任务可靠性模型

10.1.1 任务可靠性模型的概念和构建程序

本章以舰船为例子，介绍任务可靠性模型的一些概念和构建程序。军用舰船的任务过程通常是比较复杂的，但是在某一段时间里，舰船及其各系统的工作方式有一个相对的稳定性。如果把这一段一段舰船运动相对稳定的区间标识出来，就会发现一个完整的任务过程是一个由许多这种小任务区间构成的序列。或者说，一个完整的任务过程由许多子任务过程构成。像战略核潜艇发射巡航导弹这个任务过程，通常可以分成三个阶段：①战备阶段；②发射阶段；③飞行阶段。

为什么要这样划分呢？ 战略导弹攻击的整个过程：战略核潜艇战备出航后、即处于战备状态，以一种固定的方式在指定海域游弋。在这一阶段，虽然日历在一张一张地翻动着，但潜艇今天的活动特征依旧与昨天一样：巡航游弋，并等待着攻击命令的下达。这一阶段称为战备阶段。当接到攻击命令后，潜艇即进入了发射阶段。这一阶段由测算目标距离、方位，给导弹输入制导参数，对发射系统进行发射前准备以及将导弹发射出去等工作组成。随后，弹艇分离，整个任务进入飞行阶段。此时就潜艇来说，对于任务是否成功已起不到控制作用，起作用的是导弹自身的系统是否可靠。

不同阶段往往用不同的可靠性参数来描述。第一阶段中，其成功准则是接到战斗任务时能迅速转到发射阶段。然而，什么时候上级会下达攻击命令事先是不知道的。但可以假设只要潜艇及各有关系统处于正常状态，在接到攻击命令时就能迅速转到发射阶段。这样，潜艇及其系统处于正常状态的时间与总时间之比就可作为这一阶段的可靠性参数。在这一阶段里，潜艇及其系统都允许进行维修。如果接到命令时潜艇正好在维修或是即将要维修，且维修时间超出了允许的界限，则第一阶段的任务将以失败而告终。反之，这一阶段的任务将是成功的。由此可知，可以选择可用度的参数来作为这一阶段的可靠性参数。在第二阶段，其成功准则是正常地将导弹发射出去。为此必须在短时间里完成对目标距离的估算、向导弹输入目标参数、发射系统的准备以及导弹从发射架上发射出去等工作。这一系列工作一环扣一环，不留任何大的时间间隙，不存在可维修的问题。此阶段的任务完成了就成功，不成功即失败。因此该阶段是用可靠度作为可靠性参数。第三阶段，其成功准则是导弹飞行正常并命中目标。通常用命中率作为该阶段的可靠性指标或参数。

对每一确定的阶段进行任务剖析时，通常要提出两类信息：一是对环境的剖析，它包括使用环境的应力水平和处于该环境应力下的时间；二是与硬件或软件有关的任务周期剖析，即指出硬、软件是在运行、非运行或周期性地工作。

为了准备对一个任务进行剖析，分析者需要列出该系统在每个任务阶段的运行模式，还要列出在每个阶段每种运行模式所要求的执行功能，以及实现这些功能所需的相应的硬件和软件。表101列出了为对任务进行剖析所需的信息。

表101 对任务进行剖析所需的信息表

在表101中，功能持续时间是随机变量，通常取其最大值作为一种保守的估计值。任务周期的剖析系确定系统中的每个单元在每一任务阶段中的状态，它至少应包括：

（1）每个任务阶段的持续时间、距离、周期数等。

（2）每个单元在此任务阶段中做什么及判断其成功或失败的标准。

（3）每个任务阶段在每个状态（运行、非运行或周期性运行）中预期的总时间、总周期数等。运行或非运行状态的时间通常以分钟计算。周期性运行状态，则采用在任务阶段出现的周期总数。

环境剖析是任务剖析的一个重要组成部分，它列出了每一个硬件单元在每一使命阶段预期所处的那些环境应力（如温度、振动、冲击、加速度、辐射等）。环境剖析对于设计和安排试验工作很有价值。这些工作能保证设计出来的硬件可以经受住在各个任务阶段（包括运输、储存、装卸、装配、检验及使用）中碰到的所有环境的考验。环境剖析还保证在一个综合试验方案中，用试验或分析的方法使该硬件承受所有这些环境影响的能力受到检验。

在详细的任务分析的基础上即可进行系统分析及建模工作了。

10.1.2 民用船舶的任务可靠性模型

现代船舶是一个复杂系统。它是各种各样系统组成的技术综合体。特别是无人机舱船舶、超级自动化船舶以及各种大型油轮和化学品船舶的出现，使得这种复杂化更明显了。现代船舶不仅包括传统概念上的结构系统和动力机械系统，而且还包括电子系统、化工系统。军用舰船还有武器系统。要对船舶系统进行分析，首先就应对其组成的各种成分进行分类。

对船舶的各组成部分进行分类，各国有不同的习惯。这主要是由于各个国家的基础工业分类不完全一样导致了对船舶设计与建造这项工程的组织方式不一样之故。但是不管怎样分类，有两条基本的原则可以作为参考：一是按结构功能分类，即按各系统的结构特征以及在船舶运行时各系统对船舶总体的作用不同而将它们各归其类；二是按重要程度分类，主要将船舶各系统分成影响船舶安全性及任务完成的和不影响船舶安全性及任务完成的两类。通常，两种分类混合使用：比较高级别的分类用第一种原则；比较低级别的分类用第二种原则。

不同种类的船舶，其组成分类也不一样。如运输船舶可以参照如图10- 1所示的形式进行分类。

图10-1 运输船舶系统分类

民用船舶的基本任务是进行客、货运输。简单的任务形式决定了民用船舶的构造一般都不太复杂。一般只包括船体、动力系统、晒装件、舵锚装置以及简单的通信导航系统。从完成任务的角度来说，通信系统和晒装件的故障与否和任务的完成与否关系不大。从寿命及故障频率看，船体的寿命远大于动力系统和导航系统的寿命，其故障率和这两系统的故障率相比是可以忽略的小量。而导航系统在它未问世以前，人们就凭着指南针及海图航行在世界各大洋上，这说明导航系统的故障固然与任务的完成与否有关，但关系也不是太大。剩下的唯一直接影响任务完成的就是动力系统。因此，民用船舶可靠性分析的重点就移到船舶动力装置的可靠性上来了。习惯上，人们在很多场合以船舶动力系统的可靠性来代替整个民用船舶的可靠性。故动力系统的可靠性模型就代表民用船舶的可靠性模型了。

图10-2是一个典型的船舶动力系统可靠性框图。从图中可以看出船舶动力系统的结构是比较简单的，都是一些部件的串、并联组合。对于这样一个简单系统，可以用可靠性框图法方便地写出该系统的数学模型。

图10-2 船舶动力系统可靠性框图

在如图10-2所示的可靠性框图中有五处是并联冗余的，为方便建立数学模型，将系统所有22个部件编上号（阿拉伯数字），并在冗余并联处用罗马数字编上号，则系统的可靠度可以表示为

第Ⅰ号冗余处是5、6、7、8四个部件并联，为

RⅠ=1-（1-R5）（1-R6）（1-R7）（1-R8）（102）

第Ⅱ号冗余处是13、14二个部件并联，为

RⅡ=1-（1-R13）（1-R14）

=R13+R14-R13R14

第Ⅲ号冗余处是15、16二个部件并联，为

RⅢ=1-（1-R15）（1-R16）

=R15+R16-R15R16

第Ⅳ号冗余处是19、20二个部件并联，为

RⅣ=1-（1-R19）（1-R20）

=R19+R20-R19R20

第Ⅴ号冗余处是21、22二个部件并联，为

RⅤ=1-（1-R21）（1-R22）（103）

=R21+R22-R21R22

将式（102）～式（103）代入式（101），即可得到一个完整的系统可靠性模型：

该模型可以方便地用数学方法进行计算。假设22个部件的可靠性均服从指数分布，且各部件的失效率已知（见表102）。

表102 各部件的失效率（单位：次/小时）

那么，按照式（104）可计算出系统在各个时间的可靠度（见表103）。从表中可以看出，民用船舶动力系统的可靠性是相当高的，但它随着时间的增长而呈下降趋势。

表103 各部件的失效率（单位：次/小时）

这种方法虽然简单，但有缺陷。

缺陷之一是对“船舶失效指的是什么？”这个问题的回答不明确。如果船舶动力突然丧失，回答倒是显然的。但是对于部件失效和相应的推力下降，回答就困难了。一种简单的方法是认为任何引起主轴输出功率低于设计功率的反常现象统称为失效。不过，尽管有时功率下降，但还有可能使船舶完成其使命。

缺陷之二是很难说明其结果的实际含义。如某船的可靠度是0.95，确实，它比可靠度是0.90要好，但是0.05的概率差别说明什么问题呢？特别是对于营运管理人员来说，仅知道一个可靠度是没有什么大用处的。鉴于这种状况，人们开始把注意力直接放到执行指令任务的成败而不是单单着眼于船舶动力系统的可靠性，也就是要研究船舶的营运可靠性或任务可靠性。对于定期班轮来说，如果它在规定的时间内完成了其预期的航行（即到达了目的港），则认为其任务是成功的。

研究船舶营运可靠性通常包括下列9个步骤：

（1）列出所有能够影响船舶航速或功率的事件。

（2）对于每一事件的发生，列出其所产生的结果（用速度或功率的增减形式）。

（3）将相互对立的事件构成组，这样每组内就是不相容的事件。

（4）在各组内，列出每一事件发生的概率。

（5）对于每一组选择一个随机数，并通过直接比较这一随机数来确定组内哪一事件将发生。

（6）综合所有发生事件所产生的结果，从而确定最终结果。

（7）计算航行所用的时间并作记录。

（8）多次重复这一过程，并根据各次的记录做出一张航行时间分布统计表及统计图。

（9）从统计表和统计图中查找特定航行时间内完成航行任务的概率。

10.1.3 舰船总体任务可靠性模型

10.1.3.1 舰船系统组成分析

民有船舶的分类法偏重于按结构分类的原则。由图10- 1看到的船舶设备是孤立的、无联系的。随着现代系统工程学的不断发展并渗透到船舶工程之中，人们要求用整体的、联系的眼光看待船舶及其组成系统，尤其是对军用船舶。在这样的情况下，图10-1的分类方式就不适用了。取而代之的是根据船舶各系统的功能不同来进行分类。图10-3是某舰的系统分类情况。

图10-3显示的仅仅是分到子系统一级。还可以进一步分下去，一直分到设备一级。如推进子系统中还可以分出主机、轴系、推进器等。这种分类就能顺藤摸瓜地将某一设备的大致用途以及和船舶总体的关系了解清楚。类似地，还可以对潜艇进行系统分类（见图10-4）。

如此分类，可使每一级的船舶可靠性有了特定的含义。如在航空母舰系统中，舰载机总系统包含的是各种舰载机及其配套系统，在平台总系统和支援总系统的支持下执行各种飞行任务。舰载机总系统可靠性研究的就是舰载机执行各种飞行任务的能力。又如潜艇的操控系统，是潜艇总系统中的一级分系统，其作用是控制潜艇完成各种运动。潜艇操控系统的可靠性指的就是潜艇能按要求完成各种运动的能力。这种能力也影响潜艇完成总任务的能力。

图10-3 某舰的系统划分

图10-4 潜艇的系统划分

在实际工作中还可以对舰船进行各种分类，但这些具体的分类方法必须能明确地体现系统的所属关系，并有利于系统可靠性工作的开展。

10.1.3.2 舰船任务可靠性模型构建

与一般民船相比，军用舰船要复杂得多。这种复杂不仅体现在舰船的系统构造上，而且体现在其任务形式的多样化上。

舰船的整个服役时间可分为投入时间和非投入时间如图10-3所示。

图10-5 舰船服役时间分配

所谓投入时间指的是舰船被指定作为战斗值班舰船时间。此时舰上油水备足，人员齐备，在码头或基地进行战备值班。要求舰船一旦接到战斗任务能马上投入任务航行。在此期间，如果发生小故障，则进行故障维修，舰船并不撤出战备值班状态。若发生大故障，无法在码头上进行维修的，则舰船撤出战备值班状态，其余时间舰船作正常战备值班。在任务航行过程中若舰船发生小故障，舰船并不退出任务航行，而是在任务航行途中进行修理。若在任务航行过程中舰船发生大故障，则退出任务航行进行修理。其余时间内舰船处于执行任务状态。

所谓非投入时间指的是舰船不作为战备值班舰的时间。这一段时间包括行政及供应延迟时间、预防性维修时间、休整时间及故障维修时间。从整个服役期来看，人们自然希望舰船的投入时间长一点，非投入时间短一点。在非投入时间内，预防性维修时间和故障维修时间是船舶可靠性工程要研究的。在投入时间内，战备值班时间里舰船能投入到任务航行中的能力以及任务航行时间里舰船能克服故障完成任务的能力也是船舶可靠性工程需要研究的。这么多要研究的问题摆到一起，的确让人感到一时难以下手。

面对舰船这么一个复杂的大系统，要做到与民船一样用一个简单的模型来解决问题是不可能的。人们通常用来解决问题的办法是从舰船在整个寿命期内的活动中抽出若干个人们最关心的任务剖面进行分析，并由此来给舰船的总体可靠性画出一个立体的图像。而这每一个剖面都将用一个或几个小模块来描述。

常规潜艇鱼雷攻击任务可靠性模型可以充分地说明这种舰船总体可靠性模型的构造方法。

潜艇的任务剖面有许多种。鱼雷攻击任务指的是从潜艇接到战斗任务后离开基地开始到成功地对目标实施鱼雷攻击后返回基地为止的一次满自持力的任务航行过程。

潜艇接到战斗任务后，在基地补给完毕，并以经济航行、主电机航行和通气管航行的混合航渡方式航渡到战区。然后以经济航行为主在战区游弋，寻找攻击目标。一旦潜艇的探测系统发现目标，并经作战指挥系统证实识别一，潜艇即根据目标的距离、方位、航速和航向按照作战指挥系统拟定的作战接敌方案进行隐蔽接敌，接近到最佳攻击位置即发射并导引线导鱼雷。

从潜艇战术的角度讲，潜艇作战不宜采用硬拼的方式，而是以隐蔽攻击为主。通常，潜艇攻击的目标不是单独的目标，而是在众多水面舰船护卫下的目标。潜艇一旦暴露在护航舰船之下，在和水面舰船面对面的战斗中并不占优势。因而，潜艇在完成攻击动作后通常是迅速撤离战区，然后再考虑攻击下一批目标或是返回基地。潜艇只有完成了攻击任务并返回基地，才算完成整个任务。

仔细观察潜艇的鱼雷攻击任务过程，可以把它分解成6个阶段；航渡阶段、游弋阶段、接敌阶段、攻击阶段、撤离阶段和返航阶段。这6个阶段一环套一环，缺一不可，组成一个任务整体（见图10-6）。

图10-6 鱼雷攻击任务逻辑图

1）航渡阶段

航渡阶段，指潜艇从基地正确地航行到战区这个阶段，是完成任务的第一步。潜艇到达了错误的地方或到达指定地点的时间晚了，都标志着本阶段的失败。整个航渡阶段以主电机航行和经济航行为主，中间有每天一次的充电。每天充电的时间是5小时。航行距离占整个续航力的1/3，航渡时间占整个自持力时间的1/3。由于常规潜艇的自持力多为60天。因而，航渡时间最长只能是20天。

2）游弋阶段

游弋阶段，指潜艇到达战区后，在战区游弋搜索目标的阶段。潜艇有可能一次出航要进行多次鱼雷攻击。但大多数情况下，每执行一次鱼雷攻击都要暂时规避撤离一下。因而，多一次鱼雷攻击相当多一次从接敌到撤离的重复。为简化起见，我们在这里分析的任务过程仅包含一次鱼雷攻击。在这种情况下，从最差条件考虑，游弋时间取19.5天。在这一阶段中，潜艇以经济航行为主，其中包括每天一次的充电。每次充电的时间为5小时。本阶段的任务是发现并捕捉到目标。不能发现并捕到目标即是本阶段的失败。

3）接敌阶段

接敌阶段，是总任务过程中从一发现并捕捉到目标，到到达最佳攻击位置这么一段过程。在这个阶段中，潜艇一方面以经济航行速度向计算的最佳位置接近，另一方面开动作战指挥系统不断地解算目标运动要素，跟踪、监视所有目标一，直到艇长下达攻击某个目标的命令为止。时间长达10小时左右。在这一阶段中，潜艇应采取必要的机动措施来避开敌水面舰船的水声防御体系。潜艇意外暴露或丢失要攻击的目标或到达不了最佳战位都会被认为是本阶段的失败。

4）攻击阶段

攻击阶段，指的是从艇长下达攻击某一个目标的命令开始，到潜艇结束对鱼雷的导引为止这么一段过程。在这一阶段中，潜艇要开动全部武器系统，拟定攻击方案和攻击后撤离方案，计算攻击参数，进行发射前准备、发射鱼雷以及导引鱼雷。在这一系列的工作的同时，艇体还要适当机动，以获得最佳水声数据。这一阶段耗时不长，通常仅为30分钟左右。但这一阶段特别紧张。在这30分钟时间里不允许出任何错误。为保证声呐有良好的工作环境，潜艇以中低速航行为佳。

5）撤离阶段

撤离阶段，指的是潜艇在结束对鱼雷的导引后，撤出战区或敌搜索区的阶段。这一阶段里，潜艇一方面施放声诱饵和声干扰器材对敌水声设备进行诱骗和干扰。最常用的器材有高频干扰器、低频干扰器、气幕弹、自航式声诱饵和悬浮式声诱饵。另一方面高速规避撤离作战现场。潜艇被敌水面舰船的声呐跟踪到以后，若不能摆脱，则生还的希望是极小的。

6）返航阶段

返航阶段，指的是潜艇在撤离战区后返回基地的这么一段过程，这个阶段的基本特征和航渡阶段完全一样，只不过是方向相反而已。

由以上分析可以看出，鱼雷攻击任务过程是一个复杂的任务过程。要运用一个简单的模型来精确地概括其各个方面的特点是不可能的。从另一方面看，潜艇的任务过程是动态的，而可靠性模型大多是静态的。要用静态的模型来描述动态的任务过程，合理的办法就是将任务分解成若干阶段。在此，把牵涉面相同且活动没有本质变化的一段过程归为一个阶段。若把整个任务过程视为一部机器，则这每一个阶段就相当于这部机器上的一个部件。而这每个部件的失效与否又分别受到潜艇各系统的影响。部件（所处的阶段）不同，所受的影响也不同。如武器系统在航渡过程中出故障并不会影响到航渡任务的完成。而同样是武器系统故障若发生在攻击阶段，则会影响攻击任务的完成。通过分析，已经把整个任务过程分解成了航渡、游弋、接敌、攻击、撤离和返航六个阶段。从而可以得到鱼雷攻击任务可靠性模型（见图10-7）。

模型的横向是任务的6个阶段。纵向则是潜艇的11个大系统，其中船体包括疏水、均衡和生命支持等分系统。从图10-7中可以看出，潜艇的任务可靠性模型采用两种方法来构成。最后一列是每个系统完成整个任务的概率。这一列的乘积就是任务可靠度：

最下面一行是每一个阶段能完成的概率。它们取决于每个系统在这每个阶段中的状态。这一行的乘积，就是任务可靠性：

航渡阶段的成功准则是，在规定的时间内到达规定地点。航渡阶段对阶段结束的时间及状态都有明确的规定，因而可以用可靠度来描述其成功概率：

图10-7 鱼雷攻击任务可靠性模型

pi1=Ri1（107）

pm1=R1（108）

在游弋阶段，游弋是行为，不是目的，目的是要捕捉到目标。在此，假定当所有系统工作正常时，捕捉到目标的概率是100%（这项能力的分析应属于系统精度分析的工作）。这样，系统能够正常工作的概率即是游弋阶段成功的概率。目标出现的时间也是随机的。通常可以假定目标出现的概率在整个游弋阶段是均匀分布的，则系统正常工作时间占整个游弋阶段时间的比例即可作为系统能够正常工作的概率。因而，游弋阶段成功的概率可以用可用度来表示。而游弋阶段很长，可以用稳态可用度，即

pi2=Ai2（109）

pm2=A2（1010）

接敌阶段是要在一定时间内占领一定位置。攻击阶段是要在一定时间内完成鱼雷的发射和导引。撤离阶段是要在一定时间内撤到安全地区，因而都可以用可靠度来表示其成功概率：

pij=Rij（j=3，4，5，6）

将式（105）和式（106）进行比较。可以发现若用式（105），由于pi2均是可用度，在求pi时必须也分六个模块进行计算。而若选用式（106），pmj是潜艇在第j阶段的成功概率，计算时可以将整个潜艇作为一个模块来计算。因而，选用式（106）作为潜艇任务可靠性的一级模型。而pm1，pm2，pm3，pm4，pm5和pm6则可以通过6个子模块用条件概率相乘的方式获得。

鉴于整个模型牵涉6个阶段模块及11个大系统，单靠少数人是不可能建立起一个完整的模型。同时，建模工作不能脱离实际工程，需要许多有经验的工程师共同来完成。因而，各个子模块将选用故障方法来建立。现有的故障树分析法只能计算不可维修系统的可用度及可维修系统的MTBF。而在航渡和撤离阶段均允许进行维修。对这两个模块的计算将采用以最小割集为基础的多重数字仿真，使整个模型得以成立。

每个模块的故障树究竟建立到哪一级为止呢？ 从定量分析的需要来看，只有建到设备级才有可能获得较为完整的统计数据，如可靠度函数等。但整个模型涉及众多系统，有机械系统、电子系统、结构系统，还有化工系统。这些系统所包含的知识也是多方面的。而系统可靠性分析依据不仅仅是可靠性知识，还要有较为丰富的各个系统的专业知识。因而，单靠一个人是很难建立起较为适用的可靠性模型的，必须通过多种工程技术人员通力合作，同时还要有科学的分工。

按照舰船设计的惯例，舰船设计师分总体设计师和系统设计师。可靠性分析师也可分为总体可靠性分析师和系统可靠性分析师。在建模过程中，总体可靠性分析师负责建立总体级模型，系统可靠性分析师负责建立系统级模型。

所谓总体级模型，反映的是潜艇在整个阶段的活动中全艇性活动失效的规律，如系统失效对阶段任务完成情况的影响等等。而系统级模型反映的是造成系统失效的原因。

从模型的构成来看，系统级模型可以说是总体模型的子模块。因而总体级模型是关键。从模型的通用性来看，总体级模型重点刻画任务与系统之间的关系。而潜艇发展到今天，所具有的系统个数及种类基本上没有变化。如今，无论是哪个国家的常规潜艇，其总体的基本系统组成几乎都是一样的，完成鱼雷攻击任务的形式也是一样的，因而，总体级模型具有较好的通用性。而系统级模型反映的则是设备与系统之间的关系。不同型号的潜艇所用的设备是不一样的。系统的构成也不一样。如动力系统中有直接传动系统和间接传动系统。武器系统和声呐系统的组成更是五花八门。要用一个统一的模型把这些系统全概括进去是不可能的。因而，系统级模型一般不具有通用性。

在计算时，由于系统级的可靠性数据要经过大量的计算才能得到，而设备级的可靠性数据可由设备生产厂家随设备一起和技术资料一并提供。所以，在整个模型的计算时，应将系统级模型套入总体级模型中，然后进行计算。之所以将模型分级是为了建模时的工作需要。

10.1.3.3 潜艇任务可靠性模型构建示例

本节所叙述的模块模型以总体级模型为主，在工作中所建立的系统级模型是以某潜艇的系统构造为基础的。由于保密原因，这一部分内容不能反映在本文中。这样做对阅读本文的读者了解潜艇鱼雷攻击任务可靠性模型及模型的构造方法丝毫没有影响，因为鱼雷攻击任务可靠性模型的全部精髓都在总体级模型之中。系统级模型的建造方法和普通系统的可靠性模型的建造方法完全一样，读者可以从有关文献中详细地了解到。本文叙述到系统为止，而将所有待分析的系统失效事件都作为准底事件放在总体级模型中，若要应用本模型，只需将这些准底事件按照具体系统展开到设备级的底事件即可。

1）航渡模块

航渡阶段的任务是要在规定的时间内到达战区。潜艇只要能以一定的平均航速航行一定时间，就能按时到达战区。从任务的角度讲，最不希望发生的事件是航渡中断。如果该事件发生，且在规定时间内不能恢复，航渡任务就将失败。反之，航渡任务就能成功。把“航渡中断”这么一个最不希望发生的事件作为故障树的顶事件。该顶事件发生和任务的失效并不完全等价。严格地讲，任务失败的直接原因是任务中断时间超过了一定的允许值。由于该模块拟用数字仿真方法进行计算，可以把任务中断时间放到仿真逻辑中去解决。模型中仅反映任务中断的原因，这样就可以按常规方法建立故障树。

确定了顶事件后，就可以把注意力集中在研究究竟是什么原因导致该顶事件的发生。可以看到若偏离了航向，设想中的航渡也要中断。如果艇上系统出了故障，非停下来进行维修不可，则航渡必然也中断。因此，在“航渡中断”下可通过一个“或”门连接三个中间事件：“偏离航向”“遭遇非期望目标”和“有危险性故障”（见图10-8）。

图10-8 “航渡中断”准故障树

图10-9 “有危险性故障”准故障树

危险性故障有很多种，有可能是船体故障，使得潜艇不能继续航行；也可能是艇内居住性恶化，使得潜艇不得不中断任务的执行。也有可能是动力系统故障从而发不出理想的推力。只要这三个事件中有一个发生，都可以称为有危险性故障。因此，在“有危险性故障”下可通过一个“或”门连接“艇体不能满足适航性要求”“艇内居住性恶化”和“航行推进失效”这三个事件（见图10-9）。其中前两个已到了系统级，可分别由具体艇的船体系统和生命保障系统展开得到。因此，这里把它们取作准底事件。

常规潜艇的动力系统是一个极其复杂的动力系统。其复杂不仅在于其结构形式，而且还在于其使用方式。在整个航渡过程中，动力系统将按一定的组合形式完成潜艇的主电机航行，经济航行及通气管充电航行。各种方式按时刻表进行转换，其中应以一定航行状态航行的时刻不能用另一种航行方式代替。如通气管充电航行状态航行的时刻不能用另一种航行方式代替。如通气管充电航行只能在晚上进行。若在晚上进行经济航行或主电机航行，则这一天将不能充电。带来的后果是白天的航行电能将无法保证，从而使航渡出现阻碍。主电机航行的目的是为了提高平均航速，通常在白天进行，显然不能用通气管航行来代替。若用经济航行代替，则平均航速太低，在规定的时间内无法到达战区。若用主电机航行代替经济航行，则可能由于耗能太快，不到允许充电时即将电能用光，从而造成航渡阻碍。因而，上述三种航态中任一航态在需要时不能实现都是航行推进失效的表现。所以，在“航行推进失效”下应通过一个“或”门连接三个事件：“主电机航行失效”“经济航行失效”和“通气管充电航行失效”（见图10-10）。这三个事件的进一步分析都与具体系统有关，在此取作准底事件，不继续往下分解。

图10-10 “航行推进失效”准故障树

图10-11 “遭遇非期望目标”准故障树

遭遇非期望目标必须两个条件同时满足：一是有非期望目标出现；二是未能避开。因此，“遭遇非期望目标”下可通过一个“与”门连接“有非期望目标”和“未能避开非期望目标（见图10-11）。其中“有非期望目标”是一个底事件，“未能避开非期望目标”是一个中间事件。

导致“未能避开非期望目标”的事件有两个：“未能识别非期望目标”和“未能躲过非期望目标”。因此，可以用一个“或”门将“未能避开非期望目标”和这两个原因连接起来（见图10-12）。

图10-12 “未能避开非期望目标”准故障树

未能躲过非期望目标首先是本艇暴露在非期望目标之下，同时还不能采取有效措施机动规避。因此，可以用一个“与”门将“未能躲过非期望目标”和“未能采取理想机动”及“本艇意外声暴露”连接起来（见图10-11）。其中“本艇意外声暴露”为一底事件，而“未能采取理想机动”为一中间事件。

图10-13 “未能躲过非期望目标”准故障树

图10-14 “未能采取理想机动”准故障树

“未能采取理想机动”有两方面原因：一是操艇系统失效，以致潜艇不能按照艇长的意思机动；二是艇长本身指挥失误。因此，可以用一个“或”门将它们连接起来（见图10- 14）。其中“操艇系统失效”与具体操艇系统有关，在此取作准底事件。“指挥失误”可以作为底事件，但从现阶段看，对该事件的发生概率统计还很不全，不过，这种概率也是比较小的。因而，在此我们将它取作不可分析的小概率事件。在定性分析时考虑其影响，在定量分析时不需计算。

在航渡阶段，艇上识别非期望目标主要靠两套系统，侦察雷达和声呐系统。这两套系统都发生故障时就不可能探测或识别非期望目标。因此，在“未能识别非期望目标”下可通过一个“与”门连接“侦察雷达失效”和“声呐系统失效”（见图10-15）。其中侦察雷达通常是单设备系统，其失效可以取作底事件。“声呐系统失效”的进一步分析和具体系统有关，在此取作准底事件。

图10-15 “未能识别非期望目标”准故障树

图10-16 “偏离航向”准故障树

偏离航向即不能按设想航行，由两方面原因引起：一是有错误动作；二是偏航未予纠正。因此，在“偏离航向”下可通过一个“与”门连接两个中间事件：“有错误动作”和“偏航未予纠正”（见图10-16）。

有错误动作指潜艇操艇有误，致使潜艇偏离航向。导致错误动作的也有两方面的原因，即操艇系统失效和操艇指令错误。因此，在“有错误动作”下可通过一个“或”门连接两个事件：“操艇系统失效”和“操艇指令”（见图10-17）。其中“操艇系统失效”是准底事件。“操艇指令错误”是中间事件。

图10-17 “有错误动作”准故障树

图10-18 “操艇指令错误”准故障树

导致操艇指令错误的有两个原因：一是导航数据错误；二是指挥员决策错误。因此，在“操艇指令错误”下通过一个“或”门连接“导航数据错误”和“指挥员决策错误”（见图10-18）。其中“导航数据错误”是一个中间事件，“指挥员决策错误”是一个不可分析的小概率事件。

导航数据错误可能由两方面原因引起：一是导航系统失效，致使原始导航数据出现错误；二是通用接口机柜失效，导致导航数据在传输过程中出现错误。因此，在“导航数据错误”下可通过一个“或”门连接两个准底事件：“导航系统失效”和“通用接口机柜失效”（见图10-19）。

图10-19 “导航数据错误”准故障树

图10-20 “偏航未予纠正”准故障树

偏航未予纠正的主要原因有两个：偏航没有发现或操艇系统失效。而偏航没有发现的直接原因是导航数据错误。因此，在“偏航未予纠正”下可通过一个“或”门连接“导航数据错误”和“操艇系统失效”（见图10-20）。

图10-20中“导航数据错误”和如图10-19所示的逻辑关系是一致的，而“操艇系统失效”则是一个准底事件。至此，航渡模块的总体级模型全部建造完毕。

2）游弋模块

游弋模块反映的是潜艇丧失游弋及寻找目标的能力的机理。因此，选择“不能进行正常搜索”作为该模块的顶事件。

潜艇在潜游弋阶段进行搜索航行时，一方面按照规定的方式进行航行，另一方面开动探测系统进行搜索，同时还要能躲过非期望目标，使自己不要过早暴露。因此，在“不能进行正常搜索”下可以通过一个“或”门连接三个事件：“不能按设想航行”“探测系统失效”和“遭遇非期望目标”（见图10-21）。其中，“遭遇非期望目标”的原因和前一节所叙述的一样，在此不再赘述。

图10-21 “不能进行正常搜索”准故障树

影响潜艇按设想航行的因素很多，其中最主要的有“艇体不能满足适航性要求”“航行推进失效”“艇内居住性恶化”和“偏离航向”。因此，可以用一个“或”门将这四个事件同“不能按设想航行”连接起来（见图10- 22）。其中“艇体不能满足适航性要求”和“艇内居住性恶化”为准底事件。“航行推进失效”和“偏离航向”为中间事件。

图10-22 “不能按设想航行”准故障树

在游弋搜索阶段，为了节省能源，潜艇只作白天的经济航行和夜间的通气管充电航行。“航行推进失效”由两部分组成：一是不能进行经济航行；二是不能进行通气管充电航行。因此，在“航行推进失效”下可以通过一个“或”门连接两个准底事件：“水下经济航行失效”和“通气管充电航行失效”（见图10-23）。而“偏离航向”的原因与上一节所叙述的一样。在此不再赘述。

图10-23 “航行推进失效”准故障树

图10-24 “探测系统失效”准故障树

在游弋阶段，潜艇探测搜索目标依靠的是声呐系统。因而，“探测系统失效”可用一准底事件“声呐系统失效”作为等价事件（见图10- 24）。至此，游弋模块的总体级模型已全部建成。

3）接敌模块

在接敌阶段，潜艇必须隐蔽航行到预定攻击战位，以便在下一阶段能对目标实施有效攻击。因此，选择“隐蔽接敌失效”作为该模块的顶事件。同时，还可以看到要能顺利隐蔽接敌，首先必须要能按设想航行；其次本艇不能暴露给对手；最后是指挥系统能不间断地跟踪目标。可以在“隐蔽接敌失效”下面通过一个“或”门连接三个事件：“不能按设想航行”“本艇意外暴露”和“跟踪目标丢失”（见图10-25）。其中，“不能按设想航行”和“跟踪目标丢失”是中间事件，“本艇意外暴露”为底事件。

图10-25 “隐蔽接敌失效”准故障树

图10-26 “航行推进失效”准故障树

“不能按设想航行”的原因和上节叙述的一样，在些不再赘述。所不同是在游弋阶段航行过程是通气管充电航行和经济航行的组合。而在这一阶段，潜艇只能作经济航行。因此，这里的“航行推进失效”可用一准底事件“经济航行失效”作为等价事件（见图10-26）。

导致“跟踪目标丢失”的原因有三个：一是声呐系统失效，使得潜艇无法探测到目标；二是通用接口机柜失效，使得探测数据无法传到指挥控制系统；三是指控系统失效，使之不能接收和复示跟踪目标。因此，可以在“跟踪目标丢失”下通过一个“或”门连接三个准底事件：“声呐系统失效”“指挥系统失效”和“通用接口机柜失效”（见图10-27）。

图10-27 “跟踪目标丢失”准故障树

至此，接通敌模块的总体级模型已全部建成。

4）攻击模块

线导鱼雷是现代潜艇常用的武器袋备，其工作方式是利用艇上的大型声呐设备和武器指控系统通过导线将鱼雷导引到到攻击目标附近，从而使得鱼雷攻击命中概率大大提高。因而，在进行鱼雷攻击时，本艇应做有规律的机动，以使本艇处于探测目标的最有利的位置和角度，从而获得质量最高的目标参数，同时，对线导鱼雷的导引需要8分钟左右的时间。在这阶段时间里，由于水面舰船武器系统的反应速度要比潜艇快得多，潜艇不宜暴露自己。否则将不得不实施规避，从而放弃正在进行中的攻击行动。所以，如果将顶事件取作“攻击过程失败”，则在其下可通过一个“或”门连接二个准底事件：“武器系统失效”“本艇意外声暴露”以及一个中间事件“不能按设想航行”（见图10-28）。

图10-28 “攻击过程失败”准故障树

为了保持隐蔽性及降低本艇噪声，以使声呐的作用距离更远。在攻击阶段，潜艇只进行经济航行。同时，由于时间短，活动范围小，在这一阶段中不考虑遭遇非期望目标。因此，在“不能按设想航行”下可通过一个“或”门连接“艇体不能满足适航性要求”“不能进行经济航行”和“艇内居住性恶化”三个准底事件和“偏离航向”一个中间事件（见图10-29）。

图10-29 “不能按设想航行”准故障树

“偏离航向”的发生逻辑和如图10-16所示的一样。至此，攻击模块的总体级模型全部建造完毕。

5）撤离模块

撤离模块要反映的是撤离任务的失败和潜艇各系统失效之间的关系。在撤离阶段，潜艇的任务是在规定的时间内采用水声对抗和机动规避等手段迅速撤离战区。因此，可以取“潜艇不能迅速撤离战区”作为该模块的顶事件，在此顶事件下可通过一个“或”门连接三个事件：“不能进行规避航行”“本艇声暴露”和“水声对抗系统失效”（见图10-30）。其中“不能进行规避航行”是中间事件，“本艇声暴露”和“水声对扰系统失效”为准底事件。

图10-30 “潜艇不能迅速撤离战区”准故障树

规避航行同样也需要艇体作支持。因此，在“不能进行规避航行”下可通过一“或”门连接四个事件：“艇体不能满足适航性要求”“航行推进失效”“艇内居住性恶化”和“偏离航向”（见图10-31）。其中“艇体不能满足适航性要求”和“艇内居住性恶化”是准底事件，而“航行推进失效”和“偏离航向”是中间事件。

在进行规避航行时，潜艇使用的是高速航行和经济航行。因此，在“航行推进失效”下可通过“与”门连接“主电机航行失效”和“经济航行失效”两个准底事件（见图10-32）。

图10-31 “不能进行规避航行”准故障树

图10-32 “航行推进失效”准故障树

“偏离航向”的发生逻辑和如图10-16所示的一样。至此，撤离模块的总体级模型全部建造完毕。

6）返航模块

返航阶段和航渡阶段的活动方式是相同的，只是航行方向不同而已。因而，其可靠性模型是一样的。航渡模块的模型可以代替返航模块的模型。

各个阶段的故障树模型汇总如图10-33至图10-37所示。

仔细观察所建立的模型，不难发现只要将接敌模块和攻击模块稍加改造，就可以得到潜艇导弹攻击任务可靠性模型。该模型要推广到水面舰船，或是以此为母型构造水面舰船的总体可靠性模型就不是一件很难的事了。