导弹攻击过程的STAMP/STPA任务失效及仿真研究*

2019-11-13 02:59胡剑波王应洋邢晓波
弹箭与制导学报 2019年3期
关键词:舵机安全控制角度

李 俊,胡剑波,王应洋,邢晓波

(空军工程大学装备管理与无人机工程学院,西安 710051)

0 引言

安全性是系统的涌现特性,传统的安全性分析方法例如故障树分析方法[2]是基于事件链的安全分析方法,但其基本事件的选择具有较强的主观性,同时分析人员难以掌握系统中的各个事件对系统的影响,因此难以得到导致事故的真正原因。随着计算机的广泛应用,以及系统设计的复杂性和耦合性不断增强,组件交互、软件设计缺陷、人员沟通错误等新型事故致因的出现使得人们认识到传统的安全分析方法难以满足复杂系统的安全性需求,迫切需要一种更加全面系统的安全分析方法。

安全性对于武器装备来讲,主要在于武器装备是否能够完成任务,以导弹攻击过程为例,除了导弹本身材料等对导弹执行任务能否完成的影响需要考虑之外,设计合适的导引律是至关重要的,另外如何针对实际情况,及时正确使用导引律显得更为关键。如何精确打击到目标对导引律设计者提出了新的要求——弹道高度和击中目标的角度,因此需要进行带有攻击角度约束的导引律的设计,从而提高导弹的打击精度和杀伤力,更好的完成战斗任务。过去学者们研究导弹的安全性,总会聚焦在消除抖振[4]以及导引律的设计与改进上。例如,文献[5]在变结构导引律的基础上,引入终端攻击角度约束,并应用模糊规则对导引律中的变结构开关项系数增益进行了在线调节,仿真实验表明,该导引律降低了变结构控制系统的抖振,具有很强的鲁棒性。然而导弹攻击过程的安全性必须系统的考虑各组成部分之间的交互以及软件本身的设计,目前尚未有公开文献显示有学者对导弹攻击过程任务失效进行系统的研究。

针对上述有关导弹攻击过程任务失效的研究现状,文中首先介绍一种新型基于系统理论的安全分析方法STPA[6],然后建立导弹攻击过程的STAMP模型[7],采用STPA进行不安全控制行为识别及原因分析,最后进行了相关的仿真研究。

1 STPA方法介绍

美国麻省理工大学Leveson教授提出了STAMP事故致因模型,认为事故是由于控制的不足导致的。STAMP认为安全性是系统的动态的特性,必须对整个系统的运行实时观测,不断调整控制输入,从而使输出满足安全性的需求。STPA方法是对STAMP模型的进一步深化,该方法已经成功的应用于航空航天[8-9]、交通运输[10]、导弹[11]、生物防御[12]等领域。

STPA方法在分析人为错误、软件设计和组件交互等事故致因上具有较强的优势。其应用前提是确定系统级危险、系统级约束和建立系统的内部控制/反馈回路(如图1),然后,严格分析这些回路,以识别在某些条件下没有提供控制信号时是不安全的控制作用;在某些条件下提供控制信号时是不安全的控制作用;当以不正确时机或者错误顺序提供时是不安全的控制作用;当停止太快或者提供控制信号过久时是不安全的控制作用。

2 导弹攻击过程STAMP模型

导弹进行目标打击时,制导计算机首先需要从外部通过目标探测装置等方式获取目标的各种参数信息。其次制导计算机将位置信息等传输给导弹的自动驾驶仪。然后自动驾驶仪根据位置信息选择相应的控制规律传输至舵机。舵机控制舵面、调整弹体的姿态、控制弹体的飞行姿态以及下降速度。最后姿态信息和速度信息传递给自动驾驶仪,如果偏差较大自动驾驶仪会通过控制舵机再次进行纠偏调整。另外导弹探测装置也会将导弹的实时数据传输给制导计算机,结合目标探测装置获取的目标实时信息去下达新的控制指令。整个控制过程制导计算机与自动驾驶仪紧密配合,分析目标信息、环境信息等,选择最佳的导引律成功地打击目标,完成相应的战斗任务。

根据上述控制过程的描述,建立如图2的导弹攻击过程STAMP模型。

图2 导弹攻击过程STAMP模型

3 导弹攻击过程任务失效分析

3.1 系统级事故

系统级事故是指整个系统中,导致不希望的或意外的事件发生,例如人员受伤或死亡、财产损失以及任务失效等等。在导弹攻击过程的系统级事故主要有导弹未能命中目标(A-1)、导弹空中解体或爆炸(A-2)和导弹命中目标的角度未满足需求(A-3)。具体如表1所示。

表1 导弹攻击过程的系统级事故

3.2 系统级危险

系统级危险是指一个系统状态或者一系列条件,在特定的环境之下,可能会导致多个事故的发生。导弹控制系统中的系统级危险主要有导弹失控、导弹飞出预定轨道以及导弹与低空或者高空障碍物发生碰撞3种。具体如表2所示。

表2 导弹攻击过程的系统级危险

导弹失控(H-1)是指制导计算机的指令下达过晚、导引律设计不合理、外在干扰超限等导致导弹失控,对打击任务的执行有着严重的影响,可能会导致导弹未能命中目标(A-1)、导弹空中解体或爆炸(A-2)以及导弹命中目标的角度未满足需求(A-3);导弹飞出预定弹道(H-2)是指制导计算机过晚给控制指令、指令传输过程中的延迟过大以及导引律下达不准确,可能会导致导弹未能命中目标(A-1)、导弹空中解体或爆炸(A-2)以及导弹命中目标的角度未满足需求(A-3);导弹与低空或者高空障碍物发生碰撞(H-3)主要是指没有事先考虑导弹飞行过程中遇到的障碍物以及导引律的下达不及时,可能会导致导弹未能命中目标(A-1)及导弹空中解体或爆炸(A-2)。

3.3 不安全的控制行为

文中主要是分析提供导引律这一控制动作对导弹攻击过程的影响。主要分为以下6种情况:

1)需要提供导引律时,自动驾驶仪没有提供相应的导引律;

2)自动驾驶仪提供了不正确的导引律;

3)自动驾驶仪提供了正确的导引律,但是舵机没有完全的执行;

4)自动驾驶仪过晚提供导引律;

5)自动驾驶仪过早提供导引律;

6)自动驾驶仪提供的导引律控制时间过短。

具体不安全控制行为(UCA)及其可能导致的危险如表3所示。

表3 不安全控制行为

3.4 关键原因分析

STPA方法认为不安全控制行为导致危险的关键原因分为两类:1)控制行为的不准确、不及时以及被执行的不足导致了危险;2)反馈信息的不准确、不及时导致了危险。从而,将导弹攻击过程分成控制和反馈两个部分,具体如图3所示。

图3 导弹攻击过程的控制/反馈回路

1)控制行为的不准确、不及时以及执行不足

①自动驾驶仪

自动驾驶仪的控制算法与弹体的实际模型不匹配,导致给出了错误的导引律;自动驾驶仪输出端信号堵塞,不能及时给出相应的导引律;自动驾驶仪的控制算法不准确,导致得到分析后过早提供了导引律。

②舵机

自动驾驶仪与舵机的传输通道存在较大延迟,导致舵机过晚接收到导引律;舵机的设计不准确,执行导引律过程中在没有得到自动驾驶仪相关指令的情况下自动恢复初始状态,导致舵机执行导引律的时间过短;舵机在接收到导引律后,执行过程中被卡死,导致执行不足。

2)反馈信息的不准确、不及时

①反馈信息的产生

测量导弹加速度信息的传感器故障;测量导弹加速度信息的传感器设计不合理;测量导弹速度信息的传感器故障;测量导弹速度信息的传感器设计不合理;测量导弹姿态角信息的传感器故障;测量导弹姿态角信息的传感器设计不合理。

②反馈信息的传输

导弹加速度信息传输过程中有延迟、丢失或者不准确;导弹速度信息传输过程中有延迟、丢失或者不准确;导弹姿态角信息传输过程中有延迟、丢失或者不准确。

4 仿真分析

4.1 弹目相对运动模型

以某型导弹纵向平面为例,建立弹目相对运动模型[13],如图4所示。在建模过程中,作出如下假设:1)导弹和目标视为质点;2)导弹和目标的加速度矢量方向与速度矢量方向垂直,即施加在导弹和目标上的加速度只改变速度的方向,不改变速度的大小。

图4 弹目相对运动模型

在图4中,M表示导弹,T表示目标,vm为导弹速度,θm为导弹弹道倾角,am为导弹加速度,vt为目标速度,θt为目标航迹倾角,at为目标加速度,r为弹目之间相对距离,q为弹目视线角,规定所有角度逆时针方向为正,反之为负。基于上述假设及弹目相对运动关系,可以得出弹目相对运动关系方程组:

(1)

攻击角度表示弹目交战过程中导弹和目标的速度矢量之间的夹角,即θm-θt。攻击角度约束可以转化为视线角约束问题。

根据角度约束的需求,采用如下导引律(ANTSMG)[14]:

(2)

4.2 结果分析

设定导弹的初始位置为坐标原点,即(0,0),导弹速度为vm=180 m/s,目标的初始位置为(2 000 m,0),运动中目标的速度为vt=20 m/s,qd=-60°,λ=1,ANTSMG制导参数设置如下:α=1;β=0.5;γ=3;p=5;q=3;ε=k=100,c=5;δ=0.001。

重点对其中的部分不安全控制行为作分析,其它不安全控制行为也可以采用类似的方法进行仿真分析。具体分析如下:

1)提供的控制行为不准确(UCA2)

由图5~图7可以看出,在自动驾驶仪得到制导计算机处理的相关参数信息后,采用带攻击角度约束的传统滑模导引律(SMG)控制律[15]会导致弹体的弹道轨迹过高,容易被发现,并且路径较长,难以在较短的时间内完成任务;采用带攻击角度约束的非奇异终端滑模导引律(NTSMG)控制律[16]弹目视线角较小,无法以较大角度命中目标;采用ANTSMG控制律导弹可以实现低空突防,路径较短、弹道高度最低、突击时间短并且满足较大攻击角度命中目标,能够更好的完成攻击任务。因此在设计控制律的时候既需要考虑低空突防和时间限制,也需要考虑攻击角度约束才能更好的完成任务。

图5 弹道轨迹

图6 弹目视线角

图7 滑模面

2)控制行为执行不足(UCA3)

导弹的舵机偏转关乎导引律的执行是否完全,如果导弹的舵机长期没有得到较好的维护,使得舵面难以灵活的滑动,就会造成舵面偏转不到位甚至卡死的情况。通过比例系数λ来表示舵面的偏转执行完成度。当比例系数λ小于1时,说明控制律执行不足。这种现象在工程中经常出现,虽然有的情况下不一定会造成严重的后果,但是在导弹攻击过程中这种隐患是不能容忍的。

从图8中可以看出比例系数λ的大小对弹道的高度以及打击的精度是有影响的。根据不同的作战任务,有些偏差是可以接受的,如果任务精度要求极高,那么这种偏差就是难以接受的。例如比例系数λ等于0.5时导弹无法命中目标。因此,在执行器设计时,必须根据打击精度要求添加安全约束,比如安全约束SC1——比例系数不能等于0.5。

图8 控制不足的轨迹图

3)过晚提供控制行为(UCA4)

在实际的信号传输过程中,存在着一些不可避免的延迟,尤其是制导计算机获取目标信息时,下达指令会存在不可避免的延迟。指令下达的延迟以及自动驾驶仪控制信号的传输延迟,会导致舵机机构过晚接收到控制信号,从而导致系统的控制目标无法实现。

从图9中可以看出,随着延迟的增大、弹道高度在不断的增加,同时在该导引律的控制下对导弹的转向能力要求也在不断提高。从理论的角度可以发现控制信号延迟在1 s、2 s、3 s、4 s时导弹依然能够准确满足最大角度击中目标。在延迟达到5 s及大于5 s后无法击中目标。因此必须设置安全约束SC2——控制信号延迟不得超过5 s。

图9 控制信号延迟轨迹图

5 结论

STAMP模型是一种基于系统论和控制论的事故模型,对复杂系统的分析有着更好的效果,但过去STPA方法识别的不安全控制行为仅限于定性描述,文中通过建模仿真的方式对不安全控制行为进行了定量分析,同时提出了相应的安全约束。这样的思路可以弥补STPA方法偏定性的不足。

对提供控制信号不准确的分析,说明了软件设计之初务必尽可能完善的重要性,软件错误对系统的影响是致命的;对控制信号执行不足的分析,说明了执行器的设计与维护的重要性,输入准确不代表执行准确,必须对执行器的设计加以重视,同时加强执行器的日常维护;对过晚下达导引律的分析可以用来改进信号通道的延迟设计,并且这样的分析延迟对传输信号的材料、制导计算机的处理速度以及设计控制律的过程中需要把控制延迟考虑的更加周全提出了更高的要求。

猜你喜欢
舵机安全控制角度
建筑工程管理质量与安全控制探究
关于加工企业的食品安全控制行为分析
直升机某型舵机自动测试系统设计分析
工民建施工现场质量安全控制路径研究
建筑施工现场的安全控制
基于速度观测的双余度电液舵机系统容错同步控制
一个涉及角度和的几何不等式链的改进
角度不同
人啊
超音速舵机保护器