刘美山

（中国飞行试验研究院，陕西西安，710089）

1 航空电子系统的形式化建模

航空电子系统是一种电子任务程序，该程序可对不同级别的软件提供支持，是一种较为开放式的系统。复杂、完善的航空电子系统由各种机载硬件设备和相对应的软件组成，以实现航空电子系统的信息采集、信息处理、信息管理和显示功能。到目前，在航空电子系统的发展历程中，航空电子系统结构从分立式到联合式、到综合式、再到高度综合式。由航空电子系统的四个发展阶段可以预测到综合模块化的航空电子系统是其未来的发展方向。

图1 航空电子系统抽象软件体系结构

1.1 航空电子系统的静态建模

整体的航空电子系统在功能上和结构上可分为多个分系统，而每个分系统的运行又需要多种计算机软件的协调合作才能实现预计功能，在结构上通过调用接口和外界相连。将这些用于集成的接口设定为软件访问接口API，并将其作好定义，如下所示：应用程序访问接口API。API=(api_Name,Iin,Iout,Bin,Bout)。其中，(1)api_Name的含义即字面意识，表示接口的名称，是为每个api设定的独立标识；(2)Iin={P1，P2,...，Pm}(M≥0)表示接口I的输入（in）接口，Pi是Iin的元素 ；(3)Iout={P1，P2,...，Pn}(n ≥ 0)表示接口 I 的输出（out）接口，Pi同样表示Iout的参数；(4)Bin是一个关于输入接口Iin的约束集合；(5)Bout则用来表示输出接的Iout约束集合。

1.2 航空电子系统的动态窗口树建模

在航空电子系统中，指令和响应的执行相当于各API接口之间的有效、顺序对接，在所有的API中，并不是一个API接口只负责一个功能，在航空电子系统的整体结构划分上，会有相对更加重要和关键的API接口，作为航空电子系统一些主要功能的转接入口，而且这些API接口可能以并列关系存在，接口的划分和使用是依据输入数据的参数特征，不同数据进入不同功能的API接口进行下一步的任务执行。在模型上，将并列的API接口集合定义为一个窗口，这个窗口可能包含多个API接口，通过窗口树模型之间的流转，不同数据和指令传输到下一个窗口。

一般情况下，一个完整的航空电子系统会有非常多的窗口，这些窗口之间有一定的规格和顺序，有条不紊地进行着任务的执行，从前一个窗口到下一个窗口的传输流转过程中，可能经过一个事件或多个事件。上文提到，在航空电子系统进行任务的执行时，指令进入API接口的原则是依据参数的特征，不同的接口代表不同的流转方向，那么复杂、全面的航空电子系统任务执行的全部流程，会形成类似一棵树的模型，窗口树中的每条路径分别代表航空电子系统每一次任务的运行行为。

例如，民航航空电子系统在执行气象探测任务的时候，可建立窗口树模型，实现对窗口流转关系的模拟。为了保障飞机飞行的安全性和舒适性，航空电子系统需要及时对飞机飞行轨迹前方的有危险性气象区域进行不断探测，为飞行轨迹的改变提供数据支撑。首先启动雷达，设置雷达参数对气象区域进行扫描，将收集到的信息作为对目标进行判断和处理的依据。只要雷达有探测到目标，就会进行下一步的任务阶段，进入到系统响应阶段，雷达分系统会将多次收集到的航迹进行计算综合，然后将这些有用的数据全都传输给指控分系统，在下一步的流程中，依据情报综合窗口，对收集的数据进行威胁程度判定，威胁程度低的目标不予处理，对威胁程度高的目标进行相应地调整和改变，做出对危险气象合理的躲避与引导方案。

1.3 航空电子系统执行过程状态图模型

图2为航空电子系统探测任务的流转状态。该状态是依据航空电子系统各个环节的行为状态及任务流转来分析决定的。在电子系统中，所有的指令操作都是从显控开始。当系统中触动雷达参数设置后，系统自动进入雷达，拟制状态，这表示任务即将流转下一阶段。当雷达接受到指令后会对其进行编辑，然后将整理好的综合航空数据快速传输到指控阶段，届时进入指控，编辑状态。操作人员通过显控台查看传送的各项参数，并对其进行相应操作后发送给指控，拟制，最终形成完整的数据链，直至结束。这是一次完整的信息处理流程，中途若有不符合的状态或不符合的事件，则直接发送至结束状态。

图2 航空电子系统探测任务流转图

2 形式化的系统级综合检测方法

2.1 静态检测方法

在静止状态下，系统配置级检测方法一般检测系统的配置环境情况，检测环境会不会对航空电子系统的正常运行造成影响，通常对系统的一致性和适配性进行检测，例如，航空电子系统分系统和功能模块的安装程序、执行文件等是否一致未被改动，或者模块版本更新时软件性能和版本的设计是否匹配，二者的配合度能否满足用户对软件的使用，系统不同模块之间运行原则是否一致，各接口是否能实现任务的正常流转等一系列有关航空电子系统一致性和适配性的问题。

2.2 动态检测方法

静态检查完成后，若无其他问题，系统则自动进入动态检测。在航空电子系统的运行过程中，可能由于多种原因，导致系统没有沿着设定路径运行，出现各种影响总系统正常运行和飞机航空安全的问题，例如，功能模块失效、数据不具备精确性和时效性、接口电路失效、路径错误等问题。根据对系统等级的影响，将问题分为以下几类：

（1）软件模块可用性。系统功能模块的运行需要良好前提条件，若总系统或者其他模块在动态运行中对此功能模块的正常运行造成障碍，导致运行环境无法支持该功能模块的良好运行，很有可能造成该模块达不到预期效果甚至无法完成系统任务。

（2）分系统可用性问题。当运行环境受到影响，分系统的功能实现以及路径选择都可能出现差错，分系统软件设定和硬件单元执行可能无法实现有效对接，导致分系统部分功能不可用甚至系统错乱。

（3）系统可用性问题。总系统的功能实现依靠所有分系统之间的相互协调和配合，如果分系统运行环境异常，功能失效，则会影响整个航空电子系统的正常运行，降低航空电子系统的动态运行可靠性。

3 形式化建模视角下航空电子系统检测

3.1 系统配置级检测

3.1.1 配置文件一致性检测

对航空电子系统配置文件一致性进行检测时，分系统级的配置文件是主要检测对象，提取一个分系统在软件模块方面的配置文件数据，与标准的配置文件信息进行比对，检测两者数据是否一致，有没有被恶意更改，以保证航空电子系统计算机软件的安全性。与标准的配置文件信息对比过程需要调用标准库SL，这是事先建立好的一种数据库，其中具有每个功能模块正确的配置文件信息。

3.1.2 状态适配性检测

系统环境的状态适配性检测，主要检测分系统的计算机环境对资源的需求，通过逐一读取标准的性能指标数据与系统数据进行对比检测。检测的最终目的是按照系统运行所需的性能指标对分系统进行改进与调整，使其发挥良好使用性能。

3.2 系统运行时检测

在飞机航空电子系统运转中或者飞行状态下进行的检测称为动态检测，以有限状态自动机检测航空飞行路线是否符合系统设计。一般主要的动态监测流程为：分析航空电子系统总体设计，将任务主体按照阶段进行划分，得到任务运行的阶段流程分析图，在形式化建模视角下，选取系统关键功能和对应的API接口，构建窗口树模型，窗口树模型的每一条路径都代表着事件的流转，以事件流为基础生成检测用例集，明确以任务为主体的状态执行路径，并将其转换为计算机可接受识别的有限状态自动机。航空电子系统动态监测流程如图3所示。

图3 动态监测流程

在航空电子系统的检测过程中，有限状态自动机是系统动态监测的核心，由图3可知，首先要根据形式化模型的窗口树设置一定数量的检查点，设置检测用例的参数，经系统实现之后，获得系统的行为轨迹，为保证下一步任务状态机的有效识别，需要将这些行为轨迹符号转换为计算机可以识别的输入符号序列∑+，将这些符号序列∑+输入到有限状态自动机中进行运行，如果得到输出，则认为该检测用例经系统实现以后，得到的系统行为轨迹能被源自系统设计的有限状态自动机所接受[6]。

4 结语

复杂的航空电子系统在分系统和功能模块的相互协调下完成各项任务的执行，文章在静态和动态下对航空电子系统进行了形式化建模，提出了任务在对应API接口流转的窗口树建模方法，提出了基于形式化的系统级综合检测方法，同样从静态的系统配置级检测和动态系统运行检测两方面对航空电子系统进行综合性检测研究，以提升航空电子系统运行的可靠性和高效性[7-8]。