柯宇航, 李艷軍, 曹愈遠(yuǎn), 張興成

(南京航空航天大學(xué)民航飛行學(xué)院, 江蘇 南京 211106)

0 引 言

傳統(tǒng)的安全性分析方法是由安全工程師根據(jù)需求手動(dòng)執(zhí)行安全性分析,如故障樹分析(fault tree analysis, FTA)[1]、功能性風(fēng)險(xiǎn)分析(functional hazard analysis, FHA)、失效模式及影響分析(failure mode and effect analysis, FMEA)[2]等方法。由于這些分析方法是人為主觀的分析,主要依靠的是分析人員的經(jīng)驗(yàn),故這些方法難以預(yù)測(cè)系統(tǒng)所有可能出現(xiàn)的行為。但隨著飛機(jī)系統(tǒng)功能不斷更新發(fā)展,系統(tǒng)變得復(fù)雜龐大,傳統(tǒng)的安全性分析方法難以保證結(jié)果的完備性、一致性和正確性。

為此,工程師為系統(tǒng)設(shè)計(jì)和安全分析創(chuàng)建形式化模型,并使用計(jì)算機(jī)自動(dòng)分析其行為?；谀Ｐ偷南到y(tǒng)安全性分析(model-based safety analysis, MBSA)方法使安全性分析工作更加客觀和高效,MBSA已成為復(fù)雜機(jī)載系統(tǒng)安全性分析的發(fā)展趨勢(shì)之一。歐洲與美國(guó)的一些航空企業(yè)及科研機(jī)構(gòu)在這一領(lǐng)域的研究處于領(lǐng)先地位。歐盟從2000年開展一系列的研究,先后完成ESACS(enhanced safety assessment for complex systems)[3]、MISSA(more integrated systems safety assessment)[4]、ISAAC(improvement of safety activities on aeronautical complex systems)[5]3個(gè)項(xiàng)目,美國(guó)航天局(National Aeronautics and Space Administration, NASA)利用模塊定義圖(binary decision diagrams, BDD)模型檢驗(yàn)方法對(duì)《民用機(jī)載系統(tǒng)和設(shè)備安全性評(píng)估過(guò)程指南和方法》SAE ARP 4761[6]描述的機(jī)輪剎車系統(tǒng)控制單元(brake system control unit, BSCU)進(jìn)行了安全性分析[7]。

國(guó)內(nèi)外學(xué)者針對(duì)復(fù)雜系統(tǒng)的安全性分析問(wèn)題上,針對(duì)建模及安全性分析方法上,主要研究了包括:隨機(jī)Petri網(wǎng)、馬爾可夫模型、動(dòng)態(tài)故障樹等方法[8-11]。德國(guó)航空航天中心(German Aerospace Center,DLR)提出了一種基于Modelica的系統(tǒng)安全性分析方法,通過(guò)對(duì)故障仿真建模計(jì)算最小割集、最小路徑以及安全性的評(píng)估[12]。文獻(xiàn)[13]采用故障建模和仿真手段將故障模型轉(zhuǎn)換為馬爾可夫模型進(jìn)行安全性分析。北京航空航天大學(xué)提出一種基于體系結(jié)構(gòu)分析與設(shè)計(jì)語(yǔ)言系統(tǒng)模型的建模方法,自行設(shè)計(jì)出一套轉(zhuǎn)換規(guī)則,將體系結(jié)構(gòu)分析與設(shè)計(jì)語(yǔ)言系統(tǒng)結(jié)構(gòu)模型轉(zhuǎn)換為系統(tǒng)結(jié)構(gòu)廣義隨機(jī)Petri網(wǎng)模型[14]。上述研究能夠直接利用系統(tǒng)設(shè)計(jì)過(guò)程中建立的仿真模型進(jìn)行嚴(yán)格的安全性形式化驗(yàn)證,對(duì)復(fù)雜系統(tǒng)的動(dòng)態(tài)行為進(jìn)行描述也較為簡(jiǎn)便,但狀態(tài)空間爆炸和仿真效率較低也是目前對(duì)于分析復(fù)雜系統(tǒng)下存在的主要問(wèn)題。

文獻(xiàn)[15-16]針對(duì)機(jī)電系統(tǒng)的安全性問(wèn)題,找到一種系統(tǒng)工程與安全性分析過(guò)程的集成方法SafeSysE,該方法給出了一套完全基于系統(tǒng)建模語(yǔ)言模型進(jìn)行安全性分析的方法。但在狀態(tài)機(jī)驗(yàn)證模型過(guò)程中,還需要大量人力對(duì)模型進(jìn)行識(shí)別判斷,使其方法應(yīng)用范圍受到限制。文獻(xiàn)[17]提出了一種基于系統(tǒng)可靠性、維修性、安全性分析與仿真的方法RAMSAS,RAMSAS方法是從4個(gè)方面迭代進(jìn)行,分別是可靠性需求分析、建立系統(tǒng)模型、系統(tǒng)模型仿真和系統(tǒng)模型評(píng)估,將這4個(gè)步驟貫穿于整個(gè)設(shè)計(jì)過(guò)程。RAMSAS的優(yōu)點(diǎn)在于能夠?qū)⑾到y(tǒng)建模語(yǔ)言所描述的控制邏輯直接轉(zhuǎn)換為Simulink模型,存在的缺點(diǎn)是該方法對(duì)于系統(tǒng)仿真方面研究較為全面,但還缺少模型驅(qū)動(dòng)設(shè)計(jì)方法。

針對(duì)民機(jī)飛行控制系統(tǒng)的高度安全性的特征,本文提出了一種基于模型的典型飛控系統(tǒng)(操縱舵面)安全性分析方法,利用Matlab/Simulink工具建立正常功能模型及故障模塊,通過(guò)故障注入方法擴(kuò)展正常功能模型,最后利用故障遍歷的方法,運(yùn)用故障遍歷,尋找對(duì)系統(tǒng)影響嚴(yán)重的部件,實(shí)現(xiàn)安全性分析。

1 飛行控制系統(tǒng)概述

民用飛機(jī)的飛行控制系統(tǒng)(以下簡(jiǎn)稱飛控系統(tǒng))主要功能是保證飛機(jī)的操縱性和穩(wěn)定性。飛行控制系統(tǒng)包括主飛行控制系統(tǒng)(人工操縱)和自動(dòng)飛行控制系統(tǒng)(自動(dòng)駕駛儀)。其中,主飛行控制系統(tǒng)是典型的安全關(guān)鍵系統(tǒng),主要功能是控制飛機(jī)的升降舵、方向舵和副翼等操縱舵面,以實(shí)現(xiàn)飛行姿態(tài)的控制。

國(guó)內(nèi)外民機(jī)的飛控系統(tǒng)經(jīng)歷了多個(gè)發(fā)展階段,以空客和波音為代表,從機(jī)械/液壓助力操縱系統(tǒng)、增穩(wěn)與控制增穩(wěn)系統(tǒng)到電傳飛控系統(tǒng)階段,主要區(qū)別在于使用的是不同形式的操縱機(jī)構(gòu):空客使用側(cè)桿形式、波音沿用中央操縱桿形式,在系統(tǒng)架構(gòu)方面,波音和空客使用了不同形式的物理架構(gòu),但從功能設(shè)計(jì)角度來(lái)說(shuō)均體現(xiàn)了功能綜合的特征[18-19]。

國(guó)內(nèi)民機(jī)起步較晚,但飛控系統(tǒng)的發(fā)展也經(jīng)歷了這樣的發(fā)展過(guò)程,從傳統(tǒng)的機(jī)械操縱系統(tǒng)發(fā)展到疊加自動(dòng)飛行控制的電傳飛控系統(tǒng)(ARJ21-700飛機(jī))[20]。目前試飛中的國(guó)產(chǎn)大飛機(jī)C919,飛控系統(tǒng)則采用電傳飛行控制結(jié)合部分電功率、無(wú)機(jī)械備份[21]的電傳飛控系統(tǒng)。

總的來(lái)說(shuō),典型飛控系統(tǒng)技術(shù)發(fā)展趨勢(shì)如下:

系統(tǒng)架構(gòu)上,從集中式的控制模式到采用物理/功能上的分布網(wǎng)絡(luò)式架構(gòu)方式;

系統(tǒng)功能上,從功能分離的主飛行控制系統(tǒng)和自動(dòng)飛行控制系統(tǒng)逐步向控制/信息一體化方向發(fā)展;

在功率及作動(dòng)方式上,從機(jī)械驅(qū)動(dòng)到液壓驅(qū)動(dòng)方式,逐步向多電機(jī)全電驅(qū)動(dòng)方式發(fā)展。

安全性需求是民機(jī)飛控系統(tǒng)的第一需求,根據(jù)ARP 4761[5-6]中的規(guī)定,要求飛控系統(tǒng)失效導(dǎo)致“嚴(yán)重”級(jí)別的危害發(fā)生概率不大于10-7,“災(zāi)難”級(jí)別的危害發(fā)生概率小于10-9。

在流程方法方面,必須能夠保證需求、設(shè)計(jì)與驗(yàn)證的完整性。在安全性評(píng)估技術(shù)方面，為了保證能夠準(zhǔn)確評(píng)價(jià)系統(tǒng)是否滿足安全性需求，需要進(jìn)行共因分析(common cause analysis, CCA)、功能危險(xiǎn)性分析(fault hazard analysis, FHA)、初步飛機(jī)安全性評(píng)估(preliminary aircraft safety assessment, PASA)、系統(tǒng)安全性評(píng)估(system safety assessment, SSA)、系統(tǒng)初步安全性評(píng)估(preliminary system safety assessment, PSSA)等安全性分析工作。為滿足安全性需求的系統(tǒng)開發(fā)流程圖如圖1所示。

圖1 滿足安全性需求的系統(tǒng)開發(fā)流程

2 系統(tǒng)安全性分析方法

2.1 傳統(tǒng)安全性分析方法

為了提高飛機(jī)關(guān)鍵系統(tǒng)的安全性,航空系統(tǒng)領(lǐng)域內(nèi),有美國(guó)汽車工程師學(xué)會(huì)(Society of Automotive Engineers, SAE)制定的ARP 4754[22]、ARP 4761。傳統(tǒng)的安全性評(píng)估過(guò)程是用一個(gè)V型圖來(lái)描述。如圖2所示,V型圖左側(cè)是安全性需求識(shí)別,V型圖右側(cè)是系統(tǒng)安全需求的驗(yàn)證。在飛機(jī)研制周期開始就進(jìn)行飛機(jī)級(jí)別的FHA。下一步,對(duì)單獨(dú)子系統(tǒng)進(jìn)行系統(tǒng)級(jí)FHA。在完成FHA后,對(duì)系統(tǒng)進(jìn)行PSSA。用于分配安全性需求到各個(gè)子系統(tǒng)中。當(dāng)設(shè)計(jì)和實(shí)施已完成,那么就由SSA過(guò)程來(lái)驗(yàn)證在實(shí)施的設(shè)計(jì)中是否已滿足安全性要求。

圖2 安全性評(píng)估過(guò)程

2.2 基于模型的系統(tǒng)安全性分析方法

MBSA是以研究和實(shí)現(xiàn)復(fù)雜系統(tǒng)建模并基于系統(tǒng)模型實(shí)現(xiàn)自動(dòng)或半自動(dòng)化的安全分析或驗(yàn)證為目的,提高安全性分析效率[23]。

MBSA方法分析流程包括:基于模型的研發(fā)和基于模型的安全性分析?；谀Ｐ偷难邪l(fā)包括對(duì)正常功能模型的構(gòu)建和對(duì)故障注入的擴(kuò)展模型的建立,基于模型的安全性分析則是在這一基上進(jìn)行的。MBSA方法的核心和基礎(chǔ)是建立形式化模型,現(xiàn)有的建模方法主要有兩種思路:一種為先建立系統(tǒng)名義模型,用來(lái)描述系統(tǒng)正常功能狀態(tài)下的行為,然后建立系統(tǒng)的故障模型，最后通過(guò)模型擴(kuò)展將正常模型及故障模型結(jié)合[24-25]。另一種是基于故障邏輯的思想[26],直接對(duì)系統(tǒng)中的故障進(jìn)行建模,簡(jiǎn)化了建模過(guò)程以及系統(tǒng)正常功能的模型。

MBSA方法能夠?qū)⑾到y(tǒng)設(shè)計(jì)和安全分析結(jié)合起來(lái),通過(guò)對(duì)復(fù)雜系統(tǒng)使用各種手段建立系統(tǒng)模型后實(shí)現(xiàn)各階段設(shè)計(jì)過(guò)程與安全分析過(guò)程的同步。構(gòu)建的模型避免了模型轉(zhuǎn)換帶來(lái)的信息缺失,不僅保證安全分析結(jié)果直觀反饋給分析人員,同時(shí)系統(tǒng)設(shè)計(jì)的更改可以及時(shí)向安全分析人員更新。建立準(zhǔn)確的系統(tǒng)模型需要選取具有嚴(yán)格的語(yǔ)法語(yǔ)義定義的建模語(yǔ)言[27]。

一般通過(guò)建立符號(hào)化的系統(tǒng)形式化模型,并在此基礎(chǔ)上實(shí)現(xiàn)系統(tǒng)仿真、驗(yàn)證及分析等工作。

基于模型的安全性分析方法旨在減少安全性評(píng)估時(shí)的工作量和提高分析結(jié)果的質(zhì)量,其方法中的重點(diǎn)是如何建立系統(tǒng)的形式化模型,考慮系統(tǒng)行為中存在的故障對(duì)模型進(jìn)行擴(kuò)展,最后的安全評(píng)估在擴(kuò)展模型上進(jìn)行[28]。

總體來(lái)看,MBSA的總目標(biāo)是:① 支持對(duì)復(fù)雜系統(tǒng)架構(gòu)的準(zhǔn)確及有效的安全性評(píng)估;② 能夠解決由于系統(tǒng)和功能的復(fù)雜程度帶來(lái)的問(wèn)題;③ 提供了嚴(yán)格定義的且公用的系統(tǒng)模型。

3 案例分析

本文選取某型民機(jī)典型的飛控系統(tǒng)展開研究,操縱舵面是影響飛機(jī)飛行姿態(tài)的重要飛控系統(tǒng)之一,副翼、方向舵是飛機(jī)橫側(cè)向控制的主要部件。由副翼/方向舵舵面作動(dòng)器產(chǎn)生的力矩信號(hào)作為輸入信號(hào)輸入操縱舵面,通過(guò)舵面的偏轉(zhuǎn)角度執(zhí)行飛行的滾轉(zhuǎn)和偏航。

3.1 副翼/方向舵名義模型

副翼為飛機(jī)滾轉(zhuǎn)操控的主要操縱舵面。通過(guò)接收信號(hào),左右副翼分別向上下偏轉(zhuǎn)一定角度,從而改變機(jī)翼的升力大小,利用升力差使得飛機(jī)實(shí)現(xiàn)滾轉(zhuǎn)操作。

副翼模型的數(shù)學(xué)表達(dá)式為

(1)

(2)

副翼的Simulink模型如圖3所示。

圖3 副翼Simulink模型

方向舵為飛機(jī)偏航操控的主要操縱舵面,通過(guò)接收信號(hào),方向舵偏轉(zhuǎn)一定角度,使飛機(jī)實(shí)現(xiàn)偏航。方向舵模型的數(shù)學(xué)表達(dá)式為

(3)

δr=στ1(xr)

(4)

式中:Tr為作用于方向舵的力矩信號(hào);δr為方向舵響應(yīng)力矩信號(hào)對(duì)應(yīng)的角度;xr為狀態(tài)變量。參數(shù)取值:τr=0.05 s,τ1=0.1 s。

方向舵的Simulink模型如圖4所示。

圖4 方向舵Simulink模型

3.2 模型故障擴(kuò)展

第3.1節(jié)中建立的模型是系統(tǒng)在無(wú)故障發(fā)生時(shí),系統(tǒng)在正常狀態(tài)下的行為。而實(shí)際情況下,在安全性分析過(guò)程中,除了考慮系統(tǒng)正常的工作模式外,還需考慮可能發(fā)生的故障模式。構(gòu)建故障模型,通過(guò)故障注入的方式,對(duì)系統(tǒng)正常功能模型進(jìn)行模型擴(kuò)展,進(jìn)而對(duì)擴(kuò)展后的模型進(jìn)行安全性分析[29]。

3.2.1 故障注入

進(jìn)行模型擴(kuò)展的第一步是故障注入[30]。故障注入機(jī)制是將特定的系統(tǒng)故障行為添加到正常系統(tǒng)功能模型中,該方法可以觀察系統(tǒng)發(fā)生故障時(shí)存在的行為及響應(yīng),對(duì)系統(tǒng)進(jìn)行安全性分析評(píng)估。故障注入技術(shù)一般包括:基于硬件的故障注入、基于軟件的故障注入及基于仿真的故障注入。仿真實(shí)現(xiàn)的故障注入是基于虛擬故障,通過(guò)計(jì)算機(jī)仿系統(tǒng)運(yùn)行,注入故障模塊,實(shí)現(xiàn)故障注入[31]。

民機(jī)控制系統(tǒng)典型的故障特性如表1所示。故障發(fā)生的部件有傳感組件、控制元件、被控對(duì)象,故障的類型主要包括卡死、漂移、失效等。本文所研究的故障模式針對(duì)飛控系統(tǒng)單個(gè)組件失效。

表1 典型故障特性

本文是在系統(tǒng)模型上進(jìn)行故障注入研究,屬于仿真實(shí)現(xiàn)的故障注入方式。

圖5給出了基于故障注入的模型拓展方法。圖的左半部分是一個(gè)系統(tǒng)正常功能模塊A,模塊有一個(gè)輸入和一個(gè)輸出,將故障注入來(lái)擴(kuò)展系統(tǒng)模型。圖右側(cè)顯示的就是擴(kuò)展之后的模塊,該模塊包括了正常功能模塊A和一個(gè)故障模塊F,此時(shí)模塊A和模塊F的輸入與原來(lái)的模塊A的輸入相同。為了方便調(diào)用故障模型,引入故障參數(shù)FTn(n=1,2),將FTn作為故障模塊F的另一個(gè)輸入。FTn為變量,用于控制發(fā)生故障的部件以及其故障模式。由于副翼及方向舵常見故障模式為卡死和漂移,故定義FTn=1表示功能正常,FTn=2表示發(fā)生卡死故障,FTn=3表示發(fā)生漂移故障。擴(kuò)展模型的最后輸出由一個(gè)多路選擇器產(chǎn)生,通過(guò)故障參數(shù)FTn控制輸出。

圖5 基于故障注入的模型拓展

表2總結(jié)了副翼/方向舵常見的故障模式、故障描述、失效率及定義的故障參數(shù)。

表2 副翼/方向舵常見故障

為了簡(jiǎn)化問(wèn)題,本文僅考慮滾轉(zhuǎn)角作為性能指標(biāo),將故障注入時(shí)間設(shè)置為tf=4 s。

3.2.2 副翼/方向舵故障模型

副翼常見的兩種故障包括卡死和漂移,對(duì)應(yīng)的輸出響應(yīng)為

(5)

副翼的Simulink故障模塊設(shè)計(jì)如圖6所示。

圖6 副翼故障Simulink模型

方向舵常見的兩種故障包括卡死和漂移,對(duì)應(yīng)的輸出響應(yīng)為

(6)

方向舵的Simulink故障模塊設(shè)計(jì)如圖7所示。

圖7 方向舵故障Simulink模型

構(gòu)建好故障模塊后,本文采用的故障模型結(jié)合名義模型的方式如圖8所示。

圖8 故障注入方式

3.2.3 系統(tǒng)故障下的響應(yīng)

本文僅考慮單故障情況,假定故障注入的時(shí)刻為4 s。副翼發(fā)生卡死時(shí)(FT1=2)如圖9和圖10所示。

圖9 副翼卡死

圖10 副翼卡死(誤差曲線)

副翼發(fā)生漂移時(shí)(FT1=3)如圖11和圖12所示。

圖11 副翼漂移

圖12 副翼漂移(誤差曲線)

方向舵發(fā)生卡死時(shí)(FT2=2)如圖13和圖14所示。

圖13 方向舵卡死

圖14 方向舵卡死(誤差曲線)

方向舵發(fā)生漂移時(shí)(FT2=3)如圖15和圖16所示。

圖15 方向舵漂移

圖16 方向舵漂移(誤差曲線)

3.2.4 故障誤差分析

本文僅考慮影響系統(tǒng)的滾轉(zhuǎn)角φ(t)這一因素,其性能要求為

(7)

式中:rφ=0.1 rad。

通過(guò)故障注入后的擴(kuò)展模型與正常功能模型比較的誤差曲線,篩選出導(dǎo)致系統(tǒng)故障的部件故障情況(誤差曲線超出誤差上下限即為發(fā)生故障,反之部件正常),如表3所示。

表3 故障系統(tǒng)響應(yīng)

對(duì)系統(tǒng)可能發(fā)生故障的部件進(jìn)行枚舉,進(jìn)行故障遍歷。根據(jù)系統(tǒng)邏輯,將不會(huì)導(dǎo)致故障的事件刪除,得到可用狀態(tài)集。據(jù)此,確定出操縱舵面系統(tǒng)故障的3個(gè)最小割集為:{左副翼漂移}、{右副翼漂移}、{方向舵漂移}。

最后確定邏輯門的連接,單點(diǎn)故障事件左副翼、右副翼及方向舵任一發(fā)生故障,均會(huì)直接導(dǎo)致頂事件發(fā)生,故{左副翼漂移}、{右副翼漂移}、{方向舵漂移}之間采用“或門連接”。最終得到故障樹如圖17所示。

圖17 操縱舵面系統(tǒng)故障樹

4 結(jié) 論

針對(duì)飛機(jī)復(fù)雜系統(tǒng)安全性分析問(wèn)題,本文提出了基于系統(tǒng)拓展模型的安全性分析方法。充分考慮操縱舵面系統(tǒng)結(jié)構(gòu)機(jī)理,構(gòu)建了系統(tǒng)正常功能模型,設(shè)計(jì)了故障模型,利用故障注入拓展了系統(tǒng)模型,使得系統(tǒng)設(shè)計(jì)過(guò)程與安全分析過(guò)程使用同一模型,解決由于傳統(tǒng)安全分析方法中模型不統(tǒng)一帶來(lái)的設(shè)計(jì)結(jié)果與安全分析結(jié)果之間可追溯性差問(wèn)題,保證了分析源頭的準(zhǔn)確性和規(guī)范性。在設(shè)計(jì)過(guò)程中,可以對(duì)模型的基礎(chǔ)模塊進(jìn)行修改,增加系統(tǒng)的容錯(cuò)能力,實(shí)現(xiàn)在不同場(chǎng)景下模擬系統(tǒng)的響應(yīng)。建立的模型可靠度較高,可以進(jìn)行程序化安全性分析工作,有效減少對(duì)安全性分析工程師的依賴。