李 嬌，隆金波，彭文勝，敖 亮

(中國航空綜合技術(shù)研究所 裝備服務(wù)產(chǎn)品部，北京 100020)

0 引言

隨著科技的不斷進(jìn)步，智能保障、PHM等技術(shù)成熟度較低、復(fù)雜程度高的新技術(shù)逐漸融入到航空裝備系統(tǒng)中，這就造成了裝備綜合保障的過程將會變的更加復(fù)雜，安全性問題頻發(fā)的燃油系統(tǒng)、起落架系統(tǒng)等也采取了復(fù)雜的保護(hù)機(jī)制，這使得“三性”工作的重要性也日益凸顯。

從工程實際出發(fā)，“三性”工作中存在以下幾個方面問題：首先，專業(yè)間的重復(fù)工作，工作效率低；其次，紙質(zhì)資料，交流困難且容易造成歧義，工作準(zhǔn)確率低；然后，沒有從系統(tǒng)工程出發(fā)，不清楚成品實現(xiàn)整機(jī)功能的意義，各約定層次對初始約定層次影響關(guān)系不明確，做了上百頁毫無意義的硬件FMEA分析；最后，也是最重要的一點(diǎn)，外場發(fā)生的部分故障是傳統(tǒng)FMEA分析不出來的，工作效果差，一方面是原因分析不全面，另一方面與FMEA自身技術(shù)缺陷有著直接關(guān)系[1]。因此工程中迫切需要實現(xiàn)“三性”一體化建模和評估，快速、便捷地開展相關(guān)工作，有效解決傳統(tǒng)FMEA中的技術(shù)缺陷，并且應(yīng)與MBSE新模式接軌，滿足時代需求[2]。

文獻(xiàn)[3]以人工演繹推理為主的傳統(tǒng)安全性、可靠性分析手段已經(jīng)越來越不能滿足要求，模型驅(qū)動的分析方法正在成為復(fù)雜系統(tǒng)安全性、可靠性設(shè)計所依賴的重要技術(shù)手段。

文獻(xiàn)[4]等指出MBSE的落地應(yīng)用，必然對科研生產(chǎn)模式產(chǎn)生沖擊和影響，若產(chǎn)品研制全面轉(zhuǎn)向MBSE模式，將在設(shè)計流程、設(shè)計驗證工作量等方面出現(xiàn)眾多難以預(yù)先克服或避免的問題。因此，應(yīng)在體系化推進(jìn)MBSE流程、方法和工具體系建設(shè)基礎(chǔ)上，采取試點(diǎn)應(yīng)用，由點(diǎn)及面的推廣應(yīng)用模式。

文獻(xiàn)[5]等指出從傳統(tǒng)的設(shè)計模式到目前的基于模型的系統(tǒng)工程的設(shè)計模式，都存在分析源頭不統(tǒng)一的問題，這也影響了質(zhì)量可靠性分析的效率、可信性和準(zhǔn)確性。并提出了通過大量的結(jié)構(gòu)、性能和行為特性模型的支撐，保證了在基于模型的系統(tǒng)工程的全壽命周期設(shè)計過程中，產(chǎn)品設(shè)計活動和數(shù)據(jù)的統(tǒng)一。

以上方法都指出了傳統(tǒng)設(shè)計模型存在一定問題，均需要開展MBSE的相關(guān)研究，然而，胡曉義等人僅僅開展了基于MBSE的可靠性、安全性方法綜述，忽略了測試性也可以一體化建模評估，且缺乏對“三性”一體化評估的具體方法研究和工程實踐，本文從“三性”評估主線、評估內(nèi)容和建模語言等方法進(jìn)行調(diào)研分析，形成MBSE模式下的“三性”一體化建模與評估方法，并進(jìn)行工程應(yīng)用。

1 “三性”建模評估技術(shù)要點(diǎn)

1.1 “三性”評估主線

從工程實際情況出發(fā)，可靠性分析與評估的主線[6]是“功能架構(gòu)-故障邏輯-故障判據(jù)”；安全性分析與評估的主線[7]是“功能架構(gòu)-FHA-故障邏輯”；測試性分析與評估的主線[8]是“功能架構(gòu)-故障邏輯-測試方案”。“三性”工作緊緊圍繞“功能架構(gòu)-故障邏輯”開展，“三性”工作是由各專業(yè)小組開展工作，三者均需要重復(fù)進(jìn)行FMEA和FHA等故障邏輯分析，因此，功能故障邏輯模型是“三性”一體化的模型基礎(chǔ)。

1.2 “三性”評估內(nèi)容

目前國內(nèi)對“三性”工作主要依據(jù)標(biāo)準(zhǔn)(如GJB 450A-2004裝備可靠性工作通用要求、GJB 900-2012裝備安全性工作通用要求、GJB2547A-2012測試性工作通用要求，以及SAE-ARP-4761民用機(jī)載系統(tǒng)和設(shè)備安全性評估過程的指南和方法)規(guī)定的定量、定性要求以及工作項目開展“三性”的設(shè)計分析與評估工作?？煽啃怨ぷ黜椖恐饕ǎ篎MEA、建立可靠性模型，以及預(yù)計分配等，安全性工作項目主要包括：FTA、FHA等，測試性工作項目主要包括：FMEA、建立測試性模型，以及定量定性分析等工作。

1.3 “三性”建模語言工具

安全性、可靠性等工作目標(biāo)是檢測導(dǎo)致系統(tǒng)從正常狀態(tài)轉(zhuǎn)變到失效狀態(tài)的事件，并對事件進(jìn)行量化分析，可分層次、分模塊描述產(chǎn)品的功能/物理結(jié)構(gòu)模型和故障信息等內(nèi)容。

AltaRica語言[9]是一種面向元模型的建模方法，最初由法國波爾多大學(xué)計算科學(xué)實驗室(LaBRI)設(shè)計用來進(jìn)行故障行為建模：首先通過定義系統(tǒng)的狀態(tài)變量和觸發(fā)事件，進(jìn)而描述系統(tǒng)的狀態(tài)轉(zhuǎn)移；其次利用模型的重用性構(gòu)建通過定義系統(tǒng)的輸入和輸出端口以建立系統(tǒng)的物理組成和功能關(guān)系，非常適合用來描述復(fù)雜系統(tǒng)的“三性”故障邏輯并進(jìn)行分析計算。

通過將系統(tǒng)的功能或物理結(jié)構(gòu)封裝到分層級的“黑盒”里，“黑盒”間的輸入輸出端口通過“線”連接，這些“線”代表封裝變量之間的約束條件?！昂诤小钡乃袪顟B(tài)可通過任務(wù)剖面構(gòu)建故障判據(jù)來描述，故障模式可通過功能輸出端口失效狀態(tài)定義來描述。那么，引起輸出端口的失效狀態(tài)是由于輸入端口失效狀態(tài)和“黑盒”自身失效狀態(tài)的某種邏輯關(guān)系引起的，即故障邏輯關(guān)系的分析過程[10]。

2 MBSE模式下“三性”一體化評估方法研究

2.1 基于MBSE的“三性”一體化建模評估思路分析

經(jīng)過“三性”評估的主線分析，確定功能故障邏輯是實現(xiàn)“三性”一體化建模的模型基礎(chǔ)，基于功能故障邏輯模型可實現(xiàn)“三性”需求、功能、邏輯、物理、仿真等協(xié)同工作。

AltaRica語言通過定義系統(tǒng)的輸入和輸出端口以建立系統(tǒng)的物理組成和功能關(guān)系，可實現(xiàn)功能和物理結(jié)構(gòu)的有機(jī)融合，此外，該語言，定義系統(tǒng)的狀態(tài)變量和觸發(fā)事件，進(jìn)而描述系統(tǒng)的狀態(tài)轉(zhuǎn)移，實現(xiàn)動態(tài)分析。

基于功能故障邏輯模型，通過收集專用部分信息，如信號與測試信息、任務(wù)失效判據(jù)、功能故障等內(nèi)容，可實現(xiàn)建立完整的“三性”模型并進(jìn)行評估。

經(jīng)過以上分析，形成的建模評估工作總體思路如下：

1)數(shù)據(jù)準(zhǔn)備。收集功能信息、結(jié)構(gòu)信息以及信號與測試信息相關(guān)的數(shù)據(jù)。

2)建立共用模型，即功能故障邏輯模型。分析本層所有功能模塊，并建立上層功能與實現(xiàn)本層功能的物理端口映射關(guān)系，完成本層次功能建模。然后，通過對模塊端口和功能進(jìn)行失效狀態(tài)定義，在功能模型的基礎(chǔ)上開展故障邏輯關(guān)系分析，同樣方法分析下一層次直至最底層。

3)建立“三性”模型。基于頂層功能故障分析和功能匹配[11]，在功能故障邏輯模型基礎(chǔ)上可進(jìn)行安全性分析；在功能故障邏輯模型的基礎(chǔ)上，分析任務(wù)剖面及任務(wù)失效判據(jù)可進(jìn)行任務(wù)可靠性分析；在功能故障邏輯模型的基礎(chǔ)上擴(kuò)充信號和測試相關(guān)信息即可開展測試性建模與分析。

4)進(jìn)行“三性”評估。具體評估內(nèi)容詳見圖1。

圖1 “三性”一體化建模評估總體過程

2.2 安全性一體化建模評估技術(shù)

安全性分析是在功能故障分析與功能匹配的基礎(chǔ)上，結(jié)合功能故障邏輯模型，通過對故障邏輯樹的底事件發(fā)生概率，按照一定的算法計算，推算出某個功能故障發(fā)生的概率，同時支持分析模塊狀態(tài)失效時的影響范圍[12]。

安全性評估內(nèi)容主要包括：FHA、PSSA、SSA、CCA等。

安全性一體化建模評估過程見圖2。

圖2 安全一體化建模評估過程

在對飛機(jī)、系統(tǒng)主要功能和飛行階段進(jìn)行描述形成功能分析，然后對飛機(jī)、系統(tǒng)主要故障狀態(tài)及相關(guān)要求分析形成功能故障分析，在功能匹配、任務(wù)剖面設(shè)定基礎(chǔ)上開展相關(guān)工作，在FHA基礎(chǔ)上形成幾種單一故障或故障組合為頂事件進(jìn)行FTA分析，形成PSSA和SSA。

通過評價總體系統(tǒng)結(jié)構(gòu)對于共因事件的敏感性，CCA將對相應(yīng)系統(tǒng)結(jié)構(gòu)及其相關(guān)分系統(tǒng)的研制進(jìn)行協(xié)助。對共因事件的評價可以以下方式進(jìn)行：特殊風(fēng)險分析、區(qū)域安全性分析和共模分析。在各個系統(tǒng)的PSSA和SSA中將要用到整機(jī)級別的共因分析的結(jié)論。

2.3 可靠性一體化建模評估技術(shù)

在功能故障邏輯模型的基礎(chǔ)上，創(chuàng)建可靠性框圖，通過可靠性分配確定各層級的可靠性要求，可靠性預(yù)計是對可靠性指標(biāo)符合性的驗證，并進(jìn)行可靠性優(yōu)化。針對任務(wù)可靠性，需要針對具體任務(wù)建立任務(wù)失效判據(jù)，并對每項失效判據(jù)進(jìn)行功能故障分析，結(jié)合功能故障邏輯模型，進(jìn)而建立任務(wù)失效邏輯。

可靠性建模與評估主要包括：可靠性框圖、可靠性預(yù)計、可靠性分配和可靠性優(yōu)化等。

可靠性一體化建模評估過程見圖3。

圖3 可靠性一體化建模評估過程

可靠性評估整體來說主要包括基本可靠性、任務(wù)可靠性評估和可靠性優(yōu)化等，其中任務(wù)可靠性建模與評估是可靠性工作中的難點(diǎn)工作。任務(wù)可靠性預(yù)計是指通過設(shè)定各階段的任務(wù)失效判據(jù)，構(gòu)建任務(wù)RBD，通過設(shè)置故障邏輯樹的底事件發(fā)生概率，計算任務(wù)成功的可靠度，進(jìn)而可以估量失效的功能對整個階段或整個任務(wù)的影響。工程上，任務(wù)可靠性指標(biāo)包括任務(wù)可靠度和MTBCF，兩者可相互轉(zhuǎn)化。

針對系統(tǒng)的動態(tài)可重構(gòu)特性可開展基于有限狀態(tài)機(jī)模型的任務(wù)可靠性分析，可解決傳統(tǒng)FMEA不可進(jìn)行動態(tài)分析的技術(shù)缺陷。動態(tài)可重構(gòu)系統(tǒng)任務(wù)可靠性分析具體過程如下：

1)建立系統(tǒng)任務(wù)失效判據(jù)：

針對系統(tǒng)頂層功能定義開展功能FMEA分析，任務(wù)失效判據(jù)[13]建模用于確定系統(tǒng)功能故障對任務(wù)失效的影響關(guān)系，在模型中通過“任務(wù)剖面”模塊進(jìn)行實現(xiàn)。

2)任務(wù)可靠性建模：

根據(jù)系統(tǒng)容錯設(shè)計機(jī)制，針對其動態(tài)重構(gòu)部分單獨(dú)開展基于有限狀態(tài)機(jī)的動態(tài)建模過程。

3)系統(tǒng)任務(wù)可靠性分析評估：

基于蒙特卡羅仿真[14]進(jìn)行任務(wù)可靠性仿真分析，在計算機(jī)模型中產(chǎn)生隨機(jī)事件(如與系統(tǒng)故障相關(guān)的事件)，包括：預(yù)定事件(如預(yù)防性維修行為)和條件事件(如由于其他事件出現(xiàn)而引起的事件)，來產(chǎn)生一個模擬壽命片段盡可能接近一個真實壽命片段。

可靠性優(yōu)化[15]是在滿足系統(tǒng)已知物理、資源和經(jīng)濟(jì)約束下，通過提高成品可靠性水平或調(diào)整整機(jī)或系統(tǒng)結(jié)構(gòu)，從而使得系統(tǒng)可靠度不小于目標(biāo)值的方法。主要包括以下兩種：

單元可靠性優(yōu)化是在在不改變系統(tǒng)現(xiàn)有可靠性模型的條件下，并滿足物理、資源和經(jīng)濟(jì)等約束條件，通過提高成品的可靠性水平來提高系統(tǒng)的可靠性水平。

余度設(shè)計優(yōu)化是以系統(tǒng)現(xiàn)有可靠性模型為基礎(chǔ)，并滿足物理、資源和經(jīng)濟(jì)等約束條件，進(jìn)行架構(gòu)優(yōu)化，通過增加或減少設(shè)備余度來優(yōu)化系統(tǒng)的可靠性水平。

2.4 測試性一體化建模評估技術(shù)

基于多信號流的測試性模型[16]是將一組單信號的依存模型附加到結(jié)構(gòu)模型上，形成底層故障依存模型，并對各層添加測試點(diǎn)及測試方式，形成測試性模型。多信號模型只捕獲對系統(tǒng)故障診斷有用的必要信息，不管那些不必要的細(xì)節(jié)，與結(jié)構(gòu)密切相關(guān)。

測試性建模與評估主要包括：可達(dá)性分析、定量評估、定性分析和診斷策略分析等。

測試性一體化建模評估過程見圖4。

圖4 測試性一體化建模評估過程

1)模型可達(dá)性分析：

用于檢查模型中故障模式和測試的依存關(guān)系[17]是否正確，以及不同的工作模式或任務(wù)重構(gòu)情況下的依存關(guān)系是否正確。還可以輔助信號流檢查。

2)測試性動態(tài)分析：

用于評估使用各種測試手段下(加電BIT、在線BIT、ATE、人工測試等)產(chǎn)品的故障檢測率和故障隔離率(隔離到1、2、3個可更換單元)。采用對測試性模型的動態(tài)分析進(jìn)行測試性定量評估[18]，通過模擬在設(shè)定時間內(nèi)所發(fā)生的事件集(設(shè)備故障/修復(fù))，對整個模型狀態(tài)的影響，通過故障邏輯驗證、仿真計算的實現(xiàn)。

3)測試性靜態(tài)分析：

用于發(fā)現(xiàn)測試性檢測與隔離的缺陷[19]，依據(jù)建立的產(chǎn)品測試性模型，通過靜態(tài)分析所有測試手段下的依存矩陣，進(jìn)而分析測試性設(shè)計的故障檢測覆蓋和隔離情況，如未檢測故障、模糊組、冗余測試、隱藏故障、掩蓋故障和反饋環(huán)等，支持設(shè)計的權(quán)衡優(yōu)化。

4)診斷策略生成：

用于表征對被測對象進(jìn)行故障檢測和故障隔離的測試順序及診斷分支。充分考慮了故障模式在同一層次和不同層次之間的影響關(guān)系，同時使用了故障隔離的優(yōu)化算法[20]，因此基于模型形成的各診斷策略可作為機(jī)上各診斷要素(測試手段)和機(jī)下各診斷要素(測試手段)編寫測試邏輯的基礎(chǔ)，同時也是機(jī)上機(jī)下、不同產(chǎn)品層級之間開展綜合診斷設(shè)計的基礎(chǔ)。

3 燃油系統(tǒng)“三性”一體化評估案例分析

3.1 功能故障邏輯模型構(gòu)建過程

某直升機(jī)的燃油系統(tǒng)采用兩個機(jī)內(nèi)標(biāo)準(zhǔn)燃油箱，具有重力加/放油、地面/懸停壓力加油、空中應(yīng)急放油等能力。發(fā)動機(jī)起動、正常工作和APU工作時，采用增壓供油，當(dāng)一個油箱低油位告警或一條供油管路故障時，可進(jìn)行交叉供油，滿足雙發(fā)供油要求，在發(fā)動機(jī)失火或直升機(jī)墜毀等應(yīng)急情況下，實現(xiàn)斷油功能，切斷向發(fā)動機(jī)的供油。燃油系統(tǒng)功能模型如圖5所示。

圖5 某直升機(jī)的燃油系統(tǒng)

將燃油系統(tǒng)功能“映射”到具體的物理架構(gòu)，進(jìn)行燃油系統(tǒng)內(nèi)部功能關(guān)系構(gòu)建，詳見圖6。

圖6 燃油系統(tǒng)功能與物理映射關(guān)系

燃油系統(tǒng)主要由燃油系統(tǒng)、通氣系統(tǒng)、供油系統(tǒng)、地面/懸停壓力加油系統(tǒng)、應(yīng)急放油系統(tǒng)、外掛油箱系統(tǒng)等組成，其中供油系統(tǒng)存在3種工作模式，在供油管中設(shè)置供油選擇閥，通過電動控制開關(guān)實現(xiàn)直接供油、交叉供油、斷油3種模式切換。供油選擇閥的失效模式如圖7所示。

圖7 供油選擇閥的失效模式

在燃油系統(tǒng)中，3種場景工作模式切換存在復(fù)雜備份機(jī)制，如若不考慮，則不能真實反映燃油系統(tǒng)實際供油情況，較傳統(tǒng)FMEA存在明顯優(yōu)勢。

此外，傳統(tǒng)FMEA分析中，不考慮外因，只考慮自身原因，本文在分析左供油選擇閥故障邏輯分析時除了考慮閥門自身泄露、堵塞外，還考慮燃油輸入問題、右供油選擇閥、無通告、誤動作等方面問題。

圖8 左供油選擇閥供油故障邏輯關(guān)系

經(jīng)過以上分析，基于功能故障邏輯關(guān)系更加符合實際情況，可解決傳統(tǒng)FMEA只考慮單因素技術(shù)缺陷問題。

3.2 安全性建模評估過程

1)基于模型的FHA分析過程:

針對左發(fā)動機(jī)供斷油故障、右發(fā)動機(jī)供斷油故障、兩臺發(fā)動機(jī)供斷油故障3項進(jìn)行功能故障分析。

針對燃油系統(tǒng)的頂層輸出端口，分別計算了頂事件各輸出端口功能失效的功能危害性分析，計算出某項功能失效的概率(不可靠度)。

2)基于模型的FTA分析過程:

安全性指標(biāo)分配、各頂事件故障樹計算以及故障傳遞。功能故障邏輯的構(gòu)建過程以及FHA分析過程，即FTA構(gòu)建過程。

經(jīng)FTA分析確定燃油系統(tǒng)的單點(diǎn)故障有3個：左供油選擇閥、油供油選擇閥和機(jī)身通氣孔。建議加強(qiáng)對三者的可靠性設(shè)計或適當(dāng)考慮余度設(shè)計。

3.3 可靠性建模評估過程

1)基本可靠性分析過程:

基本可靠性模型(RBD)是依據(jù)故障邏輯模型生成，在此基礎(chǔ)上完成了基本可靠性預(yù)計、分配。

2)任務(wù)可靠性分析過程:

首先設(shè)置典型任務(wù)剖面，定義階段和持續(xù)時間，如圖9，故障發(fā)生影響階段任務(wù)完成作為判據(jù)，設(shè)定任務(wù)剖面內(nèi)所有階段的任務(wù)失效判據(jù)，如在飛行階段兩臺發(fā)動機(jī)供斷油故障的任務(wù)失效判據(jù)，詳見圖10。

圖9 典型任務(wù)剖面設(shè)定

圖10 飛行階段兩臺發(fā)動機(jī)供斷油任務(wù)失效判據(jù)

基于任務(wù)剖面和失效判據(jù)設(shè)定，對燃油系統(tǒng)進(jìn)行任務(wù)可靠度分析，與FTA分析的相應(yīng)功能失效的概率(即不可靠度)結(jié)果一致。

3.4 測試性建模評估過程

(1)信號及測試設(shè)置:

在故障邏輯模型的基礎(chǔ)上增加了13項測試，給各故障模式和測試分配相關(guān)的86項信號，設(shè)置了4個測試點(diǎn)，完成了測試與故障模式的相關(guān)性建模和可達(dá)性驗證。

圖11 左供油選擇閥測試性模型

(2)測試性分析及改進(jìn)建議:

初步對燃油系統(tǒng)的故障檢測率和故障隔離率進(jìn)行了分析，能夠得出BIT檢測率，故障檢測和隔離主要通過ATE和人工進(jìn)行的相關(guān)結(jié)論，能夠?qū)Ξa(chǎn)品的測試性設(shè)計改提供參考和指導(dǎo)。

1)燃油系統(tǒng)的BIT故障檢測率的要求值為90%，而預(yù)計的值為26.95%，遠(yuǎn)低于指標(biāo)要求。從基層級故障檢測率與故障隔離率表中可觀察到，BIT和ATE綜合的故障檢測率為99.89%，由此可知，燃油系統(tǒng)的故障檢測能力主要通過外部的測試設(shè)備實現(xiàn)。

2)燃油系統(tǒng)的BIT故障隔離率(1個LRU)的要求值為75%，而預(yù)計的值為75%，也未達(dá)到指標(biāo)要求。從基層級故障檢測率與故障隔離率表中可觀察到，BIT和ATE綜合的故障隔離率為42.33%，由此可知，燃油系統(tǒng)外場發(fā)生故障時，約42%的故障可通過BIT和ATE進(jìn)行排故，而58%的故障需要人工進(jìn)行排故。

4 結(jié)束語

為解決工程中“三性”評估工作中存在孤島、重復(fù)性工作量大、系統(tǒng)性不強(qiáng)、存在“兩張皮”等工程問題，本文圍繞“三性”一體化建模評估的可行性、建模語言以及評估過程進(jìn)行了說明，并以安全問題頻發(fā)的燃油系統(tǒng)為例進(jìn)行了“三性”一體化建模評估說明。

本文以功能故障為核心，通過統(tǒng)一模型進(jìn)行一體化評估，建立了專業(yè)間密切聯(lián)系，快速、便捷、系統(tǒng)地開展相關(guān)工作?；贛BSE的“三性”一體化建模評估的優(yōu)勢在于：實現(xiàn)了模型復(fù)用，解決了專業(yè)間的孤島問題；基于功能模型構(gòu)建故障邏輯，更接近真實的故障傳遞情況，有效解決“兩張皮”現(xiàn)象；基于AltaRica語言建模過程中充分考慮多狀態(tài)和多因素問題，有效解決傳統(tǒng)FMEA靜態(tài)單因素等方面的技術(shù)缺陷問題。