基于模型的系统需求确认与验证技术研究 *

2023-03-06张辉辉孙军帅王秀鑫雷培刘鹏飞

现代防御技术 2023年1期

张辉辉，孙军帅，王秀鑫，雷培，刘鹏飞

（航空工业庆安集团有限公司，陕西西安 710077）

0 引言

飞机高升力系统通过控制缝翼和襟翼位置来增大机翼的弯度和面积，不仅能够有效提高飞机起飞着陆时的升力，还可以有效改善飞机的失速条件，而且也大大改善了飞机爬升率、进场速率和进场最佳飞行姿态［1］。高升系统涉及复杂电子、软件、液压、电气和机械传动等15 类产品，此外，高升力系统发生不对称超限、非指令运动超限故障时会影响飞机飞行安全，因此高升力系统中不对称和非指令运动监控功能相关的襟翼控制计算机（flap electrical control unit，FECU）功能研制保证等级为A 级。因此，高升力系统具有高安全性和产品复杂度高的特点。

传统的复杂民机系统均按照ARP4754A 开展研制工作，整个研制过程都是基于文档管理，在系统设计过程中，系统需求、系统方案等设计信息通过文档进行传递，系统设计很大程度上依赖工程师经验，同时文档管理方式使得设计人员从文档中读取的信息很容易产生理解偏差，导致设计过程反复迭代，严重影响系统研发效率［2］。同时，随着飞机系统向高度综合化、智能化发展，飞机研制的技术和管理复杂度剧增，迫切需要采用基于模型的新型系统工程方法［3］。

为了更好地理解和管理复杂系统和产品，2007年系统工程国际委员会给出了MBSE（model-based systems engineering）的定义：通过在系统需求、设计、分析、验证和确认活动中使用形式化建模方法，支持从概念设计阶段开始并持续贯穿于开发和后续的生命周期阶段［4］。随着国内在基于模型的系统工程方法研究的不断深入，已经成功应用于项目研制。

国内研发人员使用SysML 语言建立系统行为模型或功能模型，对系统运行场景进行分析，或对系统功能和逻辑进行仿真分析，实现了系统需求的确认和验证［5-10］。国内研发人员还提出了一种基于3D Experience 平台的MBSE 方法，实现了操纵、液压驱动、作动器等子系统和副翼多体运动学模型的集成仿真，验证了副翼及其操纵系统的功能和性能［11］。此外，国内研发人员使用SCADE（safety critical application development environment）建模仿真工具、模型测试分析工具及代码生成器，实现了发动机控制软件的研制［12］。这些基于模型的系统工程应用主要以“V 模型”左侧设计阶段的系统需求确认与验证为主，并没有将基于模型的系统需求确认与验证方法贯穿于系统研发的全生命周期。

本文以某飞机高升力系统为对象，研究适用于贯穿全生命周期基于模型的系统需求确认与验证技术，在不同研发阶段使用不同颗粒度的系统仿真模型实现对系统需求的确认与验证，并且随着设计的不断深入，可借助现有的测试用例快速进行系统仿真模型的迭代分析，不断提高系统需求正确性和完整性的置信度。同时，考虑将设计阶段产生的模型或测试用例等最大程度地复用到集成验证活动中，提高集成验证效率。

1 基于模型的系统研发

1.1 基于模型的研发过程

基于模型的系统确认与验证方法如图1 所示，该方法适用于ARP4754A 定义的开发过程，通过集成低层级模型形成系统集成模型，并通过系统集成模型仿真分析对高层级需求进行验证。基于模型的系统确认与验证方法采用统一的建模标准或已验证的模型库可以快速支持系统模型开发。高升力系统模型开发采用Matlab/Simulink 作为主要的仿真平台，根据具体建模对象和模型颗粒度，也可以使用Amesim 和SCADE 等其他建模语言。不同建模语言或多领域的模型通过ADS2（avionics development system 2ndgeneration）软件平台集成到一起，进行系统虚拟仿真实现需求确认与虚拟验证。此外，通过ADS2 软件平台及其配套硬件实现将虚拟集成仿真过程中创建的测试用例和用户界面复用到计算机在环的物理及系统全实物集成验证环节，快速实现系统需求验证。因此，通过采用基于模型的系统需求确认与验证方法，可以实现渐进式系统研发，逐步提升系统成熟度，避免实物验证与迭代。

图1 基于模型的系统确认与验证方法Fig. 1 Model-based system validation and verification methods

1.2 ADS2 应用场景

飞机高升力系统研制涉及主机和系统、分系统和设备等多个层级的需求定义、设计及验证，其开发过程异常复杂。支持在不同层级之间进行基于模型的需求确认、虚拟集成和实物集成的平台显得至关重要。ADS2 是一款基于模型的系统集成和验证的产品，在航空领域已经实现了从基于个人电脑的模型在环仿真验证到飞机级集成和验证。基于ADS2 软件可以支持实现ARP4754A 中定义的所有典型应用场景，包括模型在环、软件在环、虚拟系统集成、软硬件集成验证（计算机在环的半物理集成验证）、系统集成验证、飞机层级集成验证。

1.3 ADS2 软件介绍

ADS2 软件的主要组成如图2 所示。ADS2 软件的主要组件包括ADS2 RT（realtime）内核、ADS2 I/O（input / output）驱动程序、ADS2 GUI（graphical user interface）工具套件及ADS2 API（application programming interface）。

图2 ADS2 软件组件Fig. 2 ADS2 software components

ADS2 RT 内核是ADS2 软件的实时核心，ADS2内核维护该软件运行时所需的实时数据库和配置数据库。ADS2 软件也负责控制和监控所有其他ADS2 任务以及外部应用。ADS2 I/O 驱动程序通过专用应用程序实现对I/O 的访问，这些应用程序也由ADS2 内核以特定方式进行调度。ADS2 GUI 工具套件可以设置ADS2 客户端，用于配置、控制、可视化、采集和激励等。ADS2 API 为外部应用软件和仿真分析的通用接口，ADS2 API 通用接口也用于ADS2 工具套件自身和I/O 驱动程序［13］。

1.4 TPM 介绍

TPM（test process management）是建立在ADS2软件基础之上，用于规划、管理和记录整个测试过程。TPM 支持整个测试阶段，提供系统需求和系统ICD（interface control document）的链接，创建测试用例和测试计划，执行测试计划以及生成测试报告。此外，TPM 可以支持交互且完全自动化的测试。使用TPM 和ADS2 的测试过程生命周期如图3 所示。

图3 全生命周期的测试过程Fig. 3 Test process of full life cycle

在测试过程中，DOORS 用于管理系统需求、测试需求、测试结果和所有内部相关文件，并具有管理性与可追溯性。通过DOORS 将测试需求链接到TPM 中定义的测试用例，TPM 将测试用例纳入测试计划，在ADS2 上执行测试计划，并且将测试结果反馈给TPM，生成测试结果报告，最后导出测试结果到DOORS，可以形成测试结果和需求的追溯矩阵。某型飞机高升力系统需求“HLS-REQ-02：在系统正常条件下，计算机在接收到手柄指令后应产生手柄指令信号和指令有效性状态”。依据上述需求在TPM 中编写测试用例如图4 所示，移动手柄到1 档位，由于手柄使用2 个双余度传感器，则将手柄传感器1 的2 个信号“FCL1_R”和“FCL1_L”设置为1，手柄传感器2 的2 个信号“FCL2_R”和“FCL2_L”设置为1。测试用例的验证条件设计如图5 所示，FECU1 生成的手柄指令信号“FCL_CMD”为1，且生成的手柄指令有效性“FCL_Fault”为有效，同样FECU2 生成手柄指令信号和有效性指令。

图4 基于TPM 的测试用例编写Fig. 4 TPM-based test case writing

图5 基于TPM 的测试用例验证条件设计Fig. 5 TPM-based test case verification condition design

2 系统需求确认

需求的确认过程是为了确保所提出的需求足够正确和完整。经验表明，重视需求开发和确认，可以在研制的早期识别细微的错误和遗漏，并且减少随之带来的重新设计和系统性能不当［14］。ARP4754A 中推荐的需求确认方法包括需求的追溯性、分析、建模和试验。考虑到试验周期长且费用较高，工程评审对专家能力要求较高，因此建模仿真成为需求确认的首选方法。

用于需求确认的高升力系统虚拟仿真环境如图6 所示，该环境通过ADS2 的API 接口将Simulink和SCADE 等软件创建的模型集成在统一的ADS2 软件平台上，并通过TPM 建立的测试用例实现自动化测试。高升力系统虚拟仿真环境支持高升力系统架构模型和系统性能模型的仿真分析，实现对系统需求、系统架构和系统设计的确认。

图6 系统虚拟仿真环境Fig. 6 System virtual simulation environment

高升力系统研制过程中，涉及多物理系统建模与联合仿真，但是在不同的研发阶段仿真所要解决的问题不同，且仿真模型的颗粒度也不同，按照仿真模型颗粒度可以将系统虚拟仿真分为功能模型仿真、架构模型仿真和性能模型仿真［15］。相对于飞机级模型，高升力系统模型相对简单，故在系统架构模型中涵盖了系统功能模型。因此，以下将对所采用的系统架构模型和系统性能模型进行介绍。

2.1 系统架构模型

在联合定义阶段，根据系统需求开展系统架构设计，针对可以通过建模仿真分析的系统需求，基于ADS2 软件平台，使用Matlab/Simulink 软件建立系统架构仿真模型，通过系统架构模型仿真分析，对系统功能、性能、边界、运行环境、外部接口，以及系统组件及其接口等进行确认，识别出不合理、不清楚的需求，并剔除错误的需求，对系统需求进行确认。此外，在系统架构模型仿真中，针对候选的系统架构建立不同的系统架构仿真模型，并通过仿真结果进行对比分析，评估系统架构。系统架构模型对仿真模型的颗粒度要求相对较低，必须能够反映系统各部件的稳态特性。例如，在某型飞机高升力系统中建立的系统架构模型中，通过定义系统减速比、传动效率、负载扭矩等，评估系统功率需求。

2.2 系统性能模型

在初步设计阶段，在优选的系统架构基础上开展系统设计，进一步定义系统及其元素，为其提供足够详细的数据和信息使得系统元素达到可实现状态［16］。随着系统各部件设计或风险降低试验的深入，在系统架构模型基础上详细定义各部件的设计参数，使用SCADE 软件创建FECU 的应用层软件模型，包括襟翼位置闭环控制、工作模式管理、输入信号处理、故障监控、故障保护、故障综合及系统状态输出等功能模块。通过ADS2 软件平台将Matlab/Simulink 软件建立的作动分系统模型，以及SCADE软件建立的系统应用层软件模型进行集成，最终形成系统性能模型。在ADS2 软件平台上执行由测试团队创建的测试用例和测试计划，实现对系统控制律、稳态性能、动态性能、故障监控及保护等仿真，最终完成对系统需求的确认，以及对系统架构和设计方案的虚拟验证。此外，在详细设计阶段，通过系统性能模型仿真分析实现系统应用层软件模型的验证，为后续将SCADE 模型转成C 代码，与底层驱动软件集成，形成FECU 嵌入式软件代码奠定了基础。由于采用了基于模型的软件开发方法，并且通过系统仿真模型的迭代验证，减少了设计错误，加快了系统软件研制进度。

系统性能模型对仿真模型的颗粒度要求相对较高，必须能够反映系统各部件的稳态特性和动态特性。例如，在某型高升力系统性能模型中对于襟翼作动系统机械部件定义产品的转动惯量、刚度、减速比、传动效率、游隙以及各种温度环境下的动摩擦力矩和静摩擦力矩。

3 系统需求验证

验证的目的是用来表明每一层级的实施满足了其规定的需求。ARP4754A 中规定的验证方法包括检查、评审、分析、试验及服役经验，对于A 和B 类设备，其中试验更是作为合格审定推荐的方法［14］。高升力系统验证通常包括部件级验证（重点说明计算机在环的半物理集成验证）、控制分系统集成验证和系统全实物集成验证。

3.1 计算机在环的半物理集成验证

FECU 在环的半物理集成验证环境如图7 所示，为支持FECU 的需求验证，需要高升力襟翼作动分系统仿真模型和ADS2 软件组成实时仿真系统，为FECU 提供模拟系统运行过程中襟翼控制手柄（flap control lever，FCL）、襟翼位置传感器（flap position sensor Unit，FPSU）及动力驱动装置（power drive unit，PDU）等设备传感器的反馈信号，以便与FECU构成闭环控制系统，支持FECU 的硬件接口验证、功能验证，以及电气接口等验证。FECU 的需求主要来源于高升力系统分配的需求，以及在FECU 设计过程中衍生出的需求。对于系统分配给FECU 的需求，可以使用在详细设计阶段创建的用于系统虚拟集成验证的测试用例和测试计划；仅对于FECU 设计过程中衍生的需求，需要额外增加测试用例和测试计划，因此能够实现大部分测试用例的复用，提高了研发效率。FECU 的需求验证工作主要包括输入信号监控、传感器信息处理、位置闭环控制、系统状态监控、系统保护、系统状态和位置信息发送、在线维护支持等功能。

图7 计算机在环的系统半物理仿真环境Fig. 7 Semi-physical simulation environment of a computer in the loop system

3.2 系统全实物集成验证

在高升力系统全实物集成验证过程中，为了降低技术验证风险、加快研制进度，首先开展控制分系统集成验证，其次开展全系统实物集成验证。其中，控制分系统集成验证是将包括FCL（full container load），电机控制器EMCU（electrom echanical control unit），PDU（power distribution unit），翼尖制动器WTB（wing tlp brake）和FPSU 等与FECU 交联的所有控制部件集成在试验台架上，在空载状态下开展系统功能和性能测试，包括位置控制律、系统工作模式、系统BIT（built in test，机内测试）、襟翼位置控制、系统故障监控、系统保护、系统信息上报及在线维护支持等。

系统全实物集成验证是将系统所有真实产品集成在系统试验台上，且在加载状态下开展系统功能和性能测试、系统耐久性测试、系统失效模式影响测试。系统耐久性测试主要验证在全寿命试验完成后机电产品性能、系统位置控制精度及位置控制鲁棒性等是否满足需求。此外，系统失效模式影响测试应全部包括高升力系统SFMEA（software failure modes and effects analysis）中的所有失效模式或组合，如图8所示。

图8 系统全物理集成验证环境Fig. 8 System full physical integration verification environment

由于计算机在环的半物理集成验证、控制分系统集成验证以及全实物集成验证均使用ADS2 软件为内核，因此，可以复用虚拟集成验证过程中创建的测试用例和用户界面，使得设计人员理解一致，大大提高了研发效率。此外，根据系统全实物集成试验结果也可以修正模型，并形成经过验证的模型库，支持后续项目模型开发。

4 测试结果

以某型飞机高升系统襟翼下放为例，说明基于模型的高升力系统需求确认与验证工作如何开展。本文使用Matlab/Simulink 创建了高升力作动分系统仿真模型，如图9 所示。该模块包括动力驱动装置、左侧襟翼作动模块和右侧襟翼作动模块。动力驱动装置模块输出转速和扭矩，同时驱动左侧和右侧襟翼同步运动，左侧和右侧襟翼作动模块中将襟翼位置和速度反馈给FECU 用于位置闭环控制，以及不对称、非指令运动等故障监控。

图9 基于Simulink 的作动系统模型Fig. 9 Model of actuation system based on Simulink

本文使用SCADE 创建了系统应用层软件模型，如图10 所示。高升力系统应用层软件模型包括I/O读取、输入信号处理、BIT 监控、故障管理、工作模式管理、襟翼运动控制、地面维护、测试数据等模块。在系统模型中，SCADE 应用层软件模型实现了与系统控制相关的输入信号处理、襟翼位置闭环控制、工作模式管理、故障监控、故障管理、信号输出及地面维护等功能。

图10 基于SCADE 的系统应用层软件模型Fig. 10 Model of system application software based on SCADE

“襟翼从0~35°下放过程”的测试用例如表1所示。

表1 襟翼下放测试用例Table 1 Test case for flap extending

该测试用例可以在系统架构仿真模型、系统性能模型、计算机在环的半物理集成测试和系统全实物集成测试中复用，根据不同研发阶段的仿真模型及系统集成测试，得到在襟翼从0 下放至35°时的速度曲线如图11 所示。

系统架构模型仅考虑减速比、传动效率、负载扭矩等稳态性能参数，因此仿真获得的马达速度曲线接近理想的控制律曲线，如图11a）所示。但是在系统性能模型中考虑了系统转动惯量、刚度、摩擦阻尼等动态性能参数，因此仿真获得的马达速度在起动过程中存在较小的跟踪误差和滞后，且在停止过程中存在明显的振荡，如图11b）所示。

图11 基于模型的高升力系统不同阶段仿真或试验结果Fig. 11 Simulation or test results of model-based high lift systems at different stages

在计算机在环的半物理集成试验环境中通过Simulink 创建的高升力作动分系统仿真模型和ADS2 软件组成实时仿真系统模拟FECU 所需的外部电气设备信号，FECU 采用速度闭环控制，在图11c）中加速和减速阶段由于引入了激励环境的误差造成了马达速度波动，在匀速运动过程中FECU发出恒定的速度指令，经过闭环控制的马达速度基本保持不变。因此在加速和减速阶段图11c）中的马达速度曲线明显粗于图11a）。

对比图11 中c）和d）可以看出，在全物理集成验证环境中，由于系统所有部件均为实物，引入了摩擦、游隙等非线性环节，因此在起动过程中速度有较小的超调，且在匀速运动过程中由于系统控制误差等造成马达实际速度波动，因此在匀速阶段图11d）中的马达速度曲线明显粗于图11c）。

某型飞机高升力系统总共300 余条需求，其中113 条需求可以通过仿真分析确认，在需求确认过程中，识别出11 条错误需求，发现了5 条缺失的需求。在试验测试过程中，通过控制分系统集成试验、系统全实物集成试验发现6 条需求未通过（主要是监控阈值不合理，不存在设计错误），经过设计更改和回归测试，最终完成所有需求验证。在系统需求确认与验证过程中，由于复用了测试用例和用户界面，且使用了统一的建模标准和测试方法，降低了系统设计错误，显著地提高了系统研发效率。