MBSE在民用飞机刹车系统需求分析中的应用

杨 弘 肖 扬 李 冰 / YANG Hong XIAO Yang LI Bing

(上海飞机设计研究院，上海201210)

0 引言

系统工程是一门研究复杂系统的设计、建立、试验和运行的科学技术。随着科技的发展，系统的复杂程度越来越高，传统的以文档形式进行的设计研发过程，无法保证在较短的研制周期内、以较低的研制成本来完成最优化的系统设计及质量管理、可靠性和集成工作。因而，系统工程国际委员会(International Council On System Engineering，简称INCOSE)提出了“基于模型的系统工程(Model-Based System Engineering，以下简称MBSE)”的概念，旨在利用建模的方法代替传统的基于文档的方法，针对日趋复杂、集成度高、学科覆盖面广的系统，能够有效缩短研制周期，降低研发成本，同时能够提高系统的质量和可靠性。

民用飞机的设计和研制是一项高精度、高复杂度和高度综合性的系统工程。飞机由许多具有不同特殊功能的子系统组成，而这些子系统之间又存在着相互关系，多学科交互式协同设计是保证飞机在较短研制周期内、以较低研制成本和高可靠性、高安全性设计和研发的根本。

刹车系统作为飞机的重要组成部分，在设计时要保证系统的安全性和可靠性，为飞机在不同气象条件、不同道面条件的高速着陆提供安全的制动[1]。将MBSE思想应用到刹车系统的研制中，不仅能有效减少文档形式研发过程的工作量，降低错误发生概率，还有利于各系统之间形成多学科协同设计，降低研发成本、缩短研制周期，同时提高项目团队的集成能力。

1 基于模型的系统工程

基于模型的系统工程(MBSE)是一种将系统工程利用模型形式表现出来的思想，这就需要特定的建模语言、建模方法和建模工具来实现MBSE过程[2]。MBSE以SysML为建模语言，用模型优化了传统的文档形式的设计过程，将复杂系统的需求管理、系统功能分析、逻辑架构的分析和设计、向下一层级交付的可执行配置模型形成了规范化的流程。

1.1 MBSE建模方法

MBSE建模方法如图 1矩形虚线框中所示。

图1 MBSE建模方法

以利益攸关方的需求作为输入，利用SysML进行需求分析，创建黑盒分析模型，对系统功能实现的行为过程进行建模，从而捕获该行为过程中的系统需求，并得出系统功能定义。然后对系统逻辑架构进行分析和设计，从而导出系统架构细节更为清晰合理的白盒分析模型。借助白盒模型，系统设计团队可以对系统可能的逻辑架构进行权衡分析，并将系统功能分配到子系统架构中。系统内部模块之间、该系统与外部系统之间的接口及输入输出关系可以在模型中表现出来，最终得出交付给下一层级进行架构实现的基线化的可执行配置模型，包括：

1)系统功能定义文件，包括系统功能和非功能需求的追踪关系；

2)接口控制文件(Interface Control Document，简称ICD)；

3)从模型衍生出来的软件/硬件需求；

4)端口和逻辑接口的定义文件。

此外，建模完成之后，利用导出的模型可以直接生成可执行的代码，从而进行多学科联合仿真，对系统的性能和架构进行测试和验证。

1.2 MBSE建模的优势

基于模型的系统工程方法用系统建模语言代替了文档形式的研制方式，用模型图形描述系统架构，并对模型进行有效管理和控制，完成“模型为主，文档为辅”的图形化过程，将模型化的方法与文本形式的方法有效结合起来，有助于进一步突破时间和空间对设计工作的限制：

1)图形化的表达方式，比纯文本的描述更为形象、直观，便于理解，避免了纯文本描述的复杂性；

2)通过模型对系统功能行为的呈现，避免了纯文本描述容易产生的歧义；

3)各系统设计团队之间形成了局域网且可以共享数据库，有利于团队之间的交流与沟通；

4)通过用例场景的模型创建，将系统功能行为按流程控制的方式表现出来，便于在项目研制初期发现错误需求，避免后期改动产生的大量工作和额外成本；

5)模型化的表达方式比文档形式更精确、严谨，并且可以执行和验证；

6)将需求、架构和工程相关联，使得系统研制过程的集成度高，多学科协作能力强；

7)一旦系统研制过程的某个环节需要改进，模型化的表达方式能更快更好地实现更改。

正是由于模型化方法的这些优势，使得MBSE成为了系统工程未来的发展方向。目前，基于模型的系统工程方法已在国际航空航天领域成熟应用，波音、空客、洛克希德马丁等公司已成功应用了这类方法，国内一些研究机构和汽车制造厂商也开始逐步使用。因此，刹车系统团队也开始尝试利用MBSE方法对系统需求进行捕获、分析和确认。

3 MBSE在民机刹车系统需求分析中的应用

刹车系统的设计研制与系统的功能定义和需求是密不可分的，完善的系统功能定义和系统需求能确保刹车系统在设计过程中符合安全性、可靠性和适航的要求。

由于民用飞机与刹车系统的独特性，同时针对某型客机项目进展的需要，设计团队关注的重点是完善的系统需求，因此选择用例图、活动图、时序图和状态机图来完成建模过程，对于导出的系统需求，可用需求视图将其图形化。具体过程如图 2所示。

图2 基于MBSE的刹车系统需求建模过程

3.1 需求分析

在项目研制初期，设计团队要对刹车系统的需求进行定义，此时的需求往往是不完善的，设计人员需要将这些需求转换为许多用例，开始通过建模过程对需求进行完善。某型客机刹车系统的用例如图 3所示，其中停机刹车、脚蹬刹车、自动刹车、刹车状态显示、防滑保护等均可称为用例。

图3 刹车系统的用例

3.2 用例图

将系统执行的行为称之为用例，用例图表达了系统执行的用例及该行为的参与者。在用例图中创建用例，并添加该用例的参与者。该参与者涵盖了此用例行为过程的人或外部系统，从而真实全面地反映系统提供的外部可见功能，同时，是刹车系统与外部系统信息交互和接口创建的基础。以停机刹车为例，分析刹车系统与停机刹车相关的需求，创建用例图如图 4所示。

在停机刹车功能对应的用例建模过程中，可能涉及到的外部参与者有飞行机组、驾驶舱、液压系统、EICAS(Engine Indication and Crew Alert System，简称EICAS)、地勤和飞机。这些外部参与者均来自于系统功能的行为过程，对后续建模影响较大，因而需要将所有可能的外部参与者全部添加到用例图中。

3.3 活动图

活动图是刹车系统功能行为的直观表示，能形象地反映设计人员对某用例的构思。活动图用流程控制的形式将刹车系统某个用例的行为过程表现出来，能够说明系统的连续行为。因此，活动图的绘制需要刹车系统设计团队、系统专家、飞行员充分交流意见，得出满足飞行员操作程序、符合系统行为执行逻辑和设计团队要求的系统行为过程。对于停机刹车，其活动图如图5所示。

首先，检查液压系统的液压源供压是否正常，如果正常，则飞行员打开位于驾驶舱的停机刹车开关，EICAS显示停机刹车开关状态信息给飞行员。此时，EICAS如果显示停机刹车是打开状态，则飞机执行停机刹车行为；如果EICAS未显示停机刹车开关为打开状态，那么飞行员需要重新打开停机刹车开关，直至EICAS显示为“ON”为止。如果检查到液压系统不能正常供压，EICAS就会显示告警信息，需要飞行机组进行排故；如果故障得以解决，执行正常的停机刹车过程；如果飞行机组未能正常排故，需要地勤人员进行维护。

3.4 时序图

时序图是对刹车系统行为的精确说明。与活动图以流程控制为表现形式不同，时序图表示系统行为随着时间推移的变化信息，其关注点是系统中特定部分之间产生的信息交互。由活动图直接生成时序图，但此时的时序图仅仅是在活动图基础上的时序图框架，需要由刹车系统设计人员根据专业知识将参与者之间、参与者与用例之间的信息交互补充完整。时序图的重要意义在于，它不仅能表现出实现系统功能的行为，还能反映行为发生的顺序和不同系统之间的信息交互。

3.5 状态机图

状态机图用于指定模块的一系列状态，以及响应事件时，状态之间的可能转换。状态机图关注的是系统中的结构如何随时间发生的事件改变状态，它显示的行为表示的往往是模块的分类行为。状态机图可以对刹车系统的行为做精确、清晰的说明，同时也可以作为详细设计的产出物(用于下一层级开发的输入项)。状态机的运行结果可以用来验证模型是否符合系统需求，也可以对系统需求进行初步确认。

根据之前的活动图和时序图，停机刹车功能的行为流程和信息交互已经清晰，自动生成状态机图后，需要设计人员将停机刹车的状态信息补充完整，并构建合理的状态机图。如果刹车系统行为模型的搭建存在错误，则状态机图就不能正常运行，这就需要设计团队重新核实系统的行为逻辑和需求，并对不合理的系统行为进行更改。

3.6 刹车系统需求建模结果

通过以上停机刹车的行为建模过程，将停机刹车功能的流程控制、与参与者的信息交互创建完成，并通过状态机图进行了模型验证和需求确认，刹车系统设计人员需要根据模型对初始的不完善需求进行捕获、细化和完善。

在停机刹车的需求模型中，将捕获到的需求进行扩展(extend)和细化(refine)，将不同层级需求之间的追溯关系用虚线箭头连接起来，并为每条需求分配相应的编号，得到有关机轮与地面结合系数、适航条款、集成设计、作动、释放和常规控制等方面的停机刹车需求。按照不同的类型将需求分类，得到最终更为完善、可向下一层级交付的停机刹车需求模型，对初始的需求文档进行更改或直接从需求模型生成需求文档。

围绕停机刹车功能(模型中称之为用例)，设计人员对其行为过程进行分析，进而以需求视图的形式直观地表现出来，通过模型对停机刹车的操作、外部环境、作动情况、状态的呈现，从而捕获更为完整的需求。相比传统文档形式的需求捕获，能摆脱设计人员思维的局限性，从而保证需求的严谨和完整。表1是导出的部分停机刹车需求，从表1可以看出，相比建模之前，通过模型分析导出的停机刹车需求描述更为合理，且层次分明、可追溯性强。

表1 建模前后部分停机刹车需求对照表

4 MBSE在全机系统研制中的应用展望

作为主机厂商，飞机级及系统级需求与功能定义对于保证研制过程的顺利进行、满足适航审定的要求至关重要，需求的正确性与完整性、需求向上一层级追溯与向下一层级分配是系统顺利设计与研发的基础。此外，接口模块的定义与ICD文件的配置，也是保证各系统之间信息传输、逻辑定义与各设计团队协作开发的关键。

传统文档形式的需求管理、接口定义与逻辑架构设计，随着系统复杂程度的不断提高，系统研制的工作量不断加大、研发成本持续提高、研发周期不断拉长。基于模型的系统工程方法用图形化的形式代替了传统文档形式的部分工作，使得系统设计环节更为直观、形象，缩短飞机交付时间、降低研发成本，对研发过程中容易产生的错误进行有效管理与更改。同时，MBSE建立起来的模型库与数据库，有利于飞机各系统之间的多学科、交互式协同设计，避免设计工作的重复、遗漏，保证各设计团队之间的有效合作，有利于主机厂商集成能力的提高。虽然，MBSE思想与方法的应用在国际航空航天领域已十分广泛，但在国内仍属起步阶段，MBSE的全面推广仍需不懈努力。

5 结论

基于模型的系统工程已经成为未来航空航天领域发展的趋势与潮流。对于日趋复杂、关联程度更高的民用飞机及其系统，基于模型的系统工程对于民用飞机设计顶层工作的开展与有效实施起到了事半功倍的作用。同时，对于不同层级之间的追溯与分配，MBSE方法可以保持很好的一致性。然而，国内MBSE理论才刚刚起步，如何在紧张的项目计划安排中推广这一方法，使其在现有设计体系的基础上更好地辅助设计过程，是未来MBSE在主机厂商发展不得不面对的关键课题。