基于廣義隨機Petri網的導彈系統測試性建模與指標評估方法研究

翟禹堯，史賢俊，呂佳朋

(海軍航空大學，山東 煙臺 264001)

0 引言

目前信息流模型和多信號流模型是應用最廣泛的建模方法[1]，但這兩種建模方法存在著一定的缺點：用元素(0，1)定性地描述系統故障與測試之間的關系來得到相關性矩陣，系統之間的內在聯系不能完整地表達出來；該建模方法存在局限性，適用于定性分析, 而定量分析需用其他或者新的建模方法；主要針對電子產品，并且假定測試為理想測試，這個假設在面向包含機電、控制系統等其他裝備時不再適用；忽略大量有用信息，如測試不可靠、延時性以及故障與故障之間的相關性等，導致模型不夠完備，所建模型與實際模型誤差較大。

導彈系統具有長期儲存、一次性使用的特點。反映到實際工作中，由于其體積與質量要求，系統不能設置太多機內測試(BIT)電路，變相提高了測試難度，需要限制測試的數量來達到規定的測試性指標要求；由于其一次性使用，會造成數據少，沒有足夠的先驗信息。這些因素給測試性工作帶來了很大難題，主流模型很難滿足導彈系統測試性指標需求，需要研究一種新的測試性建模方法。

廣義隨機Petri網(GSPN)是隨機Petri網的進一步擴展，通過在隨機Petri網中引入瞬時變遷的概念，使瞬時變遷優先級高于延時變遷，求解相對容易[2]。方歡等[3]對隨機Petri網的建模方法進行了分析總結，比較了不同類型的Petri網在可靠性分析中的優缺點；石健等[4]將分層聚類和GSPN相結合，目的是獲取機載液壓系統的可靠性模型，并根據該模型得到故障檢測率與系統可靠性之間關系；李展等[5]研究了艦載服務器的可靠性分析方法，對艦載服務器系統進行全局GSPN建模；王小強等[6]根據飛機航線級維修過程來構建其GSPN模型，并對飛機測試性指標確定方法進行了研究。

目前對導彈系統建模的方法研究匱乏，測試性指標評估缺乏有效手段，因此本文提出采用GSPN模型對導彈系統進行建模，并對其測試性指標進行評估。

1 導彈系統的故障檢測及維修過程

導彈系統工作過程包括以下3個階段：

1)貯存階段。貯存階段，采用彈上BIT對導彈各個系統進行定期檢查。檢測到故障后，可以進行故障定位；不能檢測或隔離的故障能夠通過彈上總線與外部自動測試設備(ATE)相連接，進行下一步處理。

2)部署階段。將ATE和BIT兩種檢測方式相結合，對導彈系統進行全面聯調測試。

3)發射階段。發射階段，完全由BIT進行最后檢測。以縮短自檢時間為首要目標，約束條件為保證低虛警率和高故障檢測率；如果發生故障，先將其隔離到外場可更換單元(LRU)，然后將其隔離到車間可更換單元(SRU)。導彈系統檢測及維修過程如圖1所示。

2 導彈系統的GSPN模型

2.1 建模分析

主流模型對裝備建模后得到相關性矩陣，繼而對其測試性指標進行分析，更適用于新型武器[7]。針對導彈系統，彈體結構限制了施加測試的位置；目前大部分導彈沒有達到數字化水平，相對飛機等裝備開展測試性工作會更加艱難。GSPN模型只需要少量信息，經過嚴格的數學推導，根據系統可用度和平均故障間隔時間等參數對系統測試性指標進行求解。這對某些型號導彈的測試性指標研究具有實際意義。

2.2 GSPN建模元素的圖形化表示

GSPN定義：GSPN由8種元素構成[8]，記為GSPN=(P,T,I,O,H,M0,W,λ)，其中P為有限位置集合，T={T1,T2,…,Tm}為有限變遷集合，I為P={P1,P2,…,Pn}輸入弧的集合，O為輸出弧的集合，H為禁止弧的集合，M0為初始標識的集合，W為弧權函數的集合，λ={λ1,λ2，…，λm}為變遷平均實施速率的集合。

在導彈系統的GSPN模型[9]中，元素、符號以及基本含義如表1所示。

圖1 導彈維修過程Fig.1 Maintenance process of missile

元素符號基本含義庫所系統的狀態、資源或條件瞬時變遷改變系統狀態的事件,且延時為0賦時變遷改變系統狀態的事件,延時服從指定要求令牌系統中擁有資源的數量有項弧系統狀態與事件間雙向的因果關系禁止弧與禁止弧相連的庫所滿足變遷,禁止變遷

2.3 系統的GSPN模型分析

圖2為系統串聯和并聯的GSPN模型，每個系統都是由n個子系統組成[10]。pi.on表示子系統i正常，pi.ft表示子系統出現故障，系統處于正常狀態和發生故障分別用ps.on、ps.ft表示；變遷t2n-1、t2n為賦時變遷，表示子系統從正常狀態到故障狀態再到故障修復的過程；引起子系統狀態改變的事件用瞬時變遷t0,t2n+1,…,t3n,t3n+1表示。由于模型需要，在ps.ft至t1,t3,t2n-1,t2n+1,…,t3n之間，以及ps.on至t0之間設置禁止弧。

圖2 系統的GSPN模型Fig.2 GSPN model of system

圖2(a)所示為串聯系統的運行過程。系統處于正常狀態，on庫所存在令牌，變遷t0,t1,t3，…,t2n-1使能，瞬時變遷t0立即激發，令牌從系統的on庫所中移出，流向ps.on庫所和子系統的on庫所。此時令牌在ps.on庫所中，瞬時變遷t0被禁止。系統運行一段時間后，發現子系統1發生故障，條件變遷t1激發，令牌從子系統1的on庫所中流入ft庫所中，此時條件變遷t2、t2n+1使能。瞬時變遷t2n+1激發后，令牌流入ps.ft庫所中，變遷t3n+1滿足激發條件、立即激發，令牌從庫所ps.on和庫所ps.ft中移出。變遷t2n+1再次激發，令牌再次流入庫所ps.ft中。此時變遷t2n+1，t2n+2,…，t3n以及t1,t3,…,t2n-1被禁止弧禁止。發現故障后及時修理，變遷t2激發，令牌流入子系統1的on庫所中，變遷t0激發，令牌流入ps.on庫所中，與此同時ps.ft中的令牌移出，子系統1故障維修完畢，系統恢復健康狀態。圖2(b)為并聯系統模型，并聯模型與串聯模型不同的是取消系統到子系統的禁止弧，當所有子系統都發生故障時，才會導致系統發生故障，其運行過程不再贅述。

2.4 導彈系統的GSPN模型

本文根據國家軍用標準GJB/Z1391—2006故障模式影響及危害性分析指南相關規定，將導彈系統的故障模式劃分為4類[11-12]：Ⅰ 災難級——紅(RD)；Ⅱ 嚴重級——橙(OG)；Ⅲ 輕度級——黃(YW)；Ⅳ 輕微級——藍(BL)。本文定義的系統故障模式顏色屬性與傳統有色Petri網概念不同，本文定義的有色僅用于區別模型中各庫所表示的故障模式，增強模型可視性。若將本文庫所的有色屬性刪除，則GSPN 的模型結構并不會發生變化[13]。

圖3為LRU元件正常狀態的庫所(GR.1、GR.2、GR.3)依照延時變遷服從的分布隨機被激發，激發后綠色令牌流向表示故障模式狀態的庫所(RD.1、OG.1、YW.1)[14]。

圖3 變遷在Petri網中的表達形式Fig.3 Expression of transition in Petri net

圖4 導彈基本結構圖Fig.4 Basic structure diagram of missile

圖5 導彈系統結構框圖Fig.5 Structure diagram of missile system

圖4為導彈系統的基本結構圖，對其結構進行分析，如圖5所示。根據該結構框圖確定GSPN模型中的8個子系統，任何子系統發生故障都會導致導彈系統不能正常工作。多數子系統不具有BIT功能，需要通過彈上計算機進行綜合處理。導彈子系統故障作為建模基本單位，不再對元件內部結構進行細分。

考慮系統故障和維修過程，選取導彈系統一部分故障模式及影響分析和危害性分析(FMECA)表，如表2所示。

首先建立導彈系統立體結構的GSPN模型如圖6(a)所示，圖7為圖6(a)中虛線部分，表示子系統的維修過程。舉例分析，當雷達系統發生故障，反饋到彈上計算機，計算機處理后發送指令到雷達系統進行BIT檢測，然后進行故障診斷和修理。導彈系統平面的GSPN模型如圖6(b)所示，用變遷tF、tR表示子系統的故障和維修過程；子系統i處于正常狀態用綠色庫所pi. GR表示，處于故障狀態用其他顏色庫所pi.OO表示(OO表示RD、OG、YW、BL)，pi.ft所代表的彈上計算機為系統故障庫所，當令牌存于該庫所中，表明導彈系統出現故障，需要對導彈進行維修。

表2 導彈系統FMECA信息

2.5 導彈子系統的GSPN模型

導彈裝備任何一個子系統發生故障都會影響整個導彈系統，因此對其中一個子系統(舵機系統)進行分析，建立其維修過程的GSPN模型，如圖7所示。

圖7 GSPN模型中庫所和變遷的具體含義如表3所示。

圖6 導彈系統測試性分析的GSPNFig.6 GSPN model for testability analysis of missile system

圖7 導彈舵機系統維修過程的GSPNFig.7 GSPN model for maintenance process of missile rudder system

3 模型求解及測試性指標確定

3.1 求解對象

本文對子系統的模型進行分析，通過各個子系統反映到整個系統中。如果每個子系統的測試性指標滿足指定要求，則相應的整個系統測試性指標也會滿足要求，這里涉及測試性指標分配，不作贅述。每個子系統的求解方式相同，本文只給出舵機系統的一個求解示例。

表3 庫所和變遷的具體含義

3.2 模型的求解

基于GSPN模型可達標識圖與嵌入馬爾可夫鏈(EMC)同構，對相應的EMC進行求解，是求解GSPN模型穩定狀態解的一種基本方式，因此在對測試指標求解時可以采用同構法[15-17]。設GSPN的狀態空間為S，該空間包括實存狀態集合和消失狀態集合兩部分，實存狀態代表時間變遷，消失狀態代表立即變遷，分別用數學集合T和V表示。

則GSPN相應的轉移矩陣[18]為

(1)

式中：矩陣A的元素由兩部分組成，一是狀態空間中由消失狀態轉移到消失狀態(矩陣XVV)的轉移率，二是消失狀態轉移到實存狀態(矩陣XVT)的轉移率；矩陣B的元素也由兩部分組成，一是狀態空間中由實存狀態轉移到消失狀態(矩陣XTV)的轉移率，二是實存狀態轉移到實存狀態(矩陣XTT)的轉移率。定義一個壓縮的EMC(REMC)，該REMC中只有實存狀態，將狀態空間中的消失狀態全部剔除。系統實存狀態的轉移矩陣為

U′=XTT+XTV(I-XVV)-1XVT，

(2)

式中：I為單位矩陣。

REMC的狀態轉移矩陣Q由U′得到，矩陣Q中的元素Qij為

(3)

設π=[π1,π2,…,πk,…]為系統實存狀態概率，則其滿足：

(4)

通過求解(4)式可求得系統REMC的概率解。

根據上述理論，對圖7的GSPN模型進行求解，過程如下：

1){M0,M1,…,M8}為模型的可達標識集合。{M0,M2,M3,M5,M6,M7,M8,M9}為實存狀態集合，{M1,M4}為消失狀態集合[19]。系統的狀態可達圖根據狀態集合構造，如圖8所示。

圖8 導彈子系統維修過程的狀態可達圖Fig.8 Status of missile subsystem maintenance process

2)根據(5)式求得實存狀態的狀態轉移矩陣：

(5)

3)根據(3)式構造REMC的穩態轉移矩陣，如(6)式所示：

(6)

4)根據(4)式進行求解，求得導彈舵機系統的穩態概率π0，即為系統的穩態使用可用度A0：

(7)

3.3 導彈子系統測試性指標確定

3.3.1 可用度與故障檢測率的關系分析

可用度對故障檢測率求導：

(8)

3.3.2 可用度與故障隔離率的關系分析

可用度對故障隔離率求導：

(9)

考慮到故障可以通過BIT檢測時，默認為ATE檢測率為100%，則用(8)式除以(9)式，得

(10)

3.3.3 平均修復時間和平均故障時間間隔

(11)

通過求解(7)式和(11)式，得出MTTR和各參數之間的關系為

(12)

4 工程實例

某導彈系統的舵機系統故障檢測和維修過程如圖7所示，引用文獻[6]的一些系統參數，該子系統的故障率λ≤1/10，其他與維修相關的指標分別為直接更換維修時間1 h(μ1=1 h-1)、交替更換維修時間2 h(μ2=1/2 h-1)、更換維修時間1 h(μ3=1 h-1)、檢測校準時間10 min (μ4=6 h-1)。設導彈系統可用度為A0，并要求A0≥0.87，根據上述條件對導彈舵機系統測試性指標進行求解。

首先將上述參數代入(7)式和(12)式，為降低計算難度，假設故障檢測時間和故障隔離時間都服從指數分布，且二者相等。以故障檢測速率、故障隔離速率和ATE檢測速率為變量，通過改變故障檢測率參數(0.70、0.80、0.90、0.95)，這里故障隔離率與之相同。獲得故障檢測速率、故障隔離速率以及ATE檢測速率與穩態使用可用度和MTTR之間的關系，如圖9所示。

圖9 關系曲線Fig.9 Relationship curves

圖9(a)和圖9(b)所示曲線呈現出相同的變化趨勢：MTTR隨著平均故障檢測速率和平均故障隔離速率不斷增大而逐漸減小；穩態可用度A0的變化趨勢與MTTR相反。當平均故障檢測速率和平均故障隔離速率增大到30左右時，MTTR和穩態可用度A0變化趨勢不明顯，此時趨于穩定狀態，即使增大速率對于降低MTTR和提高A0無實際意義，可能會導致導彈系統更加復雜，實現成本也會過高。綜合上述分析，采用BIT檢測的平均故障檢測速率ηD≥30，ηI與其相同，滿足ηI≥30. 為簡化計算過程，將故障檢測速率設為ηD=30，平均故障檢測時間合理值為1 h/30=2 min，平均故障隔離時間與之相同。

從圖9(c)中可以得出結論：MTTR曲線的變化趨勢是隨著ATE檢測速率的增大而減小，A0的變化趨勢與MTTR相反。當ηATE>0.50時，隨著平均故障檢測速率的增大，MTTR和穩態使用可用度A0幾乎沒有發生明顯變化，說明此時ATE檢測速率對MTTR與穩態可用度A0影響很小，考慮檢測過程中ATE具有很多不確定因素，取ηATE=1，即ATE檢測隔離時間為1 h.

圖10 關系曲線Fig.10 Relationship curves

ηD、ηI和ηATE代入(7)式和(12)式，分析故障檢測率和故障隔離率這兩個測試性參數與穩態可用度和MTTR之間的關系，如圖10所示。

根據第4節工程實例中的約束條件：A0≥0.87和MTTR≤1.60 h. 當故障隔離率為0.80時，從圖10(a)中可以得出故障檢測率必須大于0.92，而圖10(b)則需故障檢測率大于0.78，權衡之后，故障檢測率需大于0.92；當故障隔離率為0.90時，要同時滿足A0和MTTR的要求，則需要故障檢測率分別大于0.83和0.71. 在導彈裝備檢測過程中，模糊組的出現會加大檢測難度，嚴重影響檢測時間和維修效率，因此盡可能將故障隔離到單個LRU；考慮到導彈裝備特性，以及現階段導彈的測試性水平、測試性設計成本等因素，故障檢測率和故障隔離率需要選取合適的參數來進行評估。綜合以上分析，BIT的rFD為0.92，隔離到單個LRU的rFI為0.90.

5 結論

本文采用GSPN模型對導彈進行建模，根據國家軍用標準GJB/Z 1391—2006 對系統故障模式進行劃分，并提出采用同構法對模型進行求解，最后以某導彈子系統為例，對其測試性指標進行評估。得出主要結論如下：

1)完成了導彈系統的三維立體結構、平面結構、故障檢測和維修結構的GSPN模型的構建，所建模型與系統實際模型更加相近，可以得到更全面的分析結果。

2)采用同構法對GSPN模型進行求解，利用1階偏導數得到可用度與故障檢測率、故障隔離率之間關系，這對測試性指標的權衡分析與評估具有重要意義。

3)通過工程實例對導彈舵機系統進行測試性指標評估，得到92%的故障檢測率和90%的故障隔離率，驗證了所提建模方法和相應算法的有效性。