基于工況/場景的飛機系統試驗驗證方法

袁聞起 /

(上海飛機設計研究院，上海201210)

0 引言

在現代民機研制過程中，機載系統特別是飛行控制和航電系統，其高度綜合和復雜的特點給試驗驗證工作帶來巨大的挑戰。在工程發展階段，需通過試驗室試驗盡早盡快地找出飛機系統存在的問題，減少系統設計迭代更改，從而加快研制流程。同時，通過試驗驗證證明產品設計符合設計需求，減少機上試驗工作量，節省成本。

結合型號試驗實踐，該文給出了一種基于工況/場景的飛機系統試驗驗證方法，在系統綜合級聯試中通過定義各種飛機在正常和故障狀態下的工況，來確定試驗過程，從而達到驗證的目的。

1 工況/場景的來源

在民機系統研制按照SAE ARP4754A[1]雙“V”過程的前提下，飛機級、系統級和項目級都提出、繼承(捕獲)、分解或定義了各自的需求和功能，并對之進行確認和驗證，上一級設計決策形成的結果會成為下一級的設計輸入。基于需求所對應的工況/場景的驗證方法一般不適用于較低級別的需求驗證，譬如項目(元件)級的驗證還是要根據上一級分解和捕獲來的功能和需求直接進行試驗測試，從而判斷該項目(元件)是否滿足各項設計需求，譬如性能指標、功能、重量、環境要求和接口定義要求等,如圖1所示。

圖1 飛機系統研制過程分級

飛機系統根據飛機級的需求進行的研制工作，會形成一系列設計結果，如設計圖紙、系統描述文件SDD(system description document)、功能接口定義FICD(functional interface control document)、機械接口定義MICD(mechanical interface control document)、電氣接口定義EICD(electrical interface control document)和一系列安全性分析報告等。傳統的做法是對系統按照上述一系列定義進行測試，看系統表現出來的響應是否滿足文件定義要求，以此為判據評判飛機系統是否通過。但用系統設計的結論和定義來作為系統設計是否滿足上級需求的判據很難從根本上全面發現飛機系統的設計問題，或者證明設計沒有問題。

對于飛機系統而言，進行基于需求所存在的工況/場景的驗證就顯得尤為重要了。就系統綜合級或飛機級的試驗來說，應該通過模擬飛機的各種工況/場景，來判定系統在這些情形下的響應是否滿足最初的需求，從而發現設計問題。簡單來說就是最終飛機產品打算怎么用及用到什么程度，那么試驗就怎么試，所有的工況都試了沒問題，產品設計也就成功了。

2 工況/場景的分類和定義

試驗室試驗工況的定義在條件允許的情況下應盡可能地覆蓋設計需求，即使在系統需求和功能定義還不是很完善的情況下，通過識別飛機存在的各種工況，也能夠較完整地覆蓋被驗證的飛機系統，從而提高系統在試驗室試驗中的問題發現率。

表1 飛機系統工況/場景分類

如表1所示，首先對系統在機上的工況進行分類，包括正常工況、地面維護工況、人為操作失誤和故障工況。民機的正常工況一般可分為從牽引滑行到著陸九個階段，同時從系統維修維護需求考慮，地面維護工況也是必不可少的。其次人為因素導致的錯誤操作也作為單獨一類，分為飛行員/機組操作失誤和地面維護人員/機務操作失誤。系統故障作為系統驗證中較多的一種工況被單獨分為一類，故障包括失效和無指令動作，及其他系統帶來的故障。

對于飛機系統來說，工況/場景化的驗證實際上屬于“黑匣”驗證，即不需要知道系統內部架構、具體邏輯、線性關系和信號鏈路，只要在被設定的工況下系統地響應符合預期就可以判定合格。工況可以是一個點，比如爬升階段收上起落架或襟縫翼，也可以是一段過程，譬如整個正常飛行剖面。但“黑匣”也是相對的，具體工況還是要根據被試系統的功能和需求來設定，特別是在設定人為操作時的工況，還要了解系統的操作界面。飛機起落架控制系統試驗驗證工況的初步分類和定義如圖2所示。

圖2 起落架控制系統工況分類

3 故障工況

首先要確定故障點，譬如某個系統設備、某條線路等。一般先想到的是根據系統的功能危險性評估FHA(functional hazard assessment)、系統安全性評估SSA(system safety assessment)特別是根據故障樹分析FTA(fault tree analysis)來確定系統自身的故障源。但系統危險性評估只針對影響飛機飛行安全的系統功能進行分析，按照功能、子功能最后到元件級逐級分解并不能覆蓋全部的系統故障工況，同時對于其他系統帶來的故障也考慮不夠。

所以對于系統自身故障，考慮試驗室試驗的實際情況，在不造成系統損壞和保障試驗人員安全的前提下，按照系統的組成，每一種可以實現的故障都要納入試驗范疇，做到地毯式排查沒有遺漏，即使是相同件的故障也都要模擬。在注入失效故障的同時考慮其是否存在無指令動作故障，如有，則也需要進行試驗。

對于外系統帶來的故障工況，通過對系統交聯和外系統的架構，找出從外系統元件到連接線纜到信號鏈路上一系列會影響到自身系統的各個環節的外系統故障，都需模擬。即使各系統重復了，可在試驗實施階段再合并同類項，以避免重復試驗。

其次是在故障發生時刻，可定義在系統正工作時故障，也可以在系統工作前注入故障，系統在某個正常工況下運行并記錄故障發生后的系統響應、告警和維護記錄，同時對飛機運行影響進行評估，看其是否滿足設計需求。一般要求“一次故障正常、二次故障安全”，同時有相對應的合適的告警和維護記錄。對于二次故障的選擇，不可能也沒有必要在一個系統內進行排列組合式的窮舉，還是要根據具體的系統架構進行故障疊加，來評估影響。再有就是要考慮區域性故障和針對電子軟硬件的共模故障。

最后是故障的恢復，民機一般要求故障解除后解除告警，所以恢復也作為故障工況的一項內容，一般的故障工況發生過程可分為“故障發生” “系統動作”和“故障恢復”三個階段，都定義清楚了，完整的試驗程序也就確定了。表2以起落架控制系統為例，列舉了系統自身及其他系統帶來的故障工況。

表2 起落架控制系統故障工況

4 試驗構型和過程

一個完整而清晰的試驗必須有明確的構型定義(包括參試系統的范圍、軟硬件的版本和被試系統當前的功能基線)，詳盡的可重復的試驗步驟以及準確的試驗記錄(測試數據等)。在研發過程中試驗件特別是電子軟硬件在不同的階段其成熟度不盡相同，功能完整性也是逐步到位的。那么在進行試驗前必須確認當前軟硬件構型下系統的功能，如圖3所示。

圖3 試驗構型

對于系統綜合級試驗驗證，可以根據前一級譬如系統級的試驗結果來確定被試系統當前的功能，或通過產品或系統的驗收試驗ATP(acceptance test procedures)，來確定其當前擁有的功能，從而確定在當前功能基線下可進行的工況試驗。需要澄清的是產品驗收試驗是產品的制造符合性驗證過程，即所生產的產品是否與設計圖紙或設計文檔一致，屬于“白盒驗證”。有時在驗收試驗時也能發現設計缺陷，但大部分是低層次問題或設計上的低級錯誤。

在明確當前被試系統的各項功能后，需根據對應的工況來設定各個參試系統的狀態，操作參試系統進行某個狀態點或者某段過程的試驗，并通過系統的各種響應來進行評判。有時在飛機級的試驗中需要對飛機狀態或飛行品質進行評估，那就需要建立飛機飛行仿真模型來滿足驗證要求。

5 結論

本文定義了一種飛機系統在試驗室系統綜合或全機級環境下進行設計驗證的方法和過程。通過對工況/場景的定義，根據功能基線，確定工況發生的階段，確定完成此工況需參與的系統范圍和構型，從而形成具體的試驗步驟，進而通過系統響應來判斷系統的設計是否滿足上一級需求。