弹性PNT概念内涵、特征及其辨析

明 锋,杨元喜,曾安敏,任 夏

(1. 地理信息工程国家重点实验室,陕西 西安 710054; 2. 西安测绘研究所,陕西 西安 710054)

以天基无线电导航为代表的,能够提供定位、导航与授时(positioning,navigation and timing,PNT)服务的系统已成为现代社会正常运行不可或缺的基础设施。交通运输导航、通信、互联网的时间同步、军事行动定位、导航与定时、金融、电网的时间同步等,都需要高精度、高连续、高可靠的PNT技术;正在发展的物联网、自动驾驶及智慧城市等同样需要可靠的PNT支持。然而,由于天基无线电导航信号具有落地电平低、易受干扰、易受欺骗、易受遮挡等脆弱性和局限性,PNT服务的降级或拒止风险越来越大,对关系国家安全和社会经济正常运行的关键基础设施造成巨大影响[1-3]。各国政府机构、军方、商业公司,以及国内外学者对天基PNT系统的脆弱性进行了广泛、深入的研究[4-9]。美国最早意识到天基无线电导航的脆弱性,并开始研究PNT发展战略,2008年发布国家PNT架构最终报告,2010年公布其实施计划[10-11]。2021年发布《美国国家PNT弹性提升研发计划》报告,旨在提高关键基础设施的弹性,提高美国PNT的弹性[12]。美国陆军、空军也一直在寻求全球定位系统(GPS)的替代方案,研究、开发可替代技术[13-14]。

本文在对可靠性概念和指标分析的基础上,尝试对弹性及弹性PNT的概念进行辨析,重点探讨弹性PNT概念的起源、特征及弹性指标,最后进行总结。

1 从可靠性到弹性——相关概念辨析

1.1 可靠性概念

可靠性是产品的重要质量特性,表现为产品在长期使用过程中的性能稳定性和故障发生频次[15]。若产品在使用过程中稳定性差、故障频发,则表明产品可靠性相对较低。因此,可靠性关系到产品能否使用、是否耐用。可靠性是一种以时间为导向的质量[16]。由于产品的未来性能总是存在不确定性,因此可靠性是一个随机变量,进而可用概率方法进行描述。可靠性一般定义为产品在其生命周期条件下,在给定时间间隔内按预期运行的概率[16]。需要指出的是,可靠性并不是一个单一的量,而是一个复杂的理论体系,有不同的量化指标[15]。对可靠性概念全面而深入的讨论已超出本文的研究范围。常用的可靠性指标包括4类参数[15]。

(1)基本可靠性参数:如反映使用要求的平均维修间隔时间(mean time between maintenance,MTBM);用于设计的平均故障间隔时间(mean time between failure,MTBF),又称平均无故障工作时间,描述系统从发生故障到维修结束之间时间段的平均值;失效前平均时间(mean time to failure,MTTF),指产品从开始使用到失效前工作时间(或工作次数)的平均值;平均修复时间(mean time to repair,MTTR),指可维修产品的平均修理时间等。

(2)任务可靠性参数:如平均致命性故障间隔时间(mean time between critical failure,MTBCF)、任务可靠度等。

(3)耐久性参数:如使用寿命(首次翻修期、翻修间隔期限)、贮存寿命等。

(4)贮存可靠性参数:如贮存可靠度等。

基本可靠性参数描述的是随时间推移的平均概率,是建立在大量样本数据基础上的“统计平均”,反映的是系统全概率意义下的风险。另外,耐久性参数、贮存可靠性参数仅适用于需求、系统设计及环境不变的情况;当系统内部组件已随时间老化或外部环境发生显著变化时不再适用。

1.2 弹性概念

“弹性”一词最初起源于拉丁语“resiliere”,意思是“反弹”[17],体现的是一种状态破坏事件发生后系统恢复到正常状态的能力。一个具有弹性的实体或系统,在遇到自身可承受的压力时,会暂时偏离正常状态,而不是功能性失效。

近年来,弹性概念已经在很多学科得到广泛应用,如社会学[18]、生态学[19]、心理学[20]、经济学[21]、工程学[22]等。同时,弹性概念也被广泛应用于各种政策领域,包括国家安全、公共卫生、金融管理等。也有国内学者将弹性概念应用于系统工程[23]、电网[24-25]、网络[26]等。鉴于弹性概念应用的广泛性及内涵描述的多样性,不同行业、领域根据自身特点,分别给出了各自的弹性定义[27-30]。

弹性概念的发展是伴随复杂系统的发展而提出的。复杂系统通常定义为由许多相互作用的部分组成的系统,并呈现出这些组成部分所不具备的集体行为特征,包括时空结构的层次性或多尺度性、动态作用的非线性、整体大于部分之和的涌现性等[31]。随着各类系统复杂性的增加、系统组件间耦合的扩散、自主性的引入、系统功能的增加及外部干扰可能性的持续增加,复杂系统所面对的不确定性因素增多。特别是紧耦合的方式使得某一故障更容易在系统内部迅速蔓延,可能引起性能严重损害,即发生连锁故障,该类型的故障即“单点故障”。与此同时,系统外部干扰、威胁的形态及危害程度也随技术的发展而不断演变。复杂系统内、外环境的变化使得仅靠可靠性设计很难保证正常运行,因而迫切需要系统具有主动适应威胁、减弱风险及遭受干扰后快速恢复满足用户性能指标要求的能力。

弹性理论承认系统故障的不可避免性,考虑包括小概率高风险事件在内的所有危害和事件,强调系统抵制各种危害、承受故障后果及快速恢复到正常运行状态的能力。对于性能描述而言,弹性是可靠性概念在性能维度上的延展;对于系统设计角度而言,弹性概念的引入是将复杂系统设计思想从静态性能和组件故障预防扩展到主动适应和解决系统内、外潜在的中断或干扰[32]。

1.3 弹性与可靠性对比

对于概率论的角度而言,弹性与可靠性所对应的系统在不同概率事件下的性能损失风险可用图1表示[33]。

图1 系统性能损失概率(p)与系统损失量(x)示意

可靠性通常反映的是系统在“全概率”意义下的平均风险,即

(1)

而弹性反映的是系统在条件概率意义下的风险,即小概率高损失事件下的风险,即

(2)

可以看出,可靠性是对一段较长时段内系统性能状态的评估,这种“全概率”意义下的平均风险主要针对高频发低风险事件。因此,无论系统可靠性多高,都可能因不可预测的风险而导致性能降低甚至失效。即可靠性无法描述未知的、突发的、极端的外界风险,而该类风险往往能够对系统性能造成严重损害,这恰恰是弹性研究的内容。显然,弹性是对可靠性概念的有效补充。

对于系统性能状态而言,实际中系统在正常和故障状态之间还存在1～N种性能降级状态,即具有连续多态性。对于此多态系统采用“正常”和“故障”的二态性可靠性理论进行可靠性建模、设计、分析、评估,不足以全面描述系统的性能特性。因此,弹性所描述的多态性更符合实际。

弹性与可靠性之间既有联系也有区别:一个不可靠的系统很大可能是缺少弹性的,更容易遭受连锁故障;然而,一个高可靠性的系统并不总是具有高弹性。弹性与可靠性的对比见表1。

表1 弹性与可靠性的对比

2 弹性PNT回顾

为了对相关概念进行明确的辨析,将以全球导航卫星系统(global navigation satellite system,GNSS)为代表的PNT技术称为天基PNT信息基础设施,而将能够为用户或平台提供PNT解决方案的软件、硬件的集成称为PNT系统,即PNT终端。PNT信息基础设施提供相应的PNT信号源,PNT系统则可能集成多种接收设备,可同时接收、处理不同技术的PNT信号。更详细的名词解释可参考附录。

2.1 天基PNT信息基础设施的脆弱性

天基PNT信息基础设施是一个典型的复杂系统。按空间域可划分为空间段、地面段、用户段3部分,不同部分均受内、外部多类扰动的影响[34]。除了常规设备故障外,另有2类扰动事件会对该设施产生重大影响。以GNSS技术为例:一类是低频发的极端事件,如运行控制系统中断、时间系统失灵、电离层闪烁、战时攻击、恐怖袭击等,会导致设备故障,甚至PNT不可用,造成极大的损失;另一类是高频发、渐进式加剧的小干扰事件,如人为的无意干扰、欺骗等,会产生定位精度降低、信号失锁等不良影响。为抵防、削弱此类影响,亟需采用相关措施提高PNT服务的可用性,而弹性这一概念正好弥补了可靠性的不足。

2.2 PNT系统的弹性

目前,不同用户的PNT系统通常是针对某PNT技术,采用不同硬件和软件组合,针对特定应用程序开发的,仅能满足特定环境下特定用户的需求。为了减少对天基PNT信息基础设施的依赖,PNT系统或终端通常会集成、处理多类不同机理的PNT源。随着用户在城市峡谷、室内、地下或水下等更具挑战性环境中的需求不断增加,对精确性和可用性的要求也越高,进而导致PNT系统的脆弱性更加多样。在军事领域的强电磁对抗环境下,作战需求的多样性、干扰的不可预知性更是对PNT系统的生存性、可用性、完好性提出了更加苛刻的要求[35]。

综上所述,构建PNT系统时,确保系统高可靠性、高可用性、高连续性变得更加迫切。对于PNT用户而言,弹性PNT的解决方案需要寻求主动监控、被动备份及智能补偿途径。在各种信号拒止或干扰环境下,寻求能够有效替代、增强和缓解的措施,抗击不可预测的自然、人为攻击等扰动事件,防止PNT系统性能失效;当外界威胁或干扰消失后,能迅速恢复至正常状态,从而能够提供高可用性、高连续性、高完好性的PNT服务。

随着PNT技术的快速发展和广泛应用,PNT领域的弹性概念应当清晰、可量化,但目前弹性PNT的定义还未达成一致。在政府层面,2013年美国发布的《关键基础设施安全和弹性》[36]中定义弹性为:准备和适应不断变化的条件,以及抵御和迅速恢复中断的能力,包括抵御蓄意攻击、事故或自然发生的威胁或事件并从中恢复的能力。虽然该定义并不是针对PNT系统的,但实际上已成为美国政府各部门实施弹性PNT的指南。在学术界,国内外学者从不同角度对弹性PNT给出了相应定义,并对其内涵进行了分析和探讨,如弹性PNT用户终端[37]、弹性PNT系统[38-39]、弹性PNT体系[40-41]。

需要指出的是,除弹性PNT外,还有可信PNT(assured PNT)[42-43]、可替代PNT(alternative PNT)[44]、综合PNT体系[45]等概念。表2列出了部分行业或研究领域对弹性的定义或描述。

表2 部分行业领域给出的弹性定义

由表2可以看出,不同行业或领域的弹性定义各有侧重点,在PNT领域也有不同尺度的定义(PNT体系和PNT系统)。国内学者杨元喜首先在体系层面给出了弹性PNT体系的定义,并给出了独具特色的弹性体系框架,其核心思想是多传感器的弹性集成、弹性函数模型和弹性随机模型建立,以及弹性数据融合[40-41]。其中,多源传感信息弹性集成是指“系统弹性”,以实现多源信息的互补性;弹性函数模型是指“感知信息弹性自补偿”;弹性随机模型是指“不确定度自校正”;弹性数据融合是指“体系柔性”。虽然上述定义大多属于描述性,且没有明确与之相关的具体指标,但具有两个明显的共同点:①强调弹性是一种能力和过程,而非结果;②强调弹性是一种适应性,能够随时间或条件的变化而变化。

3 弹性PNT系统特征及其指标

3.1 弹性PNT系统的特征

表2中的弹性定义侧重描述了各类系统弹性关键特征。通过借助预测、吸收、适应、恢复等手段,提升系统的适变能力,使相应系统从静态工作模式发展到动态自适应工作模式,同时,通过不断加强和完善自我感知、自我调整、自我学习的能力,最终朝智能化方向演进[40,53],如图2所示。

图2 弹性PNT系统基本特征

弹性PNT系统特征也可用系统性能随时间变化曲线表示,如图3所示。作为对比,将非弹性PNT系统的特征也一并显示(图3中虚线)。

图3 小概率高风险事件下弹性PNT性能曲线

由图3可以看出,对于时间轴而言,弹性PNT系统具有以下3个阶段的特征。

(1)当系统遭遇扰动事件前,有能力针对可能的风险作出相应的准备与预防。

(2)当系统遭遇扰动事件时,有能力充分地抵御、响应、适应性补偿,以及进行可能的降级(“优雅”地降级)。

(3)当系统遭遇扰动事件后,有能力快速恢复到事先用户设定期望的正常状态(注:该状态不一定与扰动事件前状态一致,但仍能满足用户的指标要求)。

上述3个特征表明,相对于可靠性,弹性PNT主要考虑了系统不同状态之间的转换,不仅侧重于扰动前的预防、抵御,且着重于系统抵御异常的手段和恢复时间,尽可能达到最大的可用性。这也是弹性与可靠性最主要的差别,反映系统在极端事件下的现实妥协与应对能力。系统的弹性决定了系统性能下降的大小,以及恢复到扰动事件前正常状态(或其他层级性能状态)所需的时间间隔。

表3为系统在不同时间段,不同状态下的主要特征。

表3 弹性PNT系统的主要特征

3.2 PNT系统的弹性指标和度量

弹性指标必须反映潜在的弹性目标,而弹性指标的度量必须源自适当的系统特征定义。特征定义必须具有自身的固有属性才能有利于系统设计。实际中PNT系统的主要弹性目标应依据用户实际需求,可能集中在极端事件后PNT系统服务的快速恢复性,也可能集中在服务平台的安全性[40]。

表3中弹性不同阶段的特征大多仅是一个定性描述,很难进行量化,不利于实际应用。在理想情况下,实际度量弹性时,应将上述特征进行分解、细化至数据要求简单、易于计算和理解的指标,以达到可量化的目的。如快速性可用PNT服务恢复时间,恢复性可用系统PNT服务恢复水平、恢复成本等指标衡量。然而该领域还未有相应的行业标准。最近电气和电子工程师协会批准编号为P1952的项目,旨在制定PNT用户设备弹性标准。国内有学者根据研究对象特性提出采取定量、半定量或定性描述等形式描述弹性指标[41],国外还有学者提出弹性三角、弹性曲线等指标,但计算复杂度较高[29,54]。笔者建议PNT系统弹性指标的设置应针对用户需求,聚焦弹性目标,且各利益相关方尽可能达成最大共识,以更好地促进弹性PNT的发展,这也是弹性PNT领域研究的重点和难点之一。

3.3 PNT系统弹性与其他性能指标之间的关系

PNT系统的性能可以通过准确性、完好性、连续性、可用性进行描述[55-56]。PNT系统弹性与精确性、完好性、连续性、可用性的关系如图4所示[57]。各指标的含义如下[57]。

图4 PNT系统弹性与其他性能指标的关系

(1)精确性指观测值与真实值之间的偏差,是PNT系统性能金字塔的基础和起点,一般以一定的置信度表示。

(2)完好性描述了系统提供的PNT解决方案的正确性,以及当系统提供的PNT解决方案不可用、不可靠时向用户及时预警的能力。完好性和精确性的定义之间存在直接联系,因为当PNT系统提供的解决方案不在置信区间时,系统不具备完好性。

(3)稳健性的概念可参考表3。若系统不具备稳健性,当发生微小扰动时,系统可能会显著降低PNT服务性能甚至失效。

(4)连续性指系统在没有故障或中断的情况下运行的能力,一般用系统在一定时段内保持精确性和完好性的概率进行描述。显然,连续性建立在完好性和稳健性之上。

(5)可用性一般定义为MTTF/(MTTF+MTTR),是可靠性与维修性综合后的尺度。由定义可以看出,为了提高可用性必须最大化MTTF,同时减小MTTR。这就要求PNT系统提供的解决方案必须符合精确性、完好性、连续性要求。因此,可用性是基于一定程度的精确性、完好性、连续性的假设。

(6)系统弹性的最终目的就是PNT服务无论何时、何地,尽可能达到最大限度的可用性。因此弹性是PNT系统性能金字塔的顶点,与可用性直接相关。同时,弹性也必须建立在精确性和稳健性基础上,即当系统遭受小概率高风险扰动时,仍能提供满足用户指定精度要求的PNT服务。

4 结论与展望

近20年来,随着天基无线电导航技术的快速发展,天基PNT信息基础设施与人们的日常生活已紧密结合在一起,成为关系国家安全和经济社会正常运行的重要基础设施。然而,由于天基PNT的天然脆弱性和人为干扰等事件日益增加,构建弹性PNT体系成为PNT技术发展的必然要求。

(1)弹性概念的提出是对传统可靠性和风险概念的延伸和扩展,已成为复杂系统设计的一个重要指导原则。弹性PNT概念的提出既合乎PNT体系复杂系统建设和发展的需要,又合乎现今经济社会发展的亟需。基于综合PNT基础设施的弹性PNT应作为国家关键基础设施安全运行的重要技术途径。

(2)具有理想意义的弹性PNT系统应是一个具有“正交漏洞”的“系统之系统”。各种PNT技术均有优缺点,任何单一的技术都无法满足所有用户在各种环境下对可用性的需求。因此,未来弹性PNT系统必然是多系统、多技术、多传感器的弹性融合。

(3)弹性PNT研究涉及多种新技术,应进一步加强前沿技术攻关,如芯片级原子钟技术、量子导航技术等,持续支持PNT领域相关基础科学研究,促进理论创新。

附录:与PNT相关的名词

(1)PNT:美国交通部将定位定义为,精确且精密地确定目标的位置;导航定义为,确定当前和期望的位置;授时定义为,获取时间信号并保持计时精度[58]。

(2)PNT信息基础设施:指能够提供PNT服务的、由国家或商业部门投资建设的系统,如天基的GPS、BDS、铱星卫星授时和定位服务,以及地基的增强型低频远程导航系统等;又如基础数据库,如行星历表、高精度重力异常图、地磁异常图等。

(3)PNT源:指能输出全部时间、位置、速度信息或其中部分信息的系统组件,如GNSS接收机、本地时钟、惯性导航系统等。

(4)PNT解决方案:PNT系统或PNT源可以提供全部时间、位置、速度信息或其中部分信息,如GNSS接收机供完整的PNT解决方案,而本地时钟仅提供时间。

(5)PNT系统:指能够为用户输出PNT解决方案的组件、流程、参数等硬件和软件的集成。

(6)PNT体系:包含PNT信息基础设施、PNT源、PNT系统、PNT解决方案的一整套体制和机制。

(7)PNT系统的脆弱性:指系统易于被利用、易受特定威胁或危害的物理特征或操作属性,是系统的内部特征,由系统对各类威胁的敏感性和应对能力组成。