程 帥, 李 宸, 張逸倫, 湯 超, 孟祥慧, 謝友柏

(1. 上海交通大學 機械與動力工程學院, 上海 200240; 2. 中國商飛上海飛機設計研究院,上海 201210)

隨著科技水平的提高,人類改造世界的能力得到很大提升,迄今為止已創(chuàng)造出民用飛機和大型郵輪等一系列復雜產品.這些產品由諸多子系統(tǒng)或組件組成,且各子系統(tǒng)或組件之間相互耦合、協(xié)同作用、信息交聯(lián)密切,因此被稱為復雜系統(tǒng).復雜程度越高設計開發(fā)的挑戰(zhàn)越大,不經意中引入的設計缺陷可能導致重大事故的發(fā)生.以現代民用飛機的飛行控制系統(tǒng)(飛控系統(tǒng))為例,它包括一系列機械、電子和計算機等裝置,用于控制飛機飛行姿態(tài)、運動參數和運動模態(tài)[1].飛控系統(tǒng)對飛行安全非常重要,其設計中的任何微小錯誤都有可能造成嚴重后果.無數的設計案例表明,正向開發(fā)理念對提高復雜系統(tǒng)設計質量、規(guī)避設計風險具有重要的意義.這也是國內企業(yè)培育復雜系統(tǒng)的自主設計能力,實現復雜系統(tǒng)白盒化的重要途徑.

正向開發(fā)方法的思路是從需求出發(fā)自頂向下進行需求分解,根據需求進行功能確認,再由功能尋求部件的結構設計;設計完成或實施建造之后,從部件結構到功能再到需求,進行自底向上的集成與驗證.系統(tǒng)需求可分為功能需求和非功能需求,前者是設計的目的,因此在功能設計之前首先要定義功能需求[2].現有的復雜系統(tǒng)功能設計方法大都基于特定場景的需求.Kurtoglu等[3]提出一種在特定事件場景下評估復雜系統(tǒng)潛在功能失效的功能設計方法,用于增強系統(tǒng)可靠性.Nasyrov等[4]建立問題模型來定義場景以評估功能狀態(tài)的協(xié)調能力,輔助復雜系統(tǒng)的功能設計.Madni[5]利用基于模型的系統(tǒng)工程試驗臺建立多個交通場景模擬飛機和汽車運行環(huán)境,從中開展功能需求和安全性需求分析.同樣地,飛控系統(tǒng)的功能設計研究大都建立在特定的飛行場景上.例如,梅芊等[6]針對著陸場景開展民用飛機的功能需求分析和架構設計.任炳軒等[7]針對應急復飛場景研究民用飛機功能需求的辨識與確認.王豪等[8]基于正向設計開展飛控系統(tǒng)的功能設計,其中需求僅圍繞飛行剖面、任務剖面和工作環(huán)境3個場景.因此,缺少一種以滿足功能需求為目標的功能設計方法,該方法應當基于模型的形式,便于功能的表達和實現,進而有助于滿足功能需求.飛控系統(tǒng)的功能需求由飛機級功能需求驅動,需要從飛機級出發(fā)進行功能需求的分解和分配,這些任務可借助系統(tǒng)建模語言SysML開展[9-11].另外,飛控系統(tǒng)的開發(fā)過程還應考慮安全性需求來滿足適航條例.SAE ARP4754A民用飛機系統(tǒng)開發(fā)指南(4754A)建立了一套符合適航要求的開發(fā)方法,并被各國航空局認可和接受[12-13],該文件強調在飛機系統(tǒng)開發(fā)過程中同步進行安全性評估,以暴露安全隱患、降低開發(fā)風險[14-15].根據飛控系統(tǒng)的功能需求和安全性需求分析應當具備的功能,然后根據功能探索子系統(tǒng)和部件,符合飛控系統(tǒng)的正向開發(fā)流程.

為了便于從功能匹配到目標子系統(tǒng)和部件,有必要對功能進行建模表達.已有研究提出多種模型來表示系統(tǒng)功能.Sasajima等[16]認為功能是有目標的行為,并且提出“功能=行為+功能性元素”的表達方法.Pahl等[17]采用方塊圖將功能表示為系統(tǒng)的“輸入和輸出”,其中方塊表示轉變行為,箭頭表示輸入和輸出流.Stone等[18]采用功能流的形式表達功能,并劃分了3種流和8種功能模型.趙萌等[19]提出“狀態(tài)-行為-功能”的方式進行系統(tǒng)建模.飛控系統(tǒng)涉及許多信號的傳遞和轉變,采用輸入-輸出與方塊圖的形式來表示系統(tǒng)功能是合理的.謝友柏[20]提出更具概括性的功能分類方法,將功能分為4類并基于功能方塊圖進行建模,但目前還未在復雜系統(tǒng)的功能設計中進行應用.

綜上所述,按照正向開發(fā)流程開展飛控系統(tǒng)的功能設計.采用SysML需求圖進行功能需求的分解和確認,根據4754A的要求開展飛控系統(tǒng)的安全性評估,首次基于4種功能類型和功能方塊圖進行飛控系統(tǒng)的功能建模.

1 飛控系統(tǒng)的功能需求分析與建模

采用SysML建立飛機級-系統(tǒng)級-部件級的功能需求之間的聯(lián)系,并考慮設計過程中的派生需求;對飛控系統(tǒng)的功能需求進行分析,并對飛控系統(tǒng)劃分子系統(tǒng)以探索飛控系統(tǒng)的功能.

1.1 飛機級-系統(tǒng)級-部件級的功能需求關系模型

設計民用飛機的目的是實現人或物在空中從一處轉移到另一處,因此飛機的功能需求可分為4種,即帶載荷上升、帶載荷平飛、帶載荷轉向和帶載荷下降.對飛機的功能需求進行分解,可獲得系統(tǒng)級的功能需求,如為飛機飛行提供動力便是發(fā)動機系統(tǒng)的功能需求.同樣地,將系統(tǒng)級需求進行分解得到部件級的功能需求,如控制飛行姿態(tài)需要具有信號傳遞、信號轉換,這便是相應部件的功能需求.另外,隨著設計的進行會產生派生需求,這些需求除了功能需求,還有安全性需求、經濟性需求以及乘客舒適性需求等.派生需求能優(yōu)化初始功能需求并同樣驅動下級功能需求.

利用SysML需求圖建立上述飛機級-系統(tǒng)級-部件級的功能需求關系模型,如圖1所示.圖中飛機級、系統(tǒng)級和部件級功能需求的編號與分類Id依次定義為1,2,3,相應的子功能需求Id則用1.1,2.1,3.1等來命名;“Text”為模塊的解釋.為功能需求定義Id意味著建立明確的關系網,有助于關系追溯.功能需求與子功能需求之間用 ?—連接,表達包含關系.上級對下級功能需求的驅動采用“deriveReqt”連接.同級的派生需求對初始功能需求存在改善作用,因此在兩者之間建立“完善”(refine)關系.圖1中自上而下的需求分解過程有助于保障復雜系統(tǒng)功能設計的完備性和正確性,且當部件級功能需求被滿足時,還可根據該模型驗證是否滿足系統(tǒng)級功能需求,進而驗證是否滿足飛機級功能需求.

圖1 飛機級-系統(tǒng)級-部件級的功能需求關系模型

1.2 飛控系統(tǒng)功能需求與功能關系模型

圖1中系統(tǒng)級功能需求之一是飛行控制功能需求(Id=2.2),該功能需求依靠飛控系統(tǒng)的功能來滿足.飛行控制的功能需求包括控制上升、控制平飛、控制轉彎和控制下降.以此來分析飛控系統(tǒng)功能需求與功能的關系,如圖2所示,功能采用輸入與輸出的形式(Input-Output)表達,“ControlValue”和“Complex”分別表示控制變量和復雜變量.功能與功能需求之間采用“滿足”(satisfy)進行連接,以表現功能對功能需求的滿足關系.飛控系統(tǒng)的功能依賴于飛控系統(tǒng)的總體架構,因此功能和架構之間用“---→”表示依賴關系.鑒于飛控系統(tǒng)的復雜性,在探索功能實現路徑時有必要將其劃分成若干子系統(tǒng),通過實現各個子系統(tǒng)的功能集成整體功能[21].圖2將飛控系統(tǒng)概括地分成傳感系統(tǒng)(系統(tǒng)外部信號輸入與傳遞)、控制系統(tǒng)(控制信號的判斷與計算)和執(zhí)行系統(tǒng)(執(zhí)行器實現目標動作),各個子系統(tǒng)之間存在接口(p1～p4),以實現信息交互.最終集成各個子系統(tǒng)以實現完整系統(tǒng)輸入到目標輸出的功能.

圖2 飛控系統(tǒng)功能需求與功能關系模型

飛控系統(tǒng)的設計過程會派生系統(tǒng)級功能需求(Id=5).例如,為了更好地完成閉環(huán)控制,飛控系統(tǒng)的信息需要顯示給駕駛員作為其發(fā)出控制指令的參考依據,從而派生信息顯示的功能需求,將其Id定義為5.1.該功能需求在飛控系統(tǒng)功能設計階段派生,因此采用“trace”表示兩者的追溯關系.信息顯示的功能依賴于航電系統(tǒng),該系統(tǒng)同樣需要劃分子系統(tǒng)來探索功能實現路徑.信息顯示功能需求只是飛控系統(tǒng)功能實現過程所派生的需求之一,可見它進一步完善了飛控系統(tǒng)的初始功能需求.

2 考慮安全性需求的飛控系統(tǒng)功能分析

飛控系統(tǒng)的功能除了滿足功能需求外,還要考慮安全性需求.為此,依據4754A中的安全性評估方法,分析飛控系統(tǒng)功能設計中滿足安全性需求的措施.

2.1 飛控系統(tǒng)的安全性評估

4754A文件提出民用飛機及系統(tǒng)的安全性評估過程主要包括4個階段:功能危害評估、初步飛機/系統(tǒng)安全性評估、飛機/系統(tǒng)安全性評估以及共因分析.圖3展示了安全評估過程與系統(tǒng)開發(fā)過程之間的關系[13].

圖3 安全性評估過程模型[13]

功能危害評估目的是檢查飛機和系統(tǒng)的功能,以識別潛在的功能故障并進行分類;初步安全性評估是對擬定架構進行檢查以確定造成功能危害的條件,并驗證所提議的架構可以滿足預期安全需求.與初步安全性評估不同,安全性評估是對實施建造后的飛機/系統(tǒng)進行評估,整合各種分析結果以驗證整體飛機/系統(tǒng)的安全性.最后進行共因分析,目的是建立各系統(tǒng)或部件之間的獨立性,避免系統(tǒng)相似性造成共因故障.

圖3中右側每一個系統(tǒng)層次設計結果得到以后,在左側安全性評估過程中進行檢查,并把失效條件和安全性需求返回系統(tǒng)開發(fā)過程,然后結合安全性需求進行功能需求、非功能需求和其他約束條件評估.這種反饋回路為復雜系統(tǒng)的開發(fā)建立安全性目標的同時,也為驗證實施是否滿足目標提供了渠道.從安全性評估過程中可知,飛機級安全性由各個系統(tǒng)安全性集成,因此應當對系統(tǒng)進行冗余度設計來滿足飛機級的安全性需求.

2.2 飛控系統(tǒng)的功能分析

首先,根據功能需求分析飛控系統(tǒng)的各個子系統(tǒng)應具備的功能.

(1) 傳感系統(tǒng).應具備操縱機構和控制面板等供駕駛員輸入指令,并能將機械信號轉換成電信號進行傳遞.

(2) 控制系統(tǒng).接收駕駛艙的電信號之后進行信號轉換、接收和發(fā)送,這需要執(zhí)行器控制電子系統(tǒng)(ACE),同時ACE還可以接收飛機外部系統(tǒng)信號數據為控制飛行提供參考.為保證飛行質量,應對駕駛員的控制信號進一步優(yōu)化,這需要飛行控制模塊(FCM)結合ACE采集的外部環(huán)境信號進行優(yōu)化計算,以獲得最優(yōu)的控制指令.

(3) 執(zhí)行系統(tǒng).將接收的控制指令轉換成動力,驅動舵面運動完成姿態(tài)控制.

其次,根據安全性需求完善飛控系統(tǒng)各個子系統(tǒng)功能.

(1) 傳感系統(tǒng)、控制系統(tǒng)和執(zhí)行系統(tǒng)應根據功能危害評估進行冗余度設計.

(2) 控制系統(tǒng)應具備一致性校驗功能,當校驗有誤時,駕駛員有足夠的反饋信息和權限控制飛機.

(3) ACE接收飛機外部信號數據,如大氣數據系統(tǒng)(ADS)、慣性參考系統(tǒng)(IRS)、全球著陸系統(tǒng)(GLS)來確認飛機的位置和姿態(tài);FCM與飛機其他子系統(tǒng),如航電系統(tǒng)、飛行管理系統(tǒng)和油門控制系統(tǒng)等交互,建立信息共享.

圖4將以上分析進行圖形化表達.其中,圖4(a)是飛控系統(tǒng)的正?？刂颇Ｊ?多臺ACE和多臺FCM的信號完全一致,最終由ACE輸送給遠程電子組件(REU)和動力控制組件(PCU)來控制舵面.當ACE監(jiān)測到飛機外部信號不一致時,飛控系統(tǒng)進入輔助模式,如圖4(b)所示,此時采用直接模式速率傳感器(DMRS)取代外部系統(tǒng)來監(jiān)測飛機的姿態(tài),DMRS也要進行冗余度配置.當FCM的輸出信號不一致時,控制模式將變成圖4(c)所示的直接模式,不再需要FCM進行優(yōu)化, 駕駛員的控制指令經過傳遞直接作用到REU上.

圖4 飛控系統(tǒng)的3種控制模式

3 基于功能方塊圖的飛控系統(tǒng)功能建模

為有效獲得可以實現功能的子系統(tǒng)或部件,有必要采用規(guī)范的方式進行功能表達,即進行功能建模.表1列出飛控系統(tǒng)功能模型中的符號及含義.

表1 飛控系統(tǒng)功能模型中的符號及含義

3.1 功能單元方塊圖的建模方法

文獻[20]中基于功能單元方塊圖提出4種功能模型,包括轉換功能、支撐功能、存儲功能和激勵功能,如圖5所示.其中,輸入、輸出均為向量,其元素可以代表不同的事、物.

圖5 4種功能及相應的方塊圖表達方式

對于復雜系統(tǒng)功,功能單元方塊圖的表達方式還需進一步明確.圖6以ACE將模擬信號轉變成數字信號的轉變功能為例,詳細展示建模規(guī)則.功能以符號F表達,F的下標TRF表示轉變功能類型,上標用于表示功能作用對象的特征,即模擬信號(A)到數字信號(D)的轉變(A→D);輸入和輸出向量的符號下標用IPT和OPT區(qū)分,上標表示信號來源以及屬性.

圖7 模式選擇的功能集成方塊圖

圖6 信號轉變的功能單元方塊圖

Fig.6 Function unit block diagram of signal transformation

γ

1

γ

2

η

1

η

2

3.2 基于功能集成方塊圖的飛控系統(tǒng)功能模型

基于功能集成方塊圖對飛控系統(tǒng)核心子系統(tǒng)ACE和FCM進行功能建模,鑒于冗余度設計,假設飛控系統(tǒng)中有x臺ACE、y臺FCM和z臺REU,分別對ACE和FCM進行功能描述.

ACE的主要功能包括:①根據FCM的控制模式,從駕駛艙指令、飛機姿態(tài)信息和外部環(huán)境信息中選擇傳遞信息,并將模擬信號轉變成數字信號,發(fā)送到FCM;②對y臺FCM的信號進行一致性校驗,為FCM進行模式選擇提供依據;③若y臺FCM信號一致,則根據FCM供電日期選擇其中一臺的信號進行傳輸;④將控制信號發(fā)送到REU從而控制舵面運動.

圖8 基于功能集成方塊圖的ACE功能模型

3）購物便利性對醫(yī)藥B2C平臺顧客忠誠度的影響值為 0.53。對于顧客而言，隨時足不出戶地購藥十分方便。同時，在醫(yī)藥B2C平臺網站上可以方便地尋找需要的藥品，通過提升訪問速度和搜索功能，可進一步滿足顧客的需求。在支付手段方面，醫(yī)藥B2C平臺網站也可以為顧客提供多種選擇。綜上，購物便利性的提升可以明顯提高顧客忠誠度。

圖9 基于功能集成方塊圖的FCM功能模型

從圖8中可以看出,當兩個方塊組合時,前一個方塊的輸出往往作為下一個方塊的輸入,這些量的下標用OPT/IPT表示.

FCM的主要功能包括:①對x臺ACE的信號進行一致性校驗,從而判斷采用正?？刂颇Ｊ竭€是輔助控制模式;②正常模式和復制模式下,對ACE發(fā)來的數字信號進行優(yōu)化;③y臺FCM的信號發(fā)送到ACE后回繞到FCM,FCM判斷繞回信號與發(fā)送的信號是否一致,若不一致就意味著FCM出現故障,則采用直接控制模式;④FCM與飛機的其他系統(tǒng)交互,例如FCM會把各模塊的信息發(fā)送給航電系統(tǒng),以起到顯示與告警的作用.

圖8和圖9采用輸入-輸出和方塊圖的形式描述復雜飛控系統(tǒng)的功能,有利于開發(fā)人員在設計功能架構階段匹配到合適的子系統(tǒng)或零部件供應商,并將其產品集成到所設計系統(tǒng)中實現需要的功能.匹配的結果可以是多種多樣的,這為子系統(tǒng)和零部件供應商提供了創(chuàng)新競爭的空間.

3.3 飛控系統(tǒng)功能模型實例驗證

圖10 輔助模型下飛控系統(tǒng)的功能模型

α=[1α1α2]=[1γ1η1γ2+γ1η2]

所以此時

α=[1 0 1]

圖10建立了輔助模式下飛控系統(tǒng)的功能模型,該功能模型實例展示了輔助模型下的信息選擇功能、信息傳遞功能和信息校驗功能.因此,基于功能方塊圖建模方法可以合理構建復雜系統(tǒng)的功能模型.

圖11總結了飛控系統(tǒng)的正向功能設計方法.黃色V框圖表示系統(tǒng)開發(fā)過程,藍色V框圖表示安全評估過程.首先,結合功能需求和初步安全性需求,規(guī)劃飛控系統(tǒng)的功能知識集.然后,進行飛控系統(tǒng)功能設計和結構設計,設計過程與集成過程進行迭代,并驗證集成架構是否滿足功能需求和安全性需求.最后,集成各個系統(tǒng)組成飛機架構并驗證是否滿足飛機級功能需求和安全性需求.

圖11 飛控系統(tǒng)正向功能設計雙V圖

4 結論

按照正向開發(fā)思路,對民用飛機的飛控系統(tǒng)進行基于模型的功能設計.功能設計以滿足功能需求為目標,同時考慮安全性需求.采用SysML需求模型進行功能需求建模,采用功能方塊圖進行功能建模.這種功能設計方法的優(yōu)點有:

(1) 按照正向開發(fā)的思路,以滿足功能需求為目標進行功能設計并同步進行安全性評估,有助于保證飛控系統(tǒng)設計的合理性.

(2) 基于模型的形式進行飛控系統(tǒng)功能需求和功能的表達,使復雜的設計信息清晰明確且具有邏輯性.

(3) 基于4種功能類型構建飛控系統(tǒng)的功能架構,這種規(guī)范化的功能表達方式有利于復雜功能的定義.

致謝感謝上海商用飛機系統(tǒng)工程科技創(chuàng)新中心基金支持.