首頁| 滾動| 國內| 國際| 軍事| 社會| 財經| 産經| 房産| 金融| 證券| 汽車| I T| 能源| 港澳| 台灣| 華人| 僑網| 經緯
English| 圖片| 視頻| 直播| 娛樂| 體育| 文化| 健康| 生活| 葡萄酒| 微視界| 演出| 專題| 理論| 新媒體| 供稿

被疑酿成波音737MAX空难 飞控软件上天前要经历大考

2019年09月11日 01:57 來源:科技日報 參與互動 

  被疑釀成波音737MAX空難

  上天前,飛控軟件要經曆這些大考

  实习记者 于紫月

  短時間內波音737MAX複飛無望了。

  近日,美國聯邦航空管理局新局長斯蒂芬·迪克森在宣誓就職時表示,暫時沒有737MAX複飛的計劃,並重申安全是第一要務。美國航空公司也于最近宣布延長波音737MAX機型的停飛時間,停飛時間將延長至12月3日。

  衆所周知,去年10月和今年3月,印尼獅航和埃塞航空先後發生波音737MAX客機失事事件,該機型隨即在全球範圍內遭到停飛或禁飛。後調查發現,兩起空難皆與客機的自動防失速軟件(MCAS系統,即機動特性增強系統,以下簡稱MCAS)被錯誤激活有關。

  隨著自動化程度不斷加強,越來越多類似MCAS這樣的飛控軟件“登”上飛機,那麽它們是如何被研制出來的?又如何確保其絕對安全?

  標准充當安全研發指揮棒

  作爲一種自動安全軟件,MCAS的設計原理其實並不複雜。簡言之,它是通過對飛機迎角傳感器信號的判斷來驅動飛機控制系統。其可自動將飛機機頭向下推,以防止升力損失,從而實現飛機自動安全保護。

  “该自动软件只在飞机襟翼收上、处在手动飞行状态时才生效,由飞行控制计算机根据迎角传感器和其他飞机系统输入的信号来控制,无需飞行员下达指令。”北京理工大学软件安全工程技术北京市重点实验室专家闫怀志在接受科技日報记者采访时表示,“这埋下了两大安全隐患:迎角传感器系统若发生故障,那么输入MCAS的信号就可能存在错误;飞机的最高操控权不在飞行员手中,软件安全执行缺少最后一道防线。”

  闫懷志指出,在設計MCAS過程中,工作人員利用海量的飛行數據並對其進行智能分析處理,以形成自動安全算法。在自動化程度越來越高的民航領域中,類似MCAS這樣的機載軟件安全性對航空器的重要程度也越來越高。然而,由于機載軟件的特殊性,無法像飛機其他部件的結構、強度等那樣進行檢查和測試,更無法像一般軟件那樣進行窮舉測試,因此機載軟件的安全性通常需要依靠嚴格、規範、標准的軟件研發流程來保證。只有這樣,軟件才能通過旨在保證飛行絕對安全的民用航空器的適航審定。

  目前,國際上机载软件适航审定主要依据美国航空无线电技术委员会(RTCA)DO-178《机载系统合格审定过程中的软件考虑》系列标准。该标准被美国联邦航空局、欧洲航空安全局和中国民用航空局等民航管理部门广泛采用。

  該標准在軟件工具驗證、基于模型的開發和驗證、面向對象編程、形式化方法等諸多方面提出了嚴格的規範操作指南,從而使機載軟件在過程、數據、目標3方面滿足嚴苛的適航要求。機載軟件的開發、運行、驗證以及叠代升級均需以該系列指南爲基本遵循,以最大程度保證機載軟件的安全性和可靠性。

  取得飛行資質才能“上崗”

  標准發揮了指揮棒的作用,那麽在實踐中,飛控軟件又是怎樣被煉成的?

  北京航空航天大学无人系统研究院副教授李大伟告诉科技日報记者,首先应明确要研制的飞控软件的具体需求,制定研制总要求并进行方案设计,例如研制哪些模块、实现哪些功能等。随后再经过详细设计,将飞控软件“精雕细琢”出来。

  “飛控軟件在投入使用前,要經過大量的仿真試驗,驗證其安全性和可靠性。”李大偉表示,仿真試驗通常分爲設計仿真、全數字仿真、半物理仿真這3個階段。

  設計仿真通常是在“矩陣實驗室”(MATLAB)平台或設計人員內部搭建的平台上進行的,如驗證對飛行控制系統形成控制指令的算法設計得是否合理等。全數字仿真旨在驗證飛控軟件的實際功能,讓飛控代碼在飛控計算機上“跑”幾圈,看軟件能否順利完成計算機所下達的指令。不同于全數字仿真中全虛擬的物理空間,在半物理仿真階段,工作人員則將一些飛機部件的實物納入進來,如舵機、傳感器等,從而更好地反映出這些真實部件在飛行過程中可能出現的指令延遲等現象,根據反饋去調整飛控軟件。

  “仿真試驗會模擬實際飛行中可能遇到的多種狀況,如暴風、雷雨等惡劣天氣以及傳感器等電子器件故障等,以確保飛控軟件的可靠性達到設計要求。”李大偉說。

  仿真試驗通過後,飛控軟件將走出實驗室,走向應用測試階段。聯合調控是飛控軟件首先接受的檢驗,飛機上裝有很多軟件,測控、導航、動力系統等,飛控軟件必須與這些“小夥伴”友好相處。此外,飛控系統還兼有飛機“大腦”的功能,負責各個系統之間的數據傳輸、指令配合和系統檢測等工作。

  緊接著,包括飛控軟件在內的所有機載軟件將迎來一次“大考”——地面聯調。飛機雖不會起飛,但會全程通電,以測試機載軟件功能和性能。工作人員則會在此期間不斷發現並改善缺陷,直至滿足設計要求。“地面聯調往往耗時很長,短則幾個月,多則半年甚至更長。”李大偉說。

  聯調通過後,還要經過全機首飛、科研試飛、鑒定試飛、交付試飛等一系列既定試飛流程,最後獲得相關部門頒發的飛行資質,飛控軟件才算有了“上崗資格”。

  嚴格、繁瑣的研發、測試、應用流程爲飛控軟件上了一層又一層“保險”,但鑒于飛控軟件一旦出現錯漏,就有可能導致乘客生命安全受到威脅,研究設計人員還會通過余度設計等方式保證其絕對安全。

  “與其他普通的工業軟件不同,飛機飛控核心模塊往往會有備份系統,也會設計多個傳感器同時測量同一數據,因此即便在實際飛行中出現錯漏,也會有替補來‘撥亂反正’。”李大偉說。

  信息功能安全融合帶來挑戰

  然而,即使再缜密的測控流程,也只能將風險控制在無限接近于零,而非真正的零,否則也就不會有波音的兩次空難了。“事實上,由軟件引發的災難性事故屢見不鮮。”闫懷志說。

  1996年,阿麗亞娜5型運載火箭因軟件缺陷導致火箭偏軌,不得不“自我摧毀”;2000年,巴拿馬引進美國治療規劃軟件,由于其輻射劑量預設值有誤,導致多名癌症患者接受超標劑量輻射致死;2011年,溫州動車事故,因信號設備雷擊故障導致動車相撞,軟件設計缺陷難辭其咎。

  這些安全問題,都屬于傳統的功能安全問題。“隨著工業化和信息化的深度融合,物理空間和信息空間不斷相互滲透和融合,信息物理系統大量出現,使得因軟件缺陷而導致的系統安全問題層出不窮,呈愈演愈烈之勢。”闫懷志指出,軟件因素導致的安全性問題進一步體現爲信息安全和功能安全二者的融合,給信息系統的安全防範工作增加了很大難度。

  如何規避軟件故障帶來的安全風險?

  在闫懷志看來,應從技術和管理相結合的系統整體安全角度來考慮問題。首先是形成整體安全觀,充分考慮物理安全、功能安全、信息安全及其融合問題。其次,應將軟件安全作爲系統需求分析、設計、實現、運維範疇的重要考慮因素,同時盡可能避免軟硬件之間的故障傳播引發級聯事故。再者,應從系統體系結構、算法等方面,采取容錯、容侵、容災等預防及補救措施,同時還應充分重視並發揮人在“人—機—環境”閉合反饋循環鏈條中的主觀能動性。

  “同时,相关工作人员还应练好‘内功’,即提升相关软件的自身信息安全性和功能安全性;同时,做好外部连接通道的安全监控工作,防备互联网‘黑手’伸向飞机、汽車、铁路等大型工业应用系统。”闫怀志说。

【編輯:于曉】

>國內新聞精选:

國內新聞: 熱點追蹤 深度報道 最新政策
關于我們 | About us | 聯系我們 | 廣告服務 | 供稿服務 | 法律聲明 | 招聘信息 | 網站地圖
 | 留言反饋
本网站所刊载信息,不代表中新社和中新网观点。 刊用本网站稿件,务经书面授权。
未經授權禁止轉載、摘編、複制及建立鏡像,違者將依法追究法律責任。
[網上傳播視聽節目許可證(0106168)] [京ICP證040655號] [京公网安备:110102003042-1] [京ICP備05004340號-1] 总机:86-10-87826688

Copyright ©1999- 2019 chinanews.com. All Rights Reserved