全電子安全系統失效率計算

汪儀林，馬秋華

(西安機電信息技術研究所，陜西 西安 710065)

0 引言

按照GJB 373B—2019《引信安全性設計準則》[1]的要求，引信安全系統除了滿足相關的設計要求外，還應對解除保險/解除隔離流程開始前、流程中直至安全分離的各階段進行安全失效率的計算。機械、機電隔離型安全系統在GJB/Z 29A—2003《引信典型故障樹手冊》[2]中給出了相應的計算方法，文獻[3]給出了某些可信環境對安全失效率的影響。對于全電子安全系統安全失效率的分析，目前尚無較為完整的計算方法。本文根據文獻[4]《電和電磁環境對引信全電子安全系統的影響分析》得出的典型的電/電磁環境在高壓電容上的電壓和雷管兩端的電壓及安全失效率的計算結果，由全電子安全系統的框圖A，得出非工作、通電、一個靜態開關閉合和兩個靜態開關閉合等狀態下的安全失效率計算公式，舉例說明了計算方法，給出了另兩種典型的全電子安全系統框圖(全電子安全系統的框圖B、C)的安全失效率的計算結果，說明了框圖級全電子安全系統安全失效率的計算和比較方法。

1 全電子安全系統失效率計算原理和方法

1.1 典型全電子安全系統的框圖

參照美國引信年會論文[5]中給出的全電子安全系統原理圖，得到的框圖如圖1所示。

圖1 全電子安全系統原理框圖AFig.1 The principle A of electronic safety-and-arming system

其工作過程為：解保環境識別k1識別第一解保環境后，輸出控制信號，驅動靜態開關1閉合，接通電源地；解保環境識別k2識別第二解保環境，邏輯控制器k4對k1、k2輸出進行時序判斷，在k1開啟的時間窗ΔT內檢測到k2輸出，則控制阻斷器k3釋放，靜態開關2閉合，接通電源；在滿足規定的延時要求后，產生交替變化的信號控制動態開關，高壓變換器在交變信號的驅動下進行高壓變換，開始對高壓電容充電，解除隔離。

令圖中兩個靜態開關、動態開關非工作狀態正常工作的概率為p11、p21、p31，非工作狀態發生短路故障的概率為p1d1、p2d1、p3d1，工作狀態發生短路故障的概率為p1d2、p2d2、p3d2。

環境識別k1、環境識別k2、阻斷器k3誤輸出的概率pk1d、pk2d、pk3d，分別為器件故障導致誤輸出的概率(pk1k、pk2k、pk3k)與識別錯誤導致誤輸出的概率(pk1s、pk2s、pk3s)之和。

邏輯識別k4誤輸出的概率pk4d，其中器件故障導致控制誤輸出的概率pk4k，對環境識別1檢測虛警率pk4s1、對環境識別2檢測虛警率pk4s2；延時時間小于預定時間的概率pk4T；有效時間窗和工作時間之比為ΔT/T。

1.2 全電子安全系統安全失效率計算

由于不同的武器系統解除保險/解除隔離流程和發射過程的事件有所不同，為不失普遍性，根據全電子安全系統的特點，按照4個狀態分析安全失效率：1)非供電P11；2)解除保險和解除/隔離流程開始前的通電狀態P21；3)一個靜態開關閉合P31；4)兩個靜態開關閉合P41。

根據全電子安全系統的特點，GJB 373B中“在預定的解除保險和解除隔離流程開始前，防止引信解除隔離或作用的失效率應不大于百萬分之一”對應于1)、2)兩個狀態下的安全失效率。

1.2.1未通電狀態全電子安全系統安全失效率

未通電狀態，安全失效率為

P11=Pin11+Pout11=Pini11+Ping11+
Pinv11+Pouti11+Poutg11，

(1)

式(1)中，Pin11為輸入端引入電能量導致的安全失效率，Pout11為輸出端引入電能導致的安全失效率，Pini11為輸入端由于電流饋入導致的安全失效率，Ping11為輸入端由于靜電導致的安全失效率，Pinv11為輸入端由于電壓瞬變導致的安全失效率，Pouti11為輸出端由于電流饋入導致的安全失效率，Poutg11為輸出端由于靜電導致的安全失效率。

Poutg11=P(Ucg)+P(Udg)，

Pouti11=P(Uci)+P(Udi)，

式中，Ucg為靜電激勵在高壓電容上產生的電壓，Udg為靜電激勵在雷管上產生的電壓，Uci為電流注入在高壓電容上產生的電壓，Udi為電流注入在雷管上產生的電壓。

文獻[4]分析了輸出回路靜電、電流兩種饋入方式在高壓電容和雷管上建立的電壓，得出了在人體靜電和可信電流激勵下，P(Ucg)、P(Uci)、P(Udg)、P(Udi)都在10-10以下，可忽略其影響，故式(1)可簡化為

P11=Pin11+Pout11=Ping11+Pini11+Pinv11，

Ping11=p11×p21×p31×P(Ug123)+
p1d1×p21×p31×P(Ug23)+
p11×p2d1×p31×P(Ug13) +
p11×p21×p3d1×P(Ug12)+
p1d1×p2d1×p31×P(Ug3)+
p1d1×p21×p3d1×P(Ug2)+
p11×p2d1×p3d1×P(Ug1)+
p1d1×p2d1×p3d1×P(Ug)，

(2)

式(2)中，P(Ug123)為3個開關均處于開啟時，由靜電導致的安全失效概率；P(Ug23)為開關1出現短路故障時，靜電導致的安全失效概率；P(Ug13)為開關2出現短路故障時，靜電導致的安全失效概率；P(Ug12)為開關3出現短路故障時，靜電導致的安全失效概率；P(Ug3)為開關1、開關2出現短路故障時，靜電導致的安全失效概率；P(Ug2)為開關1、開關3出現短路故障時，靜電導致的安全失效概率；P(Ug1)為開關2、開關3出現短路故障時，靜電導致的安全失效概率；P(Ug)為3個開關出現短路故障時，靜電導致的安全失效概率。

根據文獻[4]的計算可知P(Ug3)、P(Ug2)、P(Ug1)、P(Ug23)、P(Ug13)、P(Ug12)、P(Ug123)均小于10-10，故可以將上式簡化為

Ping11≈p1d1×p2d1×p3d1×P(Ug)。

類似地可得

Pini11≈p1d1×p2d1×p3d1×P(Ui)，

(3)

Pinv11≈p1d1×p2d1×p3d1×P(Uv)，

(4)

式中，P(Ui)為3個開關出現短路故障或解除時，由電流饋入導致的安全失效概率；P(Uv)為3個開關出現短路故障或解除時，由電壓瞬變導致的安全失效概率。

則有

P11≈p1d1×p2d1×p3d1×(P(Uv)+P(Ui)+P(Ug))。

(5)

根據文獻[4]可知，當三個開關導通時，GJB 151B規定的電流注入和電壓串擾可導致安全失效，故

P11=p1d1×p2d1×p3d1。

1.2.2通電狀態下全電子安全系統安全失效率計算

通電狀態，靜態開關未閉合，安全失效率P21為

P21=Pin21+Pout21+Pk21，

(6)

式(6)中，Pin21為通電狀態下輸入端引入電能量導致的安全失效；Pout21為通電狀態下輸出端引入電能導致的安全失效，由文獻[4]的計算知，可忽略；Pk21為動態開關啟動升壓的概率。

同1.2.1節分析，將3個開關均處于導通狀態和開啟升壓作為安全失效，則有

P21≈Pk123d1+Pk21，

(7)

式(7)中，Pk123d1為通電狀態3個開關均導通的概率。

為了方便說明，先分別給出靜態開關1、2，動態開關3分別導通的框圖，見圖2—圖4，再得出3個開關均導通和啟動升壓的框圖，見圖5、圖6。

用Pk1d、Pk2d和Pk3d分別表示靜態開關1閉合的概率、靜態開關2閉合的概率和動態開關3閉合的概率。

1)計算靜態開關1閉合的概率Pk1d

根據圖1，得出靜態開關1閉合概率的計算框圖如圖2所示。

圖2 靜態開關1閉合的框圖Fig.2 The diagram of static switch 1 shut

根據串并聯關系[6]，可得

Pk1d=1-(1-pk1d)×(1-p1d2)=
pk1d+p1d2-p1d2×pk1d，

(9)

即

Pk1d=pk1k+pk1s+p1d2-p1d2×(pk1k+pk1s)。

忽略高階小量可得：PK1d≈pk1k+pk1s+p1d2。

2)計算靜態開關2閉合的概率Pk2d

根據圖1，靜態開關2閉合的概率計算框圖如圖3所示。

圖3 靜態開關2閉合的框圖Fig.3 The diagram of static switch 2 shut

由圖3的串并聯關系，并忽略高階小量可得：

(10)

3)計算動態開關3閉合的概率Pk3d

根據圖1得到動態開關導通的概率計算框圖如圖4所示。

圖4 動態開關導通的框圖Fig.4 The diagram of dynamic switch shut

由圖4的串并聯關系，并忽略高階小量可得

(11)

由于開關1、2、3導通不獨立，三個開關均導通，忽略高階小量的框圖如圖5所示。

圖5 開關均導通的框圖Fig.5 The diagram of all switches shut

由圖5的串并聯關系，并忽略高階小量可得

(12)

根據圖1得到啟動升壓的框圖如圖6所示。

圖6 啟動升壓的框圖Fig.6 The diagram of the voltage step up

啟動升壓的概率：

(13)

將式(12)、式(13)代入式(7)，合并相同的項后，可得通電后安全失效率。

1.2.3靜態開關1閉合后的安全失效率

靜態開關1閉合后的安全失效率P31為

P31=Pin31+Pout31+Pk31，

(14)

式(14)中，Pin31為靜態開關1閉合狀態下輸入端引入電能量導致的安全失效率，Pin31≈Pk123d2；Pout31為靜態開關1閉合狀態下輸出端引入電能導致的安全失效率，可忽略；Pk31為靜態開關1閉合狀態下啟動升壓的概率

而確實為南宋閩刻的三卷本《山谷琴趣外篇》則因其先天的缺陷而頻遭學者譏議。朱孝臧《彊村叢書》跋此書云：“卷中訛文脫字，往往而有，題尤芟節太甚，或乖本恉。”[1]277饒宗頤《詞集考》亦批評此本“詞數僅得一卷之半，訛文奪字，芟節題序，祝穆譏為俗本者也”[2]54。但是這個版本由于收錄不足黃庭堅存世詞作總數之半，所收詞作全部見于嘉靖本系統中，因此，從著作權角度看此本還是比較可信的。此外，南宋乾道麻沙本《類編增廣黃先生大全文集》有詞一卷，所收篇目及內容與《琴趣外篇》本大體相同。二者都刻于福建，都屬坊刻本，可能有某種淵源關系。

同前所述，可將式(14)簡化為

P31≈Pk123d2+Pk31，

(15)

式(15)中，Pk123d2為靜態開關1閉合狀態下3個開關均導通的概率，Pk31為靜態開關1閉合狀態下啟動升壓的概率。

由圖5，令圖中靜態開關1閉合為必然事件，可得3個開關均導通忽略高階小量的框圖如圖7所示。

圖7 靜態開關1閉合下，靜態開關2、3閉合的框圖Fig.7 The diagram of static switch 2 and 3 closed while static switch 1 shut

(16)

由圖6，令圖中靜態1閉合為必然事件，靜態開關1閉合狀態下啟動升壓的概率PK31的框圖如圖8所示。

圖8 靜態開關1閉合下，啟動升壓的框圖Fig.8 The diagram of the voltage step up while static switch 1shut

(17)

將式(16)、式(17)代入式(15)，合并相同的項后，可得靜態開關1閉合后安全失效率。

1.2.4靜態開關均閉合后的安全失效率計算

P41=Pin41+Pout41+Pk41，

(18)

P41≈Pk123d3+Pk41，

(19)

式(19)中，Pk123d3為靜態開關1、2閉合狀態下3個開關均處于閉合狀態的概率，Pk41為靜態開關1、2閉合狀態下啟動升壓的概率。

Pk123d3=pk4k+p3d2+pk4T，

Pk41=pk4T。

(20)

代入式(19)，合并相同的項后，可得靜態開關均閉合后的安全失效率。

2 元器件失效率計算

在安全失效率計算中，涉及元器件非工作狀態和工作狀態兩種情況，非工作狀態根據GJB/Z 108A—2006《電子設備非工作狀態可靠性預計手冊》[7]進行預計，工作狀態根據GJB/Z 299C《電子設備可靠性預計手冊》[8]進行預計。

2.1 非工作狀態失效率計算

靜態開關1、2和動態開關、環境識別控制通常采用半導體分立器件，其非工作失效率預計模型為

λNp=λNbπNEπNQπNTπNcycπNr。

(21)

環境識別控制、邏輯識別控制、阻斷器等通常采用單片數字電路、微處理器、存儲器、單片模擬電路等，其非工作失效率預計模型為

λNp=λNbπNEπNQ(πNT+πNF)πNcycπNL，

(22)

式(22)中，λNp為非工作失效率，10-6/h；λNb為非工作基本失效率，10-6/h；πNE為非工作環境系數；πNQ為非工作質量系數；πNT為非工作溫度系數；πNcyc為設備電源通斷循環次數；πNr為產品性能額定值系數；πNL為產品成熟度系數；πNF為封裝系數。

各元器件非工作狀態失效率：PfN=1-e-λNpTN≈λNpTN，TN為非工作時間，若存貯期為15年，TN=131 400 h。

為了方便說明，將相關參數列于表1。

表1 非工作狀態器件失效率參數表Tab.1 Table of failure rate ofnon-operation state device

2.2 工作狀態失效率計算

靜態開關1、2和動態開關常用半導體分立器件，其工作狀態失效率預計模型為

λp=λbπEπQπAπCπrπS2。

(23)

識別控制器常用單片數字電路、微處理器、存儲器、單片模擬電路等構成，其工作狀態失效率預計模型為

λp=πQ[C1πTπv+(C2+C3)πE)πL，

(24)

式(24)中，λp為工作失效率，10-6/h；λb為基本失效率，10-6/h；πA為應用系數；πE為環境系數；πQ為質量系數；πT為溫度應力系數；πv為電壓應力系數；πr為產品性能額定值系數；πC為結構系數；πL為成熟度系數；πF為封裝系數；C1、C2為電路復雜度失效率；C3為封裝復雜度失效率。

各元器件工作失效率：Pf=1-e-λpT≈λpT，工作時間為等效500 h。相關參數如表2、表3所示。

表3 半導體集成電路失效率預計表Tab.3 Table of estimated failure rate of semiconductor integrated circuit

2.3 靜態開關、動態開關短路失效率計算

GJB/Z 299C《電子設備可靠性預計手冊》[8]中給出了元器件不同失效模式的頻數，將相關數據列于表4。

式(1)—式(4)中的p1d1、p2d1、p3d1用下式計算：

pid1=PfN×Nd(i=1，2，3)。

式(5)—式(11)中的p1d2、p2d2、p3d2用下式計算：

pid2=Pf×Nd(i=1，2，3)。

式(5)—式(17)中的pk1k、pk2k、pk3k、pk4k由選用器件的失效率和給出有效控制輸出故障的頻數計算。

表4 元器件失效頻數表Tab.4 Table of failure frequency of device

3 全電子安全系統失效率算例

參照1.1節給出的全電子安全系統，其靜態開關1采用雙極型晶體管，靜態開關2采用晶閘管，動態開關采用硅場效應晶體管；環境識別1采用光耦開關，環境識別2采用傳感器和模擬電路，阻斷器采用MOS觸發器，邏輯識別與控制采用MOS微處理器；環境識別2有效時間窗和工作時間之比為1/10。

3.1 未通電狀態全電子安全系統安全失效率計算

計算p1d1、p2d1、p3d1：

由表1得靜態開關1雙極型硅管λNP=0.720×10-3，T=15年，PNf=0.001 25，查表4其短路失效的頻次為36.3%，得：p1d1=0.001 25×0.363=4.54×10-4；

由表1得靜態開關2晶閘管λNP=0.157 80，T=15年，PNf=0.020 74，查表4短路失效的頻次為40%，p2d1=0.020 7×0.40=0.830×10-2；

由表1得動態開關硅場效應晶體管λNP=0.053 85，T=15年，PNf=0.007 07，查表4短路失效的頻次為35%，p3d1=0.007 07×0.35=2.475×10-3；p11≈4.54×0.830×2.475×10-9=9.33×10-9。

因此，通常情況下，認為全電子安全系統具有更高的安全性。

3.2 通電狀態下全電子安全系統安全失效率計算

1)計算p1d2、p2d2、p3d2、pk1k、pk2k、pk3k、pk4k

由表2得靜態開關1雙極型硅管λP=1.230 9，T=500 h，Pf≈6.15×10-3，由表4得短路失效的頻次為36.3%，p1d2=6.15×10-3×0.363=2.23×10-3；

由表2得靜態開關2晶閘管λP=1.002，T=500 h，Pf≈5.0×10-4，由表4得短路失效的頻次為40%，p2d2=2.0×10-4；

由表2得動態開關硅場效應晶體管λP=0.385，T=500 h，Pf≈1.93×10-4，由表4得短路失效的頻次為35%，p3d2=1.93×10-4×0.35=6.76×10-5；

環境識別1采用光耦，在其故障模式中沒有初級不導通而產生輸出電流的故障模式，故pk1k=0；

環境識別2由傳感器和模擬電路構成，查表3可得λP=1.538 4，T=500 h，Pf≈7.7×10-4，由表4得控制輸出故障模式的頻次為40%，pk2k=3.08×10-4；

阻斷器由觸發器構成，由表3可得單片數字電路失效率λP=0.785 1，T=500 h，Pf≈3.90×10-4，由表4得產生控制輸出故障模式的頻次為40%，pk3k=1.56×10-4；

邏輯識別控制由MOS微處理器構成，由表3可得λP=2.923，T=500 h，Pf≈0.0014 6，由表4得產生控制輸出故障模式的頻次為40%，pk4k=0.584×10-4。

2)計算pk1s、pk2s、pk3s、pk4s1、pk4s2

pk1s、pk2s、pk3s、pk4s1、pk4s2和檢測端的信噪比有關，即

式中，Ud為檢測門限，Ka=4時，pk1s=0.317×10-4，pk2s=0.317×10-4，pk4s1=0.317×10-4，pk4s2=0.317×10-4，pk1d=0.317×10-4，pk2d=0.317×10-4+3.08×10-4=0.34×10-3，pk3d=1.56×10-4+0.317×10-4=1.877×10-4。

代入式(11)可得Pk123d1≈1.139 7×10-9。

代入式(12)可得Pk21≈1.083×10-9。

Ka=3時：pk1s=1.35×10-3，pk2s=1.35×10-3，pk4s1=1.35×10-3，pk4s2=1.35×10-3，pk1d=1.35×10-3，pk2d=1.658×10-3，pk3d=1.506×10-3。

代入式(11)Pk123d1≈0.228 1×10-6。

代入式(12)可得Pk21≈0.224 9×10-6。

3.3 靜態開關1正常閉合狀態的安全失效率計算

將參數代入式(15)可得

Ka=4時,Pk123d2≈0.340 0×10-4。

Ka=3時,Pk123d2≈0.166 1×10-3。

將參數代入式(16)可得

Ka=4時,Pk31≈0.340 0×10-4。

Ka=3時,Pk31≈0.166 0×10-3。

3.4 兩個靜態開關均閉合時的安全失效率計算

由式(18)得

Pk123d3≈p3d2+pk4k+pk4T，Pk41=pk4T。

Pk4T通常是軟件和硬件錯誤概率的總和，取0.001 46×0.3=4.38×10-4。

Pk123d3=6.7610-5+0.58410-4+
4.38×10-4=5.6410-4，

Pk41=pk4T=4.38×10-4。

4 三種典型全電子安全系統電路框圖安全失效率的討論

為了敘述方便，稱圖1所示為全電子安全系統原理框圖A。在實際的安全系統設計時，也會采用圖9所示的電路框圖B。

圖9 全電子安全系統原理框圖BFig.9 The principle B of electronic safety-and-arming system

在引信手冊中給出了圖10所示的電路框圖C。

限于篇幅，我們直接給出忽略高階小量的三種全電子安全系統的安全失效率計算公式及結果，并將結果列于表5。

圖10 全電子安全系統原理框圖CFig.10 The principle C of electronic safety-and-arming system

表5 三種全電子安全系統的安全失效率計算公式及結果Tab.5 The formula and result of safetyfailure rate of the 3 kinds of electronic safety-and-arming system

續表

根據表5給出的公式，進行敏感性分析，略去過程，在Ka=4的條件下將各框圖對pk1d、pk2d和pk4k的敏感性分析結果列于表6。

表6 三種全電子安全系統的參數敏感度結果Tab.6 The result ofparameter sensibility of the 3 kinds of electronic safety-and-arming system

由表5、表6可知：

1)系統B的低階項數多于系統A、系統C，故表中系統B的安全失效風險高于系統A、系統C；除Pk123d1外，系統A、系統C基本相當；

2)解保流程開始前通電狀態的Pk123d1：系統B、系統C的值均大于系統A；系統B對邏輯控制器(k4)失效敏感、系統C次之，系統B還對環境識別1(k1)誤輸出較為敏感；故系統B、系統C通電時三個開關均開啟的風險大于系統A；

3)系統C結構對稱，正常情況下必須兩個邏輯識別控制器均對兩個環境都正常識別后，才會啟動升壓，除Pk123d1外，多數情況下，安全失效率與系統A相當并略低于系統A，但也最易受共因失效的影響。

若邏輯識別控制器k4、k5選用相同器件，

Pk123d1則退化為

Pk21則退化為

Pk123d2則退化為

Pk31則退化為

計算可知，Ka=3時，Pk123d1由2.42×10-7提升至5.94×10-5時，Pk21由2.24×10-7提升至9.28×10-7；Pk123d2由1.659×10-4提升至3.952×10-4時，Pk31由1.659×10-4提升至3.009×10-4，可見，當存在可信的共因失效時，系統C安全風險很大。

在安全系統詳細設計前和安全性審查時，應首先在框圖級評估安全失效率并進行敏感性分析，上述分析表明A框圖是較為合理的框圖。

不論什么形態的安全系統，其安全性的提升均有賴于對檢測正確率和時間窗的精度的提高，故解除保險/解除隔離環境信息獲取和利用、環境識別器件或組件的低故障率和失效模式控制始終是引信安全控制的關鍵技術。

5 結論

本文以典型的全電子安全系統為例，給出了非通電狀態、通電狀態、一個靜態開關閉合、兩個靜態開關閉合下全電子安全系統失效率計算方法。計算了幾種典型全電子安全系統的安全失效率，比較了不同框圖在不同狀態下的安全失效率，說明了在詳細設計前如何在框圖級評估安全失效率。計算表明：在非通電條件下全電子安全系統比一般機電/機械型安全系統的安全失效率可降低兩個數量級；在通電狀態下，全電子安全系統的安全失效率取決于解除保險/解除隔離環境識別器件(組件)的故障率水平和環境信息獲取和利用的水平，當信噪比為3、時間窗為1/10時，全電子安全系統安全失效率降至和機械/機電安全系統相當的水平。因此，解除保險/解除隔離環境信息獲取和利用、環境識別器件或組件的低故障率和失效模式控制始終是引信安全控制的關鍵技術。