侯 雄,李东方
1. 北京航天自动控制研究所,北京 100854 2. 宇航智能控制技术全国重点实验室,北京 100854
系统工程自上世纪中叶起逐步成为一门独立的学科,形成了涵盖理论方法、技术基础、方法论、系统环境等内容的学科体系[1]。系统工程理论不局限于某一种技术,而是从更高的层次指导和规划技术的应用和集成。一方面,技术的革新与进步促进了系统工程理论的发展和更新;同时,系统工程理论的发展进步也进一步促进了多学科技术的集成和协调,提升了工程项目的管理水平和组织协调效率。
航天产品的研发过程是复杂系统工程的集中体现,涉及控制、结构、气动、机械及软件等多学科专业,常常伴随产品设计方案的多次迭代、总体与分系统间接口的反复验证。近年来,随着航天任务复杂度提高,现有的航天产品设计模式面临研制周期短、系统设计“一次成功”等挑战。目前,国内航天产品研制过程主要以自然语言描述的文档为载体进行,其产出物多为基于自然语言的、以文本格式为主的文档,如运载火箭总体设计方案、分系统设计方案等。随着技术的发展,早期的纸质文档已被电子文档替代,但从系统工程本质上看,电子化的文档、表格等并没有改变设计信息的传递模式。尽管自然语言描述的文档符合设计人员直觉理解,但其存在着一些固有缺陷:设计各方对同一份文档理解存在不一致[2]、自然语言对需求间的关系处理不够高效[3]、彼此分离的文档需花费较高的维护成本[4]、基于文档的方法难以确保设计信息来源的可追溯性[5],种种缺陷在很大程度上阻碍着研发效率的提升。基于模型的系统工程(Model-Based Systems Engineering, MBSE)正是在这种背景下提出的,是通过以模型为中心的设计模式推动系统设计从需求分析到仿真验证再到生产维护的全生命周期管理,支撑航天产品数字化设计迈向新层次发展。
本文首先介绍了MBSE的基本概念及其发展过程,概述了支撑MBSE的三大支柱;其次,围绕控制系统架构设计、控制系统可靠性与安全性分析、控制系统校核和验证三方面综述了MBSE在航天控制领域的应用实践;并从多领域联合仿真、控制系统数字孪生、控制系统智能化设计与优化三方面展望了MBSE在控制系统中的应用前景;最后对全文进行总结。
在MBSE概念提出以前,以CAD/CAE/CAM(Computer Aided Design/Computer Aided Engineering/Computer Aided Manufacturing)等为代表的数字化设计技术已在欧美航空航天机构广泛应用。美国航空航天局(NASA)[6]、波音[7]、空客[8]、欧空局(ESA)[9]等在设计、仿真、制造、维护等产品生命周期不同阶段使用数字化技术,通过数字化模型进行早期仿真验证,提高了项目开发效率,显著降低了产品开发成本。国内也对数字化设计技术在飞机[10]、运载火箭[11]、机械[12]等领域的工程化应用开展深入研究,取得了良好效果。
数字化技术深入应用的同时也在推动着系统工程理论的发展创新。国际系统工程协会(INCOSE)在2007年《系统工程愿景2020》中将MBSE定义为一种应用建模方法的正式认同,用于支持系统需求、设计、分析、检验和验证活动,这些活动从概念设计阶段开始,贯穿整个开发过程及后续的生命周期阶段[13]。相比于基于文档的系统工程,MBSE以模型为中心,基于模型驱动系统生命周期活动进行,将原有文档化、表格化的需求指标、设计方案等转化为基于建模语言的概念模型。MBSE将数字化模型视为产品生命周期活动中的主要产出物,通过模型的产生、传递和更新实现系统设计内容的迭代。如图1所示,在INCOSE发布的远景规划中,MBSE逐渐走向成熟,正在向跨领域、分布式的可靠模型库深入发展。
图1 MBSE远景规划[13]
MBSE并不是对原有系统工程理论的颠覆,而是系统工程理论的一次革新,是在信息化、智能化发展背景下的一次思想范式转变。通过利用形式化、图形化的建模语言和建模工具构建系统模型,MBSE实现了对传统系统工程“V”模型的改造,一方面通过建模语言构建需求模型、功能模型和架构模型,实现需求、功能到物理架构的分解和分配;另一方面,通过模型实现系统需求和功能逻辑的确认和验证,驱动产品设计、实现、测试、综合、验证和确认环节。
建模语言、建模方法和建模工具是MBSE的三大支柱,是MBSE从理论思想到工程落地的重要支撑。建模语言以框图、线条、箭头等符号对系统设计中的组件、模块、信号、状态等元素进行表示,以统一、规范的模型对不同学科专业知识进行描述。建模方法提供了系统建模的“路线图”,蕴含着不同设计人员对如何利用建模语言进行MBSE建模的不同理解。建模工具是支持设计人员利用建模语言进行系统建模过程的实施平台。
1.2.1 建模语言
系统建模语言(Systems Modeling Language, SysML)作为当前主流的MBSE建模语言,是INCOSE和对象管理组织(OMG)在统一建模语言(Unified Modeling Language, UML)的基础上重用和扩展而来的[14],图2展示了SysML与UML间的关系。UML是软件工程领域规范的、无二义性的形式化描述语言,被软件工程师广泛用于软件模型定义、软件视图描述和软件架构设计,但UML并不直接适用于系统工程。SysML在UML的基础上进行了修改,删去了UML中关于软件工程领域的图类型,增加了用于系统工程建模活动的图类型。SysML包含3类9种图,围绕系统工程领域应用添加需求图、参数图用于描述需求间的追溯关系以及系统属性间的约束关系,构建了系统不同属性元素的关联关系,增强了系统各元素间、系统模型间的可追溯性。由于SysML具有形式化语义,利用SysML构建的系统模型具有明确的定义,系统设计人员能够以无歧义的方式进行系统开发、项目交流和管理维护。
图2 SysML与UML的关系
图3 基于SysML的集成仿真环境[49]
1.2.2 建模方法
建模方法指导系统建模工程师进行需求捕获和分析、功能分解、系统分析、详细设计等系统工程活动,是系统设计开发活动的理论形式。遵循一定的建模方法能够使建立的系统模型具有更好的可读性,降低不同建模工程师间的沟通障碍,同时提高模型的广度、深度、准确性和复用性。目前航空航天领域应用较为广泛的MBSE方法主要有以下几种:
1)Harmony SE方法
Harmony SE方法是I-Logix公司提出的包含需求分析、系统功能分析和架构设计三大流程的MBSE方法。Harmony SE方法在形式上遵循经典的系统工程“V”模型,以SysML模型为核心、基于需求驱动系统开发活动,强调利用用例图进行系统需求分析,利用活动图、顺序图、状态机图等进行系统功能分析和详细设计,实现系统设计由“黑盒”到“白盒”的“解白”过程。IBM推出的MBSE建模工具Rational Rhapsody可以为Harmony SE方法的实施提供支持。国内如中航工业等部门基于Harmony SE和Rhapsody进行了MBSE试点应用[15]。
2)MagicGrid方法
No Magic公司提出的基于需求、结构、行为、参数的SysML建模流程以及从问题域、到方案域再到实施域的系统工程思想,构成了MagicGrid方法。MagicGrid根据产品研制不同阶段在问题域、方案域、实施域进行建模活动,基于SysML在不同域内部进行产品需求分析、架构设计、参数分析等活动,提供用于描述系统物理属性的建模元素,包括质量、功耗等系统属性以及信号流、能量流等系统间交互方式,更加适合航天领域应用。NASA在MBSE的试点中利用MagicGrid方法及其配套建模工具MagicDraw进行航天器系统设计与验证等活动[16]。
3)ARCADIA方法
架构分析与设计集成(Architecture Analysis and Design Integrated Approach, ARCADIA)方法由法国Thales公司提出,是定义和验证复杂系统架构设计的建模方法,包含运行分析、系统分析、逻辑架构设计和物理架构设计4个层次。ARCADIA基于Thales推出的建模工具Capella,通过不同层级间的反复迭代和验证,实现从需求响应到系统功能分解再到物理架构分析的过程。同时,Thales在SysML基础上开发出ARCADIA SysML特定领域建模语言,包含能力图、数据流图、架构图、场景图等多种系统视图,通过对SysML的重用和扩展实现对SysML优点的继承和面向工程系统的建模能力的增强。ARCADIA方法在欧洲防务领域内得到应用[17]。
1.2.3 建模工具
不同软件厂商根据其自身特点和对系统工程领域的应用需求开发出不同的建模工具,用于支持建模工程师进行系统模型构建。表1中对比了目前应用较为广泛的建模工具。
表1 建模工具对比
随着新一轮产业技术革命的兴起,智能化、信息化、数字化浪潮席卷全球,欧美国家相继提出“工业4.0”、“工业互联网”等战略构想,希望继续占领以智能制造为代表的科技制高点。美国国防部于2015年开始实施数字工程战略,并于2018年正式发布《数字工程战略》白皮书,进一步推动以模型和数据为中心的复杂系统跨学科、跨领域数字化设计,支撑系统从概念开发到报废处置的所有活动,并融入人工智能(Artificial Intelligence, AI)、大数据、超级计算等技术建立全要素的数字工程生态。
作为系统工程理论的革新成果,MBSE一经提出就得到了NASA、ESA、美国国防部高级研究计划局(DARPA)等机构的响应。喷气推进实验室(JPL)提出集成模型中心工程(Integrated Model-Centric Engineering, IMCE)加速MBSE落地,制定7年的构建、执行、整合三步推进战略[18],并在猎户座任务[19]等20余项研制任务中进行试点应用;洛克希德·马丁[20]、波音[21]等航空航天企业也将MBSE应用在相关项目研发中。国内如北京宇航系统工程研究所[22]、北京空间飞行器总体设计部[23]、中国航天系统科学与工程研究院[24]等航天科研机构在运载火箭等航天器的研制中开展MBSE试点应用,探索实施以MBSE为核心的数字化研制模式。航天控制系统经过多年发展,已逐渐形成基于文档和数字化模型的混合设计模型。一方面,从需求分析、子系统及部件详细设计等诸多环节来看,文档驱动的串行设计模式仍未改变;另一方面,以具体型号为主体的设计模式导致建模标准和仿真框架不统一[25],难以实现设计模型复用和设计经验积累。因此,亟需通过MBSE实现系统设计模式的迭代更新。
系统架构是一种描述系统组成、结构、行为和视图的概念模型,是在满足系统需求的情况下对系统元素及子系统的合理布置和功能分配[26]。系统架构设计作为系统工程活动的重要环节,向上回应顶层需求任务,向下指导系统详细设计和仿真验证。随着航天控制系统架构越发复杂,基于文档的设计方法难以解决控制系统架构设计中面临的设计需求不断变更、设计内容反复迭代、早期验证困难等问题,而MBSE方法能够建立规范化、结构化的SysML模型,实现对控制系统组成、结构、功能、行为等信息的抽象化过程。
NASA率先将MBSE应用于航天产品控制系统设计中,致力于通过MBSE实现高效、规范的控制系统架构设计。JPL通过对控制系统架构领域知识的捕获建立如信号、组件、接口、通道等关键概念的SysML示例集,提出完整的控制系统架构开发流程[27],为构建底层SysML模型库提供基础。该方法为MBSE在控制系统架构设计中的应用提供了参考,但并未考虑引入需求模型对架构设计进行约束。随着MBSE应用的不断深入,JPL在欧罗巴快船项目中提出基于MBSE的CAESAR(Computer Aided Engineering for Spacecraft System Architectures Tool Suite)平台,将SysML模型与Capital Logic电气模型集成用于电气接口和线缆线束规格设计[28],并实现数据自动分析和报告自动生成。从实施路径看,NASA通过多年的研究已将MBSE从单一系统架构设计应用过渡到平台级集成验证,通过整合不同模型数据实现一体化设计与分析。
航天控制系统作为重要分系统之一,其架构设计无法与航天器总体设计脱离。文献[29]从总体与分系统间的关系角度提出基于MBSE的运载火箭总体与分系统设计框架,基于总体需求模型实现从电气系统需求到单机设备性能模型的架构设计流程。从分系统架构设计的角度,文献[30]通过构建能源分系统架构模型验证了ARCADIA方法在运载火箭能源分系统中应用的可行性;文献[31]在需求约束下搭建月球水资源探测器电气系统内部接口架构,通过追溯关系矩阵和设计分配矩阵实现了顶层需求的完整覆盖;文献[32]通过活动图对火星车综合电子系统功能进行了详细设计,明确了综合电子系统与其他分系统间的交互逻辑,细化了系统任务规划流程。尽管上述研究都能通过SysML模型完整建立系统架构模型,但系统参数属性约束以及早期验证的缺失使得其架构设计的合理性和可行性难以得到有效检验。文献[33]则围绕航天器控制系统架构设计过程,利用参数图实现设计指标约束,通过对不同架构设计方案进行权衡分析和仿真验证了架构设计的可行性。
综合来看,基于MBSE的航天控制系统架构设计是通过分析任务书指标实现总体需求到控制系统需求的分解过程,在需求约束下利用SysML的块定义图、内部块图完成电气系统组件内外部结构定义和信号流、数据流、能量流等端口建模,利用活动图、序列图、状态机图等明确系统执行状态顺序、描述系统状态动态变化过程,利用参数图建立系统属性间的约束关系,侧重顶层结构分解和逻辑行为分析。但SysML的语义特点使得其构建的架构模型难以真实反映系统内部工作状态,因此结合不同领域专业仿真工具在架构设计阶段进行动态性能仿真才能进一步检验系统架构设计的合理性和可行性。
长期以来,航天控制系统通过“硬件备份+解析冗余+专家系统+安全模式”[34-35]的故障诊断技术实现了高可靠性和高安全性。作为航天产品“六性”的重要要素,控制系统的可靠性和安全性关系航天产品质量、关乎航天任务成败。控制系统可靠性和安全性分析是在系统研制初期开始的验证技术,用于对控制系统工作状态及其潜在危险、可能发生的故障及应对策略进行系统性分析,这一技术过程贯穿系统生命周期始终。目前,航空航天装备领域已将故障模式及影响分析(Failure Mode and Effect Analysis, FMEA)、故障树分析(Failure Tree Analysis, FTA)等技术广泛应用于可靠性和安全性分析中。而MBSE所具有的规范化建模过程特点,使得将MBSE应用于可靠性和安全性分析成为研究热点[36-37]。将MBSE应用于航天控制系统可靠性和安全性分析中,是通过将传统安全性分析过程与MBSE设计过程有机融合,在需求分析、架构设计等不同阶段确定系统失效状态、建立故障行为模型,并开展故障注入等仿真验证。通过上述流程,能够改善传统故障分析模式存在的故障信息模糊性、二义性以及故障信息与其他模型元素相互独立难以保证数据同源等[38]问题,提早暴露系统设计中存在的风险。
NASA将MBSE和可靠性与维护(Reliability &Maintenance, R&M)活动相结合,提出了基于SysML的航天器控制系统故障管理(Fault Management, FM)元模型和建模方法[39],开发自动提取FTA工具并将其应用于航天器R&M评估中,所使用的工具能够对部件潜在故障模式和影响进行排序并分析可能的故障诱因。
文献[40]对通信卫星姿态控制系统故障问题进行分析,建立姿控系统故障信息表征模型库,基于模型库开展故障影响与追溯分析、故障处置行为建模与仿真,验证了基于SysML的故障信息表征和分析方法。
文献[41]针对探空火箭动力系统控制问题,基于MBSE方法建立故障功能模型、FTA模型,通过形式化方法分析故障诱因和潜在影响。
基于MBSE的控制系统可靠性与安全性分析通过结合系统模型实现了规范化的模型输入,但一方面,由于SysML并不是专为安全性分析而设计,难以完全达到专用安全性分析语言的能力;另一方面,对于航天这样高可靠性、高安全性需求强烈的复杂系统,SysML建立的故障模型往往需要与仿真工具相结合,通过动态仿真检验模型正确性,如文献[42]以伺服控制系统为例,建立基于模型的软件标准模块库,结合Simulink建立的动力学模型使用SCADE进行控制律模型和行为模型的故障仿真验证;文献[43]利用DOORS和Rhapsody分别进行需求分析和功能建模,通过Simulink模型完成了需求设计到验证的完全覆盖,并实现了基于模型的功能故障模式及影响分析。
校核和验证(Verification &Validation, V&V)作为一项检查产品是否准确满足需求指标和设计规范的技术,在运载火箭等航天器的设计仿真和生产测试中扮演着重要的作用。校核是保证早期开发阶段模型设计正确性的工作,是检验模型表达设计概念描述的过程;验证是通过客观依据检查模型所代表的设计内容是否完整覆盖需求[44-45]。V&V最初用于仿真领域,后逐步扩展到各个领域。随着运载火箭等航天器控制系统复杂度的不断提高,对真实系统进行故障注入测试面临成本高、难以覆盖所有的故障模式等局限,通过数字化模型对控制系统进行校核和验证的需求与日俱增。由SysML构建的控制系统模型能够对内部软硬件组成、接口、功能进行结构化、规范化的表达,对于物理试验难以完全覆盖的故障模式能够通过数字化仿真的方式实现测试。基于数字化模型能够在有限的测试时间内对控制系统内部工作流程和节点进行验证,检验并提前暴露设计中存在的问题,提高系统的研制效率。
JPL在航天器综合电子系统V&V中引入MBSE[46],基于SysML构建的飞行软件、总线控制器模型直接导出仿真测试模型,仿真结果与硬件测试台上运行的结果能够精确匹配。
文献[47]针对运载火箭电气系统匹配验证数字化需求,利用SysML建立包含遥控单元、信号整合等电气系统仿真模块,分别对指令处理、仿真时钟和故障模式进行建模,并通过与实测数据对比验证了仿真的有效性和可行性。
文献[48]考虑飞控计算机子系统内部总线故障问题,建立飞控系统SysML模型、使用状态机图生成机内测试(Built in Test, BIT)行为模型,对1553、A/D等总线进行BIT仿真并分析模型的可扩展性。
上述研究多是对系统内部单一或多个组件进行SysML建模和仿真,且更多面向任务场景序列和系统交互,而控制系统内部软硬件工作逻辑复杂,基于SysML能否构建完整的控制系统仿真测试模型仍是值得研究的方向。
通过SysML能够形式化表达控制系统设计内容,但同时需要结合各领域专用仿真工具对设计内容进行早期验证,及时发现设计中存在的问题。文献[49]提出一种基于SysML的集成仿真思想,在SysML建模软件和专业仿真软件中分别构建系统模型和仿真模型,并通过模型转换或参数传递实现设计环境与仿真环境间的交互,不同仿真环境负责对具体领域内的模型进行求解,并将结果传递给系统模型,实现多领域间的集成仿真。
针对模型转换方法,SysML4Simulink[50]、SysML4Modelica[51]以及其他特定语义和属性下的扩展模型被相继提出,增强了基于SysML的多领域联合仿真能力。以SysML和Modelica间的集成为例[52],通过对SysML和Modelica的元模型和映射关系进行分析,能够实现面向Modelica的SysML结构模型和行为模型扩展,使SysML具备表达基本Modelica语义的能力,实现连续、离散行为的形式化表达以及系统架构到仿真模型的自动生成。尽管模型转换方法能够完成SysML与特定仿真语言的自动转换,但实现SysML对各种仿真工具的扩展存在较大难度,通过FMI(Functional Mock-up Interface)通用接口标准实现不同仿真工具间的联合仿真得到广泛关注[53]。FMI是由欧洲发展信息技术计划提出的多领域协同仿真标准[54],基于FMI标准生成的FMU(Functional Mock-up Unit)文件包含描述模型接口信息和数据的XML(Extensible Markup Language)文件以及实现模型动态行为功能的C代码或二进制文件,不同仿真软件通过调用FMU文件能够实现联合仿真。文献[55]针对导弹电气系统仿真问题,基于SysML/UML构建电气系统概念设计模型,使用Modelica、Simulink等专业仿真语言和工具分别建立导弹机械、能源、控制等系统仿真模型,通过对飞行高度和电池SOC(State of Charge)的联合仿真验证了方法的可行性。
基于MBSE的控制系统多领域联合仿真通过标准化仿真接口打通SysML系统设计模型、Matlab/Simulink制导姿控算法模型、Capital Logic电路模型、Modelica机械模型、SCADE软件模型等障碍,将系统模型与专业模型串联,能够实现静态模型与参数的自动化传递,构建动态、实时的控制系统数字化仿真模型。
航天控制系统数字孪生是实现控制系统向虚拟空间的数字映射,通过多学科、多时间尺度的仿真模型融合传感器实测数据、仿真数据和飞行历史数据对控制系统进行分析,对控制系统全生命周期的演化过程进行反映和预测[56]。文献[57]搭建了航天器供配电系统数字孪生模型,基于数据驱动的模型动态修正方法和飞行状态监视与仿真预示技术实现遥测数据实时注入和在轨健康状态预测,为构建航天产品数字孪生模型提供参考。
MBSE以其“自顶向下”的系统设计模式以及全生命周期动态演化为数字孪生在航天控制系统中的实现提供了有力支撑,能够在航天产品概念研究和可行性论证阶段建立顶层需求模型,构建数字孪生早期框架[58]。随着产品设计的不断深入和修改完善,建立以SysML模型为核心的架构和功能模型、以Simulink/Adams/Modelica等为代表的控制、机械、电气、光热等分领域仿真模型,实现多学科间交互协同,形成底层模型库、支撑数字孪生体模型建立;同时,结合AI、大数据、云计算、物联网等关键技术建立物理系统与数字孪生体间的数据传输与交互网络[59],推进物理域与数字域间的双向实时交互和信息同步,实现数据采集传输、状态实时监测、行为预测分析、任务评估规划、自主决策博弈等各种功能,构建以高精度孪生模型为基础、数据传输网络为支撑、智能控制算法驱动的航天控制系统数字孪生体。
INCOSE在《系统工程愿景2035》中将AI增强的MBSE视为系统工程的发展方向[60],通过ML(Machine Learning)等技术实现高效的模型重用,结合实时控制算法构建分层仿真模型支持多尺度实时仿真。当前,以GPT(Generative Pre-Trained Transformer)为代表的生成式AI也为控制系统智能化设计、智能化人机交互提供了新的可能。基于AI增强的MBSE能够在控制系统设计不同阶段提供智能化分析与优化,进一步提高产品研发效率、缩短研制周期。
在需求建模阶段,通过对总体需求模型的智能化分析实现控制系统需求模型的自动建立和优先级排序,并基于对大量历史数据的分析实现需求模型的合理优化。在系统设计阶段,根据需求模型建立不同SysML架构模型,结合SysML参数图进行架构权衡分析,实现自动化架构分析与优化[61],并基于系统架构模型自动生成方案设计报告等文档。在仿真验证阶段,结合专业仿真工具实现仿真结果自动化传递,基于仿真结果自动优化架构模型设计。在生产维护阶段,利用生命周期测试数据完善部件数字孪生体[62],为后续系统设计与优化提供参考。
MBSE作为系统工程理论的一次革新,势必会带来思想和习惯上的冲击。MBSE概念的提出已经有十多年,国内外研究机构也对其在项目中的实际应用展开了广泛试点。尽管MBSE在各领域中的应用仍处于探索和试点阶段,还未形成被广泛接受的建模、设计和应用范式。但我们应清醒认识到,MBSE的发展不是一蹴而就的,MBSE对型号研制的赋能效果也不是一朝一夕就能体现的。只有持之以恒推进MBSE理念深入思想,形成具有航天特色的MBSE设计模式,才能不断提升科研生产效率和产品管理能力,推动航天控制系统数字化、智能化深入发展。