0 引言

操舵系统是用于控制水面舰船和潜航器运行轨迹的一种大型复杂机电液一体化装备，一旦发生故障，不但可能导致任务失败，更会引起重大的人员和财产损失，因此对其故障安全风险进行分析意义重大。安全性分析方法分为定性分析和定量分析，前者是后者的基础。其中，定性分析方法包括故障模式影响分析、安全检查表法、风险矩阵和风险图法等^[1]，而定量风险分析包括概率风险分析^[2]、马尔尔科夫分析^[3]等。

然而，由于操舵系统规模大、原理和结构复杂，且服役总数一般较少，现有的工业产品中对其施加的状态监控与健康管理措施还比较薄弱，很难实现故障的早期检测，造成故障发生的不可预见性。同时，故障发生范围广，且往往是间歇故障、突发故障，故障难以重现。以上因素导致这类系统的历史故障数据十分匮乏，造成传统的安全风险分析技术存在一定的经验盲区，作用受限。因此，对操舵系统这类大型机电液装备进行定量安全分析的困难并不在于分析方法本身，而在于缺乏可用的故障安全数据^[4]。

虚拟样机是从 20 世纪 80 年代逐渐发展起来的新技术，它是建立在计算机上的系统仿真模型，在一定程度上具有与物理样机（原系统）相当的功能真实度。虚拟样机充分发挥了仿真技术的廉价、高效、灵活等优势，将其引入故障安全风险分析中是一种可行的途径。本文首先提出基于仿真的操舵系统故障安全风险分析框架，随后以潜航器操舵系统的研究案例对这一方法进行验证，最后进行总结。

1 基于仿真的故障风险分析框架

图 1 为本文提出的基于仿真的操舵系统故障安全风险分析框架，该框架主要分为以下 5 个步骤。

第 1 步：建立虚拟样机。根据实际系统的特点选择合适的虚拟样机建模软件平台，并在模型的复杂性和准确性之间寻求一个平衡点，用最低的建模代价实现功能需求。

第 2 步：进行虚拟样机的校核与验证。虚拟样机的校核与验证（Verification and Validation,V & V）是确保建模与仿真（Modeling and Simulation，M&S）可信性的重要手段，也是虚拟样机进一步用于故障安全分析的基础，应给予重视。

第 3 步：在虚拟样机中进行故障植入。故障植入就是根据实际故障的具体类型和特点，在虚拟样机中通过增减元件、变换结构或修改元件参数等手段，人为地模拟实际故障的产生。

第 4 步：在故障植入的基础上进行故障仿真。通过故障仿真，可以对感兴趣的故障模式对系统主要性能的影响进行分析，并获取故障仿真数据。

第 5 步：结合舰船运动的动力学模型进行运行场景联合仿真。不同的故障模式对舰船运行造成不同的安全风险影响，基于运行场景仿真结果中体现的安全风险对故障模式进行分类，从而为定量的风险分析打下基础。

2 案例研究

某型潜航器操舵系统是一个泵控液压缸伺服控制系统，它由操舵装置、模拟放大电路、泵控装置、舵机油缸以及舵角反馈机构等部分组成，是一个典型的机电液混合、双闭环、伺服控制系统。通过两级反馈控制使实际舵角跟随指令舵角偏转，其控制原理如图 2 所示^[5]，图中 1#～7# 为模型验证中所用的信号测点。

2.1 虚拟样机建立与验证 2.1.1 建立虚拟样机

本文选用 AMESim 作为虚拟样机的搭建平台，AMESim 是法国 Imagine 公司于 1995 年推出的基于键合图的系统建模、仿真及动力学分析软件，涵盖了机械、液压、气动、热、电和磁等多学科领域，具有界面友好、模型库丰富和分析工具齐全等优点。最终所建立的虚拟样机如图 3 所示。

2.1.2 虚拟样机校核与验证

为了用于进一步的故障风险分析，必须对虚拟样机进行校核与验证，以保证其具备足够高的可信度。关于 V&V 的内容在文献^[6-7]中有详细论述。本文只对校核与验证的关键环节，即实测信号与仿真信号进行对比研究。

假设 x_t 和 y_t 分别是实际系统观测序列 X 和虚拟样机观测序列 Y，则二者的误差序列为：

${e_t} = {x_t} - {y_t},t = 1,2,\ldots ,N.$

(1)

其中 N 为序列长度。

未描述实测序列和仿真序列之间的相似性，设计了均方根误差和相关系数作为验证指标，它们分别反映数据幅值和趋势的相似性，其计算公式如下。

$RM{S_e} = \sqrt {\frac{1}{N}\sum\limits_{t = 1}^N {e_t^2} } ,$

(2)

${\rho _{X,Y}} = \frac{{\displaystyle \sum\limits_{t = 1}^N {\left( {{x_t} - \bar x} \right)\left( {{y_t} - \bar y} \right)} }}{{\sqrt {\displaystyle \sum\limits_{t = 1}^N {{{\left( {{x_t} - \bar x} \right)}^2}\sum\limits_{t = 1}^N {{{\left( {{y_t} - \bar y} \right)}^2}} } } }}.$

(3)

所设计的测点信号和校核验证结果如表 1 所示。图 4 给出了 2 个典型信号的实验值和仿真值的对比情况，分别为测点 5# 和 7#。从表 1 及图 4 可见，所设计的测点实测信号与仿真信号具有很高的相似性，表明所建立的虚拟样机与实际系统具有较高的相似性与逼真度，得到的仿真数据能够用于故障风险分析。

2.2 故障植入与仿真 2.2.1 故障植入

操舵系统是一个复杂的机电液混合系统，系统中的任何组成部分发生故障都有可能导致整个系统的失效。实际上，根据操舵系统的 FMEA 资料，操舵系统的故障模式多达上百种。本文主要研究操舵系统本身双闭环中各个部件的故障模式，而对电源等外部因素不予考虑。这里选取 2 种典型故障进行研究，故障 A₃ 为外环控制器零性故障，即模放板无输出，故障 F₃ 为内环反馈零性故障，即斜盘位移传感器卡死（0 处）。在虚拟样机中进行故障植入，根据故障的实际特点，在模型库中选择相应的能够代表故障的元件，与正常数字样机进行串联或并联，并设置故障参数，故障植入细节如图 3所示。

2.2.2 故障仿真

在故障植入的基础上进行故障仿真。选取阶跃信号作为指令输入，信号初始幅值及原始舵角都是 30°，0 s 时阶跃下降至 0°，仿真时间设置为 10 s，采样时间设置为 0.1 s。分别对 2 种故障进行仿真，得到的舵角输出信号的仿真结果和正常虚拟样机的仿真结果对比如图 5 所示。从仿真结果可以看出，故障 A₃ 造成了卡舵（即实际舵角没有随指令发生变化），而故障 F₃ 却没有，它仅仅导致稳态舵角波动，显然没有故障 A₃ 那么致命，虽然该故障看起来也很严重。这就是为什么建立虚拟样机并进行故障植入及仿真的原因：明确每种故障对舵角输出的最终影响。采用相同的手段对所有典型故障进行植入和仿真，并对仿真结果进行分析，最终结果如表 2 所示。这样，就可以有效弥补操舵系统故障风险分析中的经验盲区，从而为定性和定量安全风险分析夯实基础。

2.3 故障风险分析

故障风险分析的目标是，对所有故障模式可能导致的潜航器水下运行后果进行总结分析，从而对故障风险进行分级归类。

2.3.1 运行场景仿真

采用 AMESim 与 Simulink 的 CoSim 接口，将操舵系统虚拟样机模型移植到 Simulink 中与潜航器的运动控制动力学模型进行联合的运行场景仿真，观察不同的故障对潜航器运行安全的影响。以尾升降舵为例，其主要作用是控制潜航器的深度。

假设潜航器初始运行深度为 30 m，初始航速 8 km，指令航速 8 km，指令深度 40 m。发出深度指令后 21 s 时，操舵系统分别发生故障 A₃ 和故障 F₃，潜航器仍然按自动控制规律进行运行，仿真总时长 200 s。分别考察 2 种故障与正常状态下的潜航器深度变化、指令舵角变化及实际舵角变化情况，如图 6 所示。

从仿真结果可看出，故障 F₃ 并未对潜深造成负面影响，而故障 A₃ 却使潜深失控，极易引发灾难性事故。在自动控制模式下，故障 A₃ 的实际舵角完全不跟随指令，造成指令与正常状态的大相径庭，而故障 F₃ 只是实际舵角在 0 附近波动，指令舵角则未受明显影响。

2.3.2 严酷度等级分类

根据国军标中对武器装备常用的故障模式严酷度类别的定义^[8]，将故障模式进行严酷度等级的归类，结果如表 3 所示。其中 Ⅰ 类故障主要是指卡舵故障，这类故障危害性最大，应予以重点预防和控制。以上工作就完成了对操舵系统故障的定性风险分析。在此基础上，结合操舵系统可靠性设计资料，可以对某类严酷度等级故障发生的总概率进行粗略估计，从而为定量的安全性分析打下基础。

3 结语

操舵系统的故障风险定量分析需求迫切，但传统的基于经验的安全性分析技术在历史故障数据匮乏的情况下作用有限。虚拟样机技术为应对这一问题提供了崭新的途径。本文提出了基于仿真的故障风险分析方法。通过虚拟样机的建立、验证、故障植入、故障仿真以及运行场景的动力学联合仿真，可以对典型故障模式的安全风险影响进行直观分析。案例研究结果表明，所提出的方法能够有效填补历史故障数据不足所造成的分析盲区，理论上可以对任何故障细节的安全风险进行分析，也可为一般的机电液系统的故障安全风险分析提供参考。