手机网站
手机网站
疑似波音737最大空困难
在去天堂之前,飞行控制软件必须通过这些大测试。
《紫色月》实习记者
波音737最大功率飞机不可能在短时间内运转。
近日,美国联邦航空空管理局新任局长斯蒂芬·迪克森(Stephen Dickson)在宣誓就职时表示,目前还没有737MAX四处走动的计划,并重申安全是重中之重。美国航空公司空最近也宣布延长波音737MAX机型的停飞时间,该时间将延长至12月3日。
众所周知,去年10月和今年3月,波音737最大飞机分别在lion air和埃塞阿比亚空坠毁,这立即使该飞机在全球停飞或被禁飞。经过调查,发现两个空困难都与自动失速防止软件(MCAS系统,即机动特性增强系统,以下简称MCAS)的错误激活有关。
随着自动化程度的提高,越来越多的飞行控制软件如MCAS“登上”了飞机。它们是如何发展起来的?如何确保其绝对安全?
标准充当安全R&D指挥棒
作为自动安全软件,MCAS的设计原则并不复杂。简而言之,它通过判断飞机迎角传感器的信号来驱动飞机控制系统。它能自动将机头向下推,防止升力损失,从而实现飞机的自动安全保护。
“该自动软件仅在襟翼收起且飞机处于手动飞行状态时生效。它由飞行控制计算机根据迎角传感器和其他飞机系统输入的信号进行控制,飞行员无需给出指令。”北京理工大学软件安全工程技术北京重点实验室专家阎胡爱芝在接受《科技日报》采访时表示,“这埋下了两大安全隐患:如果迎角传感器系统出现故障,那么输入的MCAS信号可能有错误;飞行员没有对飞机的最高控制权,软件安全实施也缺乏最后一道防线。”
严胡爱芝指出,在设计MCAS的过程中,工作人员使用了大量的飞行数据,并进行智能分析和处理,形成了自动安全算法。在自动化程度越来越高的民航领域,像MCAS这样的机载软件的安全性对飞机空越来越重要。然而,由于机载软件的特殊性,它不能像飞机其他部件的结构和强度那样进行检查和测试,也不能像普通软件那样进行详尽的测试。因此,机载软件的安全通常需要通过严格、标准化和标准的软件开发程序来保证。只有这样,软件才能通过民航空飞机的适航认证,以确保绝对飞行安全。
目前,世界机载软件适航认证主要基于美国航空公司空无线电技术委员会(RTCA)DO-178发布的“机载系统资格认证过程中的软件考虑因素”系列标准。本标准已被美国联邦航空局空、欧洲航空局空、中国民航局空等民航机构广泛采用。
该标准在软件工具验证、基于模型的开发和验证、面向对象编程、形式化方法等方面提出了严格的标准操作指南,从而使机载软件在过程、数据和目标方面满足严格的适航要求。机载软件的开发、运行、验证和迭代升级必须以这一系列准则为基础,以最大限度地保证机载软件的安全性和可靠性。
只有获得飞行资格后,才能“上岗”
该标准发挥了指挥棒的作用,那么飞行控制软件在实践中是如何改进的呢?
航空航天大学无人系统研究所副教授京航空李大为告诉《科学日报》,首先要明确开发飞行控制软件的具体要求,制定开发的总体要求,并进行方案设计,如开发哪些模块和实现哪些功能。经过详细设计,飞行控制软件“精心制作”。
飞行控制软件投入使用前,必须经过大量的模拟试验,以验证其安全性和可靠性李大为说,模拟试验通常分为三个阶段:设计模拟、全数字模拟和半物理模拟。
设计仿真通常在“矩阵实验室”(matrix laboratory)平台或设计者搭建的平台上进行,例如验证飞行控制系统的控制指令形成算法设计是否合理。全数字仿真旨在验证飞行控制软件的实际功能,允许飞行控制代码在飞行控制计算机上“运行”几次,以查看软件是否能成功完成计算机发出的指令。与全数字仿真中的全虚拟物理空不同,在半物理仿真阶段,工作人员将包括飞机的一些真实部件,如舵机、传感器等。以便更好地反映这些真实部件飞行期间可能出现的命令延迟等现象,并根据反馈调整飞行控制软件。
模拟试验将模拟实际飞行中可能遇到的各种情况,如暴风雨和雷暴等恶劣天气,以及传感器等电子设备的故障,以确保飞行控制软件的可靠性满足设计要求李大为说。
模拟测试通过后,飞行控制软件将离开实验室,进入应用测试阶段。联合控制是飞行控制软件的第一次测试。这架飞机装有许多软件,如控制、导航和动力系统。飞行控制软件必须与这些“小伙伴”相处融洽。此外,飞行控制系统还具有飞机的“大脑”功能,负责各系统之间的数据传输、指挥协调和系统检测。
然后,所有机载软件,包括飞行控制软件,将有一个“大测试”——地面协调。尽管飞机不会起飞,但它会一直通电以测试机载软件的功能和性能。在此期间,员工将不断发现和改进缺陷,直到满足设计要求。“地面协调通常需要很长时间,从几个月到半年甚至更长。”李大为说。
联合转让通过后,飞行控制软件只有经过一系列既定的飞行试验程序,如全机首飞、科研飞行试验、鉴定飞行试验和交付飞行试验,并最终获得相关部门颁发的飞行资格后,才被视为具有“岗位资格”。
严格而复杂的研发、测试和应用过程为飞行控制软件增加了“保险”层。然而,鉴于飞行控制软件中的任何错误或遗漏都可能导致对乘客生命安全的威胁,研究人员和设计人员也将通过冗余设计和其他手段确保其绝对安全。
“与其他常见的工业软件不同,飞机飞行控制核心模块通常有备份系统,并且还设计多个传感器来同时测量相同的数据。因此,即使在实际飞行中有错误和遗漏,也会有替代品来‘纠正混乱’。”李大为说。
信息功能的安全融合带来挑战
然而,即使有了仔细的监控过程,风险也只能被控制在无限接近零,而不是真正的零,否则就不会有波音的两次空困难。"事实上,由软件引起的灾难性事故很常见."燕胡爱芝说道。
1996年,阿丽亚娜5号运载火箭由于软件缺陷导致轨道偏离,不得不“自毁”。2000年,巴拿马引进了美国治疗计划软件。由于辐射剂量的预设值不正确,许多癌症患者接受过量辐射致死。2011年,温州高速列车事故因信号设备雷击故障造成高速列车相撞,软件设计缺陷是罪魁祸首。
这些安全问题都是传统的功能性安全问题。“随着工业化和信息化的深入融合,物理空和信息空不断渗透和融合,大量的网络物理系统出现,使得软件缺陷引发的系统安全问题层出不穷,变得越来越严重。”严胡爱芝指出,软件因素引发的安全问题进一步体现在信息安全与功能安全的融合上,给信息系统的安全防范工作增加了很大难度。
如何避免软件故障造成的安全风险?
严胡爱芝认为,应该从技术和管理相结合的系统整体安全性的角度来考虑这个问题。首先是形成一个整体安全概念,充分考虑物理安全、功能安全、信息安全及其集成。其次,在系统需求分析、设计、实现、运行和维护中,软件安全应作为一个重要的考虑因素,尽可能避免因软件和硬件之间的故障传播而导致的级联事故。此外,还应从系统架构和算法方面采取容错、入侵容忍和容灾等预防和补救措施。同时,在“人-机-环境”的闭环反馈链中,应充分重视和发挥人的主观能动性。
同时,相关人员还应实践“内部技能”,即提高相关软件的信息安全性和功能安全性;同时,做好外部连接通道的安全监控,防止互联网“黑手”接触飞机、汽车、铁路等大型工业应用系统燕胡爱芝说道。
