基于MBSE的魚雷全電子安全系統安全性與任務可靠性分析

王儲炘，秦棟澤，劉 瑜

(1.中北大學 機電工程學院，太原 030051；2.中船西安東儀科工集團有限公司，西安 710065)

0 引言

以電子信息技術為關鍵推動力的技術革新不斷發展，現代裝備體系表現出自動化、智能化的特點。隨著先進技術的快速發展并廣泛應用于軍事武器裝備中，對現代武器系統的效能、系統的結構復雜度、環境適應性以及不可預見性等特性越發顯著，對引信戰術技術，包括安全性、可靠性進行科學可靠的分析評估提出了更高的要求。

全電子安全系統控制引信以探測到的環境信息和內部指令使其從安全狀態轉換成待發狀態，并能可靠地解除保險[1]。相較于傳統機械安全系統，全電子安全系統測量方法有一定局限性，即系統狀態變量不可觀測，僅能通過輸出體現[2]。魚雷的復雜工作環境對引信能夠可靠解除保險的能力要求更高，基于電子技術的全電子安全系統既要保證引信全彈道設計上對己方具有高安全性，又要保證目標作用的高可靠性。對于引信系統設計與分析，文獻[3]對全電子安全系統解除保險邏輯進行了對比，分析得出一種高安全性的設計方法；文獻[4]采用故障樹分析法對引信作用可靠性進行了分析，得出引信定性定量分析結果；文獻[5]對6種系統可靠性分析方法從適用范圍、輸入輸出和優缺點進行了對比分析。

目前引信安全系統安全性與可靠性的分析方法主要有故障樹分析方法(FTA，fault tree analysis)以及失效模式影響與危害分析(FMEA，failure mode and effect analysis)，主要依賴于分析人員的知識、經驗，人為差異可能會造成錯、漏事件發生。且以文本形式表示故障信息不精確、更新不及時，傳統分析方法會造成安全性與可靠性分析存在功能定義上的錯誤，邊界確立的模糊歧義，難以保證分析與設計工作的一致性。

MBSE運用系統建模語言(SysML，system modeling language)進行系統架構分析與設計，從需求、結構和行為的視圖上對安全系統架構創建功能元素與物理組件的映射關系[6]。目前，MBSE在國內外航空、武器領域成為系統設計與分析的主流發展趨勢之一。由其衍生的基于模型的安全性與可靠性分析相較于傳統的文檔分析方法，解決了信息化研發技術在處理系統需求、整體架構方面的欠缺[7]。實現MBSE在系統設計的同時兼顧安全性與可靠性的評估驗證工作需要。文獻[8]對國內外基于模型的系統安全性與可靠性分析研究進展做出介紹，對該技術的優勢、應用趨勢進行了探討，并指出應進一步完善該方法在安全性、可靠性建模規范體系的建立；文獻[9]圍繞功能邏輯模型進行可靠性、安全性和測試性“三性”建模評估方法；文獻[10]基于SysML多視圖模型構建描述導彈系統任務剖面以及安全性研究，構建完整的系統建模分析過程；文獻[11]對衛星系統自身的運行狀態和單元故障之間的時序關系與邏輯相關進行刻畫，以模型方式構建系統故障模式。引入工程系統角度研究安全系統安全性與可靠性的方法，適應當前引信系統數字化設計趨勢，同時基于模型方法，能夠使系統的故障規律得到清晰的體現[12]。

1 安全系統故障分析理論基礎

作為魚雷引信的主要安全裝置，ESA由邏輯控制部分與起爆控制電路組成。以模塊方式建立引信系統架構，將引信結構中的邏輯控制模塊與起爆控制整合為安全起爆系統，起爆控制指令由控制模塊內部總線進行傳輸。邏輯控制部分由兩個獨立控制的集成電路模塊、冗余開關構成，分別受不同的環境信號影響實現解除保險的動作，滿足引信安全性設計要求[13]。ESA的邏輯控制部分采取時序控制、時間窗控制等技術，提高引信安全性。由電子元件組成的引信系統保證了高可靠性。魚雷全電子安全系統原理如圖1所示。

圖1 魚雷全電子安全系統原理框圖

引信在結構上盡管規模不大，亦適用系統整體研究方法進行設計與安全性分析。文獻[14]引入工程系統角度研究引信安全性與可靠性權衡問題。通過數字化的建模方法設計引信故障分析方案，創建出結構良好且清晰的模型，將文檔中描述系統結構、功能、性能等方面轉化為規范化的可交互的仿真驗證流程[15]。在規范化建模過程下，能夠有效規避分析中存在功能定義上的錯誤、邊界確立的模糊歧義，保證分析工作的一致性。本文引入MBSE設計思想實現魚雷全電子安全系統安全性與任務可靠性分析，運用系統整體建模的概念對引信全電子安全系統的安全性、可靠性的需求進行剖析。通過對系統功能模型進行驗證，推測任務可靠性分析過程中可能出現的故障，從而得出故障發生的過程與造成故障產生的具體因素[16]。

2 任務需求分析

全電子引信產生起爆戰斗部動作，控制引信以預定的環境信息或魚雷內部指令使其從安全狀態轉換成待發狀態時，應可靠地解除保險。解除保險的條件在自然狀態下難以發生，因此本文對系統安全性與可靠性分析的場景為魚雷發射后的水下工作過程。通過對系統需求的剖析與整合，以ESA任務需求、功能需求與各部分組件設計要求為導向，將系統功能故障處理作為安全性與可靠性分析工作重點。將魚雷安全系統發射入水后的解保過程作為系統安全性與可靠性分析的場景。

將魚雷引信全電子安全系統任務設為頂層設計需求，建立需求模型表示安全性需求與可靠性需求之間的關系，進行相關使命任務分析，并構建需求模型[17]。以全電子安全系統任務構建需求模型進行相關使命任務分析，將系統功能需求轉化為系統邊界。

魚雷武器引信系統主要有以下分任務需求：

1)作用可靠性需求：作用可靠性是指在規定的環境條件和時間內，引信能夠達成指定功能的性能。代表對系統處理任務要達到的要求。系統接收到爆炸指令可有效運行，保證作戰任務成功完成。指在規定的環境條件和時間內，引信能夠達成指定功能的性能。魚雷發生早炸、遲炸、自毀失效以及瞎火故障，均是引信作用可靠性未完成的表現。

2)安全性需求：安全性需求為保證系統在規定條件下不意外解除保險或爆炸的功能要求；全電子安全系統最少有兩個獨立的保險件，每個都可避免引信意外解除保險，同時多保險的激勵條件需為不同的環境條件，通過利用偵測到的環境信息和目標信息進行開關解保，解除隔爆狀態。安全系統采用“閾值+順序+時間窗”的判斷方法辨明接收的信號，在規定的時間內信息識別電路必須正確識別環境信號，判斷閾值、出現時間和持續寬度是否滿足條件。

3 邏輯架構分析

為引信安全系統構建魚雷入水與目標毀傷段的邏輯架構，進行功能與行為的分解。針對安全系統系統的各級子系統的需求建模頂層子系統，將參數定義至對應的包中，根據行為間交互構建不同子系統之間的流關系與接口。

3.1 系統結構分析

SysML中的模塊定義圖(BDD，block definition diagram)，注重于刻畫系統及元素結構的模塊化單元[18]。通過構建SysML塊定義圖，由BDD描述安全系統整體架構信息，從而建立全電子安全系統組成元素、各個模塊之間的接口以及各個組件之間的相互關聯、作用的方式。通過對安全系統結構與屬性進行建模，定義安全系統的價值屬性、組成屬性、約束屬性、將系統分解為若干子系統構成的統一整體。安全系統整體架構模型如圖2所示。

圖2 安全系統架構模型

全電子安全系統采用基于目標基解除保險的方式，將安全狀態轉換為解除保險狀態。傳感器向控制芯片發送環境信息，控制1、2級靜態開關與動態開關的閉合狀態。系統對時序進行控制，利用異常處理模塊對信息正確性與開關閉合狀態進行識別與監測，進一步采取復位等恢復操作。發火控制裝置由高壓轉換器、高壓電容、發火電路和箔擊雷管構成。高壓起爆電路控制電壓由低壓向高壓轉換，完成高壓電容充電動作，使引信解除能量隔爆進入待發狀態。

3.2 內部結構分析

內部模塊圖(IBD，internal block diagram)用于和模塊定義圖互相補充信息，結合系統整體架構顯示模塊間彼此調用的服務。以圖3示例，建模ASICⅠ芯片控制電路內部模塊圖，顯示框圖內部連接關系與外部輸出。根據功能模塊部件連接關系，通過內部總線和信號傳輸端口進行信號導出系統內部信號傳遞關系。根據IBD制定模塊的內部結構，顯示子系統屬性、端口、項目流等結構特性。通過內部塊圖的描述，將電路內部的信號傳遞轉換為可視的行為狀態模型。

圖3 ASICⅠ內部模塊圖

3.3 系統時序建模

運用SysML構建的全電子安全系統時序圖，縱軸表示對象，消息在各對象之間橫向傳遞，依照時間順序描述執行系統功能的各個角色之間傳遞消息的順序。圖4為入水狀態下安全系統的運行流程。

圖4 魚雷全電子安全系統時序圖

ESA以魚雷發射入水為計時零點，系統上電并完成初始化、自檢測功能，安全系統根據所接收的環境信息對各階段保險進行解保操作。通過時序圖梳理開關解保過程，以消息傳遞的形式通過時序狀態分析得出多個對象之間的動態協作關系，對安全系統的時序邏輯進行建模。

3.4 作用活動建模

對系統邏輯單元中各部分活動的行為建模。通過構建活動圖的方式，按執行功能的不同劃分泳道構建動作狀態、對象流描述系統行為導致對象狀態改變的結果，如圖5所示。

圖5 安全系統作用活動模型

系統的使用場景和操作取決于引信的任務類型、任務剖面以及每個任務剖面下引信系統的操作程序，采用活動圖從頂層描述ESA的任務使命、任務剖面和主要任務階段，分析安全系統相關的操作場景；利用場景模型識別出系統的主要功能。在運行過程中通過活動圖行為模型邊框顏色變化進行過程驗證，觀察信號在系統中的流動變化以及內部動作的交互，確保故障-功能耦合定義的正確性。

3.5 系統狀態建模

創建系統在工作周期內的動態行為狀態模型，表示系統狀態變化，確定產生運行狀態轉變的進入、持續與狀態退出動作。解保頂層狀態模型將安全系統工作過程分解為引信入水檢測、加電、信號識別、處理、復位、解保控制5種狀態，各狀態間以環境信息作為狀態轉換條件，建立引信安全系統工作過程描述，如圖6所示。

圖6 解保頂層狀態模型

以安全系統解除保險狀態為用例場景的子系統狀態圖為載體，顯示引信安全系統關鍵屬性并確定系統狀態。將接收信息、輸出狀態轉換后的處理信號設置為狀態轉移的觸發條件，完成具體指令進行狀態的串行變化的仿真驗證。異常狀態下，當環境信息錯誤及電路狀態發生故障時，應轉入故障處理狀態，進行系統復位或絕火操作。

4 故障模型分析

4.1 故障模式分析

以白盒分析方法分析系統功能故障，系統功能與潛在故障失效之間影響關系用模塊形式表征。如圖7所示，通過模塊定義圖表示安全系統功能層次與包含關系，對安全系統按包含關系對功能的父類與子類劃分，實現功能內聚模型的構建。

圖7 系統功能分析模型

如圖8所示，根據不同組件功能對故障原型進行劃分，創建故障模式架構圖，分別創建安全系統的故障及系統故障類型的架構模型。如圖所示，左側對系統組件故障包括傳感器故障、控制器故障以及起爆控制電路故障進行劃分。右側定義為引信安全系統模型中的故障類型，以域的形式表示安全性與可靠性的邏輯集合。將系統故障與失效類型用虛線連接，用來表示系統故障與故障類型之間的從屬關系，描述各子系統的故障。

圖8 故障模式架構圖

全電子安全系統的綜合性涉及到集成電路、可編程電子、電氣和結構等多個方面的資源。在進行安全性分析時，需要考慮系統架構的約束以及失效模式方面的要求。失效模式是指組件出現故障或失效時，導致系統功能受到影響的模式。一個功能模塊可以由多個功能要素組成，而這些要素的組合部分被稱為功能要素。在功能故障模型架構的基礎上將故障模式與引信系統功能相關聯，建立故障可視化模型[11]。追溯矩陣用于對故障狀態進行交叉檢查，確定兩個基線文檔之間的關系和完整性，以便在軟件仿真過程中確定安全性分析節點。故障與功能的追溯矩陣如圖9所示。

圖9 故障模式與功能追溯矩陣

矩陣行元素代表故障模式，列元素代表引信系統所具有的功能，矩陣中的箭頭方向表示將該故障與功能形成完整的耦合關系，數字表示該功能對應受影響故障的數量。引信安全系統的功能為控制三級冗余開關解除保險、進行信息的識別與處理、提供引信復位功能、以及解除保險后的引爆控制。通過追溯矩陣的結果得到系統故障與引信實際功能之間的關聯，推導故障影響的功能覆蓋范圍。

4.2 故障傳播驗證

結合上述分析過程，構建出涵蓋魚雷引信全電子安全系統的時序、狀態、模塊功能、故障模式的系統架構體系，并對系統進行自下而上建模，創建模塊內部邏輯與信號傳遞關系，生成以系統工程為導向的故障傳播模型[19]。基于模型的系統化安全性分析模擬工作流程，根據圖10構建的故障傳播模型對安全系統進行運行仿真，通過圖形化設計與動態故障注入，驗證引信安全系統模型定義的正確性。

圖10 全電子安全系統故障傳播模型

以魚雷入水時刻作為作用初始節點，以安全系統正常發火控制與異常控制分別為不同的結束節點。矩形塊為實現系統功能的模塊，內部輸入相關功能類型、數據、約束信息和故障傳播模式和狀態轉移模式，對各連接點的邏輯控制關系進行描述；箭頭方向代表各模塊間信息傳遞關系；屬性定義不同任務階段的模塊狀態。對各功能模塊間狀態轉換、信息傳遞以逐步傳播的方式驗證系統運行的過程。觀測運行時模塊故障傳播的圖像變化形式對中間和最終結果，得出影響引信安全系統安全性與可靠性的組件間的耦合關系。

4.3 故障模式綜合分析

通過SIMFIA安全性模塊制定故障事件規則，對異常交互的行為結合面向故障的安全建模語言AltaRica，以線性邏輯布爾狀態表達式反映輸出信號節點與組件狀態[20]。根據狀態機圖中組件行為創建影響系統安全的故障樹，當隨機事件發生時開關的狀態才會發生變化。將影響開關解保信號異常的故障信息以圖像化形式展開，完成故障樹最小割集和結構重要度的確定，從而對系統故障建模邏輯的正確性進行驗證[21]。

在引信安全系統中，不同功能的重要等級有所不同，對系統的影響程度高的部分著重進行分析，作為連接系統安全性與可靠性關鍵功能的動態開關解保的權重明顯較高。由圖11所示，該故障樹的頂事件為“開關SWD解保反饋信號.wrong”，引起發生安全性故障的因素可能來源于下方開關解保的每條路徑，最終追溯到“目標信號狀態錯誤”。通過對故障樹定性分析得出影響安全性與可靠性分析的因素。

圖11 動態開關解保反饋失效故障樹

根據上述分析，由功能—故障模型所生成的故障邏輯關系更加符合現實情況。結合以上視圖，以魚雷引信安全系統故障模式為切入點對安全系統的安全性問題與可靠性問題進行切割，對造成安全系統失效的原因及可能導致的危害和影響建立安全性與可靠性分析表，見表1、2。分析造成魚雷可靠性失敗的主要因素有：引信提前解除發火保險并發生引爆、延遲發火以及引信瞎火；時序問題、環境信息識別以及開關控制故障，對魚雷系統作戰時己方人員及設備造成危害，導致引信在上電工作后造成安全性問題發生。異常狀態處理錯誤致使不能規避系統錯誤行為，是造成任務失敗的重要原因。

表1 魚雷全電子安全系統安全性分析表

表2 魚雷全電子安全系統可靠性分析表

5 結束語

本文針對ESA安全性與可靠性分析工作中的邊界模糊、系統性不強、可重用性低等問題，利用MBSE模型建模移植到引信安全系統安全性與任務可靠性分析工作中。運用系統建模的概念建立引信系統架構，基于功能模型的方式對全電子安全系統的故障模式進行驗證，更能體現真實系統的故障傳播規律。對于提高魚雷引信安全系統可靠性，應注意時鐘模塊與異常處理模塊的設計，通過對狀態信號處理的用例模擬，優化復位布局布線和復位策略，確定故障處理方案的可行性。

通過該方法將系統工程與魚雷引信全電子安全系統結合，對運用數字化模型實現引信安全性與可靠性分析進行了實踐探討。結果證明模型驅動方法能夠提高系統分析的準確性與效率，可作為相關分析工作的參考，能夠為下一步進行可靠性的定量分析提供解決思路。