)、漸進式加劇的小干擾事件,如人為的無意干擾、欺騙等,會產(chǎn)生定位精度降低、信號失鎖等不良影響。為抵防、削弱此類影響,亟需采用相關(guān)措施提高PNT服務的可用性,而彈性這一概念正好彌補了可靠性的不足。

2.2 PNT系統(tǒng)的彈性

目前,不同用戶的PNT系統(tǒng)通常是針對某PNT技術(shù),采用不同硬件和軟件組合,針對特定應用程序開發(fā)的,僅能滿足特定環(huán)境下特定用戶的需求。為了減少對天基PNT信息基礎設施的依賴,PNT系統(tǒng)或終端通常會集成、處理多類不同機理的PNT源。隨著用戶在城市峽谷、室內(nèi)、地下或水下等更具挑戰(zhàn)性環(huán)境中的需求不斷增加,對精確性和可用性的要求也越高,進而導致PNT系統(tǒng)的脆弱性更加多樣。在軍事領域的強電磁對抗環(huán)境下,作戰(zhàn)需求的多樣性、干擾的不可預知性更是對PNT系統(tǒng)的生存性、可用性、完好性提出了更加苛刻的要求[35]。

綜上所述,構(gòu)建PNT系統(tǒng)時,確保系統(tǒng)高可靠性、高可用性、高連續(xù)性變得更加迫切。對于PNT用戶而言,彈性PNT的解決方案需要尋求主動監(jiān)控、被動備份及智能補償途徑。在各種信號拒止或干擾環(huán)境下,尋求能夠有效替代、增強和緩解的措施,抗擊不可預測的自然、人為攻擊等擾動事件,防止PNT系統(tǒng)性能失效;當外界威脅或干擾消失后,能迅速恢復至正常狀態(tài),從而能夠提供高可用性、高連續(xù)性、高完好性的PNT服務。

隨著PNT技術(shù)的快速發(fā)展和廣泛應用,PNT領域的彈性概念應當清晰、可量化,但目前彈性PNT的定義還未達成一致。在政府層面,2013年美國發(fā)布的《關(guān)鍵基礎設施安全和彈性》[36]中定義彈性為:準備和適應不斷變化的條件,以及抵御和迅速恢復中斷的能力,包括抵御蓄意攻擊、事故或自然發(fā)生的威脅或事件并從中恢復的能力。雖然該定義并不是針對PNT系統(tǒng)的,但實際上已成為美國政府各部門實施彈性PNT的指南。在學術(shù)界,國內(nèi)外學者從不同角度對彈性PNT給出了相應定義,并對其內(nèi)涵進行了分析和探討,如彈性PNT用戶終端[37]、彈性PNT系統(tǒng)[38-39]、彈性PNT體系[40-41]。

需要指出的是,除彈性PNT外,還有可信PNT(assured PNT)[42-43]、可替代PNT(alternative PNT)[44]、綜合PNT體系[45]等概念。表2列出了部分行業(yè)或研究領域?qū)椥缘亩x或描述。

表2 部分行業(yè)領域給出的彈性定義

由表2可以看出,不同行業(yè)或領域的彈性定義各有側(cè)重點,在PNT領域也有不同尺度的定義(PNT體系和PNT系統(tǒng))。國內(nèi)學者楊元喜首先在體系層面給出了彈性PNT體系的定義,并給出了獨具特色的彈性體系框架,其核心思想是多傳感器的彈性集成、彈性函數(shù)模型和彈性隨機模型建立,以及彈性數(shù)據(jù)融合[40-41]。其中,多源傳感信息彈性集成是指“系統(tǒng)彈性”,以實現(xiàn)多源信息的互補性;彈性函數(shù)模型是指“感知信息彈性自補償”;彈性隨機模型是指“不確定度自校正”;彈性數(shù)據(jù)融合是指“體系柔性”。雖然上述定義大多屬于描述性,且沒有明確與之相關(guān)的具體指標,但具有兩個明顯的共同點:①強調(diào)彈性是一種能力和過程,而非結(jié)果;②強調(diào)彈性是一種適應性,能夠隨時間或條件的變化而變化。

3 彈性PNT系統(tǒng)特征及其指標

3.1 彈性PNT系統(tǒng)的特征

表2中的彈性定義側(cè)重描述了各類系統(tǒng)彈性關(guān)鍵特征。通過借助預測、吸收、適應、恢復等手段,提升系統(tǒng)的適變能力,使相應系統(tǒng)從靜態(tài)工作模式發(fā)展到動態(tài)自適應工作模式,同時,通過不斷加強和完善自我感知、自我調(diào)整、自我學習的能力,最終朝智能化方向演進[40,53],如圖2所示。

圖2 彈性PNT系統(tǒng)基本特征

彈性PNT系統(tǒng)特征也可用系統(tǒng)性能隨時間變化曲線表示,如圖3所示。作為對比,將非彈性PNT系統(tǒng)的特征也一并顯示(圖3中虛線)。

圖3 小概率高風險事件下彈性PNT性能曲線

由圖3可以看出,對于時間軸而言,彈性PNT系統(tǒng)具有以下3個階段的特征。

(1)當系統(tǒng)遭遇擾動事件前,有能力針對可能的風險作出相應的準備與預防。

(2)當系統(tǒng)遭遇擾動事件時,有能力充分地抵御、響應、適應性補償,以及進行可能的降級(“優(yōu)雅”地降級)。

(3)當系統(tǒng)遭遇擾動事件后,有能力快速恢復到事先用戶設定期望的正常狀態(tài)(注:該狀態(tài)不一定與擾動事件前狀態(tài)一致,但仍能滿足用戶的指標要求)。

上述3個特征表明,相對于可靠性,彈性PNT主要考慮了系統(tǒng)不同狀態(tài)之間的轉(zhuǎn)換,不僅側(cè)重于擾動前的預防、抵御,且著重于系統(tǒng)抵御異常的手段和恢復時間,盡可能達到最大的可用性。這也是彈性與可靠性最主要的差別,反映系統(tǒng)在極端事件下的現(xiàn)實妥協(xié)與應對能力。系統(tǒng)的彈性決定了系統(tǒng)性能下降的大小,以及恢復到擾動事件前正常狀態(tài)(或其他層級性能狀態(tài))所需的時間間隔。

表3為系統(tǒng)在不同時間段,不同狀態(tài)下的主要特征。

表3 彈性PNT系統(tǒng)的主要特征

3.2 PNT系統(tǒng)的彈性指標和度量

彈性指標必須反映潛在的彈性目標,而彈性指標的度量必須源自適當?shù)南到y(tǒng)特征定義。特征定義必須具有自身的固有屬性才能有利于系統(tǒng)設計。實際中PNT系統(tǒng)的主要彈性目標應依據(jù)用戶實際需求,可能集中在極端事件后PNT系統(tǒng)服務的快速恢復性,也可能集中在服務平臺的安全性[40]。

表3中彈性不同階段的特征大多僅是一個定性描述,很難進行量化,不利于實際應用。在理想情況下,實際度量彈性時,應將上述特征進行分解、細化至數(shù)據(jù)要求簡單、易于計算和理解的指標,以達到可量化的目的。如快速性可用PNT服務恢復時間,恢復性可用系統(tǒng)PNT服務恢復水平、恢復成本等指標衡量。然而該領域還未有相應的行業(yè)標準。最近電氣和電子工程師協(xié)會批準編號為P1952的項目,旨在制定PNT用戶設備彈性標準。國內(nèi)有學者根據(jù)研究對象特性提出采取定量、半定量或定性描述等形式描述彈性指標[41],國外還有學者提出彈性三角、彈性曲線等指標,但計算復雜度較高[29,54]。筆者建議PNT系統(tǒng)彈性指標的設置應針對用戶需求,聚焦彈性目標,且各利益相關(guān)方盡可能達成最大共識,以更好地促進彈性PNT的發(fā)展,這也是彈性PNT領域研究的重點和難點之一。

3.3 PNT系統(tǒng)彈性與其他性能指標之間的關(guān)系

PNT系統(tǒng)的性能可以通過準確性、完好性、連續(xù)性、可用性進行描述[55-56]。PNT系統(tǒng)彈性與精確性、完好性、連續(xù)性、可用性的關(guān)系如圖4所示[57]。各指標的含義如下[57]。

圖4 PNT系統(tǒng)彈性與其他性能指標的關(guān)系

(1)精確性指觀測值與真實值之間的偏差,是PNT系統(tǒng)性能金字塔的基礎和起點,一般以一定的置信度表示。

(2)完好性描述了系統(tǒng)提供的PNT解決方案的正確性,以及當系統(tǒng)提供的PNT解決方案不可用、不可靠時向用戶及時預警的能力。完好性和精確性的定義之間存在直接聯(lián)系,因為當PNT系統(tǒng)提供的解決方案不在置信區(qū)間時,系統(tǒng)不具備完好性。

(3)穩(wěn)健性的概念可參考表3。若系統(tǒng)不具備穩(wěn)健性,當發(fā)生微小擾動時,系統(tǒng)可能會顯著降低PNT服務性能甚至失效。

(4)連續(xù)性指系統(tǒng)在沒有故障或中斷的情況下運行的能力,一般用系統(tǒng)在一定時段內(nèi)保持精確性和完好性的概率進行描述。顯然,連續(xù)性建立在完好性和穩(wěn)健性之上。

(5)可用性一般定義為MTTF/(MTTF+MTTR),是可靠性與維修性綜合后的尺度。由定義可以看出,為了提高可用性必須最大化MTTF,同時減小MTTR。這就要求PNT系統(tǒng)提供的解決方案必須符合精確性、完好性、連續(xù)性要求。因此,可用性是基于一定程度的精確性、完好性、連續(xù)性的假設。

(6)系統(tǒng)彈性的最終目的就是PNT服務無論何時、何地,盡可能達到最大限度的可用性。因此彈性是PNT系統(tǒng)性能金字塔的頂點,與可用性直接相關(guān)。同時,彈性也必須建立在精確性和穩(wěn)健性基礎上,即當系統(tǒng)遭受小概率高風險擾動時,仍能提供滿足用戶指定精度要求的PNT服務。

4 結(jié)論與展望

近20年來,隨著天基無線電導航技術(shù)的快速發(fā)展,天基PNT信息基礎設施與人們的日常生活已緊密結(jié)合在一起,成為關(guān)系國家安全和經(jīng)濟社會正常運行的重要基礎設施。然而,由于天基PNT的天然脆弱性和人為干擾等事件日益增加,構(gòu)建彈性PNT體系成為PNT技術(shù)發(fā)展的必然要求。

(1)彈性概念的提出是對傳統(tǒng)可靠性和風險概念的延伸和擴展,已成為復雜系統(tǒng)設計的一個重要指導原則。彈性PNT概念的提出既合乎PNT體系復雜系統(tǒng)建設和發(fā)展的需要,又合乎現(xiàn)今經(jīng)濟社會發(fā)展的亟需?；诰C合PNT基礎設施的彈性PNT應作為國家關(guān)鍵基礎設施安全運行的重要技術(shù)途徑。

(2)具有理想意義的彈性PNT系統(tǒng)應是一個具有“正交漏洞”的“系統(tǒng)之系統(tǒng)”。各種PNT技術(shù)均有優(yōu)缺點,任何單一的技術(shù)都無法滿足所有用戶在各種環(huán)境下對可用性的需求。因此,未來彈性PNT系統(tǒng)必然是多系統(tǒng)、多技術(shù)、多傳感器的彈性融合。

(3)彈性PNT研究涉及多種新技術(shù),應進一步加強前沿技術(shù)攻關(guān),如芯片級原子鐘技術(shù)、量子導航技術(shù)等,持續(xù)支持PNT領域相關(guān)基礎科學研究,促進理論創(chuàng)新。

附錄:與PNT相關(guān)的名詞

(1)PNT:美國交通部將定位定義為,精確且精密地確定目標的位置;導航定義為,確定當前和期望的位置;授時定義為,獲取時間信號并保持計時精度[58]。

(2)PNT信息基礎設施:指能夠提供PNT服務的、由國家或商業(yè)部門投資建設的系統(tǒng),如天基的GPS、BDS、銥星衛(wèi)星授時和定位服務,以及地基的增強型低頻遠程導航系統(tǒng)等;又如基礎數(shù)據(jù)庫,如行星歷表、高精度重力異常圖、地磁異常圖等。

(3)PNT源:指能輸出全部時間、位置、速度信息或其中部分信息的系統(tǒng)組件,如GNSS接收機、本地時鐘、慣性導航系統(tǒng)等。

(4)PNT解決方案:PNT系統(tǒng)或PNT源可以提供全部時間、位置、速度信息或其中部分信息,如GNSS接收機供完整的PNT解決方案,而本地時鐘僅提供時間。

(5)PNT系統(tǒng):指能夠為用戶輸出PNT解決方案的組件、流程、參數(shù)等硬件和軟件的集成。

(6)PNT體系:包含PNT信息基礎設施、PNT源、PNT系統(tǒng)、PNT解決方案的一整套體制和機制。

(7)PNT系統(tǒng)的脆弱性:指系統(tǒng)易于被利用、易受特定威脅或危害的物理特征或操作屬性,是系統(tǒng)的內(nèi)部特征,由系統(tǒng)對各類威脅的敏感性和應對能力組成。