基于系统工程的飞机系统架构设计过程
2021-09-23 02:24康文文李浩敏
民用飞机设计与研究 2021年2期
康文文 李浩敏
(上海飞机设计研究院,上海 201210)
0 引言
随着飞机系统耦合性的增强和集成复杂度的提升,飞机系统架构设计方面暴露出越来越多的综合性问题,比如:
1) 架构对功能和相应需求的覆盖不完整,尤其是隐性的未被及时定义的需求,设计后期出现的涌现性功能和衍生性需求较多,导致架构设计更改频繁;
2) 接口兼容性问题频发,接口数据的内容、格式、频率、意义等定义不一致,同样导致设计更改频繁;
3) 整机系统架构的安全性评估置信度不高,适航符合性验证比较困难。
产生飞机系统架构设计综合性问题的根源在于飞机系统架构设计过程不规范,比如需求和架构设计的关系模糊,高集成度航空电子系统设计和机械系统设计难以协同等。
飞机研制工程单位均逐渐认识到综合化、规范化的飞机系统架构设计是一项与传统飞机总体设计、气动设计、结构设计、发动机选型等工作并列的重要设计工作。
随着国内飞机研制工程单位各型号的工作推进,“体系性的飞机系统架构设计要求”与“缺乏规范的飞机系统架构设计过程”之间的矛盾越来越突出。
体系性的飞机系统架构设计要求主要体现在:
1) 飞机系统架构设计过程要遵循系统工程方法的指导,要考虑对需求的捕获和实现,要考虑系统工程过程要素之间的连续性和追溯性等;
2) 飞机系统架构设计要考虑对飞机系统设计特点的全面包容,包括高集成度系统设计、整机高置信度安全性评估等;
3) 飞机系统架构设计过程还要考虑工程上能够接受的过程复杂度,保持清晰简洁。
各系统工程指导材料均给出了系统架构设计的技术过程要求,但都比较宽泛,缺乏对飞机系统具体设计特点的考虑;飞机研制工程单位需要结合自身实践给出更加细致和可落地的设计指导。
《飞机设计手册》作为我国飞机设计领域的智慧结晶,为推动中国飞机设计技术的进步做出了巨大贡献,但其第5册(民用飞机总体设计)并没有深入考虑“飞机系统架构的综合设计”问题,而其他系统分册如第12册(飞行控制系统和液压系统设计)等都是在独立地考虑系统的物理实现设计问题,并没有引入“从综合性的功能逐步导出综合性的系统架构”的概念,对现代化高集成度的飞机系统设计无法提供足够的指导;《飞机设计手册》第20册(可靠性、维修性设计)只从可靠性和维修性的角度出发考虑了飞机系统设计问题,并没有引入现代化飞机系统设计最为关注的安全性概念,无法指导面向整机系统集成架构的安全性分析工作。
多个飞机研制工程单位在经过多年的技术积累和沉淀之后,工信部发布了航空标准HB 8525-2017《民用飞机研制程序》,提纲挈领地给出了在不同研制阶段“民用飞机系统架构设计”的相关内容;但HB 8525中并没有给出飞机各研制阶段具体开展系统架构设计的过程和可行方法。
SAE ARP4754A《民用飞机和系统研制指南》给出了飞机系统架构设计的概要过程,强调飞机研制需要进行飞机级和系统级架构设计,同时需要开展相应的安全性分析,以确保飞机系统设计符合研制过程保证的要求;但ARP4754A仅考虑了安全性对飞机系统架构设计的要求,并没有充分考虑其他体系性要求。
现代化的飞机系统架构设计强调“对上层需求的符合性”,强调“架构对功能的追溯性”,强调“飞机多系统之间的协调性”,在整体设计过程中强调“正向思路”。
本文提出的基于系统工程和多视角策略的飞机系统架构设计过程贯彻“正向思路”,充分考虑低层级架构设计对上层需求的符合性以及架构对功能的追溯性,同时将飞机系统架构设计过程细分为功能、逻辑和物理三个视角以确保飞机多系统架构间的协调性;在满足各种体系性要求的同时,保持了架构设计过程的清晰性和简洁性,是一个规范的飞机系统架构设计过程。
1 体系性的飞机系统架构设计要求
飞机系统架构设计的内涵是:基于顶层需求和“基础架构”(航空运输体系架构)对飞机目标系统进行架构技术方案的设计和分析,确保飞机系统架构方案功能完备、性能良好、保守性合理、增长空间合理等。
为从根本上提升飞机系统架构设计的质量,约束成本并保证设计进度,飞机系统架构设计过程需要满足一系列体系性要求。
1.1 系统工程过程的要求
飞机系统架构设计过程需要纳入“飞机设计系统工程过程”中,具体要求如下:
1) 需求分析方面,需要建立需求和飞机系统架构设计的全方位关联;
2) 功能分析方面,需要在功能架构设计中建立与功能分析的关联;
3) 架构设计过程各要素之间的连续性和追溯性方面,需要建立并保持架构设计过程各要素之间完备且正确的追溯关系。
1.2 飞机系统设计特点的要求
系统工程过程的要求是通用要求,飞机系统架构设计还需要考虑“飞机系统”区别于一般复杂系统的领域特点,具体要求如下:
1) 适航要求方面,需要在飞机系统架构设计过程中建立并留存适航符合性证据材料;
2) 与安全性评估工作的协同方面,需要在飞机系统架构设计过程中协同且迭代开展安全性评估;
3) 研制程序节点方面,飞机系统架构设计过程的中间交付物需要能够支持相应研制阶段的门禁评审;
4) 高集成度航空电子设计方面,飞机系统架构设计过程需要考虑系统集成度高、功能交联复杂的所有系统,包括多系统IMA驻留方案的综合开发等;
5) 系统架构设计质量方面,飞机系统架构设计需要引入全面的设计数据追溯机制和模块化设计机制,并在各环节基于整机架构开展行之有效的权衡分析;
6) 复用历史系统设计方面,飞机系统架构设计需要考虑历史系统设计方案对目标系统的设计约束;
7) 与航空运输系统兼容性方面,飞机系统架构设计需要全面考虑航空运输系统兼容性带来的设计约束。
在充分考虑了飞机系统的领域特点并与系统工程过程的融合后,飞机系统架构设计过程还需要保持清晰简洁的形式,以支持工程实践应用;工程实践中,总体层面的飞机系统架构设计需要对30多个大系统和140多个子系统进行架构集成,必须保持架构设计过程的清晰性、简洁性和可操作性,才能有效地支持飞机总体层面的大范围系统架构集成。
1.3 体系性要求在架构设计过程中的落实策略
规范的飞机系统架构设计过程对各项体系性要求的落实策略是将飞机系统架构设计过程分为三个视角:功能视角、逻辑视角和物理视角。
功能视角设计是系统工程方法给出的重要指导,要求在开展目标系统的物理架构方案设计前进行充分的问题域分析,明确目标系统的功能内涵、功能边界和应对各种运行场景的功能逻辑。
逻辑视角是功能视角设计向物理视角设计转化的过渡环节;由于飞机系统的功能复杂性(跨系统的综合性功能比较多)和物理方案复杂性(跨系统的软硬件集成程度高),直接进行功能架构到物理架构的映射和高集成度设备定义(比如IMA驻留方案设计)非常困难,需要引入逻辑视角设计作为过渡设计环节,对前承接功能并进行功能分组和逻辑组件定义(主要是初始软件定义和硬件定义),对后构成物理架构方案的雏形,支持物理方案中更加清晰的资源分配和权衡分析。
物理视角设计是传统飞机系统架构设计的重点,主要定义系统物理架构和相应设备的产品规范,支持系统设备采购或者新研。
针对每项体系性要求,根据多视角策略进行多角度递进式的解耦和细分,飞机系统架构设计过程对体系性要求的贯彻可以是完备的和协调的;飞机系统架构设计过程需要通过建模手段执行,使用SysML语言进行系统建模的MBSE方法正在成为复杂系统设计的重要手段,多视角的策略与SysML建模方法是高度兼容的。
2 规范的飞机系统架构设计过程
基于体系性的飞机系统架构设计要求和多视角落实策略,参考系统工程方法中的架构设计过程,结合飞机研制工程单位在型号工作中的实践经验,本文提出了规范的基于多视角策略的飞机系统架构设计过程。
2.1 飞机系统架构设计整体过程
飞机系统架构设计过程的目标是“将飞机顶层需求转化成飞机系统物理架构,支持形成飞机系统架构设计方案和飞机系统产品规范”。
基于多视角策略的飞机系统架构设计整体过程如图1所示。
图1 基于多视角策略的飞机系统架构设计整体过程
飞机系统架构设计不是一个完全的“自顶向下,从无到有”的正向设计过程,而是一个“复用部分历史系统设计”和“重新定义或完善部分架构”的混合过程,历史系统设计的颗粒度可能覆盖飞机级、系统级和设备级等不同层级;工程实践中,飞机系统设计普遍采用“主制造商-供应商”模式,飞机主制造商负责整机系统集成、多系统集成和各系统架构方案设计并定义产品规范,供应商根据各系统架构方案和相应产品规范提供货架产品(设备或软件)或者新研产品。为充分考虑历史系统设计对飞机级、系统级和设备级的约束影响,以及总体综合专业、各系统专业、供应商间的设计协同,飞机系统架构设计被分解为飞机级、系统级和设备级等三个设计抽象层级;结合多视角(功能、逻辑和物理)策略,各抽象层级的系统架构设计均被进一步分解为功能架构设计、逻辑架构设计和物理架构设计;考虑到飞机系统安全分析是一项与架构设计全面协同的工作,在各层级各视角引入了必要的安全性分析。
由于飞机级、系统级和设备级的架构设计在过程上类似,可以对飞机系统架构设计整体过程进行简化,如图2所示。
图2 飞机系统架构设计简化过程
简化后的飞机系统架构设计在过程元素上保持完整性,经过适当剪裁后可以复用到飞机级、系统级和设备级。
在飞机系统架构设计过程中,有五条设计主线,如图3所示。
图3 飞机系统架构设计过程中的五条主线
1) 需求主线的设计,将顶层设计需求逐步转化为最终产品规范,中间过程包括初步系统需求规范、初步产品规范,以及针对顶层需求和各项需求规范的架构设计符合性分析;
2) 架构主线的设计,将各项需求和约束贯彻到架构设计过程中,最终形成飞机系统的物理架构方案,中间过程包括功能、逻辑、物理三个视角的架构元素定义和架构接口定义;
3) 行为主线的设计,将与外部系统的兼容性设计约束融入到各视角的系统行为设计中,包含针对功能架构的功能行为设计、针对逻辑架构的工作模式设计、针对物理架构的工作模式确认等;
4) 性能主线的设计,将顶层需求中包含的系统运行要求的量化指标转化为系统设备的性能特性参数,中间过程包括功能性能要求分析,逻辑组件性能设计和物理设备性能确认等;
5) 安全性分析主线的设计,针对功能架构进行功能危险分析并定义系统安全性目标和功能研制保证等级FDAL,针对逻辑架构进行初步架构安全评估并定义和分配系统安全性需求,针对物理架构进行架构安全校核并确认系统安全性目标和细化的安全性需求可以被满足,在物理架构安全性校核完成后可以输出物理设备的失效率要求。
飞机系统架构设计过程中五条设计主线上的数据传递关系如图4所示。
图4 架构设计五条主线上的数据传递关系
飞机系统架构设计的五条主线上均存在紧密的数据传递关系,各视角下五条主线的设计步骤之间也存在紧密的数据传递关系,每条主线上和五条主线之间的设计数据构成了一个连续性的追溯网络;该追溯网络可以支持开展多种飞机系统架构的设计分析,比如:需求到架构设计元素的分配完整性分析和架构设计结果对需求的符合性确认;物理架构设计方案对功能定义的覆盖完整性分析;新需求、新功能、新技术引入时的全局影响分析等。
在飞机系统架构设计的工程实践中,混乱的数据交互过程和不协同的设计工作长期困扰着飞机系统设计工程师,工程师们普遍比较喜欢简洁的过程、清晰的界面和明确有限的责任,基于多视角策略的飞机系统架构设计过程将飞机系统架构设计过程明确为不同设计层级的多个视角,且进一步细分为五条设计主线,对飞机级多系统的深度耦合性进行了多颗粒度、多视角和多主线的充分解耦;多个系统专业在多个视角中可以逐步实现系统间的“递进式设计协同”,过程简洁、界面清晰且具体某个层级某个视角某个主线的工作是有限责任的。
2.2 功能架构设计过程
功能架构设计过程的目的是针对顶层的各类需求和设计约束,包括功能性需求、操作性需求、安全性需求等,形成功能架构设计方案,包括功能定义、功能结构树、功能交互关系框图等。
功能视角系统架构的设计过程如图5所示。
图5 功能视角架构设计过程
2.2.1 功能架构设计的输入
1) 顶层设计需求,在飞机级指飞机研制要求与目标,在系统级指由飞机级分配给系统的功能性需求、飞机级传递给系统的非功能性需求及其他设计约束,顶层设计需求中包含高层级功能性需求、非功能性需求和设计约束等;设计约束包括系统技术方案的选用约束、保持与外部系统比如航空运输系统兼容性的接口约束等;
2) 系统运行概念需求,包括系统操作需求、特殊运行场景需求(如基于性能的导航PBN运行)等;
3) 顶层安全性目标需求,在飞机级指飞机整机的安全性目标即发生灾难性失效状态的概率不高于每小时1e-9,在系统级是指某系统发生某种失效状态的概率需求等;
4) 拟重用历史系统方案中的功能定义约束;
5) 适航规章CCAR25部等。
2.2.2 功能架构设计的过程
1) 开展初步功能分析、功能定义和功能架构定义
建立功能流图,并开展初步的功能行为分析。基于顶层设计需求中的功能性需求和运行概念需求中的系统操作需求等,创建典型场景下动态的系统功能流图(描述独立功能之间的协作过程),识别功能块之间的控制流,根据功能耦合关系对功能进行排序(串行或并行),并识别和分析其他可能的功能路径;比如依据系统运行概念需求中飞机与航空运输系统的预期交互逻辑,如飞机系统与地面飞机健康管理中心之间的数据交互逻辑等对功能流图进行完善。
针对典型场景建立功能流图的过程即“功能分析”的过程,功能分析是各层级飞机系统架构设计的起点,确保飞机系统架构设计各相关专业对系统设计目标具有统一理解;但由于飞机系统的功能经过多年的发展,已经比较成熟且稳定,开展“功能分析”工作更大的意义在于对关键场景中功能架构的动态交互行为过程进行确认。
进行功能定义,并构建功能结构树。依据功能流图,在拟重用的历史系统方案的功能定义的约束下,将功能块梳理成为颗粒度适中的功能定义,并依据多层级的功能流图构建功能结构树,描述功能定义之间的分解关系。
功能定义文件和功能结构树可以作为适航条款的符合性证据,比如飞机系统功能定义中包含“提供真空速”功能,可以作为CCAR25.1323条款“空速指示系统能够提供真空速”的部分符合性证据。
明确功能块之间的接口交互关系,形成功能接口框图。依据功能流图中的功能控制流,明确功能块之间的交互内容,包括数据流、物质流和能量流等,形成功能接口框图和功能接口文件,静态的功能结构树和功能接口框图以及动态的功能流图即构成了系统的功能架构。
不同系统的系统级功能架构基本是独立设计的,但都受到飞机级功能架构的框架约束;即使不同系统可能存在类似的功能片段,比如提供系统信息的显示功能等,但功能架构设计中并不将类似的功能片段进行合并,以确保各系统功能设计的独立性;为支持飞机级功能的实现,不同系统的功能之间可能存在功能接口,这些不同系统间的功能接口应该在每个系统的外部供接口文件中进行清晰定义,以明确不同系统的功能边界,进一步确保各系统功能设计的独立性。
功能架构可以支持对适航条款的符合性证据材料;比如针对CCAR25.1301条款,条款要求所安装设备的功能应该正常,系统功能架构描述了“功能正常”的判断准则,可以作为该条款的证据材料。
2) 开展关键场景的动态功能行为分析和确认并识别基本性能要求
针对关键场景,开展功能架构的动态行为分析,确认功能交互逻辑的正确性和完整性,包括功能时序和功能接口等;针对量化的关键场景参数比如环境温度等,识别关联功能的基本性能要求比如客舱温度控制目标等。
3) 进行初步的功能安全性分析
结合功能架构和顶层安全性目标需求,进行初步的功能安全性分析,为每个功能进行研制保证等级的定义,同时定义系统应对各种失效场景的低层级安全性目标需求。
基于功能架构的安全性分析文件,可以作为适航条款的符合性证据,比如针对CCAR25.1309条款,基于功能架构的功能危险性评估文件可以作为该条款的符合性证据材料。
4) 确认功能架构设计满足了顶层设计需求
针对顶层设计需求中给出的高层级功能性需求、非功能性需求、设计约束和运行概念需求中给出的系统操作需求以及顶层安全性目标需求等,基于动态功能分析和功能安全性分析的输出,对功能架构设计结果进行逐条确认分析。
5) 定义初步的系统需求规范
依据功能流图、功能定义和功能接口框图,抽取关键约束性要求包括某功能的基本性能要求等形成低层级的系统功能性需求;基于功能架构对顶层设计需求中的部分“非功能性需求”部分进行细化并建立与功能的关联关系(部分非功能性需求是支持功能实现的设计约束,比如某系统的物理设计约束等);对于顶层设计需求中其他无法与功能建立关系的通用性非功能性需求(一般是通用类的物理方案技术要求,比如电磁防护需求、通用安装需求)进行直接承接;综合低层级系统功能性需求、结构化的非功能性需求、直接承接的通用性非功能性需求等,同时综合功能接口文件,形成初步的系统需求规范文件。
2.2.3 功能架构设计的输出
1) 功能架构描述文件,包含功能定义、功能接口框图等;
2) 功能架构模型;
3) 初步系统需求规范文件(包含功能接口);
4) 基于功能架构的功能安全性分析文件;
5) 功能方面的适航符合性证据材料,包括功能架构、功能安全性分析文件等。
2.3 逻辑架构设计过程
系统逻辑架构设计过程的目的是基于功能架构,明确拟采用的技术方案,形成飞机与系统的逻辑解决方案,包括技术方案决策、与技术方案匹配的逻辑组件定义和逻辑组件结构树定义、逻辑组件交互关系框图、逻辑端口定义以及逻辑端口之间的数据/物质/能量交互定义。
逻辑视角系统架构设计过程如图6所示。
图6 逻辑视角架构设计过程
2.3.1 逻辑架构设计的输入
1) 初步的系统需求规范文件(包含功能性需求、结构化的非功能性需求、通用物理方案技术需求等,以及功能接口文件);
2) 功能架构描述文件和模型;
3) 功能定义与初步的功能分组;
4) 功能安全性分析文件;
5) 货架产品现状;
6) 拟重用的历史系统方案;
7) 特定技术或新研技术的技术成熟度分析;
8) 相似机型技术特征;
9) 竞争性策略;
10) 适航规章CCAR25部等。
2.3.2 逻辑架构设计的过程
1) 开展逻辑软件/硬件定义和逻辑架构定义
首先进行功能分组和分配,以及逻辑组件定义。典型设计场景下,针对系统的功能定义和初步系统需求规范中的功能性需求,在满足初步功能分组(来自利益攸关方的偏好)的约束下,开展功能分组即进行逻辑组件定义,功能分组过程需要依据功能架构上功能间的:(1)功能交互强度(功能分组内部强耦合),每个功能分组都需要与某系统的核心任务功能密切相关,通常从动态的功能流图中进行识别;(2)功能接口数据强度(功能分组之间低耦合),优化功能分组以减少需要在功能分组之间或子系统之间传输的数据,通常从静态的功能接口框图中进行识别。
在进行功能分组时,需要考虑技术方案的选择,同时需要考虑货架产品的现状和相似机型技术特征,适当的选用新技术并进行创新性开发,以符合成本约束和进度约束。考虑到对历史系统方案的重用,部分逻辑组件定义可能是已知的,此时需要进行功能定义到逻辑组件的分配。在系统逻辑组件定义时,要充分考虑对初步系统需求规范的承接,即将系统需求规范中的需求分配给逻辑组件。
在完成功能分组后,对功能分组进行命名,即进行“系统逻辑组件定义”。逻辑组件包含“逻辑软件”和“逻辑硬件”,在逻辑组件定义时需要进行初步的分类,并基于逻辑组件的颗粒度和包含关系建立系统逻辑组件的分解结构。
然后设计初步的备选系统逻辑架构。考虑对功能架构的全面承接,基于系统逻辑组件的定义,结合已有历史系统逻辑架构的成熟设计(比如软件定义和硬件定义),考虑竞争性策略以及所需要采用的新技术方案,考虑对系统外部接口(飞机级主要是与航空运输系统的接口)的兼容性,搭建逻辑组件的接口框图,形成备选的初步的系统逻辑架构;系统初步逻辑架构设计通过逻辑软件和逻辑硬件的定义(即功能分组)将功能架构进行重组和转化,功能由逻辑组件实现,功能间的接口关系由逻辑组件间的接口关系实现;在初步系统逻辑架构设计时,需要考虑对结构化的非功能性需求的满足。
不同系统的逻辑架构设计基本是独立的,各系统基于飞机级技术方案的选择比如IMA技术的选择等,各自进行逻辑软件和逻辑硬件的定义以及逻辑架构的搭建,通过各自系统的逻辑架构全面实现其对应的功能架构;在逻辑架构设计中,任务系统比如飞控系统和平台系统比如电源系统和IMA系统的逻辑架构设计依然是独立的,但一些逻辑硬件的能源供给形式可以初步给定,一些逻辑软件由于数据交互可能被划分到一个开发包中,进行初步的系统逻辑架构集成;
2) 开展备选系统逻辑架构的接口特性设计、工作模式设计和性能设计
针对系统逻辑架构,开展接口特性设计如接口类型匹配和数据匹配等。通过引入算法,将静态的系统逻辑架构转化为动态的工作模式和性能特征;基于逻辑架构仿真模型开展工作模式分析和系统性能分析,确保备选系统逻辑架构设计的合理性和完备性。
3) 进行备选系统逻辑架构的安全性评估和高安全性系统逻辑架构设计
系统逻辑架构设计和安全性评估是迭代进行的,目的是形成高安全性的系统逻辑架构方案。针对初步的系统逻辑架构,基于功能安全性目标需求包括功能研制保证等级和失效场景的概率要求等,开展严格的安全性分析,一方面定义逻辑组件的安全性需求,比如项目研制保证等级和逻辑组件在某个场景下的失效率要求,另一方面开展高安全性的系统逻辑架构的设计,包括引入冗余或监控机制等;在系统逻辑架构设计时,可能会引入一些辅助类的派生功能和相关功能性需求比如冗余管理、监控特性管理等安全性功能,自检测管理等测试性功能,支持形成满足高安全性需求的系统逻辑架构;在系统逻辑架构设计时,根据技术方案的选择,可能会引入一些非功能性需求,比如针对为飞行员提供信息显示功能通过抬头显示逻辑方案实现,相关的非功能性需求包括“实现飞行员抬头显示的显示计算软件要与的显示硬件分离”。
在完成备选的高安全性系统逻辑架构设计后,可以生成初步的系统逻辑架构设计文件包含系统逻辑接口文件等。
基于逻辑架构的安全性评估文件,可以作为适航条款比如CCAR25.1309的符合性证据材料。
4) 开展逻辑架构权衡分析和需求符合性分析
开展权衡分析并挑选最合适的系统逻辑架构,从功能、性能、资源、周期和风险等角度综合考虑,并根据竞争性策略进行权衡分析,挑选最合适的系统逻辑架构。
确认系统逻辑架构设计满足了初步的系统需求规范,针对初步系统需求规范中给出的功能、性能、安全性、设计约束、系统操作等需求,基于逻辑架构设计分析的输出,对高安全性系统逻辑架构设计结果进行逐条确认。
5) 形成初步的系统产品规范
在确认系统逻辑架构设计满足了初步系统需求规范的基础上,围绕高安全性系统逻辑架构,综合逻辑组件定义、逻辑组件接口框图、安全性设计特性、派生功能、派生非功能性需求、接口特性、性能特性等,形成初步的系统产品规范。
2.3.3 逻辑架构设计的输出
1) 逻辑架构设计文件,包含逻辑组件定义、逻辑架构方案等;
2) 初步的系统产品规范文件,包含逻辑接口文件等;
3) 逻辑架构模型;
4) 逻辑架构设计支持报告,包括逻辑组件定义和功能分组原理文件、逻辑架构安全性分析报告、逻辑架构接口特性分析报告、逻辑架构性能仿真分析报告、逻辑架构权衡分析报告、逻辑架构对需求的确认分析报告等;
5) 针对系统逻辑架构的安全性评估文件;
6) 基于逻辑架构的适航符合性证据材料,包括安全性评估文件等。
2.4 物理架构设计过程
系统物理架构设计过程的目的是针对逻辑架构方案,为逻辑组件的实现配置物理资源,明确物理设备定义,明确“软件/硬件”逻辑组件的集成、物理设备的能源供给、管路设置以及航电网络配置或设备间通信网络配置,形成飞机与系统的物理架构解决方案,包括软件/硬件逻辑组件集成的技术方案、航电网络的配置结果(数据路由过程)、物理设备的选型、管线路的设置、物理设备的安装等。
物理视角架构设计过程如图7所示。
图7 物理视角架构设计过程
2.4.1 物理架构设计的输入
1) 顶层设计需求、初步的系统需求规范、顶层安全性目标需求;
2) 系统的逻辑架设计文件和模型;
3) 初步的系统产品规范,包含逻辑组件定义和相关功能/性能要求、系统逻辑组件的研制保证等级等;
4) 功能安全性分析文件、针对系统逻辑架构的安全性评估文件;
5) 外部接口需求(飞机级的外部接口需求指确保飞机与航空运输系统兼容性的接口,一般包含在顶层设计需求中;系统级的外部接口需求指目标系统与关联系统的接口,一般包含在系统需求规范中);
6) 由利益攸关方指定的系统物理实现约束(包含在初步系统需求规范中);
7) 货架产品现状;
8) 技术成熟度分析报告,包含由于技术的可用性产生的系统实现约束;
9) 拟重用的历史系统方案;
10) 业务上的约束(成本,进度,资源);
11) 相似机型技术特征;
12) 竞争性策略;
13) 适航规章CCAR25部等。
2.4.2 物理架构设计的过程
1) 开展物理设备定义和物理架构定义
首先进行系统设备初步定义。系统设备为逻辑组件的实现提供物理资源,逻辑软件需要由计算机设备或可编程硬件设备实现,逻辑硬件需要由作动器等机械设备实现,逻辑接口需要由“管道、线缆”和航电网络的数据路由配置等实现。根据逻辑架构中“逻辑软件”和“逻辑硬件”的定义,为逻辑软件初步决策驻留位置,为逻辑硬件初步决策实现形式和能源供给形式,进行初步的系统设备定义;在初步系统设备定义过程中,需要考虑各项实现约束,包括技术方案的成熟度、重用的历史系统方案、货架产品的选用等。在定义系统设备时,需要考虑对初步系统产品规范的承接,即系统设备的定义要满足初步产品的要求。
其次设计备选的系统物理架构并定义物理接口控制文件。针对高安全性的系统逻辑架构设计和逻辑组件冗余特性等要求,基于系统的设备初步定义,设计备选的系统物理架构;设计备选系统物理架构的过程中,需要考虑相似机型的技术特征和相应的竞争性策略比如更高的网络带宽和更低的网络延迟等,同时需要考虑拟重用的历史系统方案;设计备选系统物理架构时,需要满足各项约束,包括顶层设计需求中的通用物理方案技术要求、利益攸关方直接指定的实现方案要求等。
对于每个备选系统物理架构,应定义以下关键特性:系统外部接口(飞机级指与航空运输系统的接口,系统级指与其他系统的接口);子系统或系统设备组成(追溯到对功能的承接)和相关属性要求;子系统或系统设备之间的接口;设备以及驻留软件的冗余特性以及其他架构安全特性;硬件隔离和软件分区要求;系统的故障监控、检测和告警特性;内置测试和系统重构控制特性;存在故障时的恢复模式和行为;对于多通道系统,定义同步或异步架构;设备的可互换性;预留给未来增长和复用的特性;加载和修改软件的方法。
对于每个备选系统物理架构,应建立一组框图,描述系统的设备组成及其物理接口,以及任何必要的冗余/隔离/分区特性。
现代化飞机系统的物理架构是一个整体性很强的网络化架构,包含多项平台类公共资源,比如能源和航电平台资源,这些平台资源基本都是以网络的形式出现,比如电源配给网络、航电数据网络等;不同系统的基本独立的逻辑架构在向物理架构映射时,本质上是在进行物理资源的分配,比如为作动器逻辑硬件提供电能或液压能,为逻辑软件提供驻留环境,为逻辑接口提供总线带宽分配等;完成物理资源分配和权衡分析的过程即完成多系统物理架构集成的过程,比如针对能源分配,要以整机能耗低为权衡分析目标,而针对航电数据网络资源分配,要以鲁棒性强、延迟低、数据完整性强为权衡分析目标。
在完成备选的系统物理架构设计后,可以生成相应的系统接口控制文件,包含机械接口控制文件和电子电气接口控制文件,机械接口控制文件中描述管路中的物质接口及其属性包括液压油、高压气等,而电子电气接口控制文件中描述交互的数据以及相关属性包括帧率等。
2) 开展系统物理架构工作模式和性能特性的设计仿真分析和确认
飞机与系统物理架构的工作模式一般是复杂且动态的,在此阶段需要使用基于建模和仿真的物理系统架构开发手段。针对系统物理架构模型需要开展的必要设计分析包括但不限于:正常和极端操作下的系统功能特性仿真;故障管理和架构重构配置特性仿真;系统稳定性和性能特性仿真;吞吐量特性仿真,包括处理延迟和带宽问题。
系统物理架构工作模式的设计分析和确认,可以作为适航条款符合性的证据材料,比如CCAR25.1301条款要求“所安装设备的功能应该正常”,可以对某具体系统的物理架构进行工作逻辑的仿真分析,验证所选用设备的功能在各种场景下是正常的。
系统物理架构性能特性的设计分析和确认,可以作为适航条款符合性的证据材料,比如CCAR25.1323条款要求空速指示系统的滞后效应部应引起明显的起飞指示空速偏差,可以对空速指示系统物理架构的滞后效应进行仿真分析,验证所引起的起飞指示空速偏差是允许的。
3) 开展系统物理架构的安全性校核
针对系统的安全性需求,包括顶层的安全性目标需求、功能研制保证等级要求、项目研制保证等级要求、逻辑组件的失效率要求等,基于系统设备的失效模式和影响评估分析,对备选的系统物理架构进行安全性校核评估,在开展更加深入的系统设计分析前确保系统物理架构是满足优先级最高的安全性需求的。
系统物理架构的安全性校核评估文件可以作为适航条款比如CCAR25.1309的符合性证据材料。
4) 物理架构权衡分析和需求符合性分析
进行权衡分析并选择最合适的系统物理架构。当对备选系统物理架构的选择不明确时,需要进行权衡分析。在进行权衡研究时,权衡分析准则应包括但不限于以下内容:安全性和取证可行性(该准则优先于其他准则);经常性成本和非经常性成本(成本约束);设备单元的尺寸和重量目标;能源供给方式和能源消耗特性;系统开发时间(进度约束);性能风险;每个设备单元的必要的可靠性,以实现系统整体的可用性和完整性需求;系统在不同场景下的稳健性;可扩展性和增长潜力;组件的潜在过时情况(资源约束)。
检查系统物理架构设计方案对系统需求的符合性。系统工程师应针对与备选系统物理架构设计相关的所有系统需求进行符合性评估,包括系统顶层设计需求、由功能架构设计产生的系统需求规范、由逻辑架构设计产生的初步系统产品规范、顶层安全性目标需求和各架构设计中产生的低层级安全性需求、与外部系统的接口需求等。如果所选系统物理架构无法满足某些系统需求,则需要考虑以下一项或多项处理方法:重新审视系统需求规范并进行适当调整;考虑进行进一步的备选系统物理架构设计并重复设计过程;重新评估关键的备选系统物理架构。
5) 设备安装需求定义和最终产品规范定义
结合系统物理架构定义安装需求。结合系统物理架构设计中设备的定义和管路/线缆的设计,需要对系统和设备组件的安装需求进行定义。
系统物理架构中设备安装需求的定义和落实可以作为适航条款的符合性证据材料,比如CCAR25部的F分部针对多个飞机系统的设备给出了安装要求,针对条款安装要求的符合性验证可以通过对基于物理架构设备安装需求的确认和验证进行落实。
形成最终的系统产品规范。在确认系统物理架构设计满足了初步系统产品规范和其他系统需求的基础上,综合系统物理架构解决方案的设备定义、软硬件集成方案、设备属性要求和失效率要求、物理架构特性包括工作模式和重构控制等,形成最终的系统产品规范,支持下层级系统设计或与供应商采购合同的签订。
2.4.3 物理架构设计的输出
1) 系统物理架构设计方案文件,内容包括:系统物理架构的整体概述;系统物理架构的框图;系统物理架构对应的功能性需求;系统物理架构设计决策的原理;“设计备选系统物理架构”过程中列出的每个关键架构特性的总结描述;适用于每个子系统/设备组件的关键外形和装配需求的总结列表;每个设备组件提供的关键功能和相应必要性能的总结列表;每个系统和设备组件的安装需求;设备组件的冗余需求;每个关键功能及其相关硬件和软件的完整性要求;
2) 物理架构模型;
3) 最终的系统产品规范,包含详细的物理接口控制文件;
4) 基于物理架构的适航符合性证据材料,包括安全性评估文件、物理架构仿真分析报告等。
3 对体系性要求的落实情况分析
飞机系统架构设计过程的多视角策略对各项体系性要求的落实情况如下:
1) 针对系统工程过程的要求,基于多视角可以更加全面和结构化的捕获需求包括功能性需求(来自功能架构设计)、非功能性需求(来自逻辑架构和物理架构设计)、安装需求(来自物理架构设计);功能分析和功能架构定义同属于功能视角,架构关注静态接口设计,功能分析关注场景和动态行为,二者相辅相成;多视角策略将飞机系统架构设计的多系统耦合性和全局高复杂性进行了解耦和分解,通过完备的设计数据追溯网络可以清晰反映多系统间的耦合机制和各种架构设计元素的复杂关联关系;
2) 针对适航要求,大部分的适航条款直接针对系统物理技术方案提出要求,但对相应条款的解读和对系统架构设计需求的转化需要从功能、逻辑和物理等不同视角进行全面的分析和需求定义;在对适航条款进行全面解读并形成需求的基础上,将相应需求落实到各视角的架构设计过程中去,并在架构设计过程中针对需求的确认和验证建立并留存适航符合性证据材料;针对安全性评估,在功能视角开展功能危害性评估,在逻辑视角开展初步安全性评估,在物理视角开展失效模式和影响分析,并在其基础上开展飞机系统的安全性校核;不同视角的安全性分析工作之间是递进的,前者为后者提供分析的输入,而不同视角的安全性分析工作均需要基于相应视角的架构设计结果;
3) 针对研制程序的评审节点,节点前的设计阶段需要完成不同视角的系统架构设计工作;概念设计阶段中,主要开展功能视角的工作,明确飞机系统设计的总体目标和功能架构;初步设计阶段中,主要开展逻辑视角的工作,并给出初步的飞机系统技术方案,主要包含飞机级和系统级的逻辑架构;详细设计阶段中,主要开展物理视角的工作,在初步飞机系统技术方案的基础上对各系统的物理架构方案等进行设计;
4) 针对高集成度航空电子设计,通过多视角将各潜在驻留系统的架构方案设计进行解耦,将最终飞机系统物理架构的高度集成进行分解;功能视角中,各潜在驻留系统的功能分析和功能架构设计是独立的;逻辑视角中,根据功能间的耦合强度(数据耦合或功能逻辑耦合等)对功能进行分组,定义初步集成的逻辑组件(包括逻辑软件和逻辑硬件和相应的操作程序等)和逻辑架构;物理视角中,根据系统/组件/数据的安全性要求、性能要求和操作要求等为逻辑组件分配航电系统的物理资源(包括计算资源、网络资源等),定义软硬件集成的系统设备和物理架构;
5) 针对系统架构设计质量,在逻辑视角通过安全性和性能等原则初步判断某系统控制部分或某航电软件是否驻留,在物理视角进行物理计算资源的分配仿真分析并明确最终驻留决策,以降低航电计算资源的设计保守性;在逻辑视角中对功能进行分组并进行模块化设计,在物理视角中对逻辑组件进行分组并进行模块化设计,并在物理架构设计中预留合理的升级空间,以提升飞机系统的模块化程度;新功能引入时首先在功能架构上进行影响分析,识别受影响功能,然后根据多视角设计之间的追溯关系识别受影响逻辑组件和受影响物理设备,通过不同视角的架构全面评估新功能带来的影响(成本、收益、风险和代价等),支持新功能是否引入的决策;在功能视角进行初步全面的功能分析,在逻辑视角和物理视角识别由技术方案选择衍生出的功能,比如冗余处理功能等,通过功能架构、逻辑架构和物理架构的追溯性保证由各种方式识别到的功能都能被合理的实现,减少飞机系统架构设计后期涌现性功能的出现;在功能视角通过功能架构上全面识别功能接口,通过建立功能架构、逻辑架构、物理架构上接口数据的映射关系,确保各视角系统架构接口设计的一致性,同时确保最终物理方案上系统设备接口的正确性和完备性;
6) 针对历史系统设计的复用,在各视角架构设计时,历史系统的设计方案体现为设计约束,一般情况下需要通过逆向工程在物理方案的基础上明确历史技术方案的功能定义、软硬件逻辑组件划分等情况,以形成不同视角下的设计约束,包括功能架构设计约束、逻辑架构设计约束和物理架构设计约束等;
7) 针对与航空运输系统的兼容性,在开展飞机系统功能架构设计之前,需要对航空运输物理架构进行分析,识别与机场、空管、AOC(航空运行控制中心)、地面辅助导航台、航空信息服务提供商等的物理接口和通信协议等物理设计约束,然后对物理设计约束进行逆向分析,明确受影响功能比如提供高度功能和受影响逻辑组件比如高度计算软件等,进而构成飞机系统功能视角和逻辑视角的设计约束;通过全面明确航空运输系统对多视角飞机系统设计的约束,提升最终飞机系统物理方案对航空运输系统的兼容性。
通过贯彻多视角策略,“基于多视角策略的飞机系统架构设计过程”可以满足各项体系性的要求,是清晰、协同且具备输出完整性的,是一个规范的飞机系统架构设计过程。
4 结论
根据多视角策略(功能视角、逻辑视角、物理视角),本文提出了“基于系统工程的飞机系统架构设计过程”,具体如下:
1) 针对每个视角,给出了完整的架构设计过程描述和输入输出定义。其中,功能架构设计,主要关注功能定义、功能交互描述和基于功能架构的安全性需求定义等;逻辑架构设计,主要关注逻辑软件和逻辑硬件的定义、软/硬件离散逻辑架构的设计、功能架构与逻辑架构的映射以及基于逻辑架构的安全性评估分析等;物理架构设计,主要关注物理设备的定义、软/硬件集成物理架构的设计、物理架构对逻辑架构的资源分配以及基于物理架构的安全性校核分析等。
2) 定义了五条设计主线,即需求主线、架构主线、行为主线、性能主线和安全性分析主线;
在多视角的框架下,五条主线上的设计数据可以构成全局性的追溯网络,支持开展各项架构设计分析,并最终支持架构设计质量的提高。
基于多视角策略的飞机系统架构设计过程充分考虑了系统工程过程的要求,满足多项飞机系统设计特点的要求,且保持了清晰简洁统一的过程步骤,能够有效的指导工程实践应用。通过对体系性架构设计要求的满足,贯彻基于多视角策略的飞机系统架构设计过程,预期能够部分解决飞机系统架构设计中的质量问题并提升客户满意度,预期能够部分解决成本问题和进度问题并提升飞机主制造商的系统架构设计和集成能力。
本文提出了基于系统工程的飞机系统架构设计过程,可以作为各层级飞机系统架构设计的理论参考,但飞机系统架构设计工程实践中还需要能够支持“五条主线过程包括需求、架构、行为、设计参数、安全性”落地并大规模应用的手段,需要在飞机系统架构设计过程中推进“基于模型的系统工程(MBSE)”方法的应用。匹配本文提出的基于多视角策略的飞机系统架构设计过程的MBSE方法在飞机系统架构设计工程实践中的应用是下一步研究方向。
