短時(shí)間內(nèi)波音737MAX復(fù)飛無(wú)望了。
近日,美國(guó)聯(lián)邦航空管理局新局長(zhǎng)斯蒂芬·迪克森在宣誓就職時(shí)表示,暫時(shí)沒(méi)有737MAX復(fù)飛的計(jì)劃,并重申安全是第一要?jiǎng)?wù)。美國(guó)航空公司也于最近宣布延長(zhǎng)波音737MAX機(jī)型的停飛時(shí)間,停飛時(shí)間將延長(zhǎng)至12月3日。
眾所周知,去年10月和今年3月,印尼獅航和埃塞航空先后發(fā)生波音737MAX客機(jī)失事事件,該機(jī)型隨即在全球范圍內(nèi)遭到停飛或禁飛。后調(diào)查發(fā)現(xiàn),兩起空難皆與客機(jī)的自動(dòng)防失速軟件(MCAS系統(tǒng),即機(jī)動(dòng)特性增強(qiáng)系統(tǒng),以下簡(jiǎn)稱MCAS)被錯(cuò)誤激活有關(guān)。
隨著自動(dòng)化程度不斷加強(qiáng),越來(lái)越多類(lèi)似MCAS這樣的飛控軟件“登”上飛機(jī),那么它們是如何被研制出來(lái)的?又如何確保其絕對(duì)安全?
標(biāo)準(zhǔn)充當(dāng)安全研發(fā)指揮棒
作為一種自動(dòng)安全軟件,MCAS的設(shè)計(jì)原理其實(shí)并不復(fù)雜。簡(jiǎn)言之,它是通過(guò)對(duì)飛機(jī)迎角傳感器信號(hào)的判斷來(lái)驅(qū)動(dòng)飛機(jī)控制系統(tǒng)。其可自動(dòng)將飛機(jī)機(jī)頭向下推,以防止升力損失,從而實(shí)現(xiàn)飛機(jī)自動(dòng)安全保護(hù)。
“該自動(dòng)軟件只在飛機(jī)襟翼收上、處在手動(dòng)飛行狀態(tài)時(shí)才生效,由飛行控制計(jì)算機(jī)根據(jù)迎角傳感器和其他飛機(jī)系統(tǒng)輸入的信號(hào)來(lái)控制,無(wú)需飛行員下達(dá)指令。”北京理工大學(xué)軟件安全工程技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室專家閆懷志在接受科技日?qǐng)?bào)記者采訪時(shí)表示,“這埋下了兩大安全隱患:迎角傳感器系統(tǒng)若發(fā)生故障,那么輸入MCAS的信號(hào)就可能存在錯(cuò)誤;飛機(jī)的最高操控權(quán)不在飛行員手中,軟件安全執(zhí)行缺少最后一道防線?!?/p>
閆懷志指出,在設(shè)計(jì)MCAS過(guò)程中,工作人員利用海量的飛行數(shù)據(jù)并對(duì)其進(jìn)行智能分析處理,以形成自動(dòng)安全算法。在自動(dòng)化程度越來(lái)越高的民航領(lǐng)域中,類(lèi)似MCAS這樣的機(jī)載軟件安全性對(duì)航空器的重要程度也越來(lái)越高。然而,由于機(jī)載軟件的特殊性,無(wú)法像飛機(jī)其他部件的結(jié)構(gòu)、強(qiáng)度等那樣進(jìn)行檢查和測(cè)試,更無(wú)法像一般軟件那樣進(jìn)行窮舉測(cè)試,因此機(jī)載軟件的安全性通常需要依靠嚴(yán)格、規(guī)范、標(biāo)準(zhǔn)的軟件研發(fā)流程來(lái)保證。只有這樣,軟件才能通過(guò)旨在保證飛行絕對(duì)安全的民用航空器的適航審定。
目前,國(guó)際上機(jī)載軟件適航審定主要依據(jù)美國(guó)航空無(wú)線電技術(shù)委員會(huì)(RTCA)DO-178《機(jī)載系統(tǒng)合格審定過(guò)程中的軟件考慮》系列標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)被美國(guó)聯(lián)邦航空局、歐洲航空安全局和中國(guó)民用航空局等民航管理部門(mén)廣泛采用。
該標(biāo)準(zhǔn)在軟件工具驗(yàn)證、基于模型的開(kāi)發(fā)和驗(yàn)證、面向?qū)ο?a target="_blank">編程、形式化方法等諸多方面提出了嚴(yán)格的規(guī)范操作指南,從而使機(jī)載軟件在過(guò)程、數(shù)據(jù)、目標(biāo)3方面滿足嚴(yán)苛的適航要求。機(jī)載軟件的開(kāi)發(fā)、運(yùn)行、驗(yàn)證以及迭代升級(jí)均需以該系列指南為基本遵循,以最大程度保證機(jī)載軟件的安全性和可靠性。
取得飛行資質(zhì)才能“上崗”
標(biāo)準(zhǔn)發(fā)揮了指揮棒的作用,那么在實(shí)踐中,飛控軟件又是怎樣被煉成的?
北京航空航天大學(xué)無(wú)人系統(tǒng)研究院副教授李大偉告訴科技日?qǐng)?bào)記者,首先應(yīng)明確要研制的飛控軟件的具體需求,制定研制總要求并進(jìn)行方案設(shè)計(jì),例如研制哪些模塊、實(shí)現(xiàn)哪些功能等。隨后再經(jīng)過(guò)詳細(xì)設(shè)計(jì),將飛控軟件“精雕細(xì)琢”出來(lái)。
“飛控軟件在投入使用前,要經(jīng)過(guò)大量的仿真試驗(yàn),驗(yàn)證其安全性和可靠性。”李大偉表示,仿真試驗(yàn)通常分為設(shè)計(jì)仿真、全數(shù)字仿真、半物理仿真這3個(gè)階段。
設(shè)計(jì)仿真通常是在“矩陣實(shí)驗(yàn)室”(MATLAB)平臺(tái)或設(shè)計(jì)人員內(nèi)部搭建的平臺(tái)上進(jìn)行的,如驗(yàn)證對(duì)飛行控制系統(tǒng)形成控制指令的算法設(shè)計(jì)得是否合理等。全數(shù)字仿真旨在驗(yàn)證飛控軟件的實(shí)際功能,讓飛控代碼在飛控計(jì)算機(jī)上“跑”幾圈,看軟件能否順利完成計(jì)算機(jī)所下達(dá)的指令。不同于全數(shù)字仿真中全虛擬的物理空間,在半物理仿真階段,工作人員則將一些飛機(jī)部件的實(shí)物納入進(jìn)來(lái),如舵機(jī)、傳感器等,從而更好地反映出這些真實(shí)部件在飛行過(guò)程中可能出現(xiàn)的指令延遲等現(xiàn)象,根據(jù)反饋去調(diào)整飛控軟件。
“仿真試驗(yàn)會(huì)模擬實(shí)際飛行中可能遇到的多種狀況,如暴風(fēng)、雷雨等惡劣天氣以及傳感器等電子器件故障等,以確保飛控軟件的可靠性達(dá)到設(shè)計(jì)要求。”李大偉說(shuō)。
仿真試驗(yàn)通過(guò)后,飛控軟件將走出實(shí)驗(yàn)室,走向應(yīng)用測(cè)試階段。聯(lián)合調(diào)控是飛控軟件首先接受的檢驗(yàn),飛機(jī)上裝有很多軟件,測(cè)控、導(dǎo)航、動(dòng)力系統(tǒng)等,飛控軟件必須與這些“小伙伴”友好相處。此外,飛控系統(tǒng)還兼有飛機(jī)“大腦”的功能,負(fù)責(zé)各個(gè)系統(tǒng)之間的數(shù)據(jù)傳輸、指令配合和系統(tǒng)檢測(cè)等工作。
緊接著,包括飛控軟件在內(nèi)的所有機(jī)載軟件將迎來(lái)一次“大考”——地面聯(lián)調(diào)。飛機(jī)雖不會(huì)起飛,但會(huì)全程通電,以測(cè)試機(jī)載軟件功能和性能。工作人員則會(huì)在此期間不斷發(fā)現(xiàn)并改善缺陷,直至滿足設(shè)計(jì)要求?!暗孛媛?lián)調(diào)往往耗時(shí)很長(zhǎng),短則幾個(gè)月,多則半年甚至更長(zhǎng)?!崩畲髠フf(shuō)。
聯(lián)調(diào)通過(guò)后,還要經(jīng)過(guò)全機(jī)首飛、科研試飛、鑒定試飛、交付試飛等一系列既定試飛流程,最后獲得相關(guān)部門(mén)頒發(fā)的飛行資質(zhì),飛控軟件才算有了“上崗資格”。
嚴(yán)格、繁瑣的研發(fā)、測(cè)試、應(yīng)用流程為飛控軟件上了一層又一層“保險(xiǎn)”,但鑒于飛控軟件一旦出現(xiàn)錯(cuò)漏,就有可能導(dǎo)致乘客生命安全受到威脅,研究設(shè)計(jì)人員還會(huì)通過(guò)余度設(shè)計(jì)等方式保證其絕對(duì)安全。
“與其他普通的工業(yè)軟件不同,飛機(jī)飛控核心模塊往往會(huì)有備份系統(tǒng),也會(huì)設(shè)計(jì)多個(gè)傳感器同時(shí)測(cè)量同一數(shù)據(jù),因此即便在實(shí)際飛行中出現(xiàn)錯(cuò)漏,也會(huì)有替補(bǔ)來(lái)‘撥亂反正’?!崩畲髠フf(shuō)。
信息功能安全融合帶來(lái)挑戰(zhàn)
然而,即使再縝密的測(cè)控流程,也只能將風(fēng)險(xiǎn)控制在無(wú)限接近于零,而非真正的零,否則也就不會(huì)有波音的兩次空難了?!笆聦?shí)上,由軟件引發(fā)的災(zāi)難性事故屢見(jiàn)不鮮。”閆懷志說(shuō)。
1996年,阿麗亞娜5型運(yùn)載火箭因軟件缺陷導(dǎo)致火箭偏軌,不得不“自我摧毀”;2000年,巴拿馬引進(jìn)美國(guó)治療規(guī)劃軟件,由于其輻射劑量預(yù)設(shè)值有誤,導(dǎo)致多名癌癥患者接受超標(biāo)劑量輻射致死;2011年,溫州動(dòng)車(chē)事故,因信號(hào)設(shè)備雷擊故障導(dǎo)致動(dòng)車(chē)相撞,軟件設(shè)計(jì)缺陷難辭其咎。
這些安全問(wèn)題,都屬于傳統(tǒng)的功能安全問(wèn)題?!半S著工業(yè)化和信息化的深度融合,物理空間和信息空間不斷相互滲透和融合,信息物理系統(tǒng)大量出現(xiàn),使得因軟件缺陷而導(dǎo)致的系統(tǒng)安全問(wèn)題層出不窮,呈愈演愈烈之勢(shì)?!遍Z懷志指出,軟件因素導(dǎo)致的安全性問(wèn)題進(jìn)一步體現(xiàn)為信息安全和功能安全二者的融合,給信息系統(tǒng)的安全防范工作增加了很大難度。
如何規(guī)避軟件故障帶來(lái)的安全風(fēng)險(xiǎn)?
在閆懷志看來(lái),應(yīng)從技術(shù)和管理相結(jié)合的系統(tǒng)整體安全角度來(lái)考慮問(wèn)題。首先是形成整體安全觀,充分考慮物理安全、功能安全、信息安全及其融合問(wèn)題。其次,應(yīng)將軟件安全作為系統(tǒng)需求分析、設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)維范疇的重要考慮因素,同時(shí)盡可能避免軟硬件之間的故障傳播引發(fā)級(jí)聯(lián)事故。再者,應(yīng)從系統(tǒng)體系結(jié)構(gòu)、算法等方面,采取容錯(cuò)、容侵、容災(zāi)等預(yù)防及補(bǔ)救措施,同時(shí)還應(yīng)充分重視并發(fā)揮人在“人—機(jī)—環(huán)境”閉合反饋循環(huán)鏈條中的主觀能動(dòng)性。
“同時(shí),相關(guān)工作人員還應(yīng)練好‘內(nèi)功’,即提升相關(guān)軟件的自身信息安全性和功能安全性;同時(shí),做好外部連接通道的安全監(jiān)控工作,防備互聯(lián)網(wǎng)‘黑手’伸向飛機(jī)、汽車(chē)、鐵路等大型工業(yè)應(yīng)用系統(tǒng)?!遍Z懷志說(shuō)。
-
軟件
+關(guān)注
關(guān)注
69文章
4699瀏覽量
87088 -
波音737
+關(guān)注
關(guān)注
0文章
18瀏覽量
2748
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論