基于STPA的魚雷發(fā)射安全性分析

秦 楠，馬 亮，周 杰，魏 勇

(海軍潛艇學(xué)院， 山東 青島 266000)

潛艇魚雷武器發(fā)射過(guò)程是典型的高風(fēng)險(xiǎn)過(guò)程，一旦出現(xiàn)安全性問(wèn)題，將導(dǎo)致發(fā)射任務(wù)失敗，甚至造成重大人員、裝備損失。在魚雷發(fā)射階段，人員精神高度緊張，可供操作員反應(yīng)和處理特情的時(shí)間極短。發(fā)射過(guò)程涉及多個(gè)子系統(tǒng)，操作員、指揮員、發(fā)射控制程序、發(fā)射裝置，武器等構(gòu)成了一個(gè)復(fù)雜系統(tǒng)，影響系統(tǒng)安全性的因素倍增，對(duì)其安全性分析構(gòu)成了新的挑戰(zhàn)。目前，在裝備安全性分析領(lǐng)域主要采用故障樹分析(FTA)[1]、事件樹分析(ETA)[2]、故障模式影響及危害性分析(FMEA)[3-4]等可靠性分析技術(shù)，這些傳統(tǒng)技術(shù)都是基于事件鏈的事故致因模型[5]，即認(rèn)為安全問(wèn)題是由于部件失效引起的，并且認(rèn)為事件之間直接線性關(guān)聯(lián)。這些方法通過(guò)對(duì)事件的可能性和嚴(yán)重性進(jìn)行計(jì)算來(lái)評(píng)估安全性，便于理解和量化，在過(guò)去的安全分析中發(fā)揮了重要作用。然而，現(xiàn)代復(fù)雜武器系統(tǒng)的安全性問(wèn)題往往是在硬件故障、軟件需求缺陷、人為錯(cuò)誤、環(huán)境影響等因素綜合作用下產(chǎn)生的，基于組件故障的傳統(tǒng)方法已不再適用于這類復(fù)雜系統(tǒng)的安全性分析。本研究擬采用新的系統(tǒng)理論過(guò)程方法，從控制角度對(duì)潛艇魚雷發(fā)射安全性進(jìn)行分析。根據(jù)系統(tǒng)建模，識(shí)別潛艇魚雷發(fā)射過(guò)程中的潛在不安全控制行為，并對(duì)其進(jìn)行致因分析，通過(guò)定量計(jì)算對(duì)安全性分析結(jié)果進(jìn)行驗(yàn)證。

1 STAMP/STPA原理

為了克服傳統(tǒng)事件鏈致因模型及安全性分析方法的局限性， Leveson[6]在系統(tǒng)論和控制論基礎(chǔ)上，提出了基于系統(tǒng)理論事故模型過(guò)程(System Theoretic Accident Model and Processes,STAMP)及相應(yīng)的安全性分析方法系統(tǒng)—理論過(guò)程分析(System Theoretic Process Analysis，STPA)。STPA從系統(tǒng)層面識(shí)別可能導(dǎo)致危險(xiǎn)狀態(tài)的潛在不安全控制行為，并針對(duì)具體的不安全控制行為進(jìn)行致因分析。其簡(jiǎn)要實(shí)施流程主要分4步：① 系統(tǒng)級(jí)危險(xiǎn)分析；② 層次控制結(jié)構(gòu)建模；③ 識(shí)別不安全控制行為并定義系統(tǒng)安全約束；④ 致因場(chǎng)景分析。目前，STPA技術(shù)已經(jīng)成功應(yīng)用于航天[7-8]、交通[9]、能源[10-11]等諸多領(lǐng)域。然而，在使用STPA方法進(jìn)行安全性分析時(shí)仍然面臨著以下挑戰(zhàn):① 缺乏嚴(yán)格的數(shù)學(xué)基礎(chǔ)；② 難以對(duì)分析結(jié)果進(jìn)行定量計(jì)算；③ 缺乏較為合理的驗(yàn)證方法。本研究在傳統(tǒng)STPA分析的基礎(chǔ)上，構(gòu)建魚雷發(fā)射安全性計(jì)算分析框架，開展針對(duì)不安全控制行為的定量計(jì)算分析，對(duì)安全性分析結(jié)果進(jìn)行驗(yàn)證。

2 魚雷發(fā)射階段的不安全控制行為分析

2.1 系統(tǒng)級(jí)危險(xiǎn)分析

在魚雷發(fā)射過(guò)程中，首先由平臺(tái)探測(cè)系統(tǒng)跟蹤并收集目標(biāo)信息，經(jīng)指控設(shè)備確認(rèn)目標(biāo)后，由指揮員下達(dá)攻擊指令，系統(tǒng)檢查準(zhǔn)備完畢后，由操作員向系統(tǒng)輸入發(fā)射指令，控制發(fā)射裝置將魚雷發(fā)射出管[12]。目前，新型潛艇上普遍采用的液壓平衡式發(fā)射裝置是利用同軸的雙頭活塞將發(fā)射氣缸和水缸連接，在壓縮空氣的作用下由氣缸活塞帶動(dòng)水缸活塞，將海水泵入發(fā)射管從而推動(dòng)管內(nèi)武器出管，其工作流程如圖1 所示[13]。

圖1 液壓平衡式魚雷發(fā)射裝置工作流程框圖

本文具體研究的發(fā)射階段是指揮員向魚雷武器系統(tǒng)下達(dá)發(fā)射指令后，魚雷在發(fā)射管內(nèi)解脫制動(dòng)，運(yùn)動(dòng)至完全離艇的階段。當(dāng)魚雷尾部離開發(fā)射管口時(shí)，其所受的約束解除。然而此時(shí)，魚雷內(nèi)部操縱系統(tǒng)尚未開始對(duì)其進(jìn)行有效控制，魚雷處于非穩(wěn)定運(yùn)動(dòng)階段[14]。因此，這也是關(guān)系到發(fā)射安全的關(guān)鍵階段。此階段的系統(tǒng)級(jí)事故主要有：A-1人員受到嚴(yán)重傷害或死亡; A-2裝備損壞或丟失; A-3發(fā)射任務(wù)失敗或無(wú)法完成。系統(tǒng)級(jí)危險(xiǎn)及其關(guān)聯(lián)的系統(tǒng)級(jí)事故如表1所示。其中，H-2中的“卡管”是指魚雷不能正常出管而造成發(fā)射失敗的現(xiàn)象，包括“全卡管”(魚雷在發(fā)射管內(nèi)未動(dòng)作)和“半卡管”(魚雷僅部分出管)兩種情況[15]。H-3中的操縱性損失是指魚雷在初始階段產(chǎn)生過(guò)大的袋深或跳水。

表1 魚雷發(fā)射階段的系統(tǒng)級(jí)危險(xiǎn)

2.2 魚雷發(fā)射過(guò)程控制結(jié)構(gòu)建模

為了進(jìn)一步分析潛在的不安全控制行為，在系統(tǒng)級(jí)危險(xiǎn)分析的基礎(chǔ)上，根據(jù)潛艇魚雷發(fā)射流程及發(fā)射系統(tǒng)組成，建立魚雷發(fā)射過(guò)程控制結(jié)構(gòu)模型，如圖2所示。在控制結(jié)構(gòu)中，指揮員通過(guò)發(fā)布指令，對(duì)操作員施加控制，并以報(bào)告和執(zhí)行情況的形式收到反饋。操作員通過(guò)界面操作來(lái)控制發(fā)射系統(tǒng)，并通過(guò)顯示器接收反饋和警報(bào)。控制系統(tǒng)軟件通過(guò)傳遞數(shù)據(jù)和指令對(duì)發(fā)射裝置進(jìn)行控制，并接收武器的數(shù)據(jù)和狀態(tài)反饋。

圖2 魚雷發(fā)射過(guò)程控制結(jié)構(gòu)框圖

2.3 識(shí)別不安全控制行為

在潛艇魚雷發(fā)射過(guò)程中主要的控制行為有提供潛艇航速、下達(dá)發(fā)射指令、提供發(fā)射能量、解脫武器制動(dòng)、輸入發(fā)射參數(shù)、檢查發(fā)射裝置并確認(rèn)武器通道，其行為主體分別為發(fā)射裝置、指揮員和操作員。STPA方法將不安全控制行為導(dǎo)致危險(xiǎn)的情況分為4類：① 未提供控制；② 提供控制；③ 提供控制的時(shí)機(jī)或順序錯(cuò)誤；④ 控制行為持續(xù)時(shí)間過(guò)長(zhǎng)或者過(guò)早停止。對(duì)每一項(xiàng)不安全控制行為(Unsafe Control Actions,UCA)逐一進(jìn)行分析評(píng)估，如表2所示。

表2 導(dǎo)致危險(xiǎn)的不安全控制行為

2.4 不安全控制行為的致因分析

為了保證系統(tǒng)安全性，必須對(duì)識(shí)別出的潛在不安全控制行為進(jìn)行致因因素分析。傳統(tǒng)STPA方法[6]在致因分析中不區(qū)分自動(dòng)控制器和人類控制器，忽視了人類和自動(dòng)化機(jī)器之間的重要差異。對(duì)于自動(dòng)控制器來(lái)說(shuō)，UCA 常由與控制器有關(guān)的故障導(dǎo)致。例如，由于電源故障等因素導(dǎo)致自動(dòng)控制器故障。而對(duì)于人員控制器來(lái)說(shuō)，UCA常由控制算法不當(dāng)造成。此時(shí)，控制算法也可視為決策過(guò)程，受培訓(xùn)規(guī)章、操作流程以及經(jīng)驗(yàn)等多種因素影響。

針對(duì)魚雷發(fā)射過(guò)程中系統(tǒng)軟件與人員操作頻繁交互的特點(diǎn)，對(duì)傳統(tǒng)STPA致因分析模型進(jìn)行改進(jìn)，將自動(dòng)控制器(發(fā)射裝置、發(fā)射控制系統(tǒng))和人類控制器(指揮員、操作員)分開討論。對(duì)于在2.3節(jié)中分析得到的不安全控制行為，從系統(tǒng)層面分析其致因因素，如表3所示。

為說(shuō)明STPA在魚雷發(fā)射安全性分析中的有效性，構(gòu)建了魚雷發(fā)射安全性計(jì)算分析流程框架，如圖3所示，選取了不安全控制行為UCA1(發(fā)射裝置未提供足夠的發(fā)射能量)和UCA7(指揮員在執(zhí)行發(fā)射任務(wù)時(shí)提供了較高的艇速)為具體分析對(duì)象。由于UCA1可能導(dǎo)致的危險(xiǎn)具體體現(xiàn)為對(duì)魚雷出管速度這一關(guān)鍵運(yùn)動(dòng)參數(shù)的影響。因此本研究以魚雷出管速度和潛艇航速為控制變量，針對(duì)魚雷離艇階段的運(yùn)動(dòng)，進(jìn)行安全性計(jì)算分析。

圖3 魚雷發(fā)射安全性計(jì)算分析框架3魚雷發(fā)射安全性計(jì)算分析流程框圖

3.1 魚雷離艇運(yùn)動(dòng)特性分析

當(dāng)發(fā)射能量使魚雷后端離開發(fā)射管的前端時(shí)，主機(jī)還處于啟動(dòng)階段，螺旋槳產(chǎn)生的推力很小，魚雷在慣性的作用下繼續(xù)向前運(yùn)動(dòng)，同時(shí)在負(fù)浮力的作用下下沉。魚雷出管后不僅在垂直面運(yùn)動(dòng)，在水平面也可能產(chǎn)生偏離運(yùn)動(dòng)，為了保證發(fā)射魚雷時(shí)潛艇的安全，通常在發(fā)射管管口向外作一個(gè)圓錐體，在這個(gè)圓錐體內(nèi)不布置任何其他零件或部件，通常稱之為戰(zhàn)斗錐度，其垂直平面如圖4所示。魚雷離艇時(shí)，若雷體在此戰(zhàn)斗錐度內(nèi)并離錐面有適當(dāng)距離，則能夠保證其安全，否則就有與發(fā)射平臺(tái)碰撞的危險(xiǎn)[16]。

圖4 武器出口部結(jié)構(gòu)示意圖(垂直平面)

在此階段，由于復(fù)雜的水動(dòng)力環(huán)境因素，難以準(zhǔn)確檢測(cè)。目前，采用的基本研究手段是計(jì)算機(jī)模擬。為了便于和能夠?qū)崿F(xiàn)模擬，對(duì)有關(guān)條件作必要的假設(shè)：① 魚雷后切面剛脫離發(fā)射管前切面時(shí)，魚雷縱軸與發(fā)射管縱軸線保持平行；② 魚雷從發(fā)射管射出后僅在垂直面內(nèi)運(yùn)動(dòng)；③ 魚雷圓柱體部分離開發(fā)射管后，在浮力作用下運(yùn)動(dòng)，重力、浮力及流體動(dòng)力作用在魚雷的重心上；④ 武器出口部的流體動(dòng)力影響暫不考慮。在實(shí)際發(fā)射過(guò)程中，當(dāng)魚雷尾部離開發(fā)射管時(shí)，魚雷才開始做垂直面上升或下降運(yùn)動(dòng)。在這種假設(shè)條件下，魚雷離開潛艇艇體的時(shí)間增加，則魚雷在垂直面上運(yùn)動(dòng)的位移增大。同時(shí)，由于未充分考慮流體動(dòng)力等環(huán)境因素影響，在此假設(shè)下得到的結(jié)果是偏于安全的。

3.2 魚雷離艇運(yùn)動(dòng)學(xué)方程

魚雷的下沉運(yùn)動(dòng)表達(dá)式為[16]：

(1)

將式(1)積分后可得魚雷下沉的速度：

u=umtanhαt

(2)

魚雷下沉的距離：

(3)

魚雷軸向運(yùn)動(dòng)方程為：

(4)

式中：Cx為魚雷正面阻力系數(shù)；S為魚雷橫截面面積(m2)；vl為潛艇航速(m/s);Ax為阻力系數(shù)，Ax=CxρS/2。

對(duì)式(4)積分后可得魚雷的行程為：

(5)

式中：vl為潛艇航速(m/s)；a為參數(shù)，a=Ax/m；b為參數(shù)，b=1/(vl+vc)，其中vc為魚雷的出管速度(m/s)。

由式(3)和式(5)可以計(jì)算出負(fù)浮力雷尾鰭下端點(diǎn)的運(yùn)動(dòng)軌跡，根據(jù)該軌跡相對(duì)于戰(zhàn)斗錐的位置，可以確定魚雷在出口部上的安全性。

3.3 計(jì)算結(jié)果分析

選取魚雷出管速度和艇速作為控制變量，運(yùn)用MATLAB對(duì)魚雷離艇運(yùn)動(dòng)方程進(jìn)行仿真計(jì)算。設(shè)魚雷質(zhì)量為1 850 kg，魚雷圓柱段直徑為533 mm，海水密度為1 040 kg/m3。魚雷出管速度取8、10、12、14 m/s，共4個(gè)取值點(diǎn)；潛艇速度取6、10、14、18kn，共4個(gè)取值點(diǎn)，通過(guò)仿真得到魚雷的運(yùn)動(dòng)軌跡如圖5、圖6所示。

圖5 魚雷出管速度對(duì)下沉量影響曲線(艇速(kn))

圖6 艇速對(duì)下沉量影響曲線(魚雷出管速度(m/s))

從計(jì)算結(jié)果可以得出，魚雷出管速度和艇速的變化對(duì)魚雷發(fā)射階段運(yùn)動(dòng)的影響較為明顯。魚雷的下沉量，隨著潛艇速度的增加而增加，隨著出管速度的減小而增加。綜合圖5和圖6考慮，魚雷出管速度過(guò)低、發(fā)射魚雷時(shí)潛艇航速過(guò)高均會(huì)影響發(fā)射安全性。當(dāng)魚雷出管速度低至8 m/s，或發(fā)射魚雷時(shí)潛艇以18 kn以上航速航行時(shí)，魚雷下沉量大于發(fā)射平臺(tái)高度0.13 m，存在碰撞發(fā)射平臺(tái)的危險(xiǎn)。因此，要保證發(fā)射安全性，必須對(duì)魚雷出管速度和艇速這2個(gè)關(guān)鍵變量進(jìn)行控制，在滿足潛艇機(jī)動(dòng)的前提下，適當(dāng)降低潛艇發(fā)射魚雷時(shí)的艇速，同時(shí)提高出管速度。

4 結(jié)論

1) 通過(guò)采用系統(tǒng)理論的STPA方法對(duì)潛艇魚雷發(fā)射安全性進(jìn)行分析，可以識(shí)別出更多的系統(tǒng)性致因因素，克服了傳統(tǒng)安全性分析方法在該方面的不足，為魚雷發(fā)射安全性問(wèn)題分析提供了新思路。

2) 通過(guò)對(duì)不安全控制行為進(jìn)行計(jì)算分析，定量化地說(shuō)明在一定范圍內(nèi)對(duì)不安全控制行為進(jìn)行有效約束，有利于降低事故風(fēng)險(xiǎn)，保證系統(tǒng)安全性。

3) 在傳統(tǒng)STPA方法基礎(chǔ)上，結(jié)合計(jì)算機(jī)仿真，可以為由于人為因素、軟件缺陷以及系統(tǒng)交互等原因引起的系統(tǒng)安全性問(wèn)題提供定量分析。