郑 锦
(91404部队 秦皇岛 066000)
水面舰艇作战系统是由警戒探测设备、指控系统、武器系统、通信系统、导航系统诸多分系统和设备组成的复杂系统,在“正常”和“故障”两种状态之间还存在1~n种性能降级状态,具有连续多态性。对于这种离散多态系统采用现有的“正常”和“故障”“二态性”可靠性理论进行可靠性建模、设计、分析、评估难以全面刻画系统的整体特性[1]。
而系统弹性理论,关注于系统对扰动的承受和恢复能力,其度量的基础是系统性能在扰动前后的变化,尤其适用于作战系统这种连续多态系统。本文提出水面舰艇作战系统可靠性弹性理论设计研究。
弹性的英文单词resilience最早来源于拉丁语的“resiliere”,意思是“回弹”[1]。弹性一般是指一个物体或系统应对变化的能力。作战系统可靠性弹性是指作战系统在受到攻击或发生问题与故障时承受影响、平滑降级并以最小的影响恢复到初始状态的能力。弹性是作战系统这种包含信息空间和物理空间复杂系统,在不同空间表现的生存能力;是所有分系统和设备在发生问题和故障下仍能正常工作的概率;弹性是作战系统在发生问题或故障时保持最低正常运行的能力。主要体现在平滑降级能力、弹性生存能力、防御能力、恢复能力、鲁棒能力、不中断服务的能力等方面[1~3]。
根据弹性的定义,影响作战系统弹性的因素主要在于对作战系统功能、性能降级和恢复的影响,本节从作战系统的物理结构与组成特点出发分析影响系统弹性的内部和外部因素。
水面舰艇作战系统一般采用开放的分布式体系结构,统一的技术基础设施(包括作战系统网络、分布式资源管理系统和协同工作环境),构建公共计算环境,支持探测、武器、通信、指挥决策、气象水文等资源在系统内的共用;基于面向服务的设计思想,构建一体化、服务化的综合作战指挥控制系统,满足作战系统执行对空中、水面、水下警戒探测、打击、防御和非战争军事行动等多种作战任务的需求,将一系列计算单元和传感器天线、武器打击单元、公共显控等通过一体化网络高度集成与交互来提高系统在信息处理、态势融合、实时通信、精确打击控制以及组件自主协调等方面的能力,是时空多维异构的混杂自治系统。
作战系统以传感器天线、武器单元、公共显控、高性能运算计算机等硬件设施为基础,在硬件上搭载基础平台软件、支撑软件、应用软件等,同时,通过一体化网络进行互联互通,实现分布式计算、调度和控制。因此,从组成作战系统的产品属性角度,可将作战系统划分为硬件、软件以及由连接硬件、软件的一体化网络。这种网络架构是实现信息系统与物理系统融合统一的基础,将系统的态势感知、辅助决策、指挥控制和火力打击能力等通过作战网络实现交互和协作,使得整个作战系统处于最佳状态,充分发挥其作战效能。
造成作战系统功能缺失或性能降级的根本原因是指系统内部出现的问题和故障,不同的问题和故障会导致同一性能指标产生不同程度的性能降级,问题整改和故障归零的方式也不相同。
3.2.1 硬件故障
硬件主要包括机械产品与电子产品两大类。机械故障主要包括如零位变化、船体变形、零件裂纹、老化、磨损、腐蚀、松动、间隙不当、限位受损、压力不当等。电子产品的故障主要由偶然因素造成的,其故障模式较为简单,主要有开路、短路或漏电、参数漂移等。
3.2.2 软件问题
软件的问题主要来源于:软件设计的体系结构、逻辑流程、数学公式、算法模型等存在差错;代码编写错误,程序编写时没有完全按照需求进行设计。某一小的软件错误即可引起软件缺陷,缺陷造成软件功能失效。软件问题在整改过程中很有可能会引入新的软件缺陷,从而带来新的软件问题。甚至导致软件失效率升高,影响系统作战能力。同时,硬件故障有时也会带来软件的失效。
无论是硬件故障还是软件问题,都会导致作战系统部分功能或指标受到影响,甚至导致整个作战系统不能正常运行,降低舰艇的作战能力。减少作战系统故障与问题,提高系统可靠性,采用弹性策略对系统可靠性进行设计[4~5]。
为使作战系统在发生问题或故障而导致部分性能下降的情况下仍能具备一定作战能力,并能够尽快恢复到正常状态,需要从作战系统整个设计、建造过程中采取多项措施,使系统具备较好适应能力和最短恢复能力,即实现系统弹性,这些措施即为弹性策略。基于弹性的本质和对作战系统的影响因素,提出弹性策略的定义。
弹性策略,记为S,是在一定的约束条件下,以作战系统弹性为目标,对系统采取的弹性设计和建造措施的集合,如式(1)所示,即在一种弹性度量指标下,给定约束条件,对系统的弹性设计方法和建造措施进行设计和实现,以实现系统给定的弹性目标值[6]。
Ret为作战系统目标弹性值;f(·)为计算系统弹性的函数;S为弹性策略;D为弹性设计方法;C为建造措施;c(·)为约束函数。
从弹性策略的定义可以看出,系统的弹性策略包含四个方面,即弹性目标、弹性设计方法、建造措施和约束条件。本文从作战系统可靠性设计出发,重点探讨弹性目标、设计建造措施等方面。
根据弹性策略的定义,使得作战系统具有好的弹性是弹性策略要实现的目标,这一目标主要包含以下三个方面。
4.2.1 允许性能降级
作战系统在运行过程中的问题、故障和性能降级是时常发生的。因此,弹性策略的第一个目标是允许系统发生问题故障、性能降级。对系统弹性策略的分析都是建立在系统发生问题故障和性能降级的基础上[6]。
4.2.2 避免系统瘫痪
系统瘫痪是指系统功能的完全丧失。作战系统作为复杂系统,承载水面舰艇作战使命,是舰艇核心任务系统,执行全舰警戒探测任务,执行作战系统对空、对海、对水下等方面作战功能,系统的瘫痪会带来致命危害,会给全舰带来毁灭性打击害。因此,弹性策略的第二个目标是在系统发生降功能后,避免全系统瘫痪,并且保证系统仍然具备一定水平的作战能力。
4.2.3 期望损失最低
作战系统在降级模式运行时,由于不能达到要求的性能水平,会影响部分作战能力;且降级程度越高、持续时间越长,则造成作战能力下降越严重,甚至由于作战能力下降导致贻误战机而带来毁灭性打击。一方面,尽量减小作战系统性能降级程度可以减少损失,另一方面,缩短恢复时间即提高性能水平恢复的速率可以减少损失。因此,弹性策略的第三个目标是在系统发生性能降级后,将性能降级带来的损失减小到最低,提高系统生命力。
设计建造措施是指在系统设计实施阶段,对系统的硬件、软件、架构等进行合理配置。这类措施包括提高部件性能裕量、建立松耦合系统架构、提高系统环境适应性设计、加强安全性设计、实时系统状态监测、增强系统冗余设置、提升系统容错能力。
要使各分系统、设备、组成部件留出足够的设计裕量,以确保作战系统具备更好弹性能够抵御或吸收更大的载荷或冲击。根据作战系统性能指标的望小(STB)、望大(LTB)和望目(NTB)特性,性能裕量采用的计算方法如式(2)所示[6]。
式(2)中,Q为性能指标;m为性能指标Q的性能裕量;Qth为性能指标为LTB或STB时的故障判据;Qth,U为性能指标为 NTB 时的故障判据上限;Qth,L为性能指标为NTB时的故障判据下限。
增加部件性能裕度设计,提高系统冲击吸收、抗负载能力。性能指标的性能裕量m大小和不确定性分布,即部件性能裕量的程度和分散性是对弹性影响的重要因素。性能裕量值越大,表示该部件能够承受的冲击、负载越大;性能裕量的分散性越大,表示该部件承受冲击能力的不确定性越大,尤其是在承受的环境或工作载荷变化时,发生故障的可能性越大。从设计最初充分考虑性能裕量参数,提高系统抗冲击能力。
系统架构是指各部件的连接和层次关系。作战系统网络分层结构,分为物理层、链路层、网络层、传输层、应用层,上层隐藏下层的细节,上层统一下层的差异,上层弥补下层的缺陷和不足,各层之间呈单向依赖关系。系统架构对弹性影响的因素在于系统各分系统或设备之间的依赖程度,即系统各部件之间的耦合程度。无论物理连接还是逻辑连接,都构成了分系统和设备之间的相互依赖。紧耦合的方式易造成故障在作战系统内部的快速蔓延,使得开始的简单事故造成严重的后果。因此,作战系统在最初设计时应采取松耦合的方式,并且尽量使系统模块化、简单化,以减弱初始事故带来的损失[7]。
在作战系统设计最初,应充分考虑系统受到温度、太阳辐射、淋雨、雷击、盐雾等自然环境影响;系统各部件应承受主机、螺旋桨引起的船体振动,承受倾斜和摇摆;系统各设备应能承受作战和航行时受到的非重复性强烈冲击;系统各设备在作战和航行时,应能耐受由波浪冲击(艏底冲击、甲板上浪、艉击等)引起的重复性低强度冲击,提高系统在不同环境下能够连续稳定工作的环境适应性。
环境适应性对弹性的影响因素在于环境适应性的粒度和层级。环境适应性的粒度根据作战系统的系统层次可以划分为系统层、分系统层、设备层等,环境适应性的粒度越细,对系统的保护越严密,覆盖范围越广,能够抵御的外部干扰越多[8]。
作战系统的安全性包括舰员安全、设备安全、信息安全、使用安全,在进行安全性设计时,应采用弹性策略设计。在武器发射火焰排放和碎粒喷射、强功率射频系统辐射、武器发射装置调舷/射击/排壳/补弹等设计时,应充分考虑舰员及设备的安全性;作战系统应根据有关系统(设备)的特点进行有关机械、电气、防火、防爆、防毒等安全设计,并应充分考虑弹道交叉等火力兼容问题对本舰船体、舰载机及舰员可能造成的伤害;作战系统应充分考虑本舰平台内以及跨平台互连/互通/互操作过程中的信息安全问题。
加强安全防护设计,使系统能够抵御或吸收更大的载荷或冲击的弹性越高,同时安全防护的粒度和质量也可对弹性造成影响,安全防护的粒度主要体现在系统层次划分上。划分的系统层、分系统层、设备层等层级越多,安全防护的粒度就越细,同时对系统的保护越严密,覆盖范围也更广泛,可抵御的外部干扰就越多。且安全防护的质量越高,能够抵御或吸收冲击的可能性越大。
作战系统需具备对系统内所有组成分系统、设备的状态监控能力。对系统状态进行实时监控不仅能够时刻了解系统运行状态,也方便系统在发生故障时查找原因,迅速进行故障定位、隔离和复位。状态监测需要使用数据获取设备和信息监测设备,实现系统状态监控需要配置视频传感器、监测传感器等设备收集信息,并安装相应状态监测软件和可视化界面。首先要确定需要监控的主要功能部件和必要监测的数据,其次是输入系统正常运行时的数值变化范围。监控设备实时收集这些数据并同时进行存储、处理和显示。监测系统将判断这些数据是否在正常范围内,出现异常即触发警报,系统自动报警。如火力交叉冲突告警。
实时系统状态监测,可时刻了解系统状态,避免出现误差积累,使作战系统发生问题与故障时承受影响得以及时控制、且以最小的影响恢复到初始状态。状态监测的粒度、灵敏度和精准度是影响弹性的重要因素。状态监测的粒度主要是指系统监控层级划分,层级越多,状态监测的粒度越细,同时对系统的监测就越严密,覆盖范围也更广泛,可以监测的系统状态越多。状态监测的灵敏度是指对待监测系统、分系统状态变化的敏感程度,敏感度越高,能够监测到问题和故障越精细。状态监测的精准度是指系统或分系统状态监测的准确性,精准度越高,则故障定位的准确性越高[9~10]。
冗余配置是保证系统运行的一项常用的措施。在作战系统中,关键设备冗余备份,主要包括四部分:数据网络冗余备份,视频总线冗余备份,显控台及应用软件冗余备份、接口设备冗余备份。
增强系统冗余设置,使某一分系统或设备、部件等发生问题和故障时对系统的影响最小,冗余配置的粒度和质量是影响弹性的重要因素。冗余配置的粒度主要是指系统冗余配置层级划分,层级越多,冗余配置的粒度越细,则发生问题和故障后可切换备份的部件越多,对作战性能造成的影响越小。冗余配置的质量是指冗余切换的成功率,成功率越高,对系统正常运行影响的可能性越小,达到在系统冗余切换过程中不影响系统战技性能[11~12]。
容错能力一般是指系统对错误和故障的容忍能力,即在发生错误或故障后,也不会发生系统运行错误或状态卡死。在最初设计时充分考虑系统容错能力,提升作战系统在发生故障和错误时的可靠性弹性。首先,系统可通过分系统或设备功能自检模块对错误或故障进行自动检测,可提前发现问题。其次,系统在发生故障或问题后可通过参数自适应调整对物理层的结构变更实现弹性;再次,通过链路层的容错拓扑构成改变传感器、指控等网络的拓扑结构实现容错,提高系统弹性。
提升系统容错能力,使系统在发生错误和故障时,仍能够保持一定程度的正常运行。容错设置对系统外部干扰和内部故障容忍和屏蔽的覆盖程度是对弹性影响的重要因素,容错设置的覆盖程度越大,能够屏蔽和隔离的外部干扰和内部故障就越多,则外部干扰和内部故障对系统作战性能影响就越小。
可靠性作为水面舰艇装备通用质量特性之一,是影响水面舰艇作战能力发挥的重要性质,可靠性贯穿整个作战系统全寿命周期。本文基于弹性理论对于作战系统这种复杂物理系统的可靠性设计进行分析,提出可靠性弹性策略,旨在更好地提高作战系统可靠性。