地(舰)空导弹发控系统安全性设计*
2016-07-21赵明王雷
赵明,王雷
(北京电子工程总体研究所,北京 100854)
测试、发控技术
地(舰)空导弹发控系统安全性设计*
赵明,王雷
(北京电子工程总体研究所,北京100854)
摘要:地(舰)空导弹发控系统作为导弹发射控制过程的核心装备,安全性是一个非常重要的质量特性。分析了发控系统存在的典型危险源,从系统总体设计、电气设计、结构设计、软件设计等方面给出了安全性设计的要求和建议,并阐述了安全性设计和可靠性设计的辩证关系。
关键词:导弹;发控系统;危险源;系统安全性;电气安全性;结构安全性;软件安全性
0引言
在工程上为了评价安全,常用“安全性”指标来度量安全的程度。航天产品安全性是指产品在使用、储运、销售等过程中,不发生导致人员死亡、健康恶化或设备财产损失的意外事件的能力[1-2]。对于安全性风险而言,控制风险方法的优选顺序是消除、替代、降低、限制和个人防护[3],而安全性设计是从源头降低安全性风险最经济、最本质的手段。
地(舰)空导弹发控系统是地(舰)空导弹武器系统中的重要组成部分,通过有线或者无线方式接收上级指(武)控系统的指令完成对多枚箱弹加电管理、射击诸元参数装订、发射控制、发射装置起竖调转以及紧急情况处理等任务[4-5]。
导弹作为威力巨大的杀伤性武器,关系到设备与人员的安危。发射过程中的任何一个环节考虑不细致、设计不周全,都有可能导致非常严重的安全事故。2000年,俄制S-300导弹弹射后未及时打开发动机,从半空中砸回发射车;但是万幸的是,该导弹并未爆炸。2013年,俄制“辛杜拉克沙克”潜艇的爆炸原因是由于潜艇人员错误装载“俱乐部”导弹而造成的短路使潜艇爆炸,导致18名船员全部死亡。
本文着重针对地(舰)空导弹发控系统的安全性设计进行论述。
1典型的系统危险分析
对于发控系统而言,分析和辨识发射控制过程中存在的危险源,从而确立发控系统的安全性关键项目,是有效进行发控系统安全性设计工作的前提。
导弹发射流程中,包含了系统自检和初始状态检查、设置工作模式、导弹加电、发射装置起竖调转、参数装订和发射等各项具体工作。通过对各项工作内容的进一步细化分解,辨识并确认了发控系统典型的安全性关键项目,如表1所示。
表1 安全性关键项目
2系统安全性总体设计
在进行发控系统安全性总体设计时,通常需要关注几个重点:
2.1工作模式设计
通常系统会设置多种工作模式,以用于不同的工作场景。对于不同的工作模式,发射单元的连接状态(真弹/模拟器)均有不同的要求,示例如表2所示。
表2 工作模式
发控系统应能正确识别所属发射单元的连接状态(真弹/模拟器),只有连接状态与工作模式匹配正确时,方可允许让系统进入该工作模式,以免出现在错误模式下误发射导弹的安全事故。同时,连接状态识别时应采用不少于2种类型的识别方式进行识别和校验,确保识别的正确性。
2.2射界范围设计
对于某些特殊发射场景的系统而言,在发射时应对导弹射界限制范围进行判断,只有在安全射界范围内时才构成发射条件,确保导弹发射的安全性。
2.3发控时序设计
通常应按照不同准备阶段和发射阶段分阶段设计发控时序。
首先,需要保障导弹在发射前处于正常和安全状态,进行各种射前检查,一般包括发控系统初始状态检查、筒(箱)弹初始状态检查(含火工品点爆通路检查)等,以确保进入发射程序时发控系统和导弹状态正常,确保系统处于安全状态。
其次,应定义一种发射的安全状态,包括地面电源断电、发控软件状态复位、导弹状态复位等步骤,一旦导弹发射故障时,发控系统应自动转入安全状态,中止发射流程,确保导弹未离架时的安全。
3电气安全性设计
在发控系统的电气设计时,除一些常规的通用安全性设计外,结合发控系统的特点,还需要着重关注几个方面:
3.1发射通道
一般针对每个发射通道设计独立、隔离的电气控制检测通道,提高导弹发射的安全性,防止由于某一个发射通道出现故障导致整个发控系统瘫痪的情况出现。
3.2供电电源
供电电源一般应进行输入保护,如采取过压、欠压保护措施,发生过压、欠压时电源应正常输出。同时也应具有输出电压过压、输出电流过流保护功能,通常保护方式为切断输出保护。保护点的设置需要综合考虑,既不能过于灵敏,抑制高频的脉冲干扰,确保不出现虚警;也不能过于迟缓,失去保护的实际意义。
电源设计时应采取机箱外壳安全接地、输入与输出隔离、绝缘设计等有效设计措施,避免输入/输出对机壳短路、机壳带电、输入干扰影响输出等危险因素。
此外,为防止弹上电池激活供电后电压倒灌至地面电源,因此地面电源应具有反向保护功能,防止弹上电池电压倒灌。图1为反向保护设计示意图,V1为防倒灌二极管。
图1 反向保护设计Fig.1 Protecting design for power supply
3.3火工品
火工品是一类小型、较敏感、装有火炸药的爆炸元件。火工品是导弹武器系统中最敏感的部分,因此,它的安全性直接影响着武器系统的安全性。其意外作用将可能引起整个武器系统的作用而带来重大损失。
发控系统在射前会检查火工品点爆通路状态,在发射过程中会点爆火工品。一旦出现意外作用,将可能带来重大损失。因此,设计时必须满足各类火工品的安全性要求。
(1) 火工品点爆通路状态检查
对火工品点爆通路进行检测时应施加一个安全测试电流和测试时间[6]。安全测试电流由检测激励电源的电压、限流电阻阻值和火工品内阻等参数决定。通常安全测试电流应控制在10mA以下,测试时间不大于1min;对于1A,1W,5min不发火的钝感类电火工品,安全测试电流允许不超过50mA[7-8]。
其中,限流电阻应设计为多个电阻串联的形式,而且连接检测激励电源输出正端必须有限流电阻。
(2) 火工品安全保险
对火工品激活电爆电路在保证可靠性的前提下,尽量采用容错设计保证安全性,如发动机点火电路、电池激活电路一般应具有多级串联保险、防静电、防电磁感应等防误起爆的措施。多级串联保险应由多种实现方式组成,电气、机械、软件方式联锁,例如图2所示的软件控制开关K1、发射装置位置到位信号控制开关K2、人工控制保险插头等。
(3) 火工品激活点爆
火工品能否正常激活点爆,取决于2个因素:激活时间和激活电流。在激活时间设计上应满足I级降额要求。激活电流通过点火电源串接限流电阻来实现,限流电阻值根据线路和火工品的内阻进行选择(禁止并联方式实现),限流电阻功率也应进行适应性选择,能够承受瞬时大电流的反复多次冲击。
在导弹转弹上电池供电设计时,应保证弹上电池和地面电源有一定时间的重合供电时间,确保弹上电池电压正常后再切断地面电源,使弹上设备在转电过程中不受电源切换波动影响。
3.4热发射方式下的短路防护
当导弹采用热发射方式时,发动机尾焰从发射箱(筒)体尾部喷出,会造成发射箱(筒)内部发控电缆烧蚀。发控电缆烧蚀会造成发控系统电路非正常短路,可能会引起整个发控系统过流保护、发控系统掉电,进而使得发射车瘫痪,武器系统无法对未离架导弹进行发射控制。
因此,为防止上述情况的出现,发控系统必须对电路烧蚀引发的短路采取防护措施。
图2 火工品安全保险电路Fig.2 Circuit for protecting pyrotechnics
3.5应急投掷
应急投掷是导弹发射的一种特殊方式,是在危险情况下为保证人员和设备安全而对导弹进行的投放[9]。
其设计应遵循几个原则:
(1) 应急投放所用组件应与发控系统中的其他组件相互独立;
(2) 应急投放控制火工品激活应有2级以上控制电路,确保火工品控制安全;
(3) 应急投放应根据上级给出的专用命令进行控制;
(4) 应急投放电路应具备抗干扰能力。
4结构安全性设计
发控系统结构安全性设计除主要结构的强度、刚度、抗振动、抗冲击设计外,应考虑如下几个方面:
(1) 整个系统应合理布局,尽量降低重心,且使安装结构均匀承重。
(2) 应充分考虑吊装、转运的方便性和安全性,吊点设置合理、标识清晰。
(3) 功能不同的板卡、模块应具有防插错功能,电气接口连接部位应有明显的标识和防误插的措施,如不同信号采用不同型号或不同键位的接插件,防止插错对设备造成损害,以确保产品的安全性。
(4) 现场可更换单元应保证拆装方便并预留合理的拆装维护空间,避免在周围设计有锐角、突出部位和锐边等危险结构。
(5) 结构内部应进行去锐角、去毛刺处理,防止由于摩擦导致导线绝缘皮破损;电线、电缆的走线应固定、定位,不应在振动、冲击下产生位移、摩擦或碰撞。
(6) 若安装有风机,则应设计风机保护罩,防止异物落入或防止人员操作时不慎将手深入风机内部,导致人员受伤。
5软件安全性设计
发控软件作为发控系统的核心控制软件,运行在发控系统的主控计算机内。发控软件的安全性设计水平直接决定了整个发控系统的安全性。
发控软件安全性设计的主要目标是为软件各个模块定义一系列的策略,通过策略的运用能够尽可能的降低软件乃至系统失效的概率。通常发控软件可以采用软件自检测、多版本非相似设计、故障封锁区域、冗余体系结构以及防御性程序设计等安全性设计策略[10-13]。
5.1软件自检测
软件自检测是指建立在软件内部的、主动性的故障管理和诊断,通常是针对系统或组件的某项功能开展的[10]。通过软件自检测,无需外接测试设备,能够快速的判定发控软件及整个发控系统的状态是否满足工作需求。
发控软件中比较典型的软件自检测如下:
(1) 现场可更换单元的自检测;
(2) 软件运行过程中的实时监测,监控发控系统和导弹的状态并实时报警;
(3) 利用箱弹模拟器能否正确完成发射流程测试。
5.2多版本非相似设计
多版本非相似设计是一种典型的实现容错性的软件设计方法。其运行模式是:多个独立版本的软件或者软件模块同时运行,如果运行结果一致则执行后续操作;如果结果不一致则采取某种表决的方法来决定哪个结果是正确的[10]。其具有两大特点:不同版本程序设计之间的独立性、表决的合理性。
对于发控软件的某些核心功能模块,可以采用该方法。但需要注意的是,需要确保各版本的软件是真正独立的,通常情况下推荐仅在小而简单的功能中使用多版本相似设计技术。
然后这种设计技术也有局限性,比如多版本增加了软件的复杂度,直接导致软件出错概率的增加。因此多版本非相似设计技术在特定的场合能够发挥很好的作用,但在应用前需要认真做好评估工作。
5.3故障封锁区域
阻止故障传播的有效方法是建立故障封锁区域。一种获得故障封锁区域的典型方法就是将不同的软件模块置于不同的且独立的主机和硬件处理器上,或者通过特殊的硬件配置将多个独立的故障封锁区域置于同一个主机中[10]。
例如,发控软件将工作过程中的数据和重要信息存储于独立的数据存储区,与程序存储区进行物理隔离;同时,数据存储软件模块与其他安全性关键模块相互独立,没有耦合关系。即使数据存储模块功能出现异常,也不会影响到整个发控软件乃至系统的正常工作。
5.4冗余体系结构
冗余体系结构是指有A,B2个版本的运行代码。这2个版本无需对等运行。A版本软件可以是一个高性能版本,是常规的软件,满足所有的功能、性能需求;B版本软件是一个高安全性内核,主要强调的是安全性,功能、性能指标可能有限制[10]。一旦A版本软件出现异常,特别是出现影响安全性的故障和时效,B版本软件则接管控制。
发控软件在进行体系架构设计时,可以考虑采取此种结构方式,提升软件及系统的整体安全性。
5.5防御性程序设计
防御性程序设计是确保软件能很好地处理任何输入的一种技术,也在发控软件中应用较为广泛。它是设计用来专门阻止错误演变为失效。错误有很多种类型,比如程序内部逻辑错误、外部信息错误、硬件错误和操作错误等[10]。发控系统作为核心的作战装备,所处的战场环境特别严酷、复杂,需要通过软件设计保证能够很好地处理任何情况。
对于射击诸元参数的检查就是防御性程序设计的一个典型例子,装订至导弹的发射诸元参数除通信协议中规定的校验和值域判断外,一般应将导弹接收的参数回传后与发送值进行逐一比对,确保装订参数的正确性。
另一个防御性程序设计的例子是导弹发射前必须设定一定的限制条件,比如弹上设备工作正常、射击诸元参数装订正常、发射装置起竖调转到位等。只有所有的限制条件均满足后,导弹发射功能(安全性关键程序)才允许被执行。
对于需要人机交互的软件,在操作员执行关键功能时,应提示关键注意事项,并采用提示框再次确认方式避免误操作;要便于操作员用单一行为处理当前事务,使系统退出潜在不安全状态,并恢复到某一安全状态;软件向操作人员提供的显示信息、图标、及其他人机交互方式必须清晰、简明、且无二义性。
需要注意的是,用以处理缺陷、错误和故障的策略必须在软件设计阶段就要经过深思熟虑。不管选择何种策略,必须要保证一致性。所有的函数、模块等都应该使用相同的策略,除非有其他充足的理由。
6安全性设计与可靠性设计的关系
可靠性研究的对象是故障,安全性研究的对象是危险[14]。安全性和可靠性同为产品的固有属性,安全性强调的是系统不发生事故的能力,而可靠性强调的是系统无故障工作的能力。开展安全性工作通常需要采取措施来消除或控制各类危险,而各种措施的可靠性将直接影响到系统的安全性。
另一方面,一个可靠的系统未必就一定安全。可靠性仅考虑产品执行功能的能力,而安全性既需要考虑产品执行规定功能的能力,还需要考虑在执行功能的全过程中是否存在威胁设备和人员健康、生命的危险因素。
因此,在某些情况下,可靠性与安全性会发生矛盾。在某些情况下为了提高系统在某一方面的能力而采取相应措施后,可能削弱其他方面的能力。例如图3所示的电路,为了提高可靠性,在控制火工品激活回路通断时,使用继电器的2组开关进行并联。2组开关中只要有一组开关正常闭合,就能够点爆火工品,提高了任务可靠性;但安全性却有所降低,只有当2组开关均断开的情况下,电爆管才处于安全状态。
设计师在开展安全性设计时,应深刻理解和掌握安全性设计和可靠性设计的辩证关系,这样在系统设计中才能全局考虑、权衡利弊,确立最合理的技术解决方案[15]。
图3 火工品电路Fig.3 Pyrotechnics circuit
7结束语
本文从系统总体设计、电气设计、结构设计、软件设计等几个方面重点论述了地(舰)空导弹发控系统安全性设计内容。在安全性设计的基础上,需要通过分析、检查、演示和试验等安全性验证方法,来确认其安全性设计的有效性和正确性;针对发现的问题和不足,不断进行迭代完善,最终才能消除系统的危险或将风险降低在可接受的范围内,确保发控系统寿命期内的安全、可靠工作,实现“安全发射、无误发射”。
参考文献:
[1]袁家军.神舟飞船系统工程管理[M].北京:机械工业出版社,2006.
YUANJia-jun.SystemEngineeringManagementforShenzhouAirship[M].Beijing:ChinaMachinePress, 2006.
[2]姜江,李璇,陈英武,等.证据网络及其在航天系统安全性分析中的应用[J].系统工程与电子技术,2011,33(6):1270-1275.
JIANGJiang,LIXuan,CHENYin-wu,etal.EvidentialNetworkandItsApplicationinSafetyAnalysisofAerospaceSystems[J].SystemsEngineeringandElectronics,2011,33(6):1270-1275.
[3]苏多,李岩,刘欣,等.GJB900A-2012装备安全性工作通用要求[S].北京:总装备部军标出版发行部,2012.
SUDuo,LIYan,LIUXin,etal.GJB900A-2012GeneralRequirementsforMaterielSafetyProgram[S].Beijing:MilitaryStandardPublicationandDistributionDepartmentofPLA’sGeneralArmamentDepartment,2012.
[4]杨海琼,孙祥一,王彦,等.基于VXI总线的导弹地面测发控系统[J].导弹与航天运载技术,2006,282(2):16-19.
YANGHai-qiong,SUNXiang-yi,WANGYan,etal.GroundCheckout-Launch-ControlSystemofMissileBasedonVXI-Bus[J].MissilesandSpaceVehicles,2006,282(2):16-19.
[5]朱苏朋,符文星,孙力.导弹分布式低成本地面测发控系统设计[J].弹箭与制导学报,2009,29(3):30-32.
ZHUSu-peng,FUWen-xing,SUNLi.DistributedGroundTestandControlSystemofLowCostMissile[J].JournalofProjectiles,Rockets,MissilesandGuidance,2009,29(3):30-32.
[6]王军波,李革新,高敏,等.GJB4377-2002弹药、导弹用火工品安全性要求[S].北京:总装备部军标出版发行部,2002.
WANGJun-bo,LIGe-xin,GAOMin,etal.GJB4377-2002RequirementsofSafetyforAmmunitionandMissileInitiatingExplosiveDevice[S].Beijing:MilitaryStandardPublicationandDistributionDepartmentofPLA’sGeneralArmamentDepartment,2002.
[7]李爽,黄舟雷,朱良平,等.GJB5822-2006航天发射试验火工品使用规则[S].北京:总装备部军标出版发行部,2006.
LIShuang,HUANGZhou-lei,ZHULiang-ping,etal.UsageRulesforInitiatingExplosiveDeviceofSpaceflightLaunchTest[S].Beijing:MilitaryStandardPublicationandDistributionDepartmentofPLA’sGeneralArmamentDepartment,2006.
[8]常新龙,胡宽,田干,等.GJB6864-2009导弹用火工品检测设备通用规范[S].北京:总装备部军标出版发行部,2009.
CHANGXin-long,HUKuan,TIANGan,etal.GJB6864-2009GeneralSpecificationfortheMeasuringTestEquipmentofMissilePyrotechnicsDevice[S].Beijing:MilitaryStandardPublicationandDistributionDepartmentofPLA’sGeneralArmamentDepartment,2009.
[9]王德基,杨经卿,杨宝奎,等.GJB2208-1994舰载导弹发射最低安全要求[S]. 北京:总装备部军标出版发行部,1994.
WANGDe-ji,YANGJing-qing,YANGBao-kui,etal.GJB2208-1994Ship-BasedMissileLaunchingSafetyRequirementMinimum[S].Beijing:MilitaryStandardPublicationandDistributionDepartmentofPLA’sGeneralArmamentDepartment,1994.
[10]赵廷弟.安全性设计分析与验证[M].北京:国防工业出版社,2011.
ZHAOTing-di.SafetyDesignAnalysisandVerification[M].Beijing:NationalDefenseIndustryPress,2011.
[11]黄锡滋.软件可靠性、安全性与质量保证[M].北京:电子工业出版社,2002.
HUANGXi-zi.SoftwareReliability,SafetyandQualityAssurance[M].Beijing:ElectronicsIndustryPress,2002.
[12]荆小庆,王光卫.软件系统安全性设计原则分析[J].中国测试技术,2005,31(1):78-80.
JINGXiao-qing,WANGGuang-wei.SecurityPrincipalsofSoftwareSystemDesign[J].ChinaMeasurementTechnology,2005,31(1):78-80.
[13]樊晓光,褚文奎,张凤鸣.软件安全性研究综述[J].计算机科学,2011,38(5):8-13.
FANXiao-guang,CHUWen-kui,ZHANGFeng-ming.SurveysofSoftwareSafety[J].ComputerScience,2011, 38(5):8-13.
[14]孙怀义,石祥聪.可靠性、安全性与功能安全的关系研究[J].机械与电子,2010(S1):23-25,28.
SUNHuai-yi,SHIXiang-cong.TheRelationshipResearchBetweenReliability,SafetyandFunctionalSecurity[J].MachineryandElectronics,2010(S1):23-25,28.
[15]王志勇,郭秉毅,刘洋,等.卫星安全性设计的分析评价策略[J].航天器工程,2014,23(6):85-92.
WANGZhi-yong,GUOBing-yi,LIUYang,etal.AnalysisandEvaluationStrategyforSatelliteSafetyDesign[J].SpacecraftEngineering,2014,23(6):85-92.
Safety Design of Surface (Ship) to Air Missile Launching System
ZHAO Ming,WANG Lei
(Beijing Institute of Electronic System Engineering, Beijing 100854,China)
Abstract:As a kernel device in the course of launching missile, safety of surface (ship) to air missile launching system is a very important quality characteristic. The typical dangerous sources of missile launching system are analyzed. In terms of general system design, electrical design, structural design and software design, the requests and advices of safety design are given. The dialectic relation of reliability and safety is expounded.
Key words:missile;launching system;danger source;system safety;electrical safety;structural safety;software safety
*收稿日期:2015-08-18;修回日期:2015-10-08
基金项目:有
作者简介:赵明(1980-),男,四川乐山人。高工,硕士,研究方向为导弹测发控技术。
通信地址:100854北京142信箱30分箱17号E-mail:buaazm2000@163.com
doi:10.3969/j.issn.1009-086x.2016.03.028
中图分类号:TJ768.3
文献标志码:A
文章编号:1009-086X(2016)-03-0179-07
