基于FFS故障行为模型的等效故障注入方法

邱文昊， 黄考利,*， 连光耀， 张西山

(1. 陆军工程大学石家庄校区, 石家庄 050003； 2. 中国人民解放军32181部队, 石家庄 050003)

基于故障注入的测试性验证试验是指在装备使用或内场环境中，采用故障注入技术对故障模式进行有效复现，并用测试性设计规定的方法进行检测/隔离[1]。基于故障注入的试验方法的关键技术是故障注入[2-3]，其试验结果是评估测试性水平的主要信息来源[4-5]。

随着新型装备不断向复杂化、集成化方向发展，面向实装的故障注入出现许多新问题：①装备物理封装严密或模块不可拆卸，导致故障注入器的访问深度无法满足部分故障模式的注入需求；②对装备实施直接故障注入时，容易对一些模块造成不可修复的损坏，比如后驱动故障注入中电流大小可能会对集成电路物理结构造成破坏，电源的短路故障会引起电源电路的永久性损坏等[6]；③装备各功能单元间传递耦合关系比较复杂，部分故障模式进行物理注入后导致装备很难恢复至正常状态[7]，比如高频高集成雷达装备，以及光电装备等精密度要求较高的装备。上述问题的存在制约了测试性验证试验的开展，降低了评估结果置信度，而等效故障注入可以依托现有故障注入手段，实现对所选故障样本的有效注入[8]。目前，关于等效故障注入的相关研究较少，文献[8]提出了基于故障传递特性的等效故障注入方法，解决了位置不可访问的故障注入问题，但需要等效故障与原故障的状态空间完全一致，降低了该方法的应用范围；文献[9]通过故障传播分析选择等效故障注入样本，但不能反映故障的行为状态特性；文献[10]研究了针对外场可更换模块的等效故障注入方法，但没有给出具体建模分析方法，也缺乏对不确定性信息的考虑。上述等效方法大都没有研究故障行为关系，相关性矩阵获取困难。由于装备故障之间普遍存在耦合现象，某一故障的发生会引起其他单元模块也出现相同的故障现象[11]，这种传播关系与装备自身结构紧密相关，而故障行为模型[12]能够描述故障传播关系和故障行为状态，因此可以通过建立故障行为模型分析等效故障模式。

针对以上分析，提出一种基于“故障模式-功能-状态”(Failure mode-Function-State，FFS)故障行为模型的等效故障注入方法。首先，通过融合装备的结构信息、不确定性信息和层次性信息，建立FFS故障行为模型，在此基础上，由故障模式-故障模式相关矩阵、故障模式-功能相关矩阵和功能-状态相关矩阵计算得到故障模式-状态相关矩阵；然后，基于故障模式-状态相关矩阵进行故障模式等效性分析，获得等效故障模式；最后，将该方法应用于某装备发射控制系统，验证方法的有效性。

1 基于多元信息的FFS故障行为层次化建模

1.1 故障行为总体建模思路

故障行为建模采用定性分析、功能描述或者数学建模的方法对复杂装备故障发生时的行为状态进行准确描述[13]，良好的故障行为模型应既能准确反映装备结构信息[14]，又能描述建模要素间的关联关系。

故障行为总体建模思路如图1所示。装备复杂的关联关系造成很难直接求解故障模式-状态相关关系，而由于测试性设计中一般根据功能设置测试点，使得故障模式-功能、功能-状态关联关系更易于求解，因此提出将“功能”作为FFS基本建模要素，通过功能与故障模式和状态的关系计算故障模式-状态相关矩阵。故障模式-功能-状态之间又存在2 种不确定性信息:一是故障模式对功能的一定影响、可能影响、不影响3种关系[15]，二是工作环境或测试设备引起状态检测不确定性，因此要求FFS模型能够表征不确定信息。同时，复杂装备的故障行为模型应考虑层次化信息，通过逐层细化的建模方法对系统各层次故障行为进行描述，既可以降低建模难度，又便于模型的删减和修改。另外，装备确定的结构连接关系是故障行为建模的确定性信息，是保证模型的准确性关键，故障行为建模必须以装备功能结构为基础。

图1 故障行为总体建模思路Fig.1 General idea of failure behavior modeling

1.2 FFS故障行为模型

基于多元信息的FFS故障行为建模流程如图2所示。

首先，明确进行故障行为建模的装备层次，根据该层次对象的功能结构和故障模式影响分析结果，确定对象中的单元模块组成及相互连接关系，并用有向边连接起来。然后，根据装备的测试性设计定义的信号集确定信号流向，并将状态节点添加到相应的单元模块，状态节点的添加需要熟悉掌握装备的物理结构和原理特性。最后，处理故障模式、功能和状态不确定性信息，进而获得故障模式-状态相关矩阵。

图2 FFS故障行为建模流程Fig.2 FFS failure behavior modeling process

2 基于FFS模型的故障行为特性分析

首先，定义表征故障行为特性的有关概念。

(1)

(2)

为计算故障模式与功能之间的关联概率，定义以下规则：

规则2故障模式与功能的关系为可能影响，则

(3)

(4)

(5)

Rmu=Bool([Rmm∪I]×Amu)

(6)

式中:Bool()为布尔变换；I为单位矩阵。

(7)

式中：B(α,β)为Beta函数:p为节点条件概率；α、β为分布超参数。

均值和方差分别为

(8)

(9)

(10)

则节点概率的梯形模糊数为

(11)

根据梯形模糊数可得节点概率的先验分布一阶矩和二阶矩分别为

(12)

(13)

联合式(8)、式(9)、式(12)、式(13)，根据式(14)的约束优化模型即可得先验分布超参数α,β：

(14)

然后，将先验分布和研制阶段的试验信息通过Bayes融合得到节点概率的验后分布[18-19]。对于任意一个状态si执行Ni次测试，成功次数为ni，失败次数为Ni-ni，则根据试验样本Xi确定的节点概率密度函数为

(15)

将先验分布Be(p;α,β)和节点概率密度函数f(Xi|p)代入Bayes融合公式，可得状态检测概率的验后分布为

(16)

Rus=

(17)

故障行为模型中各节点不是一一对应的关系，节点间可能存在重边，由以下规则去除节点间的重边。

(18)

基于有向图的传递特性，设定合理相似度，将去除重边的相关矩阵代入式(19)可得约定层次故障模式-状态相关矩阵Rms。

Rms=Bool(Rmu×[Rus0|Fm|×|S|])

(19)

则紧邻上一层次故障模式-状态相关矩阵可表示为

(20)

3 基于FFS故障行为模型的故障等效分析

一般来说，在结构简单、故障间耦合性较强的试验对象中比较容易出现行为状态向量相同的故障模式，但对于功能结构复杂的装备，其行为状态空间较大，找到2个行为状态向量完全相同的故障模式的概率较小，因此定义等效故障模式集，通过故障模式集对故障模式进行等效。

定义7等效故障模式集。在约定层次lr上，若行为状态向量满足如下关系：

(21)

根据以上分析，基于FFS故障行为模型的等效故障注入流程如图3所示。

图3 基于FFS故障行为模型的等效故障注入流程Fig.3 Equivalent fault injection process based on FFS failure behavior model

4 实例分析

如图4所示，某装备发射控制系统由主控模块、同步通信模块、通信管理模块、直流电源模块等7个模块单元组成，主要完成与各互联单元的信息交互、数据处理和状态控制等功能。

根据生产方和使用方最终确定的FMECA，该系统共有47个故障模式，根据GJB 2072—94[22]确定实施故障注入的样本量为67个。按照测试性验证试验流程分别进行故障样本分配和样本抽取后进行故障注入，发现共有包含9个故障模式的13个故障样本由于注入点受限或注入后会造成不可修复的损坏而无法进行故障注入，不可注入率约为19%。

根据系统的层次结构和FMECA信息，建立发射控制系统FFS故障行为模型如图5所示，不失问题一般性，这里仅给出同步通信模块和模数转换模块的l2层模型信息。由于底层模块间关联度较低，故l2的层次行为模型不考虑不同模块间关联故障。

图4 发射控制系统功能结构Fig.4 Functional structure of launch control system

图5 发射控制系统FFS故障行为模型Fig.5 FFS failure behavior model of launch control system

(22)

代入式(1)和式(2)可得故障模式-故障模式相关矩阵为

(23)

同步通信模块中故障模式与功能之间的关系均为一定影响，则根据规则1可得

(24)

将式(23)、式(24)代入式(6)可得故障模式-功能相关矩阵为

(25)

将由梯形模糊数得到的节点概率先验分布一阶矩和二阶矩代入式(14)可得状态概率先验分布矩阵为

(26)

研制阶段针对设计功能对状态进行的测试数据如表1所示。

将先验分布和状态测试数据代入式(15)、式(16)，进行Bayes融合可得行为状态概率验后分布矩阵为

表1 功能-状态测试数据Table 1 Test data of function-state

(27)

因此，功能-状态相关矩阵为

(28)

将式(25)和式(28)代入式(19)可得同步通信模块故障模式-状态相关矩阵为

(29)

同理，可得模数转换模块故障模式-状态相关矩阵为

(30)

采用相同方法对发射控制系统其他模块进行故障行为特性和故障模式等效性分析，等效故障注入后的试验结果如表2所示。

由上述分析过程及等效故障注入结果可知：

1) 装备的复杂性导致很难直接获得故障模式与状态的关联关系，而通过图1可以看出，基于多元信息构建的FFS故障行为模型将试验对象的功能作为建模要素，有效解决了故障模式-状态相关矩阵获取难的问题。

2) FFS故障行为模型以装备结构信息为基础，融合了故障模式、功能和状态之间的不确定性信息，使得故障行为模型具备表征不确定性知识的能力，相比于传统的确定性建模，考虑因素更加全面，获得的行为状态关系更加准确。

表2 发射控制系统故障注入结果Table 2 Fault injection results of launch control system

5 结 论

1) 本文方法能够基于故障行为建模，通过求解故障模式与状态的关联关系进行等效故障注入。

2) FFS故障行为模型将“功能”作为基本建模要素，通过获取故障模式-功能和功能-状态相关矩阵，能够求解出准确的故障模式-状态相关矩阵。

3) FFS故障行为模型综合了不确定性、确定性和层次化结构等复杂装备的多元信息，能够更加准确地描述故障模式与状态的关联关系，而且层次化的结构也保证模型具有较好的扩展性。

4) 本文方法能够获得不可注入故障的等效故障模式或等效故障模式集，有效增加了故障注入样本，例如，某发射控制系统在进行故障等效后，故障注入率提高约16.7%。

本文方法通过邻接矩阵分析故障模式的等效性，对于复杂系统在较高约定层次的故障模式等效性分析，计算复杂度较高，如何降低计算复杂度，提高分析效率有待进一步研究。另外，若要进一步提高故障注入率，还需要深入研究更加有效的故障注入方法。

致谢感谢北京电子工程总体研究所王承红高级工程师和刘丹丹高级工程师提供的试验验证对象，感谢中国航天科工集团有限公司潘国庆高级工程师提供的部分试验设备。