0 引言

对于电子安全系统设计,关键在于解除保险逻辑。相较于机械安全系统和机电安全系统,电子安全系统有更多的解除保险环境选择,搭配合理的时序逻辑设计,能够更大程度的确保弹道安全以及可靠解除保险[1]。20世纪80年代开始,电子安全系统因其可靠性、灵巧性、低成本等特点得到广泛应用[2-3]。国内学者对电子安全系统的逻辑安全性和硬件设计等开展了许多研究,文献[4]首次采用马尔科夫模型对具有不同逻辑结构的引信安全系统在勤务处理环境激励作用下的安全性进行了分析,指出了对系统实行时间窗控制是提高引信安全系统安全性的最佳方法。文献[5]提出3个环境激励控制3个保险件的5种解除保险逻辑设计。采用马尔科夫理论对这5种逻辑模型的安全性进行了比较、分析和排序。得出系统中采用3个独立保险件加2个时间窗,且同时闭合的解除保险逻辑模型的安全性最高。文献[6]对安全系统的模型进行了改良,证明了可恢复与冗余设计在引信安全系统中的优越性。文献[7]对巡飞弹电子安全系统进行了设计,应用FPGA 芯片进行仿真验证。可见对于提高电子安全系统的安全性,主要通过增加环境信号到来的时间窗和顺序控制实现,但在环境顺序一定的情况下,时间窗也只能设置在有窗口特性的环境信号中,且过多的增加时间窗控制,也会导致引信可靠解除保险的概率降低,所以应该提出新的解除保险逻辑来提高弹药的安全性。本文中提出采用2个信号控制一个开关的方式和考虑异常环境安全状态锁定的逻辑,计算分析解除保险逻辑意外解除保险的概率。并设计基于FPGA+单片机协同控制的解除保险控制逻辑,考虑共因失效对2个逻辑控制装置的影响,采用马尔科夫理论模型验证了全电子安全系统的失效率满足GJB373B—2019《引信安全性设计准则》的要求。

1 电子安全系统解除保险逻辑

提高引信的固有安全性有2个基本的途径:一是增加独立保险件的个数;二是设计合理的安全保险控制逻辑。安全系统至少采用两个独立保险件是安全性设计的基本要求,如果增加保险件,则有可能导致安全系统失效率明显提高,因此对保险件的解除保险可靠度要求更高。对于电子安全系统,通常采用2个控制器控制2个静态开关和1个动态开关的结构,有效地提高电子安全系统的安全性[1]。

对于电子安全系统解除保险逻辑,包括总体解除保险逻辑(为方便表述下文简称解除保险逻辑)和双微控制器的控制逻辑。解除保险逻辑即不同环境信号如何对应控制3个保险开关的逻辑,双微控制器的控制逻辑是解除保险逻辑的具体实现,包括双微控制器的相互验证,相互协同等。在进行电子安全系统控制逻辑设计时,先进行解除保险逻辑的设计,再进行双微控制器的控制逻辑设计。

常用的解除保险逻辑设计方法有时间窗控制,顺序控制等,如文献[5]的解除保险逻辑模型1,文献[8]的模型2,以及模型3,如图1—图3所示。模型1为3个环境信息按顺序控制3个保险开关,第二环境信息增加时间窗控制,环境信息2在时间窗内到来解除第二道保险开关,否则开关k4打开,系统安全状态锁定,不再进行解除保险。模型2第一、二环境信息增加时间窗控制,环境信息1和环境信息2均要在时间窗内到来,否则开关k4、k5打开,安全状态锁定。模型3在模型1的基础上,再增加一级保险开关k4,需要环境信息4到来解除。

可见通常设计的解除保险逻辑,一个环境信号对应控制一个保险开关。实际上引信系统会经历多种环境信息,在不同阶段有不同特征,采用多传感器信息融合的方式,即多个环境信息均满足条件才解除一道保险开关的控制逻辑,可提高弹道识别的准确性及电子安全系统的安全性。同时考虑异常环境的情况,通过合理选取阈值,在外弹道任意时刻,若传感器检测到超出正常弹道环境的信息,电子安全系统将安全状态锁定,断开所有已打开的开关,进入故障保险状态。

解除保险逻辑过程如图4所示,k1、k2和k3分别为2个静态开关和动态开关,1～3分别代表了正常的弹道环境信号,e为异常的环境信号。在“阈值+时间窗+顺序”的基本规则之上,第二道保险需要两路环境信息1和1′均满足才解除保险,其中环境信息1′与第一道保险的环境信号1同源,即使用同一个信号识别电路识别同一环境信息在弹道不同时刻的值,环境信息2为独立的另一环境信息。

解除保险逻辑为:环境信号1到来后,解除第一道保险,同时开启时间窗计时和第二道保险解除使能;环境信号1′和环境信号2在时间窗内到来,解除第二道保险,同时开启第三道保险解除使能;当环境信号3到来,解除第三道保险,电子安全系统进入待发状态。若环境信息未按顺序到来,或未在时间窗内到来,均不解除保险。添加异常环境保险锁定逻辑,如在任意时刻,出现异常环境信号e,电子安全系统锁定在安全状态,不再解除保险。

2 解除保险逻辑安全性分析

采用马尔科夫理论模型计算电子安全系统保险与解除保险逻辑在带电检测过程或上电后意外解除保险的概率,这里假设硬件部分失效率为零。将弹药发射到解除保险过程分为n个时间段,在每个时间间隔中,不同环境激励出现的概率相同,且相互独立,解除保险环境出现的概率为Pi(i = 1,2,…);在每个区间中,每种环境激励最多出现一次;定义第二级保险解除保险信号在时间窗内出现的概率λ=Δt/T,式中:T为所分区间的大小;Δt为某环境因素作用时间。将引信安全系统分为几个不同的状态,状态之间的转换只与环境激励有关,几种状态之间的转换就是一次齐次马尔科夫过程,t0～t1间状态的转换概率由一步转移概率矩阵表示,则tn～tn+1之间状态转移概率由n步转移概率矩阵表示[4]。

现将电子安全系统的状态划分为4个:

① 保险状态,开关k1,k2和 k3均打开;

② 半解除保险状态,开关k1、k2闭合,k3打开;

③ 解除保险状态,开关k1、k2、k3闭合,发火电容开始充电;

④ 异常状态,环境信号未在时间窗内出现,开关k1闭合,k4打开,或异常环境信号e到来,所有开关打开;

状态转移如图5所示。根据状态转移图,对状态转移概率分析:

①→①:环境信号1与环境异常信号e均未出现,系统保持保险状态,则P11=(1-P1)(1-Pn);

①→②:情况一:环境信号1′、2在环境信号1出现后Δt内出现,且环境信号3未出现;情况二:环境信号1′、2在环境信号1出现后Δt内出现,环境信号3先于环境信号1′、2出现,则P12=P1P2P3λ(1-P4)(1-Pn)/2+P1P2P3P4(1-Pn)λ/3;

①→③:环境信号1、2、3顺序出现且环境信号1′、2在环境信号1出现后Δt内出现,则P13=P1P2P3P4(1-Pn)λ/6;

①→④:情况1:环境信号1出现后Δt内环境信号1′或2未出现,则k4打开;情况2:环境异常信号e出现;系统进入异常状态,则P14=P1P2P3(1-Pn)(1-λ)/2+P1P2P3(1-Pn)/2+P1(1-Pn)(1-P2P3)+Pn;

②→②:环境信号3与环境异常信号e均未出现,则P22=(1-P4)(1-Pn);

②→③:环境信号3出现,环境异常信号e未出现,则P23=P4(1-Pn);

②→④:环境异常信号e出现,P24=Pn;

③→③:系统处于待发状态,环境异常信号e未出现,则P33=1-Pn;

③→④:异常环境信号e出现,则P34=Pn;

④→④:系统处于异常状态,安全状态锁定,不再解除保险,则P44=1;

其余状态转移概率为0。

则一步转移概率矩阵为

代入n步转移概率矩阵公式

A(n)=An

(1)

则在第n个区间,安全系统解除保险的概率为

(2)

根据文献[5]假设P1=P2=P3=P4=10-3,λ=10-2,n=50,代入n步转移概率矩阵公式,计算出了这4种解除保险逻辑的意外解除保险概率,计算结果如表1所示。

由计算结果可得出:

1) 对比模型1和模型2,添加时间窗控制,意外解除保险概率大大降低。

2) 对比模型1和模型3,增加一个环境信息控制一个保险开关对意外解除保险概率影响不大。

3) 对比模型4与模型1,模型4在不增加时间窗的情况下意外解除保险概率大大降低,与模型2接近,安全性有较大提高。

综上,通过增加一个环境信息控制一个开关对安全性影响不大,且增加新的环境信息还需要另外的环境信号处理电路和传感器,不利于小型化和低成本,故障率也会增加。采用2个环境信号相与控制一个开关的解除保险逻辑在不增加时间窗的情况下,使解除保险逻辑安全性有较大提高,且不增加硬件资源,异常环境出现安全状态锁定的逻辑也有利于全弹道安全。

3 双微控制器控制逻辑及系统失效率分析

3.1 双微控制器控制逻辑

由FPGA与单片机组成的双微控制器协同控制实现模型4的解除保险逻辑,系统原理框图如图6所示。每一个环境信号处理电路均通过2个控制器进行特征识别,识别结果经过2个控制器相互验证后确定。其中环境信号1与环境信号1′为同一个环境信号识别电路在弹道不同时刻的值。主要控制逻辑为:弹药发射后,FPGA与单片机开始检测环境信号1,单片机将检测结果发送到FPGA;若FPGA验证正确,输出控制SW1解除第一道保险,并向单片机发送SW2使能信号;单片机收到使能信号开始时间窗计时,并开始检测环境信号1′和环境信号2,当在时间窗内检测到环境信号并验证正确后,单片机发出SW2控制信号解除第二道保险并向FPGA发送SWD使能信号;若单片机未收到SW2使能信号,无论环境信号是否到来,均不会解除第二道保险;同理FPGA收到单片机的SWD使能信号后开始检测环境信号3,并对比单片机的检测结果,输出控制第三道保险。若FPGA未收到SWD使能信号,无论环境信号是否到来,均不会解除第三道保险;若未在时间窗检测到环境信号1′和环境信号2,或在任意时刻检测到异常环境信号,所有保险开关断开,系统锁定在故障保险状态。

3.2 系统失效率分析

3.2.1 状态划分

将全电子安全系统的3个开关均处于导通和动态开关开启升压作为系统失效[10],将全电子安全系统分为8个状态。

安全状态:

① SW1,SW2和 SWD均断开;

故障状态:

② SW1导通,SW2、SWD断开;

③ SW2导通,SW1、SWD断开;

④ SWD导通,SW1、SW2断开;

⑤ SW1、2导通,SWD断开;

⑥ SW1、SWD导通,SW2断开;

⑦ SW2、SWD导通,SW1断开;

失效状态:

⑧ SW1、SW2、SWD均导通;

在马尔科夫模型中考虑不同单元失效导致系统的状态转移就可以分析系统的安全性。令2个静态开关和动态开关在通电状态发生短路的概率为Ps1、Ps2、Ps3。控制器FPGA和单片机误识别导致失效的概率为Pf1s、Pf2s,其中包括环境意外到来的概率与识别电路器件失效概率。控制器FPGA和单片机器件故障导致失效的概率为Pf1、Pf2,考虑共因失效的影响,β因子模型是目前最广泛使用且完善的处理共因失效的方法[9],通过β因子将单元的总故障率分为由共因故障引起的失效以及独立失效,则FPGA的独立失效率为(1-β1)Pf1,单片机独立失效率为(1-β2)Pf2,共因失效率为β1Pf1=β2Pf2。

3.2.2 状态转移分析

根据系统的状态以及导致状态转移的单元失效画出系统状态转移如图7所示。

状态转移概率分析:

①→②:静态开关SW1短路或FPGA误识别环境信号1且无异常环境信号,则P12=Ps1+Pf1s(1-Perr);

①→③:静态开关SW2短路或单片机独立失效,则 P13=Ps2+(1-β)Pf2;

①→④:动态开关SWD短路,则P14=Ps3;

①→⑥:FPGA独立失效,则P16=(1-β)Pf1;

①→⑧:FPGA与单片机共因失效,则P18= β*Pf1+β*Pf2;

①→①:未出现任何故障,P11=1-P12-P13-P14-P16-P18;

②→⑤:静态开关SW2短路或单片机独立失效或单片机在时间窗内误识别环境信号2且无异常环境信号,P25= Ps2+(1-β)Pf2+Pf2s*Pf2s*k(1-Perr);

②→⑥:动态开关SWD短路或FPGA独立失效,P26=Ps3+(1-β)Pf1;

②→⑧:FPGA与单片机发生共因失效,P28=β*Pf1+β*Pf2;

②→②:未出现任何故障,P22=1-P25-P26-P28;

③→⑤:静态开关SW1短路或FPGA误识别环境信号1,P35=Ps1+Pf1s;

③→⑦:动态开关SWD短路,P37=Ps3;

③→⑧:FPGA失效,P38=Pf1;

③→③:未出现任何故障,P33=1-P35-P37-P38;

④→⑥:静态开关SW1短路或FPGA独立失效或FPGA误识别环境信号1,P46=Ps1+(1-β)Pf1+Pf1s;

④→⑦:静态开关SW2短路或单片机独立失效,P47=Ps2 +(1-β)Pf2;

④→⑧:FPGA与单片机共因失效,P48=β*Pf1+β*Pf2;

④→④:未出现任何故障,P44=1-P46-P47-P48;

⑤→⑧:动态开关SWD短路或FPGA失效或FPGA误识别环境信号3且无异常环境信号,P58=Ps3+Pf1+Pf1s(1- Perr);

⑤→⑤:未出现任何故障,P55=1-P58;

⑥→⑧:静态开关SW2短路或单片机失效,P68=Ps2+Pf2;

⑥→⑥:未出现任何故障,P66=1-P68;

⑦→⑧:静态开关SW1短路或FPGA失效或FPGA误识别环境信号1,P78=Ps1+Pf1+Pf1s;

⑦→⑦:未出现任何故障,P77=1-P78;

⑧→⑧:系统已经处于失效状态,P88=1;

其余状态转移概率为0。

3.2.3 系统失效率计算

根据文献[10],当T=1 min,静态开关发生短路的概率 Ps1=7.43×10-9,Ps2=6.67×10-9,动态开关短路的概率Ps3=2.25×10-9,误识别的概率包括环境意外到来的概率与识别电路器件失效概率,环境意外到来概率根据文献[4]取1×10-3,识别电路器件失效概率为1.00×10-8,则Pf1s=Pf2s=1.000 010 8×10-3,控制器FPGA器件故障导致失效的概率为Pf1=5.1×10-9,单片机失效概率Pf2=1.94×10-9,共因失效β因子根据IEC61508-6标准所给出半经验公式的β因子评估方法,通过查表计算,FPGA与单片机的共因失效因子β=0.02。

根据转移概率,列出状态转移矩阵,将概率数据带入矩阵,令n=50,由式(1)和式(2)求得意外解除保险概率为7.530 3×10-9,满足引信安全性设计的要求。当2个微控制器采用相同的控制芯片,令共因失效因子β=0.05,求解得意外解除保险概率为1.804 8×10-8,明显大于采用异质双微控制器的失效率,且随着β增大,差距也增大。故采用FPGA+单片机的异质双核心逻辑控制装置能有效提高系统安全性。

4 结论

本文中针对弹药引信安全性问题,提出采用多传感器信息融合的方式,实现2个环境信号控制一个开关和异常环境安全状态锁定的控制逻辑,设计了电子安全系统解除保险逻辑,并计算了其失效率,结论如下:

1) 采用时间窗、2个环境信号控制一个开关的方式和考虑异常环境安全状态锁定的逻辑均能较大的降低系统意外解除保险的概率,所设计的解除保险逻辑能提高系统的安全性。

2) 设计了基于双微控制器的控制逻辑,计算了考虑共因失效的系统失效率,结果证明了相较于采用2个相同逻辑控制装置的系统安全性更高。

参考文献：

[1]何光林,范宁军.引信安全系统分析与设计[M].北京:国防工业出版社,2016.HE Guanglin,FAN Ningjun.Fuze security system analysis and design[M].Beijing:National Defense Industry Press,2016.

[2]ROBERT N J.Electronic safety and arming device for the 105 mm STAR ATO demonstration[C]//56th Annua1 Fuze conference.USA:NDIA,2012.

[3]TURNER L J.Lightweight multirole missile integrated SAFU &lethal payload[C]//56th Annual Fuze confere-nce.USA:NDIA,2012.

[4]施坤林,谭惠民.马尔科夫理论在引信安全系统安全性分析中的应用[J].现代引信,1991(4):9-20.SHI Kunlin,TAN Huimin.The application of markov theory in the safety analysis of fuze safety systems[J].Modern Fuze,1991(4):9-20.

[5]何光林.引信电子安全系统解除保险逻辑分析[J].北京理工大学学报,2008,28(12):1083-1087.HE Guanglin.Logic analysis of fuze electronic security system release insurance[J].Journal of BeijingUniversity of Technology,2008,28(12):1083-1087.

[6]许皓文,尚雅玲,惠江海.马尔科夫理论在引信安全系统可靠性分析中的应用[J].四川兵工学报,2015,36(11):41-44.XU Haowen,SHANG Yaling,HUI Jianghai.Markov theory in reliability analysis of fuze safety system[J].Sichuan Journal of Ordnance Technology,2015,36(11):41-44.

[7]李少卿,彭志凌,赵河明,等.巡飞弹电子安全系统程序设计与仿真[J].兵器装备工程学报,2022,43(5):303-308.LI Shaoqing,PENG Zhiling,ZHAO Heming,et al.Design and simulation of electronic safety system program of cruise missile[J].Journal of Ordnance Equipment Engineering,2022,43 (5):303-308.

[8]甘雨.鱼雷引信全电子安全系统保险与解除保险逻辑设计[J].鱼雷技术,2012,20(6):467-471.GAN Yu.Design for safety and arming logic in torpedo fuze ofelectronic security system[J]．Torpedo Technology,2012,20(6):467-471.

[9]张振海,王悦榕,党建武.考虑共因失效的列控车载子系统可靠性分析[J].铁道学报,2021,43(9):63-70.ZHANG Zhenhai,WANG Yuerong,DANG Jianwu.Reliability analysis of train control on-board subsystem considering common cause failure[J].Journal of Railways,2021,43(9):63-70.

[10]汪仪林,马秋华.全电子安全系统失效率计算[J].探测与控制学报,2023,45(1):1-10.WANG Yiling,MA Qiuhua.Calculation of failure rate of all electronic security systems[J].Journal of Detection and Control,2023,45(1):1-10.

Control logic design of electronic safety system and failure rate calculation

HUANG Zhida, HUANG Xuegong

(Nanjing University of Science and Technology, Nanjing 210094, China)

Abstract：In view of the increasing safety requirements of modern warfare munitions, a new design method of electronic safety system arming logic is proposed, and the accidental arming probability of different safety logic is compared and calculated by using Markov theory, and the results show that the control logic using time window, two environmental signals to control a switch and the abnormal environment security state locking has higher safety. The all-electronic safety system arming logic based on dual microcontrollers is designed, and the accidental disarming probability of different safety control logic device combinations considering common cause failure is calculated, and the results show that the heterogeneous dual core logic control device has higher safety with a failure rate of 7.530 3×10-9, meeting the requirements of GJB373B—2019 fuze safety design guidelines.

Key words：fuze; electronic safety system; arming logic; failure rate

本文引用格式：黄志达,黄学功.电子安全系统解除保险逻辑设计与失效率计算[J].兵器装备工程学报,2024,45(8):140-145.

Citation format：HUANG Zhida, HUANG Xuegong.Control logic design of electronic safety system and failure rate calculation[J].Journal of Ordnance Equipment Engineering,2024,45(8):140-145.

中图分类号：TJ430

文献标识码：A

文章编号：2096-2304(2024)08-0140-06

doi：10.11809/bqzbgcxb2024.08.019

收稿日期：2023-10-08;修回日期:2023-11-10;录用日期:2023-12-24

作者简介：黄志达(1999—),男,硕士研究生,E-mail:1987829413@qq.com。

通信作者：黄学功(1970—),男,副研究员,E-mail:huangxg@njust.edu.cn。

科学编辑 徐萧 博士(北京理工大学 研究员)

责任编辑 贺 柳