導(dǎo)彈攻擊過(guò)程的STAMP/STPA任務(wù)失效及仿真研究*

李 俊，胡劍波，王應(yīng)洋，邢曉波

(空軍工程大學(xué)裝備管理與無(wú)人機(jī)工程學(xué)院，西安 710051)

0 引言

安全性是系統(tǒng)的涌現(xiàn)特性，傳統(tǒng)的安全性分析方法例如故障樹分析方法[2]是基于事件鏈的安全分析方法，但其基本事件的選擇具有較強(qiáng)的主觀性，同時(shí)分析人員難以掌握系統(tǒng)中的各個(gè)事件對(duì)系統(tǒng)的影響，因此難以得到導(dǎo)致事故的真正原因。隨著計(jì)算機(jī)的廣泛應(yīng)用，以及系統(tǒng)設(shè)計(jì)的復(fù)雜性和耦合性不斷增強(qiáng)，組件交互、軟件設(shè)計(jì)缺陷、人員溝通錯(cuò)誤等新型事故致因的出現(xiàn)使得人們認(rèn)識(shí)到傳統(tǒng)的安全分析方法難以滿足復(fù)雜系統(tǒng)的安全性需求，迫切需要一種更加全面系統(tǒng)的安全分析方法。

安全性對(duì)于武器裝備來(lái)講，主要在于武器裝備是否能夠完成任務(wù)，以導(dǎo)彈攻擊過(guò)程為例，除了導(dǎo)彈本身材料等對(duì)導(dǎo)彈執(zhí)行任務(wù)能否完成的影響需要考慮之外，設(shè)計(jì)合適的導(dǎo)引律是至關(guān)重要的，另外如何針對(duì)實(shí)際情況，及時(shí)正確使用導(dǎo)引律顯得更為關(guān)鍵。如何精確打擊到目標(biāo)對(duì)導(dǎo)引律設(shè)計(jì)者提出了新的要求——彈道高度和擊中目標(biāo)的角度，因此需要進(jìn)行帶有攻擊角度約束的導(dǎo)引律的設(shè)計(jì)，從而提高導(dǎo)彈的打擊精度和殺傷力，更好的完成戰(zhàn)斗任務(wù)。過(guò)去學(xué)者們研究導(dǎo)彈的安全性，總會(huì)聚焦在消除抖振[4]以及導(dǎo)引律的設(shè)計(jì)與改進(jìn)上。例如，文獻(xiàn)[5]在變結(jié)構(gòu)導(dǎo)引律的基礎(chǔ)上，引入終端攻擊角度約束，并應(yīng)用模糊規(guī)則對(duì)導(dǎo)引律中的變結(jié)構(gòu)開(kāi)關(guān)項(xiàng)系數(shù)增益進(jìn)行了在線調(diào)節(jié)，仿真實(shí)驗(yàn)表明，該導(dǎo)引律降低了變結(jié)構(gòu)控制系統(tǒng)的抖振，具有很強(qiáng)的魯棒性。然而導(dǎo)彈攻擊過(guò)程的安全性必須系統(tǒng)的考慮各組成部分之間的交互以及軟件本身的設(shè)計(jì)，目前尚未有公開(kāi)文獻(xiàn)顯示有學(xué)者對(duì)導(dǎo)彈攻擊過(guò)程任務(wù)失效進(jìn)行系統(tǒng)的研究。

針對(duì)上述有關(guān)導(dǎo)彈攻擊過(guò)程任務(wù)失效的研究現(xiàn)狀，文中首先介紹一種新型基于系統(tǒng)理論的安全分析方法STPA[6]，然后建立導(dǎo)彈攻擊過(guò)程的STAMP模型[7]，采用STPA進(jìn)行不安全控制行為識(shí)別及原因分析，最后進(jìn)行了相關(guān)的仿真研究。

1 STPA方法介紹

美國(guó)麻省理工大學(xué)Leveson教授提出了STAMP事故致因模型，認(rèn)為事故是由于控制的不足導(dǎo)致的。STAMP認(rèn)為安全性是系統(tǒng)的動(dòng)態(tài)的特性，必須對(duì)整個(gè)系統(tǒng)的運(yùn)行實(shí)時(shí)觀測(cè)，不斷調(diào)整控制輸入，從而使輸出滿足安全性的需求。STPA方法是對(duì)STAMP模型的進(jìn)一步深化，該方法已經(jīng)成功的應(yīng)用于航空航天[8-9]、交通運(yùn)輸[10]、導(dǎo)彈[11]、生物防御[12]等領(lǐng)域。

STPA方法在分析人為錯(cuò)誤、軟件設(shè)計(jì)和組件交互等事故致因上具有較強(qiáng)的優(yōu)勢(shì)。其應(yīng)用前提是確定系統(tǒng)級(jí)危險(xiǎn)、系統(tǒng)級(jí)約束和建立系統(tǒng)的內(nèi)部控制/反饋回路(如圖1)，然后，嚴(yán)格分析這些回路，以識(shí)別在某些條件下沒(méi)有提供控制信號(hào)時(shí)是不安全的控制作用；在某些條件下提供控制信號(hào)時(shí)是不安全的控制作用；當(dāng)以不正確時(shí)機(jī)或者錯(cuò)誤順序提供時(shí)是不安全的控制作用；當(dāng)停止太快或者提供控制信號(hào)過(guò)久時(shí)是不安全的控制作用。

2 導(dǎo)彈攻擊過(guò)程STAMP模型

導(dǎo)彈進(jìn)行目標(biāo)打擊時(shí)，制導(dǎo)計(jì)算機(jī)首先需要從外部通過(guò)目標(biāo)探測(cè)裝置等方式獲取目標(biāo)的各種參數(shù)信息。其次制導(dǎo)計(jì)算機(jī)將位置信息等傳輸給導(dǎo)彈的自動(dòng)駕駛儀。然后自動(dòng)駕駛儀根據(jù)位置信息選擇相應(yīng)的控制規(guī)律傳輸至舵機(jī)。舵機(jī)控制舵面、調(diào)整彈體的姿態(tài)、控制彈體的飛行姿態(tài)以及下降速度。最后姿態(tài)信息和速度信息傳遞給自動(dòng)駕駛儀，如果偏差較大自動(dòng)駕駛儀會(huì)通過(guò)控制舵機(jī)再次進(jìn)行糾偏調(diào)整。另外導(dǎo)彈探測(cè)裝置也會(huì)將導(dǎo)彈的實(shí)時(shí)數(shù)據(jù)傳輸給制導(dǎo)計(jì)算機(jī)，結(jié)合目標(biāo)探測(cè)裝置獲取的目標(biāo)實(shí)時(shí)信息去下達(dá)新的控制指令。整個(gè)控制過(guò)程制導(dǎo)計(jì)算機(jī)與自動(dòng)駕駛儀緊密配合，分析目標(biāo)信息、環(huán)境信息等，選擇最佳的導(dǎo)引律成功地打擊目標(biāo)，完成相應(yīng)的戰(zhàn)斗任務(wù)。

根據(jù)上述控制過(guò)程的描述，建立如圖2的導(dǎo)彈攻擊過(guò)程STAMP模型。

圖2 導(dǎo)彈攻擊過(guò)程STAMP模型

3 導(dǎo)彈攻擊過(guò)程任務(wù)失效分析

3.1 系統(tǒng)級(jí)事故

系統(tǒng)級(jí)事故是指整個(gè)系統(tǒng)中，導(dǎo)致不希望的或意外的事件發(fā)生，例如人員受傷或死亡、財(cái)產(chǎn)損失以及任務(wù)失效等等。在導(dǎo)彈攻擊過(guò)程的系統(tǒng)級(jí)事故主要有導(dǎo)彈未能命中目標(biāo)(A-1)、導(dǎo)彈空中解體或爆炸(A-2)和導(dǎo)彈命中目標(biāo)的角度未滿足需求(A-3)。具體如表1所示。

表1 導(dǎo)彈攻擊過(guò)程的系統(tǒng)級(jí)事故

3.2 系統(tǒng)級(jí)危險(xiǎn)

系統(tǒng)級(jí)危險(xiǎn)是指一個(gè)系統(tǒng)狀態(tài)或者一系列條件，在特定的環(huán)境之下，可能會(huì)導(dǎo)致多個(gè)事故的發(fā)生。導(dǎo)彈控制系統(tǒng)中的系統(tǒng)級(jí)危險(xiǎn)主要有導(dǎo)彈失控、導(dǎo)彈飛出預(yù)定軌道以及導(dǎo)彈與低空或者高空障礙物發(fā)生碰撞3種。具體如表2所示。

表2 導(dǎo)彈攻擊過(guò)程的系統(tǒng)級(jí)危險(xiǎn)

導(dǎo)彈失控(H-1)是指制導(dǎo)計(jì)算機(jī)的指令下達(dá)過(guò)晚、導(dǎo)引律設(shè)計(jì)不合理、外在干擾超限等導(dǎo)致導(dǎo)彈失控，對(duì)打擊任務(wù)的執(zhí)行有著嚴(yán)重的影響，可能會(huì)導(dǎo)致導(dǎo)彈未能命中目標(biāo)(A-1)、導(dǎo)彈空中解體或爆炸(A-2)以及導(dǎo)彈命中目標(biāo)的角度未滿足需求(A-3)；導(dǎo)彈飛出預(yù)定彈道(H-2)是指制導(dǎo)計(jì)算機(jī)過(guò)晚給控制指令、指令傳輸過(guò)程中的延遲過(guò)大以及導(dǎo)引律下達(dá)不準(zhǔn)確，可能會(huì)導(dǎo)致導(dǎo)彈未能命中目標(biāo)(A-1)、導(dǎo)彈空中解體或爆炸(A-2)以及導(dǎo)彈命中目標(biāo)的角度未滿足需求(A-3)；導(dǎo)彈與低空或者高空障礙物發(fā)生碰撞(H-3)主要是指沒(méi)有事先考慮導(dǎo)彈飛行過(guò)程中遇到的障礙物以及導(dǎo)引律的下達(dá)不及時(shí)，可能會(huì)導(dǎo)致導(dǎo)彈未能命中目標(biāo)(A-1)及導(dǎo)彈空中解體或爆炸(A-2)。

3.3 不安全的控制行為

文中主要是分析提供導(dǎo)引律這一控制動(dòng)作對(duì)導(dǎo)彈攻擊過(guò)程的影響。主要分為以下6種情況：

1)需要提供導(dǎo)引律時(shí)，自動(dòng)駕駛儀沒(méi)有提供相應(yīng)的導(dǎo)引律；

2)自動(dòng)駕駛儀提供了不正確的導(dǎo)引律；

3)自動(dòng)駕駛儀提供了正確的導(dǎo)引律，但是舵機(jī)沒(méi)有完全的執(zhí)行；

4)自動(dòng)駕駛儀過(guò)晚提供導(dǎo)引律；

5)自動(dòng)駕駛儀過(guò)早提供導(dǎo)引律；

6)自動(dòng)駕駛儀提供的導(dǎo)引律控制時(shí)間過(guò)短。

具體不安全控制行為(UCA)及其可能導(dǎo)致的危險(xiǎn)如表3所示。

表3 不安全控制行為

3.4 關(guān)鍵原因分析

STPA方法認(rèn)為不安全控制行為導(dǎo)致危險(xiǎn)的關(guān)鍵原因分為兩類：1)控制行為的不準(zhǔn)確、不及時(shí)以及被執(zhí)行的不足導(dǎo)致了危險(xiǎn)；2)反饋信息的不準(zhǔn)確、不及時(shí)導(dǎo)致了危險(xiǎn)。從而，將導(dǎo)彈攻擊過(guò)程分成控制和反饋兩個(gè)部分，具體如圖3所示。

圖3 導(dǎo)彈攻擊過(guò)程的控制/反饋回路

1)控制行為的不準(zhǔn)確、不及時(shí)以及執(zhí)行不足

①自動(dòng)駕駛儀

自動(dòng)駕駛儀的控制算法與彈體的實(shí)際模型不匹配，導(dǎo)致給出了錯(cuò)誤的導(dǎo)引律；自動(dòng)駕駛儀輸出端信號(hào)堵塞，不能及時(shí)給出相應(yīng)的導(dǎo)引律；自動(dòng)駕駛儀的控制算法不準(zhǔn)確，導(dǎo)致得到分析后過(guò)早提供了導(dǎo)引律。

②舵機(jī)

自動(dòng)駕駛儀與舵機(jī)的傳輸通道存在較大延遲，導(dǎo)致舵機(jī)過(guò)晚接收到導(dǎo)引律；舵機(jī)的設(shè)計(jì)不準(zhǔn)確，執(zhí)行導(dǎo)引律過(guò)程中在沒(méi)有得到自動(dòng)駕駛儀相關(guān)指令的情況下自動(dòng)恢復(fù)初始狀態(tài)，導(dǎo)致舵機(jī)執(zhí)行導(dǎo)引律的時(shí)間過(guò)短；舵機(jī)在接收到導(dǎo)引律后，執(zhí)行過(guò)程中被卡死，導(dǎo)致執(zhí)行不足。

2)反饋信息的不準(zhǔn)確、不及時(shí)

①反饋信息的產(chǎn)生

測(cè)量導(dǎo)彈加速度信息的傳感器故障；測(cè)量導(dǎo)彈加速度信息的傳感器設(shè)計(jì)不合理；測(cè)量導(dǎo)彈速度信息的傳感器故障；測(cè)量導(dǎo)彈速度信息的傳感器設(shè)計(jì)不合理；測(cè)量導(dǎo)彈姿態(tài)角信息的傳感器故障；測(cè)量導(dǎo)彈姿態(tài)角信息的傳感器設(shè)計(jì)不合理。

②反饋信息的傳輸

導(dǎo)彈加速度信息傳輸過(guò)程中有延遲、丟失或者不準(zhǔn)確；導(dǎo)彈速度信息傳輸過(guò)程中有延遲、丟失或者不準(zhǔn)確；導(dǎo)彈姿態(tài)角信息傳輸過(guò)程中有延遲、丟失或者不準(zhǔn)確。

4 仿真分析

4.1 彈目相對(duì)運(yùn)動(dòng)模型

以某型導(dǎo)彈縱向平面為例，建立彈目相對(duì)運(yùn)動(dòng)模型[13]，如圖4所示。在建模過(guò)程中，作出如下假設(shè)：1)導(dǎo)彈和目標(biāo)視為質(zhì)點(diǎn)；2)導(dǎo)彈和目標(biāo)的加速度矢量方向與速度矢量方向垂直，即施加在導(dǎo)彈和目標(biāo)上的加速度只改變速度的方向，不改變速度的大小。

圖4 彈目相對(duì)運(yùn)動(dòng)模型

在圖4中，M表示導(dǎo)彈，T表示目標(biāo)，vm為導(dǎo)彈速度，θm為導(dǎo)彈彈道傾角，am為導(dǎo)彈加速度，vt為目標(biāo)速度，θt為目標(biāo)航跡傾角，at為目標(biāo)加速度，r為彈目之間相對(duì)距離，q為彈目視線角，規(guī)定所有角度逆時(shí)針?lè)较驗(yàn)檎粗疄樨?fù)?；谏鲜黾僭O(shè)及彈目相對(duì)運(yùn)動(dòng)關(guān)系，可以得出彈目相對(duì)運(yùn)動(dòng)關(guān)系方程組：

(1)

攻擊角度表示彈目交戰(zhàn)過(guò)程中導(dǎo)彈和目標(biāo)的速度矢量之間的夾角，即θm-θt。攻擊角度約束可以轉(zhuǎn)化為視線角約束問(wèn)題。

根據(jù)角度約束的需求，采用如下導(dǎo)引律(ANTSMG)[14]：

(2)

4.2 結(jié)果分析

設(shè)定導(dǎo)彈的初始位置為坐標(biāo)原點(diǎn)，即(0，0)，導(dǎo)彈速度為vm=180 m/s，目標(biāo)的初始位置為(2 000 m，0)，運(yùn)動(dòng)中目標(biāo)的速度為vt=20 m/s，qd=-60°,λ=1，ANTSMG制導(dǎo)參數(shù)設(shè)置如下：α=1;β=0.5;γ=3;p=5;q=3;ε=k=100,c=5;δ=0.001。

重點(diǎn)對(duì)其中的部分不安全控制行為作分析，其它不安全控制行為也可以采用類似的方法進(jìn)行仿真分析。具體分析如下：

1)提供的控制行為不準(zhǔn)確(UCA2)

由圖5～圖7可以看出，在自動(dòng)駕駛儀得到制導(dǎo)計(jì)算機(jī)處理的相關(guān)參數(shù)信息后，采用帶攻擊角度約束的傳統(tǒng)滑模導(dǎo)引律(SMG)控制律[15]會(huì)導(dǎo)致彈體的彈道軌跡過(guò)高，容易被發(fā)現(xiàn)，并且路徑較長(zhǎng)，難以在較短的時(shí)間內(nèi)完成任務(wù)；采用帶攻擊角度約束的非奇異終端滑模導(dǎo)引律(NTSMG)控制律[16]彈目視線角較小，無(wú)法以較大角度命中目標(biāo)；采用ANTSMG控制律導(dǎo)彈可以實(shí)現(xiàn)低空突防，路徑較短、彈道高度最低、突擊時(shí)間短并且滿足較大攻擊角度命中目標(biāo)，能夠更好的完成攻擊任務(wù)。因此在設(shè)計(jì)控制律的時(shí)候既需要考慮低空突防和時(shí)間限制，也需要考慮攻擊角度約束才能更好的完成任務(wù)。

圖5 彈道軌跡

圖6 彈目視線角

圖7 滑模面

2)控制行為執(zhí)行不足(UCA3)

導(dǎo)彈的舵機(jī)偏轉(zhuǎn)關(guān)乎導(dǎo)引律的執(zhí)行是否完全，如果導(dǎo)彈的舵機(jī)長(zhǎng)期沒(méi)有得到較好的維護(hù)，使得舵面難以靈活的滑動(dòng)，就會(huì)造成舵面偏轉(zhuǎn)不到位甚至卡死的情況。通過(guò)比例系數(shù)λ來(lái)表示舵面的偏轉(zhuǎn)執(zhí)行完成度。當(dāng)比例系數(shù)λ小于1時(shí)，說(shuō)明控制律執(zhí)行不足。這種現(xiàn)象在工程中經(jīng)常出現(xiàn)，雖然有的情況下不一定會(huì)造成嚴(yán)重的后果，但是在導(dǎo)彈攻擊過(guò)程中這種隱患是不能容忍的。

從圖8中可以看出比例系數(shù)λ的大小對(duì)彈道的高度以及打擊的精度是有影響的。根據(jù)不同的作戰(zhàn)任務(wù)，有些偏差是可以接受的，如果任務(wù)精度要求極高，那么這種偏差就是難以接受的。例如比例系數(shù)λ等于0.5時(shí)導(dǎo)彈無(wú)法命中目標(biāo)。因此，在執(zhí)行器設(shè)計(jì)時(shí)，必須根據(jù)打擊精度要求添加安全約束，比如安全約束SC1——比例系數(shù)不能等于0.5。

圖8 控制不足的軌跡圖

3)過(guò)晚提供控制行為(UCA4)

在實(shí)際的信號(hào)傳輸過(guò)程中，存在著一些不可避免的延遲，尤其是制導(dǎo)計(jì)算機(jī)獲取目標(biāo)信息時(shí)，下達(dá)指令會(huì)存在不可避免的延遲。指令下達(dá)的延遲以及自動(dòng)駕駛儀控制信號(hào)的傳輸延遲，會(huì)導(dǎo)致舵機(jī)機(jī)構(gòu)過(guò)晚接收到控制信號(hào)，從而導(dǎo)致系統(tǒng)的控制目標(biāo)無(wú)法實(shí)現(xiàn)。

從圖9中可以看出，隨著延遲的增大、彈道高度在不斷的增加，同時(shí)在該導(dǎo)引律的控制下對(duì)導(dǎo)彈的轉(zhuǎn)向能力要求也在不斷提高。從理論的角度可以發(fā)現(xiàn)控制信號(hào)延遲在1 s、2 s、3 s、4 s時(shí)導(dǎo)彈依然能夠準(zhǔn)確滿足最大角度擊中目標(biāo)。在延遲達(dá)到5 s及大于5 s后無(wú)法擊中目標(biāo)。因此必須設(shè)置安全約束SC2——控制信號(hào)延遲不得超過(guò)5 s。

圖9 控制信號(hào)延遲軌跡圖

5 結(jié)論

STAMP模型是一種基于系統(tǒng)論和控制論的事故模型，對(duì)復(fù)雜系統(tǒng)的分析有著更好的效果，但過(guò)去STPA方法識(shí)別的不安全控制行為僅限于定性描述，文中通過(guò)建模仿真的方式對(duì)不安全控制行為進(jìn)行了定量分析，同時(shí)提出了相應(yīng)的安全約束。這樣的思路可以彌補(bǔ)STPA方法偏定性的不足。

對(duì)提供控制信號(hào)不準(zhǔn)確的分析，說(shuō)明了軟件設(shè)計(jì)之初務(wù)必盡可能完善的重要性，軟件錯(cuò)誤對(duì)系統(tǒng)的影響是致命的；對(duì)控制信號(hào)執(zhí)行不足的分析，說(shuō)明了執(zhí)行器的設(shè)計(jì)與維護(hù)的重要性，輸入準(zhǔn)確不代表執(zhí)行準(zhǔn)確，必須對(duì)執(zhí)行器的設(shè)計(jì)加以重視，同時(shí)加強(qiáng)執(zhí)行器的日常維護(hù)；對(duì)過(guò)晚下達(dá)導(dǎo)引律的分析可以用來(lái)改進(jìn)信號(hào)通道的延遲設(shè)計(jì)，并且這樣的分析延遲對(duì)傳輸信號(hào)的材料、制導(dǎo)計(jì)算機(jī)的處理速度以及設(shè)計(jì)控制律的過(guò)程中需要把控制延遲考慮的更加周全提出了更高的要求。