馮臻　王京婭

【摘 要】本文針對民機綜合復雜系統(tǒng)研制中出現(xiàn)研制錯誤的風險，闡述了目前工業(yè)界在限制研制錯誤方面取得良好實施效果的實踐方法，包括研制保證過程與架構減緩等方面，在此基礎上總結了對于我國民機系統(tǒng)研制的相關啟示。

【關鍵詞】研制錯誤；研制保證；架構減緩；民機系統(tǒng)

【Abstract】Due to civil aircraft systems become highly integrated and complex， there is an increasing risk of the existence of development errors. The best practice for development errors limitation in current industry is described in this paper， including development assurance process and architecture mitigation technique. The revelation for the domestic civil aircraft development is then summarized.

【Key words】Development Error；Development Assurance；Architecture Mitigation；Civil Aircraft

0 引言

伴隨技術的發(fā)展，民用飛機系統(tǒng)復雜程度愈發(fā)提高。譬如，綜合模塊化航電（Integrated Modular Avionics， IMA）系統(tǒng)的應用大幅增加了飛機功能的綜合性和復雜性，大量相同模塊的采用會導致故障傳播可能性提高。目前航空業(yè)界愈加強調要降低發(fā)生系統(tǒng)性失效和共因失效的風險，其本質在于復雜系統(tǒng)和綜合性的飛機級功能出現(xiàn)研制錯誤和不良或非預期影響的風險會更大。

為了將民用飛機安全性維持在一個可接受的水平，需要在研制中采用能夠限制研制錯誤的技術手段，這對于民機適航合格審定也是一項重點關注的問題。由于為高度綜合和復雜系統(tǒng)開發(fā)出有限的測試程序通常是不實際的，而錯誤出現(xiàn)的概率又無法量化，所以無法研究出一個恰當?shù)臄?shù)值計算方法來評估。目前在實踐中，通常采用定性的方法和一些設計架構方面的技術，主要包括：

1）研制保證——研制保證過程能夠幫助確保系統(tǒng)研制已經(jīng)以足夠嚴格和科學的方式完成，能夠限制可能影響到飛機安全性的研制錯誤發(fā)生的可能性。

2）架構減緩——通過架構設計的途徑可以限制研制錯誤和系統(tǒng)部件失效出現(xiàn)的后果以及它們影響飛機安全的可能性。

本文將對上述方法和技術進行闡述。

1 研制保證過程

美國航空無線電協(xié)會發(fā)布的工業(yè)標準DO-178B和DO-254中所提及的工作目前已作為實現(xiàn)機載軟件和電子硬件研制保證嚴酷度的手段。而2010年美國汽車工程師協(xié)會新發(fā)布的ARP 4754A中進一步提出，如果沒有一個從飛機級（Aircraft Level）到項目級（Item Level）的研制保證過程，則這些僅僅與軟件和電子硬件相關的過程不足以減少飛機或系統(tǒng)錯誤。因此，ARP4754A中建議了這樣一種過程，它可以將可能導致功能危險性評估（Functional Hazard Assessment， FHA）當中所確定的失效狀態(tài)（Failure Condition）的研制錯誤降至適當嚴酷度的置信度，這個過程被稱為研制保證過程?？梢酝ㄟ^所分配的功能研制保證嚴酷度（Function Development Assurance Level， FDAL）和某些計算分析的方法來滿足與失效狀態(tài)等級相關的安全性目標，這種與具體飛機或系統(tǒng)功能相關的FDAL與傳統(tǒng)安全性分析當中的數(shù)值概率沒有直接的關聯(lián)，F(xiàn)DAL根據(jù)嚴酷度的高低可分為A、B、C、D、E五個等級。

1.1 研制保證等級分配舉例

在圖1所示的由故障樹形式所表現(xiàn)的系統(tǒng)架構分配案例中，頂層功能F由功能F1和F2同時作用實現(xiàn)，而功能F1和F2分別由駐留在相同硬件HW1中的軟件SW1和SW2實現(xiàn)。由于SW1和SW2沒有進行分隔處理，因此在功能F1或者SW1研制中的錯誤可能造成F2或者SW2的失效。根據(jù)4754A中的分配原則，HW1、SW1和SW2的IDAL（Item Development Assurance Level）都被分配為與頂層FDAL同等嚴酷級別。

圖 1 研制保證等級的分配舉例

此外，對于非復雜的軟硬件，當其研制可以被完整的測試和分析手段所保證時，可以認為其達到了IDAL A的研制保證等級，但是與其相關的需求也須在與之對應的FDAL嚴酷等級下進行確認。

1.2 研制保證過程的局限性

通過應用研制保證過程可建立消除研制錯誤的信心，但是研制保證還無法保證萬無一失。在ARP 4754A的表5.2注釋1中提到：“對于災難性的失效狀態(tài)，通過分配FDAL A限制研制錯誤這種方式如果能被審定方接受的話，還需要配以足夠獨立的確認驗證活動、技術、完成標準等等[1]?！边@段注釋反映出目前業(yè)界對以下兩點依舊持有疑問：

1）在當今民機系統(tǒng)研發(fā)周期當中，無論所設計的架構復雜度如何，可能無法保證有足夠獨立的確認和驗證活動來確保達到了所分配的FDAL A的嚴酷程度。

2）即使研發(fā)流程被聲明為是按照FDAL A來執(zhí)行的，根據(jù)目前飛機功能或者系統(tǒng)的復雜程度，用一套有限的程序來確保復雜的機載系統(tǒng)肯定排除了可能會造成災難性后果的研制錯誤可能是難以實現(xiàn)的。

這些問題都需要民機主制造商來進行回答，同樣也被民機審查方高度關注。

2 限制研制錯誤的安全性設計理念與技術

目前，國際航空業(yè)界已經(jīng)意識到，僅僅依靠研制保證已經(jīng)無法充分保證在軟件或者復雜硬件中所實現(xiàn)的復雜與關鍵功能的安全性。目前有許多良好的實踐經(jīng)驗表明能夠提供對于研制錯誤以及共同失效模式的限制。民機的運營經(jīng)驗同樣表明，傳統(tǒng)的安全性評估技術僅僅能夠識別出實際運營環(huán)境中能夠發(fā)生的一小部分的失效模式。因此，架構緩解的手段，作為對研制保證過程方法的補充，目前在高度綜合復雜飛機系統(tǒng)的研制中已不可或缺。

2.1 四種基本的安全性技術

以美國FAA為代表的業(yè)界認為，目前在架構設計時有四種類型的技術可以幫助顯著提高安全性，它們彼此相關，通常需要組合使用產(chǎn)生良好的效果[2]。這四種技術分別如下所述：

1）故障容忍（Fault Tolerance）

故障容忍是“失效-安全（Fail-Safe）”技術在系統(tǒng)設計中的應用，它可以增強系統(tǒng)在故障出現(xiàn)時的魯棒性，使得系統(tǒng)（下轉第170頁）（上接第67頁）仍能夠保持功能。故障容忍的例子包括：預防性程序、故障隔離或者故障限制、冗余性、其它一些失效-安全的設計理念與技術、硬件中斷、非相似性和恢復性數(shù)據(jù)塊等。故障容忍的原則應當在關鍵和復雜系統(tǒng)的實施當中應用，該手段可以緩解系統(tǒng)失效、硬件失效或者研制錯誤的影響，使得當失效、故障或者錯誤開始出現(xiàn)時能夠保證繼續(xù)安全的飛行。

2）故障探測（Fault Detection）

故障探測是一種能夠探測故障以及觸發(fā)相關反應的安全技術。故障探測的方式包括有：自檢測（Built-In-Test， BIT）、比較、系統(tǒng)監(jiān)控器等。觸發(fā)的相關反應包括有：切換到無故障的通道（并行的或者備份的）、隔離失效的部件、忽略故障通道的輸出、切換到系統(tǒng)的降級模式等。

故障探測與故障容忍密切相關。如果一個系統(tǒng)能探測相關錯誤并且觸發(fā)恰當?shù)南到y(tǒng)機制，這個系統(tǒng)就可以稱為是故障容忍的。故障探測機制如果足夠獨立，并且與被監(jiān)控的系統(tǒng)是非相似的，故障探測就會非常有效。因此，獨立性與非相似的應用可以用來表明故障探測的有效性。不同的通道間的獨立性通常用來證明故障的容忍和探測能力以及安全性的裕度。比較不同通道的輸出也是常用的一種故障探測手段，但是這種架構的缺陷是可能無法消除共同的研制錯誤。

3）故障消除（Fault Removal）

故障消除是設計時采用的消除故障的安全性技術。其例子包括：錯誤的探測與糾正功能、自檢測、開展各類確認與驗證活動（包括檢查、評審、試驗、模型檢查、分析等方式）。故障消除依賴于過程保證的方法。

4）故障規(guī)避（Fault Avoidance）

故障規(guī)避是研制中用來規(guī)避可能會引發(fā)系統(tǒng)故障的錯誤的一種安全性技術。其例子包括：選擇一個合適的語言子集、防衛(wèi)程序、減少或分隔安全性關鍵代碼、最小化設計中的錯誤、使用合適的生命周期中的方法和技術等等。

2.2 工程實踐樣例

1）大氣數(shù)據(jù)系統(tǒng)

某飛機大氣數(shù)據(jù)系統(tǒng)由4個帶有嵌入式軟件的智能探頭組成，可以進行數(shù)據(jù)的采集與處理。針對這些探頭中運行的軟件可能產(chǎn)生的系統(tǒng)性失效，研制中采用了兩種非相似的硬件板路上兩種非相似的軟件，通過這種途徑增強系統(tǒng)的魯棒性。

2）艙門控制器

考慮到在空中打開或者滑動的可能性，飛機艙門控制器系統(tǒng)被認為是非常關鍵的。因此在研制中，對于已經(jīng)采用研制保證等級A的實現(xiàn)相關關鍵功能的軟件，同時設計了一個可編程組件作為簡單模擬表決器，對軟件的發(fā)出的控制指令進行確認，其研制保證等級同樣為A。

3 結論以及對我國民機研制的啟示與挑戰(zhàn)

對于未來的民機系統(tǒng)，由于功能的集成度和復雜性大幅度增加，將使得因為大量采用通用模塊而引發(fā)故障傳播的可能性極大增加，如果不在這些類型的系統(tǒng)內采用緩解失效影響的措施，將可能使先前聯(lián)合式系統(tǒng)所能達到的安全性水平降低，航空規(guī)章和政策也將對于此提出越來越高的要求。

對于我國民機研制項目而言，這既是重要啟示也是巨大挑戰(zhàn)。需要明確對于高度綜合復雜系統(tǒng)，采用與ARP 4754A一致的研制過程，將系統(tǒng)中不完整不正確的需求降到最低，應用評審、分析、仿真、實驗室實驗和飛行試驗等多種手段開展多層級的確認工作。同時，要積極了解并應用國內外從工業(yè)實踐中獲得的成功經(jīng)驗，指導開展具體的系統(tǒng)架構設計工作，以滿足或者超越ARP 4754A中的要求。對于存在可能導致災難性事件的共模故障，積極研究能夠限制研制錯誤，減緩共模故障的設計方法。這樣才能在追求先進性的同時，確保國產(chǎn)民機的安全性，也有利于相關適航合格審定工作的順利開展。

【參考文獻】

[1]SAE Aerospace， Guidelines for Development of Civil Aircraft and Systems[S].2010.12： 43-44

[2]FAA Certification Authorities Software Team， Reliance on Development Assurance Alone when performing a Complex and Full-time Critical Function[R]. 2006.3： 4-7.

[責任編輯：曹明明]