飞机健康管理系统的验证与确认

网络信息工程

2021.06

飞机健康管理系统的验证与确认

麦海波

（中国民用航空飞行学院，四川广汉，618307）

摘要：本文研究了飞机健康管理(AHM)系统的验证与确认(V&V)所面临的挑战和受影响因素。首先研究了商用飞机的

航空电子设备以及软件系统的V&V，然后分析了AHM系统的验证与确认所面临的挑战。

关键词：飞机健康管理系统

Verification and Validation of Aircraft Health Management systems

Mai Haibo

(Civil Aviation Flight University of China, Guanghan Sichuan, 618307)

Abstract:

This paper considers the influences and challenges to verification and validation (V&V)

of Aircraft Health Management (AHM) systems. The paper first considers V&V practices as seen in

commercial aircraft avionics and software system, and then goes on to consider the special challenges.

Keywords:

Aircraft Health Management

0 引言

飞机健康管理(Aircraft health management，AHM)系

统的验证与确认（Verification and validation ，V&V）是

一个复杂的技术难题，但是为了确保AHM系统的稳定、可靠，

这个过程不可或缺。AHM系统的V&V需要从两个主要方面入

手。其一，AHM系统的本身；其二，AHM系统的实施。AHM系

统需要按照AHM的需求来进行搭建，例如，AHM系统要在

给定时间内作出具有特定置信度的响应。AHM系统的实现

需要融合多种技术手段，包含数据分析处理、故障诊断与隔

离、基于人工智能的状态评估与计划等。这里主要研究AHM

系统V&V的内部与外部的影响以及由这些影响带来的技术

难题。

1.2 NASA对软件的要求、准则、标准等

2004年7月8日，NASA颁布了NASA-STD-8719.13b来

对软件系统进行验证。2009年11月11日，对该文件进行了

更新，发布了最新版的替代文件NPR 7150.2A。这种V&V方式

与认证手段与其他领域的类似。

1.3 航天器故障保护的V&V

NASA机器航天器的故障保护（Fault protection ，简

称FP）软件是一种特殊的健康管理系统。该系统在两个方面

超越了普通的健康管理系统，具有推理能力和自我修复的能

力，不是简单的避免故障。

理想状态下，航天器的FP开发程序始于故障树分析

（FMECA）的，然后故障分为需要进行故障保护的和无需进行

故障保护的。一旦故障保护设定完毕，按照要求规定地面测

试硬件和软件。

1 现存的软件系统的V&V

1.1 航电设备的V&V

商用飞机上的软件是由美国联邦航空局（Federal

Aviation Administration，简称FAA）来认证的，依据文件为

RTCA公司的DO-178B。文献[1]解释了RTCA公司的DO-178B

文件。文中描述了DO-178B的意图以及合理性，同时讨论了

DO-178B与美国联邦法规之间的关系。

DO-178B规定软件的验证过程应包含以下几个方面：

a.软件开发过程的验证

b.软件开发周期内的数据检验

c.软件的功能验证

d.基于需求的测试与分析

e.稳定性测试

f.结构包容性分析

基金项目：四川省科技厅项目（2020YFSY0054）。

2 AHM系统软件V&V程序的可行性和充分性

2.1 可行性

文件NPR 8705.2B (effective date: May 6, 2009)

规定了NASA Human-Rating Certification程序。Human-

Rating Certification程序规定了航天系统在最大保证机

组和乘客安全（不导致机组或乘客失望或永久性残废）的工

程条件、健康条件、安全条件等。NPR文件涵盖了多方面的认

证，其中包含软件系统的认证。

AHM系统中包含重要软件，故需要进行条件性测试。然

而，AHM系统中的重要软件需要面临多种挑战。无法得知所

有的主要失效模式、不能完全理解故障模式的特性、故障模

式的综合多变等使得AHM系统的V&V面临严峻挑战。

82

2021.06

为了解决V&V可行性问题，需要从使用条件、标准等方

面入手。如果AHM系统的V&V缺乏可行性，则需要修改V&V测

试条件。

2.2 充分性

实现AHM系统的高等级可靠度充分性是现存标准面临的

又一问题。即便是最严格的结构等级测试-MCDC也不能完全

实现对软件实际应用的测试。为了实现全面的测试，采用了

“路径”覆盖的方式，使用代码来测试每个独立顺序的执行。

与常规系统软件相比，AHM系统软件的非常规结构会给

测试来来进一步挑战。AHM系统软件有时采用一些人工智能

技术，如推理机与推理模型等，这样常常导致软件更加复杂。

AHM系统必须能够正确的反应出故障情况，禁止虚警的

发生。这就要求AHM系统能够将输入的不确定数据输出为更

为确定的信息和决策。例如，AHM系通过需要从相关用于监

控的传感器失效中区分出发动机故障。因此，AHM系统的算

法要非常可靠，在实际应用中才能更加稳定。

AHM系统要对自身系统软件的健康状态负责。软件的故

障与硬件设备的故障通常不同步，故需要AHM系统能够识别

出潜在的软件失效情形。传统的方法是通过陷阱码来粗略的

找出软件自身的故障。N版编程技术推荐通过软件的冗余来

查找出软件自身的失效

[2]

。研究人员Knight与Leveson的

实验表明，从N版编程技术收益甚小，成本是常规软件开发的

2倍甚至更多

[3]

。

为了诊断出软件本身的故障，研究人员提出了对应于规

定属性的软件执行时间行为，如果不符合其中规定，然后反

馈给AHM系统。

3 开发适合AHM系统的V&V技术

3.1 AHM的框架结构

AHM系统大都采用分等级组成与基于模型的推理共同作

用的框架体系。分等级组成有助于V&V的实现，可以分别针对

每个层次、子系统进行V&V

[4]

。

基于模型的AHM系统是把系统分为可重复利用的推理

机系统模型。推理机本身是软件中重要组成部分，故需要对

推理机的正确性进行验证。

不论系统采用何种框架体系，AHM系统的V&V都要求其

核心算法的正确性，同时AHM系统也要经得起传统软件可靠

性过程技术的检验和测试

[5]

。

3.2 AHM系统采用的模型

为了AHM系统能够实现推理的功能，这些模型要具有机

器可操作性。同时V&V也可以从机器可操作性模型中获益

[6]

。

目前兴起了多种用于AHM系统的V&V技术。但这些技术是

通过手工的方式应用于传统软件的V&V，导致整个过程非常耗

时，故只能应用于非常重要的软件模块中。传统的测试技术可

以利用这些模型的可用性。例如，Blackburn等人提出的自动

测试模型，应用到了火星极地登陆者软件系统的开发中

[7]

。

3.3 AHM系统的计划

为了诊断系统的健康状态，许多AHM系统要预设适当的

网络信息工程

纠正措施，使系统从不健康的状态变为健康。基于模型的技

术在计划与执行阶段起到非常重要的作用。计划中用到的人

工智能技术具有相同的推理机和模型结构，故与诊断系统面

临同样的V&V挑战。软件系统的V&V要确保指令执行与故障

保护按照预定要求执行。Verma等人从理论上研究了制定可

执行计划的可验证性

[8]

。Brat等人将一些验证工具应用于

火星登陆机器人上，并记录的应用效果

[9]

。

3.4 软件系统的健康管理

研究AHM系统软件本身的故障与失效具有重要的意义，

可以提高AHM系统软件的可靠性。通过风险分析的方法来识

别AHM系统软件的易损点已经得到了广泛的应用，同时还有

软件故障模式影响、重要度分析（(SFMECA)以及软件故障树

分析

[10,11]

。目前研究工作主要集中于综合这些方法将软件故

障的概率分析转到定量分析上来

[12,13,14]

。

在AHM系统工作的同时进行其软件故障的监测对AHM

系统是非常重要的。Delgado等研究人员对软件运行时间内

故障监测进行了研究

[15]

。Drusinsky and Watney将其成果

应用到了航天系统中

[16]

。

4 AHM系统硬件的V&V

4.1 飞行硬件的V&V

飞行硬件的开发基于需求驱动的基础之上，包括飞行的

能力、性能、物力特性等。在硬件开发过程中，为了满足设计

需求，要进行前期的设计验证与后期的硬件测试。在进行环

境测试前，要对AHM系统进行一个基本的功能验证。同时，功

能测试也常常穿插在环境测试中。

系统级的功能测试通常在集成阶段初期使用工程模型

或子系统硬件来完成。测试平台常常被用于系统功能测试

中，飞行硬件可以通过测试平台来验证，确保其具有合适的

界面与硬件保护。

4.2 传感器的V&V

AHM系统中大量的传感器都是工作在恶劣的环境条件

下，AHM系统必须具有传感器容错功能。传感器的选型、鉴定

以及安装都是降低传感器故障率的重要因素。AHM系统应该

具有实时校正传感器读数以及诊断传感器故障的功能。传感

器故障探测、隔离以及处理的研究领域有两大趋势。

4.2.1 物理冗余度

传统的飞行控制系统中通常有3-4套传感器网络，进而

来提高系统可靠度，使其达到认证的标准。物理冗余技术基

于投票和中间值选择框架。显然，质量、能量、体积以及成本

的消耗是物理冗余面临的困境。

4.2.2 分析冗余

目前研究人员主要集中研究分析冗余技术，包括多模型

卡尔曼滤波算法、广义似然比值算法、序列概率似然比值测

试以及最大似然值探测器等。这些技术都具有连续监测传感

器的功能。通常，由于系统本身或噪声的原因，使得信号具有

不确定的模式。然后，当传感器失效时，分析冗余系统就会在

83

网络信息工程

线或离线的计算出输出值的偏离值，从而保证传感器输出的

可靠性。

2021.06

McGraw-Hill, 1998.

[6]Menzies T, Pecheur C. Verification and Validation and

Artificial Intelligence[J]. Advances in Computers,

2005, 65: 153-201.

[7]Blackburn, M., Buseer, R., Nauman, A. et al. Mars

Polar Lander fault identification using model-based

testing[C].8th IEEE International Conference on

Engineering of Complex Computer Systems. 2002 :

163–169.

[8]Verma V, Estlin T, Jonsson A, et al. Plan Execution

Interchange Language (PLEXIL) for command

execution[C]. International Conference on Artificial

Intelligence. 2005.

[9]Brat G, Drusinsky D, Giannakopoulou D, et al.

Experimental Evaluation of Verification and

Validation Tools on Martian Rover Software[J].

Formal Methods in System Design, 2004, 25(2) :

167-198.

[10]Hall, F.M., Paul, R.A., and Snow, W.E. Hardware/

software FMEA[C].Annual Reliability and

Maintainability Symposium, 1983 : 320-327.

[11]Leveson, N. Safeware: System Safety and

Computers[M],Addison-Wesley, Reading, MA. 1995

[12]Wright SJ, Dixon-Hardy DW, Heggs PJ. Aircraft air

conditioning heat exchangers and atmospheric

fouling[J]. Therm Sci Eng Prog 2018(7) : 184–202.

[13]Li, B., Li, M., Ghose, S. et al. Integrating software into

PRA[C]. 14th International Symposium on Software

Reliability Engineering, 2003 : 457–467.

[14]Feather M S. Towards a unified approach to the

representation of, and reasoning with, probabilistic

risk information about software and its system

interface[J]. Proc of Issre’, 2004 : 391-402.

[15]Delgado N, Gates A Q, Roach S. A Taxonomy and

Catalog of Runtime Software-Fault Monitoring

Tools[J].IEEE Transactions on Software Engineering,

2004, 30(12) : 859-872.

[16]Drusinsky D, Watney G. Applying run-time monitoring

to the Deep-Impact fault protection engine[C].

Software Engineering Workshop Proceedings 28th

Annual NASA Goddard. IEEE, 2003 : 127-133.

5 总结与展望

显而易见，AHM系统的V&V需要综合多种技术手段。传

统的测试手段对于AHM某些层面的功能测试是可行有效的，

然而随着人工智能技术的应用，如不确定推理、任务计划以

及再计划等，这些都给传统V&V技术带来了挑战。最显著的

是，人工智能技术将清晰明确的基于模型的推理算法应用于

非常复杂的软件系统中，但是模型的好坏直接影响其V&V的

效果。巧妙的是，基于模型的推理可以被一些V&V技术平衡，

尤其是基于分析的方法。

AHM系统提高了飞机的可靠性。为了达到此目的，AHM

系统必须要正确的评估系统本身的状态，包括系统本身的故

障以及传感器的失效。故AHM系统必须是飞机中最可靠的系

统之一。以上需要考虑的因素加上一些AHM系统采用了非传

统构架，都会对现有的V&V以及认证标准和措施提出挑战。

总之，通过改进AHM系统的V&V和认证程序来普及AHM

系统应，开发AHM系统的V&V与认证完美结合的技术，使其适

应AHM系统的框架体系以及飞机系统，进而指导成熟的V&V

技术的出现，这都是今后研究的主流方向。

参考文献

[1]Johnson,-178B, Software Considerations in

Airborne Systems and Equipment Certification[S].

RTCA/EUROCAE, 1992.

[2]Avizienis, A. and Chen, L. On the implementation of

N-version programming for software fault tolerance

during execution[C],IEEE International Computer

Software and Applications Conference, Proceedings

of the IEEE Compsac’, 1977. 149–55.

[3]Knight, J.C. and Leveson, N.G.,An experimental

evaluation of the assumption of independence in

multiversion programming[J].IEEE Transactions on

Software Engineering, 2001, 12 (1) : 96–109.

[4]Martin G, Shukla S. Panel: hierarchical and incremental

verification for system level design: challenges and

accomplishments[C].MEMOCODE ‘03. Proceedings.

First ACM and IEEE International Conference on.

IEEE, 2003 : 97-99.

[5]Musa, J. Software Reliability Engineering[M], New York.

（上接第106页）

术也趋于成熟，在实际拖带过程中也不断有新的问题出现，

通过发现问题，解决问题，不断地积累实践经验，结合理论分

析，形成新时代新的拖带技术理念，旨在提高采集作业效率

和提供高质量、高品质地震资料。

出版社, 2004.

[2]姜丹.海上拖缆地震勘探现场质控技术研究[D].中国石

油大学(华东), 2018.

[3]张虎,刘丽,宁克岩,胡斌.海上拖缆勘探航线优化设计

改进及应用[J].中国海上油气, 2015, 27(06) : 43-47.

参考文献

[1]毛宁波,褚荣英.海洋石油地震勘探[M].湖北科学技术

84