2019 年 6 月
第 34 卷,第 6 期
此文章由机器翻译。
[编者寄语]
流程失败
通过Michael Desmond |2019 年 6 月
.jpg "Michael Desmond")
上个月我编写了有关 Boeing 的 737 最大登机和自动 Maneuvering 特征扩大系统 (MCAS) 引发这两个事件的孪生崩溃。的调查,然后向使用 MCAS,重复在飞行员仍然在努力地诊断问题如飞机鼻子下令低海拔高度处进行向下重大缺陷的点。("故障,航班" msdn.com/magazine/mt833436)。
有关 MCAS 和其行为在 737 最大保持严重问题。例如,MCAS 已可以使用命令 2.5 程度的背面稳定器,每个增量出行尚未提交到 FAA 的文档介绍了只是 0.6 度的值。同样,MCAS 旨在激活基于从各个角度的攻击 (AoA) 传感器上的平面 fuselage 装载的数据。但是,任何系统视为潜在威胁到受控航班必须激活基于多个传感器。
什么具有关于是与飞机系统的软件集成严格管理下如执行-178B/执行-178 C (中的"软件注意事项空气系统和设备证书") 和 ARP 4754 ("指导原则进行开发的指导原则民事飞机和系统")。同时会施加严格的文档并查看在制造商侧重于安全性的要求。执行 178 重点关注软件开发规划、 开发、 验证、 配置管理和质量保证。ARP 4754 是解决软件和硬件系统和子系统的集成系统级别过程。
我说与长期航空工程师。他说的分层的级别的文档,测试,查看并执行 178 和 ARP 4754 中定义的验证应确保像 MCAS 实现以一种风险降至最低的子系统。
"它的所有阶段和入口,"他都说的过程。"有检查和平衡向前和向后。如果某个测试失败,我们可以返回行,请参阅哪些需求已和查看是否不编写代码或格式不设计测试用例。它是一个非常说明性、 有序过程时执行此操作。"
ARP 4754 通知 178 进程来确定围绕等 MCAS 飞机系统软件开发所需的严格程度。ARP 4754 下执行的故障风险分析使工程师能够定义故障率和飞机系统的风险因素。此数据然后用于计算在执行 178 MCAS 等系统开发保障级别 (DAL)。五个点规模 — 从灾难性影响到无效果 — 确定在系统发生在飞行,因此所需的驱动该系统的代码中的可靠性级别影响的严重级别。
因此内容之间的后端稳定器有案可稽和实际增量差异?可能是测试字段显示 MCAS 所需权限的权限。但是,更改这些规格应具有启动另一轮评估和测试,以确认 MCAS 行为和失败期间动态、 状态和强制要求冗余传感器输入,以防止意外激活。
从 737 MAX 空难中得出的教训之一是,只有当执行流程的人员和机构同样优秀时,流程才是卓越的。一旦被破坏,它可能会导致危险的结果。
Michael Desmond是的主编MSDN 杂志 》。