基于SCADE下飞控软件的适航验证与确认初探

2018-03-08李晓茹何志国

科技传播 2018年4期

李晓茹+何志国

摘要随着民航事业的快速发展，业界对飞控系统软件的重视程度日渐提升，但现行的中国民用航空规章第25部涉及的适航要求却存在不完全适用于基于SCADE软件验证的情况，基于此，本文就飞控软件的适航要求和符合性方法展开分析，并对适航验证和确认进行了详细论述，希望论述内容能够为相关业内人士带来一定启发。

关键词 SCADE；飞控软件；适航验证；DO178B

中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2018）205-0115-02

作为法国爱斯特尔技术公司开发的产品，SCADE软件采用了基于模型的Y型开发流程，而在该软件提供的SCADE代码生成器支持下，飞控系统软件的“编码”过程可以被省略，软件的可靠性自然能够由此大幅提升，而为了最大化发挥SCADE软件的应用价值，本文正是围绕基于SCADE下飞控软件的适航验证与确认展开具体研究的原因所在。

1 飞控软件的适航要求和符合性方法

1.1 第25部《运输类飞机适航标准》要求

作为中国民航局对运输类飞机提出的适航审定标准，中国民用航空规章第25部《运输类飞机适航标准》对机载设备适航性提出了明确要求，在25.1309条款中，该标准明文规定“系统及其安装必须保证在各种可预期的运行条件下能完成其预定功能”，本文研究的飞控软件正属于该规定范畴，这是由于飞控软件的失效将直接影响飞机适航性[ 1 ]。

1.2 飞控软件适航要求的符合性方法

为了同时满足ARP4754《关于高度综合或复杂的飞机系统的合格审定考虑》、第25部《运输类飞机适航标准》适航要求，只有系统硬件满足RTCA的DO254要求、软件系统满足其DO178B要求，飞机的适航性才能够得到较好保障。

其中，机载软件标准RTCA/DO178B发布于1992年，RTCA和EUROCAE发布该标准是为了明确航空系统和设备嵌入式软件开发过程要求，只有这样才能够保证相关软件的安全可信、功能较好满足适航要求，而在满足这类标准要求后，如何进一步提升软件产品的安全性和开发效率便成为了业内人士必须考虑的问题。

2 适航验证和确认

DO178B要求对验证和确定进行了明确定义，其中验证指的是“对要求的执行情况予以评估，评估这些要求是否得以实现”，确认指的是“确定产品规范（产品的要求）完整且正确”，但结合SCADE软件和DO178B要求开展对比可以发现，SCADE软件的核心形式化规范验证与DO178B要求存在着一定冲突之处，为了在這种情况下最大程度提升飞控软件适航验证与确认质量，本文建议这种适航验证和确认围绕以下步骤开展。

2.1 SCADE模型上层规范的确认

在基于SCADE软件的飞控软件适航验证与确认中，首先需要确定的是SCADE模型上层规范，这是由于SCADE图形化模型中的所有需求均包含在该上层规范之中，为了实现高质量控制律说明规范文件和性能规范文件、飞控系统的详细功能目标文件等需求确定，这一环节必须得到高度重视。值得注意的是，评审属于这一环节的主要确认手段，驾驶员在回路的飞行模拟器控制律性能试验也需要在这一过程中得到高度重视[2]。

2.2 SCADE图形化模型确认

完成SCADE模型上层规范的确认后，即可进行SCADE图形化模型确认。对于本文研究的SCADE软件来说，上文提及的SCADE代码生成器通过了DO178B的认证，这就使得SCADE软件的应用能够较好保障代码的可靠性和准确性。在代码可靠性和准确性得到保障的前提下，SCADE图形化模型必须得到高度关注，这种关注需要体现在模型的正确性、无歧义、完整性等方面，这样才能够进一步保证代码正确性。

在具体的SCADE图形化模型确认中，这一过需要重点开展将要实现功能的分析，因此系统/设备控制率说明、详细功能目标中涉及的功能均需要开展试验验证。具体来说，试验需围绕飞控软件需要实现的飞控系统功能开展，由此确定的试验方案才能够较好满足SCADE图形化模型确认需要。此外，控制率试验、系统和控制率综合试验、功能失效试验也需要在这一环节中得到体现。

2.2.1 工作第一目标

对于SCADE图形化模型确认来说，确认SCADE图形化模型符合ARP4754第7章要求属于工作的第一目标，这一环节流程可以概括为“确认模型的完整性和正确性→确认可追溯性”，二者具体内容如下所示。

1）确认模型的完整性和正确性。在完整性和正确性的确认中，围绕SCADE图形化模型的基本模型单元明确说明、系统功能危险分析中的功能分解、涉及的参数命名规则、试验计划的检查、非回归性试验和模拟仿真实验均属于其中重点，软件设计人员的统一也需要同时得到重视。结合上文开展的SCADE模型上层规范确认研究，即可应用可追溯性有效保证SCADE图形化模型中的SCADE规范完整性，这一过程也能够较好保证SCADE图形化模型的覆盖率完整性。在实际情况中，飞控软件SCADE图形化模型往往需要修改功能或增添新功能，这种情况下必须开展非回归性分析和试验，这样才能够保证相关修改不会对飞控软件的试航性造成影响。

2）确认可追溯性。在SCADE图形化模型的可追溯性确定中，上层规范也必须在这一环节得到重视，为了保证格式化规范和上层规范可追溯性，必须围绕系统/设备控制率说明文件、详细功能目标文件开展深入分析。

2.2.2 工作第二目标

对于SCADE图形化模型确认来说，确认SCADE图形化模型符合ARP4754第8章要求属于工作的第二目标，该目标的实现流程可以概括为“SCADE图形化模型安全性接受标准→其他方面的接受标准→试验结果的接受标准→结构覆盖”，具体内容如下所示：

1）CADE图形化模型安全性接受标准。通过分析得到失效图，即可开展质量较高的失效验证，失效产生的影响将在这一过程中得到明确。

2）CADE图形化模型其他方面的接受标准。这一环节由失效试验、边界试验组成，前者需要采用上文提到的试验方法，后者则需要参考控制律说明文件追溯性等内容。

3）CADE图形化模型试验结果的接受标准。这一环节是为了保证试验结果符合试验计划目标，控制律性能规范等内容需要在这一环节得到重视。

4）结构覆盖。这一环节需要参考SCADE模型和试验计划，同时SCADE模型的重阅和评审、分析复杂的逻辑或状态转换等也属于该环节重点内容。

2.3 符合性验证

完成上述确认后，即可进入适航验证和确认的最终一步，该步骤主要包括在型号主机单位试验环节下开展的实验室试验和飞行试验，由此即可进一步验证飞控软件的综合情况。

3 结论

综上所述，基于SCADE下飞控软件的适航验证与确认具备较高现实价值。而在此基础上，本文涉及的SCADE模型上层规范的确认、SCADE图形化模型确认等内容，则证明了研究价值。因此，在相关领域的理论研究和实践探索中，本文内容能够发挥一定参考作用。

参考文献