薛鄹濤 肖 剛

(上海交通大學(xué)，上海 200240)

0 引言

回顧某民機(jī)研制過程，發(fā)現(xiàn)在機(jī)組告警系統(tǒng)設(shè)計前期遇到了告警需求確認(rèn)手段缺乏、需求確認(rèn)不充分的困難，因此迫切需要豐富機(jī)組告警系統(tǒng)設(shè)計需求確認(rèn)手段，提高設(shè)計效率，降低后期設(shè)計更改的風(fēng)險?；谀Ｐ偷南到y(tǒng)工程方法(Model-Based Systems Engineering，簡稱MBSE)能確保在項目前期實現(xiàn)需求捕獲與需求確認(rèn)，減少在項目后期進(jìn)行設(shè)計更改及相應(yīng)的驗證等工作，避免巨額工程更改費用。

針對目前某型號告警需求捕獲不充分的問題，本研究首先基于ARP 4754A[1]，ARP 4761[2]對告警必要性和重要性進(jìn)行了分析，得到了告警信息的特征信息[3-4]，然后基于已有的特征信息與型號研制經(jīng)驗搭建了告警需求數(shù)據(jù)庫，利用基于MBSE建立的液壓系統(tǒng)功能運(yùn)行模型[5-8]，根據(jù)告警需求捕獲準(zhǔn)則，對告警故障底事件進(jìn)行綜合模擬，自動化分析系統(tǒng)失效模式[9-11]，通過模型間映射關(guān)系得到需要告警的失效模式，進(jìn)而形成液壓系統(tǒng)告警需求捕獲方案的分析方法。

1 告警消息與告警需求分析

在飛機(jī)多告警成員系統(tǒng)集成的背景下，有必要確立合理的告警信息設(shè)計準(zhǔn)則，捕獲需要產(chǎn)生告警的異常狀態(tài)或者事件，即告警需求。告警需求為判決告警信息必要性和重要性的重要來源，準(zhǔn)確捕獲告警需求的先決條件是建立對告警消息所表征信息類型的系統(tǒng)性理解。

1.1 告警消息分析

通過飛機(jī)典型告警成員系統(tǒng)的告警信息類型可知，告警的關(guān)注對象為系統(tǒng)的功能/性能/物理部件異常狀態(tài)，即失效情況，因此后續(xù)告警需求的捕獲方法將以系統(tǒng)內(nèi)的失效模式作為主要分析對象。

除了明確告警消息類型，告警消息還將根據(jù)實際飛行狀態(tài)進(jìn)行觸發(fā)/抑制，因此告警觸發(fā)條件也是告警需求捕獲過程中需要考慮的因素之一。選擇通過告警邏輯方程解析告警的產(chǎn)生/抑制條件。圖1中說明了告警邏輯方程的組成元素可劃分為四個部分：主干信息、背景信息、控制信息、抑制信息。

圖1 告警觸發(fā)條件

主干信息包括與飛行過程中主要任務(wù)實現(xiàn)相關(guān)的錯誤的參數(shù)/狀態(tài)信息，即上一小節(jié)所分析的告警關(guān)注對象；背景信息包括與該告警/失效相關(guān)的其他系統(tǒng)狀態(tài)信息/外界場景信息以及飛行階段信息；控制信息包括由駕駛艙設(shè)置的系統(tǒng)組件/部件的工作狀態(tài)，以及系統(tǒng)構(gòu)型狀態(tài)/運(yùn)行模式；抑制信息則為通過失效/告警級聯(lián)關(guān)系或者包含關(guān)系推導(dǎo)出的，與本告警相關(guān)的其他告警信息的觸發(fā)狀態(tài)。

1.2 告警需求分析

通過分析告警消息類型和告警觸發(fā)/抑制條件，可知告警主要關(guān)注較高層級/較重要的異常情況，并考慮飛行員的情景意識因素、外部環(huán)境因素等來決定是否進(jìn)行告警。上述因素共同決定了告警的必要性，可進(jìn)一步歸納為如下幾種類型的告警需求：失效的直接和間接的安全性影響、飛行員的情景意識需求、外部環(huán)境等。除此之外，由于飛機(jī)要滿足適航規(guī)章，因此從安全性角度考量，部分適航條款覆蓋了告警需求，也可歸納至告警需求的必要性集合中。告警需求與告警邏輯方程各個組分的映射關(guān)系如圖2所示。

圖2 告警需求與告警邏輯方程映射關(guān)系

2 告警需求捕獲方法

告警需求捕獲的原理是通過對行業(yè)適航標(biāo)準(zhǔn)、飛行員情景意識、失效模式安全性影響等維度進(jìn)行綜合分析，提取飛行過程中有必要告知飛行員的情景模式。

2.1 告警需求庫構(gòu)建

告警需求數(shù)據(jù)庫中存儲了告警必要性有關(guān)的特征信息，包括適航條款、飛行員情景意識等，基于行業(yè)規(guī)則或者實際經(jīng)驗，為告警需求的提取進(jìn)行表征。

1)適航條款

適航條款是決定告警的頂層約束，與告警必要性相關(guān)的適航條款將以模型的形式存儲在數(shù)據(jù)庫中，并為下文的告警相關(guān)性建立提供支持。

2)情景意識需求

告警信息與飛行員響應(yīng)緊密耦合，是飛機(jī)向飛行員傳遞信息的重要接口，其有助于飛行員建立情景意識，為飛行員對當(dāng)前飛機(jī)狀態(tài)感知、決策判斷等行為提供指導(dǎo)。因此，從飛行員的情景意識角度可以反向推測告警的必要性。

3)飛行員處理措施

飛行員處理措施模型對FCOM中已有的對于告警或異常情況的處理行為進(jìn)行記錄，并在tagged value中標(biāo)注了處理措施的緊急程度和內(nèi)容等信息。

2.2 告警需求捕獲準(zhǔn)則

告警需求產(chǎn)生的源頭為飛機(jī)告警成員系統(tǒng)內(nèi)的異常狀態(tài)，聚焦于失效模式。因此，告警捕獲規(guī)則旨在建立系統(tǒng)模型內(nèi)潛在失效模式模型與告警需求之間的相關(guān)性。

從告警必要性分析和告警等級分析中的需求特征元素可知，主要從適航條款、情景意識、安全性影響、其他(包括對飛機(jī)結(jié)構(gòu)、氣動、環(huán)境的影響的分析)來建立告警需求與系統(tǒng)模型之間的映射。

2.3 系統(tǒng)模型搭建

在告警需求映射規(guī)則建立的基礎(chǔ)上，根據(jù)告警成員系統(tǒng)的功能組成、物理架構(gòu)和安全性因素，構(gòu)建系統(tǒng)模型以提供用于告警需求分析的原始素材。如圖3所示，系統(tǒng)模型的主要構(gòu)成部分包括功能架構(gòu)、物理架構(gòu)、失效模式。

圖3 系統(tǒng)模型組成結(jié)構(gòu)

不同功能架構(gòu)元素通過功能參數(shù)建立上下游邏輯關(guān)系。如圖4所示，物理部件對功能的影響通過物理部件模型(黃色)與功能參數(shù)的映射關(guān)系體現(xiàn)，外界功能對功能的影響通過外界功能模型(粉色)中的參數(shù)與功能模型中參數(shù)的映射關(guān)系體現(xiàn)，進(jìn)而，功能運(yùn)行過程模型鏈條的輸出結(jié)果傳遞給系統(tǒng)級功能模型(粉色)，并以其為媒介進(jìn)一步向下合并至其他系統(tǒng)的功能運(yùn)行框架中。

圖4 系統(tǒng)功能框架元素關(guān)系分析

2.4 告警需求捕獲

在告警需求關(guān)聯(lián)規(guī)則建立與系統(tǒng)模型建立的基礎(chǔ)上，將開展告警需求捕獲。告警需求捕獲包括以下三個子步驟：建立告警需求的模型，建立模型間的映射關(guān)系，進(jìn)而篩選需要告警的情況。

1)告警需求模型建立

首先根據(jù)需求庫中的告警需求要素建立模型，包括適航條款需求模型、飛行員情景意識模型以及飛行員操作模型。

2)建立模型間的映射關(guān)系

一方面，將告警需求模型與系統(tǒng)內(nèi)的失效模式模型建立映射關(guān)系，如圖5所示，包括建立失效模型與適航條款的映射關(guān)系、通告與非通告失效模式間的映射關(guān)系、失效與情景意識需求的映射關(guān)系、失效與飛行員操作的映射關(guān)系。

圖5 失效模式與告警需求模型映射關(guān)系

另一方面，如圖6所示，建立失效模型與物理部件、功能參數(shù)模型之間的關(guān)聯(lián)性，用于表現(xiàn)和推導(dǎo)失效的安全性影響。

3)篩選需要告警的情況

以系統(tǒng)的失效模型為分析對象，基于告警需求捕獲準(zhǔn)則，搜索存在上述映射關(guān)系的對象，以及其級聯(lián)效應(yīng)導(dǎo)致嚴(yán)重失效的對象。通過以下兩方面對失效模式的安全性影響進(jìn)行精細(xì)化：圖7說明了一方面分析該失效的直接危害性，另一方面推導(dǎo)該失效可能導(dǎo)致的潛在危害，進(jìn)一步分解為本系統(tǒng)內(nèi)的安全性影響和外系統(tǒng)內(nèi)的安全性影響。

圖6 失效與其他模型的映射關(guān)系匯總

圖7 失效的間接危害性搜索框架

2.5 告警等級判定

告警等級判定考量告警的緊急程度和飛行員響應(yīng)的必要性。根據(jù)適航標(biāo)準(zhǔn)中對于告警等級的定義，通過飛行員知曉的緊急程度、處理措施的緊急程度和安全性影響等級，對告警等級進(jìn)行約束。

2.6 告警需求確認(rèn)

在基于模型分析系統(tǒng)失效情況，得到潛在告警需求的基礎(chǔ)上，對所導(dǎo)出的表格內(nèi)容進(jìn)行核查，以對告警需求進(jìn)行確認(rèn)。

核查方式主要包括以下兩個方面：

1)表格內(nèi)部信息的正確性。

2)根據(jù)失效分析得到的告警和已經(jīng)存在的告警的一致性。

3 液壓系統(tǒng)案例驗證

3.1 液壓系統(tǒng)

液壓系統(tǒng)由發(fā)動機(jī)驅(qū)動汞(EDP)、電動汞(EMP)、能源轉(zhuǎn)換裝置(PTU)、液壓油箱及油濾組件和液壓系統(tǒng)綜合控制單元(HLRM)等組成。飛機(jī)液壓系統(tǒng)采用三套相互獨立的1#、2#、3#分系統(tǒng)，其主要功能是為飛機(jī)液壓用戶提供液壓能源。系統(tǒng)與外界交互的參數(shù)為液壓油，與該系統(tǒng)交互的上游系統(tǒng)包括電源系統(tǒng)、動力系統(tǒng)，下游系統(tǒng)包括主飛行控制系統(tǒng)、高升力控制系統(tǒng)、起落架控制系統(tǒng)等。仿真驗證選取了飛機(jī)液壓系統(tǒng)為告警需求的分析對象，對系統(tǒng)功能架構(gòu)、物理架構(gòu)、安全性模型進(jìn)行了構(gòu)建，并在此基礎(chǔ)上開展了告警需求分析。

3.2 液壓系統(tǒng)模型搭建

根據(jù)飛機(jī)級功能列出液壓系統(tǒng)進(jìn)行系統(tǒng)級功能清單，并對系統(tǒng)級功能清單進(jìn)行分類梳理，以為用戶提供恒壓液壓能源為核心建立主干功能框架，并將各輔助功能合并到框架中。

3.3 液壓系統(tǒng)告警需求搜索結(jié)果

根據(jù)失效模式與適航條款需求維度，飛行員情景意識需求維度以及安全性維度的功能架構(gòu)、故障樹架構(gòu)的交聯(lián)關(guān)系，液壓系統(tǒng)告警需求的搜索結(jié)果如圖8所示。

進(jìn)而對比分析告警需求捕獲結(jié)果和已有告警信息的分布情況可知，通過軟件分析平臺開展告警需求捕獲，發(fā)現(xiàn)了47個告警需求，其中每個告警需求均存在相對應(yīng)的失效模式，并且同樣存在相對應(yīng)的告警信息，從而驗證了分析方法的正確性。

圖8 液壓系統(tǒng)告警需求搜索結(jié)果

4 結(jié)論

本文針對當(dāng)前在民機(jī)告警系統(tǒng)前期設(shè)計中遇到的告警需求捕獲不充分的困難，提出將模型和告警需求捕獲方法相集成，并通過液壓系統(tǒng)案例分析演示了告警需求捕獲結(jié)果。

告警需求數(shù)據(jù)庫和告警需求捕獲準(zhǔn)則的建立是基于工程實際經(jīng)驗與相關(guān)適航驗證所得到的，其如何優(yōu)化與完善仍然值得研究。