设计出符合安全认证的刹车系统

mini

安全着陆

Esterel解决方案帮助克瑞航空电子集团

设计出符合安全认证的刹车系统

作者：Gregory Mooney，美国伯班克市克瑞航空电子集团着陆系统业务部系统软件工程负责人

克瑞航空电子集团 ( C r a n eAerospace & Electronics)的任务关键型产品可确保数百万飞机乘客的安全。该公司必须满足政府所制定的严格的安全法规，确保这些产品（本文中指刹车系统）在各种现实条件下都能够按照预期工作。
克瑞公司在1947年率先研发出用于B-47机型的Hydro-Aire Hytrol Mark I防滑系统，成为防滑刹车领域的先驱。自此，克瑞公司就致力于为私营和国营部门的飞机客户提供各种刹车控制系统以及众多其他产品，具体包括电源、机舱、流体管理和感应系统。该公司的指导原则是超越客户的需求，这也是克瑞工程团队非常重视的一大职责。
克瑞是飞机刹车控制系统的行业领先者，占有65%的商用市场和80%的西方军用市场份额。如今在全世界范围内，该公司有25,000多套系统正在“服役”。这些刹车系统至关重要，能够在飞机正常着陆以及充满挑战的中断起飞过程中确保乘客的安全。(参见侧边栏)克瑞公司设计和制造的刹车控制系统包含多个机械和液压部件，例如控制、切断和停车制动阀，以及轮转速和踏板位置传感器。然而，克瑞的电子控制设备中最复杂的组件是肉眼看不见的，即数千行嵌入式软件代码，它们可用于在飞机着陆时确保高效可靠的刹车控制。
为确保可靠的软件性能，美国联邦航空管理局(FAA)在联邦航空法规中起草了一系列指南，要求证明软件“在任何可预测的条件下都能执行预期功能。”为遵守这些法规，即表明系统满足其安全性目标，产品需要符合 RTCA/-DO-178B《机载系统和设备合格审定中的软件考虑》（Software Considerationsin Airborne Systems and EquipmentCertification)标准。该标准通过定义一系列研发、确认、需求管理和质量保障任务来严格规范软件研发过程，旨在确保软件的安全性。
从本质上说，DO-178B要求研发人员测试并验证控制软件在多种不同工作条件下的性能，这是一项具有挑战性的工程任务。从2010年开始，克瑞航空就依靠Esterel（现在是ANSYS公司的一部分）的SCADE Suite软件，协助研发能够满足严格的FAA刹车控制系统认证过程的软件。

刹车控制：前所未有的复杂性和挑战
自从克瑞公司通过首款Hydro-Aire防滑刹车系统彻底改变航空航天行业以来，刹车控制系统就变得越来越复杂。轮转速传感器可以测量高分辨率轮转速，以便在运行过程中调制和控制刹车压力。如今，刹车控制装置必须能动态适应潮湿、干燥或冰面等各种跑道表面。例如，多数大型商用飞机都配有以电子方式实施制动的线控制动系统，该技术是由克瑞公司于1973年率先在美国航天飞机(U.S. Space Shuttle)项目中推出的。随后，克瑞公司又在20世纪80年代初期推出了首款微处理器防滑系统，该系统采用复杂的控制算法实现自动刹车，并能够达到超过90%的防滑性能。与克瑞公司的众多创新技术一样，这些系统已成为业界标准。
如今，虽然刹车系统的基础力学没有改变，但刹车控制系统却在不断演变，因为控制软件、电控致动器、高速数字通信接口与其他机载系统（以及人）正以惊人的复杂程度进行融合。例如，当发生电气短路或其他意外事件时，软件不仅要确保持续的刹车性能，还要就此问题向航天飞行人员发出警报，并向维修人员发送自动警报，以便飞机着陆时就能及时解决问题。显然，底层代码至关重要，因为刹车失灵会导致灾难性后果。
这种全新的复杂性为软件研发人员带来了超乎寻常的挑战，研发人员必须测试刹车控制软件的每个输入以及各种运行事件。这就导致了他们需要执行极为严格且广泛的测试与验证任务，甚至在克瑞公司的客户处于非常紧迫的研发进程时也是如此。
2010年之前，该公司的软件工程师通过耗时、耗人力且具有明显缺陷的过程，设法实现了DO-178B的要求。由于该过程的手动特性，功能的细微之处被隐藏在底层代码中。客户需求和系统更新的影响并不完全可见，因此在充分研发并实施软件之前，克瑞的工程团队无法对这些影响进行彻底验证。
当软件在克瑞公司内部测试设施或客户模拟真实飞机配置的实验室中运行时，经常会有意想不到的问题发生，这就意味着克瑞的工程师不得不从头开始，重新编写代码。特别是在已经投入了数百小时研发时间的软件研发后期阶段，出现这种问题会产生高昂的成本并且浪费时间。
由此产生的高成本、大量返工以及项目进度问题会对公司的客户满意度造成负面影响。此外，克瑞的工程团队在每个阶段都要汇编大量文档，以满足FAA的要求。克瑞公司意识到，要想加速并优化软件研发过程，而且不影响最终产品的完整性或规范性，就需要找到先进的技术解决方案，从而在更早的阶段进行建模并预测这些智能系统的实际性能。

SCADE将刹车加入到手动工作中
克瑞公司在选择SCADE Suite之前评估了许多基于模型的研发环境。该公司之所以选择SCADE，是因为它是一款专门为此而设计的软件研发工具，能够充分满足航空航天领域具有最高安全级别的、DO-178B中的A级标准。此外，在安装和运行SCADE解决方案的过程中，工程师对于Esterel所提供的支持也感到很满意。

刹车系统
自2010年开始使用SCADE Suite以来，克瑞航空在其任务关键型软件的研发、验证与确认过程中实现了显著的成本、速度和效率优势。从代码研发的最早阶段开始，SCADE工具让软件工程师能够进行仿真并信心十足地预测实际结果，消除了后期阶段的意外问题和返工。SCADE Suite实现了代码生成过程的自动化，并且无需试验标靶，就能够针对数千种输入对嵌入式软件代码进行测试。这样显著减少了代码生成以及软件研发、验证和确认任务中的手动工作。
在软件仿真过程中，SCADE Suite让工程团队能够通过数千种输入和事件对设计进行测试，以确保软件在安装到真正的飞机上之后能完全按照预期运行。
SCADE允许客户（例如克瑞公司）构建定制库，可包含通用运算符、主要和辅助刹车功能以及系统接口。这些可以重复使用的库有助于加速软件研发。此外，SCADE Suite能自动生成许多过程文档，这样客户无需像以前那样花费很多时间就能满足政府在记录保存方面的严苛要求。

超越代码验证
尽管有很多方法可以检验软件是否能严格按照客户的要求运行，但克瑞的工程师则利用SCADE将逻辑和控制进一步延伸，即验证软件要求是否合理并且是否能保障乘客的安全。仿真使系统行为可见，因此SCADE能够让工程师根据初始要求标记异常并确定问题。如果不提早检测并解决问题，初始软件要求中的疏忽就会导致后期阶段出现问题，使项目延期并增加成本。

在过程中进行的故障检测子系统仿真
自从克瑞航空安装SCADE之后，该解决方案已经分别在初始系统要求和相应软件要求中找出了150多个错误和180多个缺陷。这些错误（有大有小）都在早期验证中，即在实际系统制造出来之前，被找到并根除。实施SCADE解决方案之前，这些缺陷可能在手动软件研发进程中才会被发现，会相应给克瑞的软件工程师带来繁重的返工工作量。
如今，当检测到错误时，SCADESuite中的假设情境就会使软件工程师快速看到任何设计变更对于系统可靠性与刹车性能的最终影响。他们可以快速识别基础要求中的问题，并相应地调整软件模型。

可视模型具有显著优势
SCADE Suite中的许多特性使工程师可以很容易地将缺陷和其他问题报告给航空航天客户。SCADE使克瑞的软件工程师能够生成易于理解的图形模型和报告，以直观的方式揭示软件代码的内部工作情况，让包括克瑞的客户在内的所有流程参与者都能快速理解。在仿真过程中，用户可查看实时软件性能值，并轻松了解模型变更的即时影响。
SCADE Suite将难以理解的软件代码行转化成即使非SCADE用户也能明白的直观图形，使软件逻辑（以及任何断开问题）一目了然。当克瑞的工程团队在软件研发、确认和确认过程中与客户交流时，与最初使用的耗时且费力的过程相比，这种新解决方案有助于提升客户满意度。

客户满意度提升
如今飞机生产商面临巨大压力，克瑞集团借助SCADE Suite提供更快捷、高度准确的软件研发功能，帮助其客户满足严格的预算和时间进度要求。采用SCADE之后不久，克瑞公司在两周时间内就成功用软件简单直观的库和图形模型完成了新型控制系统的小规模客户演示。
如今，克瑞公司能在更短的研发周期内满足客户要求以及FAA的DO-178B指南中的严格要求。工程师不仅更快、更高效地完成日常工程工作，并且能更早地能发现错误。
此外，SCADE软件还使克瑞公司能够更敏捷、快速地适应刹车控制系统的最新发展，例如改进的微处理器，提供更具鲁棒性和更先进的故障检测软件。

SCADE Suite让克瑞航空能够帮助客户满足严格的预算和进度要求
凭借SCADE Suite的功能，克瑞公司在对软件代码如何转变成为更大型飞机系统的一部分进行仿真时，能够轻松集成任何最新的刹车控制创新技术。在某些情况下，在铁鸟（为复制飞机而专门制造的一种尺寸精确的结构）测试过程中，克瑞的客户会利用SCADE的系统级模型和假设仿真来研究如何加强整个刹车系统原型。客户在铁鸟环境中不仅可找出“意外的”软件性能变化，而且还能找到关于整个刹车控制环境的全新系统级见解。在SCADE软件的大力支持下，克瑞公司能为客户提供业界领先、具有前瞻性的刹车系统技术，他们可以赖以生存的按时交付能力和高产品质量。

中断起飞：一项特殊的工程挑战
中断起飞给刹车控制系统提出了特殊的挑战。在中断起飞(RTO)期间，飞机速度更快、重量更大，因此动能比正常着陆时要大得多。此外在飞行员不得已做出这个艰难的决定时，飞机往往已经滑过了很长一段跑道。大部分情况下正常着陆只使用飞机的20%至30%的刹车能力，而在中断起飞过程中则需要100%的刹车能力来保证安全停止，因此控制软件必须确保近乎完美的性能。由于飞行员通常要将精力集中在导致中断起飞的条件上，为此，克瑞刹车控制系统提供的自动刹车功能可用于在中断起飞期间施加全部刹车力。正因为中断起飞的挑战如此之大，克瑞的软件工程师才会在SCADE仿真**别注意这个要求严苛的事件。