基于模型的民机自动飞行功能分析与设计



基于模型的民机自动飞行功能分析与设计

0引言

自动飞行控制系统(Auto Flight Control System，简称AFCS)是在20世纪60年代中逐步发展起来的，随着机载系统和计算机技术的发展，从前期以模拟式为主到后期以数字化为主，其功能由简到繁，与其交联的系统由少到多。现代民用飞机上的自动飞行系统包含飞行指引(Flight Director)、自动驾驶(Automatic Pilot)、自动油门(Automatic Throttle)等系统，借助飞行管理系统在飞行计划、性能轨迹、导航数据等方面的统一管理和支持，可以通过内部逻辑对飞控和推进系统的控制，基本实现飞机从起飞、爬升、巡航至接地和滑行等大多数飞行阶段自动操控。本文详细描述了针对民用飞机自动飞行系统的功能分析与设计工作，采用基于模型的系统工程(Model-Based System Engineering，简称MBSE)方法流程，重点分析在不同的场景条件下的功能和架构，用数字化方式描述、分析和检验飞机及其系统在各种飞行任务或者运行场景下的活动内容、状态特性、交互状况，并生成与之匹配的功能需求、功能接口、测试场景和逻辑架构的过程。该研究是反复迭代进行的综合设计过程，其最终目标是形成一套符合工程实践的设计规范，以支撑民用飞机各种系统的数字化功能分析与综合。

1自动飞行控制系统的功能设计

民用飞机的自动飞行控制系统以减轻飞行员工作负担、改善乘坐舒适性为设计目标，能按飞行员手动设置、飞行管理指令等，自动保持飞机姿态稳定，按照设定的航迹/空速飞行。一般在硬件上包括飞控电子设备和供飞行员操纵的人机接口飞行模式控制板(Flight Management Control Panel，简称FMCP)，软件上包括飞行指引、自动驾驶、自动推力等驻留模块。飞机级功能，如飞行指引、自动着陆、俯仰控制、滚转控制、偏航控制、自动驾驶、推力管理、空中加速、空中减速、地面加速、提供信息显示、提供操作控制、飞行包线保护、提供对风切变的防护等均与自动飞行系统的功能设计密切相关。

一般地，自动飞行控制系统接收来自各个导航传感器的数据，并依据飞行管理系统(Flight Management System，简称FMS) 提供的航迹规划和飞行管理控制板(FMCP) 选择工作模式，根据飞行指引及其他外环控制律将提供姿态指令给自动驾驶和飞行指引。自动驾驶控制律将姿态指令转化为角速率指令，并将主飞控系统(PFCS)的控制增稳环路作为内回路。自动推力完成推力管理功能的监控和执行，控制油门台(TCQ)及FADEC以提供合适的推力。AFCS 主要实现以下功能：

(1)飞行导引控制系统(FGCS，包括自动驾驶Auto Pilot/飞行指引Flight Director等)；

(2)自动推力(Auto Thrust)；

(3)自动着陆(Auto Land)；

(4)自动飞行包线保护(Flight Envelope Protection)；

(5)机组通告及告警(EICAS、FMA 等)。

根据这些功能，设计形成功能、性能、运行、物理和安装、安全性、可靠性、维修性、环境、接口、适航审定等方面的需求，根据这些需求可以定义系统原理和系统架构，对系统功能、系统运行、系统接口、部件状况、软件设计等进行详细描述。通过追溯、分析、建模、测试、相似性和工程评审对功能逻辑作综合评估。

2基于模型的系统功能建模方法

基于模型的系统工程(MBSE)是采用模型驱动(Model-Driven)的方式进行系统综合设计的现代工程方法。其中，功能建模分析是遵从系统工程的设计原则，采用模型形式来描述、分析和检验飞机及其系统功能的过程，包括在各种飞行任务或者运行场景下的活动内容、状态特性、交互状况，并生成与之匹配的功能需求、功能接口、测试场景和逻辑架构。功能建模描述系统做什么活动、系统如何进行这些活动，表明下一层级的功能之间的优先等级和冲突情况。它集中在民用飞机研制的概念设计阶段、初步设计阶段和详细设计阶段进行，并在型号研制的全寿命周期内反复迭代进行。图1为系统工程“V”型图中功能建模的示意图(虚线区域)，主要内容包括需求分析(Requirement Analysis)、功能分析(Functional Analysis)和逻辑架构设计(Design Synthesis)。图中“V”型遵循典型的确认与验证的流程，包含需求分析、功能分析、设计集成、设计实现与测试、模块集成与测试、系统集成与测试、系统评估等内容。MBSE功能分析主要构建以下四类框图来描述系统的功能活动。

图1　功能分析在MBSE中的定位

(1)用例图(Use Case Diagram)。用例图划定了系统的主要范围(Scope)和外部交互对象(Actor)，并依据系统的主要运行阶段或者主要功能模块制定主要用例(Use Case)。

(2)活动图(Functional Activity Diagram)。活动图描述用例中的功能流转，包括系统运行活动、层级结构规划、决策跳转逻辑、状态条件监控、外部交互响应定义，以及中断应急措施等。

(3)时序图(Interactive Sequence Diagram)。时序图是采用时间序列的方式，对并排分列的目标系统和外部对象之间的信息交互关系进行描述，并对信息的内容进行确认。它反映系统在活动图中沿着某一条或者多条特定路径下的各种内外部运行活动。

(4)状态机(System Statechart)。状态机是根据活动图和时序图，用基于相互跳转的状态的方式来描述系统功能的模型。状态机可以进行执行运算，通过运行各个状态检验系统功能运转是否符合预期。

3面向场景的自动飞行功能建模与仿真

自动飞行功能的建模与仿真分析过程是面向场景展开的。该过程捕获和定义了使用范围内的各种运行场景，对于每个运行场景，覆盖了主要活动流程、状态逻辑、与机组、环境和其他系统的输入输出关系。现代民用飞机高度综合和复杂的机载系统的设计参照或者遵循SAE ARP4754A为指南的研制保证过程，其中明确指出，飞机及所有复杂系统的设计及验证活动必须考虑系统的运行场景，这些场景不仅应包括正常运行包线内的运行阶段、交互情形和自然环境，也包括非正常的运行条件，如失效故障情形。这些规定客观上要求进行复杂场景条件下功能逻辑的建模仿真分析和综合，系统化地进行确认与验证工作。

自动飞行系统的场景设计综合考虑了飞机运营的整体场景和系统自身的运行状况，包括飞行场景、系统场景和故障场景。针对各个场景，进行了需求确认和架构设计，确保飞机运营时功能的有效性和安全性。

(1) 正常飞行场景。包含各种典型飞行任务剖面中的不同阶段，比如起动、滑行、起飞、爬升、巡航、下降、进近、着陆等，与飞行任务密切相关的重要信息有高度、速度、气压、姿态等。对应飞行的各个阶段，特别是起飞阶段和进近着陆阶段，飞机的运行过程包含了一般条件下的大多数场景，如发动机启动、正常起飞、定常飞行、仪表进近、着陆减速等场景。这些场景的确认和分析过程同时充分地考虑了飞行员正常操作程序和由人为因素引起的各种情况，对人为错误进行了充分地屏蔽处理。

(2)系统场景。包括自然环境引起的和内部构型配置引起的。飞机会遇到一些自然环境，如风切变、大侧风、突风、连续突风、地面结冰、机体部件结冰等，系统在正常运行时也会遇到不同状态或者配置变化，比如配置状况、信号采集、通信质量、电气载荷、燃油存量等，由此可能引起一些特殊的工作场景，如转场、复飞、风切变模式等。

(3)故障场景。系统在执行功能时还可能遇到因内部、外部因素引起的故障、失效事件。外部因素引起的情形如鸟撞、闪电击中等，内部因素引起的情形如火警、油量不足、轮胎爆破、发动机失效等。故障分析是民用飞机设计的重要方面，本研究考虑了四个方面：可能的失效模式，包括外界原因造成的故障和损坏；多重失效和失效未被检测出的可能性；在各个飞行阶段和运行条件下，对飞机和乘员造成的后果；机组对警告信号所需的应对措施，以及对故障的检测能力。

自动飞行系统功能模型按飞行场景分为两个主要用例，其中，第一个用例“起飞与空中”覆盖起飞、爬升、巡航、下降四个阶段的自动飞行控制功能，第二个用例“自动着陆”覆盖进近和着陆两个阶段的自动飞行控制功能，这两个用例进行一体化合并，形成综合架构(Integrated Architecture)，可描述整个飞行阶段中自动飞行系统的功能和状态迁移的过程。图2是自动着陆场景的用例图，外部对象分别是：ILSSystem(仪表着陆系统)、ISSSystem (综合监视系统)、IRSSystem(惯性基准系统)、RASystem (无线电高度表)、ADSSystem (大气数据系统)、DisplaySystem (显示系统)、Pilot (飞行员)、LGS (起落架)、FMS (飞行管理系统)、FADEC (全权限数字电子控制系统)、TCQ (油门台)、PFCS (主飞控系统)、HLS (高升力系统)。

图2　自动飞行模型“自动着陆”场景用例图

“起飞与空中”用例(UC1_TakeOffAndInAir)描述了自动飞行系统在起飞、爬升、巡航、下降阶段的自动控制功能，前置条件是飞机在地面上，准备加速起飞；后置条件是在空中下降结束或盘旋等待过程，准备进近前。这个过程的主要功能包括飞行指引(Control Outer Loop)、自动驾驶(Auto Pilot Control)、推力指引(Thrust Director)和自动油门(Auto Throttle Control)。其中，自动导引模块包含了起飞设置检查、起飞控制、横向控制、纵向控制和多轴控制模式等，多轴模式包含复飞模式、风切变保护模式等。自动驾驶模块包含了自动驾驶模式的触发激活、激活条件检查逻辑、模式运行、中断逻辑等。推力指引模块主要包含了推力等级计算、推力模式设置、油门台指令等。自动油门模块包含了自动推力触发激活逻辑、激活条件检查逻辑、模式运行、中断逻辑等。

图3　自动着陆场景用例的顶层逻辑状态图

“自动着陆”用例(UC2_Autoland)主要描述了自动飞行系统在着陆阶段的自动控制功能，图3是自动着陆场景用例的顶层逻辑状态图，着重于仪表导引着陆过程中的各种导引模式逻辑以及自动/人工驾驶模式的控制。前置条件是飞机下降结束，盘旋等待中，准备进入进近程序中；后置条件是在飞机退出自动近进或者自动着陆模式，进入人工操控，此时对于LAND2、LAND1两种子模式来说，可以引导到地面跑道上，对于APPR2、APPR1两种子模式来说，可以自动引导到近地面一定的高度。用例描述了自动飞行系统在仪表着陆导引下的四种精密进近和着陆模式的选择，这些模式之间从LAND2→LAND1→APPR2→APPR1成降级序列，根据飞机的系统能力不同和飞行员的设置选择，可以进行降级切换，不同程度上导引飞机的进近和下降。每一个模式的功能均包含了硬件配置检测逻辑、主运行模块、能力监控逻辑、模式退出/任务完成逻辑等，其中硬件配置的检测逻辑主要是出于安全性的考虑对系统设备，特别是传感器的冗余进行分析判断。

本研究中，功能建模工具选用了IBM公司的Rational Rhapsody商业软件，该软件可构建各种图例，包括需求分析矩阵、功能分析四类基本框图，以及综合架构和权衡分析等模块。本研究中建立的模块如表1所示，其中功能分析包含了黑盒和白盒阶段。

4功能建模设计总结

以上分析和讨论表明，基于模型的系统工程(MBSE)适用于民用飞机自动飞行系统的功能分析与架构权衡过程，通过规范建模仿真的标准，充分联系系统的功能与运营的实际需要，能有效地表明系统功能在各种运行决策、人机交互和外部环境中的变化，指导后续的设计。系统级功能结构化设计需要充分考虑静态和动态特性，把握飞机及其系统的各种运行场景，对各种外部对象、应用用例、功能定义、交联时序和状态跳转进行逻辑化的表达和确认。该研究检验了飞行导引控制系统、自动推力、自动着陆、机组通告及告警等功能的正确性和完整性，为设计实现和软硬件架构提供良好的参考和对照。

表1　使用Rational Rhapsody构建的模块列表

参考文献：

[1] ARP4754A Guidelines for Development of Civil Aircraft and Systems[S]. SAE，2010.

[2] System Engineering Manual[S]. Federal Aviation Administration， 2006.

[3] Scott Jackson.System Engineering for Commercial Aircraft[J]. Gower Technical，1997.

[4]陈奎兆，王江云.飞行仿真器自动飞行系统研究[J].系统仿真学报，2006，18(2)：706-709.

[5]李庆.飞机开发技术的全新突破——基于模型的系统工程[J].航空制造技术，2011，12(12)：48-53.

The Model-Based Functional Analysis and Design for Auto Flight Control System on Commercial Airplane

方俊伟汤超张翔张磊谢陵 /

Fang JunweiTang ChaoZhang XiangZhang LeiXie Ling

(上海飞机设计研究院，上海 201210)

(Shanghai Aircraft Design and Research Institute，Shanghai 201210，China)

摘要：

描述了民用飞机自动飞行系统基于模型的功能分析与架构设计过程。该研究采用符合现代系统工程理念的模型化设计形式，表明和确认系统功能在各种运行决策、人机交互和外部环境中的变化。它针对系统级功能静态、动态特性进行结构化分析和设计，系统性地研究外部对象、应用用例、功能逻辑、交联时序和状态跳转，在确认模型的合理性后生成逻辑架构与接口，将设计需求进行分配，用于设计实现和软硬件架构。该研究通过对飞行导引、自动推力、自动着陆、机组通告等功能的可用性和完整性进行分析检验，改进了功能需求设计。

关键词：系统工程；自动飞行；建模；功能；场景分析

[Abstract]This paper reports the model-based functional analysis and architecture design for the auto flight control system on commercial aircraft. The system engineering process develops functional models that can define and validate the system functions. The functional flow is logically dynamic upon changes in operational states, human-machine interaction and external environment. Its static and dynamic characteristics are systematically studied including external actors, application cases, functional logics, interactive sequence and state shifting. The logical architecture and interfaces are also generated, and relevant requirements are allocated accordingly as development references of physical architecture and implementation design. The study examines availability and integrity of flight guidance, auto thrust, auto landing, crew warning and alerts functions and improves the design requirements.

[Key words]system engineering；auto flight；modeling；function；scenario analysis

中图分类号：V249.1

文献标识码：A