基于模型的飛控系統安全性分析研究

柯宇航, 李艷軍, 曹愈遠, 張興成

(南京航空航天大學民航飛行學院, 江蘇 南京 211106)

0 引 言

傳統的安全性分析方法是由安全工程師根據需求手動執(zhí)行安全性分析,如故障樹分析(fault tree analysis, FTA)[1]、功能性風險分析(functional hazard analysis, FHA)、失效模式及影響分析(failure mode and effect analysis, FMEA)[2]等方法。由于這些分析方法是人為主觀的分析,主要依靠的是分析人員的經驗,故這些方法難以預測系統所有可能出現的行為。但隨著飛機系統功能不斷更新發(fā)展,系統變得復雜龐大,傳統的安全性分析方法難以保證結果的完備性、一致性和正確性。

為此,工程師為系統設計和安全分析創(chuàng)建形式化模型,并使用計算機自動分析其行為?；谀Ｐ偷南到y安全性分析(model-based safety analysis, MBSA)方法使安全性分析工作更加客觀和高效,MBSA已成為復雜機載系統安全性分析的發(fā)展趨勢之一。歐洲與美國的一些航空企業(yè)及科研機構在這一領域的研究處于領先地位。歐盟從2000年開展一系列的研究,先后完成ESACS(enhanced safety assessment for complex systems)[3]、MISSA(more integrated systems safety assessment)[4]、ISAAC(improvement of safety activities on aeronautical complex systems)[5]3個項目,美國航天局(National Aeronautics and Space Administration, NASA)利用模塊定義圖(binary decision diagrams, BDD)模型檢驗方法對《民用機載系統和設備安全性評估過程指南和方法》SAE ARP 4761[6]描述的機輪剎車系統控制單元(brake system control unit, BSCU)進行了安全性分析[7]。

國內外學者針對復雜系統的安全性分析問題上,針對建模及安全性分析方法上,主要研究了包括:隨機Petri網、馬爾可夫模型、動態(tài)故障樹等方法[8-11]。德國航空航天中心(German Aerospace Center,DLR)提出了一種基于Modelica的系統安全性分析方法,通過對故障仿真建模計算最小割集、最小路徑以及安全性的評估[12]。文獻[13]采用故障建模和仿真手段將故障模型轉換為馬爾可夫模型進行安全性分析。北京航空航天大學提出一種基于體系結構分析與設計語言系統模型的建模方法,自行設計出一套轉換規(guī)則,將體系結構分析與設計語言系統結構模型轉換為系統結構廣義隨機Petri網模型[14]。上述研究能夠直接利用系統設計過程中建立的仿真模型進行嚴格的安全性形式化驗證,對復雜系統的動態(tài)行為進行描述也較為簡便,但狀態(tài)空間爆炸和仿真效率較低也是目前對于分析復雜系統下存在的主要問題。

文獻[15-16]針對機電系統的安全性問題,找到一種系統工程與安全性分析過程的集成方法SafeSysE,該方法給出了一套完全基于系統建模語言模型進行安全性分析的方法。但在狀態(tài)機驗證模型過程中,還需要大量人力對模型進行識別判斷,使其方法應用范圍受到限制。文獻[17]提出了一種基于系統可靠性、維修性、安全性分析與仿真的方法RAMSAS,RAMSAS方法是從4個方面迭代進行,分別是可靠性需求分析、建立系統模型、系統模型仿真和系統模型評估,將這4個步驟貫穿于整個設計過程。RAMSAS的優(yōu)點在于能夠將系統建模語言所描述的控制邏輯直接轉換為Simulink模型,存在的缺點是該方法對于系統仿真方面研究較為全面,但還缺少模型驅動設計方法。

針對民機飛行控制系統的高度安全性的特征,本文提出了一種基于模型的典型飛控系統(操縱舵面)安全性分析方法,利用Matlab/Simulink工具建立正常功能模型及故障模塊,通過故障注入方法擴展正常功能模型,最后利用故障遍歷的方法,運用故障遍歷,尋找對系統影響嚴重的部件,實現安全性分析。

1 飛行控制系統概述

民用飛機的飛行控制系統(以下簡稱飛控系統)主要功能是保證飛機的操縱性和穩(wěn)定性。飛行控制系統包括主飛行控制系統(人工操縱)和自動飛行控制系統(自動駕駛儀)。其中,主飛行控制系統是典型的安全關鍵系統,主要功能是控制飛機的升降舵、方向舵和副翼等操縱舵面,以實現飛行姿態(tài)的控制。

國內外民機的飛控系統經歷了多個發(fā)展階段,以空客和波音為代表,從機械/液壓助力操縱系統、增穩(wěn)與控制增穩(wěn)系統到電傳飛控系統階段,主要區(qū)別在于使用的是不同形式的操縱機構:空客使用側桿形式、波音沿用中央操縱桿形式,在系統架構方面,波音和空客使用了不同形式的物理架構,但從功能設計角度來說均體現了功能綜合的特征[18-19]。

國內民機起步較晚,但飛控系統的發(fā)展也經歷了這樣的發(fā)展過程,從傳統的機械操縱系統發(fā)展到疊加自動飛行控制的電傳飛控系統(ARJ21-700飛機)[20]。目前試飛中的國產大飛機C919,飛控系統則采用電傳飛行控制結合部分電功率、無機械備份[21]的電傳飛控系統。

總的來說,典型飛控系統技術發(fā)展趨勢如下:

系統架構上,從集中式的控制模式到采用物理/功能上的分布網絡式架構方式;

系統功能上,從功能分離的主飛行控制系統和自動飛行控制系統逐步向控制/信息一體化方向發(fā)展;

在功率及作動方式上,從機械驅動到液壓驅動方式,逐步向多電機全電驅動方式發(fā)展。

安全性需求是民機飛控系統的第一需求,根據ARP 4761[5-6]中的規(guī)定,要求飛控系統失效導致“嚴重”級別的危害發(fā)生概率不大于10-7,“災難”級別的危害發(fā)生概率小于10-9。

在流程方法方面,必須能夠保證需求、設計與驗證的完整性。在安全性評估技術方面，為了保證能夠準確評價系統是否滿足安全性需求，需要進行共因分析(common cause analysis, CCA)、功能危險性分析(fault hazard analysis, FHA)、初步飛機安全性評估(preliminary aircraft safety assessment, PASA)、系統安全性評估(system safety assessment, SSA)、系統初步安全性評估(preliminary system safety assessment, PSSA)等安全性分析工作。為滿足安全性需求的系統開發(fā)流程圖如圖1所示。

圖1 滿足安全性需求的系統開發(fā)流程

2 系統安全性分析方法

2.1 傳統安全性分析方法

為了提高飛機關鍵系統的安全性,航空系統領域內,有美國汽車工程師學會(Society of Automotive Engineers, SAE)制定的ARP 4754[22]、ARP 4761。傳統的安全性評估過程是用一個V型圖來描述。如圖2所示,V型圖左側是安全性需求識別,V型圖右側是系統安全需求的驗證。在飛機研制周期開始就進行飛機級別的FHA。下一步,對單獨子系統進行系統級FHA。在完成FHA后,對系統進行PSSA。用于分配安全性需求到各個子系統中。當設計和實施已完成,那么就由SSA過程來驗證在實施的設計中是否已滿足安全性要求。

圖2 安全性評估過程

2.2 基于模型的系統安全性分析方法

MBSA是以研究和實現復雜系統建模并基于系統模型實現自動或半自動化的安全分析或驗證為目的,提高安全性分析效率[23]。

MBSA方法分析流程包括:基于模型的研發(fā)和基于模型的安全性分析?；谀Ｐ偷难邪l(fā)包括對正常功能模型的構建和對故障注入的擴展模型的建立,基于模型的安全性分析則是在這一基上進行的。MBSA方法的核心和基礎是建立形式化模型,現有的建模方法主要有兩種思路:一種為先建立系統名義模型,用來描述系統正常功能狀態(tài)下的行為,然后建立系統的故障模型，最后通過模型擴展將正常模型及故障模型結合[24-25]。另一種是基于故障邏輯的思想[26],直接對系統中的故障進行建模,簡化了建模過程以及系統正常功能的模型。

MBSA方法能夠將系統設計和安全分析結合起來,通過對復雜系統使用各種手段建立系統模型后實現各階段設計過程與安全分析過程的同步。構建的模型避免了模型轉換帶來的信息缺失,不僅保證安全分析結果直觀反饋給分析人員,同時系統設計的更改可以及時向安全分析人員更新。建立準確的系統模型需要選取具有嚴格的語法語義定義的建模語言[27]。

一般通過建立符號化的系統形式化模型,并在此基礎上實現系統仿真、驗證及分析等工作。

基于模型的安全性分析方法旨在減少安全性評估時的工作量和提高分析結果的質量,其方法中的重點是如何建立系統的形式化模型,考慮系統行為中存在的故障對模型進行擴展,最后的安全評估在擴展模型上進行[28]。

總體來看,MBSA的總目標是:① 支持對復雜系統架構的準確及有效的安全性評估;② 能夠解決由于系統和功能的復雜程度帶來的問題;③ 提供了嚴格定義的且公用的系統模型。

3 案例分析

本文選取某型民機典型的飛控系統展開研究,操縱舵面是影響飛機飛行姿態(tài)的重要飛控系統之一,副翼、方向舵是飛機橫側向控制的主要部件。由副翼/方向舵舵面作動器產生的力矩信號作為輸入信號輸入操縱舵面,通過舵面的偏轉角度執(zhí)行飛行的滾轉和偏航。

3.1 副翼/方向舵名義模型

副翼為飛機滾轉操控的主要操縱舵面。通過接收信號,左右副翼分別向上下偏轉一定角度,從而改變機翼的升力大小,利用升力差使得飛機實現滾轉操作。

副翼模型的數學表達式為

(1)

(2)

副翼的Simulink模型如圖3所示。

圖3 副翼Simulink模型

方向舵為飛機偏航操控的主要操縱舵面,通過接收信號,方向舵偏轉一定角度,使飛機實現偏航。方向舵模型的數學表達式為

(3)

δr=στ1(xr)

(4)

式中:Tr為作用于方向舵的力矩信號;δr為方向舵響應力矩信號對應的角度;xr為狀態(tài)變量。參數取值:τr=0.05 s,τ1=0.1 s。

方向舵的Simulink模型如圖4所示。

圖4 方向舵Simulink模型

3.2 模型故障擴展

第3.1節(jié)中建立的模型是系統在無故障發(fā)生時,系統在正常狀態(tài)下的行為。而實際情況下,在安全性分析過程中,除了考慮系統正常的工作模式外,還需考慮可能發(fā)生的故障模式。構建故障模型,通過故障注入的方式,對系統正常功能模型進行模型擴展,進而對擴展后的模型進行安全性分析[29]。

3.2.1 故障注入

進行模型擴展的第一步是故障注入[30]。故障注入機制是將特定的系統故障行為添加到正常系統功能模型中,該方法可以觀察系統發(fā)生故障時存在的行為及響應,對系統進行安全性分析評估。故障注入技術一般包括:基于硬件的故障注入、基于軟件的故障注入及基于仿真的故障注入。仿真實現的故障注入是基于虛擬故障,通過計算機仿系統運行,注入故障模塊,實現故障注入[31]。

民機控制系統典型的故障特性如表1所示。故障發(fā)生的部件有傳感組件、控制元件、被控對象,故障的類型主要包括卡死、漂移、失效等。本文所研究的故障模式針對飛控系統單個組件失效。

表1 典型故障特性

本文是在系統模型上進行故障注入研究,屬于仿真實現的故障注入方式。

圖5給出了基于故障注入的模型拓展方法。圖的左半部分是一個系統正常功能模塊A,模塊有一個輸入和一個輸出,將故障注入來擴展系統模型。圖右側顯示的就是擴展之后的模塊,該模塊包括了正常功能模塊A和一個故障模塊F,此時模塊A和模塊F的輸入與原來的模塊A的輸入相同。為了方便調用故障模型,引入故障參數FTn(n=1,2),將FTn作為故障模塊F的另一個輸入。FTn為變量,用于控制發(fā)生故障的部件以及其故障模式。由于副翼及方向舵常見故障模式為卡死和漂移,故定義FTn=1表示功能正常,FTn=2表示發(fā)生卡死故障,FTn=3表示發(fā)生漂移故障。擴展模型的最后輸出由一個多路選擇器產生,通過故障參數FTn控制輸出。

圖5 基于故障注入的模型拓展

表2總結了副翼/方向舵常見的故障模式、故障描述、失效率及定義的故障參數。

表2 副翼/方向舵常見故障

為了簡化問題,本文僅考慮滾轉角作為性能指標,將故障注入時間設置為tf=4 s。

3.2.2 副翼/方向舵故障模型

副翼常見的兩種故障包括卡死和漂移,對應的輸出響應為

(5)

副翼的Simulink故障模塊設計如圖6所示。

圖6 副翼故障Simulink模型

方向舵常見的兩種故障包括卡死和漂移,對應的輸出響應為

(6)

方向舵的Simulink故障模塊設計如圖7所示。

圖7 方向舵故障Simulink模型

構建好故障模塊后,本文采用的故障模型結合名義模型的方式如圖8所示。

圖8 故障注入方式

3.2.3 系統故障下的響應

本文僅考慮單故障情況,假定故障注入的時刻為4 s。副翼發(fā)生卡死時(FT1=2)如圖9和圖10所示。

圖9 副翼卡死

圖10 副翼卡死(誤差曲線)

副翼發(fā)生漂移時(FT1=3)如圖11和圖12所示。

圖11 副翼漂移

圖12 副翼漂移(誤差曲線)

方向舵發(fā)生卡死時(FT2=2)如圖13和圖14所示。

圖13 方向舵卡死

圖14 方向舵卡死(誤差曲線)

方向舵發(fā)生漂移時(FT2=3)如圖15和圖16所示。

圖15 方向舵漂移

圖16 方向舵漂移(誤差曲線)

3.2.4 故障誤差分析

本文僅考慮影響系統的滾轉角φ(t)這一因素,其性能要求為

(7)

式中:rφ=0.1 rad。

通過故障注入后的擴展模型與正常功能模型比較的誤差曲線,篩選出導致系統故障的部件故障情況(誤差曲線超出誤差上下限即為發(fā)生故障,反之部件正常),如表3所示。

表3 故障系統響應

對系統可能發(fā)生故障的部件進行枚舉,進行故障遍歷。根據系統邏輯,將不會導致故障的事件刪除,得到可用狀態(tài)集。據此,確定出操縱舵面系統故障的3個最小割集為:{左副翼漂移}、{右副翼漂移}、{方向舵漂移}。

最后確定邏輯門的連接,單點故障事件左副翼、右副翼及方向舵任一發(fā)生故障,均會直接導致頂事件發(fā)生,故{左副翼漂移}、{右副翼漂移}、{方向舵漂移}之間采用“或門連接”。最終得到故障樹如圖17所示。

圖17 操縱舵面系統故障樹

4 結 論

針對飛機復雜系統安全性分析問題,本文提出了基于系統拓展模型的安全性分析方法。充分考慮操縱舵面系統結構機理,構建了系統正常功能模型,設計了故障模型,利用故障注入拓展了系統模型,使得系統設計過程與安全分析過程使用同一模型,解決由于傳統安全分析方法中模型不統一帶來的設計結果與安全分析結果之間可追溯性差問題,保證了分析源頭的準確性和規(guī)范性。在設計過程中,可以對模型的基礎模塊進行修改,增加系統的容錯能力,實現在不同場景下模擬系統的響應。建立的模型可靠度較高,可以進行程序化安全性分析工作,有效減少對安全性分析工程師的依賴。