摘要

针对飞控系统安全性分析问题，提出 一 种基于系统拓展模型(extended system model，ESM) 的安全性分析方法 。首先，运用 Simulink建立系统名义模型。然后，对名义模型进行故障注入，得到系统扩展模型，观察故障情况下的系统响应并对系统进行安全性分析 。最后，选取操纵舵面系统(副翼／方向舵) 为例 。

结果表明，系统故障拓展模型使得模型保持完整性和一致性，能够模拟系统故障多状态模式，保证了安全性分析结果的准确性和完整性。

引言

传统的安全性分析方法是由安全工程师根据需求手动执行安全性分析，如故障树分析(faulttreeanalysis，FTA)、功能性风险分析(functionalhazardanalysis，FHA)、失效模式及影响分析(failuremodeandeffectanaly－sis，FMEA)等方法。

由于这些分析方法是人为主观的分析，主要依靠的是分析人员的经验，故这些方法难以预测系统所有可能出现的行为。但随着飞机系统功能不断更新发展，系统变得复杂庞大，传统的安全性分析方法难以保证结果的完备性、一致性和正确性。

为此，工程师为系统设计和安全分析创建形式化模型，并使用计算机自动分析其行为。基于模型的系统安全性分析(model－basedsafetyanalysis，MBSA)方法使安全性分析工作更加客观和高效，MBSA已成为复杂机载系统安全性分析的发展趋势之一。欧洲与美国的一些航空企业及科研机构在这一领域的研究处于领先地位。欧盟从2000年开展一系列的研究，先后完成ESACS(enhancedsafetyassessmentforcomplexsystems）、MISSA(moreintegratedsystemssafetyassessment)、ISAAC(improvementofsafetyactivitiesonaeronautical
complexsystems)3个项目，NASA利用模块定义图(binarydecisiondiagrams，BDD)模型检验方法对《民用机载系统和设备安全性评估过程指南和方法》SAEARP4761描述的机轮刹车系统控制单元(brakesystemcontrolunit，BSCU)进行了安全性分析。

国内外学者针对复杂系统的安全性分析问题上，针对建模及安全性分析方法上，主要研究了包括：随机Petri网、马尔可夫模型、动态故障树等方法。德国航空航天中心 (GermanAerospaceCenter，DLR)提出了一种基于Modelica的系统安全性分析方法，通过对故障仿真建模计算最小割集、最小路径以及安全性的评估。

文献[13]采用故障建模和仿真手段将故障模型转换为马尔可夫模型进行安全性分析。北京航空航天大学提出一种基于体系结构分析与设计语言系统模型的建模方法，自行设计出一套转换规则，将体系结构分析与设计语言系统结构模型转换为系统结构广义随机Petri网模型。

上述研究能够直接利用系统设计过程中建立的仿真模型进行严格的安全性形式化验证，对复杂系统的动态行为进行描述也较为简便，但状态空间爆炸和仿真效率较低也是目前对于分析复杂系统下存在的主要问题。

文献[1516]针对机电系统的安全性问题，找到一种系统工程与安全性分析过程的集成方法SafeSysE，该方法给出了一套完全基于系统建模语言模型进行安全性分析的方法。但在状态机验证模型过程中，还需要大量人力对模型进行识别判断，使其方法应用范围受到限制。

文献[17]提出了一种基于系统可靠性、维修性、安全性分析与仿真的方法RAMSAS，RAMSAS方法是从4个方面迭代进行，分别是可靠性需求分析、建立系统模型、系统模型仿真和系统模型评估，将这4个步骤贯穿于整个设计过程。RAMSAS的优点在于能够将系统建模语言所描述的控制逻辑直接转换为Simulink模型，存在的缺点是该方法对于系统仿真方面研究较为全面，但还缺少模型驱动设计方法。

针对民机飞行控制系统的高度安全性的特征，本文提出了一种基于模型的典型飞控系统(操纵舵面)安全性分析方法，利用Matlab／Simulink工具建立正常功能模型及故障模块，通过故障注入方法扩展正常功能模型，最后利用故障遍历的方法，运用故障遍历，寻找对系统影响严重的部件，实现安全性分析。

飞行控制系统概述

民用飞机的飞行控制系统(以下简称飞控系统)主要功能是保证飞机的操纵性和稳定性。飞行控制系统包括主飞行控制系统(人工操纵)和自动飞行控制系统(自动驾驶仪)。其中，主飞行控制系统是典型的安全关键系统，主要功能是控制飞机的升降舵、方向舵和副翼等操纵舵面，以实现飞行姿态的控制。

国内外民机的飞控系统经历了多个发展阶段，以空客和波音为代表，从机械／液压助力操纵系统、增稳与控制增稳系统到电传飞控系统阶段，主要区别在于使用的是不同形式的操纵机构：空客使用侧杆形式、波音沿用中央操纵杆形式，在系统架构方面，波音和空客使用了不同形式的物理架构，但从功能设计角度来说均体现了功能综合的特征。

国内民机起步较晚，但飞控系统的发展也经历了这样的发展过程，从传统的机械操纵系统发展到叠加自动飞行控制的电传飞控系统(ARJ21－700飞机)。目前试飞中的国产大飞机C919，飞控系统则采用电传飞行控制结合部分电功率、无机械备份的电传飞控系统。

总的来说，典型飞控系统技术发展趋势如下：

系统架构上，从集中式的控制模式到采用物理／功能上的分布网络式架构方式；

系统功能上，从功能分离的主飞行控制系统和自动飞行控制系统逐步向控制／信息一体化方向发展；

在功率及作动方式上，从机械驱动到液压驱动方式，逐步向多电机全电驱动方式发展。

安全性需求是民机飞控系统的第一需求，根据ARP4761[56]中的规定，要求飞控系统失效导致“严重”级别的危害发生概率不大于10-7，“灾难”级别的危害发生概率小于10-9。

在流程方法方面，必须能够保证需求、设计与验证的完整性。在安全性评估技术方面，为了保证能够准确评价系统是否满足安全性需求，需要进行共因分析(commoncauseanalysis，CCA)、功能危险性分析(faulthazardanalysis，FHA)、初步飞机安全性评估(preliminaryaircraftsafetyas－sessment，PASA)、系统安全性评估(systemsafetyassess－ment，SSA)、系统初步安全性评估(preliminarysystemsafetyassessment，PSSA)等安全性分析工作。为满足安全性需求的系统开发流程图如图1所示。

图1满足安全性需求的系统开发流程

系统安全性分析方法

一、传统安全性分析方法

为了提高飞机关键系统的安全性，航空系统领域内，有美国汽车工程师学会(SocietyofAutomotiveEngineers，SAE)制定的ARP4754、ARP4761。传统的安全性评估过程是用一个V型图来描述。

如图2所示，V型图左侧是安全性需求识别，V型图右侧是系统安全需求的验证。在飞机研制周期开始就进行飞机级别的FHA。下一步，对单独子系统进行系统级FHA。在完成FHA后，对系统进行PSSA。用于分配安全性需求到各个子系统中。当设计和实施已完成，那么就由SSA过程来验证在实施的设计中是否已满足安全性要求。

图2安全性评估过程

二、基于模型的系统安全性分析方法

MBSA是以研究和实现复杂系统建模并基于系统模型实现自动或半自动化的安全分析或验证为目的，提高安全性分析效率。

MBSA方法分析流程包括：基于模型的研发和基于模型的安全性分析。基于模型的研发包括对正常功能模型的构建和对故障注入的扩展模型的建立，基于模型的安全性分析则是在这一基上进行的。MBSA方法的核心和基础是建立形式化模型，现有的建模方法主要有两种思路：一种为先建立系统名义模型，用来描述系统正常功能状态下的行为，然后建立系统的故障模型，最后通过模型扩展将正常模型及故障模型结合。另一种是基于故障逻辑的思想，直接对系统中的故障进行建模，简化了建模过程以及系统正常功能的模型。

MBSA方法能够将系统设计和安全分析结合起来，通过对复杂系统使用各种手段建立系统模型后实现各阶段设计过程与安全分析过程的同步。构建的模型避免了模型转换带来的信息缺失，不仅保证安全分析结果直观反馈给分析人员，同时系统设计的更改可以及时向安全分析人员更新。建立准确的系统模型需要选取具有严格的语法语义定义的建模语言。

一般通过建立符号化的系统形式化模型，并在此基础上实现系统仿真、验证及分析等工作。

基于模型的安全性分析方法旨在减少安全性评估时的工作量和提高分析结果的质量，其方法中的重点是如何建立系统的形式化模型，考虑系统行为中存在的故障对模型进行扩展，最后的安全评估在扩展模型上进行。

总体来看，MBSA的总目标是：①支持对复杂系统架构的准确及有效的安全性评估；②能够解决由于系统和功能的复杂程度带来的问题；③提供了严格定义的且公用的系统模型。

案例分析

本文选取某型民机典型的飞控系统展开研究，操纵舵面是影响飞机飞行姿态的重要飞控系统之一，副翼、方向舵是飞机横侧向控制的主要部件。由副翼／方向舵舵面作动器产生的力矩信号作为输入信号输入操纵舵面，通过舵面的偏转角度执行飞行的滚转和偏航。

一、副翼／方向舵名义模型

副翼为飞机滚转操控的主要操纵舵面。通过接收信号，左右副翼分别向上下偏转一定角度，从而改变机翼的升力大小，利用升力差使得飞机实现滚转操作。

二、模型故障扩展

第3．1节中建立的模型是系统在无故障发生时，系统在正常状态下的行为。而实际情况下，在安全性分析过程中，除了考虑系统正常的工作模式外，还需考虑可能发生的故障模式。构建故障模型，通过故障注入的方式，对系统正常功能模型进行模型扩展，进而对扩展后的模型进行安全性分析。

1、故障注入

进行模型扩展的第一步是故障注入。故障注入机制是将特定的系统故障行为添加到正常系统功能模型中，该方法可以观察系统发生故障时存在的行为及响应，对系统进行安全性分析评估。故障注入技术一般包括：基于硬件的故障注入、基于软件的故障注入及基于仿真的故障注入。仿真实现的故障注入是基于虚拟故障，通过计算机仿系统运行，注入故障模块，实现故障注入。

民机控制系统典型的故障特性如表1所示。故障发生的部件有传感组件、控制元件、被控对象，故障的类型主要包括卡死、漂移、失效等。本文所研究的故障模式针对飞控系统单个组件失效。

本文是在系统模型上进行故障注入研究，属于仿真实现的故障注入方式。

图5给出了基于故障注入的模型拓展方法。图的左半部分是一个系统正常功能模块A，模块有一个输入和一个输出，将故障注入来扩展系统模型。图右侧显示的就是扩展之后的模块，该模块包括了正常功能模块A和一个故障模块F，此时模块A和模块F的输入与原来的模块A的输入相同。为了方便调用故障模型，引入故障参数FTn(n＝1，2)，将FTn作为故障模块F的另一个输入。FTn为变量，用于控制发生故障的部件以及其故障模式。由于副翼及方向舵常见故障模式为卡死和漂移，故定义FTn＝1表示功能正常，FTn＝2表示发生卡死故障，FTn＝3表示发生漂移故障。扩展模型的最后输出由一个多路选择器产生，通过故障参数FTn控制输出。

表2总结了副翼／方向舵常见的故障模式、故障描述、失效率及定义的故障参数。

为了简化问题，本文仅考虑滚转角作为性能指标，将故障注入时间设置为tf＝4s。

2、副翼／方向舵故障模型

副翼常见的两种故障包括卡死和漂移，对应的输出响应为

构建好故障模块后，本文采用的故障模型结合名义模

型的方式如图８所示。

3、系统故障下的响应

本文仅考虑单故障情况，假定故障注入的时刻为4s。副翼发生卡死时(FT1＝2)如图9和图10所示。

副翼发生漂移时(FT1＝3)如图11和图12所示。

方向舵发生卡死时(FT2＝2)如图13和图14所示。

方向舵发生漂移时(FT2＝3)如图15和图16所示。

4、故障误差分析

本文仅考虑影响系统的滚转角+(t)这一因素，其性能要求为

通过故障注入后的扩展模型与正常功能模型比较的误差曲线，筛选出导致系统故障的部件故障情况(误差曲线超出误差上下限即为发生故障，反之部件正常)，如表3所示。

对系统可能发生故障的部件进行枚举，进行故障遍历。根据系统逻辑，将不会导致故障的事件删除，得到可用状态集。据此，确定出操纵舵面系统故障的3个最小割集为：{左副翼漂移}、{右副翼漂移}、{方向舵漂移}。

最后确定逻辑门的连接，单点故障事件左副翼、右副翼及方向舵任一发生故障，均会直接导致顶事件发生，故{左副翼漂移}、{右副翼漂移}、{方向舵漂移}之间采用“或门连接”。最终得到故障树如图17所示。

结论

针对飞机复杂系统安全性分析问题，本文提出了基于系统拓展模型的安全性分析方法。充分考虑操纵舵面系统结构机理，构建了系统正常功能模型，设计了故障模型，利用故障注入拓展了系统模型，使得系统设计过程与安全分析过程使用同一模型，解决由于传统安全分析方法中模型不统一带来的设计结果与安全分析结果之间可追溯性差问题，保证了分析源头的准确性和规范性。在设计过程中，可以对模型的基础模块进行修改，增加系统的容错能力，实现在不同场景下模拟系统的响应。建立的模型可靠度较高，可以进行程序化安全性分析工作，有效减少对安全性分析工程师的依赖。