麦海波

（中国民用航空飞行学院，四川广汉，618307）

0 引言

飞机健康管理(Aircraft health management，AHM)系统的验证与确认（Verification and validation，V&V）是一个复杂的技术难题，但是为了确保AHM系统的稳定、可靠，这个过程不可或缺。AHM系统的V&V需要从两个主要方面入手。其一，AHM系统的本身；其二，AHM系统的实施。AHM系统需要按照AHM的需求来进行搭建，例如，AHM系统要在给定时间内作出具有特定置信度的响应。AHM系统的实现需要融合多种技术手段，包含数据分析处理、故障诊断与隔离、基于人工智能的状态评估与计划等。这里主要研究AHM系统V&V的内部与外部的影响以及由这些影响带来的技术难题。

1 现存的软件系统的V&V

1.1 航电设备的V&V

商用飞机上的软件是由美国联邦航空局（Federal Aviation Administration，简称FAA）来认证的，依据文件为RTCA公司的DO-178B。文献[1]解释了RTCA公司的DO-178B文件。文中描述了DO-178B的意图以及合理性，同时讨论了DO-178B与美国联邦法规之间的关系。

DO-178B规定软件的验证过程应包含以下几个方面：

a.软件开发过程的验证

b.软件开发周期内的数据检验

c.软件的功能验证

d.基于需求的测试与分析

e.稳定性测试

f.结构包容性分析

1.2 NASA对软件的要求、准则、标准等

2004年7月8日，NASA颁布了NASA-STD-8719.13b来对软件系统进行验证。2009年11月11日，对该文件进行了更新，发布了最新版的替代文件NPR 7150.2A。这种V&V方式与认证手段与其他领域的类似。

1.3 航天器故障保护的V&V

NASA机器航天器的故障保护（Fault protection，简称FP）软件是一种特殊的健康管理系统。该系统在两个方面超越了普通的健康管理系统，具有推理能力和自我修复的能力，不是简单的避免故障。

理想状态下，航天器的FP开发程序始于故障树分析（FMECA）的，然后故障分为需要进行故障保护的和无需进行故障保护的。一旦故障保护设定完毕，按照要求规定地面测试硬件和软件。

2 AHM系统软件V&V程序的可行性和充分性

2.1 可行性

文件 NPR 8705.2B (effective date： May 6, 2009)规定了NASA Human-Rating Certification程序。Human-Rating Certification程序规定了航天系统在最大保证机组和乘客安全（不导致机组或乘客失望或永久性残废）的工程条件、健康条件、安全条件等。NPR文件涵盖了多方面的认证，其中包含软件系统的认证。

AHM系统中包含重要软件，故需要进行条件性测试。然而，AHM系统中的重要软件需要面临多种挑战。无法得知所有的主要失效模式、不能完全理解故障模式的特性、故障模式的综合多变等使得AHM系统的V&V面临严峻挑战。

为了解决V&V可行性问题，需要从使用条件、标准等方面入手。如果AHM系统的V&V缺乏可行性，则需要修改V&V测试条件。

2.2 充分性

实现AHM系统的高等级可靠度充分性是现存标准面临的又一问题。即便是最严格的结构等级测试-MCDC也不能完全实现对软件实际应用的测试。为了实现全面的测试，采用了“路径”覆盖的方式，使用代码来测试每个独立顺序的执行。

与常规系统软件相比，AHM系统软件的非常规结构会给测试来来进一步挑战。AHM系统软件有时采用一些人工智能技术，如推理机与推理模型等，这样常常导致软件更加复杂。

AHM系统必须能够正确的反应出故障情况，禁止虚警的发生。这就要求AHM系统能够将输入的不确定数据输出为更为确定的信息和决策。例如，AHM系通过需要从相关用于监控的传感器失效中区分出发动机故障。因此，AHM系统的算法要非常可靠，在实际应用中才能更加稳定。

AHM系统要对自身系统软件的健康状态负责。软件的故障与硬件设备的故障通常不同步，故需要AHM系统能够识别出潜在的软件失效情形。传统的方法是通过陷阱码来粗略的找出软件自身的故障。N版编程技术推荐通过软件的冗余来查找出软件自身的失效[2]。研究人员Knight与Leveson的实验表明，从N版编程技术收益甚小，成本是常规软件开发的2倍甚至更多[3]。

为了诊断出软件本身的故障，研究人员提出了对应于规定属性的软件执行时间行为，如果不符合其中规定，然后反馈给AHM系统。

3 开发适合AHM系统的V&V技术

3.1 AHM的框架结构

AHM系统大都采用分等级组成与基于模型的推理共同作用的框架体系。分等级组成有助于V&V的实现，可以分别针对每个层次、子系统进行V&V[4]。

基于模型的AHM系统是把系统分为可重复利用的推理机系统模型。推理机本身是软件中重要组成部分，故需要对推理机的正确性进行验证。

不论系统采用何种框架体系，AHM系统的V&V都要求其核心算法的正确性，同时AHM系统也要经得起传统软件可靠性过程技术的检验和测试[5]。

3.2 AHM系统采用的模型

为了AHM系统能够实现推理的功能，这些模型要具有机器可操作性。同时V&V也可以从机器可操作性模型中获益[6]。

目前兴起了多种用于AHM系统的V&V技术。但这些技术是通过手工的方式应用于传统软件的V&V，导致整个过程非常耗时，故只能应用于非常重要的软件模块中。传统的测试技术可以利用这些模型的可用性。例如，Blackburn等人提出的自动测试模型，应用到了火星极地登陆者软件系统的开发中[7]。

3.3 AHM系统的计划

为了诊断系统的健康状态，许多AHM系统要预设适当的纠正措施，使系统从不健康的状态变为健康。基于模型的技术在计划与执行阶段起到非常重要的作用。计划中用到的人工智能技术具有相同的推理机和模型结构，故与诊断系统面临同样的V&V挑战。软件系统的V&V要确保指令执行与故障保护按照预定要求执行。Verma等人从理论上研究了制定可执行计划的可验证性[8]。Brat等人将一些验证工具应用于火星登陆机器人上，并记录的应用效果[9]。

3.4 软件系统的健康管理

研究AHM系统软件本身的故障与失效具有重要的意义，可以提高AHM系统软件的可靠性。通过风险分析的方法来识别AHM系统软件的易损点已经得到了广泛的应用，同时还有软件故障模式影响、重要度分析（(SFMECA)以及软件故障树分析[10,11]。目前研究工作主要集中于综合这些方法将软件故障的概率分析转到定量分析上来[12,13,14]。

在AHM系统工作的同时进行其软件故障的监测对AHM系统是非常重要的。Delgado等研究人员对软件运行时间内故障监测进行了研究[15]。Drusinsky and Watney将其成果应用到了航天系统中[16]。

4 AHM系统硬件的V&V

4.1 飞行硬件的V&V

飞行硬件的开发基于需求驱动的基础之上，包括飞行的能力、性能、物力特性等。在硬件开发过程中，为了满足设计需求，要进行前期的设计验证与后期的硬件测试。在进行环境测试前，要对AHM系统进行一个基本的功能验证。同时，功能测试也常常穿插在环境测试中。

系统级的功能测试通常在集成阶段初期使用工程模型或子系统硬件来完成。测试平台常常被用于系统功能测试中，飞行硬件可以通过测试平台来验证，确保其具有合适的界面与硬件保护。

4.2 传感器的V&V

AHM系统中大量的传感器都是工作在恶劣的环境条件下，AHM系统必须具有传感器容错功能。传感器的选型、鉴定以及安装都是降低传感器故障率的重要因素。AHM系统应该具有实时校正传感器读数以及诊断传感器故障的功能。传感器故障探测、隔离以及处理的研究领域有两大趋势。

4.2.1 物理冗余度

传统的飞行控制系统中通常有3-4套传感器网络，进而来提高系统可靠度，使其达到认证的标准。物理冗余技术基于投票和中间值选择框架。显然，质量、能量、体积以及成本的消耗是物理冗余面临的困境。

4.2.2 分析冗余

目前研究人员主要集中研究分析冗余技术，包括多模型卡尔曼滤波算法、广义似然比值算法、序列概率似然比值测试以及最大似然值探测器等。这些技术都具有连续监测传感器的功能。通常，由于系统本身或噪声的原因，使得信号具有不确定的模式。然后，当传感器失效时，分析冗余系统就会在线或离线的计算出输出值的偏离值，从而保证传感器输出的可靠性。

5 总结与展望

显而易见，AHM系统的V&V需要综合多种技术手段。传统的测试手段对于AHM某些层面的功能测试是可行有效的，然而随着人工智能技术的应用，如不确定推理、任务计划以及再计划等，这些都给传统V&V技术带来了挑战。最显著的是，人工智能技术将清晰明确的基于模型的推理算法应用于非常复杂的软件系统中，但是模型的好坏直接影响其V&V的效果。巧妙的是，基于模型的推理可以被一些V&V技术平衡，尤其是基于分析的方法。

AHM系统提高了飞机的可靠性。为了达到此目的，AHM系统必须要正确的评估系统本身的状态，包括系统本身的故障以及传感器的失效。故AHM系统必须是飞机中最可靠的系统之一。以上需要考虑的因素加上一些AHM系统采用了非传统构架，都会对现有的V&V以及认证标准和措施提出挑战。

总之，通过改进AHM系统的V&V和认证程序来普及AHM系统应，开发AHM系统的V&V与认证完美结合的技术，使其适应AHM系统的框架体系以及飞机系统，进而指导成熟的V&V技术的出现，这都是今后研究的主流方向。