孫 卓，胡 勇

（空軍勤務(wù)學(xué)院航材四站系，江蘇 徐州 221000）

0 引言

隨著科技的進(jìn)步，航空裝備系統(tǒng)的構(gòu)成越來(lái)越復(fù)雜，由此帶來(lái)的安全問(wèn)題也越來(lái)越突出。國(guó)外航空發(fā)達(dá)國(guó)家實(shí)踐表明，在研制生產(chǎn)階段，積極開(kāi)展系統(tǒng)可靠性評(píng)估工作，對(duì)提高航空裝備固有可靠性水平具有重要作用。

可靠性研究的目標(biāo)是提升產(chǎn)品的可靠性。1950 年，“可靠性之父”Lusser 開(kāi)啟了定量分析系統(tǒng)可靠性的先河。20 世紀(jì)60 年代初，Watson 等在洲際導(dǎo)彈設(shè)計(jì)過(guò)程中通過(guò)反復(fù)實(shí)踐率先提出了故障樹(shù)分析方法。隨后，Hassl 和Schroder 等為故障樹(shù)分析方法開(kāi)發(fā)出了的應(yīng)用程序，極大便利了飛機(jī)的設(shè)計(jì)工作。自此，故障樹(shù)方法憑借因果關(guān)系清晰、使用便捷與定性定量結(jié)合等優(yōu)點(diǎn)，被推廣用于航空系統(tǒng)的可靠性評(píng)估與設(shè)計(jì)中。然而，也應(yīng)該看到，傳統(tǒng)的故障樹(shù)分析方法也有其局限性。它雖然能夠有效處理靜態(tài)邏輯特征的系統(tǒng)，但是，對(duì)于表征為時(shí)序性、冗余性、相關(guān)性等動(dòng)態(tài)特性的系統(tǒng)，處理效果并不理想。尤其是當(dāng)實(shí)際系統(tǒng)存在不確定情況時(shí)，難以精確描述元件故障概率，使得其在應(yīng)用中存在較大偏差。我國(guó)歷來(lái)就非常重視航空裝備系統(tǒng)的可靠性問(wèn)題，并從理論與實(shí)踐兩方面進(jìn)行了不懈地研究和探索。然而，由于理論基礎(chǔ)較為薄弱，分析方法落后，在航空裝備系統(tǒng)具體型號(hào)的發(fā)展中，尤其在軍用航空領(lǐng)域，目前更多的是借鑒外國(guó)先進(jìn)的理論和現(xiàn)有的做法。

為了更準(zhǔn)確地刻畫(huà)航空裝備系統(tǒng)生產(chǎn)研制中出現(xiàn)的動(dòng)態(tài)特性，在保留了靜態(tài)故障樹(shù)所有邏輯門(mén)的基礎(chǔ)上，增加了專(zhuān)門(mén)針對(duì)系統(tǒng)的這種動(dòng)態(tài)特性設(shè)計(jì)的動(dòng)態(tài)邏輯門(mén)，旨在解決靜態(tài)故障樹(shù)難以描述的故障特征，并由實(shí)例驗(yàn)證了它的有效性。

1 動(dòng)態(tài)故障樹(shù)分析方法

1.1 動(dòng)態(tài)故障樹(shù)概述

故障樹(shù)通常是指由事件（底事件、頂事件或中間事件）、邏輯門(mén)及其他符號(hào)構(gòu)成的邏輯因果關(guān)系圖，邏輯門(mén)是事件聯(lián)系的紐帶，用以刻畫(huà)事件之間的某種因果關(guān)系。動(dòng)態(tài)故障樹(shù)保留了靜態(tài)故障樹(shù)的所有邏輯門(mén)（與門(mén)、或門(mén)、非門(mén)以及表決門(mén)等），增加了如表1 所示的表征動(dòng)態(tài)特征的邏輯門(mén)。所增加的動(dòng)態(tài)邏輯門(mén)是專(zhuān)門(mén)針對(duì)系統(tǒng)的動(dòng)態(tài)特性設(shè)計(jì)的，旨在解決傳統(tǒng)故障樹(shù)難以描述的故障特征。

表1 常用動(dòng)態(tài)邏輯門(mén)

1.2 動(dòng)態(tài)故障樹(shù)定性分析

動(dòng)態(tài)故障樹(shù)的定性分析可分為靜態(tài)子樹(shù)分析和動(dòng)態(tài)子樹(shù)分析。

對(duì)于靜態(tài)子樹(shù)，求最小割集最為重要，本文主要采用下行法求取最小割集。下行法始于故障樹(shù)的頂事件，自上而下逐級(jí)進(jìn)行事件的查找和運(yùn)算，最終找出最小割集。

對(duì)于動(dòng)態(tài)子樹(shù)，通常需要借助馬爾科夫模型，文獻(xiàn)［8］給出幾種動(dòng)態(tài)邏輯門(mén)轉(zhuǎn)換為馬爾科夫模型的過(guò)程，從而得到所有的故障模式及其傳播路徑。

1.3 動(dòng)態(tài)故障樹(shù)定量分析

動(dòng)態(tài)故障樹(shù)的定量分析同樣也分為靜態(tài)子樹(shù)分析和動(dòng)態(tài)子樹(shù)分析。

對(duì)于靜態(tài)子樹(shù)：假設(shè)：底事件之間相互獨(dú)立；系統(tǒng)組件壽命函數(shù)都按指數(shù)分布。

1）靜態(tài)邏輯門(mén)的結(jié)構(gòu)函數(shù)

在進(jìn)行靜態(tài)子樹(shù)定量分析時(shí)，可從簡(jiǎn)單的靜態(tài)邏輯門(mén)入手。邏輯門(mén)可構(gòu)成最典型的故障樹(shù)結(jié)構(gòu)，復(fù)雜的靜態(tài)子樹(shù)也由各個(gè)邏輯門(mén)組合組成。

2）通過(guò)最小割集計(jì)算頂事件的發(fā)生概率

用最小割集求頂事件發(fā)生的概率時(shí)，可以按最小割集是否相交而分為兩種情況。

a）最小割集不相交

主要是指最小割集中不出現(xiàn)重復(fù)的底事件，并且假設(shè)在一個(gè)很短的時(shí)間間隔內(nèi)，僅會(huì)發(fā)生某一個(gè)最小割集。

b）最小割集相交

主要指一個(gè)底事件同時(shí)出現(xiàn)在多個(gè)最小割集中，該情況在實(shí)際中較為普遍。相交情況下的算法與不相交情況下的基本相同，但需要去掉重復(fù)計(jì)算部分，即運(yùn)用相容事件的方法求頂事件的發(fā)生概率。

動(dòng)態(tài)子樹(shù)的定量分析，同樣可通過(guò)轉(zhuǎn)化為對(duì)應(yīng)的馬爾科夫模型來(lái)求解。而在分析狀態(tài)轉(zhuǎn)移圖時(shí)，可找出若干條狀態(tài)轉(zhuǎn)移鏈，并推導(dǎo)出各條鏈的計(jì)算公式，最終匯總相加即可得出整個(gè)頂事件發(fā)生的概率。此外，通過(guò)一定的模塊化處理，如推導(dǎo)出各個(gè)動(dòng)態(tài)邏輯門(mén)的計(jì)算公式，應(yīng)用時(shí)僅需套用已知公式，綜合各鏈結(jié)果，便能確定系統(tǒng)頂事件的概率函數(shù)。文獻(xiàn)［8］研究了表1 所示動(dòng)態(tài)邏輯門(mén)基于馬爾科夫模型的定量分析過(guò)程。對(duì)于常見(jiàn)動(dòng)態(tài)故障樹(shù)，要實(shí)現(xiàn)對(duì)其量化分析，均能通過(guò)適當(dāng)變換，使其轉(zhuǎn)化成馬爾科夫狀態(tài)轉(zhuǎn)移鏈圖，根據(jù)?？?普朗克方程建立微分方程，求出系統(tǒng)初始狀態(tài)和轉(zhuǎn)移狀態(tài)概率矩陣，繼而通過(guò)微分方程計(jì)算出頂事件概率。

1.4 綜合分析

對(duì)于以上靜態(tài)子樹(shù)和動(dòng)態(tài)子樹(shù)的量化分析過(guò)程得出的數(shù)值，還需要通過(guò)適當(dāng)綜合處理，求出整個(gè)動(dòng)態(tài)故障樹(shù)頂事件的發(fā)生概率。

設(shè)動(dòng)態(tài)故障樹(shù)由m 個(gè)動(dòng)態(tài)子樹(shù)B，B，…，B和n 個(gè)靜態(tài)子樹(shù)S，S，…，S構(gòu)成，為處理整個(gè)動(dòng)態(tài)故障樹(shù)，可再將B，B，…，B和S，S，…，S視為底事件，進(jìn)一步構(gòu)造故障樹(shù)F=F（B，B，…，B，S，S，…，S），代替原始的動(dòng)態(tài)故障樹(shù)F=F（x，x，…，x），構(gòu)造的故障樹(shù)僅含傳統(tǒng)邏輯門(mén)，按傳統(tǒng)靜態(tài)故障樹(shù)分析，即可得到整個(gè)動(dòng)態(tài)故障樹(shù)頂事件的故障率。

1.5 動(dòng)態(tài)故障樹(shù)可靠性性評(píng)估步驟

采用動(dòng)態(tài)故障樹(shù)對(duì)復(fù)雜系統(tǒng)進(jìn)行可靠性評(píng)估步驟如下：

1）適航審查準(zhǔn)則分析

在分析故障失效模式和構(gòu)建故障樹(shù)之前，需要研究相關(guān)適航審查準(zhǔn)則，依據(jù)這些準(zhǔn)則，確定適航安全性要求。

2）系統(tǒng)功能、原理及故障模式描述

建立動(dòng)態(tài)故障樹(shù)時(shí)，需要深入理清系統(tǒng)的功能、工作原理和工作過(guò)程，并對(duì)系統(tǒng)的故障模式進(jìn)行系統(tǒng)刻畫(huà)。采用諸如功能危險(xiǎn)分析等方法，以明確頂事件。

3）確定動(dòng)態(tài)故障樹(shù)頂事件

動(dòng)態(tài)故障樹(shù)方法主要適用于復(fù)雜系統(tǒng)可靠性的系統(tǒng)級(jí)分析，在構(gòu)架動(dòng)態(tài)故障樹(shù)之前，預(yù)先要明確頂事件，而故障模式可作為頂事件。

4）建立動(dòng)態(tài)故障樹(shù)

根據(jù)系統(tǒng)的功能和故障模式，按照一定邏輯關(guān)系，利用邏輯門(mén)描述系統(tǒng)故障與各子系統(tǒng)故障模式之間的邏輯關(guān)系，構(gòu)建系統(tǒng)的動(dòng)態(tài)故障樹(shù)。

5）動(dòng)態(tài)故障樹(shù)分析

該過(guò)程先將動(dòng)態(tài)故障樹(shù)分解為多個(gè)靜態(tài)子樹(shù)和動(dòng)態(tài)子樹(shù)，然后再分別進(jìn)行定性分析與定量分析，進(jìn)而為系統(tǒng)評(píng)估提供依據(jù)。

6）得出分析結(jié)論

在定性與定量分析結(jié)果基礎(chǔ)上，按照適航準(zhǔn)則的有關(guān)要求，對(duì)系統(tǒng)可靠性水平作出判斷。

2 實(shí)例分析

科學(xué)技術(shù)推動(dòng)了武器裝備技術(shù)的進(jìn)步。新一代航空電子系統(tǒng)（簡(jiǎn)稱“航電系統(tǒng)”）普遍采用模塊化設(shè)計(jì)原則，系統(tǒng)間具有復(fù)雜的信息交互關(guān)系，大量引入冗余、可重構(gòu)等設(shè)計(jì)，用以提升裝備的可靠性水平。傳統(tǒng)故障樹(shù)分析方法通常難以表征采用此種設(shè)計(jì)后形成的動(dòng)態(tài)特征，故本文引入了能夠處理情況的動(dòng)態(tài)故障樹(shù)分析方法。

2.1 航電系統(tǒng)層次結(jié)構(gòu)與功能模塊設(shè)計(jì)

現(xiàn)代飛機(jī)是高度復(fù)雜的系統(tǒng)，為更好操縱飛機(jī)和交流信息，需要明確邏輯功能的層次結(jié)構(gòu)。同時(shí)為便于檢測(cè)故障和維修，普遍采用模塊化設(shè)計(jì)。而航電系統(tǒng)作為其中的一個(gè)高度融合的系統(tǒng)，不僅需要具有嚴(yán)謹(jǐn)?shù)墓δ軐哟谓Y(jié)構(gòu)，而且必須遵循模塊化的設(shè)計(jì)原則。動(dòng)態(tài)故障樹(shù)作為飛機(jī)可靠性評(píng)估的重要手段，其必須遵循飛機(jī)的模塊化設(shè)計(jì)。在構(gòu)建動(dòng)態(tài)故障樹(shù)過(guò)程中，基于模塊化理念，需將各個(gè)功能模塊視為動(dòng)態(tài)故障樹(shù)的一個(gè)子樹(shù)來(lái)進(jìn)行分析。

1）功能層次結(jié)構(gòu)

航電系統(tǒng)的功能層次結(jié)構(gòu)是按系統(tǒng)的軍事需求構(gòu)架的一種操縱系統(tǒng)的組織結(jié)構(gòu)，如圖1 所示。

圖1 航電系統(tǒng)的功能層次結(jié)構(gòu)

圖1 中，顯示控制層主要展示各功能層的信息，并將操作生成控制指令；任務(wù)管理層用于控制調(diào)動(dòng)各個(gè)功能層次，為當(dāng)前任務(wù)提供最優(yōu)服務(wù)；決策輔助層用于支撐作戰(zhàn)決策，根據(jù)提示完成相關(guān)決策行為；綜合功能層綜合處理下層信息，根據(jù)當(dāng)前任務(wù)協(xié)同控制；感知執(zhí)行層是執(zhí)行機(jī)構(gòu)的集合，內(nèi)部為各類(lèi)傳感器，直接得到環(huán)境信息。這樣，就形成了自下而上的信息綜合處理過(guò)程和由上向下的控制指令執(zhí)行過(guò)程。在此過(guò)程中，信息愈加綜合，種類(lèi)和規(guī)模也愈加減??；在控制流中，指令愈加細(xì)化，種類(lèi)和規(guī)模也愈加增多。

2）系統(tǒng)功能模塊

航電系統(tǒng)的功能模塊是指能夠完成特定功能，具有統(tǒng)一定義的輸入信息和輸出信息，可獨(dú)立設(shè)計(jì)、測(cè)試、部署、并進(jìn)一步生成可重用的功能實(shí)體。從系統(tǒng)角度來(lái)說(shuō)，現(xiàn)代航電系統(tǒng)可分為5 類(lèi)18 個(gè)功能模塊，如下頁(yè)圖2 所示。

圖2 航電系統(tǒng)的功能模塊

在航電系統(tǒng)模塊化基礎(chǔ)上，建立動(dòng)態(tài)故障樹(shù)，將有利于簡(jiǎn)化工作。對(duì)于各個(gè)功能模塊，其故障僅影響本模塊地輸出，具有一定獨(dú)立性，這也就為模塊動(dòng)態(tài)子樹(shù)分析提供了條件，可單獨(dú)分析，能夠降低分析難度。

2.2 航電系統(tǒng)動(dòng)態(tài)故障樹(shù)構(gòu)建

現(xiàn)代航電系統(tǒng)設(shè)計(jì)時(shí)，為使其結(jié)構(gòu)不過(guò)于松散，并提高可靠性，大多采用基于功能模塊、部件以及將它們聯(lián)結(jié)成網(wǎng)絡(luò)的模塊化設(shè)計(jì)。

MIL-STD-1553B 是美軍為機(jī)載設(shè)備專(zhuān)門(mén)建立的串行多路數(shù)據(jù)總線標(biāo)準(zhǔn)。該總線可以掛接3 種類(lèi)型的設(shè)備，分別是總線監(jiān)視器（BM）、遠(yuǎn)程終端（RT）和總線控制器（BC）。根據(jù)航電系統(tǒng)功能實(shí)現(xiàn)的方式，可將上述18 個(gè)功能模塊歸為10 類(lèi)設(shè)備，分別是人機(jī)接口（DCSS）、大氣數(shù)據(jù)（ADS）、慣性導(dǎo)航系統(tǒng)（INS）、系統(tǒng)狀態(tài)（NANP）、通信導(dǎo)航識(shí)別（CNI）、自衛(wèi)電子對(duì)抗（EW）、外掛物管理（SMS）、任務(wù)計(jì)算機(jī)（MC）、雷達(dá)（PDR）、光電雷達(dá)（OESS）。由此，可簡(jiǎn)化具有余度和層次設(shè)計(jì)的多路總線拓?fù)浣Y(jié)構(gòu)，如圖3 所示。

圖3 航電系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖

由圖3 可看出，該航電系統(tǒng)有兩路數(shù)據(jù)傳輸總線設(shè)計(jì)，分別為飛行總線和作戰(zhàn)總線，從而實(shí)現(xiàn)了功能上的隔離。每路總線都是雙余度總線，從而確保數(shù)據(jù)的可靠傳輸。主BC 位于人機(jī)接口（DCSS）中，備份BC 與外掛物管理（SMS）共用一個(gè)裝置，監(jiān)視總線的監(jiān)視情況，并將總線不活動(dòng)作為一個(gè)判斷標(biāo)準(zhǔn)，繼而承擔(dān)總線控制功能。同時(shí)，SMS 作為全局總線上的一個(gè)RT，又是發(fā)射器局部總線的BC。

根據(jù)模塊化設(shè)計(jì)原則和拓?fù)浣Y(jié)構(gòu)，可發(fā)現(xiàn)航電系統(tǒng)具有較大動(dòng)態(tài)特性，必須采用動(dòng)態(tài)故障樹(shù)對(duì)其進(jìn)行建模與分析。本文將航電系統(tǒng)失效視為頂事件，為了保證軍機(jī)作戰(zhàn)任務(wù)的順利執(zhí)行，必須保證有一個(gè)總線處理器正常、至少有一條飛行總線和任務(wù)總線正常，繼而是總線上連接的各種終端設(shè)備正常。

為便于分析，可對(duì)系統(tǒng)作必要的簡(jiǎn)化處理。假設(shè)不考慮人的因素等其他原因，從總線、總線處理器、人機(jī)接口、本機(jī)信息系統(tǒng)、防御攻擊系統(tǒng)、存儲(chǔ)模塊以及任務(wù)計(jì)算機(jī)等7 個(gè)子模塊進(jìn)行分析，建立動(dòng)態(tài)故障樹(shù)。

首先，具有動(dòng)態(tài)特性的有兩個(gè)子模塊，分別是總線處理器模塊和存儲(chǔ)模塊，需建立動(dòng)態(tài)子樹(shù)，其他模塊建立靜態(tài)子樹(shù)。

1）總線處理器模塊

在總線處理器模塊中，僅有一個(gè)BC。SMS 作為備份BC 在DCSS 正常工作時(shí)不執(zhí)行BC 功能，但是又要發(fā)揮外掛物管理的功能，在總線處理器功能上，可認(rèn)為SMS 是DCSS 的冷備份，故得到總線處理器模塊的子樹(shù)，如圖4 所示。

圖4 總線處理器模塊的子樹(shù)

2）存儲(chǔ)模塊

在存儲(chǔ)模塊中，假設(shè)存儲(chǔ)分系統(tǒng)包含兩個(gè)存儲(chǔ)單元和一個(gè)存儲(chǔ)單元借口，但是存儲(chǔ)單元的功能依賴于存儲(chǔ)單元借口，當(dāng)存儲(chǔ)單元接口出現(xiàn)故障，所連接的存儲(chǔ)單元變得不可用，至少一個(gè)存儲(chǔ)單元正常工作為系統(tǒng)正常。此邏輯關(guān)系采用功能相關(guān)門(mén)，該存儲(chǔ)模塊的子樹(shù)如圖5 所示。

圖5 存儲(chǔ)模塊的子樹(shù)

3）其他模塊

其他5 個(gè)子模塊建立靜態(tài)子樹(shù)，其中任務(wù)計(jì)算機(jī)為不展開(kāi)模塊。通過(guò)以上過(guò)程，可給出航電系統(tǒng)的動(dòng)態(tài)故障樹(shù)。

2.3 航電系統(tǒng)動(dòng)態(tài)故障樹(shù)分析

2.3.1 定性分析

首先將動(dòng)態(tài)子樹(shù)（包含動(dòng)態(tài)邏輯門(mén)）視為一個(gè)底事件，并用符號(hào)表示底事件和中間事件，如圖6和表2 所示。本文通過(guò)下行法求解該動(dòng)態(tài)故障樹(shù)的最小割集。

表2 動(dòng)態(tài)故障樹(shù)中的事件及其代碼

圖6 航電系統(tǒng)動(dòng)態(tài)故障樹(shù)

求解最小割集的步驟如下頁(yè)表3 所示。

表3 航電系統(tǒng)動(dòng)態(tài)故障樹(shù)的最小割集求解步驟

由此，可得到17 個(gè)割集，分別為：{X，X}，{X，X}，{X}，{X}，{X，X}，{X，X}，{X，X}，{X，X，X}，{X}，{X}，{X}，{X，X}，{X}，{X}，{X}，{X}，{X}。

通過(guò)運(yùn)算吸收率簡(jiǎn)化以上割集，{X，X，X}被{X，X}或{X，X}或{X，X}吸收，故得到以下16個(gè)最小割集：{X，X}，{X，X}，{X}，{X}，{X，X}，{X，X}，{X，X}，{X}，{X}，{X}，{X，X}，{X}，{X}，{X}，{X}，{X}。

以下對(duì)含動(dòng)態(tài)邏輯門(mén)的X和X進(jìn)行分析。

X含有冷備份，B 可視為A 的備件，其馬爾科夫模型為：

對(duì)于總線處理器模塊，其一種故障模式為AB。

X含有功能相關(guān)門(mén)，當(dāng)存儲(chǔ)單元接口C 出現(xiàn)故障，系統(tǒng)故障，同時(shí)又含有一個(gè)與門(mén)，當(dāng)兩個(gè)存儲(chǔ)單元D 和E 全部故障時(shí)也將變得不可用，其故障模式可以表示為C∪（D∩E）。

2.3.2 定量分析

本文利用最小割集求頂事件概率，在計(jì)算過(guò)程中，將動(dòng)態(tài)子樹(shù)視為整個(gè)故障樹(shù)的一個(gè)底事件進(jìn)行處理，且底事件各有其假設(shè)的失效概率，具體如表4所示。對(duì)于每一個(gè)靜態(tài)子樹(shù)，將不進(jìn)行詳細(xì)分析。

表4 航電系統(tǒng)各部件的故障失效率（次/h）

1）總線處理器子樹(shù)定量分析

令t=1 000，則由冷備份門(mén)的狀態(tài)轉(zhuǎn)移式

表5 各最小割集的發(fā)生概率

根據(jù)以上定量分析過(guò)程，得到了頂事件發(fā)生的概率，繼而完成航電系統(tǒng)的系統(tǒng)可靠性評(píng)估，判斷其是否可以被接受，繼而指導(dǎo)系統(tǒng)的設(shè)計(jì)和改進(jìn)。

3 結(jié)論

探討了動(dòng)態(tài)故障樹(shù)用于軍用飛機(jī)系統(tǒng)可靠性評(píng)估的有效性和可行性，并以航空電子系統(tǒng)為例，分析了航空電子系統(tǒng)的適航審查準(zhǔn)則要求，通過(guò)研究系統(tǒng)的功能模塊設(shè)計(jì)和層級(jí)結(jié)構(gòu)要求，構(gòu)建了航電系統(tǒng)的動(dòng)態(tài)故障樹(shù)，更加準(zhǔn)確描述其動(dòng)態(tài)特性。并利用定性與定量方式，給出了更加精確的故障概率，繼而說(shuō)明所采用方法在軍用航空器的系統(tǒng)可靠性評(píng)估領(lǐng)域具有良好前景和價(jià)值。同時(shí)，也為航電系統(tǒng)定型審查中的推廣應(yīng)用提供了思路。