张雅妮, 李岩, 李小勋
(中航工业综合技术研究所 适航性与安全性技术研究室, 北京 100028)
基于SCADE的飞控软件的适航验证与确认
张雅妮, 李岩, 李小勋
(中航工业综合技术研究所 适航性与安全性技术研究室, 北京 100028)
中国民用航空规章第25部对机载软件提出了适航要求,DO178B是对适航要求的符合性方法,但其中一些验证和确认目标并不适用于基于SCADE的软件验证。为此,分析了飞控软件的适航要求和符合性方法,并对基于SCADE的飞控软件的开发流程和传统的开发流程进行了分析对比,对基于SCADE的飞控软件的适航验证与确认工作提出了建议。
飞控软件; SCADE; 适航验证与确认; DO178B
飞控系统软件属于高安全性软件,对其最关键的要求是高安全性和高可靠性。SCADE(Safety-Critical Application Development Environment)是一个高安全性的基于模型的应用开发环境。在该环境下,通过构建直观的图形化模型生成形式化的规范,而代码生成器将形式化的规范自动转化为直接面向工程的代码。
中国民用航空规章第25部《运输类飞机适航标准》包含了对机载软件的适航要求,RTCA/DO178B《机载系统和设备合格审定中对软件的要求》是25部中对机载软件的适航要求的符合性方法,该标准提出了对机载系统和设备软件开发过程的要求,但是,其中某些验证和确认目标并不适用基于SCADE软件开发中对形式化规范的验证。
本文分析了基于模型的软件开发模式以及对飞控软件的适航要求,提出了基于SCADE的飞控软件的适航验证思路和方法,解决了现有RTCA/DO178B不适用基于SCADE开发的飞控软件适航验证的问题,对于当前采用这一现代软件开发方法的飞机的适航验证具有参考意义。
飞控系统软件是飞控系统的核心,是飞控系统功能实现和保证飞行安全的关键。一般来说,飞控软件按其功能可分为操作系统软件、应用软件和支持软件。其中,操作系统软件的作用是管理协调飞控计算机的硬件资源、合理调度各速率组任务,为应用软件提供运行平台。应用软件是飞控系统功能的集中体现,用于实现飞控系统控制律的计算、余度管理、机内自检测等功能。而支持软件包括了开发应用软件、操作软件所必须的工具软件[1]。
随着数字电传飞控技术的发展,飞控软件在飞控系统功能实现以及飞机的性能品质中发挥的作用越来越大,飞控软件的开发成为飞控系统的设计难点之一。
2.1 传统的软件开发模式
传统的软件开发流程是一个V型开发流程,如图1所示。软件开发中所有的工作都是以手工编码和以代码为中心而开展的。整个软件开发中的核心是软件编码,设计过程中所做的规范设计(需求分析)、概要设计、详细设计都是为了下一步的编码。而对代码的单元测试、集成测试、软件产品确认都是为了验证代码的正确性。
图1 传统软件开发的V型开发流程
传统的软件开发流程主要存在以下不足:
(1) 软件设计阶段中的概要设计、详细设计都是以手工方式进行,通过自然语言表达设计结果,容易产生语义上的歧义,不能保证能够正确体现规范要求。
(2) 在软件开发完成甚至定型以后才发现错误,修改工作困难大。
(3) 需要对每个单元进行单元测试,验证工作量大。
(4) 手工编码工作量大,可靠性低。
(5) 软件开发周期长,开发成本高。
2.2 基于模型的软件开发模式
SCADE软件是法国爱斯特尔技术公司的一个主要产品[2],基于SCADE的软件开发流程是一个基于模型的Y型开发流程,如图2所示。
图2 基于模型的Y型开发流程
图2中,从“FCS(Flight Control System)研究”到“模型”这一过程,是建立SCADE模型的过程。在该过程中,通过构建直观的图形化模型,实现了需求分析、概要设计和详细设计,该过程是传统开发模式中的“规范”和“设计”过程的融合。模型表达比传统开发模式采用的自然语言更能准确地表明设计需求,保证了建立的模型与需求的一致性。并且可以直接对模型进行早期模拟仿真和证明,在软件开发的早期阶段发现错误。建立的SCADE图形化模型包含了软件将实现的所有规范要求,可以将其视为SCADE形式化功能规范。
建模之后需要对模型进行确认,在SCADE开发环境下可以对模型自动生成测试,在模型阶段对建立的模型进行单元测试和集成测试,确认模型是否正确、完整地体现了其上层规范的需求。
在对模型进行确认后,使用通过了国际标准DO178B质量认证的SCADE的代码生成器,可以将所建立的模型自动转化为直接面向工程的ANSIC代码,简化了开发模式中的“编码”过程,并且避免了传统开发模式中手工编写代码引入的人工错误,提高了软件的可靠性。此外,无需对所生成的代码进行单元测试,节省了开发时间,提高了开发效率。
因此,基于SCADE进行软件开发,使软件开发模式实现了从V型到Y型的转化。
3.1 25部适航要求
中国民用航空规章第25部《运输类飞机适航标准》是中国民航局对运输类飞机的适航审定标准,其中的25.1309条款“设备、系统及安装”对机载设备的适航性作出了总体要求。该条款要求,系统及其安装必须保证在各种可预期的运行条件下能完成其预定功能。该条款所指的设备和系统包括了所有含有软件的机载设备和系统,而软件功能的失效将直接导致这类设备和系统的功能失效,从而可能会影响飞机的适航性。
3.2 飞控软件适航要求的符合性方法
ARP4754《关于高度综合或复杂的飞机系统的合格审定考虑》是按美国FAR25部和欧洲JAR25部制定的,在满足ARP4754标准的前提下,研制的系统可以符合 25部25.1309条款适航要求。该标准主要适用于复杂和高度集成的电子系统,也适用于其它飞机系统。该标准要求,对于系统软件,应满足RTCA的DO178B的要求,硬件应满足RTCA的DO254的要求。
RTCA和EUROCAE于1992年发布了机载软件标准RTCA/DO178B,该标准给出了对航空系统和设备上的嵌入式软件开发过程的要求,旨在保证开发的软件在功能上正确,在安全上可信,并能满足适航要求。在满足DO178B标准的前提下,可以高度提高软件的开发效率和软件产品的安全性。
DO178B中对确认和验证的定义如下:
确认:确定对产品的要求(产品规范)完整且正确。
验证:对要求的执行情况予以评估,评估这些要求是否得以实现。
但是,DO178B中某些验证和确认目标(如覆盖准则)并不适用于SCADE软件开发中的形式化规范的验证,因此, 针对SCADE软件开发具体流程和飞控软件的特点,结合飞控软件的适航要求、ARP4754和DO178B标准要求,建议对使用SCADE开发的飞控软件的适航验证工作按照以下三个步骤进行。
4.1 对SCADE模型的上层规范的确认
SCADE图形化模型的上层规范应包含了SCADE图形化模型中的所有需求,应包括飞控系统和系统设备级的详细功能目标文件、控制律性能规范、控制律说明文件。
通过评审以及驾驶员在回路的飞行模拟器控制律性能试验对控制律性能规范进行确认,对详细功能目标文件和控制律说明文件进行评审。
4.2 对SCADE图形化模型的确认
将模型转化为代码的代码生成器通过了DO178B认证,能够保证生成代码的准确性和可靠性。因此,对SCADE图形化模型的确认是适航验证的重要内容,保证所建立的SCADE图形化模型的完整性、正确性和无歧义,则能保证最终生成代码的正确性。
对所建立的SCADE图形化模型的确认需要对SCADE模型要实现的功能进行分析,并对系统/设备详细功能目标和控制律说明中的所有功能进行试验验证。试验内容如下:对于软件要实现的飞控系统功能,根据详细功能目标中的要求确定功能试验方案;对于软件要实现的飞控系统控制律,根据控制律性能规范和控制律说明文件确定控制律试验方案;进行系统和控制律综合试验;根据功能危险分析、详细功能目标文件和控制律性能规范制定功能失效试验。
(1)工作第一目标:确认模型符合ARP4754第7章要求
①确认模型的完整性和正确性
为了保证SCADE图形化模型的完整性和正确性,对其主要进行以下方面的确认:SCADE模型库规范对每个基本模型单元有明确说明,并对于每个软件设计人员都是统一的;参照系统功能危险分析或系统安全性分析中的功能分解,对SCADE图形化模型的功能进行分析;详细功能目标需与软件开发过程一致;制定SCADE图形化模型中的参数命名规则;对SCADE图形化模型和试验计划进行检查;尽早对SCADE图形化模型进行模拟仿真试验和非回归性试验。
参考上层规范来确认SCADE图形化模型的正确性,根据上层规范和SCADE图形化模型的可追溯性来确认SCADE规范的完整性。另外,覆盖率同样体现了完整性。
当在SCADE模型中添加了不同层次的新功能或者对功能进行了修改,此时则需要进行非回归性分析和试验,确定所产生的不可逆的影响,并采取相应的措施。
②确认上层规范和SCADE图形化模型的可追溯性
通过系统/设备详细功能目标文件(包括飞行品质功能目标)和控制律说明文件来保证上层规范和格式化规范的可追溯性。
(2)工作第二目标:确认模型符合ARP4754第8章要求
对飞控软件的适航验证与确认的第二目标是确认模型符合ARP4754第8章“对执行的验证”的要求,同时在模型的最低级确认模型覆盖率(完整性)。对执行的验证的目的是为了确定建立模型的执行程度是否满足规定的要求,验证过程的目标为[3]:确认预计功能被正确地执行;满足需求;保证执行时安全性分析结果有效。
对于SCADE模型开展的试验的可接受标准为:
①SCADE模型安全性的接受标准
对安全性分析所能达到的安全性目标进行说明。通过分析,根据SCADE模型基本功能可以得到失效图。对安全性分析中的部分失效进行试验,验证失效产生的影响。
②SCADE模型其他方面的接受标准
根据系统功能特点进行试验,应包括失效试验、边界试验等。失效试验需采用之前说明的试验方法,另外还应保证试验计划与上层文件系统/设备详细功能目标、控制律说明文件和功能危险分析的可追溯性。
③SCADE试验结果的接受标准
试验结果需符合试验计划的目标、功能危险分析中的安全性目标,以及载荷/气动弹性目标、系统/设备详细功能目标、控制律性能规范。
④结构覆盖
开展以下工作以有助于结构覆盖分析:重阅和评审SCADE模型;制定详细的试验说明,包括一些功能在结构上的分类(如逻辑、状态转换);结合功能安全性目标对复杂的逻辑或状态转换进行分析;在试验人员制定试验和进行试验结果分析工作的初始阶段,参考试验计划和SCADE模型。
4.3 软件产品对于SCADE模型的符合性验证
对飞控软件的适航验证与确认工作的第三目标是评估所建立的SCADE模型在软件中的实现情况,确认已经满足ARP4754第8章“对执行的验证”的要求。
通过第二步工作对SCADE模型进行确认后,代码生成器将建立的模型自动转化为直接面向工程的软件。由飞控计算机、飞控装置供应商进行飞控软件的DO178B符合性证明,在型号主机单位的试验环境下进行设备与系统的综合实验,包括实验室试验和飞行试验,以验证生成的软件在系统或飞机设备上的综合情况。
传统的人工代码开发流程已经不能满足高安全性软件的安全性和可靠性要求,基于模型的SCADE软件是一个高安全性的软件开发产品。适航规章25部包含了对机载软件的适航性要求,RTCA/DO178B是对机载软件适航性要求的符合性方法,但其中一些验证目标并不适用于SCADE软件开发技术。本文分析了机载软件的适航性要求,对基于SCADE的飞控软件的开发流程和传统开发流程进行了对比分析,结合适航要求和ARP4754标准、DO178B标准要求以及基于SCADE的软件开发流程特点,对SCADE开发的飞控软件适航验证工作提出了建议,对于国内采用这一先进软件开发技术的飞机的适航工作具有参考意义。
[1] RTCA/DO178B RTCA/EUROCAE software considerations in airborne systems and equipment certification[S].RTCA Inc.,1992.
[2] SCADE reference manual [Z].Esterel Technologies,2003.
[3] ARP4754 Certification considerations for highly-integrated or complex aircraft systems [S].Society of Automotive Engineers,Inc.,1994.
AirworthinessvalidationandaccreditationforSCADE-basedflightcontrolsoftware
ZHANG Ya-ni, LI Yan, LI Xiao-xun
(Airworthiness and Safety Technology Research Department, China Aviation Polytechnology Establishment, Beijing 100028, China)
Flight control system software belongs to high safety software. The SCADE is a high safety product for flight control system software development. The SCADE has been successfully applied in development of flight control system software in some aircraft. The CCAR 25 contains airborne software airworthiness requirements, the DO178B is a compliance method for these requirements. But some validation and verification targets are not applicable for software validation developed by the SCADE. Airworthiness requirements and the compliance method are analyzed. Software development process with the SCADE and traditional software development process are compared. Airworthiness validation and accreditation methods for flight control system software developed with the SCADE are proposed.
flight control software; SCADE; airworthiness validation and accreditation; DO178B
2011-04-30;
2011-11-06
张雅妮(1981-),女,湖南邵阳人,工程师,博士,研究方向为适航性技术。
V249.1
A
1002-0853(2012)01-0034-04
(编辑:姚妙慧)