基于MBSE的民用飛機功能架構設計方法

梅芊， 黃丹,*， 盧藝

(1. 上海交通大學航空航天學院, 上海 200240； 2. 上海交通大學電子信息與電氣工程學院, 上海 200240)

民機系統是一個涉及多學科，多領域的高度復雜系統[1]。傳統的民機功能需求分析是基于文檔管理的，由設計師人工鏈接設計結果與需求之間的關系，如果需求沒有得到滿足則需要重新返工，迭代開發時間長，成本高昂[2]。

2007年，國際系統工程協會(International Council on Systems Engineering, INCOSE)給出了MBSE的定義[3]：基于模型的系統工程(Model-Based Systems Engineering，MBSE)理論用于支持系統需求捕獲、設計、分析和驗證活動，這些活動從概念設計階段開始，一直延續至整個系統開發及后續生命周期階段[4]。

近年來，MBSE理論在系統工程領域得到越來越廣泛的關注和應用。美國國家航空航天局(NASA)、空客和波音均已在多個項目中成功應用了MBSE方法[5]。IBM公司基于MBSE方法開發出載有需求分析模塊的Rhapsody軟件，得到廣泛應用[6]。MEL (Michigan Exploration Lab)實驗室成功使用MBSE和SysML對標準立方體衛星進行建模，并應用于實際的立方體衛星任務中[7]。Perez[8]將MBSE理論成功應用到風險信息設計中。Fusaro等[9]基于MBSE開發了有效的超高音速軌道交通系統。國內張紹杰等[5]結合民機設計通用規范，提出了一種基于模型的系統工程對飛機安全關鍵系統進行分析和設計的方法。傅有光等[10]基于MBSE理論在達索V6的環境平臺驗證了兩型雷達研發的完整過程，全面實現了由傳統基于文檔的研發模式向基于模型的MBSE研發模式轉變。

本文引入MBSE理論開展民用飛機設計方法研究。研究起始于基于用戶需求的自頂向下的民機系統產品頂層用例，基于關鍵子對象用例展開“需求—功能分析”，進一步構建可進行邏輯仿真的黑盒狀態機。在黑盒功能架構的基礎上驅動基于人機交互系統模型的民機功能架構“正向設計”過程。對黑盒進行解白，基于建模分析和數值仿真結果，構建實現相關飛機級需求的系統功能白盒架構的“正向設計”。研究表明基于MBSE的民用飛機功能架構設計方法可以充分保證需求分析和功能架構設計的緊密結合。

1 MBSE理論概述與民機系統功能需求分析實例

本文展開基于MBSE的民機系統功能需求分析工作。從用例出發，進行MBSE方法和SysML模型的實例分析。

1.1 MBSE方法概述

Harmony SE(Harmony for Systems Engineering)是MBSE方法中的一種。Harmony SE 的系統工程工作流是增量迭代式的周期活動流，它可分為需求分析、系統功能分析和設計綜合3個設計階段：

1) 需求分析[11]。此階段是將初始用戶需求轉化為系統需求初稿，同時定義系統用例詳細描述系統的行為。

2) 系統功能分析[12]。此階段的重點是把系統功能性需求轉化為一個連貫的系統功能描述。該階段將系統功能性需求轉化為一個可執行模型，通過3個SysML圖形(活動圖、順序圖、狀態機)來展現用例模型的內容。

3) 設計綜合[13]。此階段分為2個大的子階段：架構分析與架構設計階段。架構分析階段是通過一系列的系統評估分析, 確定最佳的解決方案。架構設計階段是分配功能性和非功能性需求到架構結構中，將系統功能分析階段的“黑盒”模型逐漸轉變為“白盒”模型。

圖1為Rational 集成系統開發流程 Harmony圖。V模型的左邊是在設計前期，模型自頂向下推動后續設計的進展，V模型的右邊是在設計后期自底向上對系統進行驗證與測試[14]。

圖1 Rational 集成系統開發流程 Harmony圖Fig.1 Harmony diagram of Rational integrated system development process

1.2 基于用例的民機飛機級需求分析

MBSE方法從導入用戶的原始需求出發，形成系統頂層用例模型[15]。隨后對系統頂層需求進行捕獲和分解得到系統子用例。國際民用航空組織(the International Civil Aviation Organization, ICAO)年度安全性報告顯示[16]，最后進近著陸階段是事故率高發時期。圖2為民機系統最后進近著陸場景頂層用例模型。圖中，矩形表示系統邊界，系統內部橢圓表示系統具有的一個功能即用例，“人形”圖標表示系統與外界的交互。控制飛機完成最后進近著陸飛行任務，其中用例為完成最后進近著陸任務，外部使用者為飛機本身。民機系統可以接受通信導航信息，用例為接受通信信息，外部使用者為地面站。飛機系統可以接受執行控制操作，用例為執行控制操作，外部使用者為飛行員。

在完成最后進近著陸任務、接受通信信息和執行控制操作3個用例中，完成最后進近著陸任務是用戶基于典型場景對飛機系統提出的首要需要，即完成最后進近著陸任務的顆粒度最大，優先級最高。對于優先級高的用例繼續分解細分，可分為完成起始進近，完成五邊進近，完成著陸或復飛3個二級子用例如圖3所示。

圖4將事故率最高的著陸或復飛子用例進一步劃分為3層子用例，包括調定速度、調整高度、著陸滑行和復飛4個三級子用例。

圖2 民機系統最后進近著陸場景頂層用例模型Fig.2 Top-level use case model of civil aircraft system in final approach and landing scenario

圖3 民機系統二級子用例Fig.3 Second-level sub-use case of civil aircraft system

圖4 民機系統三級子用例Fig.4 Third-level sub-use case of civil aircraft system

1.3 基于流圖的系統黑盒功能架構辨識

在功能分析階段，形成能描述系統功能及其相互影響的一系列模型，即把在前面需求分析階段確認的用例翻譯成一個可執行模型。模型和相關需求由模型的執行來驗證，主要包括活動圖、順序圖和狀態機。其中活動圖用于規定功能之間的邏輯關系，描述工作流或是分解執行流到一系列的活動和子活動中的運算法則。圖5為最后進近著陸過程的黑盒活動圖[17]。

由圖5的最后進近著陸過程黑盒活動圖，抽象出調定速度順序圖如圖6所示。其他活動的順序圖也可同理得到此處不再贅述。順序圖是由伴隨角色和模塊的垂直生命線，以及這些實體在一段時期內所形成的有順序的系列信息構成[18]。順序圖可以清晰地展現出系統與外界的交互內容，在順序圖基礎上可以產生系統功能的基本操作、交互事件以及接口等。

圖5 最后進近著陸過程黑盒活動圖[17]Fig.5 Black box activity diagram of final approach and landing process[17]

1.4 基于接口的系統級功能需求捕獲

匯總以上具體用例中得到的需求分析，通過將相似需求的功能進行歸類，得到民機子系統劃分表，如表1所示。

1.5 基于MBSE仿真的飛機級需求確認

1.5.1 基于用例——需求矩陣的需求完整性確認

本節將對1.2～1.4節得到的民機系統最后進近著陸過程的需求進行追溯和確認。需求追溯的過程是檢查設計的系統是否滿足用戶需要，Rhapsody軟件中gateway插件可以實現需求的追溯[19]。圖7為Rhapsody需求確認矩陣，可以將用例和需求進行關聯，確認提取的功能需求是滿足用戶原始需要的。

圖6 調定速度用例順序圖Fig.6 Sequence diagram of set speed use case

具體功能子系統監控速度監控高度監控下降率接受指令報告飛行狀態信息監控子系統調整速度保持速度剎車慢車反推油門控制子系統調整滾轉平衡調整滾轉角調節下降率保持下降率復飛舵面調節子系統襟翼收放襟翼系統感知飛行狀態信息沿下滑道下滑對準跑道生成預測航跡調定速度調整下降率指令計算子系統

圖7中，橫軸是民機系統的系統級功能需求，縱軸是用戶原始需求。在需求確認矩陣中，添加能滿足用戶需求的對應系統級功能需求與用戶需求之間的關系，圖中展示的4條用戶需求：完成最后進近著陸任務、接受通信信息、執行控制操作與飛行安全管理均被關聯。表明設計的系統是滿足用戶原始需求的，需求得到追溯。

圖7 需求確認矩陣Fig.7 Requirement confirmation matrix

1.5.2 基于黑盒狀態機仿真的飛機級需求正確性確認

使用Rhapsody軟件繪制民機系統的狀態機圖如圖8所示[11]。狀態機描述了系統的狀態行為、分析活動圖、順序圖以及列出的子系統劃分表，得到系統的狀態變換描述。首先民機通信系統收到最后進近著陸指令，經指令計算系統計算，飛機沿下滑道下滑。飛機同時發出調整速度、調下降率和調高的指令。接下來分別進入相應的子系統執行系統功能直至飛行任務完成。

圖8 最后進近著陸過程狀態機圖[11]Fig.8 State machine diagram in final approach and landing process[11]

狀態機的運行結果是檢驗系統設計是否符合需求的重要手段。在狀態機模型中，紅色方框代表外部觸發事件，當且僅當觸發事件發生時，狀態機才會向下執行。黃色方框([me->is])代表不同的任務場景，狀態機執行到此處時，通過系統不同場景的選擇執行不同支路。藍色的矩形(如圖8中的Drive_Steer_Engine to pilots)表示外部系統參與的事件，即僅當外部系統作用時才會觸發。粉色框圖代表系統當前所處的狀態。如圖8所示的狀態機中，觸發事件Instruction生成后，狀態機即向下執行，當狀態機執行到分支場景時，將通過飛行狀態判斷執行相應支路。圖8中系統進入著陸過程的剎車與反推階段，最終完成典型飛行場景任務流程。功能邏輯設計合理，用戶期望的飛機完成最后進近著陸典型飛行場景的需求得以完整實現。

2 基于人機交互系統建模的民機功能白盒架構設計

設計綜合的目標是整合功能分析階段的模型元素, 設計系統架構[11]。由于本文選取的機型Boeing 747系統架構已成熟，因此在設計綜合階段主要的工作是對已形成的功能進行分析，對需求進行追溯與確認工作，將系統功能分析階段的“黑盒”模型逐漸轉變為“白盒”模型。

2.1 基于認知架構的人機交互系統開發

本節基于Harmony SE的民用飛機功能架構的“正向設計”過程，搭建基于認知架構的人機系統模型驗證功能設計過程面向功能需求的可追溯性與合理性。開發人機系統的直接目的是根據各種機型以及人機環參數下的多種飛行條件快速實現基于各種飛行場景的飛行任務。人機交互系統快速自動產生的飛行數據經與在高仿真駕駛艙中真實機組執行相同的飛行任務產生的飛行數據的比較，經驗證是可靠且全面的。人機交互系統可以用于描述在各種飛行條件下飛行任務與機組干預、工作負荷分配和異常事件的處置程序等因素之間的動態關系與適應性。

人機交互系統中的飛機模型基于六自由度飛機模型搭建。飛機在空中的運動可看成具有六自由度的剛體，其中包括以牛頓第二定律為基礎的3個平動向量和以歐拉方程為基礎的3個轉動向量。在仿真中，基于波音747-400系列飛機動力學模型[20]的機身參數、氣動力系數和氣動力矩系數等相關參數進行實驗。相關飛機參數的設置如表2～表4所示。表3中，CL0、CL_α、CL_adot、CL_q、CL_de分別為零升系數、升力線斜率、升力對迎角變化率的導數、升力對俯仰角速度的導數和升力對升降舵偏角的導數，CDo和CD_α分別為零升阻力系數和阻力對迎角變化率的導數，側力系數CY_beta、CY_p和CY_dr分別為側力對側滑角的導數、側力對滾轉角速度的導數和側力對方向舵偏角的導數。表4中，Cl_r為滾轉力矩系數對偏航角速度的導數;CN_r為偏航(方向)力矩系數對無量綱偏航角速度的導數。

系統中的模擬飛行員認知模型可分為3個模塊：飛行狀態信息獲取、決策和控制[21]。

1) 飛行狀態信息獲取模塊：指飛行員的情景意識，即在飛行中對周圍環境信息以及飛行動態的即時感知過程。

通過串行自終止搜索模型(SSTS)[22]得到N個儀器的搜索時間ST與N成正比：

表2 波音747-400機身參數Table 2 Boeing 747-400 aircraft parameters

表3 波音747-400氣動力系數Table 3 Boeing 747-400 aerodynamic coefficient

表4 波音747-400氣動力矩系數Table 4 Boeing 747-400 aerodynamic moment coefficient

ST=ap+bN

(1)

式中：ap為在一個信息搜索過程中的固有時間；b為單個儀器的搜索時間，它隨著儀器的不同而變化。在此飛行員模型中，定義變量ST等于在信息獲取階段的認知時延。

2) 決策模塊：指飛行員獲得信息感知模塊得到的信息后，根據飛行經驗等對目前的飛行狀況做出評估與預測，并生成一組可執行的預期操作程序。

反應時間可以由Hick-Hyman-law 定理[23]測量，它與該模塊中包含的信息量成正比：

RT=a+bH

(2)

式中：a為與不確定性降低無關的時延總和；H是由式(3)計算出的平均信息量：

(3)

其中：Pi為在飛行中第i個信息出現的概率，所有信息出現的概率總和為1。

3) 控制模塊：指飛行員在決策模塊得到一組預期的操作程序后，執行程序的結果。通常控制模塊包括油門的加減、升降舵的偏轉和起落架收放等動作。

控制模塊的時延與操作精度的關系可以用速度-精度操作特性(SAOC)[24]表示：

(4)

式中：p(true)+p(false)=1，操作精度用隨機變量的形式表示;Tdelay為控制模塊的時延。若設升降舵操作精度為99%，可得

δeac=δeexrandom(0.99,1.01)

(5)

其中：δeac為升降舵的實際操作量；δeex為升降舵的期望操作量。模擬飛行員認知過程模型如圖9所示。結合飛機六自由度模型實現人機交互系統開發平臺。

圖9 模擬飛行員模型框架Fig.9 Simulated pilot model framework

人機交互系統采用MATLAB/Simulink和C#混合編程方法搭建。其中在MATLAB/Simulink中實現飛機的非線性動力學模型，該模型會根據舵面和油門的控制量輸入解算出飛機狀態量的變化，并能外接自動控制器進行聯合數值仿真。在C#中主要完成座艙系統顯示平臺的界面設計以及功能劃分等工作。模型中自動控制器控制的操作機理可類似于飛行員對飛機的操作，即用于縱向控制的升降舵，油門桿和用于橫向/舵向控制的方向舵和副翼。系統針對座艙系統中自動駕駛儀的高度保持、俯仰姿態保持和速度保持3種控制，在MATLAB/Simulink中設計了相應的自動控制器。

統計數據顯示最后進近著陸階段是飛行事故的高發階段，本文針對最后進近著陸階段典型飛行場景用例進行詳細分析，并在民機系統的功能需求分析中進行迭代，形成較為完整的需求分析結果。

2.2 基于典型飛行場景仿真的功能黑盒解白

選取如圖10所示的最后進近著陸階段典型飛行場景，將著陸過程細分為飛機沿下滑道直線下滑、拉平飄落、滑行停車階段。

圖10 最后進近著陸階段典型飛行場景Fig.10 Typical flight scenario of final approach and landing phase

截取圖5黑盒活動圖中正常進近著陸的部分進行相關從MBSE方法對應到相關人機系統設計的敘述。圖11為基于MBSE的民用飛機功能需求方法中正常進近著陸包含的主要活動產生的需求映射到相應的控制器設計過程演示圖。

基于MBSE分析得到的活動圖，在最后進近著陸階段，有調定速度、調下降率和調高的3個基本需求。將需求反應到人機系統的實際建模中，本文設計了速度保持控制器、俯仰姿態保持控制器和高度保持控制器以實現相關調速、調高以及調整俯仰姿態需求的功能黑盒解白。

1) 速度保持控制器：本文設計的速度保持控制器控制律為

(6)

式中:KV為速度環比例系數；ΔVc為平衡點處的飛機空速；ΔV為飛機實際空速；aac為飛機實際加速度；Ka為加速度反饋系數；Te為積分環節時間常數。

2) 俯仰姿態保持控制器：針對下降率的調節與保持需求，系統中設計了俯仰姿態控制器。比例-積分控制器是目前工程中最廣泛使用的姿態控制器[25]。系統設計的俯仰姿態保持控制器控制律為

(7)

3) 高度保持控制器：高度保持控制器是以俯仰姿態保持控制器為內環，在外環加一層對高度的比例-積分控制器實現的[25]。高度保持控制器控制律為

(8)

式中：Kh為高度環比例系數；Δhc為平衡點處的飛行高度；Δh為飛機實際飛行高度。

基于最后進近著陸階段的典型飛行場景，在人機模擬座艙系統中分布配置不同的飛行員操作時延以及升降舵和油門控制精度快速進行仿真模擬實驗。基礎實驗以及對照實驗的設置方法如表5所示，TSA為系統模擬飛行員認知階段飛行狀態獲取時延，TMD為系統模擬飛行員認知階段決策時延，TAC為系統模擬飛行員認知階段控制時延。其中飛行員操作時延的設置是依據相關文獻及飛行經驗設置的，具體設置方法本文不進行贅述[21]。

表5 基礎實驗及對照實驗仿真方法Table 5 Basic experiment and control experiment simulation method

每組仿真實驗進行1 000次，每組實驗中選取1 000次飛行軌跡的中線。3組實驗得到的飛行軌跡中線圖如圖12所示(1 ft =0.304 8 m)。

根據仿真產生的最后進近著陸階段飛行數據，本文選取基礎實驗組中一次典型飛行任務中起始進近指令開始點，離地500 ft高度點，最后離地100 ft高度點以及接地點的飛行狀態數據進行分析。模擬飛行狀態軌跡中飛行狀態信息的變化直觀體現了通過白盒仿真實現解白飛機級功能架構的黑盒過程。

1) 起始進近點：起始進近高度h=1 000.00 m, 空速v=100.00 m/s, 飛機平飛，迎角α=0，期望飛行下滑道平面傾斜坡度-1∶29，升降舵操縱量δE=0，油門操縱量δT=0.3。

2) 離地500 ft高度點：飛行高度h=152.40 m,空速v=76.91 m/s, 飛機迎角α=0.056 rad，δE=2,δT=0.05。

3) 離地100 ft高度點：飛行高度h=30.48 m, 空速v=72.52 m/s, 飛機迎角α=0.024 rad,δE=9，δT=0.05。

4) 接地點：飛行高度h=0 m,空速v=70.92 m/s,飛機迎角α=0.027 rad,δE=16,δT=0.21。

通過對比基礎實驗與受控實驗結果，可以得出飛行員對飛機精確，及時操作對于飛行安全具有重要意義。圖5黑盒活動圖設計的合理性在仿真系統中得到了驗證。本節在已經獲得的黑盒功能架構的基礎驅動基于人機系統模型仿真的民用飛機功能架構的“正向設計”過程，對黑盒進行解白，基于建模分析和數值仿真結果，構建實現相關飛機級需求的系統功能白盒架構的“正向設計”。同時通過人機系統基于飛行任務產生的飛行數據驗證了基于模型的民用飛機功能需求方法研究的有效性與合理性。經過人機系統模型的真實模擬飛行驗證，基于模型的民用飛機功能需求方法是行之有效的系統設計方法，符合系統設計需求分析方法與實際飛行任務的需求。

3 結 論

本文將MBSE理論應用在民用飛機功能結構研究中，得到了民機系統最后進近著陸場景的飛機系統級功能需求，飛機系統功能架構以及描述最后進近著陸過程的圖形化模型，并通過人機系統仿真驗證了功能設計過程面向功能需求的合理性。本文的主要研究工作有：

1) 引入MBSE理論開展民用飛機功能設計方法研究，該方法起始于基于用戶需求的自頂向下的民機系統產品頂層用例，辨識相關關鍵子用例，進一步基于對象用例展開“需求—功能分析”，構建黑盒活動圖、順序圖表達實現相關飛機級需求的黑盒功能流，從而明確系統接口和辨識子系統，構建可進行邏輯仿真的黑盒狀態機，結合“用例—需求矩陣”驗證系統級功能架構所捕獲的需求的完整性和正確性。

2) 基于黑盒功能架構驅動基于人機交互系統模型仿真的民用飛機功能架構的“正向設計”過程，對黑盒進行解白，基于建模分析和數值仿真結果，構建實現相關飛機級需求的系統功能白盒架構的“正向設計”。

3) 相比傳統研究方法，本文提出的基于MBSE理論的民用飛機功能架構設計充分保證了需求分析和功能架構設計的緊密結合，正向構建了以滿足民機產品需求為導向的結構化系統設計方法。

未來的研究工作可以從以下兩方面展開：

1) 基于MBSE理論，進行民機其他關鍵系統的系統設計工作，并開展SysML模型與其他數值仿真軟件的集成，聯合仿真等工作，進行一些產品研發的嘗試。

2) 基于民用飛機高安全性要求的特殊性，進一步展開功能失效與關鍵系統安全性分析的研究工作，確保航空安全。