馮臻　王京婭

【摘 要】本文針對(duì)民機(jī)綜合復(fù)雜系統(tǒng)研制中出現(xiàn)研制錯(cuò)誤的風(fēng)險(xiǎn)，闡述了目前工業(yè)界在限制研制錯(cuò)誤方面取得良好實(shí)施效果的實(shí)踐方法，包括研制保證過(guò)程與架構(gòu)減緩等方面，在此基礎(chǔ)上總結(jié)了對(duì)于我國(guó)民機(jī)系統(tǒng)研制的相關(guān)啟示。

【關(guān)鍵詞】研制錯(cuò)誤；研制保證；架構(gòu)減緩；民機(jī)系統(tǒng)

【Abstract】Due to civil aircraft systems become highly integrated and complex， there is an increasing risk of the existence of development errors. The best practice for development errors limitation in current industry is described in this paper， including development assurance process and architecture mitigation technique. The revelation for the domestic civil aircraft development is then summarized.

【Key words】Development Error；Development Assurance；Architecture Mitigation；Civil Aircraft

0 引言

伴隨技術(shù)的發(fā)展，民用飛機(jī)系統(tǒng)復(fù)雜程度愈發(fā)提高。譬如，綜合模塊化航電（Integrated Modular Avionics， IMA）系統(tǒng)的應(yīng)用大幅增加了飛機(jī)功能的綜合性和復(fù)雜性，大量相同模塊的采用會(huì)導(dǎo)致故障傳播可能性提高。目前航空業(yè)界愈加強(qiáng)調(diào)要降低發(fā)生系統(tǒng)性失效和共因失效的風(fēng)險(xiǎn)，其本質(zhì)在于復(fù)雜系統(tǒng)和綜合性的飛機(jī)級(jí)功能出現(xiàn)研制錯(cuò)誤和不良或非預(yù)期影響的風(fēng)險(xiǎn)會(huì)更大。

為了將民用飛機(jī)安全性維持在一個(gè)可接受的水平，需要在研制中采用能夠限制研制錯(cuò)誤的技術(shù)手段，這對(duì)于民機(jī)適航合格審定也是一項(xiàng)重點(diǎn)關(guān)注的問(wèn)題。由于為高度綜合和復(fù)雜系統(tǒng)開(kāi)發(fā)出有限的測(cè)試程序通常是不實(shí)際的，而錯(cuò)誤出現(xiàn)的概率又無(wú)法量化，所以無(wú)法研究出一個(gè)恰當(dāng)?shù)臄?shù)值計(jì)算方法來(lái)評(píng)估。目前在實(shí)踐中，通常采用定性的方法和一些設(shè)計(jì)架構(gòu)方面的技術(shù)，主要包括：

1）研制保證——研制保證過(guò)程能夠幫助確保系統(tǒng)研制已經(jīng)以足夠嚴(yán)格和科學(xué)的方式完成，能夠限制可能影響到飛機(jī)安全性的研制錯(cuò)誤發(fā)生的可能性。

2）架構(gòu)減緩——通過(guò)架構(gòu)設(shè)計(jì)的途徑可以限制研制錯(cuò)誤和系統(tǒng)部件失效出現(xiàn)的后果以及它們影響飛機(jī)安全的可能性。

本文將對(duì)上述方法和技術(shù)進(jìn)行闡述。

1 研制保證過(guò)程

美國(guó)航空無(wú)線電協(xié)會(huì)發(fā)布的工業(yè)標(biāo)準(zhǔn)DO-178B和DO-254中所提及的工作目前已作為實(shí)現(xiàn)機(jī)載軟件和電子硬件研制保證嚴(yán)酷度的手段。而2010年美國(guó)汽車(chē)工程師協(xié)會(huì)新發(fā)布的ARP 4754A中進(jìn)一步提出，如果沒(méi)有一個(gè)從飛機(jī)級(jí)（Aircraft Level）到項(xiàng)目級(jí)（Item Level）的研制保證過(guò)程，則這些僅僅與軟件和電子硬件相關(guān)的過(guò)程不足以減少飛機(jī)或系統(tǒng)錯(cuò)誤。因此，ARP4754A中建議了這樣一種過(guò)程，它可以將可能導(dǎo)致功能危險(xiǎn)性評(píng)估（Functional Hazard Assessment， FHA）當(dāng)中所確定的失效狀態(tài)（Failure Condition）的研制錯(cuò)誤降至適當(dāng)嚴(yán)酷度的置信度，這個(gè)過(guò)程被稱(chēng)為研制保證過(guò)程。可以通過(guò)所分配的功能研制保證嚴(yán)酷度（Function Development Assurance Level， FDAL）和某些計(jì)算分析的方法來(lái)滿(mǎn)足與失效狀態(tài)等級(jí)相關(guān)的安全性目標(biāo)，這種與具體飛機(jī)或系統(tǒng)功能相關(guān)的FDAL與傳統(tǒng)安全性分析當(dāng)中的數(shù)值概率沒(méi)有直接的關(guān)聯(lián)，F(xiàn)DAL根據(jù)嚴(yán)酷度的高低可分為A、B、C、D、E五個(gè)等級(jí)。

1.1 研制保證等級(jí)分配舉例

在圖1所示的由故障樹(shù)形式所表現(xiàn)的系統(tǒng)架構(gòu)分配案例中，頂層功能F由功能F1和F2同時(shí)作用實(shí)現(xiàn)，而功能F1和F2分別由駐留在相同硬件HW1中的軟件SW1和SW2實(shí)現(xiàn)。由于SW1和SW2沒(méi)有進(jìn)行分隔處理，因此在功能F1或者SW1研制中的錯(cuò)誤可能造成F2或者SW2的失效。根據(jù)4754A中的分配原則，HW1、SW1和SW2的IDAL（Item Development Assurance Level）都被分配為與頂層FDAL同等嚴(yán)酷級(jí)別。

圖 1 研制保證等級(jí)的分配舉例

此外，對(duì)于非復(fù)雜的軟硬件，當(dāng)其研制可以被完整的測(cè)試和分析手段所保證時(shí)，可以認(rèn)為其達(dá)到了IDAL A的研制保證等級(jí)，但是與其相關(guān)的需求也須在與之對(duì)應(yīng)的FDAL嚴(yán)酷等級(jí)下進(jìn)行確認(rèn)。

1.2 研制保證過(guò)程的局限性

通過(guò)應(yīng)用研制保證過(guò)程可建立消除研制錯(cuò)誤的信心，但是研制保證還無(wú)法保證萬(wàn)無(wú)一失。在ARP 4754A的表5.2注釋1中提到：“對(duì)于災(zāi)難性的失效狀態(tài)，通過(guò)分配FDAL A限制研制錯(cuò)誤這種方式如果能被審定方接受的話，還需要配以足夠獨(dú)立的確認(rèn)驗(yàn)證活動(dòng)、技術(shù)、完成標(biāo)準(zhǔn)等等[1]。”這段注釋反映出目前業(yè)界對(duì)以下兩點(diǎn)依舊持有疑問(wèn)：

1）在當(dāng)今民機(jī)系統(tǒng)研發(fā)周期當(dāng)中，無(wú)論所設(shè)計(jì)的架構(gòu)復(fù)雜度如何，可能無(wú)法保證有足夠獨(dú)立的確認(rèn)和驗(yàn)證活動(dòng)來(lái)確保達(dá)到了所分配的FDAL A的嚴(yán)酷程度。

2）即使研發(fā)流程被聲明為是按照FDAL A來(lái)執(zhí)行的，根據(jù)目前飛機(jī)功能或者系統(tǒng)的復(fù)雜程度，用一套有限的程序來(lái)確保復(fù)雜的機(jī)載系統(tǒng)肯定排除了可能會(huì)造成災(zāi)難性后果的研制錯(cuò)誤可能是難以實(shí)現(xiàn)的。

這些問(wèn)題都需要民機(jī)主制造商來(lái)進(jìn)行回答，同樣也被民機(jī)審查方高度關(guān)注。

2 限制研制錯(cuò)誤的安全性設(shè)計(jì)理念與技術(shù)

目前，國(guó)際航空業(yè)界已經(jīng)意識(shí)到，僅僅依靠研制保證已經(jīng)無(wú)法充分保證在軟件或者復(fù)雜硬件中所實(shí)現(xiàn)的復(fù)雜與關(guān)鍵功能的安全性。目前有許多良好的實(shí)踐經(jīng)驗(yàn)表明能夠提供對(duì)于研制錯(cuò)誤以及共同失效模式的限制。民機(jī)的運(yùn)營(yíng)經(jīng)驗(yàn)同樣表明，傳統(tǒng)的安全性評(píng)估技術(shù)僅僅能夠識(shí)別出實(shí)際運(yùn)營(yíng)環(huán)境中能夠發(fā)生的一小部分的失效模式。因此，架構(gòu)緩解的手段，作為對(duì)研制保證過(guò)程方法的補(bǔ)充，目前在高度綜合復(fù)雜飛機(jī)系統(tǒng)的研制中已不可或缺。

2.1 四種基本的安全性技術(shù)

以美國(guó)FAA為代表的業(yè)界認(rèn)為，目前在架構(gòu)設(shè)計(jì)時(shí)有四種類(lèi)型的技術(shù)可以幫助顯著提高安全性，它們彼此相關(guān)，通常需要組合使用產(chǎn)生良好的效果[2]。這四種技術(shù)分別如下所述：

1）故障容忍（Fault Tolerance）

故障容忍是“失效-安全（Fail-Safe）”技術(shù)在系統(tǒng)設(shè)計(jì)中的應(yīng)用，它可以增強(qiáng)系統(tǒng)在故障出現(xiàn)時(shí)的魯棒性，使得系統(tǒng)（下轉(zhuǎn)第170頁(yè)）（上接第67頁(yè)）仍能夠保持功能。故障容忍的例子包括：預(yù)防性程序、故障隔離或者故障限制、冗余性、其它一些失效-安全的設(shè)計(jì)理念與技術(shù)、硬件中斷、非相似性和恢復(fù)性數(shù)據(jù)塊等。故障容忍的原則應(yīng)當(dāng)在關(guān)鍵和復(fù)雜系統(tǒng)的實(shí)施當(dāng)中應(yīng)用，該手段可以緩解系統(tǒng)失效、硬件失效或者研制錯(cuò)誤的影響，使得當(dāng)失效、故障或者錯(cuò)誤開(kāi)始出現(xiàn)時(shí)能夠保證繼續(xù)安全的飛行。

2）故障探測(cè)（Fault Detection）

故障探測(cè)是一種能夠探測(cè)故障以及觸發(fā)相關(guān)反應(yīng)的安全技術(shù)。故障探測(cè)的方式包括有：自檢測(cè)（Built-In-Test， BIT）、比較、系統(tǒng)監(jiān)控器等。觸發(fā)的相關(guān)反應(yīng)包括有：切換到無(wú)故障的通道（并行的或者備份的）、隔離失效的部件、忽略故障通道的輸出、切換到系統(tǒng)的降級(jí)模式等。

故障探測(cè)與故障容忍密切相關(guān)。如果一個(gè)系統(tǒng)能探測(cè)相關(guān)錯(cuò)誤并且觸發(fā)恰當(dāng)?shù)南到y(tǒng)機(jī)制，這個(gè)系統(tǒng)就可以稱(chēng)為是故障容忍的。故障探測(cè)機(jī)制如果足夠獨(dú)立，并且與被監(jiān)控的系統(tǒng)是非相似的，故障探測(cè)就會(huì)非常有效。因此，獨(dú)立性與非相似的應(yīng)用可以用來(lái)表明故障探測(cè)的有效性。不同的通道間的獨(dú)立性通常用來(lái)證明故障的容忍和探測(cè)能力以及安全性的裕度。比較不同通道的輸出也是常用的一種故障探測(cè)手段，但是這種架構(gòu)的缺陷是可能無(wú)法消除共同的研制錯(cuò)誤。

3）故障消除（Fault Removal）

故障消除是設(shè)計(jì)時(shí)采用的消除故障的安全性技術(shù)。其例子包括：錯(cuò)誤的探測(cè)與糾正功能、自檢測(cè)、開(kāi)展各類(lèi)確認(rèn)與驗(yàn)證活動(dòng)（包括檢查、評(píng)審、試驗(yàn)、模型檢查、分析等方式）。故障消除依賴(lài)于過(guò)程保證的方法。

4）故障規(guī)避（Fault Avoidance）

故障規(guī)避是研制中用來(lái)規(guī)避可能會(huì)引發(fā)系統(tǒng)故障的錯(cuò)誤的一種安全性技術(shù)。其例子包括：選擇一個(gè)合適的語(yǔ)言子集、防衛(wèi)程序、減少或分隔安全性關(guān)鍵代碼、最小化設(shè)計(jì)中的錯(cuò)誤、使用合適的生命周期中的方法和技術(shù)等等。

2.2 工程實(shí)踐樣例

1）大氣數(shù)據(jù)系統(tǒng)

某飛機(jī)大氣數(shù)據(jù)系統(tǒng)由4個(gè)帶有嵌入式軟件的智能探頭組成，可以進(jìn)行數(shù)據(jù)的采集與處理。針對(duì)這些探頭中運(yùn)行的軟件可能產(chǎn)生的系統(tǒng)性失效，研制中采用了兩種非相似的硬件板路上兩種非相似的軟件，通過(guò)這種途徑增強(qiáng)系統(tǒng)的魯棒性。

2）艙門(mén)控制器

考慮到在空中打開(kāi)或者滑動(dòng)的可能性，飛機(jī)艙門(mén)控制器系統(tǒng)被認(rèn)為是非常關(guān)鍵的。因此在研制中，對(duì)于已經(jīng)采用研制保證等級(jí)A的實(shí)現(xiàn)相關(guān)關(guān)鍵功能的軟件，同時(shí)設(shè)計(jì)了一個(gè)可編程組件作為簡(jiǎn)單模擬表決器，對(duì)軟件的發(fā)出的控制指令進(jìn)行確認(rèn)，其研制保證等級(jí)同樣為A。

3 結(jié)論以及對(duì)我國(guó)民機(jī)研制的啟示與挑戰(zhàn)

對(duì)于未來(lái)的民機(jī)系統(tǒng)，由于功能的集成度和復(fù)雜性大幅度增加，將使得因?yàn)榇罅坎捎猛ㄓ媚K而引發(fā)故障傳播的可能性極大增加，如果不在這些類(lèi)型的系統(tǒng)內(nèi)采用緩解失效影響的措施，將可能使先前聯(lián)合式系統(tǒng)所能達(dá)到的安全性水平降低，航空規(guī)章和政策也將對(duì)于此提出越來(lái)越高的要求。

對(duì)于我國(guó)民機(jī)研制項(xiàng)目而言，這既是重要啟示也是巨大挑戰(zhàn)。需要明確對(duì)于高度綜合復(fù)雜系統(tǒng)，采用與ARP 4754A一致的研制過(guò)程，將系統(tǒng)中不完整不正確的需求降到最低，應(yīng)用評(píng)審、分析、仿真、實(shí)驗(yàn)室實(shí)驗(yàn)和飛行試驗(yàn)等多種手段開(kāi)展多層級(jí)的確認(rèn)工作。同時(shí)，要積極了解并應(yīng)用國(guó)內(nèi)外從工業(yè)實(shí)踐中獲得的成功經(jīng)驗(yàn)，指導(dǎo)開(kāi)展具體的系統(tǒng)架構(gòu)設(shè)計(jì)工作，以滿(mǎn)足或者超越ARP 4754A中的要求。對(duì)于存在可能導(dǎo)致災(zāi)難性事件的共模故障，積極研究能夠限制研制錯(cuò)誤，減緩共模故障的設(shè)計(jì)方法。這樣才能在追求先進(jìn)性的同時(shí)，確保國(guó)產(chǎn)民機(jī)的安全性，也有利于相關(guān)適航合格審定工作的順利開(kāi)展。

【參考文獻(xiàn)】

[1]SAE Aerospace， Guidelines for Development of Civil Aircraft and Systems[S].2010.12： 43-44

[2]FAA Certification Authorities Software Team， Reliance on Development Assurance Alone when performing a Complex and Full-time Critical Function[R]. 2006.3： 4-7.

[責(zé)任編輯：曹明明]