張雅妮, 李巖, 李小勛

(中航工業(yè)綜合技術(shù)研究所 適航性與安全性技術(shù)研究室, 北京 100028)

基于SCADE的飛控軟件的適航驗(yàn)證與確認(rèn)

張雅妮, 李巖, 李小勛

(中航工業(yè)綜合技術(shù)研究所 適航性與安全性技術(shù)研究室, 北京 100028)

中國民用航空規(guī)章第25部對機(jī)載軟件提出了適航要求,DO178B是對適航要求的符合性方法,但其中一些驗(yàn)證和確認(rèn)目標(biāo)并不適用于基于SCADE的軟件驗(yàn)證。為此,分析了飛控軟件的適航要求和符合性方法,并對基于SCADE的飛控軟件的開發(fā)流程和傳統(tǒng)的開發(fā)流程進(jìn)行了分析對比,對基于SCADE的飛控軟件的適航驗(yàn)證與確認(rèn)工作提出了建議。

飛控軟件; SCADE; 適航驗(yàn)證與確認(rèn); DO178B

引言

飛控系統(tǒng)軟件屬于高安全性軟件,對其最關(guān)鍵的要求是高安全性和高可靠性。SCADE(Safety-Critical Application Development Environment)是一個高安全性的基于模型的應(yīng)用開發(fā)環(huán)境。在該環(huán)境下,通過構(gòu)建直觀的圖形化模型生成形式化的規(guī)范,而代碼生成器將形式化的規(guī)范自動轉(zhuǎn)化為直接面向工程的代碼。

中國民用航空規(guī)章第25部《運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn)》包含了對機(jī)載軟件的適航要求,RTCA/DO178B《機(jī)載系統(tǒng)和設(shè)備合格審定中對軟件的要求》是25部中對機(jī)載軟件的適航要求的符合性方法,該標(biāo)準(zhǔn)提出了對機(jī)載系統(tǒng)和設(shè)備軟件開發(fā)過程的要求,但是,其中某些驗(yàn)證和確認(rèn)目標(biāo)并不適用基于SCADE軟件開發(fā)中對形式化規(guī)范的驗(yàn)證。

本文分析了基于模型的軟件開發(fā)模式以及對飛控軟件的適航要求,提出了基于SCADE的飛控軟件的適航驗(yàn)證思路和方法,解決了現(xiàn)有RTCA/DO178B不適用基于SCADE開發(fā)的飛控軟件適航驗(yàn)證的問題,對于當(dāng)前采用這一現(xiàn)代軟件開發(fā)方法的飛機(jī)的適航驗(yàn)證具有參考意義。

1 飛控軟件的構(gòu)成和功能

飛控系統(tǒng)軟件是飛控系統(tǒng)的核心,是飛控系統(tǒng)功能實(shí)現(xiàn)和保證飛行安全的關(guān)鍵。一般來說,飛控軟件按其功能可分為操作系統(tǒng)軟件、應(yīng)用軟件和支持軟件。其中,操作系統(tǒng)軟件的作用是管理協(xié)調(diào)飛控計(jì)算機(jī)的硬件資源、合理調(diào)度各速率組任務(wù),為應(yīng)用軟件提供運(yùn)行平臺。應(yīng)用軟件是飛控系統(tǒng)功能的集中體現(xiàn),用于實(shí)現(xiàn)飛控系統(tǒng)控制律的計(jì)算、余度管理、機(jī)內(nèi)自檢測等功能。而支持軟件包括了開發(fā)應(yīng)用軟件、操作軟件所必須的工具軟件[1]。

隨著數(shù)字電傳飛控技術(shù)的發(fā)展,飛控軟件在飛控系統(tǒng)功能實(shí)現(xiàn)以及飛機(jī)的性能品質(zhì)中發(fā)揮的作用越來越大,飛控軟件的開發(fā)成為飛控系統(tǒng)的設(shè)計(jì)難點(diǎn)之一。

2 飛控軟件的開發(fā)

2.1 傳統(tǒng)的軟件開發(fā)模式

傳統(tǒng)的軟件開發(fā)流程是一個V型開發(fā)流程,如圖1所示。軟件開發(fā)中所有的工作都是以手工編碼和以代碼為中心而開展的。整個軟件開發(fā)中的核心是軟件編碼,設(shè)計(jì)過程中所做的規(guī)范設(shè)計(jì)(需求分析)、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)都是為了下一步的編碼。而對代碼的單元測試、集成測試、軟件產(chǎn)品確認(rèn)都是為了驗(yàn)證代碼的正確性。

圖1 傳統(tǒng)軟件開發(fā)的V型開發(fā)流程

傳統(tǒng)的軟件開發(fā)流程主要存在以下不足:

(1) 軟件設(shè)計(jì)階段中的概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)都是以手工方式進(jìn)行,通過自然語言表達(dá)設(shè)計(jì)結(jié)果,容易產(chǎn)生語義上的歧義,不能保證能夠正確體現(xiàn)規(guī)范要求。

(2) 在軟件開發(fā)完成甚至定型以后才發(fā)現(xiàn)錯誤,修改工作困難大。

(3) 需要對每個單元進(jìn)行單元測試,驗(yàn)證工作量大。

(4) 手工編碼工作量大,可靠性低。

(5) 軟件開發(fā)周期長,開發(fā)成本高。

2.2 基于模型的軟件開發(fā)模式

SCADE軟件是法國愛斯特爾技術(shù)公司的一個主要產(chǎn)品[2],基于SCADE的軟件開發(fā)流程是一個基于模型的Y型開發(fā)流程,如圖2所示。

圖2 基于模型的Y型開發(fā)流程

圖2中,從“FCS(Flight Control System)研究”到“模型”這一過程,是建立SCADE模型的過程。在該過程中,通過構(gòu)建直觀的圖形化模型,實(shí)現(xiàn)了需求分析、概要設(shè)計(jì)和詳細(xì)設(shè)計(jì),該過程是傳統(tǒng)開發(fā)模式中的“規(guī)范”和“設(shè)計(jì)”過程的融合。模型表達(dá)比傳統(tǒng)開發(fā)模式采用的自然語言更能準(zhǔn)確地表明設(shè)計(jì)需求,保證了建立的模型與需求的一致性。并且可以直接對模型進(jìn)行早期模擬仿真和證明,在軟件開發(fā)的早期階段發(fā)現(xiàn)錯誤。建立的SCADE圖形化模型包含了軟件將實(shí)現(xiàn)的所有規(guī)范要求,可以將其視為SCADE形式化功能規(guī)范。

建模之后需要對模型進(jìn)行確認(rèn),在SCADE開發(fā)環(huán)境下可以對模型自動生成測試,在模型階段對建立的模型進(jìn)行單元測試和集成測試,確認(rèn)模型是否正確、完整地體現(xiàn)了其上層規(guī)范的需求。

在對模型進(jìn)行確認(rèn)后,使用通過了國際標(biāo)準(zhǔn)DO178B質(zhì)量認(rèn)證的SCADE的代碼生成器,可以將所建立的模型自動轉(zhuǎn)化為直接面向工程的ANSIC代碼,簡化了開發(fā)模式中的“編碼”過程,并且避免了傳統(tǒng)開發(fā)模式中手工編寫代碼引入的人工錯誤,提高了軟件的可靠性。此外,無需對所生成的代碼進(jìn)行單元測試,節(jié)省了開發(fā)時間,提高了開發(fā)效率。

因此,基于SCADE進(jìn)行軟件開發(fā),使軟件開發(fā)模式實(shí)現(xiàn)了從V型到Y(jié)型的轉(zhuǎn)化。

3 飛控軟件的適航要求和符合性方法

3.1 25部適航要求

中國民用航空規(guī)章第25部《運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn)》是中國民航局對運(yùn)輸類飛機(jī)的適航審定標(biāo)準(zhǔn),其中的25.1309條款“設(shè)備、系統(tǒng)及安裝”對機(jī)載設(shè)備的適航性作出了總體要求。該條款要求,系統(tǒng)及其安裝必須保證在各種可預(yù)期的運(yùn)行條件下能完成其預(yù)定功能。該條款所指的設(shè)備和系統(tǒng)包括了所有含有軟件的機(jī)載設(shè)備和系統(tǒng),而軟件功能的失效將直接導(dǎo)致這類設(shè)備和系統(tǒng)的功能失效,從而可能會影響飛機(jī)的適航性。

3.2 飛控軟件適航要求的符合性方法

ARP4754《關(guān)于高度綜合或復(fù)雜的飛機(jī)系統(tǒng)的合格審定考慮》是按美國FAR25部和歐洲JAR25部制定的,在滿足ARP4754標(biāo)準(zhǔn)的前提下,研制的系統(tǒng)可以符合 25部25.1309條款適航要求。該標(biāo)準(zhǔn)主要適用于復(fù)雜和高度集成的電子系統(tǒng),也適用于其它飛機(jī)系統(tǒng)。該標(biāo)準(zhǔn)要求,對于系統(tǒng)軟件,應(yīng)滿足RTCA的DO178B的要求,硬件應(yīng)滿足RTCA的DO254的要求。

RTCA和EUROCAE于1992年發(fā)布了機(jī)載軟件標(biāo)準(zhǔn)RTCA/DO178B,該標(biāo)準(zhǔn)給出了對航空系統(tǒng)和設(shè)備上的嵌入式軟件開發(fā)過程的要求,旨在保證開發(fā)的軟件在功能上正確,在安全上可信,并能滿足適航要求。在滿足DO178B標(biāo)準(zhǔn)的前提下,可以高度提高軟件的開發(fā)效率和軟件產(chǎn)品的安全性。

4 適航確認(rèn)和驗(yàn)證

DO178B中對確認(rèn)和驗(yàn)證的定義如下:

確認(rèn):確定對產(chǎn)品的要求(產(chǎn)品規(guī)范)完整且正確。

驗(yàn)證:對要求的執(zhí)行情況予以評估,評估這些要求是否得以實(shí)現(xiàn)。

但是,DO178B中某些驗(yàn)證和確認(rèn)目標(biāo)(如覆蓋準(zhǔn)則)并不適用于SCADE軟件開發(fā)中的形式化規(guī)范的驗(yàn)證,因此, 針對SCADE軟件開發(fā)具體流程和飛控軟件的特點(diǎn),結(jié)合飛控軟件的適航要求、ARP4754和DO178B標(biāo)準(zhǔn)要求,建議對使用SCADE開發(fā)的飛控軟件的適航驗(yàn)證工作按照以下三個步驟進(jìn)行。

4.1 對SCADE模型的上層規(guī)范的確認(rèn)

SCADE圖形化模型的上層規(guī)范應(yīng)包含了SCADE圖形化模型中的所有需求,應(yīng)包括飛控系統(tǒng)和系統(tǒng)設(shè)備級的詳細(xì)功能目標(biāo)文件、控制律性能規(guī)范、控制律說明文件。

通過評審以及駕駛員在回路的飛行模擬器控制律性能試驗(yàn)對控制律性能規(guī)范進(jìn)行確認(rèn),對詳細(xì)功能目標(biāo)文件和控制律說明文件進(jìn)行評審。

4.2 對SCADE圖形化模型的確認(rèn)

將模型轉(zhuǎn)化為代碼的代碼生成器通過了DO178B認(rèn)證,能夠保證生成代碼的準(zhǔn)確性和可靠性。因此,對SCADE圖形化模型的確認(rèn)是適航驗(yàn)證的重要內(nèi)容,保證所建立的SCADE圖形化模型的完整性、正確性和無歧義,則能保證最終生成代碼的正確性。

對所建立的SCADE圖形化模型的確認(rèn)需要對SCADE模型要實(shí)現(xiàn)的功能進(jìn)行分析,并對系統(tǒng)/設(shè)備詳細(xì)功能目標(biāo)和控制律說明中的所有功能進(jìn)行試驗(yàn)驗(yàn)證。試驗(yàn)內(nèi)容如下:對于軟件要實(shí)現(xiàn)的飛控系統(tǒng)功能,根據(jù)詳細(xì)功能目標(biāo)中的要求確定功能試驗(yàn)方案；對于軟件要實(shí)現(xiàn)的飛控系統(tǒng)控制律,根據(jù)控制律性能規(guī)范和控制律說明文件確定控制律試驗(yàn)方案；進(jìn)行系統(tǒng)和控制律綜合試驗(yàn)；根據(jù)功能危險分析、詳細(xì)功能目標(biāo)文件和控制律性能規(guī)范制定功能失效試驗(yàn)。

(1)工作第一目標(biāo):確認(rèn)模型符合ARP4754第7章要求

①確認(rèn)模型的完整性和正確性

為了保證SCADE圖形化模型的完整性和正確性,對其主要進(jìn)行以下方面的確認(rèn):SCADE模型庫規(guī)范對每個基本模型單元有明確說明,并對于每個軟件設(shè)計(jì)人員都是統(tǒng)一的;參照系統(tǒng)功能危險分析或系統(tǒng)安全性分析中的功能分解,對SCADE圖形化模型的功能進(jìn)行分析;詳細(xì)功能目標(biāo)需與軟件開發(fā)過程一致;制定SCADE圖形化模型中的參數(shù)命名規(guī)則;對SCADE圖形化模型和試驗(yàn)計(jì)劃進(jìn)行檢查;盡早對SCADE圖形化模型進(jìn)行模擬仿真試驗(yàn)和非回歸性試驗(yàn)。

參考上層規(guī)范來確認(rèn)SCADE圖形化模型的正確性,根據(jù)上層規(guī)范和SCADE圖形化模型的可追溯性來確認(rèn)SCADE規(guī)范的完整性。另外,覆蓋率同樣體現(xiàn)了完整性。

當(dāng)在SCADE模型中添加了不同層次的新功能或者對功能進(jìn)行了修改,此時則需要進(jìn)行非回歸性分析和試驗(yàn),確定所產(chǎn)生的不可逆的影響,并采取相應(yīng)的措施。

②確認(rèn)上層規(guī)范和SCADE圖形化模型的可追溯性

通過系統(tǒng)/設(shè)備詳細(xì)功能目標(biāo)文件(包括飛行品質(zhì)功能目標(biāo))和控制律說明文件來保證上層規(guī)范和格式化規(guī)范的可追溯性。

(2)工作第二目標(biāo):確認(rèn)模型符合ARP4754第8章要求

對飛控軟件的適航驗(yàn)證與確認(rèn)的第二目標(biāo)是確認(rèn)模型符合ARP4754第8章“對執(zhí)行的驗(yàn)證”的要求,同時在模型的最低級確認(rèn)模型覆蓋率(完整性)。對執(zhí)行的驗(yàn)證的目的是為了確定建立模型的執(zhí)行程度是否滿足規(guī)定的要求,驗(yàn)證過程的目標(biāo)為[3]:確認(rèn)預(yù)計(jì)功能被正確地執(zhí)行;滿足需求;保證執(zhí)行時安全性分析結(jié)果有效。

對于SCADE模型開展的試驗(yàn)的可接受標(biāo)準(zhǔn)為:

①SCADE模型安全性的接受標(biāo)準(zhǔn)

對安全性分析所能達(dá)到的安全性目標(biāo)進(jìn)行說明。通過分析,根據(jù)SCADE模型基本功能可以得到失效圖。對安全性分析中的部分失效進(jìn)行試驗(yàn),驗(yàn)證失效產(chǎn)生的影響。

②SCADE模型其他方面的接受標(biāo)準(zhǔn)

根據(jù)系統(tǒng)功能特點(diǎn)進(jìn)行試驗(yàn),應(yīng)包括失效試驗(yàn)、邊界試驗(yàn)等。失效試驗(yàn)需采用之前說明的試驗(yàn)方法,另外還應(yīng)保證試驗(yàn)計(jì)劃與上層文件系統(tǒng)/設(shè)備詳細(xì)功能目標(biāo)、控制律說明文件和功能危險分析的可追溯性。

③SCADE試驗(yàn)結(jié)果的接受標(biāo)準(zhǔn)

試驗(yàn)結(jié)果需符合試驗(yàn)計(jì)劃的目標(biāo)、功能危險分析中的安全性目標(biāo),以及載荷/氣動彈性目標(biāo)、系統(tǒng)/設(shè)備詳細(xì)功能目標(biāo)、控制律性能規(guī)范。

④結(jié)構(gòu)覆蓋

開展以下工作以有助于結(jié)構(gòu)覆蓋分析:重閱和評審SCADE模型；制定詳細(xì)的試驗(yàn)說明,包括一些功能在結(jié)構(gòu)上的分類(如邏輯、狀態(tài)轉(zhuǎn)換)；結(jié)合功能安全性目標(biāo)對復(fù)雜的邏輯或狀態(tài)轉(zhuǎn)換進(jìn)行分析；在試驗(yàn)人員制定試驗(yàn)和進(jìn)行試驗(yàn)結(jié)果分析工作的初始階段,參考試驗(yàn)計(jì)劃和SCADE模型。

4.3 軟件產(chǎn)品對于SCADE模型的符合性驗(yàn)證

對飛控軟件的適航驗(yàn)證與確認(rèn)工作的第三目標(biāo)是評估所建立的SCADE模型在軟件中的實(shí)現(xiàn)情況,確認(rèn)已經(jīng)滿足ARP4754第8章“對執(zhí)行的驗(yàn)證”的要求。

通過第二步工作對SCADE模型進(jìn)行確認(rèn)后,代碼生成器將建立的模型自動轉(zhuǎn)化為直接面向工程的軟件。由飛控計(jì)算機(jī)、飛控裝置供應(yīng)商進(jìn)行飛控軟件的DO178B符合性證明,在型號主機(jī)單位的試驗(yàn)環(huán)境下進(jìn)行設(shè)備與系統(tǒng)的綜合實(shí)驗(yàn),包括實(shí)驗(yàn)室試驗(yàn)和飛行試驗(yàn),以驗(yàn)證生成的軟件在系統(tǒng)或飛機(jī)設(shè)備上的綜合情況。

5 結(jié)束語

傳統(tǒng)的人工代碼開發(fā)流程已經(jīng)不能滿足高安全性軟件的安全性和可靠性要求,基于模型的SCADE軟件是一個高安全性的軟件開發(fā)產(chǎn)品。適航規(guī)章25部包含了對機(jī)載軟件的適航性要求,RTCA/DO178B是對機(jī)載軟件適航性要求的符合性方法,但其中一些驗(yàn)證目標(biāo)并不適用于SCADE軟件開發(fā)技術(shù)。本文分析了機(jī)載軟件的適航性要求,對基于SCADE的飛控軟件的開發(fā)流程和傳統(tǒng)開發(fā)流程進(jìn)行了對比分析,結(jié)合適航要求和ARP4754標(biāo)準(zhǔn)、DO178B標(biāo)準(zhǔn)要求以及基于SCADE的軟件開發(fā)流程特點(diǎn),對SCADE開發(fā)的飛控軟件適航驗(yàn)證工作提出了建議,對于國內(nèi)采用這一先進(jìn)軟件開發(fā)技術(shù)的飛機(jī)的適航工作具有參考意義。

[1] RTCA/DO178B RTCA/EUROCAE software considerations in airborne systems and equipment certification[S].RTCA Inc.,1992.

[2] SCADE reference manual [Z].Esterel Technologies,2003.

[3] ARP4754 Certification considerations for highly-integrated or complex aircraft systems [S].Society of Automotive Engineers,Inc.,1994.

AirworthinessvalidationandaccreditationforSCADE-basedflightcontrolsoftware

ZHANG Ya-ni, LI Yan, LI Xiao-xun

(Airworthiness and Safety Technology Research Department, China Aviation Polytechnology Establishment, Beijing 100028, China)

Flight control system software belongs to high safety software. The SCADE is a high safety product for flight control system software development. The SCADE has been successfully applied in development of flight control system software in some aircraft. The CCAR 25 contains airborne software airworthiness requirements, the DO178B is a compliance method for these requirements. But some validation and verification targets are not applicable for software validation developed by the SCADE. Airworthiness requirements and the compliance method are analyzed. Software development process with the SCADE and traditional software development process are compared. Airworthiness validation and accreditation methods for flight control system software developed with the SCADE are proposed.

flight control software; SCADE; airworthiness validation and accreditation; DO178B

2011-04-30;

2011-11-06

張雅妮(1981-)，女，湖南邵陽人，工程師，博士，研究方向?yàn)檫m航性技術(shù)。

V249.1

A

1002-0853(2012)01-0034-04

(編輯：姚妙慧)