基于电子安全系统的巡飞弹引信多态安全逻辑控制方法设计及验证
2023-11-27张传昊李豪杰宫雪峰陈志鹏于航
张传昊, 李豪杰, 宫雪峰, 陈志鹏, 于航
(南京理工大学 智能弹药技术国防重点学科实验室, 江苏 南京 210094)
0 引言
巡飞弹是无人机技术与弹药技术的结合,既可以以无人机的形式编队飞行[1],对目标进行搜索并进行威胁评估[2];确定打击目标后,在攻击阶段进行多弹协同起爆毁伤目标[3-5]。引信作为巡飞弹的安全控制核心,在作战过程中需要根据作战需要控制其安全状态与待发状态之间的转换。与传统弹药引信相比,巡飞弹引信除了敏感环境正常解除各级保险,在面对打击目标弹目交会过程中失去起爆条件、打击目标变更、回收等工况时,需要进行保险恢复,等待对其他目标进行迭代打击或者进入安全状态锁定进行回收。
电子安全系统是采用集成电路控制能源与传爆序列之间的传输,没有传统的机械隔爆装置,所需能量在自然情况下无法自主产生,相比于机械、机电式安全系统有更高的安全控制灵活性。自20世纪80年代起,电子安全系统因其高安全性、集成化、信息化等特点已经被应用于多用途弹、制导一体火箭弹中[6-7]。国内部分学者也对电子安全系统的硬件设计及安全性分析开展了研究[8-13],文献[14]针对鱼雷的作战环境设计了基于电子安全系统的双时间窗解保逻辑,并计算了意外解保概率。文献[15]设计了电子安全与起爆系统并制作电路进行试验验证。文献[16]采用“阈值+时间窗+顺序”的思路设计了攻击巡飞弹解保逻辑过程,并通过软件进行了仿真验证。可以看出国内学者对基础的引信电子安全系统的研究基本成熟,但对针对巡飞弹引信进行迭代打击及回收时应具备的保险恢复、安全状态锁定等能力及实现没有进行深入分析和研究。
为了实现对巡飞弹在目标探测、智能决策、协同打击过程中的安全控制,以及在特殊工况下引信可以通过保险恢复、状态锁定确保巡飞弹的安全性。本文提出巡飞弹引信多态安全逻辑控制的概念,确定巡飞弹多态安全逻辑控制过程,并通过计算分析引信发射前意外解保的概率。基于电子安全系统设计巡飞弹引信多态安全逻辑控制系统,通过研究电子安全系统输入输出及内部运行的状态机控制安全系统的状态转换关系,对各种工况下的状态变化、解保信号输出进行验证,为实现引信电子安全系统多态安全逻辑控制,为巡飞弹引信的智能化发展提供技术支撑。
1 巡飞弹引信的多态安全逻辑控制
1.1 多态安全逻辑控制需求分析
1.1.1 常规作战流程
巡飞弹以集群的形式投送,敏感发射环境与弹道环境,解除第1级保险与最小安全距离保险进入巡飞状态,获取目标信息后解除目标基保险,最后等待弹目交会过程中起爆信号对目标进行协同打击[17-19]。
1.1.2 协同迭代打击
在巡飞弹与目标弹目交会过程中因各种干扰因素失去起爆条件,在打击目标过程中因干扰丢失目标信息等情况出现时,能够继续保持巡飞后续可以加入对其他目标的打击任务[20]。
1.1.3 安全回收
在完成对目标打击后,要求剩余巡飞弹节点可以进行回收,并且可以用于以后的打击作战任务。
巡飞弹多用于执行打击未知类型的目标,根据其常规作战、迭代打击、安全回收的作战工况,对巡飞弹引信的安全控制提出3点关键技术需求:
1) 各节点智能决策选择适合执行打击的节点,此信息作为目标基保险的解除信号。
2) 由于迭代打击要求巡飞弹可继续执行后续任务,为了保证巡飞过程中弹药的安全性,要求待发状态节点可以恢复至安全状态,并且可以根据决策信息再次解除保险进入待发状态。
3) 剩余节点回收时,待发节点应恢复至安全状态,并且进行安全状态锁定,确保目标基保险无法解除处于绝对安全状态,并且可以根据安全重置指令恢复至初始状态。
1.2 多态安全逻辑控制内涵
目前国内学者[14-16]对电子安全系统的设计都遵循传统的解保控制策略。但基于对巡飞弹的作战需求分析,传统解保策略难以保证巡飞弹在对各目标进行协同决策与回收时的安全性,因此本文提出全新的巡飞弹解保控制策略—多态安全逻辑控制。
根据巡飞弹的作战需求,以炮射巡飞弹为对象,设置3级保险。由于巡飞弹的集群特性,需要防止其在弹道中因个别节点的意外作用导致集群其他节点的殉爆,同时保证各节点弹药需要在起爆前可靠解保。在勤务处理阶段,电子安全系统由于未上电可以保证巡飞弹在跌落、运输时的安全性。在发射环境中,通过敏感一定时间的后坐或离心环境解除第1级保险;利用在弹道最高点降落伞打开,在预设定时间窗内根据明显的减速及不转的状态保证巡飞弹处于正常的弹道环境,则解除第2级保险进入巡飞状态,防止巡飞弹在弹道的其他位置或时刻受到耦合脉冲干扰进行误解保;在探测到目标信息时,为对打击目标进行合理的弹药分配以及保证未有打击任务的节点的安全性,在完成目标打击分配决策后部分弹药解除目标基保险,确保剩余节点以安全状态继续巡飞。当已解保进入待发状态的巡飞弹面临任务更改、目标丢失、迭代打击时需要继续巡飞情况时,要求目标基保险可以根据“恢复巡飞”指令从导通恢复到断开状态,停止信号的输入,并且通过失能电阻快速泄放电容中的能量,使节点从解除保险状态恢复到二级保险解除状态,并且可以根据目标信息再一次解除保险完成打击任务。或者是在“安全锁定”的指令下关闭目标基保险使能,使其一直处于闭锁状态。回收后的弹药通过在接收“安全重置”指令后,所有保险可以恢复至安全状态,以便加入下次作战任务。当收到“恢复巡飞”指令后却收到升压电路反馈电容未泄放电压时,进入故障状态,使起爆控制模块关闭起爆信号输出使能;因脱网而在一定时间内未作用节点在到达设定时间后可以进行自毁自失能处置。可以使引信在这些状态之间进行转换的控制方式就叫做多态安全逻辑控制。
2 多态安全逻辑控制过程及安全性分析
采用“阈值+时间窗+时序”的规则设计巡飞弹引信多态安全逻辑控制过程,系统工作时序为:
1) 上电,开启一级保险解保使能,当后坐/离心加速度积分达到设置阈值时,解除一级保险,并开启二级保险解保使能。
2) 在设定时间窗内识别到明显减速及不转环境,解除最小安全距离保险,并开启目标基保险解保使能,解除目标基保险闭锁。
3) 根据巡飞弹群对各目标打击的决策结果,被选中执行打击任务的巡飞弹解除目标基保险。
4) 在迭代打击等情况出现时,根据恢复保险指令恢复目标基保险,发火电容泄放电压,进入安全状态,并根据下一次决策结果再次解除目标基保险。
5) 需要回收时,恢复目标基保险后对安全状态进行锁定,关闭目标基保险使能,目标基保险处于闭锁状态,确保回收时巡飞弹药的安全性。
多态安全逻辑控制过程如图1所示。
图1 巡飞弹引信解保及恢复逻辑图Fig.1 Logic diagram of fuse release and recovery of cruise missiles
在多态安全逻辑控制过程中,将巡飞弹引信电子安全系统的状态划分为4个:
1) S1状态代表初始安全状态,开关SW1、SW2以及动态开关SWD均打开,发火电容未充电。
2) S2状态代表一、二级保险解除状态,开关SW1、SW2闭合,动态开关SWD打开,解除目标基保险闭锁,但未输出信号,发火电容未充电。
3) S3状态代表三级保险均已解除进入待发状态,开关SW1、SW2以及动态开关SWD均闭合,输出信号为发火电容充电。
4) S4状态代表发射环境异常、未在时间窗内出现预设弹道环境及无法识别目标信息,从而不能进行任务分配,各级解保环境未按预设定时序出现,以及当巡飞弹失控无法恢复保险等情况时,安全系统均进入故障状态。
由于存在目标基保险恢复的情况,允许安全状态由S3返回至S2状态。
多态安全逻辑控制过程中状态转移过程如图2所示。
图2 总体安全状态转移图Fig.2 Diagram of overall security state transition
将巡飞弹发射前到解保过程分为n个时间段,设在各时间间隔内各环境出现的概率相同,为Pi,i=1,2,3,恢复保险概率为P′;在每个时间段中,每种解除保险环境激励最多出现一次;在某一时间间隔,系统状态转换概率为Pjk,j,k=1,2,3,4;设λ用来描述第2级保险解保环境在时间窗内出现的概率。
根据安全状态转移图,S1~S4共4种状态转换情况及概率计算:
S1→S1:保持初始状态不变,说明第1级解保环境未出现,状态转换概率为P11=1-P1。
S1→S4:安全系统由初始状态因一、二级解保环境异常进入故障状态的概率为P14=1-P11-P12-P13;
S2→S2:安全系统保持在一、二级保险解除状态,即该节点未被分配打击任务,继续保持巡飞状态,目标基保险未解保,状态转换概率为P22=1-P3。
S2→S3:安全系统由巡飞状态转变为待发状态,即该节点被分配参与目标打击任务,且未出现恢复保险指令,状态转换概率为P23=P3(1-P′)。
S2→S4:由于目标探测识别异常无法进行分配决策时,安全系统进入故障状态概率为P24=1-P22-P23。
S3→S2:当待发节点面对目标消失、迭代打击等情况时,收到恢复保险指令,由待发状态转换为二级保险解保状态,此时停止为发火电容充电并使其电压泄放,且未进行下次打击任务分配时,状态转换概率为P32=P′(1-P3)。
S3→S3:待发节点未收到恢复保险指令,保持该状态不变的概率为P33=1-P′。
S3→S4:由于无法根据恢复保险指令完成发火电容能量泄放时,进入故障状态,概率为P34=1-P32-P33。
S4→S4:概率为1。
按照巡飞弹安全转换过程来计算巡飞弹意外解保的概率,分成两种情况:第1种为各级保险顺序解保;第2种为各级保险顺序解保后恢复目标基保险,而后再次解保。在巡飞弹作战过程中两种情况都会出现,依此可以求得最终意外解保概率。
首先假设不考虑恢复保险的情况发生,在t0~t1期间内,巡飞弹引信意外解保概率为Pt1=P13。
在t1~t2期间,巡飞弹引信意外解保概率为Pt2=P11P13+P12P23。
其次考虑恢复保险的情况发生,则默认巡飞弹三级保险已经解除,至少在n≥3时会出现意外解保,在t2~t3期间,巡飞弹引信意外解保概率为P′t3=P13P32P23。
在t3~t4期间,巡飞弹引信意外解保概率为P′t4=P13P32P23(P11+P22+P33)+P12P23P32P23。
因此根据上述两种意外解保情况分析,在发射前,具备多态安全逻辑控制能力的巡飞弹引信总的意外解保概率为Pz=P+P′y。
文献[21]中P1=P2=P3=P′=10-3,λ=10-2,n=50,代入可得Pz=6.455×10-9。通过计算首次证明了多态安全逻辑控制满足引信安全性设计准则要求。
3 基于电子安全系统的多态安全逻辑控制方法设计
电子安全系统的3个电子开关主要分为两个静态开关SW1、SW2以及动态开关SWD,对应引信的 3级保险,相当于3个独立的保险件。专用集成电路则是电子安全系统的核心元器件,它可以实现引信保险的解除,故障保险检测,安全状态的转换,输出解保信号来控制3级电子开关的断开与闭合,实现多态安全逻辑控制。
选取现场可编程门阵列(FPGA)作为巡飞弹引信安全系统的控制芯片,定义可以通过网络接收恢复保险等信息的为FPGA_Ⅰ,另一个为FPGA_Ⅱ。根据FPGA_Ⅰ与FPGA_Ⅱ各需要接收不同环境信号的幅值、持续时间等特征,建立不同的识别环境信号逻辑。通过加入保险使能信号使电子安全系统可以顺序输出各级保险解保信号,当输出当前保险解保信号时才允许打开下级保险使能信号,由此建立两个FPGA之间环境信号处理的时序逻辑。其中FPGA_Ⅰ用于接收第1级保险的环境信号以及恢复保险信息,同时负责输出第2级保险即SW2静态开关的闭合信号。FPGA_Ⅱ则用于接收第2级解保环境信号,输出第1级保险SW1静态开关及目标基保险SWD动态开关闭合信号。具体结构如图3所示。多态安全控制系统信号输入输出结构图中所表示的各级信号含义如表1所示。
图3 多态安全控制系统信号输入输出结构图Fig.3 Signal input and output of the polymorphic safety control system
表1 系统输入输出及内部信号说明
根据巡飞弹引信电子安全系统的结构,多态安全逻辑控制流程为:
1) 上电后,开启SW1使能信号。
2) FPGA_Ⅰ识别环境信号1,若环境信号在一定持续时间内正常,向FPGA_Ⅱ发送允许SW1解保信号,FPGA_Ⅱ输出SW1解保信号使其闭合,同时向FPGA_Ⅰ发送SW2使能信号。
3) FPGA_Ⅱ开启时间窗,若在时间窗内接收环境信号2,则确保弹道环境正常,向FPGA_Ⅰ发送允许SW2解保信号,FPGA_Ⅰ输出SW2解保信号使其闭合,同时向FPGA_Ⅱ发送SWD使能信号。
4) FPGA_Ⅰ通过网络收到任务分配结果被选中参加打击任务,则向FPGA_Ⅱ发送允许SWD解保信号,FPGA_Ⅱ输出占空比一定的高低电平信号使SWD闭合。
5) 若FPGA_Ⅰ通过网络收到恢复保险指令,则向FPGA_Ⅱ发送恢复保险信号,FPGA_Ⅱ停止输出高低电平信号,控制外围电路停止向发火电容充电,并泄放电压,目标基保险恢复。
图4 多态安全逻辑控制流程算法Fig.4 Polymorphic safety logic control flow algorithm
6) 若FPGA_Ⅰ通过网络收到回收指令,则停止向FPGA_Ⅱ发送SWD使能信号,并且向FPGA_Ⅱ发送安全状态锁定信号,即打开目标基保险闭锁,确保目标基保险不会解除,巡飞弹处于绝对安全状态。
7) 若未在预定时间窗内识别到正确的弹道环境,或出现由于失控无法恢复安全状态等情况时则会进入故障状态。
8) 当待发节点由脱网无法接收指令时,则应在预设定三自处理时间到达时进行自毁。
多态安全逻辑控制流程算法如图4所示。
为确保FPGA可以正确按照不同信号输入进行输出,基于电子安全系统,首次提出采用状态机控制巡飞弹引信的安全状态转换,通过多个状态机的配合,可以有效识别正确的保险解除环境信号及出现时序,在指定条件下完成保险解除、恢复、安全状态的锁定,并从理论分析阶段发展为试验验证阶段,证明了该方法的可行性。在每个 FPGA内部设置状态机保存引信当前的安全状态,在当前状态下,根据设定的输入输出关系,确保引信可靠的进行多态安全逻辑控制,在需要恢复保险时,通过状态机实现安全状态的转换,在需要进行安全锁定时,可以储存当前状态保持不变,使引信安全性得到有效保障。
图5 FPGA_Ⅰ内部运行状态机Fig.5 FPGA_Ⅰ internal running state machine
图5为FPGA_Ⅰ内部运行的状态机,其中!SWD_sig、!en_SWD表示停止SWD_sig、en_SWD信号的输出,其余输入输出信号与表中信号相同。上电后为初始状态,环境信号1识别成功后进入识别成功状态并输出允许SW1解保信号;收到SW2使能信号后,此时代表SW1已闭合,进入一级保险解除状态;若收到故障信号则进入故障状态锁死,无法进行正常的状态转换;若未收到允许SW2解保信号,输出信号使SW2闭合,且发送SWD使能信号,进入二级保险解保状态;通过网络接收到任务分配,输出允许SWD闭合信号,进入二级环境识别成功状态;接收到SWD闭合反馈信号后进入目标基保险解保状态,表明此时引信处于待发状态;当需要回收、迭代打击时,通过网络收到恢复保险指令后则发送恢复保险信号,且停止发送允许SWD闭合信号,状态恢复至二级保险解保状态;若收到FPGA_Ⅱ发送的故障信号则进入故障状态;收到安全锁定指令后发送锁定信号,并停止发送SWD使能信号,确保目标基保险无法进行解保;最后回收后通过安全重置指令,各级保险恢复到初始状态,可以参加后序打击任务。当巡飞弹节点脱网时在预设定时间后输出自毁信号。
图6为FPGA_Ⅱ内部运行状态机,其中! SWD_FK、! SWD表示停止SWD_FK、SWD信号的输出,其余输入输出信号与表1中信号相同。上电后初始状态,接收SW1使能进入等待状态;收到允许SW1闭合信号后,输出高电平信号使SW1闭合,进入一级保险解除状态,同时输出SW2使能;之后不在时间窗状态中收到环境信号2时,进入故障状态,同时向FPGA_Ⅰ发送故障信号;若等待设定cnt计时器开启时间窗后,进入时间窗状态;若收到环境信号2,则发送允许SW2闭合信号,进入环境信号2识别成功状态;收到SWD使能信号后,意味着SW2成功闭合,则进入二级保险解保状态;收到允许SWD闭合信号后,输出高低电平信号驱动SWD闭合,进入目标基保险解除状态即待发状态,同时发送SWD闭合反馈信号;当收到FPGA_Ⅰ发送的恢复保险信号后,停止输出SWD闭合以及SWD闭合反馈信号,回到二级保险解除状态;若收到高压电路反馈信号发火电容未放电时,进入故障状态;当回收时,收到安全状态锁定信号后,进入安全锁定状态;当回收后通过接收安全重置信号回复到初始状态。
图6 FPGA_Ⅱ内部运行状态机Fig.6 FPGA_Ⅱ internal running state machine
4 仿真与实验验证
4.1 仿真验证
基于FPGA进行仿真验证,利用模块化设计思想分别进行顶层结构与内部状态机的设计,图7为顶层程序编辑完成后生成的结构示意图,与本文第3节所设计的两个FPGA间输入输出信号关系以及结构均相同。
图8、图9为两个FPGA模块内部程序编写完成后生成的状态转移图,其中图8为FPGA_Ⅰ内部运行的状态机,图9为FPGA_Ⅱ内部运行的状态机,与本文第3节设计的两个FPGA内部运行的状态机相同。
图7 多态安全控制系统RTL仿真示意图Fig.7 Schematic diagram of RTL simulation of polymorphic safety control system
图8 FPGA_Ⅰ内部状态机仿真示意图Fig.8 Schematic diagram of FPGA_Ⅰ internal state machine simulation
图9 FPGA_Ⅱ内部状态机仿真示意图Fig.9 Schematic diagram of FPGA_Ⅱ internal state machine simulation
实现FPGA顶层结构与多态安全逻辑控制过程中内部状态机的设计后,通过仿真分别验证多态安全逻辑控制过程中各解保信号的输出与状态的转换。
采用独热码表述多态安全逻辑控制过程中的FPGA各状态,各状态编码如表2所示。
分别对环境信号2未在时间窗内出现导致安全系统锁死、迭代打击时目标基保险恢复后在解保、回收时恢复保险后进行安全状态锁定和回收后安全重置的3种情况进行仿真验证。仿真时设定正常的环境信号1为2个时钟周期的高电平信号,环境信号2为3个时钟周期的高电平信号,任务分配决策为一个时钟周期的高电平信号。
图10为未在时间窗内出现安全系统锁死过程。当一级解保信号env_1满足预设定值时,说明发射环境正常,安全系统输出一级保险解保信号。当弹道环境信号env_2在预设定时间窗内之前出现,SW2信号保持低电平,FPGA_Ⅱ进入故障状态。并且可以发现即使当有决策信号输入时,目标基保险也未解保,满足进入故障保险的逻辑并且状态正确。
图11为巡飞弹引信恢复保险再解保的过程。可以看出,当一级环境信号满足预设定值,环境信号2在预设定时间窗的状态内出现,且收到打击任务时,安全系统判断各级环境信号正常且满足顺序与时间窗的约束条件,三级保险正常解保。当待发节点需要恢复至巡飞状态,收到恢复保险信号时,SWD停止输出,同时后续发火电容快速泄能,由目标基保险解保状态进入二级保险解保状态。当进行迭代打击执行下一次目标打击任务,收到任务分配决策信号时,SWD正常输出高低电平信号,目标基保险再一次解除,发火电容充电,进入待发状态。仿真结果与安全系统设定的解保与恢复逻辑一致。
图12为巡飞弹回收时引信安全锁定与回收后安全状态重置的过程。同样的,当三级环境信号正常且按照预设定的时序和时间窗出现时,解保信号均正常输出。各级保险正常解保后,在需要进行回收前首先需要进行保险恢复,SWD停止输出,随后接收安全状态锁定信号,关闭SWD使能,EN_SWD信号拉低,确保回收过程中SWD无法解保即巡飞弹无法进入待发状态。在回收后,通过专用接口接收安全重置信号,FPGA内部各级信号均恢复到初始状态即巡飞弹处于初始安全状态,可用于后续打击。仿真结果与安全系统设定的回收及重置逻辑一致。
图13为当巡飞弹节点在进入待发状态后,由于脱网无法接收恢复保险、起爆等指令时,在预定时间达到后进行自毁处理。为了便于观察仿真结果,将自毁时间设置为10 μs,根据仿真波形可以看出,在三级保险均解除后,10 020 ns后自毁信号拉高,发火电容放电自毁。
表2 各状态说明及对应独热码编码Table 2 Description of each state and corresponding one-hot code encoding
通过对巡飞弹可能面临的环境信号异常、迭代打击、回收、自毁等作战情况进行巡飞弹引信安全控制过程进行仿真验证,结果表明,本文设计的引信安全系统可以实现巡飞弹的多态安全逻辑控制。
4.2 试验验证
对各级解保环境正常且满足时序及时间窗的约束时各引脚输出电平进行采集,模拟恢复保险后再解保的迭代打击工况,观察各引脚输出电平变化,验证仿真的正确性。将FPGA开发板中的4个按键分别模拟3个解保信号以及恢复保险信号。为了便于试验过程中有较长的按键时间间隔,并且考虑到示波器触发模式的反应时间,设定在一级保险解除1 s后开启时间窗,且时间窗设置为2 s。
图14为各级保险正常解保时输出波形,其中CH1信号代表SW1解保信号,CH2信号代表SW2解保信号,CH3信号代表SWD解保信号。由图14可以看出,环境信号2在一级保险解保2 s后出现,符合试验设定时间窗范围,因此输出高电平使二级保险解保。三级保险的解保信号为一定占空比的高低电平,与仿真结果一致。
图15为收到恢复保险后再解保的电平变化。由图15可以发现,在收到恢复保险信号后,停止输出高低电平信号,目标基保险断开,巡飞弹处于二级保险解除的巡飞状态,再一次分配打击任务时,继续输出高低电平信号,巡飞弹及时进入待发状态,等待起爆信号到来。
图10 环境信号2未在时间窗内出现时仿真结果Fig.10 Simulation results when environmental signal 2 does not appear within the time window
图11 恢复保险后再解保仿真结果Fig.11 Simulation results of uninsurance after reinstatement
图12 回收时仿真结果Fig.12 Simulation results during recycling
图13 设定时间自毁信号输出仿真结果Fig.13 Simulation results of set time self-destruct signal output
图14 各级保险正常解保时各引脚输出波形Fig.14 Output waveforms when all levels of insurance are released normally
图15 恢复保险后再解保输出波形Fig.15 Output waveform of releasing insurance after recovering insurance
5 结论
本文根据巡飞弹特殊作战情况的分析,提出巡飞弹引信多态安全逻辑控制的概念。通过设计巡飞弹引信可恢复保险的解保逻辑,计算巡飞弹引信发射前意外解保的概率为6.455×10-9,满足引信安全性设计准则的要求。通过对基于电子安全系统的多态安全逻辑控制结构、流程算法及FPGA内部状态机的设计,实现巡飞弹引信的多态安全逻辑控制。最后通过仿真与试验验证了在各级解保环境顺序出现的情况下,一、二级解保信号按照设定跳转到高电平,时间窗在一级保险解保1 s后开启以及2 s保持时间的有效性,目标基解保信号可以按照设定75%占空比进行输出,脱网状态的待发节点可以在设定值10 μs后进行自毁。当环境信号错误出现,恢复保险以及回收情况下各解保信号与状态也可以按照逻辑设定输出变化,证明多态安全逻辑控制过程满足巡飞弹的作战需求。