基于工況/場(chǎng)景的飛機(jī)系統(tǒng)試驗(yàn)驗(yàn)證方法

袁聞起 /

(上海飛機(jī)設(shè)計(jì)研究院，上海201210)

0 引言

在現(xiàn)代民機(jī)研制過(guò)程中，機(jī)載系統(tǒng)特別是飛行控制和航電系統(tǒng)，其高度綜合和復(fù)雜的特點(diǎn)給試驗(yàn)驗(yàn)證工作帶來(lái)巨大的挑戰(zhàn)。在工程發(fā)展階段，需通過(guò)試驗(yàn)室試驗(yàn)盡早盡快地找出飛機(jī)系統(tǒng)存在的問(wèn)題，減少系統(tǒng)設(shè)計(jì)迭代更改，從而加快研制流程。同時(shí)，通過(guò)試驗(yàn)驗(yàn)證證明產(chǎn)品設(shè)計(jì)符合設(shè)計(jì)需求，減少機(jī)上試驗(yàn)工作量，節(jié)省成本。

結(jié)合型號(hào)試驗(yàn)實(shí)踐，該文給出了一種基于工況/場(chǎng)景的飛機(jī)系統(tǒng)試驗(yàn)驗(yàn)證方法，在系統(tǒng)綜合級(jí)聯(lián)試中通過(guò)定義各種飛機(jī)在正常和故障狀態(tài)下的工況，來(lái)確定試驗(yàn)過(guò)程，從而達(dá)到驗(yàn)證的目的。

1 工況/場(chǎng)景的來(lái)源

在民機(jī)系統(tǒng)研制按照SAE ARP4754A[1]雙“V”過(guò)程的前提下，飛機(jī)級(jí)、系統(tǒng)級(jí)和項(xiàng)目級(jí)都提出、繼承(捕獲)、分解或定義了各自的需求和功能，并對(duì)之進(jìn)行確認(rèn)和驗(yàn)證，上一級(jí)設(shè)計(jì)決策形成的結(jié)果會(huì)成為下一級(jí)的設(shè)計(jì)輸入。基于需求所對(duì)應(yīng)的工況/場(chǎng)景的驗(yàn)證方法一般不適用于較低級(jí)別的需求驗(yàn)證，譬如項(xiàng)目(元件)級(jí)的驗(yàn)證還是要根據(jù)上一級(jí)分解和捕獲來(lái)的功能和需求直接進(jìn)行試驗(yàn)測(cè)試，從而判斷該項(xiàng)目(元件)是否滿足各項(xiàng)設(shè)計(jì)需求，譬如性能指標(biāo)、功能、重量、環(huán)境要求和接口定義要求等,如圖1所示。

圖1 飛機(jī)系統(tǒng)研制過(guò)程分級(jí)

飛機(jī)系統(tǒng)根據(jù)飛機(jī)級(jí)的需求進(jìn)行的研制工作，會(huì)形成一系列設(shè)計(jì)結(jié)果，如設(shè)計(jì)圖紙、系統(tǒng)描述文件SDD(system description document)、功能接口定義FICD(functional interface control document)、機(jī)械接口定義MICD(mechanical interface control document)、電氣接口定義EICD(electrical interface control document)和一系列安全性分析報(bào)告等。傳統(tǒng)的做法是對(duì)系統(tǒng)按照上述一系列定義進(jìn)行測(cè)試，看系統(tǒng)表現(xiàn)出來(lái)的響應(yīng)是否滿足文件定義要求，以此為判據(jù)評(píng)判飛機(jī)系統(tǒng)是否通過(guò)。但用系統(tǒng)設(shè)計(jì)的結(jié)論和定義來(lái)作為系統(tǒng)設(shè)計(jì)是否滿足上級(jí)需求的判據(jù)很難從根本上全面發(fā)現(xiàn)飛機(jī)系統(tǒng)的設(shè)計(jì)問(wèn)題，或者證明設(shè)計(jì)沒(méi)有問(wèn)題。

對(duì)于飛機(jī)系統(tǒng)而言，進(jìn)行基于需求所存在的工況/場(chǎng)景的驗(yàn)證就顯得尤為重要了。就系統(tǒng)綜合級(jí)或飛機(jī)級(jí)的試驗(yàn)來(lái)說(shuō)，應(yīng)該通過(guò)模擬飛機(jī)的各種工況/場(chǎng)景，來(lái)判定系統(tǒng)在這些情形下的響應(yīng)是否滿足最初的需求，從而發(fā)現(xiàn)設(shè)計(jì)問(wèn)題。簡(jiǎn)單來(lái)說(shuō)就是最終飛機(jī)產(chǎn)品打算怎么用及用到什么程度，那么試驗(yàn)就怎么試，所有的工況都試了沒(méi)問(wèn)題，產(chǎn)品設(shè)計(jì)也就成功了。

2 工況/場(chǎng)景的分類和定義

試驗(yàn)室試驗(yàn)工況的定義在條件允許的情況下應(yīng)盡可能地覆蓋設(shè)計(jì)需求，即使在系統(tǒng)需求和功能定義還不是很完善的情況下，通過(guò)識(shí)別飛機(jī)存在的各種工況，也能夠較完整地覆蓋被驗(yàn)證的飛機(jī)系統(tǒng)，從而提高系統(tǒng)在試驗(yàn)室試驗(yàn)中的問(wèn)題發(fā)現(xiàn)率。

表1 飛機(jī)系統(tǒng)工況/場(chǎng)景分類

如表1所示，首先對(duì)系統(tǒng)在機(jī)上的工況進(jìn)行分類，包括正常工況、地面維護(hù)工況、人為操作失誤和故障工況。民機(jī)的正常工況一般可分為從牽引滑行到著陸九個(gè)階段，同時(shí)從系統(tǒng)維修維護(hù)需求考慮，地面維護(hù)工況也是必不可少的。其次人為因素導(dǎo)致的錯(cuò)誤操作也作為單獨(dú)一類，分為飛行員/機(jī)組操作失誤和地面維護(hù)人員/機(jī)務(wù)操作失誤。系統(tǒng)故障作為系統(tǒng)驗(yàn)證中較多的一種工況被單獨(dú)分為一類，故障包括失效和無(wú)指令動(dòng)作，及其他系統(tǒng)帶來(lái)的故障。

對(duì)于飛機(jī)系統(tǒng)來(lái)說(shuō)，工況/場(chǎng)景化的驗(yàn)證實(shí)際上屬于“黑匣”驗(yàn)證，即不需要知道系統(tǒng)內(nèi)部架構(gòu)、具體邏輯、線性關(guān)系和信號(hào)鏈路，只要在被設(shè)定的工況下系統(tǒng)地響應(yīng)符合預(yù)期就可以判定合格。工況可以是一個(gè)點(diǎn)，比如爬升階段收上起落架或襟縫翼，也可以是一段過(guò)程，譬如整個(gè)正常飛行剖面。但“黑匣”也是相對(duì)的，具體工況還是要根據(jù)被試系統(tǒng)的功能和需求來(lái)設(shè)定，特別是在設(shè)定人為操作時(shí)的工況，還要了解系統(tǒng)的操作界面。飛機(jī)起落架控制系統(tǒng)試驗(yàn)驗(yàn)證工況的初步分類和定義如圖2所示。

圖2 起落架控制系統(tǒng)工況分類

3 故障工況

首先要確定故障點(diǎn)，譬如某個(gè)系統(tǒng)設(shè)備、某條線路等。一般先想到的是根據(jù)系統(tǒng)的功能危險(xiǎn)性評(píng)估FHA(functional hazard assessment)、系統(tǒng)安全性評(píng)估SSA(system safety assessment)特別是根據(jù)故障樹分析FTA(fault tree analysis)來(lái)確定系統(tǒng)自身的故障源。但系統(tǒng)危險(xiǎn)性評(píng)估只針對(duì)影響飛機(jī)飛行安全的系統(tǒng)功能進(jìn)行分析，按照功能、子功能最后到元件級(jí)逐級(jí)分解并不能覆蓋全部的系統(tǒng)故障工況，同時(shí)對(duì)于其他系統(tǒng)帶來(lái)的故障也考慮不夠。

所以對(duì)于系統(tǒng)自身故障，考慮試驗(yàn)室試驗(yàn)的實(shí)際情況，在不造成系統(tǒng)損壞和保障試驗(yàn)人員安全的前提下，按照系統(tǒng)的組成，每一種可以實(shí)現(xiàn)的故障都要納入試驗(yàn)范疇，做到地毯式排查沒(méi)有遺漏，即使是相同件的故障也都要模擬。在注入失效故障的同時(shí)考慮其是否存在無(wú)指令動(dòng)作故障，如有，則也需要進(jìn)行試驗(yàn)。

對(duì)于外系統(tǒng)帶來(lái)的故障工況，通過(guò)對(duì)系統(tǒng)交聯(lián)和外系統(tǒng)的架構(gòu)，找出從外系統(tǒng)元件到連接線纜到信號(hào)鏈路上一系列會(huì)影響到自身系統(tǒng)的各個(gè)環(huán)節(jié)的外系統(tǒng)故障，都需模擬。即使各系統(tǒng)重復(fù)了，可在試驗(yàn)實(shí)施階段再合并同類項(xiàng)，以避免重復(fù)試驗(yàn)。

其次是在故障發(fā)生時(shí)刻，可定義在系統(tǒng)正工作時(shí)故障，也可以在系統(tǒng)工作前注入故障，系統(tǒng)在某個(gè)正常工況下運(yùn)行并記錄故障發(fā)生后的系統(tǒng)響應(yīng)、告警和維護(hù)記錄，同時(shí)對(duì)飛機(jī)運(yùn)行影響進(jìn)行評(píng)估，看其是否滿足設(shè)計(jì)需求。一般要求“一次故障正常、二次故障安全”，同時(shí)有相對(duì)應(yīng)的合適的告警和維護(hù)記錄。對(duì)于二次故障的選擇，不可能也沒(méi)有必要在一個(gè)系統(tǒng)內(nèi)進(jìn)行排列組合式的窮舉，還是要根據(jù)具體的系統(tǒng)架構(gòu)進(jìn)行故障疊加，來(lái)評(píng)估影響。再有就是要考慮區(qū)域性故障和針對(duì)電子軟硬件的共模故障。

最后是故障的恢復(fù)，民機(jī)一般要求故障解除后解除告警，所以恢復(fù)也作為故障工況的一項(xiàng)內(nèi)容，一般的故障工況發(fā)生過(guò)程可分為“故障發(fā)生” “系統(tǒng)動(dòng)作”和“故障恢復(fù)”三個(gè)階段，都定義清楚了，完整的試驗(yàn)程序也就確定了。表2以起落架控制系統(tǒng)為例，列舉了系統(tǒng)自身及其他系統(tǒng)帶來(lái)的故障工況。

表2 起落架控制系統(tǒng)故障工況

4 試驗(yàn)構(gòu)型和過(guò)程

一個(gè)完整而清晰的試驗(yàn)必須有明確的構(gòu)型定義(包括參試系統(tǒng)的范圍、軟硬件的版本和被試系統(tǒng)當(dāng)前的功能基線)，詳盡的可重復(fù)的試驗(yàn)步驟以及準(zhǔn)確的試驗(yàn)記錄(測(cè)試數(shù)據(jù)等)。在研發(fā)過(guò)程中試驗(yàn)件特別是電子軟硬件在不同的階段其成熟度不盡相同，功能完整性也是逐步到位的。那么在進(jìn)行試驗(yàn)前必須確認(rèn)當(dāng)前軟硬件構(gòu)型下系統(tǒng)的功能，如圖3所示。

圖3 試驗(yàn)構(gòu)型

對(duì)于系統(tǒng)綜合級(jí)試驗(yàn)驗(yàn)證，可以根據(jù)前一級(jí)譬如系統(tǒng)級(jí)的試驗(yàn)結(jié)果來(lái)確定被試系統(tǒng)當(dāng)前的功能，或通過(guò)產(chǎn)品或系統(tǒng)的驗(yàn)收試驗(yàn)ATP(acceptance test procedures)，來(lái)確定其當(dāng)前擁有的功能，從而確定在當(dāng)前功能基線下可進(jìn)行的工況試驗(yàn)。需要澄清的是產(chǎn)品驗(yàn)收試驗(yàn)是產(chǎn)品的制造符合性驗(yàn)證過(guò)程，即所生產(chǎn)的產(chǎn)品是否與設(shè)計(jì)圖紙或設(shè)計(jì)文檔一致，屬于“白盒驗(yàn)證”。有時(shí)在驗(yàn)收試驗(yàn)時(shí)也能發(fā)現(xiàn)設(shè)計(jì)缺陷，但大部分是低層次問(wèn)題或設(shè)計(jì)上的低級(jí)錯(cuò)誤。

在明確當(dāng)前被試系統(tǒng)的各項(xiàng)功能后，需根據(jù)對(duì)應(yīng)的工況來(lái)設(shè)定各個(gè)參試系統(tǒng)的狀態(tài)，操作參試系統(tǒng)進(jìn)行某個(gè)狀態(tài)點(diǎn)或者某段過(guò)程的試驗(yàn)，并通過(guò)系統(tǒng)的各種響應(yīng)來(lái)進(jìn)行評(píng)判。有時(shí)在飛機(jī)級(jí)的試驗(yàn)中需要對(duì)飛機(jī)狀態(tài)或飛行品質(zhì)進(jìn)行評(píng)估，那就需要建立飛機(jī)飛行仿真模型來(lái)滿足驗(yàn)證要求。

5 結(jié)論

本文定義了一種飛機(jī)系統(tǒng)在試驗(yàn)室系統(tǒng)綜合或全機(jī)級(jí)環(huán)境下進(jìn)行設(shè)計(jì)驗(yàn)證的方法和過(guò)程。通過(guò)對(duì)工況/場(chǎng)景的定義，根據(jù)功能基線，確定工況發(fā)生的階段，確定完成此工況需參與的系統(tǒng)范圍和構(gòu)型，從而形成具體的試驗(yàn)步驟，進(jìn)而通過(guò)系統(tǒng)響應(yīng)來(lái)判斷系統(tǒng)的設(shè)計(jì)是否滿足上一級(jí)需求。