姜夢(mèng)岑，溫曉玲，李海峰

（1.航空工業(yè)沈陽(yáng)飛機(jī)設(shè)計(jì)研究所，遼寧沈陽(yáng) 110035；2.北京航空航天大學(xué)，北京 100191）

機(jī)載軟件對(duì)系統(tǒng)任務(wù)完成與運(yùn)行安全有著決定性的影響，其一旦發(fā)生失效，輕則導(dǎo)致任務(wù)失敗，重則導(dǎo)致飛行事故［1］。因此，機(jī)載軟件通常需要滿足較高的安全性要求［2-3］。國(guó)內(nèi)外已經(jīng)制定了一系列標(biāo)準(zhǔn)［4-5］，來(lái)保障機(jī)載軟件安全性滿足指標(biāo)要求。

對(duì)于具有復(fù)雜邏輯的機(jī)載軟件來(lái)說(shuō)，其導(dǎo)致系統(tǒng)危險(xiǎn)的原因，不僅僅是非法數(shù)據(jù)、通信中斷等單點(diǎn)失效，還可能是軟硬耦合沖突、人機(jī)交互異常、外部環(huán)境干擾、功能并發(fā)沖突等復(fù)雜行為。而傳統(tǒng)功能安全技術(shù)，例如，故障模式與影響分析（Fault Modes and Effect Analysis，F(xiàn)MEA）、故障樹分析（Fault Tree Analysis，F(xiàn)TA）等，傾向于將此類復(fù)雜行為排除在系統(tǒng)設(shè)計(jì)范圍之外，導(dǎo)致很多機(jī)載軟件雖然經(jīng)歷了較為充分的功能安全和測(cè)試工作，但運(yùn)行時(shí)仍然會(huì)出現(xiàn)非預(yù)期的系統(tǒng)危險(xiǎn)，難以滿足新一代復(fù)雜機(jī)載系統(tǒng)及其軟件的高安全、高可靠要求。

針對(duì)傳統(tǒng)功能安全技術(shù)應(yīng)用于復(fù)雜系統(tǒng)時(shí)存在的不足，自動(dòng)駕駛汽車領(lǐng)域提出了預(yù)期功能安全（Safety of the Intended Functionality，SOTIF）的概念［6-7］。依據(jù)ISO 26262 與ISO 21448，SOTIF定義如下：系統(tǒng)不存在由于危險(xiǎn)而導(dǎo)致的不合理風(fēng)險(xiǎn)。其中，危險(xiǎn)是由于系統(tǒng)預(yù)期功能不足（設(shè)計(jì)不足或性能局限）或合理可預(yù)見的人員誤操作引發(fā)的。

依據(jù)上述定義，相對(duì)于傳統(tǒng)功能安全，SOTIF重點(diǎn)關(guān)注系統(tǒng)在與外界環(huán)境、交聯(lián)設(shè)備、任務(wù)場(chǎng)景和操作人員交互時(shí)，由于自身功能設(shè)計(jì)存在遺漏或者缺陷而導(dǎo)致的軟件失效。SOTIF是功能安全在復(fù)雜系統(tǒng)上的擴(kuò)展與完善，可以更加準(zhǔn)確地追溯系統(tǒng)安全事故的復(fù)雜成因，有效保障系統(tǒng)和軟件在非預(yù)期交互、動(dòng)態(tài)控制異常、工作狀態(tài)異常、多失效組合等復(fù)雜情況下的安全性水平，確保將系統(tǒng)和軟件的運(yùn)行風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。

近些年來(lái)，國(guó)內(nèi)外高校、研究所、公司等針對(duì)SOTIF開展了大量的技術(shù)研究和典型應(yīng)用［8-14］。已有研究表明，SOTIF理論將復(fù)雜系統(tǒng)安全性視為一個(gè)動(dòng)態(tài)控制問(wèn)題，具有分析過(guò)程動(dòng)態(tài)化、非單點(diǎn)故障的危險(xiǎn)溯源、多失效組合分析等優(yōu)勢(shì)，可有效識(shí)別復(fù)雜系統(tǒng)的安全隱患和約束條件，彌補(bǔ)傳統(tǒng)功能安全應(yīng)用于復(fù)雜系統(tǒng)時(shí)存在的不足，已成為系統(tǒng)和軟件在安全性領(lǐng)域的重要研究方向與發(fā)展趨勢(shì)。但是，目前SOTIF 多以汽車駕駛系統(tǒng)為對(duì)象開展研究，在航空、航天等領(lǐng)域則極為少見。因此，本文將借鑒SOTIF 在汽車領(lǐng)域的成功應(yīng)用經(jīng)驗(yàn)，面向復(fù)雜機(jī)載軟件系統(tǒng)，開展機(jī)載軟件SOTIF分析驗(yàn)證過(guò)程與方法研究，為SOTIF 在機(jī)載軟件領(lǐng)域的研究與應(yīng)用提供支撐。

1 機(jī)載軟件SOTIF分析驗(yàn)證框架

SOTIF與功能安全類似，均需通過(guò)完整且嚴(yán)格的分析驗(yàn)證過(guò)程來(lái)保障系統(tǒng)安全能力，本質(zhì)在于將大量技術(shù)活動(dòng)歸納于若干步驟，轉(zhuǎn)化為執(zhí)行性高、可復(fù)現(xiàn)的操作指南，在最大程度上規(guī)避因人員能力或經(jīng)驗(yàn)差異而導(dǎo)致的工作結(jié)果不一致的情況。因此，本文參考ISO 21448 標(biāo)準(zhǔn)，機(jī)載軟件SOTIF分析驗(yàn)證過(guò)程需要貫徹“迭代”的概念［6］，實(shí)施框架如圖1 所示。

圖1 機(jī)載軟件SOTIF分析驗(yàn)證過(guò)程

在圖1 中，標(biāo)注綠色的部分為機(jī)載軟件SOTIF 分析驗(yàn)證相關(guān)的關(guān)鍵技術(shù)活動(dòng)，說(shuō)明如下。

①相關(guān)項(xiàng)定義。

依據(jù)ISO 21448 開展SOTIF 工作，需要先確定分析驗(yàn)證的對(duì)象［6］。因此，本文針對(duì)該項(xiàng)技術(shù)活動(dòng)，將開展機(jī)載軟件SOTIF建模技術(shù)研究。

②危險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估。

此項(xiàng)活動(dòng)需要識(shí)別系統(tǒng)危險(xiǎn)，并評(píng)估風(fēng)險(xiǎn)等級(jí)。在本文中，針對(duì)該項(xiàng)活動(dòng)，開展基于功能危險(xiǎn)分析（Functional Hazard Analysis，F(xiàn)HA）的機(jī)載軟件SOTIF危險(xiǎn)分析研究和基于危險(xiǎn)分析的風(fēng)險(xiǎn)評(píng)估研究。

本質(zhì)上，F(xiàn)HA 技術(shù)來(lái)源于功能安全，但也可以應(yīng)用于SOTIF。這是因?yàn)镾OTIF是功能安全的擴(kuò)展和補(bǔ)充，二者的目標(biāo)是相同的，即消除系統(tǒng)危險(xiǎn)，控制風(fēng)險(xiǎn)在合理可接受的范圍內(nèi)。因此，本文將參考功能安全的工程經(jīng)驗(yàn)，將FHA技術(shù)應(yīng)用于SOTIF活動(dòng)。

③識(shí)別功能不足與觸發(fā)條件。

此項(xiàng)活動(dòng)需要分析導(dǎo)致危險(xiǎn)的系統(tǒng)功能存在的不足，以及引發(fā)系統(tǒng)功能存在的不足的觸發(fā)條件（即原因），進(jìn)而針對(duì)觸發(fā)條件制定安全性需求，以消除危險(xiǎn)，降低系統(tǒng)運(yùn)行風(fēng)險(xiǎn)。本文針對(duì)該項(xiàng)活動(dòng)，開展基于系統(tǒng)理論的事故模型（Systems Theoretic Accident Modeling and Process，STAMP）的機(jī)載軟件SOTIF分析技術(shù)研究。

④針對(duì)已知危險(xiǎn)及其原因的測(cè)試驗(yàn)證。

ISO 21448 將系統(tǒng)運(yùn)行場(chǎng)景分為4 個(gè)區(qū)域［6］，即已知安全場(chǎng)景（區(qū)域1）、已知不安全場(chǎng)景（區(qū)域2）、未知不安全場(chǎng)景（區(qū)域3）和未知安全場(chǎng)景（區(qū)域4），如圖2所示。

圖2 SOTIF系統(tǒng)運(yùn)行場(chǎng)景

其中，區(qū)域2 和區(qū)域3 是SOTIF需要解決的問(wèn)題，即充分識(shí)別系統(tǒng)運(yùn)行過(guò)程中的各種危險(xiǎn)及其原因（功能設(shè)計(jì)不足、性能局限或者人員誤操作等），驗(yàn)證已知不安全場(chǎng)景和未知不安全場(chǎng)景是否得到有效識(shí)別與消除。因此，本文針對(duì)該項(xiàng)活動(dòng)，將開展場(chǎng)景驅(qū)動(dòng)的機(jī)載軟件SOTIF測(cè)試技術(shù)研究。

需要說(shuō)明的是，圖1 中除了上述4 項(xiàng)活動(dòng)，還有“回顧與復(fù)審”“運(yùn)維階段活動(dòng)”“功能提升和修改”等活動(dòng)，限于篇幅，不作為本文討論的重點(diǎn)。

2 機(jī)載軟件SOTIF建模與危險(xiǎn)分析技術(shù)

2.1 機(jī)載軟件SOTIF建模

有研究表明，在SOTIF 分析驗(yàn)證過(guò)程中引入建模技術(shù)有利于工作效率的提升［14］。因此，本文參考SOTIF構(gòu)建汽車自動(dòng)駕駛系統(tǒng)測(cè)試場(chǎng)景的經(jīng)驗(yàn)，從控制邏輯、外部設(shè)備、軟硬耦合、運(yùn)行場(chǎng)景、數(shù)據(jù)交互等角度對(duì)機(jī)載軟件需求進(jìn)行SOTIF建模。

（1）系統(tǒng)控制視圖建模。

首先，參考機(jī)載系統(tǒng)的典型控制任務(wù)，建立系統(tǒng)控制視圖模型，如圖3 所示。

圖3 系統(tǒng)控制視圖模型

該模型描述機(jī)載系統(tǒng)控制過(guò)程以及與外部設(shè)備（傳感器、執(zhí)行機(jī)構(gòu)、操作人員等）之間的交互情況，為其他模型的構(gòu)建提供輸入基礎(chǔ)。

（2）外部接口建模。

對(duì)軟件外部輸入輸出接口、數(shù)據(jù)及其關(guān)聯(lián)設(shè)備等信息進(jìn)行規(guī)范描述，支撐從接口角度進(jìn)行SOTIF 分析。需明確數(shù)據(jù)取值、時(shí)序關(guān)系、通信協(xié)議、源／目的設(shè)備、故障策略、余度關(guān)系等內(nèi)容，具體建模要求如下。

①數(shù)據(jù)取值：包括取值范圍、取值精度、安全值／初始值設(shè)置等。

②時(shí)序關(guān)系：包括輸入輸出時(shí)刻、輸入輸出周期、輸入輸出持續(xù)時(shí)間等。

③通信協(xié)議：包括數(shù)據(jù)幀格式、數(shù)據(jù)幀長(zhǎng)度、數(shù)據(jù)幀校驗(yàn)方式等。

④源／目的設(shè)備：明確輸入數(shù)據(jù)來(lái)源設(shè)備的狀態(tài)或工作模式，以及輸出數(shù)據(jù)目的設(shè)備的狀態(tài)或工作模式。

⑤故障策略：包括故障診斷、故障處理、故障復(fù)位等故障策略。

⑥余度關(guān)系：包括多余度輸入數(shù)據(jù)表決、多余度輸出數(shù)據(jù)表決等。

（3）功能邏輯建模。

對(duì)軟件功能處理邏輯、控制過(guò)程等進(jìn)行規(guī)范描述，支撐從功能角度進(jìn)行SOTIF 分析。須明確控制過(guò)程、數(shù)據(jù)解算、處理邏輯、余度切換等內(nèi)容。具體建模要求如下。

①控制過(guò)程：應(yīng)明確軟件所控制的對(duì)象、輸出的控制指令、采用的控制律算法等內(nèi)容。

②數(shù)據(jù)解算：應(yīng)明確數(shù)據(jù)解算的輸出值范圍、數(shù)據(jù)解算公式、數(shù)據(jù)解算模型等內(nèi)容。

③處理邏輯：應(yīng)明確功能進(jìn)入條件、功能執(zhí)行分支、功能操作過(guò)程等內(nèi)容。

④余度切換：應(yīng)明確主備通道的切換條件、切換時(shí)機(jī)、切換時(shí)長(zhǎng)等內(nèi)容。

（4）交互關(guān)系建模。

對(duì)軟件與硬件項(xiàng)、操作人員之間，軟件功能項(xiàng)之間等因素的交互關(guān)系進(jìn)行規(guī)范描述，支撐從外部交互角度進(jìn)行SOTIF 分析。須明確軟硬耦合、人員操作、告警顯示、功能交互等內(nèi)容。具體建模要求如下。

①軟硬耦合：明確軟件項(xiàng)與硬件項(xiàng)之間的控制耦合關(guān)系、數(shù)據(jù)交互關(guān)系等內(nèi)容。

②人員操作：明確人員操作軟件的操作方式、輸入方式等內(nèi)容。

③告警顯示：明確告警顯示的方式、優(yōu)先級(jí)、顯示時(shí)序等內(nèi)容。

④功能交互：明確功能之間的組合、調(diào)用等交互關(guān)系。

（5）運(yùn)行場(chǎng)景建模。

對(duì)機(jī)載軟件運(yùn)行中所經(jīng)歷的飛行階段、狀態(tài)模式、任務(wù)環(huán)境等信息進(jìn)行規(guī)范描述，支撐從運(yùn)行場(chǎng)景角度進(jìn)行SOTIF分析。須明確典型運(yùn)行場(chǎng)景、場(chǎng)景切換過(guò)程、場(chǎng)景切換條件等內(nèi)容。具體建模要求如下。

①典型運(yùn)行場(chǎng)景：應(yīng)明確機(jī)載軟件運(yùn)行過(guò)程中所處的工作模式、飛行階段、任務(wù)階段等內(nèi)容。

②場(chǎng)景切換過(guò)程：應(yīng)明確各個(gè)場(chǎng)景之間的切換過(guò)程、切換時(shí)序等內(nèi)容。

③場(chǎng)景切換條件：應(yīng)明確場(chǎng)景的進(jìn)入條件、退出條件等內(nèi)容。

2.2 系統(tǒng)功能危險(xiǎn)分析

針對(duì)機(jī)載系統(tǒng)功能，識(shí)別不同工作狀態(tài)下的功能危險(xiǎn)，并分析危險(xiǎn)對(duì)于系統(tǒng)任務(wù)完成或運(yùn)行安全的影響后果與等級(jí)。具體過(guò)程與技術(shù)方案如下。

（1）系統(tǒng)功能識(shí)別。

首先，依據(jù)系統(tǒng)需求，識(shí)別機(jī)載系統(tǒng)運(yùn)行過(guò)程中可能經(jīng)歷的飛行階段及工作狀態(tài)。然后，依據(jù)GJB 438B／C等標(biāo)準(zhǔn)，從“外部輸入（Input）→處理過(guò)程（Process）→外部輸出（Output）”的黑盒角度，識(shí)別不同工作狀態(tài)或飛行階段下的系統(tǒng)功能，形成系統(tǒng)功能清單，為“功能危險(xiǎn)識(shí)別”提供輸入。

（2）系統(tǒng)功能危險(xiǎn)分析。

系統(tǒng)功能危險(xiǎn)指的是功能輸出的各類異常。本文考慮針對(duì)機(jī)載系統(tǒng)功能的外部輸出數(shù)據(jù)，從數(shù)據(jù)失效、時(shí)序失效、通信失效、目的設(shè)備失效等角度，分析不同飛行階段或者工作狀態(tài)下，系統(tǒng)功能輸出的各種異常。例如“系統(tǒng)功能持續(xù)N 秒未輸出”“系統(tǒng)功能輸出超限”等。

（3）危險(xiǎn)影響分析和等級(jí)評(píng)估。

從“運(yùn)行安全”（對(duì)機(jī)載設(shè)備或機(jī)組人員的損傷）和“任務(wù)完成”（任務(wù)無(wú)法完成或者性能降低）這兩個(gè)角度分析機(jī)載系統(tǒng)危險(xiǎn)的影響后果，例如，系統(tǒng)死機(jī)崩潰、任務(wù)執(zhí)行超時(shí)、設(shè)備損壞等?？山⑾到y(tǒng)外部交聯(lián)環(huán)境視圖、功能組成框圖等，輔助危險(xiǎn)影響分析的開展，并評(píng)估影響后果的嚴(yán)重等級(jí)，包括A、B、C、D等級(jí)別。

2.3 基于危險(xiǎn)分析的系統(tǒng)風(fēng)險(xiǎn)評(píng)估

系統(tǒng)風(fēng)險(xiǎn)評(píng)估包括危險(xiǎn)事件分析、危險(xiǎn)嚴(yán)重性等級(jí)評(píng)估、危險(xiǎn)可能性等級(jí)評(píng)估、系統(tǒng)風(fēng)險(xiǎn)指標(biāo)評(píng)估等幾項(xiàng)內(nèi)容。其中，危險(xiǎn)事件分析、危險(xiǎn)嚴(yán)重性等級(jí)評(píng)估已經(jīng)在2.2 節(jié)中進(jìn)行了說(shuō)明，本節(jié)重點(diǎn)闡述后兩項(xiàng)內(nèi)容的技術(shù)方案。

（1）危險(xiǎn)可能性等級(jí)評(píng)估。

可依據(jù)危險(xiǎn)所在功能的運(yùn)行頻率或者導(dǎo)致危險(xiǎn)的外部輸入頻率，以及系統(tǒng)所采取的軟件和硬件檢測(cè)手段，分析每項(xiàng)系統(tǒng)危險(xiǎn)出現(xiàn)的可能性（即出現(xiàn)概率P），進(jìn)而對(duì)危險(xiǎn)可能性等級(jí)進(jìn)行評(píng)估。依據(jù)GJB／Z 102A，可能性等級(jí)可分為5 級(jí)，即經(jīng)常（P ＞10-1）、很可能（10-2≤P≤10-1）、偶然（10-3≤P≤10-2）、很少（10-4≤P≤10-3）和極少（P≤10-4）。

（2）系統(tǒng)風(fēng)險(xiǎn)指標(biāo)評(píng)估。

綜合每項(xiàng)系統(tǒng)危險(xiǎn)事件的嚴(yán)重性等級(jí)和可能性等級(jí)，采用表1 的系統(tǒng)風(fēng)險(xiǎn)指標(biāo)評(píng)估矩陣，對(duì)每項(xiàng)危險(xiǎn)的系統(tǒng)風(fēng)險(xiǎn)指標(biāo)進(jìn)行評(píng)估。

表1 系統(tǒng)風(fēng)險(xiǎn)指標(biāo)評(píng)估矩陣

3 基于STAMP的機(jī)載軟件SOTIF 分析技術(shù)

STAMP將事故理解為系統(tǒng)設(shè)計(jì)、開發(fā)和操作過(guò)程中的安全性相關(guān)約束沒(méi)有得到充分控制或充分施行［15］，這與STAMP模型的思想不謀而合。因此，本文將依據(jù)ISO 21448 等標(biāo)準(zhǔn)，參考STAMP模型及其應(yīng)用技術(shù)系統(tǒng)理論過(guò)程分析（Systems-Theoretic Process Analysis，STPA），在SOTIF 安全模型基礎(chǔ)上，開展機(jī)載軟件SOTIF分析技術(shù)研究。主要過(guò)程如圖4 所示。

圖4 基于STAMP的機(jī)載軟件SOTIF分析

3.1 復(fù)雜場(chǎng)景下的機(jī)載軟件SOTIF影響因素

參考SOTIF構(gòu)建汽車自動(dòng)駕駛系統(tǒng)測(cè)試場(chǎng)景的經(jīng)驗(yàn)，針對(duì)機(jī)載軟件系統(tǒng)控制視圖模型中的運(yùn)行環(huán)境、任務(wù)階段、控制邏輯、軟硬耦合、外部激勵(lì)等場(chǎng)景進(jìn)行分析，識(shí)別安全影響因素，為異?？刂菩袨榧捌湓蚍治鎏峁┮罁?jù)。主要包括以下內(nèi)容。

①軟硬件耦合沖突：由于外部執(zhí)行機(jī)構(gòu)行為或?qū)傩猿霈F(xiàn)異常，導(dǎo)致軟件任務(wù)失敗或運(yùn)行異常。例如，執(zhí)行機(jī)構(gòu)運(yùn)動(dòng)速度過(guò)快或過(guò)慢，執(zhí)行機(jī)構(gòu)的運(yùn)動(dòng)位置超出物理極限位置等。

②動(dòng)態(tài)控制異常：軟件控制過(guò)程或者控制律算法出現(xiàn)各種異常，導(dǎo)致軟件任務(wù)失敗或者運(yùn)行異常。例如，執(zhí)行機(jī)構(gòu)行為與控制指令連續(xù)多個(gè)周期不相符、控制過(guò)程提前結(jié)束或者滯后結(jié)束等。

③工作狀態(tài)異常：由于軟件所處的工作狀態(tài)出現(xiàn)異常，導(dǎo)致軟件任務(wù)失敗或者運(yùn)行異常。例如，工作狀態(tài)切換后，功能異常終止等。

④功能并發(fā)沖突：軟件多個(gè)功能或組件并發(fā)時(shí)出現(xiàn)沖突，導(dǎo)致軟件任務(wù)失敗或運(yùn)行異常。例如，多個(gè)功能同時(shí)對(duì)同一數(shù)據(jù)進(jìn)行賦值，產(chǎn)生沖突等。

⑤運(yùn)行環(huán)境影響：與軟件處于同一環(huán)境的硬件項(xiàng)或軟件項(xiàng)出現(xiàn)異常，導(dǎo)致任務(wù)失敗或運(yùn)行異常。例如，外存故障或存滿，操作系統(tǒng)不兼容等。

⑥人員誤操作：操作人員的非法操作、快速操作、誤操作等異常。例如，執(zhí)行關(guān)鍵控制時(shí)未充分確認(rèn)，重復(fù)施加控制指令等。

3.2 基于故障樹的軟件異?？刂菩袨樽R(shí)別

本文依據(jù)機(jī)載系統(tǒng)體系結(jié)構(gòu)與可靠性框圖，構(gòu)建故障樹，自上而下地識(shí)別導(dǎo)致系統(tǒng)危險(xiǎn)的軟件原因事件，即異?？刂菩袨?，形成系統(tǒng)向軟件分配的SOTIF需求，反饋至系統(tǒng)設(shè)計(jì)架構(gòu)中。包括如下內(nèi)容。

（1）系統(tǒng)體系結(jié)構(gòu)分析。

自上而下確定系統(tǒng)由哪些子系統(tǒng)、設(shè)備、軟件項(xiàng)或硬件項(xiàng)組成，并確定這些組成項(xiàng)之間的層級(jí)關(guān)系，以及這些組成項(xiàng)之間的動(dòng)態(tài)數(shù)據(jù)交互關(guān)系，從而為故障樹模型構(gòu)建提供依據(jù)。

（2）基于系統(tǒng)體系結(jié)構(gòu)的故障樹建模。

首先，針對(duì)系統(tǒng)功能危險(xiǎn)分析結(jié)果，選取“影響等級(jí)”為“A級(jí)”的功能危險(xiǎn)，作為故障樹頂事件。然后，基于系統(tǒng)體系結(jié)構(gòu)自上而下逐層展開，分析組成項(xiàng)可能存在的異常失效，構(gòu)建故障樹的中間事件和底事件。同時(shí)，依據(jù)組成項(xiàng)之間的動(dòng)態(tài)運(yùn)行關(guān)系，構(gòu)建相應(yīng)的“邏輯門”。例如，組成項(xiàng)之間為串聯(lián)關(guān)系，對(duì)應(yīng)“或門”；組成項(xiàng)之間為并聯(lián)關(guān)系，對(duì)應(yīng)“與門”。

（3）基于故障樹的軟件異?？刂菩袨樽R(shí)別。

基于故障樹模型，識(shí)別底事件中由軟件導(dǎo)致系統(tǒng)危險(xiǎn)的原因，即軟件異?？刂菩袨椤Ｖ饕ㄒ韵虏糠?。

①控制行為不完整安全：例如，沒(méi)有提供必須的控制行為，沒(méi)有提供充分的控制行為，以及控制行為可能會(huì)導(dǎo)致人員傷亡、設(shè)備損壞或環(huán)境破壞。

②控制行為時(shí)序不符合約束要求：例如，執(zhí)行時(shí)間過(guò)晚或過(guò)早、控制行為持續(xù)時(shí)間過(guò)長(zhǎng)或過(guò)短、控制行為無(wú)法結(jié)束或者異常中斷等。

③執(zhí)行機(jī)構(gòu)未正確響應(yīng)：例如，執(zhí)行機(jī)構(gòu)未響應(yīng)或未正確響應(yīng)控制信號(hào)，執(zhí)行機(jī)構(gòu)過(guò)早或者過(guò)晚響應(yīng)控制信號(hào)等。

④執(zhí)行機(jī)構(gòu)運(yùn)行異常：例如，執(zhí)行機(jī)構(gòu)運(yùn)動(dòng)速度過(guò)快或過(guò)慢，執(zhí)行機(jī)構(gòu)位置超出物理限位等。

（4）系統(tǒng)向軟件分配的SOTIF要求。

針對(duì)故障樹中與軟件相關(guān)的底事件和軟件異常控制行為，從事前預(yù)防或事后控制的角度，形成系統(tǒng)向軟件分配的SOTIF要求，主要包括以下部分。

①針對(duì)數(shù)據(jù)失效的SOTIF要求：針對(duì)輸出接口數(shù)據(jù)的取值、組合、變化等異常情況，進(jìn)行檢查，提出處理措施，確保輸出取值有效的數(shù)據(jù)信息。

②針對(duì)時(shí)序失效的SOTIF 要求：針對(duì)輸出周期、時(shí)刻、持續(xù)時(shí)長(zhǎng)等異常情況，進(jìn)行檢查，提出處理措施，確保輸出時(shí)序有效的數(shù)據(jù)信息。

③針對(duì)通信失效的SOTIF要求：針對(duì)輸出接口的格式、內(nèi)容等異常情況，進(jìn)行檢查，提出處理措施，確保軟件能夠輸出通信協(xié)議有效的數(shù)據(jù)信息。

④針對(duì)余度失效的SOTIF要求：針對(duì)軟件余度表決關(guān)系，進(jìn)行容錯(cuò)檢查，分析余度輸出不一致、余度輸出無(wú)效等異常情況，提出相應(yīng)處理措施。

⑤針對(duì)交聯(lián)設(shè)備失效的SOTIF要求：對(duì)外部交聯(lián)設(shè)備進(jìn)行檢查，分析設(shè)備未響應(yīng)指令或者處于故障狀態(tài)等異常情況，提出相應(yīng)處理措施，確保軟件正確實(shí)現(xiàn)與交聯(lián)設(shè)備的數(shù)據(jù)或控制交互。

3.3 基于影響因素的異常控制行為原因分析

最后，依據(jù)SOTIF 影響因素，識(shí)別導(dǎo)致異?？刂菩袨榈母鞣N可能原因。例如，接口數(shù)據(jù)異常、軟硬耦合沖突、設(shè)備狀態(tài)異常、外部非法干擾、人機(jī)交互異常、狀態(tài)場(chǎng)景異常、功能邏輯異常、功能組合異常等。具體如下。

①接口數(shù)據(jù)異常：針對(duì)軟件外部接口的數(shù)據(jù)取值、時(shí)序約束、通信協(xié)議等進(jìn)行異?？刂菩袨樵蚍治?，例如數(shù)據(jù)取值異常、通信中斷、關(guān)聯(lián)設(shè)備故障、余度設(shè)計(jì)異常等。

②功能邏輯異常：針對(duì)軟件控制過(guò)程、數(shù)據(jù)解算、處理邏輯等進(jìn)行異常控制行為原因分析，例如功能執(zhí)行超時(shí)、邏輯分支無(wú)法成立等。

③功能組合異常：針對(duì)軟件功能之間的并發(fā)、串行、調(diào)用等組合關(guān)系，進(jìn)行異?？刂菩袨樵蚍治?，例如功能并發(fā)沖突、順序執(zhí)行異常等。

④狀態(tài)場(chǎng)景異常：針對(duì)軟件工作狀態(tài)和飛行階段，進(jìn)行異?？刂菩袨樵蚍治?，例如狀態(tài)無(wú)法退出、狀態(tài)轉(zhuǎn)移導(dǎo)致功能中斷等。

⑤軟硬耦合沖突：針對(duì)軟件項(xiàng)與硬件項(xiàng)之間的控制或者數(shù)據(jù)交互關(guān)系進(jìn)行異?？刂菩袨樵蚍治?，例如硬件未響應(yīng)軟件的控制指令、硬件錯(cuò)誤響應(yīng)軟件的控制指令等。

⑥人機(jī)交互異常：針對(duì)人員操作行為進(jìn)行異?？刂菩袨樵蚍治?，例如重復(fù)操作、誤操作等。

⑦設(shè)備狀態(tài)異常：針對(duì)交聯(lián)設(shè)備的狀態(tài)進(jìn)行異?？刂菩袨樵蚍治?，例如設(shè)備處于上電、下電、故障等異常狀態(tài)。

⑧外部非法干擾：針對(duì)軟件所處的運(yùn)行環(huán)境和外部信號(hào)等進(jìn)行異?？刂菩袨樵蚍治?，例如強(qiáng)電磁干擾信號(hào)等。

4 場(chǎng)景驅(qū)動(dòng)的機(jī)載軟件SOTIF測(cè)試技術(shù)

在SOTIF模型與軟件異?？刂菩袨樵蚍治龌A(chǔ)上，構(gòu)建基于SOTIF 的測(cè)試用例及典型測(cè)試場(chǎng)景，實(shí)現(xiàn)對(duì)軟件各類異?？刂菩袨楹蛷?fù)雜運(yùn)行場(chǎng)景的有效覆蓋。

4.1 機(jī)載軟件SOTIF測(cè)試場(chǎng)景構(gòu)建

基于軟件異?？刂菩袨榧捌湓蚍治鼋Y(jié)果，參考汽車自動(dòng)駕駛系統(tǒng)測(cè)試場(chǎng)景構(gòu)建方法，構(gòu)建機(jī)載軟件SOTIF測(cè)試場(chǎng)景，實(shí)現(xiàn)對(duì)軟硬耦合、控制過(guò)程、外部激勵(lì)、人機(jī)交互、狀態(tài)切換等復(fù)雜場(chǎng)景的有效模擬或仿真。

“場(chǎng)景”通常用于描述導(dǎo)致結(jié)果的一系列動(dòng)作和事件。在ISO 26262 標(biāo)準(zhǔn)中，將場(chǎng)景分為功能場(chǎng)景、邏輯場(chǎng)景和具體場(chǎng)景3 類［7］。在本文中，機(jī)載軟件的場(chǎng)景（測(cè)試場(chǎng)景或者運(yùn)行場(chǎng)景）主要指的是，軟件與其任務(wù)階段、運(yùn)行環(huán)境等組成要素在一段時(shí)間內(nèi)的總體動(dòng)態(tài)描述，這些要素組成由所期望完成的系統(tǒng)任務(wù)與具體功能決定。

基于上述定義，本文將識(shí)別的軟件異?？刂菩袨榧捌湓?，轉(zhuǎn)化為機(jī)載軟件與其任務(wù)階段、運(yùn)行環(huán)境等要素表征的一系列動(dòng)作與事件，形成軟件SOTIF 測(cè)試場(chǎng)景構(gòu)建要求。主要包括以下部分。

①基于接口數(shù)據(jù)異常的SOTIF測(cè)試場(chǎng)景：針對(duì)外部接口數(shù)據(jù)的各類異常，通過(guò)異常激勵(lì)數(shù)據(jù)施加構(gòu)建測(cè)試場(chǎng)景。例如，設(shè)置輸入數(shù)據(jù)取值大于值域上限、取值一段時(shí)間內(nèi)保持不變等。

②基于控制過(guò)程異常的SOTIF測(cè)試場(chǎng)景：針對(duì)軟件控制過(guò)程中的各類異常，通過(guò)異常激勵(lì)數(shù)據(jù)施加或環(huán)境仿真構(gòu)建測(cè)試場(chǎng)景。例如，設(shè)置控制律長(zhǎng)時(shí)間未輸出數(shù)據(jù)、輸出取值大于值域上限等。

③基于交聯(lián)設(shè)備異常的SOTIF 測(cè)試場(chǎng)景：針對(duì)源／目的等交聯(lián)設(shè)備的異常，通過(guò)設(shè)備模擬或仿真等方式構(gòu)建測(cè)試場(chǎng)景。例如，設(shè)置傳感器下電故障、數(shù)據(jù)庫(kù)容量已存滿、執(zhí)行機(jī)構(gòu)卡滯等。

④基于余度表決異常的SOTIF測(cè)試場(chǎng)景：針對(duì)余度表決異常，通過(guò)余度模擬或者仿真等方式構(gòu)建測(cè)試場(chǎng)景。例如，設(shè)置余度來(lái)源設(shè)備處于下電狀態(tài)、余度間的數(shù)據(jù)取值之差大于規(guī)定閾值等。

⑤基于狀態(tài)切換異常的SOTIF測(cè)試場(chǎng)景：針對(duì)軟件工作狀態(tài)之間的切換異常，通過(guò)異常激勵(lì)數(shù)據(jù)施加或仿真等方式構(gòu)建測(cè)試場(chǎng)景。例如，設(shè)置狀態(tài)切換超時(shí)、同時(shí)進(jìn)入兩個(gè)工作狀態(tài)等。

4.2 場(chǎng)景驅(qū)動(dòng)的軟件SOTIF測(cè)試用例設(shè)計(jì)

在所構(gòu)建的SOTIF測(cè)試場(chǎng)景基礎(chǔ)上，建立異?？刂菩袨樵?、SOTIF要求與用例輸入，以及預(yù)期輸出之間的關(guān)聯(lián)關(guān)系，設(shè)計(jì)SOTIF測(cè)試用例。

①確定用例輸入數(shù)據(jù)：依據(jù)異常控制行為原因，明確相應(yīng)接口數(shù)據(jù)的取值規(guī)則，以選取確定數(shù)值或者等價(jià)類數(shù)值作為SOTIF測(cè)試用例輸入數(shù)據(jù)。

②確定用例約束條件：依據(jù)異?？刂菩袨樵?，選取相應(yīng)功能執(zhí)行邏輯、運(yùn)行場(chǎng)景或外部環(huán)境等，作為SOTIF測(cè)試用例執(zhí)行的約束條件。

③確定用例預(yù)期輸出與通過(guò)準(zhǔn)則：依據(jù)機(jī)載軟件SOTIF要求和異常控制行為，明確相應(yīng)輸出數(shù)據(jù)的取值規(guī)則以確定測(cè)試用例的預(yù)期輸出，即軟件異?？刂菩袨椴话l(fā)生或者得到有效控制。一般來(lái)說(shuō)，用例執(zhí)行通過(guò)準(zhǔn)則應(yīng)與預(yù)期輸出完全一致。但若危險(xiǎn)等級(jí)較低，則通過(guò)準(zhǔn)則也可適當(dāng)放寬。

④確定SOTIF測(cè)試用例格式：依據(jù)外部接口控制文件（ICD），確定輸入接口數(shù)據(jù)的通信格式。進(jìn)而依據(jù)接口通信格式和相應(yīng)的數(shù)據(jù)取值內(nèi)容，拼裝成可執(zhí)行的軟件SOTIF測(cè)試用例。

5 典型應(yīng)用

本文針對(duì)機(jī)輪轉(zhuǎn)彎控制軟件，開展SOTIF 分析應(yīng)用，驗(yàn)證本文研究成果的可行性與有效性。

（1）機(jī)載軟件SOTIF建模。

首先，依據(jù)軟件需求，建立機(jī)載軟件的系統(tǒng)控制視圖模型，如圖5 所示。

圖5 系統(tǒng)控制視圖模型實(shí)例

依據(jù)上述系統(tǒng)控制結(jié)構(gòu)模型，對(duì)轉(zhuǎn)彎控制軟件的相關(guān)需求描述如下。

①控制器：機(jī)輪轉(zhuǎn)彎控制系統(tǒng)。

②執(zhí)行機(jī)構(gòu)：機(jī)輪裝置。

③源設(shè)備：機(jī)輪角度傳感器。

④控制過(guò)程中的外部輸入輸出數(shù)據(jù)（包含控制反饋信號(hào)），外部輸入輸出數(shù)據(jù)列表如表2 所示。

表2 外部輸入輸出數(shù)據(jù)列表

⑤控制過(guò)程：軟件依據(jù)上位機(jī)傳輸?shù)妮斎霐?shù)據(jù)“目標(biāo)角度”（由人員設(shè)置）和機(jī)輪裝置反饋的輸入數(shù)據(jù)“機(jī)輪角度”（來(lái)自于傳感器）進(jìn)行實(shí)時(shí)閉環(huán)控制解算，輸出“轉(zhuǎn)彎控制指令”至機(jī)輪裝置，驅(qū)動(dòng)機(jī)輪裝置運(yùn)動(dòng)到“目標(biāo)角度”。同時(shí)，輸出“顯示角度”至上位機(jī)顯示。

（2）機(jī)載軟件系統(tǒng)危險(xiǎn)分析。

依據(jù)系統(tǒng)控制視圖模型，機(jī)載軟件系統(tǒng)的功能危險(xiǎn)分析如下。

①H-1：機(jī)輪轉(zhuǎn)彎速度過(guò)快，導(dǎo)致飛機(jī)側(cè)翻。

②H-2：機(jī)輪到達(dá)指定角度位置的時(shí)間過(guò)久，導(dǎo)致飛機(jī)沖出跑道

針對(duì)識(shí)別的系統(tǒng)危險(xiǎn)，參考STAMP 模型理論，確定相關(guān)的安全約束條件如下。

①SC-1：軟件必須控制機(jī)輪轉(zhuǎn)彎速度小于2°／s（對(duì)應(yīng)危險(xiǎn)H-1）。

②SC-2：軟件必須在規(guī)定的時(shí)間內(nèi)（50 s），控制機(jī)輪轉(zhuǎn)動(dòng)到規(guī)定位置（對(duì)應(yīng)危險(xiǎn)H-2）。

依據(jù)上述系統(tǒng)控制視圖模型，對(duì)安全約束條件進(jìn)一步細(xì)化如下。

①SC-11：軟件必須控制機(jī)輪轉(zhuǎn)彎速度小于2°／s（對(duì)應(yīng)危險(xiǎn)H-1），即機(jī)輪裝置反饋的“機(jī)輪角度”取值變化率應(yīng)小于2°／s。

②SC-22：軟件必須在規(guī)定的時(shí)間內(nèi)（50 s），控制機(jī)輪轉(zhuǎn)動(dòng)到規(guī)定位置（對(duì)應(yīng)危險(xiǎn)H-2），即機(jī)輪裝置反饋的“機(jī)輪角度”取值應(yīng)與“目標(biāo)角度”相一致。

（3）異常控制行為識(shí)別。

依據(jù)3.2 節(jié)中列舉的基于故障樹的異?？刂菩袨樽R(shí)別方法，對(duì)兩個(gè)安全約束條件進(jìn)行分析，識(shí)別導(dǎo)致危險(xiǎn)的可能異常控制行為如下。

①針對(duì)安全約束條件SC-1（軟件必須控制機(jī)輪轉(zhuǎn)彎速度小于2°／s），識(shí)別的異常控制行為如表3 所示。

表3 SC-1 的異常控制行為識(shí)別

②針對(duì)安全約束條件SC-2（軟件必須在規(guī)定的50 s時(shí)間內(nèi)，控制機(jī)輪轉(zhuǎn)動(dòng)到規(guī)定位置），識(shí)別的異?？刂菩袨閁CA如表4 所示。

表4 SC-2 的異?？刂菩袨樽R(shí)別

（4）異?？刂菩袨樵蚍治?。

依據(jù)3.3 節(jié)中的基于影響因素的異?？刂菩袨樵蚍治龇椒?，對(duì)上述異常控制行為的原因分析如下。

①針對(duì)異?？刂菩袨閁CA.1.1，識(shí)別原因如表5所示。

表5 UCA.1.1 的原因分析

②針對(duì)異常控制行為UCA.1.2，識(shí)別原因如表6所示。

表6 UCA.1.2 的原因分析

③針對(duì)異常控制行為UCA.2.1，識(shí)別原因如表7所示。

表7 UCA.2.1 的原因分析

④針對(duì)異?？刂菩袨閁CA.2.2，識(shí)別原因如表8所示。

表8 UCA.2.2 的原因分析

6 結(jié)束語(yǔ)

本文參考ISO 21448 標(biāo)準(zhǔn)中的SOTIF實(shí)施框架和汽車領(lǐng)域工程經(jīng)驗(yàn)，借助功能危險(xiǎn)分析、故障樹模型、STAMP模型、場(chǎng)景驅(qū)動(dòng)等理論方法，針對(duì)機(jī)載軟件運(yùn)行特征構(gòu)建SOTIF分析驗(yàn)證工作的實(shí)施過(guò)程，包括機(jī)載軟件SOTIF 建模、系統(tǒng)功能危險(xiǎn)分析、基于危險(xiǎn)分析的系統(tǒng)風(fēng)險(xiǎn)評(píng)估、復(fù)雜場(chǎng)景下的機(jī)載軟件SOTIF 影響因素識(shí)別、基于故障樹的軟件異?？刂菩袨樽R(shí)別、基于影響因素的異?？刂菩袨樵蚍治觥C(jī)載軟件SOTIF測(cè)試場(chǎng)景構(gòu)建、場(chǎng)景驅(qū)動(dòng)的機(jī)載軟件SOTIF 測(cè)試用例設(shè)計(jì)等內(nèi)容。

上述研究成果及其初步工程應(yīng)用結(jié)果表明，面向機(jī)載軟件的SOTIF分析驗(yàn)證過(guò)程及方法可以推進(jìn)SOTIF技術(shù)在機(jī)載軟件研制過(guò)程中的推廣與應(yīng)用，形成符合標(biāo)準(zhǔn)要求、適用于復(fù)雜系統(tǒng)的機(jī)載軟件SOTIF 分析驗(yàn)證能力，避免FMEA、FTA等安全性分析技術(shù)多關(guān)注非法數(shù)據(jù)、通信中斷等單點(diǎn)失效的不足，支撐研制人員充分識(shí)別機(jī)載軟件運(yùn)行過(guò)程中的軟硬耦合沖突、人機(jī)交互異常、場(chǎng)景切換異常等復(fù)雜失效模式。同時(shí)，支持測(cè)試人員面向構(gòu)建機(jī)載軟件的SOTIF 測(cè)試場(chǎng)景，實(shí)現(xiàn)對(duì)軟硬耦合、控制過(guò)程、外部激勵(lì)、人機(jī)交互、狀態(tài)切換等復(fù)雜場(chǎng)景的有效模擬或仿真，提升軟件測(cè)試效率和質(zhì)量，最終確保機(jī)載軟件能夠滿足高安全、高可靠的研制要求。

需要說(shuō)明的是，本文主要目標(biāo)是建立SOTIF 在機(jī)載軟件研制中的完整實(shí)施過(guò)程，為后續(xù)的相關(guān)技術(shù)研究與工程應(yīng)用提供參考。但限于篇幅，本文重點(diǎn)給出可能的技術(shù)方案和初步的工程示例，還需在未來(lái)工作中進(jìn)行更加深入的技術(shù)研究與工程應(yīng)用。