引信模块化系统架构研究

2022-07-08 08:03肖龙远
探测与控制学报 2022年3期
关键词:模块化架构可靠性

肖龙远

(中国工程物理研究院电子工程研究所,四川 绵阳 621900)

0 引言

引信系统是利用目标信息和环境信息,在预定条件下引爆或引燃战斗部装药的控制系统[1]。在一般工程系统的基础上,引信系统有着自身特点。

1) 安全性、可靠性同时要求极高,且直接冲突。在难以测试、维修的情况下,引信系统需要在20年以上的寿命期内,安全失效率不大于10-6,可靠度要达到0.995以上[2]。尽管高铁、核电站、飞机等也同时具有极高的安全性和可靠性要求,但这些系统可以测试、维修。更重要的差别在于,这些系统的工作系统(保证可靠)和安全系统是相互独立的两套系统,并不直接产生矛盾。而引信系统的保险件直接插入其引爆通路上,每增加一级保险件(安全性提高)就是对引爆通路的一次阻隔(可靠性降低)。

2) 开环、一次性控制。尽管也称为控制系统,但引信系统测量的是弹道环境和目标信息,控制对象是雷管,测量和控制对象不一致,无法进行闭环反馈修正;并且,雷管是一触即发、一次性动作的,一旦发出控制指令则再无修正机会。

3) 引信系统在武器系统中处于三级配套层级,位于系统工程“V”字型流程底部,研制周期短、外部约束强。在导弹武器系统立项论证时,总体单位主要关注射程、精度、毁伤能力,重点设计制导系统、战斗部系统。待武器系统概要设计完成后,才以研制任务书形式让引信设计单位介入,但交付时间又必须在全系统集成测试之前。此时,引信的技术指标基本固化,且不得不适应剩下的异形、零散布局空间。

引信系统具有上述特点,尽管其规模不大,但对其研究应该首先采用系统性、整体性的方法,将各项冲突性指标进行综合权衡设计,并从系统整个生命周期出发,才能够对系统有准确的把握。已有的工作分别集中于引信系统两大功能(起爆控制、安全控制),主要包括:1) 引信的目标探测与识别技术,尤其是无线电引信与目标相互作用过程、侵彻硬目标过程等;2) 引信的安全性研究。从一个系统整体角度来研究的极少。文献[3]提出引信系统具有典型的高度优化容限(highly optimized tolerance,HOT)特性和高确信性高后果(high assurance high consequence,HAHC)系统的要求,可以从复杂性科学角度来研究,但并未给出具体的方法和结论。

本文将引信看做一个完整的工程系统,采用系统架构的理论与方法来权衡安全性、可靠性的冲突,并将系统架构进行模块化处理,以提高引信系统各零部件的通用化、标准化水平,解决研制周期短、外部约束强的问题。为便于讨论,本文选择基于冲击片雷管的直列式引信作为研究对象,但其基本方法也可用于隔爆式引信。

1 模块化架构的概念

要厘清模块化架构的概念,首先得回顾系统、系统架构的概念。

系统是由一组实体(entity)和这些实体之间的关系所构成的集合,其功能要大于这些实体各自的功能之和,即具有涌现性(emergence)。系统设计就是精心设计实体和实体之间的关系,获得有益的涌现、抑制不良的涌现。引信系统的安全性、可靠性设计以及二者之间的冲突权衡,就是要充分发挥有益涌现、抑制不良的涌现。

系统同时具备形式(form)与功能(function)两个特征,形式说的是系统是什么(物理形态),而功能则说的是系统做什么[4]。架构是对系统中的实体及实体之间的关系所进行的抽象描述,同时存在于功能领域和形式领域,也包括对功能与形式之间的映射关系的分配和定义(用什么物理手段实现什么功能)。本文所提出的是一种功能架构,只规定模块的接口与功能要求,并不限定模块的几何尺寸、技术实现手段。

模块是指具有独立功能的部件级通用件。模块化是一种设计方法,是对系统进行分解和接口标准化的过程。为了区别,本文将一般的分解结果和组件称“实体”,仅当进行了架构模块化处理之后的实体才称为“模块”。

是否能称之为模块化架构并无成熟的量化标准,本文提出三个定性评判准则:

1) 强内聚、松耦合。指关联、依赖、交互等关系在实体内紧密,但在实体之间松散。普遍采用设计结构矩阵(design structure matrix,DSM)来进行展示和度量[2-3]。DSM是N×N矩阵,将构成系统的N个元素列在矩阵的行首和列首,矩阵内部表示元素间的关联程度。采用求和算法计算出所有元素间的依赖度之和,就可以度量系统的模块化水平。

2) 符合“优雅原则”。分解的结果应与多个分解平面(维度)相匹配。功能、形式是显然的两个分解平面。现代工程系统一般由多个单位协同研制,分解结果也要符合单位分工界面。同时,不同的部组件技术发展速度不一致,模块分界面也要考虑到这一点。文献[4]提出了12个可供考虑的分解平面,并指出,最佳的分解要尽可能与多个分解平面匹配,称之为“优雅原则”。

3) 封装与接口标准化。通过标准接口对外提供功能,复杂的实现细节被“封装”在内部,类似面向对象程序设计思想。采用标准接口对外进行交互的好处在于,模块研制单位可以依据通用标准进行模块设计、开发、测试、升级,而无需等到全系统集成。典型例子就是USB(universal serial bus,通用串行总线)、CAN(controller area network,控制器局域网络)、1553B等标准总线技术的应用。

大量研究模块化的文献都在强调分解的重要性。如文献[5]指出,在分解的过程中,最好能够找到自然分割点,应如自然所指引的那样在结合点进行分解,不要像蹩脚的雕刻匠一样将任何树枝都一分为二。系统存在的根本价值在于其功能,所以,从功能平面进行模块分解,再审视与其他分解平面的匹配性,是最自然的做法。模块化设计不能和主要功能和性能相冲突,而应融合设计、相互促进。引信系统的模块化架构设计仍需以安全性、可靠性为根本出发点。

2 引信系统总体架构

根据定义,直列式引信系统功能可分解为四大部分:

1) 雷管起爆:基于电容放电单元或其他能量产生方式,产生脉冲高压,引爆冲击片雷管;

2) 起爆控制:探测目标信息,在预定条件下给出起爆指令;

3) 安全控制:敏感环境与弹道信息,控制高压电源产生;

4) 电源与接口:引信系统必然还需要供电、外部接口交互等支持性功能,将其合并为“电源与接口”功能。

因此,将引信系统分解成四大实体,并规定实体间交互关系,如图1所示。

图1 引信系统一级功能模块分解Fig.1 The first level modules of fuze system

四大模块之间仅传输极少的信息(解除保险、起爆所用的参数,以及起爆指令)和能量(高压、低压电源),而模块内部功能交互密切,比如安全控制模块必然采用多级保险控制能量通道,起爆控制模块则需采用多种体制传感器和信息融合技术进行目标识别与起爆决策。

需要考虑的是,安全控制模块和雷管起爆模块之间是否应该合并,因为之间传输的高压电源如果暴露在组件外部,易对其他分系统产生电磁干扰,所以在进一步模块化处理时将二者合并。但在侵彻类引信中是个例外,如果将二者独立成两个模块,则仅需对雷管起爆模块进行防护设计。

该架构将安全控制模块独立出来,根本出发点是符合引信安全性设计哲学。文献[2]提出了引信安全性设计的两条关键原则,之一是安全组件应该是一个独立的技术状态项(stand-alone configuration item),安全功能“锁定”在安全控制模块内部,可以减轻安全性和其他性能(可靠性、测试性)之间的冲突。美国在核武器引信安全性设计哲学也重点提到要求安全相关电路最小化,以便系统安全性仅依赖于相对较小的子集,有限的设计和验证资源聚焦于此,有利于获得可预测(predictable)的安全性。本质上,这些设计原则和模块化要求也是一致的:各级保险件及其所包含的传感器、控制器、能量隔断器件应尽可能封闭在一个独立的模块中,与其他模块松散耦合。

“电源与接口”模块起到接口适配器的作用。面向不同的平台,可仅修改“电源与接口”模块,引信系统的核心功能模块不用变化。

为提高模块的通用化水平,还需对模块接口进行标准处理。如图2所示。

图2 引信系统总体架构(总线式)Fig.2 System architecture of fuze system(bus type)

该架构把安全控制和雷管起爆模块合并为“安全起爆模块”,并利用原安全控制中的总线电路来接收起爆控制指令,并产生触发信号。这样有利于引信系统分散式布局,如起爆控制模块内包含目标探测器必须布局在弹头头锥,而安全起爆模块必须紧跟起爆传爆序列,之间采用总线可保证长距离信号传输的可靠性。

3 安全起爆模块架构

安全起爆模块架构设计核心要满足最新的MIL-STD-1316F的要求[6]。MIL-STD-1316F对直列式引信安全系统的要求产生了显著的变化,主要体现在5.3.4条:

a) 应有三级独立保险件(safety feature)

保险件应包含环境感知、环境辨识、能量隔断三大元件;其中至少两级保险件可感知独立的解保环境激励(不同的环境,或者是不同的环境组合,标准4.2.2条规定);第三级保险件应基于解保环境的顺序和时机使能;

b) 至少一个能量隔断元件应为动态开关,由独特信号(unique signal)驱动,且需要在发射后环境得到确认后才能使能。

安全起爆模块架构如图3所示,由三级保险件、升压变换器、高压发火单元串联而成。每一级保险件将其所需的环境感知、环境辨识、能量隔断元件封装在内部,对外暴露电源、总线接口。保险件在感知解保条件满足后输出下一级保险件所需电源。保险件挂接到系统内部总线上,一方面可以接收所需的解保参数,如发射过载阈值大小,另一方面,可以将本级保险件的信息发送到系统总线上,供其他保险模块进行解保环境量的顺序、时间窗判断,也可用作飞行试验时测试性设计。

图3 安全起爆模块架构Fig.3 The architecture of safety module

保险件的内部架构体现了安全性设计思想的转变。传统的引信安全系统设计总是以不危及己方安全为主导设计思想,以发射环境信息作为解除保险的依据。早期的机械安全系统中的环境感知和能量隔断通常都是同一个元件。由于机械结构本身固有特性,总是把发射环境信息中的惯性力作为解除保险的主要依据和能量来源,而很难充分利用发射状态下的其他环境信息。

近年来发展起来的机电一体化安全系统,它利用了传感器技术和微电子控制技术,将感受环境信息的元件和能量隔断元件分开。这样一来,传感器感受环境信息的能力比机械元件高得多,还可以探测到许多机械机构无法探测到的环境信息(如导弹的飞行位置、高度等),从而使安全系统可利用的信息更加丰富。解除保险执行元件的动作能量,不是来自环境力,而是其内部的其他能源,从而可以利用微弱的或无法用来直接使执行元件动作的环境信息作为解除保险的起动信息,而又有足够能量使执行元件解除保险。

全电子安全系统有取代传统的机械安全系统的趋势。电子安全系统设计思想的出发点是,在不危害己方安全的前提下,保证安全系统在引信最佳起爆时刻之前,以最短的时间解除保险。基于这种思想,认为识别发射环境信息,仅是为了保证己方的安全,而识别利用目标或目标区环境信息,才是安全系统解除保险的依据,从而把安全区扩展到目标区附近。发射环境、弹道环境、导弹制导、目标特征等信息的综合利用,是电子安全系统设计思想的必然体现。基于此发展趋势,本文提出各级保险件均采用传感器-控制器-能量隔断的通用功能架构,如图4所示。在实现形式上,可分别采用MOSFET(metal-oxide-semiconductor field-effect transistor,金氧半场效晶体管)和BJT(bipolar junction transistor,双极结型晶体管)来实现能量隔断,以防止共因失效。因本架构各保险件具备自主的环境感知功能,所以均可对发射到目标区环境进行确认。为了适应不同弹道环境,仅需修改软件阈值即可,从而实现保险件通用化。

图4 保险件通用架构Fig.4 Common architecture of safety feature

动态保险件的能量隔断需采用独特信号驱动,美国Sandia实验室[7]提出了一种在自然界产生概率最小的编码方法,可以参考使用。为了提高安全性,该独特信号在发射前不能存储于引信内,所以需要在发射后通过从系统内部总线上传输给动态保险件。

该架构将所有安全性相关功能均锁定在“引信安全系统”内部,更加满足MIL-STD-1316F的4.2.5条(safety architecture distribution)。文献[8]探讨了安全系统架构,其将安全控制所用传感器、弹道辨识功能与制导系统一体化设计,其最大问题在于安全元素散布于各个角落,安全性设计无法聚焦,又被其他功能(制导、起爆)的设计缚住了手脚。在微电子、微机电技术飞速发展的今天,各级保险件通过如微惯性测量组合芯片、微控制器等实现,体积功耗极小,可靠性也有保证。各保险件可独立设计、测试,甚至封装成SiP(system in package,系统级封装)模块,再集成为安全起爆模块。

某些工程设计中为了提高安全系统的可靠性,采用双套保险件并联后接入系统,本文并不推荐这种架构。首先根据定义,保险件的功能是阻止意外解保和动作,并联之后对单个保险件来说已经失去了该功能。另外,MIL-STD-1316F在4.2 b)条特地提出了防止共模失效、共因失效的要求,两级保险件并联必然导致共模失效,如果还采用相同技术途径,则是共因、共模失效风险同时存在。更重要的是,并联之后,会增加对单个保险件安全失效率的要求,设计与验证难度更大。双套并联保险件必然产生交联,是否能达到预期的可靠性的提升效果,也是值得仔细权衡的问题。

4 基于权衡空间的起爆控制模块架构设计

起爆控制模块的功能是探测目标信息,在预定的条件下发出起爆指令,由目标传感器、控制器(信息处理与起爆决策)组成。假设有A、B、C三种传感器可选,任何一种传感器+控制器的组合都可以完成起爆控制功能,则系统架构就是要决策传感器、控制器的类型、数量、连接方式。据文献[7]计算,一共可以产生20 509种架构。部分架构示意如图5所示,S表示传感器,C表示控制器。

文献[7]提出采用权衡空间的方法对多种架构筛选。该方法首先需要建立筛选的标准,需要选出2~3个评价的标准。对于起爆控制模块来说,最重要的指标应该是可靠性和重量:我们总是期望选择重量最轻、可靠性最高的架构。

图5 某些可能的起爆控制模块架构示意Fig.5 Some possible architecture of fire control module

假设A、B、C三种传感器或控制器的重量与可靠性是逐渐增加的。通过假定各单元可靠度与重量的值,即可计算出各种架构的重量和可靠性。图6展示了部分计算结果,可以看出,需要搜索的架构空间相当庞大。该图右边加圆圈标记的架构称为帕累托前沿,其可靠性比左边的架构高,重量比上面的架构低。帕累托前沿上有一个特殊的点,图6可靠性为9.7(以9的个数计)的架构,过了该点,要使可靠性得到稍微提高,就必须大幅度增加重量。该点就是可靠性、重量取得了较好平衡的点。然而,并不是说一定最好选择该架构,因为这种模型是非常抽象的,许多因素尚未考虑:如连线的重量和可靠性,同构冗余产生的共因失效风险,对各单元的可靠性和重量假设是否合理等等,都会影响最终的架构筛选结果,所以应该在帕累托前沿附近来选择架构。

图6 以可靠性、重量为指标的权衡空间Fig.6 Tradespace of safety and weight

在算法层面,控制器该如何对各传感器数据进行处理和决策?多个控制器之间该如何决策?这就是起爆控制模块的鲁棒性设计问题。尽管有各种多传感器数据融合、奇异值处理、综合决策等算法可以使用,但引信最佳作用时间窗口极短(打击超高速空中目标的时间窗口在毫秒级),且雷管一触即发,这些以稳健性、鲁棒性为目标算法恰好使得引信系统成为一个HOT系统:稳健但脆弱。这类系统对于考虑到的环境不确定性是非常稳健的,但对一些少见的或不曾预期的扰动是十分脆弱的。这种潜在的脆弱性将使某个微不足道的初始事件导致大的连续的事故,并且,所考虑到的不确定性会以多大概率存在?也许,采用最简单的算法是引信系统决策逻辑实现高可靠性的有效途径。

5 层次化总线架构设计

本文提出的总线架构并不是说要所有的设备都挂接的到总线上,而是仅将引信系统功能模块挂接,其他单元作为功能模块的“附件”,由此形成了一种分层通信架构,如图7所示。

1) 系统总线上仅连接固定的系统功能模块,包括:一级保险件、二级保险件、三级保险件、起爆控制模块、电源接口模块。节点数量固定,便于进行总线网络阻抗匹配。接口节点形成网关,隔离内外部通信环境;

2) 各模块内部可形成自己的二级网络,如传感器和控制器之间周期性数据仅在二级网络内部传输,使得系统总线裕量较大,提高传输可靠性。增加或减少传感器的影响也可约束在二级网络内部。

图7 系统总线架构Fig.7 The bus architecture of the system

6 系统模块化水平分析

采用树状结构展示出本文所提出的架构元素,如图8所示。该图展示了一种思维模式:尽管一个复杂的系统难以实现通用化,但可以通过层次化分解,将复杂的系统功能分解成简单、通用的模块。针对引言提出的“研制周期短、外部约束强”的问题,引信研制单位可以提前研发好通用模块,引信系统的设计就变成通用模块的集成问题了。但前提是一定要有一个模块化的系统架构进行总体规划、总体约束。

图8 引信系统层次化架构Fig.8 Thehierarchic architecture of fuze system

图9 模块间耦合度分析Fig.9 Analyze of coupling between modules

对图8各叶子节点模块编号后,采用DSM矩阵分析模块间的耦合情况,如图9所示,模块编号作为了行首和列首。如果a模块的插入或移除,对b模块无影响,则认为a、b模块间无耦合,不标记,反之则标记为1。可以看出,模块间耦合关系呈现了一种聚类现象,矩形框标记的模块bcde内交互密切,架构中恰好将其封装成了起爆控制模块,其他三个聚类区域也恰好表明了保险件内部传感器、弹道辨识、能量隔断元件的强内聚性。初步分析看来,该架构具有较好的模块化水平。

7 总结

本文运用复杂系统架构设计理论和方法,对直列式引信的架构模块化设计进行了初步尝试。本架构的设计始终以安全性、可靠性作为根本价值驱动力,将模块化的思想和方法融合到设计过程,给出了系统功能模块划分、模块接口和功能分配,并提出了总线拓扑结构的要点,最后采用DSM矩阵进行了模块化水平的分析,可作为相关工程设计和进一步研究的参考。

本文仅是对引信系统架构设计的初步探索,还有许多问题需要解决:针对引信系统层面的安全性、可靠性问题,提出了一些探讨,但并未给出明确的结论。如何采用定量的方法来评价引信系统架构,也仅仅在可靠性、重量方面就起爆控制模块进行了初步探讨,尚未建立起适合全引信系统的、综合多目标(如安全性、可靠性、重量、模块化水平等)的量化评价方法。

可以看到,引信系统设计过程实际上是一个多目标、多方案的择优过程。之所以要选择“架构”的方法来研究,是因为引信系统面临众多的约束和相互冲突的目标,相对抽象、忽略细节的架构模型可以使得我们可以在各种粗略的想法之间轻易跳跃。有许多学者都在尝试对架构进行形式化建模以进行评价,也开发出了许多工具,然而,正如本文所展示的一样,这些结果仅能作为决策支持,需小心、谨慎地对待建模工具所推荐的架构。

猜你喜欢
模块化架构可靠性
重卡内饰模块化技术
用模块化思维打造组织
某重卡线束磨损失效分析与可靠性提升
医疗器械可靠性研究现状与发展趋势
高密度存储服务器可靠性设计与实现①
功能架构在电子电气架构开发中的应用和实践
可靠性增长试验与相关概念的关系及作用研究
构建富有活力和效率的社会治理架构
JGJ/T 435—2018施工现场模块化设施技术标准
模块化微流控系统与应用