基于STPA的鱼雷发射安全性分析

秦 楠，马 亮，周 杰，魏 勇

(海军潜艇学院， 山东 青岛 266000)

潜艇鱼雷武器发射过程是典型的高风险过程，一旦出现安全性问题，将导致发射任务失败，甚至造成重大人员、装备损失。在鱼雷发射阶段，人员精神高度紧张，可供操作员反应和处理特情的时间极短。发射过程涉及多个子系统，操作员、指挥员、发射控制程序、发射装置，武器等构成了一个复杂系统，影响系统安全性的因素倍增，对其安全性分析构成了新的挑战。目前，在装备安全性分析领域主要采用故障树分析(FTA)[1]、事件树分析(ETA)[2]、故障模式影响及危害性分析(FMEA)[3-4]等可靠性分析技术，这些传统技术都是基于事件链的事故致因模型[5]，即认为安全问题是由于部件失效引起的，并且认为事件之间直接线性关联。这些方法通过对事件的可能性和严重性进行计算来评估安全性，便于理解和量化，在过去的安全分析中发挥了重要作用。然而，现代复杂武器系统的安全性问题往往是在硬件故障、软件需求缺陷、人为错误、环境影响等因素综合作用下产生的，基于组件故障的传统方法已不再适用于这类复杂系统的安全性分析。本研究拟采用新的系统理论过程方法，从控制角度对潜艇鱼雷发射安全性进行分析。根据系统建模，识别潜艇鱼雷发射过程中的潜在不安全控制行为，并对其进行致因分析，通过定量计算对安全性分析结果进行验证。

1 STAMP/STPA原理

为了克服传统事件链致因模型及安全性分析方法的局限性， Leveson[6]在系统论和控制论基础上，提出了基于系统理论事故模型过程(System Theoretic Accident Model and Processes,STAMP)及相应的安全性分析方法系统—理论过程分析(System Theoretic Process Analysis，STPA)。STPA从系统层面识别可能导致危险状态的潜在不安全控制行为，并针对具体的不安全控制行为进行致因分析。其简要实施流程主要分4步：① 系统级危险分析；② 层次控制结构建模；③ 识别不安全控制行为并定义系统安全约束；④ 致因场景分析。目前，STPA技术已经成功应用于航天[7-8]、交通[9]、能源[10-11]等诸多领域。然而，在使用STPA方法进行安全性分析时仍然面临着以下挑战:① 缺乏严格的数学基础；② 难以对分析结果进行定量计算；③ 缺乏较为合理的验证方法。本研究在传统STPA分析的基础上，构建鱼雷发射安全性计算分析框架，开展针对不安全控制行为的定量计算分析，对安全性分析结果进行验证。

2 鱼雷发射阶段的不安全控制行为分析

2.1 系统级危险分析

在鱼雷发射过程中，首先由平台探测系统跟踪并收集目标信息，经指控设备确认目标后，由指挥员下达攻击指令，系统检查准备完毕后，由操作员向系统输入发射指令，控制发射装置将鱼雷发射出管[12]。目前，新型潜艇上普遍采用的液压平衡式发射装置是利用同轴的双头活塞将发射气缸和水缸连接，在压缩空气的作用下由气缸活塞带动水缸活塞，将海水泵入发射管从而推动管内武器出管，其工作流程如图1 所示[13]。

图1 液压平衡式鱼雷发射装置工作流程框图

本文具体研究的发射阶段是指挥员向鱼雷武器系统下达发射指令后，鱼雷在发射管内解脱制动，运动至完全离艇的阶段。当鱼雷尾部离开发射管口时，其所受的约束解除。然而此时，鱼雷内部操纵系统尚未开始对其进行有效控制，鱼雷处于非稳定运动阶段[14]。因此，这也是关系到发射安全的关键阶段。此阶段的系统级事故主要有：A-1人员受到严重伤害或死亡; A-2装备损坏或丢失; A-3发射任务失败或无法完成。系统级危险及其关联的系统级事故如表1所示。其中，H-2中的“卡管”是指鱼雷不能正常出管而造成发射失败的现象，包括“全卡管”(鱼雷在发射管内未动作)和“半卡管”(鱼雷仅部分出管)两种情况[15]。H-3中的操纵性损失是指鱼雷在初始阶段产生过大的袋深或跳水。

表1 鱼雷发射阶段的系统级危险

2.2 鱼雷发射过程控制结构建模

为了进一步分析潜在的不安全控制行为，在系统级危险分析的基础上，根据潜艇鱼雷发射流程及发射系统组成，建立鱼雷发射过程控制结构模型，如图2所示。在控制结构中，指挥员通过发布指令，对操作员施加控制，并以报告和执行情况的形式收到反馈。操作员通过界面操作来控制发射系统，并通过显示器接收反馈和警报。控制系统软件通过传递数据和指令对发射装置进行控制，并接收武器的数据和状态反馈。

图2 鱼雷发射过程控制结构框图

2.3 识别不安全控制行为

在潜艇鱼雷发射过程中主要的控制行为有提供潜艇航速、下达发射指令、提供发射能量、解脱武器制动、输入发射参数、检查发射装置并确认武器通道，其行为主体分别为发射装置、指挥员和操作员。STPA方法将不安全控制行为导致危险的情况分为4类：① 未提供控制；② 提供控制；③ 提供控制的时机或顺序错误；④ 控制行为持续时间过长或者过早停止。对每一项不安全控制行为(Unsafe Control Actions,UCA)逐一进行分析评估，如表2所示。

表2 导致危险的不安全控制行为

2.4 不安全控制行为的致因分析

为了保证系统安全性，必须对识别出的潜在不安全控制行为进行致因因素分析。传统STPA方法[6]在致因分析中不区分自动控制器和人类控制器，忽视了人类和自动化机器之间的重要差异。对于自动控制器来说，UCA 常由与控制器有关的故障导致。例如，由于电源故障等因素导致自动控制器故障。而对于人员控制器来说，UCA常由控制算法不当造成。此时，控制算法也可视为决策过程，受培训规章、操作流程以及经验等多种因素影响。

针对鱼雷发射过程中系统软件与人员操作频繁交互的特点，对传统STPA致因分析模型进行改进，将自动控制器(发射装置、发射控制系统)和人类控制器(指挥员、操作员)分开讨论。对于在2.3节中分析得到的不安全控制行为，从系统层面分析其致因因素，如表3所示。

为说明STPA在鱼雷发射安全性分析中的有效性，构建了鱼雷发射安全性计算分析流程框架，如图3所示，选取了不安全控制行为UCA1(发射装置未提供足够的发射能量)和UCA7(指挥员在执行发射任务时提供了较高的艇速)为具体分析对象。由于UCA1可能导致的危险具体体现为对鱼雷出管速度这一关键运动参数的影响。因此本研究以鱼雷出管速度和潜艇航速为控制变量，针对鱼雷离艇阶段的运动，进行安全性计算分析。

图3 鱼雷发射安全性计算分析框架3鱼雷发射安全性计算分析流程框图

3.1 鱼雷离艇运动特性分析

当发射能量使鱼雷后端离开发射管的前端时，主机还处于启动阶段，螺旋桨产生的推力很小，鱼雷在惯性的作用下继续向前运动，同时在负浮力的作用下下沉。鱼雷出管后不仅在垂直面运动，在水平面也可能产生偏离运动，为了保证发射鱼雷时潜艇的安全，通常在发射管管口向外作一个圆锥体，在这个圆锥体内不布置任何其他零件或部件，通常称之为战斗锥度，其垂直平面如图4所示。鱼雷离艇时，若雷体在此战斗锥度内并离锥面有适当距离，则能够保证其安全，否则就有与发射平台碰撞的危险[16]。

图4 武器出口部结构示意图(垂直平面)

在此阶段，由于复杂的水动力环境因素，难以准确检测。目前，采用的基本研究手段是计算机模拟。为了便于和能够实现模拟，对有关条件作必要的假设：① 鱼雷后切面刚脱离发射管前切面时，鱼雷纵轴与发射管纵轴线保持平行；② 鱼雷从发射管射出后仅在垂直面内运动；③ 鱼雷圆柱体部分离开发射管后，在浮力作用下运动，重力、浮力及流体动力作用在鱼雷的重心上；④ 武器出口部的流体动力影响暂不考虑。在实际发射过程中，当鱼雷尾部离开发射管时，鱼雷才开始做垂直面上升或下降运动。在这种假设条件下，鱼雷离开潜艇艇体的时间增加，则鱼雷在垂直面上运动的位移增大。同时，由于未充分考虑流体动力等环境因素影响，在此假设下得到的结果是偏于安全的。

3.2 鱼雷离艇运动学方程

鱼雷的下沉运动表达式为[16]：

(1)

将式(1)积分后可得鱼雷下沉的速度：

u=umtanhαt

(2)

鱼雷下沉的距离：

(3)

鱼雷轴向运动方程为：

(4)

式中：Cx为鱼雷正面阻力系数；S为鱼雷横截面面积(m2)；vl为潜艇航速(m/s);Ax为阻力系数，Ax=CxρS/2。

对式(4)积分后可得鱼雷的行程为：

(5)

式中：vl为潜艇航速(m/s)；a为参数，a=Ax/m；b为参数，b=1/(vl+vc)，其中vc为鱼雷的出管速度(m/s)。

由式(3)和式(5)可以计算出负浮力雷尾鳍下端点的运动轨迹，根据该轨迹相对于战斗锥的位置，可以确定鱼雷在出口部上的安全性。

3.3 计算结果分析

选取鱼雷出管速度和艇速作为控制变量，运用MATLAB对鱼雷离艇运动方程进行仿真计算。设鱼雷质量为1 850 kg，鱼雷圆柱段直径为533 mm，海水密度为1 040 kg/m3。鱼雷出管速度取8、10、12、14 m/s，共4个取值点；潜艇速度取6、10、14、18kn，共4个取值点，通过仿真得到鱼雷的运动轨迹如图5、图6所示。

图5 鱼雷出管速度对下沉量影响曲线(艇速(kn))

图6 艇速对下沉量影响曲线(鱼雷出管速度(m/s))

从计算结果可以得出，鱼雷出管速度和艇速的变化对鱼雷发射阶段运动的影响较为明显。鱼雷的下沉量，随着潜艇速度的增加而增加，随着出管速度的减小而增加。综合图5和图6考虑，鱼雷出管速度过低、发射鱼雷时潜艇航速过高均会影响发射安全性。当鱼雷出管速度低至8 m/s，或发射鱼雷时潜艇以18 kn以上航速航行时，鱼雷下沉量大于发射平台高度0.13 m，存在碰撞发射平台的危险。因此，要保证发射安全性，必须对鱼雷出管速度和艇速这2个关键变量进行控制，在满足潜艇机动的前提下，适当降低潜艇发射鱼雷时的艇速，同时提高出管速度。

4 结论

1) 通过采用系统理论的STPA方法对潜艇鱼雷发射安全性进行分析，可以识别出更多的系统性致因因素，克服了传统安全性分析方法在该方面的不足，为鱼雷发射安全性问题分析提供了新思路。

2) 通过对不安全控制行为进行计算分析，定量化地说明在一定范围内对不安全控制行为进行有效约束，有利于降低事故风险，保证系统安全性。

3) 在传统STPA方法基础上，结合计算机仿真，可以为由于人为因素、软件缺陷以及系统交互等原因引起的系统安全性问题提供定量分析。