面向正向开发的民用飞机飞控系统功能设计方法

2023-10-30张逸伦孟祥慧谢友柏

上海交通大学学报 2023年10期

程帅, 李宸, 张逸伦, 汤超, 孟祥慧, 谢友柏

(1. 上海交通大学机械与动力工程学院, 上海 200240; 2. 中国商飞上海飞机设计研究院,上海 201210)

随着科技水平的提高,人类改造世界的能力得到很大提升,迄今为止已创造出民用飞机和大型邮轮等一系列复杂产品.这些产品由诸多子系统或组件组成,且各子系统或组件之间相互耦合、协同作用、信息交联密切,因此被称为复杂系统.复杂程度越高设计开发的挑战越大,不经意中引入的设计缺陷可能导致重大事故的发生.以现代民用飞机的飞行控制系统(飞控系统)为例,它包括一系列机械、电子和计算机等装置,用于控制飞机飞行姿态、运动参数和运动模态[1].飞控系统对飞行安全非常重要,其设计中的任何微小错误都有可能造成严重后果.无数的设计案例表明,正向开发理念对提高复杂系统设计质量、规避设计风险具有重要的意义.这也是国内企业培育复杂系统的自主设计能力,实现复杂系统白盒化的重要途径.

正向开发方法的思路是从需求出发自顶向下进行需求分解,根据需求进行功能确认,再由功能寻求部件的结构设计;设计完成或实施建造之后,从部件结构到功能再到需求,进行自底向上的集成与验证.系统需求可分为功能需求和非功能需求,前者是设计的目的,因此在功能设计之前首先要定义功能需求[2].现有的复杂系统功能设计方法大都基于特定场景的需求.Kurtoglu等[3]提出一种在特定事件场景下评估复杂系统潜在功能失效的功能设计方法,用于增强系统可靠性.Nasyrov等[4]建立问题模型来定义场景以评估功能状态的协调能力,辅助复杂系统的功能设计.Madni[5]利用基于模型的系统工程试验台建立多个交通场景模拟飞机和汽车运行环境,从中开展功能需求和安全性需求分析.同样地,飞控系统的功能设计研究大都建立在特定的飞行场景上.例如,梅芊等[6]针对着陆场景开展民用飞机的功能需求分析和架构设计.任炳轩等[7]针对应急复飞场景研究民用飞机功能需求的辨识与确认.王豪等[8]基于正向设计开展飞控系统的功能设计,其中需求仅围绕飞行剖面、任务剖面和工作环境3个场景.因此,缺少一种以满足功能需求为目标的功能设计方法,该方法应当基于模型的形式,便于功能的表达和实现,进而有助于满足功能需求.飞控系统的功能需求由飞机级功能需求驱动,需要从飞机级出发进行功能需求的分解和分配,这些任务可借助系统建模语言SysML开展[9-11].另外,飞控系统的开发过程还应考虑安全性需求来满足适航条例.SAE ARP4754A民用飞机系统开发指南(4754A)建立了一套符合适航要求的开发方法,并被各国航空局认可和接受[12-13],该文件强调在飞机系统开发过程中同步进行安全性评估,以暴露安全隐患、降低开发风险[14-15].根据飞控系统的功能需求和安全性需求分析应当具备的功能,然后根据功能探索子系统和部件,符合飞控系统的正向开发流程.

为了便于从功能匹配到目标子系统和部件,有必要对功能进行建模表达.已有研究提出多种模型来表示系统功能.Sasajima等[16]认为功能是有目标的行为,并且提出“功能=行为+功能性元素”的表达方法.Pahl等[17]采用方块图将功能表示为系统的“输入和输出”,其中方块表示转变行为,箭头表示输入和输出流.Stone等[18]采用功能流的形式表达功能,并划分了3种流和8种功能模型.赵萌等[19]提出“状态-行为-功能”的方式进行系统建模.飞控系统涉及许多信号的传递和转变,采用输入-输出与方块图的形式来表示系统功能是合理的.谢友柏[20]提出更具概括性的功能分类方法,将功能分为4类并基于功能方块图进行建模,但目前还未在复杂系统的功能设计中进行应用.

综上所述,按照正向开发流程开展飞控系统的功能设计.采用SysML需求图进行功能需求的分解和确认,根据4754A的要求开展飞控系统的安全性评估,首次基于4种功能类型和功能方块图进行飞控系统的功能建模.

1 飞控系统的功能需求分析与建模

采用SysML建立飞机级-系统级-部件级的功能需求之间的联系,并考虑设计过程中的派生需求;对飞控系统的功能需求进行分析,并对飞控系统划分子系统以探索飞控系统的功能.

1.1 飞机级-系统级-部件级的功能需求关系模型

设计民用飞机的目的是实现人或物在空中从一处转移到另一处,因此飞机的功能需求可分为4种,即带载荷上升、带载荷平飞、带载荷转向和带载荷下降.对飞机的功能需求进行分解,可获得系统级的功能需求,如为飞机飞行提供动力便是发动机系统的功能需求.同样地,将系统级需求进行分解得到部件级的功能需求,如控制飞行姿态需要具有信号传递、信号转换,这便是相应部件的功能需求.另外,随着设计的进行会产生派生需求,这些需求除了功能需求,还有安全性需求、经济性需求以及乘客舒适性需求等.派生需求能优化初始功能需求并同样驱动下级功能需求.

利用SysML需求图建立上述飞机级-系统级-部件级的功能需求关系模型,如图1所示.图中飞机级、系统级和部件级功能需求的编号与分类Id依次定义为1,2,3,相应的子功能需求Id则用1.1,2.1,3.1等来命名;“Text”为模块的解释.为功能需求定义Id意味着建立明确的关系网,有助于关系追溯.功能需求与子功能需求之间用 ⨁—连接,表达包含关系.上级对下级功能需求的驱动采用“deriveReqt”连接.同级的派生需求对初始功能需求存在改善作用,因此在两者之间建立“完善”(refine)关系.图1中自上而下的需求分解过程有助于保障复杂系统功能设计的完备性和正确性,且当部件级功能需求被满足时,还可根据该模型验证是否满足系统级功能需求,进而验证是否满足飞机级功能需求.

图1 飞机级-系统级-部件级的功能需求关系模型

1.2 飞控系统功能需求与功能关系模型

图1中系统级功能需求之一是飞行控制功能需求(Id=2.2),该功能需求依靠飞控系统的功能来满足.飞行控制的功能需求包括控制上升、控制平飞、控制转弯和控制下降.以此来分析飞控系统功能需求与功能的关系,如图2所示,功能采用输入与输出的形式(Input-Output)表达,“ControlValue”和“Complex”分别表示控制变量和复杂变量.功能与功能需求之间采用“满足”(satisfy)进行连接,以表现功能对功能需求的满足关系.飞控系统的功能依赖于飞控系统的总体架构,因此功能和架构之间用“---→”表示依赖关系.鉴于飞控系统的复杂性,在探索功能实现路径时有必要将其划分成若干子系统,通过实现各个子系统的功能集成整体功能[21].图2将飞控系统概括地分成传感系统(系统外部信号输入与传递)、控制系统(控制信号的判断与计算)和执行系统(执行器实现目标动作),各个子系统之间存在接口(p1～p4),以实现信息交互.最终集成各个子系统以实现完整系统输入到目标输出的功能.

图2 飞控系统功能需求与功能关系模型

飞控系统的设计过程会派生系统级功能需求(Id=5).例如,为了更好地完成闭环控制,飞控系统的信息需要显示给驾驶员作为其发出控制指令的参考依据,从而派生信息显示的功能需求,将其Id定义为5.1.该功能需求在飞控系统功能设计阶段派生,因此采用“trace”表示两者的追溯关系.信息显示的功能依赖于航电系统,该系统同样需要划分子系统来探索功能实现路径.信息显示功能需求只是飞控系统功能实现过程所派生的需求之一,可见它进一步完善了飞控系统的初始功能需求.

2 考虑安全性需求的飞控系统功能分析

飞控系统的功能除了满足功能需求外,还要考虑安全性需求.为此,依据4754A中的安全性评估方法,分析飞控系统功能设计中满足安全性需求的措施.

2.1 飞控系统的安全性评估

4754A文件提出民用飞机及系统的安全性评估过程主要包括4个阶段:功能危害评估、初步飞机/系统安全性评估、飞机/系统安全性评估以及共因分析.图3展示了安全评估过程与系统开发过程之间的关系[13].

图3 安全性评估过程模型[13]

功能危害评估目的是检查飞机和系统的功能,以识别潜在的功能故障并进行分类;初步安全性评估是对拟定架构进行检查以确定造成功能危害的条件,并验证所提议的架构可以满足预期安全需求.与初步安全性评估不同,安全性评估是对实施建造后的飞机/系统进行评估,整合各种分析结果以验证整体飞机/系统的安全性.最后进行共因分析,目的是建立各系统或部件之间的独立性,避免系统相似性造成共因故障.

图3中右侧每一个系统层次设计结果得到以后,在左侧安全性评估过程中进行检查,并把失效条件和安全性需求返回系统开发过程,然后结合安全性需求进行功能需求、非功能需求和其他约束条件评估.这种反馈回路为复杂系统的开发建立安全性目标的同时,也为验证实施是否满足目标提供了渠道.从安全性评估过程中可知,飞机级安全性由各个系统安全性集成,因此应当对系统进行冗余度设计来满足飞机级的安全性需求.

2.2 飞控系统的功能分析

首先,根据功能需求分析飞控系统的各个子系统应具备的功能.

(1) 传感系统.应具备操纵机构和控制面板等供驾驶员输入指令,并能将机械信号转换成电信号进行传递.

(2) 控制系统.接收驾驶舱的电信号之后进行信号转换、接收和发送,这需要执行器控制电子系统(ACE),同时ACE还可以接收飞机外部系统信号数据为控制飞行提供参考.为保证飞行质量,应对驾驶员的控制信号进一步优化,这需要飞行控制模块(FCM)结合ACE采集的外部环境信号进行优化计算,以获得最优的控制指令.

(3) 执行系统.将接收的控制指令转换成动力,驱动舵面运动完成姿态控制.

其次,根据安全性需求完善飞控系统各个子系统功能.

(1) 传感系统、控制系统和执行系统应根据功能危害评估进行冗余度设计.

(2) 控制系统应具备一致性校验功能,当校验有误时,驾驶员有足够的反馈信息和权限控制飞机.

(3) ACE接收飞机外部信号数据,如大气数据系统(ADS)、惯性参考系统(IRS)、全球着陆系统(GLS)来确认飞机的位置和姿态;FCM与飞机其他子系统,如航电系统、飞行管理系统和油门控制系统等交互,建立信息共享.

图4将以上分析进行图形化表达.其中,图4(a)是飞控系统的正常控制模式,多台ACE和多台FCM的信号完全一致,最终由ACE输送给远程电子组件(REU)和动力控制组件(PCU)来控制舵面.当ACE监测到飞机外部信号不一致时,飞控系统进入辅助模式,如图4(b)所示,此时采用直接模式速率传感器(DMRS)取代外部系统来监测飞机的姿态,DMRS也要进行冗余度配置.当FCM的输出信号不一致时,控制模式将变成图4(c)所示的直接模式,不再需要FCM进行优化, 驾驶员的控制指令经过传递直接作用到REU上.

图4 飞控系统的3种控制模式

3 基于功能方块图的飞控系统功能建模

为有效获得可以实现功能的子系统或部件,有必要采用规范的方式进行功能表达,即进行功能建模.表1列出飞控系统功能模型中的符号及含义.

表1 飞控系统功能模型中的符号及含义

3.1 功能单元方块图的建模方法

文献[20]中基于功能单元方块图提出4种功能模型,包括转换功能、支撑功能、存储功能和激励功能,如图5所示.其中,输入、输出均为向量,其元素可以代表不同的事、物.

图5 4种功能及相应的方块图表达方式

对于复杂系统功,功能单元方块图的表达方式还需进一步明确.图6以ACE将模拟信号转变成数字信号的转变功能为例,详细展示建模规则.功能以符号F表达,F的下标TRF表示转变功能类型,上标用于表示功能作用对象的特征,即模拟信号(A)到数字信号(D)的转变(A→D);输入和输出向量的符号下标用IPT和OPT区分,上标表示信号来源以及属性.

图7 模式选择的功能集成方块图

图6 信号转变的功能单元方块图

Fig.6 Function unit block diagram of signal transformation

3.2 基于功能集成方块图的飞控系统功能模型

基于功能集成方块图对飞控系统核心子系统ACE和FCM进行功能建模,鉴于冗余度设计,假设飞控系统中有x台ACE、y台FCM和z台REU,分别对ACE和FCM进行功能描述.

ACE的主要功能包括:①根据FCM的控制模式,从驾驶舱指令、飞机姿态信息和外部环境信息中选择传递信息,并将模拟信号转变成数字信号,发送到FCM;②对y台FCM的信号进行一致性校验,为FCM进行模式选择提供依据;③若y台FCM信号一致,则根据FCM供电日期选择其中一台的信号进行传输;④将控制信号发送到REU从而控制舵面运动.

图8 基于功能集成方块图的ACE功能模型

3）购物便利性对医药B2C平台顾客忠诚度的影响值为 0.53。对于顾客而言，随时足不出户地购药十分方便。同时，在医药B2C平台网站上可以方便地寻找需要的药品，通过提升访问速度和搜索功能，可进一步满足顾客的需求。在支付手段方面，医药B2C平台网站也可以为顾客提供多种选择。综上，购物便利性的提升可以明显提高顾客忠诚度。

图9 基于功能集成方块图的FCM功能模型

从图8中可以看出,当两个方块组合时,前一个方块的输出往往作为下一个方块的输入,这些量的下标用OPT/IPT表示.

FCM的主要功能包括:①对x台ACE的信号进行一致性校验,从而判断采用正常控制模式还是辅助控制模式;②正常模式和复制模式下,对ACE发来的数字信号进行优化;③y台FCM的信号发送到ACE后回绕到FCM,FCM判断绕回信号与发送的信号是否一致,若不一致就意味着FCM出现故障,则采用直接控制模式;④FCM与飞机的其他系统交互,例如FCM会把各模块的信息发送给航电系统,以起到显示与告警的作用.

图8和图9采用输入-输出和方块图的形式描述复杂飞控系统的功能,有利于开发人员在设计功能架构阶段匹配到合适的子系统或零部件供应商,并将其产品集成到所设计系统中实现需要的功能.匹配的结果可以是多种多样的,这为子系统和零部件供应商提供了创新竞争的空间.

3.3 飞控系统功能模型实例验证

图10 辅助模型下飞控系统的功能模型

α=[1α1α2]=[1γ1η1γ2+γ1η2]

所以此时

α=[1 0 1]

图10建立了辅助模式下飞控系统的功能模型,该功能模型实例展示了辅助模型下的信息选择功能、信息传递功能和信息校验功能.因此,基于功能方块图建模方法可以合理构建复杂系统的功能模型.

图11总结了飞控系统的正向功能设计方法.黄色V框图表示系统开发过程,蓝色V框图表示安全评估过程.首先,结合功能需求和初步安全性需求,规划飞控系统的功能知识集.然后,进行飞控系统功能设计和结构设计,设计过程与集成过程进行迭代,并验证集成架构是否满足功能需求和安全性需求.最后,集成各个系统组成飞机架构并验证是否满足飞机级功能需求和安全性需求.