袁聞起 /

(上海飛機設計研究院，上海201210)

0 引言

在現(xiàn)代民機研制過程中，機載系統(tǒng)特別是飛行控制和航電系統(tǒng)，其高度綜合和復雜的特點給試驗驗證工作帶來巨大的挑戰(zhàn)。在工程發(fā)展階段，需通過試驗室試驗盡早盡快地找出飛機系統(tǒng)存在的問題，減少系統(tǒng)設計迭代更改，從而加快研制流程。同時，通過試驗驗證證明產(chǎn)品設計符合設計需求，減少機上試驗工作量，節(jié)省成本。

結(jié)合型號試驗實踐，該文給出了一種基于工況/場景的飛機系統(tǒng)試驗驗證方法，在系統(tǒng)綜合級聯(lián)試中通過定義各種飛機在正常和故障狀態(tài)下的工況，來確定試驗過程，從而達到驗證的目的。

1 工況/場景的來源

在民機系統(tǒng)研制按照SAE ARP4754A[1]雙“V”過程的前提下，飛機級、系統(tǒng)級和項目級都提出、繼承(捕獲)、分解或定義了各自的需求和功能，并對之進行確認和驗證，上一級設計決策形成的結(jié)果會成為下一級的設計輸入?；谛枨笏鶎墓r/場景的驗證方法一般不適用于較低級別的需求驗證，譬如項目(元件)級的驗證還是要根據(jù)上一級分解和捕獲來的功能和需求直接進行試驗測試，從而判斷該項目(元件)是否滿足各項設計需求，譬如性能指標、功能、重量、環(huán)境要求和接口定義要求等,如圖1所示。

圖1 飛機系統(tǒng)研制過程分級

飛機系統(tǒng)根據(jù)飛機級的需求進行的研制工作，會形成一系列設計結(jié)果，如設計圖紙、系統(tǒng)描述文件SDD(system description document)、功能接口定義FICD(functional interface control document)、機械接口定義MICD(mechanical interface control document)、電氣接口定義EICD(electrical interface control document)和一系列安全性分析報告等。傳統(tǒng)的做法是對系統(tǒng)按照上述一系列定義進行測試，看系統(tǒng)表現(xiàn)出來的響應是否滿足文件定義要求，以此為判據(jù)評判飛機系統(tǒng)是否通過。但用系統(tǒng)設計的結(jié)論和定義來作為系統(tǒng)設計是否滿足上級需求的判據(jù)很難從根本上全面發(fā)現(xiàn)飛機系統(tǒng)的設計問題，或者證明設計沒有問題。

對于飛機系統(tǒng)而言，進行基于需求所存在的工況/場景的驗證就顯得尤為重要了。就系統(tǒng)綜合級或飛機級的試驗來說，應該通過模擬飛機的各種工況/場景，來判定系統(tǒng)在這些情形下的響應是否滿足最初的需求，從而發(fā)現(xiàn)設計問題。簡單來說就是最終飛機產(chǎn)品打算怎么用及用到什么程度，那么試驗就怎么試，所有的工況都試了沒問題，產(chǎn)品設計也就成功了。

2 工況/場景的分類和定義

試驗室試驗工況的定義在條件允許的情況下應盡可能地覆蓋設計需求，即使在系統(tǒng)需求和功能定義還不是很完善的情況下，通過識別飛機存在的各種工況，也能夠較完整地覆蓋被驗證的飛機系統(tǒng)，從而提高系統(tǒng)在試驗室試驗中的問題發(fā)現(xiàn)率。

表1 飛機系統(tǒng)工況/場景分類

如表1所示，首先對系統(tǒng)在機上的工況進行分類，包括正常工況、地面維護工況、人為操作失誤和故障工況。民機的正常工況一般可分為從牽引滑行到著陸九個階段，同時從系統(tǒng)維修維護需求考慮，地面維護工況也是必不可少的。其次人為因素導致的錯誤操作也作為單獨一類，分為飛行員/機組操作失誤和地面維護人員/機務操作失誤。系統(tǒng)故障作為系統(tǒng)驗證中較多的一種工況被單獨分為一類，故障包括失效和無指令動作，及其他系統(tǒng)帶來的故障。

對于飛機系統(tǒng)來說，工況/場景化的驗證實際上屬于“黑匣”驗證，即不需要知道系統(tǒng)內(nèi)部架構(gòu)、具體邏輯、線性關(guān)系和信號鏈路，只要在被設定的工況下系統(tǒng)地響應符合預期就可以判定合格。工況可以是一個點，比如爬升階段收上起落架或襟縫翼，也可以是一段過程，譬如整個正常飛行剖面。但“黑匣”也是相對的，具體工況還是要根據(jù)被試系統(tǒng)的功能和需求來設定，特別是在設定人為操作時的工況，還要了解系統(tǒng)的操作界面。飛機起落架控制系統(tǒng)試驗驗證工況的初步分類和定義如圖2所示。

圖2 起落架控制系統(tǒng)工況分類

3 故障工況

首先要確定故障點，譬如某個系統(tǒng)設備、某條線路等。一般先想到的是根據(jù)系統(tǒng)的功能危險性評估FHA(functional hazard assessment)、系統(tǒng)安全性評估SSA(system safety assessment)特別是根據(jù)故障樹分析FTA(fault tree analysis)來確定系統(tǒng)自身的故障源。但系統(tǒng)危險性評估只針對影響飛機飛行安全的系統(tǒng)功能進行分析，按照功能、子功能最后到元件級逐級分解并不能覆蓋全部的系統(tǒng)故障工況，同時對于其他系統(tǒng)帶來的故障也考慮不夠。

所以對于系統(tǒng)自身故障，考慮試驗室試驗的實際情況，在不造成系統(tǒng)損壞和保障試驗人員安全的前提下，按照系統(tǒng)的組成，每一種可以實現(xiàn)的故障都要納入試驗范疇，做到地毯式排查沒有遺漏，即使是相同件的故障也都要模擬。在注入失效故障的同時考慮其是否存在無指令動作故障，如有，則也需要進行試驗。

對于外系統(tǒng)帶來的故障工況，通過對系統(tǒng)交聯(lián)和外系統(tǒng)的架構(gòu)，找出從外系統(tǒng)元件到連接線纜到信號鏈路上一系列會影響到自身系統(tǒng)的各個環(huán)節(jié)的外系統(tǒng)故障，都需模擬。即使各系統(tǒng)重復了，可在試驗實施階段再合并同類項，以避免重復試驗。

其次是在故障發(fā)生時刻，可定義在系統(tǒng)正工作時故障，也可以在系統(tǒng)工作前注入故障，系統(tǒng)在某個正常工況下運行并記錄故障發(fā)生后的系統(tǒng)響應、告警和維護記錄，同時對飛機運行影響進行評估，看其是否滿足設計需求。一般要求“一次故障正常、二次故障安全”，同時有相對應的合適的告警和維護記錄。對于二次故障的選擇，不可能也沒有必要在一個系統(tǒng)內(nèi)進行排列組合式的窮舉，還是要根據(jù)具體的系統(tǒng)架構(gòu)進行故障疊加，來評估影響。再有就是要考慮區(qū)域性故障和針對電子軟硬件的共模故障。

最后是故障的恢復，民機一般要求故障解除后解除告警，所以恢復也作為故障工況的一項內(nèi)容，一般的故障工況發(fā)生過程可分為“故障發(fā)生” “系統(tǒng)動作”和“故障恢復”三個階段，都定義清楚了，完整的試驗程序也就確定了。表2以起落架控制系統(tǒng)為例，列舉了系統(tǒng)自身及其他系統(tǒng)帶來的故障工況。

表2 起落架控制系統(tǒng)故障工況

4 試驗構(gòu)型和過程

一個完整而清晰的試驗必須有明確的構(gòu)型定義(包括參試系統(tǒng)的范圍、軟硬件的版本和被試系統(tǒng)當前的功能基線)，詳盡的可重復的試驗步驟以及準確的試驗記錄(測試數(shù)據(jù)等)。在研發(fā)過程中試驗件特別是電子軟硬件在不同的階段其成熟度不盡相同，功能完整性也是逐步到位的。那么在進行試驗前必須確認當前軟硬件構(gòu)型下系統(tǒng)的功能，如圖3所示。

圖3 試驗構(gòu)型

對于系統(tǒng)綜合級試驗驗證，可以根據(jù)前一級譬如系統(tǒng)級的試驗結(jié)果來確定被試系統(tǒng)當前的功能，或通過產(chǎn)品或系統(tǒng)的驗收試驗ATP(acceptance test procedures)，來確定其當前擁有的功能，從而確定在當前功能基線下可進行的工況試驗。需要澄清的是產(chǎn)品驗收試驗是產(chǎn)品的制造符合性驗證過程，即所生產(chǎn)的產(chǎn)品是否與設計圖紙或設計文檔一致，屬于“白盒驗證”。有時在驗收試驗時也能發(fā)現(xiàn)設計缺陷，但大部分是低層次問題或設計上的低級錯誤。

在明確當前被試系統(tǒng)的各項功能后，需根據(jù)對應的工況來設定各個參試系統(tǒng)的狀態(tài)，操作參試系統(tǒng)進行某個狀態(tài)點或者某段過程的試驗，并通過系統(tǒng)的各種響應來進行評判。有時在飛機級的試驗中需要對飛機狀態(tài)或飛行品質(zhì)進行評估，那就需要建立飛機飛行仿真模型來滿足驗證要求。

5 結(jié)論

本文定義了一種飛機系統(tǒng)在試驗室系統(tǒng)綜合或全機級環(huán)境下進行設計驗證的方法和過程。通過對工況/場景的定義，根據(jù)功能基線，確定工況發(fā)生的階段，確定完成此工況需參與的系統(tǒng)范圍和構(gòu)型，從而形成具體的試驗步驟，進而通過系統(tǒng)響應來判斷系統(tǒng)的設計是否滿足上一級需求。