基于SCADE下飛控軟件的適航驗(yàn)證與確認(rèn)初探

李曉茹+何志國(guó)

摘 要 隨著民航事業(yè)的快速發(fā)展，業(yè)界對(duì)飛控系統(tǒng)軟件的重視程度日漸提升，但現(xiàn)行的中國(guó)民用航空規(guī)章第25部涉及的適航要求卻存在不完全適用于基于SCADE軟件驗(yàn)證的情況，基于此，本文就飛控軟件的適航要求和符合性方法展開(kāi)分析，并對(duì)適航驗(yàn)證和確認(rèn)進(jìn)行了詳細(xì)論述，希望論述內(nèi)容能夠?yàn)橄嚓P(guān)業(yè)內(nèi)人士帶來(lái)一定啟發(fā)。

關(guān)鍵詞 SCADE；飛控軟件；適航驗(yàn)證；DO178B

中圖分類(lèi)號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2018）205-0115-02

作為法國(guó)愛(ài)斯特爾技術(shù)公司開(kāi)發(fā)的產(chǎn)品，SCADE軟件采用了基于模型的Y型開(kāi)發(fā)流程，而在該軟件提供的SCADE代碼生成器支持下，飛控系統(tǒng)軟件的“編碼”過(guò)程可以被省略，軟件的可靠性自然能夠由此大幅提升，而為了最大化發(fā)揮SCADE軟件的應(yīng)用價(jià)值，本文正是圍繞基于SCADE下飛控軟件的適航驗(yàn)證與確認(rèn)展開(kāi)具體研究的原因所在。

1 飛控軟件的適航要求和符合性方法

1.1 第25部《運(yùn)輸類(lèi)飛機(jī)適航標(biāo)準(zhǔn)》要求

作為中國(guó)民航局對(duì)運(yùn)輸類(lèi)飛機(jī)提出的適航審定標(biāo)準(zhǔn)，中國(guó)民用航空規(guī)章第25部《運(yùn)輸類(lèi)飛機(jī)適航標(biāo)準(zhǔn)》對(duì)機(jī)載設(shè)備適航性提出了明確要求，在25.1309條款中，該標(biāo)準(zhǔn)明文規(guī)定“系統(tǒng)及其安裝必須保證在各種可預(yù)期的運(yùn)行條件下能完成其預(yù)定功能”，本文研究的飛控軟件正屬于該規(guī)定范疇，這是由于飛控軟件的失效將直接影響飛機(jī)適航性[ 1 ]。

1.2 飛控軟件適航要求的符合性方法

為了同時(shí)滿(mǎn)足ARP4754《關(guān)于高度綜合或復(fù)雜的飛機(jī)系統(tǒng)的合格審定考慮》、第25部《運(yùn)輸類(lèi)飛機(jī)適航標(biāo)準(zhǔn)》適航要求，只有系統(tǒng)硬件滿(mǎn)足RTCA的DO254要求、軟件系統(tǒng)滿(mǎn)足其DO178B要求，飛機(jī)的適航性才能夠得到較好保障。

其中，機(jī)載軟件標(biāo)準(zhǔn)RTCA/DO178B發(fā)布于1992年，RTCA和EUROCAE發(fā)布該標(biāo)準(zhǔn)是為了明確航空系統(tǒng)和設(shè)備嵌入式軟件開(kāi)發(fā)過(guò)程要求，只有這樣才能夠保證相關(guān)軟件的安全可信、功能較好滿(mǎn)足適航要求，而在滿(mǎn)足這類(lèi)標(biāo)準(zhǔn)要求后，如何進(jìn)一步提升軟件產(chǎn)品的安全性和開(kāi)發(fā)效率便成為了業(yè)內(nèi)人士必須考慮的問(wèn)題。

2 適航驗(yàn)證和確認(rèn)

DO178B要求對(duì)驗(yàn)證和確定進(jìn)行了明確定義，其中驗(yàn)證指的是“對(duì)要求的執(zhí)行情況予以評(píng)估，評(píng)估這些要求是否得以實(shí)現(xiàn)”，確認(rèn)指的是“確定產(chǎn)品規(guī)范（產(chǎn)品的要求）完整且正確”，但結(jié)合SCADE軟件和DO178B要求開(kāi)展對(duì)比可以發(fā)現(xiàn)，SCADE軟件的核心形式化規(guī)范驗(yàn)證與DO178B要求存在著一定沖突之處，為了在這種情況下最大程度提升飛控軟件適航驗(yàn)證與確認(rèn)質(zhì)量，本文建議這種適航驗(yàn)證和確認(rèn)圍繞以下步驟開(kāi)展。

2.1 SCADE模型上層規(guī)范的確認(rèn)

在基于SCADE軟件的飛控軟件適航驗(yàn)證與確認(rèn)中，首先需要確定的是SCADE模型上層規(guī)范，這是由于SCADE圖形化模型中的所有需求均包含在該上層規(guī)范之中，為了實(shí)現(xiàn)高質(zhì)量控制律說(shuō)明規(guī)范文件和性能規(guī)范文件、飛控系統(tǒng)的詳細(xì)功能目標(biāo)文件等需求確定，這一環(huán)節(jié)必須得到高度重視。值得注意的是，評(píng)審屬于這一環(huán)節(jié)的主要確認(rèn)手段，駕駛員在回路的飛行模擬器控制律性能試驗(yàn)也需要在這一過(guò)程中得到高度重視[2]。

2.2 SCADE圖形化模型確認(rèn)

完成SCADE模型上層規(guī)范的確認(rèn)后，即可進(jìn)行SCADE圖形化模型確認(rèn)。對(duì)于本文研究的SCADE軟件來(lái)說(shuō)，上文提及的SCADE代碼生成器通過(guò)了DO178B的認(rèn)證，這就使得SCADE軟件的應(yīng)用能夠較好保障代碼的可靠性和準(zhǔn)確性。在代碼可靠性和準(zhǔn)確性得到保障的前提下，SCADE圖形化模型必須得到高度關(guān)注，這種關(guān)注需要體現(xiàn)在模型的正確性、無(wú)歧義、完整性等方面，這樣才能夠進(jìn)一步保證代碼正確性。

在具體的SCADE圖形化模型確認(rèn)中，這一過(guò)需要重點(diǎn)開(kāi)展將要實(shí)現(xiàn)功能的分析，因此系統(tǒng)/設(shè)備控制率說(shuō)明、詳細(xì)功能目標(biāo)中涉及的功能均需要開(kāi)展試驗(yàn)驗(yàn)證。具體來(lái)說(shuō)，試驗(yàn)需圍繞飛控軟件需要實(shí)現(xiàn)的飛控系統(tǒng)功能開(kāi)展，由此確定的試驗(yàn)方案才能夠較好滿(mǎn)足SCADE圖形化模型確認(rèn)需要。此外，控制率試驗(yàn)、系統(tǒng)和控制率綜合試驗(yàn)、功能失效試驗(yàn)也需要在這一環(huán)節(jié)中得到體現(xiàn)。

2.2.1 工作第一目標(biāo)

對(duì)于SCADE圖形化模型確認(rèn)來(lái)說(shuō)，確認(rèn)SCADE圖形化模型符合ARP4754第7章要求屬于工作的第一目標(biāo)，這一環(huán)節(jié)流程可以概括為“確認(rèn)模型的完整性和正確性→確認(rèn)可追溯性”，二者具體內(nèi)容如下所示。

1）確認(rèn)模型的完整性和正確性。在完整性和正確性的確認(rèn)中，圍繞SCADE圖形化模型的基本模型單元明確說(shuō)明、系統(tǒng)功能危險(xiǎn)分析中的功能分解、涉及的參數(shù)命名規(guī)則、試驗(yàn)計(jì)劃的檢查、非回歸性試驗(yàn)和模擬仿真實(shí)驗(yàn)均屬于其中重點(diǎn)，軟件設(shè)計(jì)人員的統(tǒng)一也需要同時(shí)得到重視。結(jié)合上文開(kāi)展的SCADE模型上層規(guī)范確認(rèn)研究，即可應(yīng)用可追溯性有效保證SCADE圖形化模型中的SCADE規(guī)范完整性，這一過(guò)程也能夠較好保證SCADE圖形化模型的覆蓋率完整性。在實(shí)際情況中，飛控軟件SCADE圖形化模型往往需要修改功能或增添新功能，這種情況下必須開(kāi)展非回歸性分析和試驗(yàn)，這樣才能夠保證相關(guān)修改不會(huì)對(duì)飛控軟件的試航性造成影響。

2）確認(rèn)可追溯性。在SCADE圖形化模型的可追溯性確定中，上層規(guī)范也必須在這一環(huán)節(jié)得到重視，為了保證格式化規(guī)范和上層規(guī)范可追溯性，必須圍繞系統(tǒng)/設(shè)備控制率說(shuō)明文件、詳細(xì)功能目標(biāo)文件開(kāi)展深入分析。

2.2.2 工作第二目標(biāo)

對(duì)于SCADE圖形化模型確認(rèn)來(lái)說(shuō)，確認(rèn)SCADE圖形化模型符合ARP4754第8章要求屬于工作的第二目標(biāo)，該目標(biāo)的實(shí)現(xiàn)流程可以概括為“SCADE圖形化模型安全性接受標(biāo)準(zhǔn)→其他方面的接受標(biāo)準(zhǔn)→試驗(yàn)結(jié)果的接受標(biāo)準(zhǔn)→結(jié)構(gòu)覆蓋”，具體內(nèi)容如下所示：

1）CADE圖形化模型安全性接受標(biāo)準(zhǔn)。通過(guò)分析得到失效圖，即可開(kāi)展質(zhì)量較高的失效驗(yàn)證，失效產(chǎn)生的影響將在這一過(guò)程中得到明確。

2）CADE圖形化模型其他方面的接受標(biāo)準(zhǔn)。這一環(huán)節(jié)由失效試驗(yàn)、邊界試驗(yàn)組成，前者需要采用上文提到的試驗(yàn)方法，后者則需要參考控制律說(shuō)明文件追溯性等內(nèi)容。

3）CADE圖形化模型試驗(yàn)結(jié)果的接受標(biāo)準(zhǔn)。這一環(huán)節(jié)是為了保證試驗(yàn)結(jié)果符合試驗(yàn)計(jì)劃目標(biāo)，控制律性能規(guī)范等內(nèi)容需要在這一環(huán)節(jié)得到重視。

4）結(jié)構(gòu)覆蓋。這一環(huán)節(jié)需要參考SCADE模型和試驗(yàn)計(jì)劃，同時(shí)SCADE模型的重閱和評(píng)審、分析復(fù)雜的邏輯或狀態(tài)轉(zhuǎn)換等也屬于該環(huán)節(jié)重點(diǎn)內(nèi)容。

2.3 符合性驗(yàn)證

完成上述確認(rèn)后，即可進(jìn)入適航驗(yàn)證和確認(rèn)的最終一步，該步驟主要包括在型號(hào)主機(jī)單位試驗(yàn)環(huán)節(jié)下開(kāi)展的實(shí)驗(yàn)室試驗(yàn)和飛行試驗(yàn)，由此即可進(jìn)一步驗(yàn)證飛控軟件的綜合情況。

3 結(jié)論

綜上所述，基于SCADE下飛控軟件的適航驗(yàn)證與確認(rèn)具備較高現(xiàn)實(shí)價(jià)值。而在此基礎(chǔ)上，本文涉及的SCADE模型上層規(guī)范的確認(rèn)、SCADE圖形化模型確認(rèn)等內(nèi)容，則證明了研究?jī)r(jià)值。因此，在相關(guān)領(lǐng)域的理論研究和實(shí)踐探索中，本文內(nèi)容能夠發(fā)揮一定參考作用。

參考文獻(xiàn)

[1]呂晗陽(yáng)，徐浩軍，朱和銓.一種虛擬試飛驗(yàn)證飛控軟件安全性評(píng)估方法[J].計(jì)算機(jī)仿真，2017，34（10）：45-48，54.

[2]趙兀君.基于LabVIEW的飛控及航電系統(tǒng)數(shù)據(jù)的監(jiān)測(cè)系統(tǒng)設(shè)計(jì)[J].科技廣場(chǎng)，2017（6）：82-86.endprint