基于模型的系统工程(model-based systems engineering,MBSE)是近年来针对解决复杂系统产品的研发问题逐渐发展起来的新兴技术,其方法论具有传统系统工程方法论不可比拟的优势,必将在航空产品研发活动中得到广泛应用。但作为典型的新技术和新方法,其应用实践也会给民机适航管理带来极大的挑战。
基于模型的系统工程(model-based systems engineering,MBSE)是近年来针对解决复杂系统产品的研发问题逐渐发展起来的新兴技术,其方法论具有传统系统工程方法论不可比拟的优势,必将在航空产品研发活动中得到广泛应用。但作为典型的新技术和新方法,其应用实践也会给民机适航管理带来极大的挑战。
基于模型的系统工程(model-based systems engineering,MBSE)是近年来针对解决复杂系统产品的研发问题逐渐发展起来的新兴技术。在工程实践中,由于包含完整的过程、方法、工具、支持环境的成套解决方案,因此也被称为 MBSE方法论。MBSE方法论一经提出,就备受推崇,得到迅速推广和应用。航空产品作为典型的、高度复杂的系统产品,不可避免地成为 MBSE方法论的重点应用领域。目前,美国国家航空航天局(NASA)、美国波音公司、洛克希德-马丁公司、欧洲空客公司、达索公司都在多种型号的不同研发阶段进行了尝试。在中国,中国商用飞机有限公司、中国航空工业集团、中国航空发动机集团等航空工业企业也纷纷加入这一领域,启动了众多关键技术研究。
MBSE方法论是典型的新技术和新方法,为确保航空安全,其应用实践会给民机适航管理带来极大的挑战。目前,针对 MBSE方法论应用于航空产品研发,尚没有可以参考与借鉴的适航要求和执行标准。
1
民用航空产品的适航管理
适航(airworthiness)即适航性。美国民用航空系统及设备的安全性评估方法与指南(SAE ARP4761)把适航性定义为“飞机、飞机系统及部件安全运行并实现其预定功能的状态”。美国军机适航性审定标准(MIL-HDBK-516B)把适航性定义为“航空器系统在规定的使用范围和限制内能够安全地开始、保持和完成飞行的特性”。
适航管理是国家法定的适航管理部门根据国家的有关规定,对民用航空器的设计、生产、使用和维修,实施以确保飞行安全为目的的技术鉴定和监督。图 1概括了民用航空产品适航管理的内涵。
图 1 民用航空适航管理的内涵
如图 1所示,适航管理具有极其丰富的内涵,至少包含11个方面。
1)从概念和定义上,包括适航、审定基础、审定计划、符合性方法等用于适航管理的专用名称,这也就意味着面向民用航空,有其独特的管理理念、管理原则、管理过程和管理方法,也意味着面向民用航空,存在明显与行业特征相关的管理实践和管理经验。
2)从来源和驱动力上,推动适航管理发展的主要来源和驱动力,一是事故调查,二是技术发展。前者是基于事实,对适航管理中存在问题的总结和提升;后者是基于知识和经验,对适航管理对未来发展规律的提前预判。
3)从责任主体上,适航管理包含公众、适航管理当局和申请方/持证方。公众是适航管理的最终决策人和受益人,适航管理的要求由公众确定,以法律法规形式体现,然后交由适航管理当局代表公众执行,而民用航空产品的申请方/持证方则是承担适航责任的第一方。
4)从管理对象上,涵盖民用航空器的设计、生产、使用和维修的全生命周期,也包括整机、发动机、零部件和材料的全产业链。
5)从组织结构上,根据国际民航组织(ICAO)和芝加哥公约的规定,各国都建有相应的民用航空管理机构,承担相应的适航管理责任与义务。目前全世界标杆的适航管理机构主要是美国联邦管理局(FAA)和欧洲航空安全局(EASA),基于它们强大的航空工业能力,FAA和 EASA制定了大量民用航空适航管理法规、标准、政策和执行程序。其他主要民航大国如中国、加拿大、巴西等也有各自的航空管理局,相应的适航管理要求或者直接引用 FAA和 EASA的适航管理要求,或者与FAA和EASA的适航管理要求水平持平。
6)从管理目标上,民用航空适航管理的目标出发点是确保航空安全,但并未仅仅停留在确保航空安全上,保护环境也成为民用航空适航管理的另外一个重点。需要注意的是,民用航空适航管理,同时承担促进行业发展的重任,尤其在新技术、新材料、新工艺出现的时候,适航管理当局的重要职责就是定义出合适的安全要求,即维护公众的利益,又不能限制新技术、新材料、新工艺的应用,因而需要做大量基础性的研究和协调性工作。
7)从管理方法上,适航管理历经立法定标、合格审定、颁发证件和持续监督 4个阶段。“审定”或者“适航审定”是适航管理的重要活动之一,核心目标是对航空产品“适航性”进行判定。适航审定活动根据航空产品的全生命周期特征,又存在 3种不同类型的审定活动,它们是面向航空产品研发的“型号审定”、面向航空产品制造的“生产审定”和面向航空器本身的“单机适航审定”。
8)从管理的时机和阶段上,整个适航管理包含初始适航和持续适航两大阶段。初始适航主要确保航空产品的研发与设计满足适航要求,从源头上保证航空产品的安全性和环境友好特性;持续适航主要确保航空产品在使用和维修中,也能够维持航空器的整体性能和操纵特性,在预期的运行环境和使用条件限制下始终具有安全性和物理完整性。航空器在全寿命阶段内,能够始终保持其符合型号设计和始终处于安全运行状态。
9)从要求体系上,适航管理属于典型的依法管理。同时,根据国际民航组织和芝加哥公约的要求,通过借鉴国际标杆适航管理当局的法律法规体系,并结合中国的现实情况,中国民航管理局(CAAC)的法规、规章、规范、标准已经全面覆盖民用航空的方方面面,并且已经形成良好的修订和完善机制。
10)从实施过程上,适航管理主要采用证件管理。一般包含:申请方提交申请;适航管理当局受理,并组成审查组;审查组根据合适的适航法规和执行程序开展审查;适航管理当局在申请方通过审查之后,颁发相应的证件,并进行后期的证后管理。
11)从发展趋势上,由于技术的不断进步,新设计和新产品不断涌现,适航管理必须与它们相适应。例如,从管理理念上,由基于产品本身的管理,逐渐发展成基于运营风险的管理;从管理方法上,由管理当局的全面监管,变成部分授权给申请方/持证方的自有组织等。适航管理的理念、方法和实践经验,也正由民用航空器外延至军事、海关、警察等部门使用的国家航空器、军用航空器、无人飞行器和载人航天器。
2
MBSE方法论的应用对民用航空产品适航管理带来的挑战
系统工程是一种使系统能成功实现的跨学科的方法和手段。系统工程专注于:在开发周期的早期阶段,就定义客户需求与所要求的功能,将需求文件化;然后再考虑完整问题,即运行、成本、进度、性能、培训、保障、试验、制造和退出问题时,进行设计综合和系统确认。系统工程以提供满足用户需求的高质量产品为目的,同时考虑了所有用户的业务和技术需求。
显而易见,只有确保有关适航的要求能够有效地落入航空产品设计,才能够在最终的产品演示过程中表明产品符合适航要求。适航要求作为顶层的设计输入,只有通过正向的设计活动,首先将适航要求分解和分配到系统级,然后再分解和分配到部件层级,并最终成为可以落到实处的设计指标、设计规范,最后通过实现这些指标和规范,并进行部件集成、系统集成、产品集成,最终获得符合适航要求的产品,并在整个活动中充分收集到各个层级的符合性证据。自顶向下开展需求、功能、架构的分解、分配,自底向上逐层开展部件、子系统、系统的综合、验证与确认是系统工程 V模型的核心思想。如图 2所示,民用飞机及系统研制与集成过程是典型的符合系统工程原则的 V字开发模型。需要注意的是在V字模型的左半边,需求分析、功能定义、架构设计是最重要的设计活动,并且只有将相关的安全性、可靠性、维修性等设计活动与需求分析、功能定义、架构设计相结合,才有可能将安全性等产品特性融入产品本身,成为产品的固有特性。
图2 民用航空产品研发过程示意
传统系统工程中,系统工程活动的产出是一系列基于自然语言的文档,例如用户的需求、设计方案。这个文档又是文本格式的,所以也可以说传统的系统工程是基于文本的系统工程(text-based systems engineering,TSE)。
一方面,由于现代工程系统在整体复杂度上有了明显增加,系统设计过程产生的庞大信息与数据开始变得难以管理和维护,传统的系统工程方法在复杂产品研发活动中引发许多困难,例如:(1)众多信息分散于各个文档,难以保证完整性与一致性;(2)传统工程说明文档对于复杂的、动态交互性强的活动难以描述,表达力不足。有时会产生歧义,导致工程人员交流时的误解;(3)工程细节难以维护与跟进,某处文档内容更改后,与该文档相关的文档都需要相应更改。工作量大,维护困难。
另一方面,随着数字技术的不断发展,各专业、各领域的设计方法都在向基于模型的方法转变。例如最早出现在机械工程领域的几何建模和实体建模,具有标志意义的是 1980 年代后期以Parasolid、ACIS 为内核成熟和广泛采用的仿真建模工具如 CATIA等。随后的几十年间,在电子工程领域出现了功能建模和逻辑建模,在软件工程领域出现了过程建模,出现了统一建模语言(UML),随之又出现系统开发领域的系统建模语言(SysML),并最终形成了众多优秀的仿真建模工具。
基于建模能力的不断加深,建模细节程度也不断提高,这使得复杂产品在不同设计阶段都带来巨大的好处:(1)通过模型可以加强利益相关方之间的沟通,并保证对系,统理解的一致性;(2)通过模型元素之间的映射关系可以直观反映需求到架构之间的追溯性;(3)随着设计的不断深入,严格遵循建模规则的系统模型的逼真度和置信度会不断提高,直至达到“模型即设计规范”的目标;(4)提高针对系统复杂性的管控能力,可以有效支持全寿命周期复杂系统研制过程的项目管理,有效管控增量式、迭代式和并行式的项目进展过程。
MBSE于1990年代由Vitech公司提出,作为其支持MBSE 方法论的软件建模环境 CORE 的产品解释。在2007 年,国际系统工程协会(INCOSE)推出“MBSE Initiative”项目,对 MBSE 进行正式的理论探索和实践推广,其目标是在 2020年将 MBSE理念常态化。INCOSE关于 MBSE的定义:基于模型的系统工程(MBSE)是指在系统概念设计、系统研制、一直到之后的各个生命周期阶段中,全面支持系统需求、设计、分析、验证和确认等活动的模型范式化应用。
文献中关于“方法论”的定义包括 PMTE 4 个元素,分别是:(1)过程,定义“应该做什么What to be done”;(2)方法,描述执行某项任务的技术途径,解释“How to do”;(3)工具,是一种“设施”如软件、硬件、设备等,在用于某特定方法时,可以提高任务执行的效率;(4)环境,包含一系列可能影响特定对象、个人或者团体活动的外部实体、条件或者其他因素,构成过程和方法执行的上下文环境。
基于 PMTE模型,MBSE方法论提供了复杂系统设计问题的完整方案框架。图 3 提供了 PMTE 模型的方法论示意。
图3 方法论的PMTE四元素
基于模型的系统工程,被视为系统工程的“革命”“系统工程的未来”“系统工程的转型”等。基于 MBSE方法论,NASA、美国波音公司、洛克希德-马丁公司也积极采用 MBSE 开发各类工程系统,取得了很好的效果。但从航空产品研发的角度,基于MBSE方法论是典型的新技术和新方法,其应用实践也给民机适航管理带来极大的挑战,例如,基于 MBSE方法论对于表明适航管理要求是否存在影响?这种影响是有利于航空产品的适航性,还是不利于?如果是不利于航空产品的适航性,如何管理和控制?相应的管理要求和控制尺度是什么?
3
MBSE方法论应用于航空产品研发应关注适航管理问题
从技术发展的趋势看,MBSE方法论具有传统系统工程方法论不可比拟的优势,必将在航空产品研发活动中得到广泛应用,但由于该方法论在民用航空产品的研发方面,都处于探索和试用阶段,未见有采用MBSE方法论研发并成功通过适航审定的型号案例,因而针对 MBSE方法应用于航空产品研发的适航管理问题尚属空白。针对这一挑战,基于对适航管理的基本原则和以往型号合格审定的经验,提出如下值得关注的问题。
审查方需要关注MBSE方法论的定义和范围
当前,MBSE方法论对MBSE没有完全统一的定义,更重要的是没有对 MBSE的范围进行清晰的界定。现实情况中,有时会将 MBSE 方法论限于基于模型的工程(MBE)方法论,有时又会将MBSE方法论的范围无限扩大,即只要使用了建模语言、建模工具,甚至只要使用了模型化的开发工具,都会被归纳为MBSE方法论。
然而,开展适航管理的工作基础必须是具有清晰定义和明确范围的对象,尤其在适航审定环节,申请方如何使用MBSE方法论开展航空产品研制,决定了审查方如何关注MBSE方法论的使用情况,因而申请方必须首先向审查方阐明自己的观点和立场。类似针对飞行控制系统,目前有“电传操纵系统”“电传飞行控制系统”“电飞行控制系统”“Fly-by-Wire”等多个概念,都是在表达飞行控制系统具有新颖独特的设计,这些概念在描述上有明显差异,在系统实现上差距更大。在审定实践中,审查方需要根据实际的型号设计特征做出判定。因而,在目前没有机构对MBSE方法论进行规范统一的情况下, “一机一议”可能是唯一可实现的路径。
审查方需要关注 MBSE方法论产生数据的类型和用途
“条款衡量、数据说话”是适航审定的基本原则,MBSE方法论怎样应用于民用航空产品的研发,产生怎样的数据,就成为需要关注的重点问题。
根据MBSE方法论产生数据的类型和用途,审查方的关注方式和判定准则完全不同。如果MBSE方法论产生的数据被直接在飞机型号中使用,例如机载软件开发中的自动代码生成,那么MBSE方法论产生的数据将获得最高的关注度,执行最高的审查标准,并且还会根据不同的安全性影响等级,进行差异化的审查工作。如果 MBSE方法论产生的数据不被直接在飞机型号中使用,而是用于飞机型号研发的中间环节,甚至只是作为辅助性的开发方法使用,则无需执行最高的审查标准;但显然用于飞机型号研发中间环节和作为辅助性开发方法,两者对于飞机型号的最终影响完全不同。因而,申请方仍然需要向审查方详细阐明MBSE方法论产生的数据类型和用途,以便审查方区别对待,提出有针对性的关注问题,并执行不同的审查标准和审查判据。
审查方需要关注MBSE方法论的执行规范
尽管 MBSE方法论的价值和优势是可以使开发活动更加直观,减少信息传递的误差,保留开发知识和经验,但是需要清晰的看到,MBSE方法论产生的原因是想从本质上解决复杂系统的开发问题。
复杂系统不仅仅在于系统的构造复杂,更在于系统具有复杂的逻辑性。复杂的设计输入是导致系统复杂性的首要因素,设计输入代表了需要系统应对和解决的问题。高度集成和高度软件化是造成系统复杂度的另一个关键因素。
显然,系统设计的复杂性问题在MBSE方法论的执行过程也会有集中表现,这包括要求执行MBSE方法论的人员基本素质要高、工程经验丰富,而对于 MBSE方法论的执行过程的规范性要求会更高。
为了判定申请方的工作结果,审查方会对申请方采用MBSE方法论的研发工作体系足够关注,提出有关组织机构、职责定位、执行程序、工作手册、人员数量、人员能力以及工作保障条件的管理要求,这也就意味着申请方应建立相应的工作体系。审查方通过对工作体系的审核,控制产生数据的过程,增加对数据有效性、正确性、完整性的信心,帮助审查方进行数据符合性的判定。
MBSE 方法论具有传统系统工程方法论不可比拟的优势,必将在航空产品研发活动中得到广泛应用。但作为典型的新技术和新方法,其应用实践会给民机适航管理带来极大的挑战。针对适航管理问题展开研究,可以为形成型号研发和适航审定的指导性文件提供帮助。
基金项目:民机预研项目(KJKT18-082)
参考文献(略)