民用飛機主制造商機載軟件更改策略研究

童岳威 孫景華 / TONG Yuewei SUN Jinghua(上海飛機設計研究院，上海201210)(Shanghai Aircraft Design and Research Institute, Shanghai 201210, China)

民用飛機主制造商機載軟件更改策略研究

童岳威 孫景華 / TONG Yuewei SUN Jinghua
(上海飛機設計研究院，上海201210)
(Shanghai Aircraft Design and Research Institute, Shanghai 201210, China)

在“主制造商-供應商”的飛機研制體系下，供應商負責研制機載軟件并交付給主制造商，主制造商完成系統集成試驗和飛機級試驗。機載軟件更改會對主制造商飛機研制工作產生影響，包括工作量、進度、成本等方面。首先識別了機載軟件更改起因，對不同類別的更改進行分類，同時分析了機載軟件更改對主制造商飛機研制工作的影響，包括由機載軟件更改引起的額外工作以及研發成本，最后從機載軟件快速轉換、軟件加載以及主制造商驗證試驗方面提出了主制造商機載軟件更改策略，從而降低機載軟件更改對主制造商飛機研制活動的不利影響。

機載軟件更改；增量開發；更改影響分析；更改策略

0 引言

隨著信息化技術迅速地發展，電子計算機技術在民用飛機上的應用越來越廣泛，并且由其實現的飛機系統功能復雜程度、集成程度越來越高。

機載軟件實現的功能很復雜、集成化程度高，它們不僅接收、存儲、處理和輸出大量與飛行安全相關的重要數據，還能通過傳遞告警信息輔助飛機機組人員進行邏輯判斷，引導飛機進入正確的飛行狀態，保證飛機飛行安全。機載軟件不僅在系統/設備上的駐留關系復雜，而且它們之間的交聯關系也異常復雜。例如，部分的環控系統軟件、導航系統軟件、電源系統軟件同時駐留在一個共用的計算機機柜中，而其它的機載軟件仍然駐留在各自系統/設備當中，這種駐留關系導致機載軟件與系統/設備間映射關系很復雜。指示記錄系統與全機大部分系統都存在交聯關系，指示記錄系統軟件需要接受和處理來自許多系統的信號，因此，其影響范圍很廣，同時易受到其它系統的影響。

在飛機研制過程中，機載軟件更改相較于硬件更為頻繁，特別是全新研制的機載軟件，通常會存在幾版甚至幾十版機載軟件迭代過程。雖然機載軟件由供應商承擔研制任務，但其作為系統組成部分應該交付給主制造商，主制造商需要完成系統集成試驗、飛機級試驗，試驗過程中不可避免會發現各類問題，其中部分會涉及機載軟件，需要對其進行更改。

本文分析了機載軟件更改引起的原因及更改對主制造商所產生的影響，并研究了主制造商機載軟件更改策略。

1 機載軟件更改介紹

由于機載軟件在飛機上使用廣泛、實現功能復雜、駐留/交聯關系復雜等原因，機載軟件在飛機研制過程中更改頻繁，特別是隨型號批準的機載軟件。

在“主制造商-供應商”的發展模式[1]下，不論是適航當局、主制造商或供應商提出的機載軟件更改，最終都由供應商來實現。雖然主制造商不具體負責機載軟件開發以及更改任務，但還是需要控制機載軟件更改，確保機載軟件更改對主制造商飛機研制工作的影響在可接受范圍之內。

機載軟件更改實現過程如圖1所示，機載軟件更改實現過程以及驗證過程應該嚴格遵循RTCA/DO-178B[2]的要求，所有生命周期數據都應該符合相應控制類別。

2 機載軟件更改原因分析

供應商從向主制造商交付第一版機載軟件直到機載軟件構型凍結，機載軟件會存在多個版本的迭代過程。對于成熟產品，例如先前型號上獲得過局方批準的產品或者TSOA產品，其所含機載軟件版本迭代次數可能相對較少；對于隨機新研產品，其所含機載軟件迭代次數相對較多，可能存在十幾版甚至于幾十版迭代過程。引起機載軟件更改的原因多種多樣，下面從主制造商的角度對機載軟件更改原因進行分析。

2.1 機載軟件增量式開發

供應商最初向主制造商交付的機載軟件可能并不是全功能版軟件，根據飛機項目階段劃分，供應商可能分階段實現機載軟件功能[3]。通常，主制造商會在和供應商簽訂的合同中定義機載軟件交付節點，包括主制造商試驗室試驗、機上地面試驗、首飛、TIA、TC等節點。例如，主制造商會定義供應商向其交付的首版軟件用于主制造商試驗室試驗，應實現哪些功能，此時交付的機載軟件可能只實現了30%左右的預期功能；同理，主制造商也會在合同中定義供應商向主制造商交付的用于地面試驗、首飛、TIA及TC的機載軟件分別應該實現哪些功能。

2.2 飛機級/系統級的需求更改

如果飛機級/系統級的需求發生了更改，這可能會引起機載軟件需求更改，從而導致機載軟件更改。從飛機級需求向軟件級需求分解的過程如圖2所示。雖然主制造商并不期望發生飛機級/系統級的需求變更，或者說這并非是完美的飛機研制過程，但在實際的飛機研制過程中總會發生這種情況。

2.3 系統ICD發生更改

如果在飛機研制過程中發生系統ICD更改，這可能會引起機載軟件輸入/輸出發生更改，導致機載軟件更改。例如，某個機載系統需要通過獲得其他系統發送過來的信號來判斷飛機狀態，確定飛機在地面上還是在空中，原先設計由起落架系統發送WOW信號來判定，更改后的設計要求除了WOW信號外，大氣數據系統應發送空速信號，根據WOW信號和空速信號來判斷飛機狀態，這樣此機載系統ICD發生了更改，增加了與大氣數據系統的信號傳遞，因此機載軟件輸入信號發生了變化，需要更改機載軟件以滿足系統ICD更改。隨著飛機研制進度推進，系統ICD會變得越來越穩定，由此引起的機載軟件更改會變得越來越少。

2.4 試驗過程中發現機載軟件錯誤

主制造商在接收到供應商交付的機載軟件后，需要完成系統集成試驗以及飛機級試驗。如果主制造商在試驗過程中發現問題，并分析確定為機載軟件相關問題，那應要求供應商根據發現的問題更改機載軟件，詳細過程如圖3所示。由此原因而引起機載軟件更改的頻度最高，這是因為機載軟件實現的功能非常復雜，而且各系統間的交聯關系也很復雜，機載軟件更改不僅影響到本系統功能實現，同時也會影響到與其交聯的系統。

3 機載軟件更改對主制造商的影響分析

機載軟件實現了飛機系統的許多重要功能，包括信號處理、系統控制、機組告警、系統維護等功能，機載軟件更改必然給主制造商飛機研制工作帶來影響，可以從以下幾個方面考慮機載軟件更改對主制造商的影響。

3.1 機載軟件加載

機載軟件根據機載方式可分為返廠加載和現場加載兩類：

1)返廠加載機載軟件

由于主制造商處沒有機載軟件加載環境，需要將機載軟件所駐留的設備退返到供應商處，供應商完成內部機載軟件更改，并通過試驗驗證后，將更改后的機載軟件加載到設備中，然后將設備連同機載軟件重新交付給主制造商。根據供應商所在地不同，機載軟件返廠加載時間相差較大，從幾個星期到幾個月不等。對于國內供應商，由于設備不需要經過海關，通常返廠加載流程可以在幾個星期內完成；對于國外供應商，則通常需要幾個月的時間。

2)現場加載機載軟件

這類機載軟件可以在主制造商現場執行加載過程，將機載軟件交付給主制造商，主制造商或供應商按照加載流程將機載軟件加載到設備中[4]。主制造商應該制定機載軟件加載控制程序，使得機載軟件構型受控。對于現場可加載機載軟件，由于不存在設備退返流程，因此相較于返廠加載機載軟件會節省很多時間。

3.2 主制造商驗證試驗

主制造商雖然不直接參與機載軟件研制過程，但需要基于供應商交付的機載軟件及系統設備完成各類系統集成試驗以及飛機級試驗。如果機載軟件發生更改，可能會影響主制造商已完成的系統集成試驗、飛機級驗證試驗結論的有效性。由于機載軟件更改后，與前版機載軟件存在構型差異，勢必影響基于前版機載軟件完成的驗證試驗結論的有效性。

3.3 飛機研制進度

機載軟件更改由供應商實現，供應商更改機載軟件需要嚴格遵循其定義符合RTCA/DO-178B/C的機載軟件開發流程，并完成內部驗證試驗，確定無重大問題后方可發起交付流程。供應商從確定需要更改機載軟件到向主制造商交付機載軟件需要很長一段時間，譬如等級高、功能復雜的機載軟件可能需要半年以上的周期。由于機載軟件更改周期通常都很長，因此它對飛機研制進度有很大的影響。在飛機研制過程中，經常會由于某個機載軟件更改遲遲沒有完成，拖后飛機研制進度。

3.4 飛機研制成本

由于機載軟件開發過程嚴格按照RTCA/DO-178B/C進行開發，和商用軟件相比，其過程控制非常嚴格，因此機載軟件開發周期很長、成本也非常高。即使只更改一行機載軟件源代碼，其更改成本也非常高，它需要分析需求、設計、測試用例和程序更改范圍，需要重做軟件回歸驗證工作，軟件生命周期數據更新，軟件交付/加載，主制造商補充試驗等。

4 機載軟件更改控制策略研究

在上一節中分析了機載軟件更改對主制造商飛機研制工作的影響，發現機載軟件更改不僅影響供應商機載軟件研制工作，同時也對主制造商飛機研制工作有重大影響，本節將研究主制造商應對機載軟件更改的策略。

4.1 機載軟件快速轉換

因主制造商要求供應商在完成機載軟件更改后，必須先完成內部驗證試驗，確定無重大問題后方可發起機載軟件交付流程，所以機載軟件更改周期通常都很長，使得飛機研制進度延遲。

為了縮短機載軟件更改周期，減小軟件更改周期對飛機研制進度的影響，主制造商可以對不同用途、不同等級的機載軟件進行分類，對每種類型的機載軟件區別對待。

根據機載軟件的用途可以將其分為以下幾類。

機載軟件類別1：在項目早期用于確定系統設計合理性的快速原型機載軟件；

機載軟件類別2：用于系統交聯試驗的機載軟件、用于機上快速退返試驗的機載軟件；

機載軟件類別3：用于試驗室試驗和機上地面試驗的機載軟件；

機載軟件類別4：用于飛行試驗的機載軟件。

對于不同類別的機載軟件，在向主制造商交付之前，供應商需要完成的驗證試驗工作可以有所區別。同時，考慮到不同等級機載軟件對系統和飛機產生的安全性影響不一樣，對級別較低的機載軟件可以適當降低要求。對不同類別、不同等級的機載軟件在其交付前，供應商應完成的試驗驗證工作可參見表1。這可大量減少供應商工作量，加速機載軟件更改進程，縮短機載軟件更改周期。

表1 不同類別、等級機載軟件應完成的供應商驗證試驗工作

注：同一級別機載軟件，類別1～5的要求為增量式要求。譬如，A級別、類別3機載軟件需要完成需求和設計評審、代碼評審、基于需求的測試。

4.2 減少對機載軟件加載的影響

通過分析發現，可以從優化加載流程和主制造商對機載軟件加載方式規劃方面來減少機載軟件更改對機載軟件加載的影響。

4.2.1 機載軟件快速加載流程

對于現場可加載軟件，如果僅用于確定系統設計合理性、系統交聯試驗、機上快速退返試驗，可以簡化這類機載軟件的加載流程，稱為機載軟件快速加載流程。由于這類試驗為非工程研發、適航驗證類試驗，因此不會對飛機安全性產生影響。通過簡化機載軟件加載申請和確認流程，可以加速加載過程，這對于任務節點緊、需要快速開展試驗的機載軟件特別重要。

4.2.2 機載軟件加載方式規劃

由于機載軟件更改相當頻繁，特別是新研設備所含的機載軟件。為了避免由于設備退返而導致研制周期過度拉長，主制造商可以站在全機角度將機載軟件進行分類，規定每類設備所含機載軟件的加載方式。從機載軟件更改頻度來分，TSOA設備所含機載軟件、先前開發機載軟件的更改量較少甚至無更改，隨機新研設備所含機載軟件更改較多，部分機載軟件甚至迭代幾十個版本之多。

為了縮短機載軟件加載周期，避免由于設備返廠影響飛機研制進度，主制造商對機載軟件加載方式的規劃如表2所示，應該避免在飛機驗證試驗階段出現隨機新研設備所含機載軟件必須返廠加載的情況。

表2 機載軟件加載方式的規劃

4.3 主制造商驗證試驗

主制造商在接收到供應商交付的機載軟件后，首先需要分析與前版機載軟件的構型差異，確定更改影響范圍。通過對機載軟件的構型差異分析，確定機載軟件更改對主制造商已完成的驗證試驗結論有效性的影響、對相關系統已完成的驗證試驗結論有效性的影響，根據影響范圍確定需要重做哪些驗證試驗，評估過程如圖4所示。

通過分析機載軟件更改對先前已完成的試驗驗證結論有效性評估活動，主制造商可以避免重復驗證試驗工作，節約主制造商的人力和物力成本，加速推進驗證試驗進度。

5 結論

本文介紹了在“主制造商-供應商”模式下機載軟件更改過程，并分析了機載軟件更改原因以及更改對主制造商的影響，并研究了主制造商機載軟件更改策略。通過分析機載軟件更改原因、更改的影響、以及對主制造商機載軟件更改策略進行研究，可以識別出引起機載軟件更改的不同類別的原因，對主制造商產生的影響范圍，如何降低這些不利影響，最終盡可能降低由于機載軟件更改對主制造商飛機研制的不利影響。

[1] 姚雄華. 基于“主-供”模式的我國民機產業發展問題分析及對策建議[J]. 航空制造技術，2010，3:76-81.

[2] RTCA. DO-178B Software considerations in airborne systems and equipment certification[S]. Washington DC, 1992.

[3] 程成. 軟件工程[M]. 北京：機械工業出版社，2011.

[4] FAA. Order 811.49Chg1 Software Approval Guidelines[S]. Washington DC, 2011-9.

Research on Airborne Software Change Strategies for Civil Aircraft Manufacturer

Under the “OEM-Supplier” aircraft research and development structure, suppliers are responsible for developing airborne software and delivering to the OEM for system integration tests and aircraft tests. The airborne software change could impact on the OEM aircraft research and development, including workload, schedule and cost. This paper firstly identifies the causes of software changes, and classifies them into different categories. The airborne software change impact on the OEM is analyzed including the additional work and cost. Then this paper proposes the OEM airborne software change strategies from the aspects of airborne software quick-return, software loading and the OEM tests, in order to alleviate the adverse impact of airborne software change on the OEM aircraft research and development.

airborne software change; incremental development; change impact analysis; change strategy

10.19416/j.cnki.1674-9804.2017.02.015

V24

A

童岳威 男，碩士，高工。主要研究方向：機載軟件與電子硬件技術；E-mail： tongyuewei@comac.cc

孫景華 女，碩士，高工。主要研究方向：機載軟件與電子硬件技術；E-mail： sunjinghua@comac.cc