導彈攻擊過程的STAMP/STPA任務失效及仿真研究*

李 俊，胡劍波，王應洋，邢曉波

(空軍工程大學裝備管理與無人機工程學院，西安 710051)

0 引言

安全性是系統的涌現特性，傳統的安全性分析方法例如故障樹分析方法[2]是基于事件鏈的安全分析方法，但其基本事件的選擇具有較強的主觀性，同時分析人員難以掌握系統中的各個事件對系統的影響，因此難以得到導致事故的真正原因。隨著計算機的廣泛應用，以及系統設計的復雜性和耦合性不斷增強，組件交互、軟件設計缺陷、人員溝通錯誤等新型事故致因的出現使得人們認識到傳統的安全分析方法難以滿足復雜系統的安全性需求，迫切需要一種更加全面系統的安全分析方法。

安全性對于武器裝備來講，主要在于武器裝備是否能夠完成任務，以導彈攻擊過程為例，除了導彈本身材料等對導彈執行任務能否完成的影響需要考慮之外，設計合適的導引律是至關重要的，另外如何針對實際情況，及時正確使用導引律顯得更為關鍵。如何精確打擊到目標對導引律設計者提出了新的要求——彈道高度和擊中目標的角度，因此需要進行帶有攻擊角度約束的導引律的設計，從而提高導彈的打擊精度和殺傷力，更好的完成戰斗任務。過去學者們研究導彈的安全性，總會聚焦在消除抖振[4]以及導引律的設計與改進上。例如，文獻[5]在變結構導引律的基礎上，引入終端攻擊角度約束，并應用模糊規則對導引律中的變結構開關項系數增益進行了在線調節，仿真實驗表明，該導引律降低了變結構控制系統的抖振，具有很強的魯棒性。然而導彈攻擊過程的安全性必須系統的考慮各組成部分之間的交互以及軟件本身的設計，目前尚未有公開文獻顯示有學者對導彈攻擊過程任務失效進行系統的研究。

針對上述有關導彈攻擊過程任務失效的研究現狀，文中首先介紹一種新型基于系統理論的安全分析方法STPA[6]，然后建立導彈攻擊過程的STAMP模型[7]，采用STPA進行不安全控制行為識別及原因分析，最后進行了相關的仿真研究。

1 STPA方法介紹

美國麻省理工大學Leveson教授提出了STAMP事故致因模型，認為事故是由于控制的不足導致的。STAMP認為安全性是系統的動態的特性，必須對整個系統的運行實時觀測，不斷調整控制輸入，從而使輸出滿足安全性的需求。STPA方法是對STAMP模型的進一步深化，該方法已經成功的應用于航空航天[8-9]、交通運輸[10]、導彈[11]、生物防御[12]等領域。

STPA方法在分析人為錯誤、軟件設計和組件交互等事故致因上具有較強的優勢。其應用前提是確定系統級危險、系統級約束和建立系統的內部控制/反饋回路(如圖1)，然后，嚴格分析這些回路，以識別在某些條件下沒有提供控制信號時是不安全的控制作用；在某些條件下提供控制信號時是不安全的控制作用；當以不正確時機或者錯誤順序提供時是不安全的控制作用；當停止太快或者提供控制信號過久時是不安全的控制作用。

2 導彈攻擊過程STAMP模型

導彈進行目標打擊時，制導計算機首先需要從外部通過目標探測裝置等方式獲取目標的各種參數信息。其次制導計算機將位置信息等傳輸給導彈的自動駕駛儀。然后自動駕駛儀根據位置信息選擇相應的控制規律傳輸至舵機。舵機控制舵面、調整彈體的姿態、控制彈體的飛行姿態以及下降速度。最后姿態信息和速度信息傳遞給自動駕駛儀，如果偏差較大自動駕駛儀會通過控制舵機再次進行糾偏調整。另外導彈探測裝置也會將導彈的實時數據傳輸給制導計算機，結合目標探測裝置獲取的目標實時信息去下達新的控制指令。整個控制過程制導計算機與自動駕駛儀緊密配合，分析目標信息、環境信息等，選擇最佳的導引律成功地打擊目標，完成相應的戰斗任務。

根據上述控制過程的描述，建立如圖2的導彈攻擊過程STAMP模型。

圖2 導彈攻擊過程STAMP模型

3 導彈攻擊過程任務失效分析

3.1 系統級事故

系統級事故是指整個系統中，導致不希望的或意外的事件發生，例如人員受傷或死亡、財產損失以及任務失效等等。在導彈攻擊過程的系統級事故主要有導彈未能命中目標(A-1)、導彈空中解體或爆炸(A-2)和導彈命中目標的角度未滿足需求(A-3)。具體如表1所示。

表1 導彈攻擊過程的系統級事故

3.2 系統級危險

系統級危險是指一個系統狀態或者一系列條件，在特定的環境之下，可能會導致多個事故的發生。導彈控制系統中的系統級危險主要有導彈失控、導彈飛出預定軌道以及導彈與低空或者高空障礙物發生碰撞3種。具體如表2所示。

表2 導彈攻擊過程的系統級危險

導彈失控(H-1)是指制導計算機的指令下達過晚、導引律設計不合理、外在干擾超限等導致導彈失控，對打擊任務的執行有著嚴重的影響，可能會導致導彈未能命中目標(A-1)、導彈空中解體或爆炸(A-2)以及導彈命中目標的角度未滿足需求(A-3)；導彈飛出預定彈道(H-2)是指制導計算機過晚給控制指令、指令傳輸過程中的延遲過大以及導引律下達不準確，可能會導致導彈未能命中目標(A-1)、導彈空中解體或爆炸(A-2)以及導彈命中目標的角度未滿足需求(A-3)；導彈與低空或者高空障礙物發生碰撞(H-3)主要是指沒有事先考慮導彈飛行過程中遇到的障礙物以及導引律的下達不及時，可能會導致導彈未能命中目標(A-1)及導彈空中解體或爆炸(A-2)。

3.3 不安全的控制行為

文中主要是分析提供導引律這一控制動作對導彈攻擊過程的影響。主要分為以下6種情況：

1)需要提供導引律時，自動駕駛儀沒有提供相應的導引律；

2)自動駕駛儀提供了不正確的導引律；

3)自動駕駛儀提供了正確的導引律，但是舵機沒有完全的執行；

4)自動駕駛儀過晚提供導引律；

5)自動駕駛儀過早提供導引律；

6)自動駕駛儀提供的導引律控制時間過短。

具體不安全控制行為(UCA)及其可能導致的危險如表3所示。

表3 不安全控制行為

3.4 關鍵原因分析

STPA方法認為不安全控制行為導致危險的關鍵原因分為兩類：1)控制行為的不準確、不及時以及被執行的不足導致了危險；2)反饋信息的不準確、不及時導致了危險。從而，將導彈攻擊過程分成控制和反饋兩個部分，具體如圖3所示。

圖3 導彈攻擊過程的控制/反饋回路

1)控制行為的不準確、不及時以及執行不足

①自動駕駛儀

自動駕駛儀的控制算法與彈體的實際模型不匹配，導致給出了錯誤的導引律；自動駕駛儀輸出端信號堵塞，不能及時給出相應的導引律；自動駕駛儀的控制算法不準確，導致得到分析后過早提供了導引律。

②舵機

自動駕駛儀與舵機的傳輸通道存在較大延遲，導致舵機過晚接收到導引律；舵機的設計不準確，執行導引律過程中在沒有得到自動駕駛儀相關指令的情況下自動恢復初始狀態，導致舵機執行導引律的時間過短；舵機在接收到導引律后，執行過程中被卡死，導致執行不足。

2)反饋信息的不準確、不及時

①反饋信息的產生

測量導彈加速度信息的傳感器故障；測量導彈加速度信息的傳感器設計不合理；測量導彈速度信息的傳感器故障；測量導彈速度信息的傳感器設計不合理；測量導彈姿態角信息的傳感器故障；測量導彈姿態角信息的傳感器設計不合理。

②反饋信息的傳輸

導彈加速度信息傳輸過程中有延遲、丟失或者不準確；導彈速度信息傳輸過程中有延遲、丟失或者不準確；導彈姿態角信息傳輸過程中有延遲、丟失或者不準確。

4 仿真分析

4.1 彈目相對運動模型

以某型導彈縱向平面為例，建立彈目相對運動模型[13]，如圖4所示。在建模過程中，作出如下假設：1)導彈和目標視為質點；2)導彈和目標的加速度矢量方向與速度矢量方向垂直，即施加在導彈和目標上的加速度只改變速度的方向，不改變速度的大小。

圖4 彈目相對運動模型

在圖4中，M表示導彈，T表示目標，vm為導彈速度，θm為導彈彈道傾角，am為導彈加速度，vt為目標速度，θt為目標航跡傾角，at為目標加速度，r為彈目之間相對距離，q為彈目視線角，規定所有角度逆時針方向為正，反之為負。基于上述假設及彈目相對運動關系，可以得出彈目相對運動關系方程組：

(1)

攻擊角度表示彈目交戰過程中導彈和目標的速度矢量之間的夾角，即θm-θt。攻擊角度約束可以轉化為視線角約束問題。

根據角度約束的需求，采用如下導引律(ANTSMG)[14]：

(2)

4.2 結果分析

設定導彈的初始位置為坐標原點，即(0，0)，導彈速度為vm=180 m/s，目標的初始位置為(2 000 m，0)，運動中目標的速度為vt=20 m/s，qd=-60°,λ=1，ANTSMG制導參數設置如下：α=1;β=0.5;γ=3;p=5;q=3;ε=k=100,c=5;δ=0.001。

重點對其中的部分不安全控制行為作分析，其它不安全控制行為也可以采用類似的方法進行仿真分析。具體分析如下：

1)提供的控制行為不準確(UCA2)

由圖5～圖7可以看出，在自動駕駛儀得到制導計算機處理的相關參數信息后，采用帶攻擊角度約束的傳統滑模導引律(SMG)控制律[15]會導致彈體的彈道軌跡過高，容易被發現，并且路徑較長，難以在較短的時間內完成任務；采用帶攻擊角度約束的非奇異終端滑模導引律(NTSMG)控制律[16]彈目視線角較小，無法以較大角度命中目標；采用ANTSMG控制律導彈可以實現低空突防，路徑較短、彈道高度最低、突擊時間短并且滿足較大攻擊角度命中目標，能夠更好的完成攻擊任務。因此在設計控制律的時候既需要考慮低空突防和時間限制，也需要考慮攻擊角度約束才能更好的完成任務。

圖5 彈道軌跡

圖6 彈目視線角

圖7 滑模面

2)控制行為執行不足(UCA3)

導彈的舵機偏轉關乎導引律的執行是否完全，如果導彈的舵機長期沒有得到較好的維護，使得舵面難以靈活的滑動，就會造成舵面偏轉不到位甚至卡死的情況。通過比例系數λ來表示舵面的偏轉執行完成度。當比例系數λ小于1時，說明控制律執行不足。這種現象在工程中經常出現，雖然有的情況下不一定會造成嚴重的后果，但是在導彈攻擊過程中這種隱患是不能容忍的。

從圖8中可以看出比例系數λ的大小對彈道的高度以及打擊的精度是有影響的。根據不同的作戰任務，有些偏差是可以接受的，如果任務精度要求極高，那么這種偏差就是難以接受的。例如比例系數λ等于0.5時導彈無法命中目標。因此，在執行器設計時，必須根據打擊精度要求添加安全約束，比如安全約束SC1——比例系數不能等于0.5。

圖8 控制不足的軌跡圖

3)過晚提供控制行為(UCA4)

在實際的信號傳輸過程中，存在著一些不可避免的延遲，尤其是制導計算機獲取目標信息時，下達指令會存在不可避免的延遲。指令下達的延遲以及自動駕駛儀控制信號的傳輸延遲，會導致舵機機構過晚接收到控制信號，從而導致系統的控制目標無法實現。

從圖9中可以看出，隨著延遲的增大、彈道高度在不斷的增加，同時在該導引律的控制下對導彈的轉向能力要求也在不斷提高。從理論的角度可以發現控制信號延遲在1 s、2 s、3 s、4 s時導彈依然能夠準確滿足最大角度擊中目標。在延遲達到5 s及大于5 s后無法擊中目標。因此必須設置安全約束SC2——控制信號延遲不得超過5 s。

圖9 控制信號延遲軌跡圖

5 結論

STAMP模型是一種基于系統論和控制論的事故模型，對復雜系統的分析有著更好的效果，但過去STPA方法識別的不安全控制行為僅限于定性描述，文中通過建模仿真的方式對不安全控制行為進行了定量分析，同時提出了相應的安全約束。這樣的思路可以彌補STPA方法偏定性的不足。

對提供控制信號不準確的分析，說明了軟件設計之初務必盡可能完善的重要性，軟件錯誤對系統的影響是致命的；對控制信號執行不足的分析，說明了執行器的設計與維護的重要性，輸入準確不代表執行準確，必須對執行器的設計加以重視，同時加強執行器的日常維護；對過晚下達導引律的分析可以用來改進信號通道的延遲設計，并且這樣的分析延遲對傳輸信號的材料、制導計算機的處理速度以及設計控制律的過程中需要把控制延遲考慮的更加周全提出了更高的要求。