王儲炘，秦棟澤，劉 瑜

(1.中北大學 機電工程學院，太原 030051；2.中船西安東儀科工集團有限公司，西安 710065)

0 引言

以電子信息技術(shù)為關(guān)鍵推動力的技術(shù)革新不斷發(fā)展，現(xiàn)代裝備體系表現(xiàn)出自動化、智能化的特點。隨著先進技術(shù)的快速發(fā)展并廣泛應(yīng)用于軍事武器裝備中，對現(xiàn)代武器系統(tǒng)的效能、系統(tǒng)的結(jié)構(gòu)復(fù)雜度、環(huán)境適應(yīng)性以及不可預(yù)見性等特性越發(fā)顯著，對引信戰(zhàn)術(shù)技術(shù)，包括安全性、可靠性進行科學可靠的分析評估提出了更高的要求。

全電子安全系統(tǒng)控制引信以探測到的環(huán)境信息和內(nèi)部指令使其從安全狀態(tài)轉(zhuǎn)換成待發(fā)狀態(tài)，并能可靠地解除保險[1]。相較于傳統(tǒng)機械安全系統(tǒng)，全電子安全系統(tǒng)測量方法有一定局限性，即系統(tǒng)狀態(tài)變量不可觀測，僅能通過輸出體現(xiàn)[2]。魚雷的復(fù)雜工作環(huán)境對引信能夠可靠解除保險的能力要求更高，基于電子技術(shù)的全電子安全系統(tǒng)既要保證引信全彈道設(shè)計上對己方具有高安全性，又要保證目標作用的高可靠性。對于引信系統(tǒng)設(shè)計與分析，文獻[3]對全電子安全系統(tǒng)解除保險邏輯進行了對比，分析得出一種高安全性的設(shè)計方法；文獻[4]采用故障樹分析法對引信作用可靠性進行了分析，得出引信定性定量分析結(jié)果；文獻[5]對6種系統(tǒng)可靠性分析方法從適用范圍、輸入輸出和優(yōu)缺點進行了對比分析。

目前引信安全系統(tǒng)安全性與可靠性的分析方法主要有故障樹分析方法(FTA，fault tree analysis)以及失效模式影響與危害分析(FMEA，failure mode and effect analysis)，主要依賴于分析人員的知識、經(jīng)驗，人為差異可能會造成錯、漏事件發(fā)生。且以文本形式表示故障信息不精確、更新不及時，傳統(tǒng)分析方法會造成安全性與可靠性分析存在功能定義上的錯誤，邊界確立的模糊歧義，難以保證分析與設(shè)計工作的一致性。

MBSE運用系統(tǒng)建模語言(SysML，system modeling language)進行系統(tǒng)架構(gòu)分析與設(shè)計，從需求、結(jié)構(gòu)和行為的視圖上對安全系統(tǒng)架構(gòu)創(chuàng)建功能元素與物理組件的映射關(guān)系[6]。目前，MBSE在國內(nèi)外航空、武器領(lǐng)域成為系統(tǒng)設(shè)計與分析的主流發(fā)展趨勢之一。由其衍生的基于模型的安全性與可靠性分析相較于傳統(tǒng)的文檔分析方法，解決了信息化研發(fā)技術(shù)在處理系統(tǒng)需求、整體架構(gòu)方面的欠缺[7]。實現(xiàn)MBSE在系統(tǒng)設(shè)計的同時兼顧安全性與可靠性的評估驗證工作需要。文獻[8]對國內(nèi)外基于模型的系統(tǒng)安全性與可靠性分析研究進展做出介紹，對該技術(shù)的優(yōu)勢、應(yīng)用趨勢進行了探討，并指出應(yīng)進一步完善該方法在安全性、可靠性建模規(guī)范體系的建立；文獻[9]圍繞功能邏輯模型進行可靠性、安全性和測試性“三性”建模評估方法；文獻[10]基于SysML多視圖模型構(gòu)建描述導(dǎo)彈系統(tǒng)任務(wù)剖面以及安全性研究，構(gòu)建完整的系統(tǒng)建模分析過程；文獻[11]對衛(wèi)星系統(tǒng)自身的運行狀態(tài)和單元故障之間的時序關(guān)系與邏輯相關(guān)進行刻畫，以模型方式構(gòu)建系統(tǒng)故障模式。引入工程系統(tǒng)角度研究安全系統(tǒng)安全性與可靠性的方法，適應(yīng)當前引信系統(tǒng)數(shù)字化設(shè)計趨勢，同時基于模型方法，能夠使系統(tǒng)的故障規(guī)律得到清晰的體現(xiàn)[12]。

1 安全系統(tǒng)故障分析理論基礎(chǔ)

作為魚雷引信的主要安全裝置，ESA由邏輯控制部分與起爆控制電路組成。以模塊方式建立引信系統(tǒng)架構(gòu)，將引信結(jié)構(gòu)中的邏輯控制模塊與起爆控制整合為安全起爆系統(tǒng)，起爆控制指令由控制模塊內(nèi)部總線進行傳輸。邏輯控制部分由兩個獨立控制的集成電路模塊、冗余開關(guān)構(gòu)成，分別受不同的環(huán)境信號影響實現(xiàn)解除保險的動作，滿足引信安全性設(shè)計要求[13]。ESA的邏輯控制部分采取時序控制、時間窗控制等技術(shù)，提高引信安全性。由電子元件組成的引信系統(tǒng)保證了高可靠性。魚雷全電子安全系統(tǒng)原理如圖1所示。

圖1 魚雷全電子安全系統(tǒng)原理框圖

引信在結(jié)構(gòu)上盡管規(guī)模不大，亦適用系統(tǒng)整體研究方法進行設(shè)計與安全性分析。文獻[14]引入工程系統(tǒng)角度研究引信安全性與可靠性權(quán)衡問題。通過數(shù)字化的建模方法設(shè)計引信故障分析方案，創(chuàng)建出結(jié)構(gòu)良好且清晰的模型，將文檔中描述系統(tǒng)結(jié)構(gòu)、功能、性能等方面轉(zhuǎn)化為規(guī)范化的可交互的仿真驗證流程[15]。在規(guī)范化建模過程下，能夠有效規(guī)避分析中存在功能定義上的錯誤、邊界確立的模糊歧義，保證分析工作的一致性。本文引入MBSE設(shè)計思想實現(xiàn)魚雷全電子安全系統(tǒng)安全性與任務(wù)可靠性分析，運用系統(tǒng)整體建模的概念對引信全電子安全系統(tǒng)的安全性、可靠性的需求進行剖析。通過對系統(tǒng)功能模型進行驗證，推測任務(wù)可靠性分析過程中可能出現(xiàn)的故障，從而得出故障發(fā)生的過程與造成故障產(chǎn)生的具體因素[16]。

2 任務(wù)需求分析

全電子引信產(chǎn)生起爆戰(zhàn)斗部動作，控制引信以預(yù)定的環(huán)境信息或魚雷內(nèi)部指令使其從安全狀態(tài)轉(zhuǎn)換成待發(fā)狀態(tài)時，應(yīng)可靠地解除保險。解除保險的條件在自然狀態(tài)下難以發(fā)生，因此本文對系統(tǒng)安全性與可靠性分析的場景為魚雷發(fā)射后的水下工作過程。通過對系統(tǒng)需求的剖析與整合，以ESA任務(wù)需求、功能需求與各部分組件設(shè)計要求為導(dǎo)向，將系統(tǒng)功能故障處理作為安全性與可靠性分析工作重點。將魚雷安全系統(tǒng)發(fā)射入水后的解保過程作為系統(tǒng)安全性與可靠性分析的場景。

將魚雷引信全電子安全系統(tǒng)任務(wù)設(shè)為頂層設(shè)計需求，建立需求模型表示安全性需求與可靠性需求之間的關(guān)系，進行相關(guān)使命任務(wù)分析，并構(gòu)建需求模型[17]。以全電子安全系統(tǒng)任務(wù)構(gòu)建需求模型進行相關(guān)使命任務(wù)分析，將系統(tǒng)功能需求轉(zhuǎn)化為系統(tǒng)邊界。

魚雷武器引信系統(tǒng)主要有以下分任務(wù)需求：

1)作用可靠性需求：作用可靠性是指在規(guī)定的環(huán)境條件和時間內(nèi)，引信能夠達成指定功能的性能。代表對系統(tǒng)處理任務(wù)要達到的要求。系統(tǒng)接收到爆炸指令可有效運行，保證作戰(zhàn)任務(wù)成功完成。指在規(guī)定的環(huán)境條件和時間內(nèi)，引信能夠達成指定功能的性能。魚雷發(fā)生早炸、遲炸、自毀失效以及瞎火故障，均是引信作用可靠性未完成的表現(xiàn)。

2)安全性需求：安全性需求為保證系統(tǒng)在規(guī)定條件下不意外解除保險或爆炸的功能要求；全電子安全系統(tǒng)最少有兩個獨立的保險件，每個都可避免引信意外解除保險，同時多保險的激勵條件需為不同的環(huán)境條件，通過利用偵測到的環(huán)境信息和目標信息進行開關(guān)解保，解除隔爆狀態(tài)。安全系統(tǒng)采用“閾值+順序+時間窗”的判斷方法辨明接收的信號，在規(guī)定的時間內(nèi)信息識別電路必須正確識別環(huán)境信號，判斷閾值、出現(xiàn)時間和持續(xù)寬度是否滿足條件。

3 邏輯架構(gòu)分析

為引信安全系統(tǒng)構(gòu)建魚雷入水與目標毀傷段的邏輯架構(gòu)，進行功能與行為的分解。針對安全系統(tǒng)系統(tǒng)的各級子系統(tǒng)的需求建模頂層子系統(tǒng)，將參數(shù)定義至對應(yīng)的包中，根據(jù)行為間交互構(gòu)建不同子系統(tǒng)之間的流關(guān)系與接口。

3.1 系統(tǒng)結(jié)構(gòu)分析

SysML中的模塊定義圖(BDD，block definition diagram)，注重于刻畫系統(tǒng)及元素結(jié)構(gòu)的模塊化單元[18]。通過構(gòu)建SysML塊定義圖，由BDD描述安全系統(tǒng)整體架構(gòu)信息，從而建立全電子安全系統(tǒng)組成元素、各個模塊之間的接口以及各個組件之間的相互關(guān)聯(lián)、作用的方式。通過對安全系統(tǒng)結(jié)構(gòu)與屬性進行建模，定義安全系統(tǒng)的價值屬性、組成屬性、約束屬性、將系統(tǒng)分解為若干子系統(tǒng)構(gòu)成的統(tǒng)一整體。安全系統(tǒng)整體架構(gòu)模型如圖2所示。

圖2 安全系統(tǒng)架構(gòu)模型

全電子安全系統(tǒng)采用基于目標基解除保險的方式，將安全狀態(tài)轉(zhuǎn)換為解除保險狀態(tài)。傳感器向控制芯片發(fā)送環(huán)境信息，控制1、2級靜態(tài)開關(guān)與動態(tài)開關(guān)的閉合狀態(tài)。系統(tǒng)對時序進行控制，利用異常處理模塊對信息正確性與開關(guān)閉合狀態(tài)進行識別與監(jiān)測，進一步采取復(fù)位等恢復(fù)操作。發(fā)火控制裝置由高壓轉(zhuǎn)換器、高壓電容、發(fā)火電路和箔擊雷管構(gòu)成。高壓起爆電路控制電壓由低壓向高壓轉(zhuǎn)換，完成高壓電容充電動作，使引信解除能量隔爆進入待發(fā)狀態(tài)。

3.2 內(nèi)部結(jié)構(gòu)分析

內(nèi)部模塊圖(IBD，internal block diagram)用于和模塊定義圖互相補充信息，結(jié)合系統(tǒng)整體架構(gòu)顯示模塊間彼此調(diào)用的服務(wù)。以圖3示例，建模ASICⅠ芯片控制電路內(nèi)部模塊圖，顯示框圖內(nèi)部連接關(guān)系與外部輸出。根據(jù)功能模塊部件連接關(guān)系，通過內(nèi)部總線和信號傳輸端口進行信號導(dǎo)出系統(tǒng)內(nèi)部信號傳遞關(guān)系。根據(jù)IBD制定模塊的內(nèi)部結(jié)構(gòu)，顯示子系統(tǒng)屬性、端口、項目流等結(jié)構(gòu)特性。通過內(nèi)部塊圖的描述，將電路內(nèi)部的信號傳遞轉(zhuǎn)換為可視的行為狀態(tài)模型。

圖3 ASICⅠ內(nèi)部模塊圖

3.3 系統(tǒng)時序建模

運用SysML構(gòu)建的全電子安全系統(tǒng)時序圖，縱軸表示對象，消息在各對象之間橫向傳遞，依照時間順序描述執(zhí)行系統(tǒng)功能的各個角色之間傳遞消息的順序。圖4為入水狀態(tài)下安全系統(tǒng)的運行流程。

圖4 魚雷全電子安全系統(tǒng)時序圖

ESA以魚雷發(fā)射入水為計時零點，系統(tǒng)上電并完成初始化、自檢測功能，安全系統(tǒng)根據(jù)所接收的環(huán)境信息對各階段保險進行解保操作。通過時序圖梳理開關(guān)解保過程，以消息傳遞的形式通過時序狀態(tài)分析得出多個對象之間的動態(tài)協(xié)作關(guān)系，對安全系統(tǒng)的時序邏輯進行建模。

3.4 作用活動建模

對系統(tǒng)邏輯單元中各部分活動的行為建模。通過構(gòu)建活動圖的方式，按執(zhí)行功能的不同劃分泳道構(gòu)建動作狀態(tài)、對象流描述系統(tǒng)行為導(dǎo)致對象狀態(tài)改變的結(jié)果，如圖5所示。

圖5 安全系統(tǒng)作用活動模型

系統(tǒng)的使用場景和操作取決于引信的任務(wù)類型、任務(wù)剖面以及每個任務(wù)剖面下引信系統(tǒng)的操作程序，采用活動圖從頂層描述ESA的任務(wù)使命、任務(wù)剖面和主要任務(wù)階段，分析安全系統(tǒng)相關(guān)的操作場景；利用場景模型識別出系統(tǒng)的主要功能。在運行過程中通過活動圖行為模型邊框顏色變化進行過程驗證，觀察信號在系統(tǒng)中的流動變化以及內(nèi)部動作的交互，確保故障-功能耦合定義的正確性。

3.5 系統(tǒng)狀態(tài)建模

創(chuàng)建系統(tǒng)在工作周期內(nèi)的動態(tài)行為狀態(tài)模型，表示系統(tǒng)狀態(tài)變化，確定產(chǎn)生運行狀態(tài)轉(zhuǎn)變的進入、持續(xù)與狀態(tài)退出動作。解保頂層狀態(tài)模型將安全系統(tǒng)工作過程分解為引信入水檢測、加電、信號識別、處理、復(fù)位、解?？刂?種狀態(tài)，各狀態(tài)間以環(huán)境信息作為狀態(tài)轉(zhuǎn)換條件，建立引信安全系統(tǒng)工作過程描述，如圖6所示。

圖6 解保頂層狀態(tài)模型

以安全系統(tǒng)解除保險狀態(tài)為用例場景的子系統(tǒng)狀態(tài)圖為載體，顯示引信安全系統(tǒng)關(guān)鍵屬性并確定系統(tǒng)狀態(tài)。將接收信息、輸出狀態(tài)轉(zhuǎn)換后的處理信號設(shè)置為狀態(tài)轉(zhuǎn)移的觸發(fā)條件，完成具體指令進行狀態(tài)的串行變化的仿真驗證。異常狀態(tài)下，當環(huán)境信息錯誤及電路狀態(tài)發(fā)生故障時，應(yīng)轉(zhuǎn)入故障處理狀態(tài)，進行系統(tǒng)復(fù)位或絕火操作。

4 故障模型分析

4.1 故障模式分析

以白盒分析方法分析系統(tǒng)功能故障，系統(tǒng)功能與潛在故障失效之間影響關(guān)系用模塊形式表征。如圖7所示，通過模塊定義圖表示安全系統(tǒng)功能層次與包含關(guān)系，對安全系統(tǒng)按包含關(guān)系對功能的父類與子類劃分，實現(xiàn)功能內(nèi)聚模型的構(gòu)建。

圖7 系統(tǒng)功能分析模型

如圖8所示，根據(jù)不同組件功能對故障原型進行劃分，創(chuàng)建故障模式架構(gòu)圖，分別創(chuàng)建安全系統(tǒng)的故障及系統(tǒng)故障類型的架構(gòu)模型。如圖所示，左側(cè)對系統(tǒng)組件故障包括傳感器故障、控制器故障以及起爆控制電路故障進行劃分。右側(cè)定義為引信安全系統(tǒng)模型中的故障類型，以域的形式表示安全性與可靠性的邏輯集合。將系統(tǒng)故障與失效類型用虛線連接，用來表示系統(tǒng)故障與故障類型之間的從屬關(guān)系，描述各子系統(tǒng)的故障。

圖8 故障模式架構(gòu)圖

全電子安全系統(tǒng)的綜合性涉及到集成電路、可編程電子、電氣和結(jié)構(gòu)等多個方面的資源。在進行安全性分析時，需要考慮系統(tǒng)架構(gòu)的約束以及失效模式方面的要求。失效模式是指組件出現(xiàn)故障或失效時，導(dǎo)致系統(tǒng)功能受到影響的模式。一個功能模塊可以由多個功能要素組成，而這些要素的組合部分被稱為功能要素。在功能故障模型架構(gòu)的基礎(chǔ)上將故障模式與引信系統(tǒng)功能相關(guān)聯(lián)，建立故障可視化模型[11]。追溯矩陣用于對故障狀態(tài)進行交叉檢查，確定兩個基線文檔之間的關(guān)系和完整性，以便在軟件仿真過程中確定安全性分析節(jié)點。故障與功能的追溯矩陣如圖9所示。

圖9 故障模式與功能追溯矩陣

矩陣行元素代表故障模式，列元素代表引信系統(tǒng)所具有的功能，矩陣中的箭頭方向表示將該故障與功能形成完整的耦合關(guān)系，數(shù)字表示該功能對應(yīng)受影響故障的數(shù)量。引信安全系統(tǒng)的功能為控制三級冗余開關(guān)解除保險、進行信息的識別與處理、提供引信復(fù)位功能、以及解除保險后的引爆控制。通過追溯矩陣的結(jié)果得到系統(tǒng)故障與引信實際功能之間的關(guān)聯(lián)，推導(dǎo)故障影響的功能覆蓋范圍。

4.2 故障傳播驗證

結(jié)合上述分析過程，構(gòu)建出涵蓋魚雷引信全電子安全系統(tǒng)的時序、狀態(tài)、模塊功能、故障模式的系統(tǒng)架構(gòu)體系，并對系統(tǒng)進行自下而上建模，創(chuàng)建模塊內(nèi)部邏輯與信號傳遞關(guān)系，生成以系統(tǒng)工程為導(dǎo)向的故障傳播模型[19]?；谀Ｐ偷南到y(tǒng)化安全性分析模擬工作流程，根據(jù)圖10構(gòu)建的故障傳播模型對安全系統(tǒng)進行運行仿真，通過圖形化設(shè)計與動態(tài)故障注入，驗證引信安全系統(tǒng)模型定義的正確性。

圖10 全電子安全系統(tǒng)故障傳播模型

以魚雷入水時刻作為作用初始節(jié)點，以安全系統(tǒng)正常發(fā)火控制與異?？刂品謩e為不同的結(jié)束節(jié)點。矩形塊為實現(xiàn)系統(tǒng)功能的模塊，內(nèi)部輸入相關(guān)功能類型、數(shù)據(jù)、約束信息和故障傳播模式和狀態(tài)轉(zhuǎn)移模式，對各連接點的邏輯控制關(guān)系進行描述；箭頭方向代表各模塊間信息傳遞關(guān)系；屬性定義不同任務(wù)階段的模塊狀態(tài)。對各功能模塊間狀態(tài)轉(zhuǎn)換、信息傳遞以逐步傳播的方式驗證系統(tǒng)運行的過程。觀測運行時模塊故障傳播的圖像變化形式對中間和最終結(jié)果，得出影響引信安全系統(tǒng)安全性與可靠性的組件間的耦合關(guān)系。

4.3 故障模式綜合分析

通過SIMFIA安全性模塊制定故障事件規(guī)則，對異常交互的行為結(jié)合面向故障的安全建模語言AltaRica，以線性邏輯布爾狀態(tài)表達式反映輸出信號節(jié)點與組件狀態(tài)[20]。根據(jù)狀態(tài)機圖中組件行為創(chuàng)建影響系統(tǒng)安全的故障樹，當隨機事件發(fā)生時開關(guān)的狀態(tài)才會發(fā)生變化。將影響開關(guān)解保信號異常的故障信息以圖像化形式展開，完成故障樹最小割集和結(jié)構(gòu)重要度的確定，從而對系統(tǒng)故障建模邏輯的正確性進行驗證[21]。

在引信安全系統(tǒng)中，不同功能的重要等級有所不同，對系統(tǒng)的影響程度高的部分著重進行分析，作為連接系統(tǒng)安全性與可靠性關(guān)鍵功能的動態(tài)開關(guān)解保的權(quán)重明顯較高。由圖11所示，該故障樹的頂事件為“開關(guān)SWD解保反饋信號.wrong”，引起發(fā)生安全性故障的因素可能來源于下方開關(guān)解保的每條路徑，最終追溯到“目標信號狀態(tài)錯誤”。通過對故障樹定性分析得出影響安全性與可靠性分析的因素。

圖11 動態(tài)開關(guān)解保反饋失效故障樹

根據(jù)上述分析，由功能—故障模型所生成的故障邏輯關(guān)系更加符合現(xiàn)實情況。結(jié)合以上視圖，以魚雷引信安全系統(tǒng)故障模式為切入點對安全系統(tǒng)的安全性問題與可靠性問題進行切割，對造成安全系統(tǒng)失效的原因及可能導(dǎo)致的危害和影響建立安全性與可靠性分析表，見表1、2。分析造成魚雷可靠性失敗的主要因素有：引信提前解除發(fā)火保險并發(fā)生引爆、延遲發(fā)火以及引信瞎火；時序問題、環(huán)境信息識別以及開關(guān)控制故障，對魚雷系統(tǒng)作戰(zhàn)時己方人員及設(shè)備造成危害，導(dǎo)致引信在上電工作后造成安全性問題發(fā)生。異常狀態(tài)處理錯誤致使不能規(guī)避系統(tǒng)錯誤行為，是造成任務(wù)失敗的重要原因。

表1 魚雷全電子安全系統(tǒng)安全性分析表

表2 魚雷全電子安全系統(tǒng)可靠性分析表

5 結(jié)束語

本文針對ESA安全性與可靠性分析工作中的邊界模糊、系統(tǒng)性不強、可重用性低等問題，利用MBSE模型建模移植到引信安全系統(tǒng)安全性與任務(wù)可靠性分析工作中。運用系統(tǒng)建模的概念建立引信系統(tǒng)架構(gòu)，基于功能模型的方式對全電子安全系統(tǒng)的故障模式進行驗證，更能體現(xiàn)真實系統(tǒng)的故障傳播規(guī)律。對于提高魚雷引信安全系統(tǒng)可靠性，應(yīng)注意時鐘模塊與異常處理模塊的設(shè)計，通過對狀態(tài)信號處理的用例模擬，優(yōu)化復(fù)位布局布線和復(fù)位策略，確定故障處理方案的可行性。

通過該方法將系統(tǒng)工程與魚雷引信全電子安全系統(tǒng)結(jié)合，對運用數(shù)字化模型實現(xiàn)引信安全性與可靠性分析進行了實踐探討。結(jié)果證明模型驅(qū)動方法能夠提高系統(tǒng)分析的準確性與效率，可作為相關(guān)分析工作的參考，能夠為下一步進行可靠性的定量分析提供解決思路。