面向復雜系統的測試性試驗驗證技術研究

杜 熠，劉萌萌，宋成軍，蘇 峰

(中國航空綜合技術研究所 質量工程中心，北京 100028)

面向復雜系統的測試性試驗驗證技術研究

杜 熠，劉萌萌，宋成軍，蘇 峰

(中國航空綜合技術研究所 質量工程中心，北京 100028)

測試性試驗驗證是指產品在設計、研制、定型階段，為了確認其測試性指標的量值，分析其測試性設計的正確性、合理性并識別設計缺陷、檢測產品是否已經完全實現了測試性設計要求而進行的驗證與評估活動；當前，對于設備級試驗對象的測試性試驗驗證技術，已經形成了相關的技術規范，并在某些型號測試性驗證工程中已全面使用，然而，產品的測試性設計水平最終要體現在系統層面上，設備級的試驗只能考核設備自身的故障檢測和故障隔離能力(即對內場可更換單元(SRU)的檢測和隔離能力)，而難以體現出系統級的檢測和隔離能力(即對外場可更換單元(LRU)的檢測和隔離能力)；系統的檢測和隔離能力主要體現在：系統對設備自身檢測結果的綜合處理與分析能力、系統對設備故障的檢測能力以及系統對自身功能的檢測能力；因此，為了有效驗證系統的測試性設計水平，必須開展系統級的測試性試驗；在目前測試性試驗技術存在的基礎上，基于目前測試性試驗的基本思路，從測試性試驗方案設計及故障注入技術兩個方面開展研究，提出了一套面向復雜系統級測試性試驗的技術方法。

復雜系統；測試性試驗驗證；故障檢測；故障隔離

0 引言

測試性試驗驗證就是按照規定的方法，設計合理的試驗方案，并按照方案的要求，給試驗對象注入一定數量的故障，收集并分析產品對故障的響應數據以評估產品的測試性指標是否滿足設計要求，同時識別產品測試性設計缺陷以實現測試性增長的過程。一個完整的測試性試驗驗證過程，包括了樣本量的確定及分配、故障注入、試驗評價與評估三部分內容，而以上三部分內容的合理與否，直接決定了試驗對象測試性指標評估與評價的正確性與合理性。

目前，國內在科研與型號領域已經全面開展了單機級別的測試性試驗驗證工作。但隨著試驗工作深入，驗證的對象逐漸從單機級過渡到了綜合設備甚至系統級，而在面向系統級試驗對象，特別是某些復雜系統時(例如機載雷達、機載通信、導航系統、電子對抗系統)，我們目前處在理論不充足、方法欠缺、無實踐經驗的現狀，當前復雜系統測試性試驗驗證主要存在的問題及難點有：

1)復雜系統結構的復雜性和實施條件的局限性，限制了現有故障注入技術以及試驗方案設計與評估技術的實施范疇。

2)缺少故障隔離率的驗證方法。

本文針對上述問題，結合復雜系統級測試性試驗驗證的需求，從系統級測試性試驗驗證方案設計技術和系統級故障注入技術兩個方面對面向復雜系統級測試性試驗的相關技術方法進行了研究。

1 試驗對象分析

1.1 復雜系統功能、結構特點分析

以航空飛行器為例，航空飛行器是一個非常典型的復雜系統產品，其功能的實現與任務的完成需要多系統協同合作共同完成。一般來說，航空飛行器按照結構進行劃分，由底層向上包括LRU、設備、子系統及系統等4個層次，測試性驗證工作也一般都按照此層次進行開展，以某大型飛行器為例，其診斷設計架構如圖1。

圖1 某大型飛機診斷設計架構

如圖1所示，某大型飛機包含了飛控系統、機電系統、火控系統等10個系統。綜合診斷處理機是大型飛機機載診斷體系的核心，由分布在各成員系統內部的機內測試裝置和傳感器完成對本系統或與其連接的其他系統的故障檢測和狀態監控，并將系統的故障數據和狀態數據發送至綜合診斷處理機，由綜合診斷處理機進行集中處理和顯示。

一般來說，一套機載故障診斷系統應該包括如下的功能：故障綜合診斷功能；地面故障測試功能；整機/系統狀態檢測功能；系統診斷軟/硬件配置管理功能；數據加/卸載功能。

綜上所述，當我們面對一個復雜系統的測試性試驗驗證時，其試驗驗證工作具有如下的特點與問題：

1)試驗對象結構復雜，一般都由多個甚至數10個LRU/LRM組成，并且外圍環境復雜(與多種負載關聯)，系統LRU/LRM間的功能相互影響，通信相互應答。

2)由于復雜機載系統結構與功能的復雜性，導致試驗難度增大，有時需要借助半實物仿真技術對系統中缺失的設備進行仿真和故障仿真，增加了系統級測試性驗證的難度。

3)圍繞故障檢測率、隔離率這兩項指標而開展的驗證評價僅能在一定程度上考核系統測試性的故障檢測隔離水平，而無法實現對其他測試性方面能力的分析評估。

4)故障檢測率、隔離率這兩項指標僅是一種表現機內測試在診斷能力上的所有結果的分析，更適用于對系統測試性水平整體的分析與考核，而對其測試性設計評價的充分性還不夠，導致對測試性設計的改進與優化支持不足。

1.2 復雜系統測試性驗證實施要求

對于復雜系統試驗對象，結合上文所述復雜系統功能結構特點，它的故障模式一般具有如下的特征：

1)由于系統各LRU之間互聯和系統任務降級、重構的需要，導致系統故障的特點非常復雜。

2)新一代飛機系統結構和功能高度綜合化的系統特點會增加關聯故障、隱蔽故障、偶發故障等復雜性故障發生的幾率，會帶來故障檢測和故障隔離困難，虛警率高等問題。

綜上所述，基于復雜系統試驗對象的故障模式特點與功能結構特點，系統級產品的試驗實施一般具有如下的特點：

1)首先，欲對系統級產品開展測試性試驗首先需要對構成系統的設備開展設備級測試性驗證試驗。同時，為了使得設備測試性試驗數據能夠部分支撐分系統級測試性驗證試驗，應對LRU級故障響應進行分析。

2)其次，對分系統級對象展開測試性試驗，其測試性試驗的故障注入實施盡量使用軟件式和外部總線式故障注入。

3)最后，借助所有相關數據對系統級指標進行評估。通過對各類數據的獲取，可為系統級測試性指標評估提供全面的故障數據輸入，最終給出系統級產品一級維修指標是否滿足設計要求的結論。

2 復雜系統測試性試驗方案的設計與結果評估

系統級測試性試驗方案的設計與設備級類似，都是以受試產品的FMEA、故障檢測率、生產方/使用方風險等指標要求為輸入的。首先基于受試產品FMEA確定試驗用故障模式集(即待注入的故障模式集合)。接著，以確定的故障模式集為對象依次進行初步樣本量的確定、分配及補充，同時確定試驗評估的指標以及評估方法和評估原則。

系統測試性驗證試驗方案設計整體流程如圖2所示。

圖2 系統級測試性試驗方案設計流程

2.1 系統級試驗故障模式集的確定

為了確保試驗驗證覆蓋的全面性進而實現充分驗證系統對各類故障模式的檢測和隔離能力，在對系統級對象故障模式進行確定時，應遵循如下的原則：

1)故障模式集中應包含系統中電子類LRU中的SRU級故障模式，其數目設為n1；

2)故障模式集中應包含系統中電子類LRM中的功能電路級故障模式，其數目設為n2；

3)故障模式集中應包含系統中非電類LRU級故障模式，其數目設為n3；

4)故障模式集中應包含系統中獨立電子類LRU級故障模式(不是由SRU級傳遞上來的LRU級故障模式)，其數目設為n4；

5)故障模式集中應包含獨立的系統級故障模式(不是由下層故障模式傳遞上來的分系統級故障模式)，其數目設為n5。

綜上所述，n1、n2、n3、n4、n5即為本系統測試性驗證試驗的故障模式集合。

2.2 樣本量的確認、分配與補充

2.2.1 初步樣本量的確定

對于系統級產品，我們選用基于二項分布的最低可接受值試驗方案作為系統級測試性試驗方案，并且基于這樣的一個整體思路，在進行試驗方案的設計時，首先需要確認本系統級試驗方案的初步樣本量。系統級測試性試驗的初步樣本量的確定應采用如下方法：

按照公式(1)進行計算得到滿足條件的一組樣本量(N,C)，在多組樣本量中選取大于∑ni的最小值作為初步樣本量N1。

考慮試驗工作量，這里可以設定一個N0，如果∑ni≥N0，則在多組樣本量中選取大于N0的最小值作為初步樣本量N1。

(1)

其中：β為訂購方風險，這里給定β=0.2；q1(FD)、q1(FI)為本試驗中應指協議書中簽訂的相應的檢測率和隔離率指標值；NFDR為依據檢測率計算出的樣本數；NFIR為依據檢測率計算出的樣本數，∑ni=n1+n2+n3+n4+n5為受試產品試驗故障模式集中的故障模式總數。

2.2.2 初步樣本量的分配

在對初步樣本量N1確定完成后，即可以以2.1節所確定的故障模式集中的故障模式元素為對象，同時參考每個故障模式的故障發生頻率，按照簡單隨機抽樣方法進行抽樣，確定每一個故障模式所分配到的樣本量，具體的分配方法見GJB2072。

2.2.3 樣本量的補充

初步樣本量的分配無法做到對所有故障模式的覆蓋，因此，對于初步樣本量中沒有分配到的樣本，需要人工對其進行補充樣本操作。

目前測試性試驗中的樣本量補充方式存在以下問題：

1)由于當前的故障樣本的補充是以樣本量作為約束條件，當某項產品的故障模式數大于N0，且初步樣本量分配覆蓋的故障模式數有限，即使將樣本補充到了N0，覆蓋的故障模式也很有限。

2)目前故障模式的補充只補檢測手段為BIT的，這導致了在計算故障覆蓋率時，當∑ni比較小時，以∑ni為分母計算故障覆蓋率，故障覆蓋率計算結果會偏高；但當∑ni比較大時，尤其是大于N0，必然有部分檢測手段為BIT的故障模式沒有分到樣本，而這會導致故障覆蓋率結果會偏低。

針對以上所述的問題，系統級產品的試驗方案的設計應專門進行考慮。

在對系統級產品進行故障模式的補充時，不再以樣本量總數作為約束條件，而采用以故障模式數為約束條件，按條件補充，具體的方法如下：

設置試驗故障上限為NUP，且NUP>N0，則故障模式補充有如下兩種情況：

1) 對于∑ni≤NUP時，初步樣本量分配結束后，對未分配到樣本量的故障模式補充樣本，每個故障模式補充的樣本量為1。

2) 對于∑ni>NUP時，初步樣本量分配結束后，優先補充嚴酷度高、故障率高的且未分配到樣本量的故障模式，每個故障模式補充的樣本量為1，直到分配到樣本量的故障模式數和補充到樣本量的故障模式數之和等于NUP為止。

這樣的一種試驗樣本補充方式符合抽樣的隨機原則，也符合產品的指標計算的基本原則。

2.3 系統測試性指標的評估

基于樣本量的分配及補充結果，針對所有檢測手段為非人工檢測的故障樣本，分析其故障原因，確定可用于執行故障注入的備選的試驗樣本，形成備選試驗樣本庫。為了確保樣本的統計特性，備選試驗樣本選取仍需要以故障率為依據進行抽樣，這里仍然可以采用按比例簡單隨機抽樣方法將樣本量進一步分配至器件/部件級故障模式以便進行故障注入操作。

2.4 系統測試性指標的評估

2.4.1 當前測試性指標評估的問題

在目前已經開展的測試性試驗中存在一些不足，總體來講，當前測試性驗證試驗指標評估存在如下幾個方面的問題：

1) 目前，產品測試性指標計算的一個原則是，對于某個的故障模式，如果它在試驗方案設計時設計有N種BIT對應的試驗用例，然而在實際試驗中，這N種BIT沒有全部檢測到，那么就認為該故障模式不能被檢測到。根據此原則進行指標的計算可能會導致指標結果的不合理，例如，某個產品在線BIT指標為90%，啟動BIT指標為30%，但總體BIT指標極有可能會不到30%，整體檢測能力小于局部檢測能力，這是不符合邏輯的；另外，此原則與國際上通用的測試性建模分析理論也不相符，測試性建模分析理論中只要有1個故障模式只要有1種BIT能檢測，就算BIT能檢測。

2) 產品測試性指標計算的另一個原則是，當試驗的檢測結果與實際檢測判據不一致時(即錯報)，則算檢測不成功；

此原則是與產品故障檢測的理念相互矛盾的，對于產品的故障檢測率，它是產品自身的設計屬性，在其使用時不會依據故障檢測判據的一致性來判斷產品是否檢測成功，試驗中發生錯報只能說明實際與理論檢測判據不一致，不能說明故障無法檢出，有可能實際的檢測判據就是它，因此，在試驗中出現錯報應區分是設計造成的還是分析錯誤造成的。

3) 故障隔離率(FIR)的評估沒有成熟、可用的方法與手段。目前在已經開展的眾多系列測試性試驗中，還沒有對故障隔離率提出考核要求，也沒有成熟的方法、手段、思路可以直接引用，僅有一些標準可供參考，無法支撐系統隔離率指標的評估。

2.4.2 指標的評估

針對上文所述的現狀與問題，本節就系統級測試性驗的指標評估問題展開研究。

2.4.2.1 故障檢測率

故障檢測率(FDR)的計算方法如公式(2)、(3)所示：

設用規定的檢測手段成功檢測到的樣本量為NS，該檢測手段故障檢測率的點估計值為：

(2)

單側置信下限為：

(3)

對于系統級的產品，規定的檢測手段一般包括了BIT、加電BIT、在線BIT、維護BIT，應按照公式(2)、(3)所述的方法對以上手段的故障檢測率進行評估。

2.4.2.2 故障隔離率

故障檢測率(FDR)的計算方法如公式(4)、(5)所示：

設用規定的檢測手段正確隔離到模糊組為L的次數為NL，故障隔離率的點估計值為：

(4)

單側置信下限為：

(5)

式中,NS為試驗中用規定的檢測手段檢測成功總次數；NL為試驗中用規定的檢測手段正確隔離到模糊組為L的次數；C為置信度。

從上式中可以看出，目前故障隔離計算是以故障檢測成功為基礎的，在某些情況下，可能會出現故障檢測率很低，但故障隔離率很高的情況(例如某個產品能夠檢測的故障很少，但只要檢測成功就能實現隔離)，這種情況下故障檢測率雖然看似很高，但并不能反映系統的真實故障隔離能力，為此，本文提出一個新的指標—故障絕對隔離率，計算方法如公式(6)所示：

(6)

單側下限的計算方法參考公式(5)。

對于系統級的產品，故障隔離規定的檢測手段一般包括了BIT、BIT+外場人工檢測、BIT+外場測試設備+外場人工檢測，應按照公式(4)～(6)所述的方法對以上手段的故障檢測率進行評估。

在對系統進行隔離數據統計中，需要對不同隔離條件下的(L=1、2、3)NL進行統計，具體的如表1。

表1 系統故障隔離判據表

表1為受試系統的故障隔離判據表，需要由系統設計人員進行編寫。編制原則如下：

第一列“模糊組”：列舉所有L≤3的故障模糊組組合形式，注明編碼及名稱，例如：16-01 LRU1。

第二列“隔離判據”： 針對不同類型檢測手段給出隔離判據。

2.4.2.3 故障覆蓋率

故障覆蓋率(FCR)的計算方法如公式(7)、(8)所示：

當∑ni≤NUP時，設用規定的檢測手段成功檢測到的故障模式數為M1。則通過公式(7)進行故障覆蓋率的計算。

(7)

當∑ni>NUP時，設用規定的檢測手段成功檢測到的故障樣本數為M1。則通過公式(8)進行故障覆蓋率的計算。

(8)

除整體故障覆蓋率之外，還應對受試系統的Ⅰ、Ⅱ類故障模式的覆蓋率進行評估，計算公式參考(7)、(8)。

3 一種通用化的故障注入器設計

對于交聯信號電壓異常這一故障模式的模擬，目前我們比較常用的一種方法是后驅動故障注入方法，主要是通過拉出和灌入電流迫使電壓發生變化，進而實現電壓異常的模擬。然而這種方法較為簡單、粗暴，難以精確的控制故障應力，并且還有一定的風險。

為了解決上述問題，本文提出一種通用化的電壓故障注入器，可實現在不改變信號頻率和相位的基礎上，對中低頻數字/模擬信號的輸出進行等比例縮放和偏置，且能夠實現持續、間隔、步進等多種故障注入方式，適用對象可為各類中低速的總線、離散量、傳感器等信號。

3.1 電壓故障注入器的硬件設計

本電壓故障注入器在進行電路設計時應采用如下的方法和原則：

1)電壓故障注入采用串接式故障注入，即將故障注入器串聯到被注入系統不同LRU之間，盡量不引發原模塊之間的通路中斷。故障注入器在停止注入狀態時應為“透明”狀態，要保持通路信號不會受到干擾。

2)信號轉換盡量采用模擬電路，同時減少CPU的干預，縮短信號傳輸延時。

3)建立電路傳遞函數，確保信號轉換的準確性。

4)注意匹配設計以確保幅頻、相頻特性滿足要求。

5)設計完成后的注入器應具有通道同步故障注入能力，應設計至少4個通道。

基于上述分析，本故障注入器的總體設計思路如圖3所示(以單個通道為例)：

圖3 電壓故障注入器總體設計思路

故障注入器采用基于ARM的CPU控制單元控制增益調節模塊與偏置調節模塊對信號進行調節，調節后的信號可以疊加輸出，這兩個模塊的設計思路如圖4。

圖4 增益和偏置模塊總體設計思路

在增益調節回路中，主要通過放大電路的反饋回路實現對輸入信號的幅值調整。如上圖所示，在程控模式下，ARM處理器產生的控制信號(圖4實線箭頭)經過驅動放大后控制反饋回路的繼電器組合調整反饋回路的阻值，根據反饋回路阻值與輸入電阻的匹配關系實現幅度調整。在程控模式下控制信號來自本控源(如圖4虛線箭頭)。

在偏置回路中，主要產生偏置信號，然后與增益調整輸出相加，完成偏置調節。在程控模式下，偏置信號由ARM處理器控制(圖中實線箭頭)的DAC產生，本系統采用電流輸出型DAC，經過I/V轉換后進行一次低通濾波，將濾波輸出信號作為最終的偏置信號。本控模式下，控制信號來自本控源(如圖4虛線箭頭)。

為了便于通道模塊的更換與維護，整體結構分為四塊子板和一塊母板兩部分組成(如圖5所示)，四塊子板插接在母板上。

圖5 故障注入器結構組成

每個子板均為一個獨立的故障注入通道，均能獨立完成增益和偏置調節，功能子板只有對母板的接口，不再添加其余的接口，在使用時直接將功能子板通過插拔方式安裝在母板上即可。

母板完成了整個系統的供電、信號輸入輸出、信號測量、控制指令信號的產生、通信等功能。

3.2 電壓故障注入器的軟件設計

本電壓故障注入器的軟件主要包括上位機設計和下位機軟件。

下位機軟件使用keil4開發，通過USBSTcontroller2.0下載到主控系統CPU中，控制整個故障注入器功能實現，下位機主要包含了主函數、通信中斷函數、定時器中斷函數等：

1)系統主函數：系統主函數主要負責監控下位機與上位機之間的通信是否正常。定時(100 ms)發送下位機運行狀態供上位機查詢判斷，定期標志來自CPU定時器3所產生的定時標志(TIM3_flag)。此外，在主函數中還要完成系統的初始化設置。主函數執行流程如圖6。

圖6 主函數執行流程

2)通信中斷函數：本故障注入器下位機與上位機通信方式為RS232通信，在主控母版上設計有通信協議轉換電路，核心芯片為232芯片。通信協議如表2。

表2 RS232通信協議

除了硬件通信協議外，還定義了上位機與下位機數據幀協議，本協議包含42個字節，其中，幀頭為固定4個字節：a，b，c，d，幀尾為1個字節e，內容數據結構37個字節。

3)定時器中斷函數：定時器中斷函數是實現本系統功能的核心函數，在定時器中斷函數中CPU依次調用相應的故障注入函數實現故障注入，定時中斷工作過程如圖7。

圖7 定時中斷執行流程

上位機軟件基于Labview平臺開發，主要完成了電壓故障注入工作模式和注入參數的設置，本軟件通過RS232總線與ARM進行數據交換，其一方面將4個通道的增益、偏置調節參數發送至ARM，ARM按照調節參數控制增益模塊和偏置模塊進行信號調節，另外一方面通過控制計算機與下位機的通信執行時間(包括持續時間和執行間隔時間)實現故障應力的持續、間隔、步進注入。上位機軟件界面如圖8。

圖8 上位機軟件界面

3.3 電壓故障注入器故障注入案例

為了實現對電壓故障注入器的功能驗證，現搭建電壓故障注入驗證案例。在本驗證案例中，設置故障注入的模式為信號增益1.65倍，同時偏置-2 V，如圖9所示，綠色為故障注入前的信號，紫色故障注入后的信號，可以很明顯的看出，信號峰峰值變大同時直流分量由0V變為-2V。

圖9 故障注入效果比對圖

4 結論

本文提出了一種適用于復雜系統的系統級測試性驗證的試驗樣本量的確定、試驗樣本量的分配和補充以及隔離率的驗證方法，可有效的支撐后續系統級測試性試驗方案的設計與結果的評估。

此外，本文所提出的電壓故障故障注入器采用面向信號的設計思路，具有較強的通用性、使用方面，能夠對大多數協議總線、傳感器信號、I/O信號進行故障模擬，為系統級測試性試驗提供了有效的注入手段，大大提高了系統級測試性試驗的效率。目前大多數的測試性試驗系統是集成度較高的測控制系統，均采用了PXI、LXI總線標準，為了能夠將故障注入器集成到測試性試驗系統中，后續還需對故障注入器的結構、接口進行進一步改進以滿足PXI、LXI標準。

[1]GJB2547A-2012[S]. 裝備測試性工作通用要求, 2012.

[2]LiuDD,ZengZY.Thetestabilitymodelingandmodelconversiontechnologybasedonmulti-Signalflowgraph[A]. 2012Prognostics&SystemHealthManagementConference(PHM-2012Beijing)[C]. 2012.

[3] 邱 靜, 劉冠軍, 張 勇. 測試性試驗與評估技術研究現狀及發展趨勢[J].測控技術, 2014，33(s): 1-4.

[4] 田 仲, 石君友. 系統測試性設計分析與驗證[M]. 北京:北京航空航天大學出版社，2003.

[5] 秦思淵,韓 斌,李貴江. 基于多信號模型的中央維護診斷策略[J] . 測控技術, 2014，33(s): 204-207.

[6] 張曉杰,王曉峰,等. 基于機內測試性的故障注入系統設計 [J]. 北京航空航天大學學報，2006.

[7] 王 磊，陶 梅.精通LABVIEW8.X[M]. 北京：電子工業出版社，2008.

Research on Complex Systamatic Testability Test Verification Technology

Du Yi，Liu Mengmeng，Song Chenjun，Su Feng

(AVIC Aero-Ploy technology Establishment, Beijing 100028, China)

The testability test verification refers to a validation and evaluation activity in the design, detecting and sizing phase of the products, by which we can confirm the testability index determination, analyze the validity and rationality of the testability design, and identify the flaw of design, detecting the products if they have achieved the requirement of testability design completely. At present, the testability test verification technology of the equipment level test object, has formed the relevant technical specifications, and it has been used in the testability projects of some type. However, the testability design level of the products should be reflected in the system level finally, the equipment level test could check the equipment’s fault detection and fault isolation abilities (the detection and isolation abilities of SRU) of itself only, but it is difficult to reflect the detection and isolation abilities of the system(the detection and isolation abilities of LRU). The detection and isolation abilities of the system mainly reflect in: system integrated processing and analysis ability of the test results with the device itself, the ability of detecting equipment failure of the system and the ability of detecting the functions of system itself. Therefore, the testability test of the system level must be carried out, in order to validate the standard of the system testability design effectively. Based on the technology and the basic idea of the testability test, studied from the both aspects of the design of the testability test and the technique of the fault injection, a set of methods of the testability test that face to the complex system is put forward in the text.

complex system; testability test verification; fault detection; fault isolation

2016-01-18；

2016-07-06。

杜 熠(1985-)，男，陜西潼關人，研究生，工程師，主要從事測試性驗證與評估，測試性建模與設計方向的研究。

1671-4598(2017)02-0217-05DOI：10.16526/j.cnki.11-4762/tp

TP

A