短時間內波音737MAX復飛無望了。

近日，美國聯邦航空管理局新局長斯蒂芬·迪克森在宣誓就職時表示，暫時沒有737MAX復飛的計劃，并重申安全是第一要務。美國航空公司也于最近宣布延長波音737MAX機型的停飛時間，停飛時間將延長至12月3日。

眾所周知，去年10月和今年3月，印尼獅航和埃塞航空先后發(fā)生波音737MAX客機失事事件，該機型隨即在全球范圍內遭到停飛或禁飛。后調查發(fā)現，兩起空難皆與客機的自動防失速軟件（MCAS系統，即機動特性增強系統，以下簡稱MCAS）被錯誤激活有關。

隨著自動化程度不斷加強，越來越多類似MCAS這樣的飛控軟件“登”上飛機，那么它們是如何被研制出來的？又如何確保其絕對安全？

標準充當安全研發(fā)指揮棒

作為一種自動安全軟件，MCAS的設計原理其實并不復雜。簡言之，它是通過對飛機迎角傳感器信號的判斷來驅動飛機控制系統。其可自動將飛機機頭向下推，以防止升力損失，從而實現飛機自動安全保護。

“該自動軟件只在飛機襟翼收上、處在手動飛行狀態(tài)時才生效，由飛行控制計算機根據迎角傳感器和其他飛機系統輸入的信號來控制，無需飛行員下達指令?！北本├砉ご髮W軟件安全工程技術北京市重點實驗室專家閆懷志在接受科技日報記者采訪時表示，“這埋下了兩大安全隱患：迎角傳感器系統若發(fā)生故障，那么輸入MCAS的信號就可能存在錯誤；飛機的最高操控權不在飛行員手中，軟件安全執(zhí)行缺少最后一道防線。”

閆懷志指出，在設計MCAS過程中，工作人員利用海量的飛行數據并對其進行智能分析處理，以形成自動安全算法。在自動化程度越來越高的民航領域中，類似MCAS這樣的機載軟件安全性對航空器的重要程度也越來越高。然而，由于機載軟件的特殊性，無法像飛機其他部件的結構、強度等那樣進行檢查和測試，更無法像一般軟件那樣進行窮舉測試，因此機載軟件的安全性通常需要依靠嚴格、規(guī)范、標準的軟件研發(fā)流程來保證。只有這樣，軟件才能通過旨在保證飛行絕對安全的民用航空器的適航審定。

目前，國際上機載軟件適航審定主要依據美國航空無線電技術委員會（RTCA）DO-178《機載系統合格審定過程中的軟件考慮》系列標準。該標準被美國聯邦航空局、歐洲航空安全局和中國民用航空局等民航管理部門廣泛采用。

該標準在軟件工具驗證、基于模型的開發(fā)和驗證、面向對象編程、形式化方法等諸多方面提出了嚴格的規(guī)范操作指南，從而使機載軟件在過程、數據、目標3方面滿足嚴苛的適航要求。機載軟件的開發(fā)、運行、驗證以及迭代升級均需以該系列指南為基本遵循，以最大程度保證機載軟件的安全性和可靠性。

取得飛行資質才能“上崗”

標準發(fā)揮了指揮棒的作用，那么在實踐中，飛控軟件又是怎樣被煉成的？

北京航空航天大學無人系統研究院副教授李大偉告訴科技日報記者，首先應明確要研制的飛控軟件的具體需求，制定研制總要求并進行方案設計，例如研制哪些模塊、實現哪些功能等。隨后再經過詳細設計，將飛控軟件“精雕細琢”出來。

“飛控軟件在投入使用前，要經過大量的仿真試驗，驗證其安全性和可靠性?！崩畲髠ケ硎?，仿真試驗通常分為設計仿真、全數字仿真、半物理仿真這3個階段。

設計仿真通常是在“矩陣實驗室”（MATLAB）平臺或設計人員內部搭建的平臺上進行的，如驗證對飛行控制系統形成控制指令的算法設計得是否合理等。全數字仿真旨在驗證飛控軟件的實際功能，讓飛控代碼在飛控計算機上“跑”幾圈，看軟件能否順利完成計算機所下達的指令。不同于全數字仿真中全虛擬的物理空間，在半物理仿真階段，工作人員則將一些飛機部件的實物納入進來，如舵機、傳感器等，從而更好地反映出這些真實部件在飛行過程中可能出現的指令延遲等現象，根據反饋去調整飛控軟件。

“仿真試驗會模擬實際飛行中可能遇到的多種狀況，如暴風、雷雨等惡劣天氣以及傳感器等電子器件故障等，以確保飛控軟件的可靠性達到設計要求?！崩畲髠フf。

仿真試驗通過后，飛控軟件將走出實驗室，走向應用測試階段。聯合調控是飛控軟件首先接受的檢驗，飛機上裝有很多軟件，測控、導航、動力系統等，飛控軟件必須與這些“小伙伴”友好相處。此外，飛控系統還兼有飛機“大腦”的功能，負責各個系統之間的數據傳輸、指令配合和系統檢測等工作。

緊接著，包括飛控軟件在內的所有機載軟件將迎來一次“大考”——地面聯調。飛機雖不會起飛，但會全程通電，以測試機載軟件功能和性能。工作人員則會在此期間不斷發(fā)現并改善缺陷，直至滿足設計要求?！暗孛媛撜{往往耗時很長，短則幾個月，多則半年甚至更長?！崩畲髠フf。

聯調通過后，還要經過全機首飛、科研試飛、鑒定試飛、交付試飛等一系列既定試飛流程，最后獲得相關部門頒發(fā)的飛行資質，飛控軟件才算有了“上崗資格”。

嚴格、繁瑣的研發(fā)、測試、應用流程為飛控軟件上了一層又一層“保險”，但鑒于飛控軟件一旦出現錯漏，就有可能導致乘客生命安全受到威脅，研究設計人員還會通過余度設計等方式保證其絕對安全。

“與其他普通的工業(yè)軟件不同，飛機飛控核心模塊往往會有備份系統，也會設計多個傳感器同時測量同一數據，因此即便在實際飛行中出現錯漏，也會有替補來‘撥亂反正’。”李大偉說。

信息功能安全融合帶來挑戰(zhàn)

然而，即使再縝密的測控流程，也只能將風險控制在無限接近于零，而非真正的零，否則也就不會有波音的兩次空難了。“事實上，由軟件引發(fā)的災難性事故屢見不鮮?！遍Z懷志說。

1996年，阿麗亞娜5型運載火箭因軟件缺陷導致火箭偏軌，不得不“自我摧毀”；2000年，巴拿馬引進美國治療規(guī)劃軟件，由于其輻射劑量預設值有誤，導致多名癌癥患者接受超標劑量輻射致死；2011年，溫州動車事故，因信號設備雷擊故障導致動車相撞，軟件設計缺陷難辭其咎。

這些安全問題，都屬于傳統的功能安全問題?！半S著工業(yè)化和信息化的深度融合，物理空間和信息空間不斷相互滲透和融合，信息物理系統大量出現，使得因軟件缺陷而導致的系統安全問題層出不窮，呈愈演愈烈之勢?！遍Z懷志指出，軟件因素導致的安全性問題進一步體現為信息安全和功能安全二者的融合，給信息系統的安全防范工作增加了很大難度。

如何規(guī)避軟件故障帶來的安全風險？

在閆懷志看來，應從技術和管理相結合的系統整體安全角度來考慮問題。首先是形成整體安全觀，充分考慮物理安全、功能安全、信息安全及其融合問題。其次，應將軟件安全作為系統需求分析、設計、實現、運維范疇的重要考慮因素，同時盡可能避免軟硬件之間的故障傳播引發(fā)級聯事故。再者，應從系統體系結構、算法等方面，采取容錯、容侵、容災等預防及補救措施，同時還應充分重視并發(fā)揮人在“人—機—環(huán)境”閉合反饋循環(huán)鏈條中的主觀能動性。

“同時，相關工作人員還應練好‘內功’，即提升相關軟件的自身信息安全性和功能安全性；同時，做好外部連接通道的安全監(jiān)控工作，防備互聯網‘黑手’伸向飛機、汽車、鐵路等大型工業(yè)應用系統?！遍Z懷志說。