引信模塊化系統架構研究

肖龍遠

(中國工程物理研究院電子工程研究所，四川 綿陽 621900)

0 引言

引信系統是利用目標信息和環境信息，在預定條件下引爆或引燃戰斗部裝藥的控制系統[1]。在一般工程系統的基礎上，引信系統有著自身特點。

1) 安全性、可靠性同時要求極高，且直接沖突。在難以測試、維修的情況下，引信系統需要在20年以上的壽命期內，安全失效率不大于10-6，可靠度要達到0.995以上[2]。盡管高鐵、核電站、飛機等也同時具有極高的安全性和可靠性要求，但這些系統可以測試、維修。更重要的差別在于，這些系統的工作系統(保證可靠)和安全系統是相互獨立的兩套系統，并不直接產生矛盾。而引信系統的保險件直接插入其引爆通路上，每增加一級保險件(安全性提高)就是對引爆通路的一次阻隔(可靠性降低)。

2) 開環、一次性控制。盡管也稱為控制系統，但引信系統測量的是彈道環境和目標信息，控制對象是雷管，測量和控制對象不一致，無法進行閉環反饋修正；并且，雷管是一觸即發、一次性動作的，一旦發出控制指令則再無修正機會。

3) 引信系統在武器系統中處于三級配套層級，位于系統工程“V”字型流程底部，研制周期短、外部約束強。在導彈武器系統立項論證時，總體單位主要關注射程、精度、毀傷能力，重點設計制導系統、戰斗部系統。待武器系統概要設計完成后，才以研制任務書形式讓引信設計單位介入，但交付時間又必須在全系統集成測試之前。此時，引信的技術指標基本固化，且不得不適應剩下的異形、零散布局空間。

引信系統具有上述特點，盡管其規模不大，但對其研究應該首先采用系統性、整體性的方法，將各項沖突性指標進行綜合權衡設計，并從系統整個生命周期出發，才能夠對系統有準確的把握。已有的工作分別集中于引信系統兩大功能(起爆控制、安全控制)，主要包括：1) 引信的目標探測與識別技術，尤其是無線電引信與目標相互作用過程、侵徹硬目標過程等；2) 引信的安全性研究。從一個系統整體角度來研究的極少。文獻[3]提出引信系統具有典型的高度優化容限(highly optimized tolerance，HOT)特性和高確信性高后果(high assurance high consequence，HAHC)系統的要求，可以從復雜性科學角度來研究，但并未給出具體的方法和結論。

本文將引信看做一個完整的工程系統，采用系統架構的理論與方法來權衡安全性、可靠性的沖突，并將系統架構進行模塊化處理，以提高引信系統各零部件的通用化、標準化水平，解決研制周期短、外部約束強的問題。為便于討論，本文選擇基于沖擊片雷管的直列式引信作為研究對象，但其基本方法也可用于隔爆式引信。

1 模塊化架構的概念

要厘清模塊化架構的概念，首先得回顧系統、系統架構的概念。

系統是由一組實體(entity)和這些實體之間的關系所構成的集合，其功能要大于這些實體各自的功能之和，即具有涌現性(emergence)。系統設計就是精心設計實體和實體之間的關系，獲得有益的涌現、抑制不良的涌現。引信系統的安全性、可靠性設計以及二者之間的沖突權衡，就是要充分發揮有益涌現、抑制不良的涌現。

系統同時具備形式(form)與功能(function)兩個特征，形式說的是系統是什么(物理形態)，而功能則說的是系統做什么[4]。架構是對系統中的實體及實體之間的關系所進行的抽象描述，同時存在于功能領域和形式領域，也包括對功能與形式之間的映射關系的分配和定義(用什么物理手段實現什么功能)。本文所提出的是一種功能架構，只規定模塊的接口與功能要求，并不限定模塊的幾何尺寸、技術實現手段。

模塊是指具有獨立功能的部件級通用件。模塊化是一種設計方法，是對系統進行分解和接口標準化的過程。為了區別，本文將一般的分解結果和組件稱“實體”，僅當進行了架構模塊化處理之后的實體才稱為“模塊”。

是否能稱之為模塊化架構并無成熟的量化標準，本文提出三個定性評判準則：

1) 強內聚、松耦合。指關聯、依賴、交互等關系在實體內緊密，但在實體之間松散。普遍采用設計結構矩陣(design structure matrix，DSM)來進行展示和度量[2-3]。DSM是N×N矩陣，將構成系統的N個元素列在矩陣的行首和列首，矩陣內部表示元素間的關聯程度。采用求和算法計算出所有元素間的依賴度之和，就可以度量系統的模塊化水平。

2) 符合“優雅原則”。分解的結果應與多個分解平面(維度)相匹配。功能、形式是顯然的兩個分解平面。現代工程系統一般由多個單位協同研制，分解結果也要符合單位分工界面。同時，不同的部組件技術發展速度不一致，模塊分界面也要考慮到這一點。文獻[4]提出了12個可供考慮的分解平面，并指出，最佳的分解要盡可能與多個分解平面匹配，稱之為“優雅原則”。

3) 封裝與接口標準化。通過標準接口對外提供功能，復雜的實現細節被“封裝”在內部，類似面向對象程序設計思想。采用標準接口對外進行交互的好處在于，模塊研制單位可以依據通用標準進行模塊設計、開發、測試、升級，而無需等到全系統集成。典型例子就是USB(universal serial bus，通用串行總線)、CAN(controller area network，控制器局域網絡)、1553B等標準總線技術的應用。

大量研究模塊化的文獻都在強調分解的重要性。如文獻[5]指出，在分解的過程中，最好能夠找到自然分割點，應如自然所指引的那樣在結合點進行分解，不要像蹩腳的雕刻匠一樣將任何樹枝都一分為二。系統存在的根本價值在于其功能，所以，從功能平面進行模塊分解，再審視與其他分解平面的匹配性，是最自然的做法。模塊化設計不能和主要功能和性能相沖突，而應融合設計、相互促進。引信系統的模塊化架構設計仍需以安全性、可靠性為根本出發點。

2 引信系統總體架構

根據定義，直列式引信系統功能可分解為四大部分：

1) 雷管起爆：基于電容放電單元或其他能量產生方式，產生脈沖高壓，引爆沖擊片雷管；

2) 起爆控制：探測目標信息，在預定條件下給出起爆指令；

3) 安全控制：敏感環境與彈道信息，控制高壓電源產生；

4) 電源與接口：引信系統必然還需要供電、外部接口交互等支持性功能，將其合并為“電源與接口”功能。

因此，將引信系統分解成四大實體，并規定實體間交互關系，如圖1所示。

圖1 引信系統一級功能模塊分解Fig.1 The first level modules of fuze system

四大模塊之間僅傳輸極少的信息(解除保險、起爆所用的參數，以及起爆指令)和能量(高壓、低壓電源)，而模塊內部功能交互密切，比如安全控制模塊必然采用多級保險控制能量通道，起爆控制模塊則需采用多種體制傳感器和信息融合技術進行目標識別與起爆決策。

需要考慮的是，安全控制模塊和雷管起爆模塊之間是否應該合并，因為之間傳輸的高壓電源如果暴露在組件外部，易對其他分系統產生電磁干擾，所以在進一步模塊化處理時將二者合并。但在侵徹類引信中是個例外，如果將二者獨立成兩個模塊，則僅需對雷管起爆模塊進行防護設計。

該架構將安全控制模塊獨立出來，根本出發點是符合引信安全性設計哲學。文獻[2]提出了引信安全性設計的兩條關鍵原則，之一是安全組件應該是一個獨立的技術狀態項(stand-alone configuration item)，安全功能“鎖定”在安全控制模塊內部，可以減輕安全性和其他性能(可靠性、測試性)之間的沖突。美國在核武器引信安全性設計哲學也重點提到要求安全相關電路最小化，以便系統安全性僅依賴于相對較小的子集，有限的設計和驗證資源聚焦于此，有利于獲得可預測(predictable)的安全性。本質上，這些設計原則和模塊化要求也是一致的：各級保險件及其所包含的傳感器、控制器、能量隔斷器件應盡可能封閉在一個獨立的模塊中，與其他模塊松散耦合。

“電源與接口”模塊起到接口適配器的作用。面向不同的平臺，可僅修改“電源與接口”模塊，引信系統的核心功能模塊不用變化。

為提高模塊的通用化水平，還需對模塊接口進行標準處理。如圖2所示。

圖2 引信系統總體架構(總線式)Fig.2 System architecture of fuze system(bus type)

該架構把安全控制和雷管起爆模塊合并為“安全起爆模塊”，并利用原安全控制中的總線電路來接收起爆控制指令，并產生觸發信號。這樣有利于引信系統分散式布局，如起爆控制模塊內包含目標探測器必須布局在彈頭頭錐，而安全起爆模塊必須緊跟起爆傳爆序列，之間采用總線可保證長距離信號傳輸的可靠性。

3 安全起爆模塊架構

安全起爆模塊架構設計核心要滿足最新的MIL-STD-1316F的要求[6]。MIL-STD-1316F對直列式引信安全系統的要求產生了顯著的變化，主要體現在5.3.4條：

a) 應有三級獨立保險件(safety feature)

保險件應包含環境感知、環境辨識、能量隔斷三大元件；其中至少兩級保險件可感知獨立的解保環境激勵(不同的環境，或者是不同的環境組合，標準4.2.2條規定)；第三級保險件應基于解保環境的順序和時機使能；

b) 至少一個能量隔斷元件應為動態開關，由獨特信號(unique signal)驅動，且需要在發射后環境得到確認后才能使能。

安全起爆模塊架構如圖3所示，由三級保險件、升壓變換器、高壓發火單元串聯而成。每一級保險件將其所需的環境感知、環境辨識、能量隔斷元件封裝在內部，對外暴露電源、總線接口。保險件在感知解保條件滿足后輸出下一級保險件所需電源。保險件掛接到系統內部總線上，一方面可以接收所需的解保參數，如發射過載閾值大小，另一方面，可以將本級保險件的信息發送到系統總線上，供其他保險模塊進行解保環境量的順序、時間窗判斷，也可用作飛行試驗時測試性設計。

圖3 安全起爆模塊架構Fig.3 The architecture of safety module

保險件的內部架構體現了安全性設計思想的轉變。傳統的引信安全系統設計總是以不危及己方安全為主導設計思想，以發射環境信息作為解除保險的依據。早期的機械安全系統中的環境感知和能量隔斷通常都是同一個元件。由于機械結構本身固有特性，總是把發射環境信息中的慣性力作為解除保險的主要依據和能量來源，而很難充分利用發射狀態下的其他環境信息。

近年來發展起來的機電一體化安全系統，它利用了傳感器技術和微電子控制技術，將感受環境信息的元件和能量隔斷元件分開。這樣一來，傳感器感受環境信息的能力比機械元件高得多，還可以探測到許多機械機構無法探測到的環境信息(如導彈的飛行位置、高度等)，從而使安全系統可利用的信息更加豐富。解除保險執行元件的動作能量，不是來自環境力，而是其內部的其他能源，從而可以利用微弱的或無法用來直接使執行元件動作的環境信息作為解除保險的起動信息，而又有足夠能量使執行元件解除保險。

全電子安全系統有取代傳統的機械安全系統的趨勢。電子安全系統設計思想的出發點是，在不危害己方安全的前提下，保證安全系統在引信最佳起爆時刻之前，以最短的時間解除保險。基于這種思想，認為識別發射環境信息，僅是為了保證己方的安全，而識別利用目標或目標區環境信息，才是安全系統解除保險的依據，從而把安全區擴展到目標區附近。發射環境、彈道環境、導彈制導、目標特征等信息的綜合利用，是電子安全系統設計思想的必然體現。基于此發展趨勢，本文提出各級保險件均采用傳感器-控制器-能量隔斷的通用功能架構，如圖4所示。在實現形式上，可分別采用MOSFET(metal-oxide-semiconductor field-effect transistor，金氧半場效晶體管)和BJT(bipolar junction transistor，雙極結型晶體管)來實現能量隔斷，以防止共因失效。因本架構各保險件具備自主的環境感知功能，所以均可對發射到目標區環境進行確認。為了適應不同彈道環境，僅需修改軟件閾值即可，從而實現保險件通用化。

圖4 保險件通用架構Fig.4 Common architecture of safety feature

動態保險件的能量隔斷需采用獨特信號驅動，美國Sandia實驗室[7]提出了一種在自然界產生概率最小的編碼方法，可以參考使用。為了提高安全性，該獨特信號在發射前不能存儲于引信內，所以需要在發射后通過從系統內部總線上傳輸給動態保險件。

該架構將所有安全性相關功能均鎖定在“引信安全系統”內部，更加滿足MIL-STD-1316F的4.2.5條(safety architecture distribution)。文獻[8]探討了安全系統架構，其將安全控制所用傳感器、彈道辨識功能與制導系統一體化設計，其最大問題在于安全元素散布于各個角落，安全性設計無法聚焦，又被其他功能(制導、起爆)的設計縛住了手腳。在微電子、微機電技術飛速發展的今天，各級保險件通過如微慣性測量組合芯片、微控制器等實現，體積功耗極小，可靠性也有保證。各保險件可獨立設計、測試，甚至封裝成SiP(system in package，系統級封裝)模塊，再集成為安全起爆模塊。

某些工程設計中為了提高安全系統的可靠性，采用雙套保險件并聯后接入系統，本文并不推薦這種架構。首先根據定義，保險件的功能是阻止意外解保和動作，并聯之后對單個保險件來說已經失去了該功能。另外，MIL-STD-1316F在4.2 b)條特地提出了防止共模失效、共因失效的要求，兩級保險件并聯必然導致共模失效，如果還采用相同技術途徑，則是共因、共模失效風險同時存在。更重要的是，并聯之后，會增加對單個保險件安全失效率的要求，設計與驗證難度更大。雙套并聯保險件必然產生交聯，是否能達到預期的可靠性的提升效果，也是值得仔細權衡的問題。

4 基于權衡空間的起爆控制模塊架構設計

起爆控制模塊的功能是探測目標信息，在預定的條件下發出起爆指令，由目標傳感器、控制器(信息處理與起爆決策)組成。假設有A、B、C三種傳感器可選，任何一種傳感器+控制器的組合都可以完成起爆控制功能，則系統架構就是要決策傳感器、控制器的類型、數量、連接方式。據文獻[7]計算，一共可以產生20 509種架構。部分架構示意如圖5所示，S表示傳感器，C表示控制器。

文獻[7]提出采用權衡空間的方法對多種架構篩選。該方法首先需要建立篩選的標準，需要選出2～3個評價的標準。對于起爆控制模塊來說，最重要的指標應該是可靠性和重量：我們總是期望選擇重量最輕、可靠性最高的架構。

圖5 某些可能的起爆控制模塊架構示意Fig.5 Some possible architecture of fire control module

假設A、B、C三種傳感器或控制器的重量與可靠性是逐漸增加的。通過假定各單元可靠度與重量的值，即可計算出各種架構的重量和可靠性。圖6展示了部分計算結果，可以看出，需要搜索的架構空間相當龐大。該圖右邊加圓圈標記的架構稱為帕累托前沿，其可靠性比左邊的架構高，重量比上面的架構低。帕累托前沿上有一個特殊的點，圖6可靠性為9.7(以9的個數計)的架構，過了該點，要使可靠性得到稍微提高，就必須大幅度增加重量。該點就是可靠性、重量取得了較好平衡的點。然而，并不是說一定最好選擇該架構，因為這種模型是非常抽象的，許多因素尚未考慮：如連線的重量和可靠性，同構冗余產生的共因失效風險，對各單元的可靠性和重量假設是否合理等等，都會影響最終的架構篩選結果，所以應該在帕累托前沿附近來選擇架構。

圖6 以可靠性、重量為指標的權衡空間Fig.6 Tradespace of safety and weight

在算法層面，控制器該如何對各傳感器數據進行處理和決策？多個控制器之間該如何決策？這就是起爆控制模塊的魯棒性設計問題。盡管有各種多傳感器數據融合、奇異值處理、綜合決策等算法可以使用，但引信最佳作用時間窗口極短(打擊超高速空中目標的時間窗口在毫秒級)，且雷管一觸即發，這些以穩健性、魯棒性為目標算法恰好使得引信系統成為一個HOT系統：穩健但脆弱。這類系統對于考慮到的環境不確定性是非常穩健的，但對一些少見的或不曾預期的擾動是十分脆弱的。這種潛在的脆弱性將使某個微不足道的初始事件導致大的連續的事故，并且，所考慮到的不確定性會以多大概率存在？也許，采用最簡單的算法是引信系統決策邏輯實現高可靠性的有效途徑。

5 層次化總線架構設計

本文提出的總線架構并不是說要所有的設備都掛接的到總線上，而是僅將引信系統功能模塊掛接，其他單元作為功能模塊的“附件”，由此形成了一種分層通信架構，如圖7所示。

1) 系統總線上僅連接固定的系統功能模塊，包括：一級保險件、二級保險件、三級保險件、起爆控制模塊、電源接口模塊。節點數量固定，便于進行總線網絡阻抗匹配。接口節點形成網關，隔離內外部通信環境；

2) 各模塊內部可形成自己的二級網絡，如傳感器和控制器之間周期性數據僅在二級網絡內部傳輸，使得系統總線裕量較大，提高傳輸可靠性。增加或減少傳感器的影響也可約束在二級網絡內部。

圖7 系統總線架構Fig.7 The bus architecture of the system

6 系統模塊化水平分析

采用樹狀結構展示出本文所提出的架構元素，如圖8所示。該圖展示了一種思維模式：盡管一個復雜的系統難以實現通用化，但可以通過層次化分解，將復雜的系統功能分解成簡單、通用的模塊。針對引言提出的“研制周期短、外部約束強”的問題，引信研制單位可以提前研發好通用模塊，引信系統的設計就變成通用模塊的集成問題了。但前提是一定要有一個模塊化的系統架構進行總體規劃、總體約束。

圖8 引信系統層次化架構Fig.8 Thehierarchic architecture of fuze system

圖9 模塊間耦合度分析Fig.9 Analyze of coupling between modules

對圖8各葉子節點模塊編號后，采用DSM矩陣分析模塊間的耦合情況，如圖9所示，模塊編號作為了行首和列首。如果a模塊的插入或移除，對b模塊無影響，則認為a、b模塊間無耦合，不標記，反之則標記為1。可以看出，模塊間耦合關系呈現了一種聚類現象，矩形框標記的模塊bcde內交互密切，架構中恰好將其封裝成了起爆控制模塊，其他三個聚類區域也恰好表明了保險件內部傳感器、彈道辨識、能量隔斷元件的強內聚性。初步分析看來，該架構具有較好的模塊化水平。

7 總結

本文運用復雜系統架構設計理論和方法，對直列式引信的架構模塊化設計進行了初步嘗試。本架構的設計始終以安全性、可靠性作為根本價值驅動力，將模塊化的思想和方法融合到設計過程，給出了系統功能模塊劃分、模塊接口和功能分配，并提出了總線拓撲結構的要點，最后采用DSM矩陣進行了模塊化水平的分析，可作為相關工程設計和進一步研究的參考。

本文僅是對引信系統架構設計的初步探索，還有許多問題需要解決：針對引信系統層面的安全性、可靠性問題，提出了一些探討，但并未給出明確的結論。如何采用定量的方法來評價引信系統架構，也僅僅在可靠性、重量方面就起爆控制模塊進行了初步探討，尚未建立起適合全引信系統的、綜合多目標(如安全性、可靠性、重量、模塊化水平等)的量化評價方法。

可以看到，引信系統設計過程實際上是一個多目標、多方案的擇優過程。之所以要選擇“架構”的方法來研究，是因為引信系統面臨眾多的約束和相互沖突的目標，相對抽象、忽略細節的架構模型可以使得我們可以在各種粗略的想法之間輕易跳躍。有許多學者都在嘗試對架構進行形式化建模以進行評價，也開發出了許多工具，然而，正如本文所展示的一樣，這些結果僅能作為決策支持，需小心、謹慎地對待建模工具所推薦的架構。