薛鄹濤 肖 剛

(上海交通大學(xué)，上海 200240)

0 引言

回顧某民機(jī)研制過(guò)程，發(fā)現(xiàn)在機(jī)組告警系統(tǒng)設(shè)計(jì)前期遇到了告警需求確認(rèn)手段缺乏、需求確認(rèn)不充分的困難，因此迫切需要豐富機(jī)組告警系統(tǒng)設(shè)計(jì)需求確認(rèn)手段，提高設(shè)計(jì)效率，降低后期設(shè)計(jì)更改的風(fēng)險(xiǎn)?；谀Ｐ偷南到y(tǒng)工程方法(Model-Based Systems Engineering，簡(jiǎn)稱MBSE)能確保在項(xiàng)目前期實(shí)現(xiàn)需求捕獲與需求確認(rèn)，減少在項(xiàng)目后期進(jìn)行設(shè)計(jì)更改及相應(yīng)的驗(yàn)證等工作，避免巨額工程更改費(fèi)用。

針對(duì)目前某型號(hào)告警需求捕獲不充分的問(wèn)題，本研究首先基于ARP 4754A[1]，ARP 4761[2]對(duì)告警必要性和重要性進(jìn)行了分析，得到了告警信息的特征信息[3-4]，然后基于已有的特征信息與型號(hào)研制經(jīng)驗(yàn)搭建了告警需求數(shù)據(jù)庫(kù)，利用基于MBSE建立的液壓系統(tǒng)功能運(yùn)行模型[5-8]，根據(jù)告警需求捕獲準(zhǔn)則，對(duì)告警故障底事件進(jìn)行綜合模擬，自動(dòng)化分析系統(tǒng)失效模式[9-11]，通過(guò)模型間映射關(guān)系得到需要告警的失效模式，進(jìn)而形成液壓系統(tǒng)告警需求捕獲方案的分析方法。

1 告警消息與告警需求分析

在飛機(jī)多告警成員系統(tǒng)集成的背景下，有必要確立合理的告警信息設(shè)計(jì)準(zhǔn)則，捕獲需要產(chǎn)生告警的異常狀態(tài)或者事件，即告警需求。告警需求為判決告警信息必要性和重要性的重要來(lái)源，準(zhǔn)確捕獲告警需求的先決條件是建立對(duì)告警消息所表征信息類型的系統(tǒng)性理解。

1.1 告警消息分析

通過(guò)飛機(jī)典型告警成員系統(tǒng)的告警信息類型可知，告警的關(guān)注對(duì)象為系統(tǒng)的功能/性能/物理部件異常狀態(tài)，即失效情況，因此后續(xù)告警需求的捕獲方法將以系統(tǒng)內(nèi)的失效模式作為主要分析對(duì)象。

除了明確告警消息類型，告警消息還將根據(jù)實(shí)際飛行狀態(tài)進(jìn)行觸發(fā)/抑制，因此告警觸發(fā)條件也是告警需求捕獲過(guò)程中需要考慮的因素之一。選擇通過(guò)告警邏輯方程解析告警的產(chǎn)生/抑制條件。圖1中說(shuō)明了告警邏輯方程的組成元素可劃分為四個(gè)部分：主干信息、背景信息、控制信息、抑制信息。

圖1 告警觸發(fā)條件

主干信息包括與飛行過(guò)程中主要任務(wù)實(shí)現(xiàn)相關(guān)的錯(cuò)誤的參數(shù)/狀態(tài)信息，即上一小節(jié)所分析的告警關(guān)注對(duì)象；背景信息包括與該告警/失效相關(guān)的其他系統(tǒng)狀態(tài)信息/外界場(chǎng)景信息以及飛行階段信息；控制信息包括由駕駛艙設(shè)置的系統(tǒng)組件/部件的工作狀態(tài)，以及系統(tǒng)構(gòu)型狀態(tài)/運(yùn)行模式；抑制信息則為通過(guò)失效/告警級(jí)聯(lián)關(guān)系或者包含關(guān)系推導(dǎo)出的，與本告警相關(guān)的其他告警信息的觸發(fā)狀態(tài)。

1.2 告警需求分析

通過(guò)分析告警消息類型和告警觸發(fā)/抑制條件，可知告警主要關(guān)注較高層級(jí)/較重要的異常情況，并考慮飛行員的情景意識(shí)因素、外部環(huán)境因素等來(lái)決定是否進(jìn)行告警。上述因素共同決定了告警的必要性，可進(jìn)一步歸納為如下幾種類型的告警需求：失效的直接和間接的安全性影響、飛行員的情景意識(shí)需求、外部環(huán)境等。除此之外，由于飛機(jī)要滿足適航規(guī)章，因此從安全性角度考量，部分適航條款覆蓋了告警需求，也可歸納至告警需求的必要性集合中。告警需求與告警邏輯方程各個(gè)組分的映射關(guān)系如圖2所示。

圖2 告警需求與告警邏輯方程映射關(guān)系

2 告警需求捕獲方法

告警需求捕獲的原理是通過(guò)對(duì)行業(yè)適航標(biāo)準(zhǔn)、飛行員情景意識(shí)、失效模式安全性影響等維度進(jìn)行綜合分析，提取飛行過(guò)程中有必要告知飛行員的情景模式。

2.1 告警需求庫(kù)構(gòu)建

告警需求數(shù)據(jù)庫(kù)中存儲(chǔ)了告警必要性有關(guān)的特征信息，包括適航條款、飛行員情景意識(shí)等，基于行業(yè)規(guī)則或者實(shí)際經(jīng)驗(yàn)，為告警需求的提取進(jìn)行表征。

1)適航條款

適航條款是決定告警的頂層約束，與告警必要性相關(guān)的適航條款將以模型的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中，并為下文的告警相關(guān)性建立提供支持。

2)情景意識(shí)需求

告警信息與飛行員響應(yīng)緊密耦合，是飛機(jī)向飛行員傳遞信息的重要接口，其有助于飛行員建立情景意識(shí)，為飛行員對(duì)當(dāng)前飛機(jī)狀態(tài)感知、決策判斷等行為提供指導(dǎo)。因此，從飛行員的情景意識(shí)角度可以反向推測(cè)告警的必要性。

3)飛行員處理措施

飛行員處理措施模型對(duì)FCOM中已有的對(duì)于告警或異常情況的處理行為進(jìn)行記錄，并在tagged value中標(biāo)注了處理措施的緊急程度和內(nèi)容等信息。

2.2 告警需求捕獲準(zhǔn)則

告警需求產(chǎn)生的源頭為飛機(jī)告警成員系統(tǒng)內(nèi)的異常狀態(tài)，聚焦于失效模式。因此，告警捕獲規(guī)則旨在建立系統(tǒng)模型內(nèi)潛在失效模式模型與告警需求之間的相關(guān)性。

從告警必要性分析和告警等級(jí)分析中的需求特征元素可知，主要從適航條款、情景意識(shí)、安全性影響、其他(包括對(duì)飛機(jī)結(jié)構(gòu)、氣動(dòng)、環(huán)境的影響的分析)來(lái)建立告警需求與系統(tǒng)模型之間的映射。

2.3 系統(tǒng)模型搭建

在告警需求映射規(guī)則建立的基礎(chǔ)上，根據(jù)告警成員系統(tǒng)的功能組成、物理架構(gòu)和安全性因素，構(gòu)建系統(tǒng)模型以提供用于告警需求分析的原始素材。如圖3所示，系統(tǒng)模型的主要構(gòu)成部分包括功能架構(gòu)、物理架構(gòu)、失效模式。

圖3 系統(tǒng)模型組成結(jié)構(gòu)

不同功能架構(gòu)元素通過(guò)功能參數(shù)建立上下游邏輯關(guān)系。如圖4所示，物理部件對(duì)功能的影響通過(guò)物理部件模型(黃色)與功能參數(shù)的映射關(guān)系體現(xiàn)，外界功能對(duì)功能的影響通過(guò)外界功能模型(粉色)中的參數(shù)與功能模型中參數(shù)的映射關(guān)系體現(xiàn)，進(jìn)而，功能運(yùn)行過(guò)程模型鏈條的輸出結(jié)果傳遞給系統(tǒng)級(jí)功能模型(粉色)，并以其為媒介進(jìn)一步向下合并至其他系統(tǒng)的功能運(yùn)行框架中。

圖4 系統(tǒng)功能框架元素關(guān)系分析

2.4 告警需求捕獲

在告警需求關(guān)聯(lián)規(guī)則建立與系統(tǒng)模型建立的基礎(chǔ)上，將開(kāi)展告警需求捕獲。告警需求捕獲包括以下三個(gè)子步驟：建立告警需求的模型，建立模型間的映射關(guān)系，進(jìn)而篩選需要告警的情況。

1)告警需求模型建立

首先根據(jù)需求庫(kù)中的告警需求要素建立模型，包括適航條款需求模型、飛行員情景意識(shí)模型以及飛行員操作模型。

2)建立模型間的映射關(guān)系

一方面，將告警需求模型與系統(tǒng)內(nèi)的失效模式模型建立映射關(guān)系，如圖5所示，包括建立失效模型與適航條款的映射關(guān)系、通告與非通告失效模式間的映射關(guān)系、失效與情景意識(shí)需求的映射關(guān)系、失效與飛行員操作的映射關(guān)系。

圖5 失效模式與告警需求模型映射關(guān)系

另一方面，如圖6所示，建立失效模型與物理部件、功能參數(shù)模型之間的關(guān)聯(lián)性，用于表現(xiàn)和推導(dǎo)失效的安全性影響。

3)篩選需要告警的情況

以系統(tǒng)的失效模型為分析對(duì)象，基于告警需求捕獲準(zhǔn)則，搜索存在上述映射關(guān)系的對(duì)象，以及其級(jí)聯(lián)效應(yīng)導(dǎo)致嚴(yán)重失效的對(duì)象。通過(guò)以下兩方面對(duì)失效模式的安全性影響進(jìn)行精細(xì)化：圖7說(shuō)明了一方面分析該失效的直接危害性，另一方面推導(dǎo)該失效可能導(dǎo)致的潛在危害，進(jìn)一步分解為本系統(tǒng)內(nèi)的安全性影響和外系統(tǒng)內(nèi)的安全性影響。

圖6 失效與其他模型的映射關(guān)系匯總

圖7 失效的間接危害性搜索框架

2.5 告警等級(jí)判定

告警等級(jí)判定考量告警的緊急程度和飛行員響應(yīng)的必要性。根據(jù)適航標(biāo)準(zhǔn)中對(duì)于告警等級(jí)的定義，通過(guò)飛行員知曉的緊急程度、處理措施的緊急程度和安全性影響等級(jí)，對(duì)告警等級(jí)進(jìn)行約束。

2.6 告警需求確認(rèn)

在基于模型分析系統(tǒng)失效情況，得到潛在告警需求的基礎(chǔ)上，對(duì)所導(dǎo)出的表格內(nèi)容進(jìn)行核查，以對(duì)告警需求進(jìn)行確認(rèn)。

核查方式主要包括以下兩個(gè)方面：

1)表格內(nèi)部信息的正確性。

2)根據(jù)失效分析得到的告警和已經(jīng)存在的告警的一致性。

3 液壓系統(tǒng)案例驗(yàn)證

3.1 液壓系統(tǒng)

液壓系統(tǒng)由發(fā)動(dòng)機(jī)驅(qū)動(dòng)汞(EDP)、電動(dòng)汞(EMP)、能源轉(zhuǎn)換裝置(PTU)、液壓油箱及油濾組件和液壓系統(tǒng)綜合控制單元(HLRM)等組成。飛機(jī)液壓系統(tǒng)采用三套相互獨(dú)立的1#、2#、3#分系統(tǒng)，其主要功能是為飛機(jī)液壓用戶提供液壓能源。系統(tǒng)與外界交互的參數(shù)為液壓油，與該系統(tǒng)交互的上游系統(tǒng)包括電源系統(tǒng)、動(dòng)力系統(tǒng)，下游系統(tǒng)包括主飛行控制系統(tǒng)、高升力控制系統(tǒng)、起落架控制系統(tǒng)等。仿真驗(yàn)證選取了飛機(jī)液壓系統(tǒng)為告警需求的分析對(duì)象，對(duì)系統(tǒng)功能架構(gòu)、物理架構(gòu)、安全性模型進(jìn)行了構(gòu)建，并在此基礎(chǔ)上開(kāi)展了告警需求分析。

3.2 液壓系統(tǒng)模型搭建

根據(jù)飛機(jī)級(jí)功能列出液壓系統(tǒng)進(jìn)行系統(tǒng)級(jí)功能清單，并對(duì)系統(tǒng)級(jí)功能清單進(jìn)行分類梳理，以為用戶提供恒壓液壓能源為核心建立主干功能框架，并將各輔助功能合并到框架中。

3.3 液壓系統(tǒng)告警需求搜索結(jié)果

根據(jù)失效模式與適航條款需求維度，飛行員情景意識(shí)需求維度以及安全性維度的功能架構(gòu)、故障樹(shù)架構(gòu)的交聯(lián)關(guān)系，液壓系統(tǒng)告警需求的搜索結(jié)果如圖8所示。

進(jìn)而對(duì)比分析告警需求捕獲結(jié)果和已有告警信息的分布情況可知，通過(guò)軟件分析平臺(tái)開(kāi)展告警需求捕獲，發(fā)現(xiàn)了47個(gè)告警需求，其中每個(gè)告警需求均存在相對(duì)應(yīng)的失效模式，并且同樣存在相對(duì)應(yīng)的告警信息，從而驗(yàn)證了分析方法的正確性。

圖8 液壓系統(tǒng)告警需求搜索結(jié)果

4 結(jié)論

本文針對(duì)當(dāng)前在民機(jī)告警系統(tǒng)前期設(shè)計(jì)中遇到的告警需求捕獲不充分的困難，提出將模型和告警需求捕獲方法相集成，并通過(guò)液壓系統(tǒng)案例分析演示了告警需求捕獲結(jié)果。

告警需求數(shù)據(jù)庫(kù)和告警需求捕獲準(zhǔn)則的建立是基于工程實(shí)際經(jīng)驗(yàn)與相關(guān)適航驗(yàn)證所得到的，其如何優(yōu)化與完善仍然值得研究。