飞机健康管理系统的验证与确认

飞机健康管理(Aircraft health management，AHM)系统的验证与确认（Verification and validation ，V&V）是一个复杂的技术难题，但是为了确保AHM 系统的稳定、可靠，这个过程不可或缺。

AHM 系统的V&V 需要从两个主要方面入手。

其一，AHM 系统的本身；其二，AHM 系统的实施。

AHM 系统需要按照AHM 的需求来进行搭建，例如，AHM 系统要在给定时间内作出具有特定置信度的响应。

AHM 系统的实现需要融合多种技术手段，包含数据分析处理、故障诊断与隔离、基于人工智能的状态评估与计划等。

这里主要研究AHM 系统V&V 的内部与外部的影响以及由这些影响带来的技术难题。

1 现存的软件系统的V&V
1.1 航电设备的V&V
商用飞机上的软件是由美国联邦航空局（Federal Aviation Administration，简称FAA）来认证的，依据文件为RTCA 公司的DO-178B。

文献[1]解释了RTCA 公司的DO-178B 文件。

文中描述了DO-178B 的意图以及合理性，同时讨论了DO-178B 与美国联邦法规之间的关系。

DO-178B 规定软件的验证过程应包含以下几个方面：a.软件开发过程的验证b.软件开发周期内的数据检验c.软件的功能验证d.基于需求的测试与分析e.稳定性测试f.结构包容性分析
2004年7月8日，NASA 颁布了NASA-STD-8719.13b 来对软件系统进行验证。

2009年11月11日，对该文件进行了更新，发布了最新版的替代文件NPR 7150.2A。

这种V&V 方式与认证手段与其他领域的类似。

1.3 航天器故障保护的V&V
NASA 机器航天器的故障保护（Fault protection ，简称FP）软件是一种特殊的健康管理系统。

该系统在两个方面超越了普通的健康管理系统，具有推理能力和自我修复的能力，不是简单的避免故障。

理想状态下，航天器的FP 开发程序始于故障树分析（FMECA）的，然后故障分为需要进行故障保护的和无需进行故障保护的。

一旦故障保护设定完毕，按照要求规定地面测试硬件和软件。

2 AHM 系统软件V&V 程序的可行性和充分性
2.1 可行性
文件NPR 8705.2B (effective date: May 6, 2009)规定了NASA Human-Rating Certification 程序。

Human-Rating Certification 程序规定了航天系统在最大保证机组和乘客安全（不导致机组或乘客失望或永久性残废）的工程条件、健康条件、安全条件等。

NPR 文件涵盖了多方面的认证，其中包含软件系统的认证。

AHM 系统中包含重要软件，故需要进行条件性测试。

然而，AHM 系统中的重要软件需要面临多种挑战。

无法得知所有的主要失效模式、不能完全理解故障模式的特性、故障模式的综合多变等使得AHM 系统的V&V 面临严峻挑战。

基金项目：四川省科技厅项目（2020YFSY0054）。

查找出软件自身的失效。

研究人员Knight 与Leveson 的实验表明，从N 版编程技术收益甚小，成本是常规软件开发的2倍甚至更多[3]。

为了诊断出软件本身的故障，研究人员提出了对应于规定属性的软件执行时间行为，如果不符合其中规定，然后反馈给AHM 系统。

3 开发适合AHM 系统的V&V 技术
3.1 AHM 的框架结构
AHM 系统大都采用分等级组成与基于模型的推理共同作用的框架体系。

分等级组成有助于V&V 的实现，可以分别针对每个层次、子系统进行V&V [4]。

基于模型的AHM 系统是把系统分为可重复利用的推理机系统模型。

推理机本身是软件中重要组成部分，故需要对推理机的正确性进行验证。

不论系统采用何种框架体系，AHM 系统的V&V 都要求其核心算法的正确性，同时AHM 系统也要经得起传统软件可靠性过程技术的检验和测试[5]。

3.2 AHM 系统采用的模型
为了AHM 系统能够实现推理的功能，这些模型要具有机器可操作性。

同时V&V 也可以从机器可操作性模型中获益[6]。

目前兴起了多种用于AHM 系统的V&V 技术。

但这些技术是通过手工的方式应用于传统软件的V&V，导致整个过程非常耗时，故只能应用于非常重要的软件模块中。

传统的测试技术可以利用这些模型的可用性。

例如，Blackburn 等人提出的自动测试模型，应用到了火星极地登陆者软件系统的开发中[7]。

3.3 AHM 系统的计划
为了诊断系统的健康状态，许多AHM 系统要预设适当的
飞行硬件的开发基于需求驱动的基础之上，包括飞行的能力、性能、物力特性等。

在硬件开发过程中，为了满足设计需求，要进行前期的设计验证与后期的硬件测试。

在进行环境测试前，要对AHM 系统进行一个基本的功能验证。

同时，功能测试也常常穿插在环境测试中。

系统级的功能测试通常在集成阶段初期使用工程模型或子系统硬件来完成。

测试平台常常被用于系统功能测试中，飞行硬件可以通过测试平台来验证，确保其具有合适的界面与硬件保护。

4.2 传感器的V&V
AHM 系统中大量的传感器都是工作在恶劣的环境条件下，AHM 系统必须具有传感器容错功能。

传感器的选型、鉴定以及安装都是降低传感器故障率的重要因素。

AHM 系统应该具有实时校正传感器读数以及诊断传感器故障的功能。

传感器故障探测、隔离以及处理的研究领域有两大趋势。

4.2.1 物理冗余度
传统的飞行控制系统中通常有3-4套传感器网络，进而来提高系统可靠度，使其达到认证的标准。

物理冗余技术基于投票和中间值选择框架。

显然，质量、能量、体积以及成本的消耗是物理冗余面临的困境。

4.2.2 分析冗余
目前研究人员主要集中研究分析冗余技术，包括多模型卡尔曼滤波算法、广义似然比值算法、序列概率似然比值测试以及最大似然值探测器等。

这些技术都具有连续监测传感器的功能。

通常，由于系统本身或噪声的原因，使得信号具有不确定的模式。

然后，当传感器失效时，分析冗余系统就会在
参考文献
[1]Johnson,L.A.DO-178B, Software Considerations in Airborne Systems and Equipment Certification[S]. RTCA/EUROCAE, 1992.
[2]Avizienis, A. and Chen, L. On the implementation of
N-version programming for software fault tolerance during execution[C],IEEE International Computer Software and Applications Conference, Proceedings of the IEEE Compsac’, 1977. 149–55.
[3]Knight, J.C. and Leveson, N.G.,An experimental
evaluation of the assumption of independence in multiversion programming[J].IEEE Transactions on Software Engineering, 2001, 12 (1) : 96–109.
[4]Martin G, Shukla S. Panel: hierarchical and incremental
verification for system level design: challenges and accomplishments[C].MEMOCODE ‘03. Proceedings. First ACM and IEEE International Conference on. IEEE, 2003 : 97-99.
[5]Musa, J. Software Reliability Engineering[M], New York.
Computers[M],Addison-Wesley, Reading, MA. 1995[12]Wright SJ, Dixon-Hardy DW, Heggs PJ. Aircraft air
conditioning heat exchangers and atmospheric fouling[J]. Therm Sci Eng Prog 2018(7) : 184–202.[13]Li, B., Li, M., Ghose, S. et al. Integrating software into
PRA[C]. 14th International Symposium on Software Reliability Engineering, 2003 : 457–467.
[14]Feather M S. Towards a unified approach to the
representation of, and reasoning with, probabilistic risk information about software and its system interface[J]. Proc of Issre’, 2004 : 391-402.
[15]Delgado N, Gates A Q, Roach S. A Taxonomy and
Catalog of Runtime Software-Fault Monitoring Tools[J].IEEE Transactions on Software Engineering, 2004, 30(12) : 859-872.
[16]Drusinsky D, Watney G. Applying run-time monitoring
to the Deep-Impact fault protection engine[C].Software Engineering Workshop Proceedings 28th Annual NASA Goddard. IEEE, 2003 : 127-133.
术也趋于成熟，在实际拖带过程中也不断有新的问题出现，通过发现问题，解决问题，不断地积累实践经验，结合理论分析，形成新时代新的拖带技术理念，旨在提高采集作业效率和提供高质量、高品质地震资料。

参考文献
[1]毛宁波,褚荣英.海洋石油地震勘探[M].湖北科学技术
出版社, 2004.
[2]姜丹.海上拖缆地震勘探现场质控技术研究[D].中国石
油大学(华东), 2018.
[3]张虎,刘丽,宁克岩,胡斌.海上拖缆勘探航线优化设计
改进及应用[J].中国海上油气, 2015, 27(06) : 43-47.
（上接第106页）。