大型客机电传飞控系统软件开发应用研究

分析报道fen　xi　bao　dao

大型客机电传飞控系统

软件开发应用研究

孙全艳31,2

(31上海飞机设计研究所飞控系统设计研究室,上海200436) (32上海交通大学自动化系,上海200030)

摘要:多通道软件开发的复杂性和适航符合性要求是大型客机飞控机载软件开发需要考虑的重要问题。从软件的工程化管理以及软件的开发、验证和确认等方面探讨了既能满足安全性和可靠性要求又能符合适航要求的电传飞控系统软件的开发管理方式。

关键词:电传;飞控机载软件;软件工程化管理;验证和确认

引言

飞行控制系统机载软件是民用飞机飞行安全的关键软件之一,它的可靠性将直接关系到飞行使命的完成以及驾驶员、乘客与飞机的安全。如何保证飞行控制系统机载软件的可靠性并提高开发效率,是飞控计算机软件开发要考虑的重要问题。本文对大型客机电传飞控系统软件开发控制方式进行了一定的探讨和研究。

1　飞控机载软件开发的复杂性及适航符合性要求

1.1　多通道软件开发的复杂性

对于电传飞机而言,其飞行品质不是由飞机的本体决定的,而是由电传系统所采用的各种控制环节决定的,数字式电传操纵系统的重要优点之一就是能更容易地对系统采用的各种环节进行修改调整,以满足宽范围的飞行任务和飞行品质的要求,实现多模态、多任务、可调整的控制功能。而这些控制功能的实现,是通过计算机软件来完成的。

为了提高系统可靠性,飞控计算机采用非相似余度设计技术构成多通道系统。非相似余度技术采用完全不同的硬件和软件来组成余度通道,产生和监控飞行控制信号,从而可以避免多通道余度系统的共点故障,达到较高的可靠性。例如,B777飞机的主飞行控制计算机是三余度的,是由三个完全相同的数字式主飞行操纵计算机构成。每个主飞行计算机从三余度的AR I N C629总线上接收信息,并完成控制律及余度管理的计算,但每条通道计算机的计算机指令仅传送给三条总线不同的一条总线上,以防止共点故障。此外,每套主飞行计算机通道又包含有三个数字计算机处理器。这些处理器采用了非相似余度技术。飞行控制软件是用Ada高级语言编写的,是采用非相似余度的编译器进行编译的。1.2　软件适航符合性

飞控机载软件在适航符合性问题上应满足相应符合性条例的要求,DO-178B对飞控机载软件的开发过程提出了一系列相关的过程控制方法,包括构型管理、更改控制、质量保证等。主机所和软件供应商按照DO-178B要求对软件开发和各项活动分别实施规范化的工程管理、协调、监督和控制,保证飞控机载软件的整个开发过程有从一而终的标准化管理,输入相应的需求、标准、转化机制,输出与之相关的文件、代码、记录。

2　软件的工程化管理

飞行控制系统机载软件实际开发中应严格按照软件工程设计规范进行,有效控制设计、编程、测试、试验、维护,加强每一节点的考核评审,建立完整的文档,提高软件的易读、易理解性,以获得软件的高可靠性和强健壮(鲁棒)性。

2.1　软件构型/配置管理

软件构型/配置管理是标识和确定系统构型项的过程,关系到机载软件研制工作的有效性、软件产品的可用性和可信性。在系统整个生存周期内控制这些构型项的投入和更动,记录并报告构型项的投入和更动,记录并报告构型项的状态和更动要求,验证构型项的完整性和正确性。

飞控系统的软件构型Soft w are Configurati on就是飞控系统应用软件和基于不同硬件操作系统的组合。

软件构型/配置管理的任务包括:

(1)指定构型管理计划,在软件构型管理计划中规定构型标识规则;建立构型数据库及如何将构型项置于构型管理之下;构型管理人员的职责、构型管理活动以及采用的构型管理工具、技术和方法;

71

民用飞机设计与研究

Civil A ircraft Design and Research

(2)实施变更管理,这是构型/配置管理中的一

项重要内容;

(3)实施版本管理和发布管理。

飞行控制软件的构型/配置管理应贯穿整个软件开发生命周期。对于软件构型项的定义应在开发之前完成。完成构型项定义后应尽快确立开发基线,以定义软件在生命周期中的活动。一旦软件的开发基线被确立,应该将此基线列入软件构型索引文档中。基线的确立,有助于控制软件开发数据库,以确保其完整性。2.1.1　基线

基线(baseline )是软件生存周期各个开发阶段末尾的特定点,也称为里程碑(m ilest one )。它的作用是将各阶段的开发工作分配得更加明确,使本来连续的工作在这些点上断开,使之便于检验和确认开发成果

。

图1　软件生命周期各阶段基线

2.1.2　更改控制

飞行控制机载软件作为飞机上安全等级要求相

对较高的软件,其开发难度大,周期长,在开发和测试阶段很容易发现问题。一旦发现了问题,无论是功能上的,还是编码上的,均需要通过更改来满足系统需求和相应的适航要求。更改控制应记录每一次软件构型标识发生的变化,确保软件开发中的可追溯性。在更改的活动中,软件相关的生命周期资料也应相应地进行修改和更新。2.2　软件开发过程的质量控制和监督

软件质量保证活动(Soft w are Quality A ssurance )通过对软件产品和活动进行评审和审计来验证软件是否合乎标准和满足适航要求。主机所应在软件任务书和软件需求中提出定性、定量的软件性能和质量要求,并介入对软件供应商的阶段评审;对系统或分系统联试中发现的软件问题的纠正情况进行监督;对软件供应商的分系统级软件构型库与主机所项目级构型库的一致性进行监督和检查;对软件供应商提供的软件是否满足任务书要求予以确认。2.3　软件问题报告、分析和纠正措施系统

从软件系统分析和设计阶段开始,就应建立软

件问题报告、分析和纠正措施系统。在软件测试过程和联试过程中,应按有关规定记录、整理、分析软件和故障数据,并对其实施闭环控制,有效地消除软件缺陷和故障。

问题报告机制与更改控制应紧密结合起来。问题报告可以提供对软件构型标识更改的保护。飞行控制软件有可能会出现过程不符合计划、输出缺失或不符合功能需求以及软件异常等各种问题,一套成熟有效的问题报告机制及其相应的纠正措施机制可以有效地控制和记录这些问题的产生和关闭。2.4　软件文档资料

文档是软件的重要组成部分,是软件生命周期各个不同阶段的产品描述和说明,是作为软件工程移交、修改、扩充的依据。所以,交付的文档必须完全符合工程要求且准确、完整和规范。准确是指所编写的文档与各阶段的工作内容应当相符。通过质量审查,确保软件需求说明的各项要求的合理性,确定程序是否符合软件设计的要求,软件设计是否满足软件需求的要求。完整是指按软件要求编制各文档,并保证各开发阶段文档齐全。文档编写应当规范化,符合软件文档编制规范和软件工程的统一规定。2.5　软件供应商的管理方式

对于软件供应商的控制,应满足其相应的主机所和适航要求。DO -178B 中对于软件供应商的管理提出了相当细致的要求。供应商在软件开发过程中所产生的软件的相关文档,如软件合格审定计划PS AC 、软件构型管理计划SC MP 、软件质量保证计划S QAP 、软件构型索引SC I 、软件完结综述S AS 等都应该及时提交给主机所。同时,供应商还应对软件的研发状态进行实时汇报,并对其软件的符合性进行足够的质量评审。主机所可以随时对软件的开发进行远程或现场评审活动,以便其对供应商的软件构型、更改等活动产生相应的记录进行追溯。

3　电传飞行控制系统软件的开发

3.1　软件需求分析3.1.1　功能描述

在软件需求分析阶段,不仅要对系统做功能性说明,还必须明确指出系统的异常情况以及情况发生时的处理方法。在对飞行控制软件进行需求分析时,不仅要说明控制飞机飞行的正确方法,而且还应说明不正确的方法和出现这些情况时的处理方法,以便在实现飞行控制软件时,不加入不正确的内容,

8

1民用飞机设计与研究　2009年第2期