摘要:太空飛行器中的嵌入式軟體承擔著計算、控制、通信等重要功能。軟體產品的質量對於太空飛行器飛行任務的圓滿完成至關重要,這就要求在太空飛行器軟體工程化過程中實施風險管理,確保軟體產品質量受控。回顧交會對接任務階段載人太空飛行器系統將風險管理與軟體工程化進行系統融合的有益實踐,總結目前載人太空飛行器軟體系統研製工作的風險點以及控制情況;針對識別出的軟體全生命周期的風險點或薄弱環節,提出切合實際和有效的控制措施與方法,以及後續需要進一步持續改進的思路。該方法將風險管理與軟體工程化和產品保證進行融合,可為太空飛行器軟體項目風險管理、切實提升各環節風險管控的實際效果提供參考。
關鍵詞:太空飛行器;風險分析與控制;軟體
1載人太空飛行器軟體項目風險管理實踐回顧
不論是執行我國首次交會對接任務的「天宮一號」目標飛行器和「神舟八號」載人飛船,還是未來能夠開展近地空間組裝建造和運營、支持長期載人飛行、具備在軌開展空間技術試驗的空間站,載人太空飛行器軟體都具有技術難度大、研製周期長等特點。針對以上特點,在交會對接任務階段,載人太空飛行器系統注重切合工程實際,運用風險分析與控制方法,致力於軟體工程化的精細度和實際效果的提升,進而更有效地規避或降低軟體(含FPGA等可編程器件代碼,下同)研製中的技術、質量和進度風險,保證產品質量滿足要求。載人太空飛行器軟體研製的風險管理依據《風險管理原則與實施指南》(GB/T24353—2009)和《裝備研製風險分析》(GJB5852—2006)等標準和上級要求,與型號系統風險管理工作同步開展。風險分析與控制對策制定的風險控制關鍵節點包括:初樣階段初期、初樣轉正樣、執行飛行任務前。
1.1初樣階段初期風險分析與控制對策
初樣階段初期,軟體工程化研製並行於型號研製,基於太空飛行器飛行任務要求、軟體產品成熟度以及現有的軟體工程化技術和管理能力,太空飛行器系統應針對軟體全生命周期中內部和外部兩個方面進行全面的風險識別與分析。
1.2初樣轉正樣風險分析與控制對策
應在型號正樣階段進行風險再識別、再分析,此時的風險分析工作應在初樣階段軟體驗收和軟體系統研製總結的基礎上,對正樣研製階段系統和分系統疊代設計過程帶來的新增或完善性軟體需求進行綜合分析,總結初樣階段軟體工程化實施過程的不足和研製短線,制定風險控制措施。
1.3飛行任務前風險分析與控制對策
飛行任務前的風險分析工作應綜合正樣階段型號軟體產品的需求驗證和確認情況、系統級的綜合測試(或者專項測試)情況、第三方軟體評測情況、系統級軟體驗收和軟體落焊情況進行分析,著重對技術難度高、飛行環境作用複雜和地面驗證有局限性等可能帶來的風險進行識別。
2型號項目風險管理基本原則
將風險管理與軟體工程化和產品保證相融合,在軟體系統的全生命周期中進行全面風險分析,及時識別出不同研製階段的風險點或薄弱環節,給出針對性的控制措施與方法,並進一步細化軟體工程化和產品保證要求,切實提升各環節的工作效果。風險管理工作應遵循的基本原則是:(1)以確保軟體產品功能、性能符合任務需求,安全、可靠地完成飛行任務為最終目標。軟體研製風險管理要協調地融入整個型號研製過程中,確保型號研製階段工程技術、質量趨勢、研製計劃安排的實現與型號研製任務的既定目標和要求相一致。(2)強化風險控制過程的系統性、完整性和有效性。即針對軟體研製過程中的各種內外部作用因素識別、分析風險,提出可操作性強的應對措施,將之明確在工程化或產品保證要求中,並對措施執行情況的符合性進行檢查和確認,最終完成風險控制的閉環管理。(3)關注各種軟體產品質量信息(問題歸零、技術狀態更改、待辦事項落實情況等)的收集、獲取和綜合分析,以及參與者之間的充分技術交底工作,注重風險管理工作的持續改進。(4)在技術風險分析中,儘可能運用系統方法(FTA、FMEA、風險評價指數法等),以產生一致、可對比和可靠的結果,提升控制效率。
3軟體風險管理控制措施
3.1精細化軟體研製技術流程和產品保證要求
風險管理所獲成果應充分體現在軟體工程化實施細則中,以統一所有研製人員的思想和步調,精細化編制系統級軟體研製技術流程和產品保證要求,關鍵是要與型號系統工作密切關聯且協調地安排工作項目和流程節點;要充分體現分級、分類和分層的管理理念,涵蓋全面,突出重點。實踐表明,其有效的措施有:(1)分階段對軟體需求成熟度進行「瀑布式」和「非瀑布式」詳細流程及工作項目的分類規定。(2)越是短線環節,越應在流程中分解體現;越是工程化或產品保證薄弱環節,越應細化至具體的、可操作的要求。(3)通過設置針對性的軟體產品保證細化要求或者關鍵質量控制點的方式,降低機率較大風險發生的可能性。
3.2需求完整性和正確性保證
軟體需求的完整性和正確性是決定軟體產品質量的關鍵之一。如何及時確定完整、正確的軟體需求,避免不必要的反覆,也是複雜太空飛行器工程中的難點之一。針對此,本文提出以下措施:(1)堅持運用自頂向下逐級細化分解-自下向上逐級綜合完善的分析與設計方法,適時組織開展系統與分系統、分系統與單機、分系統與分系統間協同-聯合設計,並有計劃地在詳細設計階段安排多次疊代逼近過程。(2)應力求系統、分系統和單機各級功能設計與可靠性、安全性分析與設計的協調與同步。(3)應通過軟硬體聯合設計,實現資源配置和功能分配合理,軟硬體接口設計匹配、可靠。(4)在單機級測試階段,儘可能地模擬與軟體運行場景相對應的軟體測試環境(如數字或半物理仿真),有效驗證軟體需求並加速其疊代獲取過程的逐步收斂。如果經過分析,在單機階段不能完全模擬軟體真實運行場景,可以通過系統及或者專項試驗進行驗證。
3.3可靠性、安全性保證
可靠性、安全性保證是複雜太空飛行器系統工程中的重點,軟體產品除自身的健壯性和安全性保證外,還要實現上級的可靠性、安全性需求,以下要點有助於期望目標的達成:(1)各級FTA、FMEA、危險分析以及應急救生和故障處置對策等可靠性、安全性設計應堅持逐級細化分解、逐級綜合完善和有計劃疊代逼近的方法,以保證軟體系統和產品的安全關鍵或任務關鍵分析有據可依,並及時將相應的保證需求細化。(2)軟體產品自身的健壯性和安全性保證應充分落實軟體可靠性和安全性設計準則的規定或採納指南中的建議,並及時通過常見多發案例的舉一反三及時進行自省、糾正。(3)應對可能滯後的軟體需求實現,在軟體設計階段特別是概要設計階段就應重視運用專業技術方法,以保證良好的可擴展性和易維護性。(4)運用中斷衝突分析、時域-空域資源分析等方法,有助於有效發現嵌入式軟體產品的深層次缺陷,提高健壯性。
3.4測試/試驗驗證保證
強化太空飛行器軟體系統在各級、不同場合的測試和試驗驗證以及第三方評測是保證軟體產品質量滿足要求的主要手段。要進一步提升其效果,應注重以下要點:(1)高度重視需求分析的全面性以及功能、性能分解的細化;高度重視需求規格說明的完整性和無歧義,並向測試者傳遞、溝通到位。(2)測試覆蓋性分析決定著測試/試驗驗證規劃和方案設計的全面性和合理性,決定著驗證環境等保障條件建設是否能夠及時到位。應力求與需求分析同步完成。(3)「飛什麼,測什麼」是保證驗證覆蓋性和有效性的首要原則。對於功能模式多、性能指標要求高的複雜產品,測試/試驗驗證規劃十分重要,須將驗證目標和項目精細分解,分配在各級和不同場合的測試/試驗中;對地面無法或真實模擬測試/試驗驗證的項目,應及早探討其他有效驗證手段。
3.5適時開展針對性強的專項活動
針對具體問題,適時開展風險控制專項活動通常效果顯著,可借鑑採納,如共性案例分析與解決方案培訓、組織專家審查把關技術難點項目、方案總體-技術總體-軟體研製方聯合走查、落焊過程控制、軟體系統與飛行程序/飛控預案協調性覆核等。
4結語
風險管理的根本目標是及早發現問題,防患於未然。載人太空飛行器系統研製過程中實施軟體項目風險管理的實踐證明:風險分析與軟體工程化的系統融合是推進精細軟體工程化、提升軟體產品保證能力的有效方法。因此,在型號項目全過程管理過程中,需要全面分析和識別風險源,提出切實有效的控制措施,並嚴格落實在各研製階段,規避各種隱患。(1)關鍵技術或新產品的攻關進展滯後,是影響型號系統初樣乃至正樣研製進度和質量的主要風險因素之一。要有效規避或降低該類問題帶來的風險,須在方案階段做好風險分析和控制對策(特別是各級管理和保障方面的措施)制定工作,並切實落實到位。(2)軟體工程化和產品保證實施過程中總結的有效、實用的方法仍需通過不斷地總結工程經驗與教訓,並進行提煉、豐富,最終固化成為每一位參研者共享的財富。(3)要更有效地解決需求確定和全面驗證等環節的相關問題,必須依賴技術手段,如建設並推廣使用可支持單機級、分系統級乃至系統功能級方案比較、軟硬體聯合設計、軟體系統更全面測試的快速仿真環境等。
作者:郭娟 韓冬 王陽 趙攀 單位:北京空間技術研製試驗中心
關鍵詞:太空飛行器;風險分析與控制;軟體
1載人太空飛行器軟體項目風險管理實踐回顧
不論是執行我國首次交會對接任務的「天宮一號」目標飛行器和「神舟八號」載人飛船,還是未來能夠開展近地空間組裝建造和運營、支持長期載人飛行、具備在軌開展空間技術試驗的空間站,載人太空飛行器軟體都具有技術難度大、研製周期長等特點。針對以上特點,在交會對接任務階段,載人太空飛行器系統注重切合工程實際,運用風險分析與控制方法,致力於軟體工程化的精細度和實際效果的提升,進而更有效地規避或降低軟體(含FPGA等可編程器件代碼,下同)研製中的技術、質量和進度風險,保證產品質量滿足要求。載人太空飛行器軟體研製的風險管理依據《風險管理原則與實施指南》(GB/T24353—2009)和《裝備研製風險分析》(GJB5852—2006)等標準和上級要求,與型號系統風險管理工作同步開展。風險分析與控制對策制定的風險控制關鍵節點包括:初樣階段初期、初樣轉正樣、執行飛行任務前。
1.1初樣階段初期風險分析與控制對策
初樣階段初期,軟體工程化研製並行於型號研製,基於太空飛行器飛行任務要求、軟體產品成熟度以及現有的軟體工程化技術和管理能力,太空飛行器系統應針對軟體全生命周期中內部和外部兩個方面進行全面的風險識別與分析。
1.2初樣轉正樣風險分析與控制對策
應在型號正樣階段進行風險再識別、再分析,此時的風險分析工作應在初樣階段軟體驗收和軟體系統研製總結的基礎上,對正樣研製階段系統和分系統疊代設計過程帶來的新增或完善性軟體需求進行綜合分析,總結初樣階段軟體工程化實施過程的不足和研製短線,制定風險控制措施。
1.3飛行任務前風險分析與控制對策
飛行任務前的風險分析工作應綜合正樣階段型號軟體產品的需求驗證和確認情況、系統級的綜合測試(或者專項測試)情況、第三方軟體評測情況、系統級軟體驗收和軟體落焊情況進行分析,著重對技術難度高、飛行環境作用複雜和地面驗證有局限性等可能帶來的風險進行識別。
2型號項目風險管理基本原則
將風險管理與軟體工程化和產品保證相融合,在軟體系統的全生命周期中進行全面風險分析,及時識別出不同研製階段的風險點或薄弱環節,給出針對性的控制措施與方法,並進一步細化軟體工程化和產品保證要求,切實提升各環節的工作效果。風險管理工作應遵循的基本原則是:(1)以確保軟體產品功能、性能符合任務需求,安全、可靠地完成飛行任務為最終目標。軟體研製風險管理要協調地融入整個型號研製過程中,確保型號研製階段工程技術、質量趨勢、研製計劃安排的實現與型號研製任務的既定目標和要求相一致。(2)強化風險控制過程的系統性、完整性和有效性。即針對軟體研製過程中的各種內外部作用因素識別、分析風險,提出可操作性強的應對措施,將之明確在工程化或產品保證要求中,並對措施執行情況的符合性進行檢查和確認,最終完成風險控制的閉環管理。(3)關注各種軟體產品質量信息(問題歸零、技術狀態更改、待辦事項落實情況等)的收集、獲取和綜合分析,以及參與者之間的充分技術交底工作,注重風險管理工作的持續改進。(4)在技術風險分析中,儘可能運用系統方法(FTA、FMEA、風險評價指數法等),以產生一致、可對比和可靠的結果,提升控制效率。
3軟體風險管理控制措施
3.1精細化軟體研製技術流程和產品保證要求
風險管理所獲成果應充分體現在軟體工程化實施細則中,以統一所有研製人員的思想和步調,精細化編制系統級軟體研製技術流程和產品保證要求,關鍵是要與型號系統工作密切關聯且協調地安排工作項目和流程節點;要充分體現分級、分類和分層的管理理念,涵蓋全面,突出重點。實踐表明,其有效的措施有:(1)分階段對軟體需求成熟度進行「瀑布式」和「非瀑布式」詳細流程及工作項目的分類規定。(2)越是短線環節,越應在流程中分解體現;越是工程化或產品保證薄弱環節,越應細化至具體的、可操作的要求。(3)通過設置針對性的軟體產品保證細化要求或者關鍵質量控制點的方式,降低機率較大風險發生的可能性。
3.2需求完整性和正確性保證
軟體需求的完整性和正確性是決定軟體產品質量的關鍵之一。如何及時確定完整、正確的軟體需求,避免不必要的反覆,也是複雜太空飛行器工程中的難點之一。針對此,本文提出以下措施:(1)堅持運用自頂向下逐級細化分解-自下向上逐級綜合完善的分析與設計方法,適時組織開展系統與分系統、分系統與單機、分系統與分系統間協同-聯合設計,並有計劃地在詳細設計階段安排多次疊代逼近過程。(2)應力求系統、分系統和單機各級功能設計與可靠性、安全性分析與設計的協調與同步。(3)應通過軟硬體聯合設計,實現資源配置和功能分配合理,軟硬體接口設計匹配、可靠。(4)在單機級測試階段,儘可能地模擬與軟體運行場景相對應的軟體測試環境(如數字或半物理仿真),有效驗證軟體需求並加速其疊代獲取過程的逐步收斂。如果經過分析,在單機階段不能完全模擬軟體真實運行場景,可以通過系統及或者專項試驗進行驗證。
3.3可靠性、安全性保證
可靠性、安全性保證是複雜太空飛行器系統工程中的重點,軟體產品除自身的健壯性和安全性保證外,還要實現上級的可靠性、安全性需求,以下要點有助於期望目標的達成:(1)各級FTA、FMEA、危險分析以及應急救生和故障處置對策等可靠性、安全性設計應堅持逐級細化分解、逐級綜合完善和有計劃疊代逼近的方法,以保證軟體系統和產品的安全關鍵或任務關鍵分析有據可依,並及時將相應的保證需求細化。(2)軟體產品自身的健壯性和安全性保證應充分落實軟體可靠性和安全性設計準則的規定或採納指南中的建議,並及時通過常見多發案例的舉一反三及時進行自省、糾正。(3)應對可能滯後的軟體需求實現,在軟體設計階段特別是概要設計階段就應重視運用專業技術方法,以保證良好的可擴展性和易維護性。(4)運用中斷衝突分析、時域-空域資源分析等方法,有助於有效發現嵌入式軟體產品的深層次缺陷,提高健壯性。
3.4測試/試驗驗證保證
強化太空飛行器軟體系統在各級、不同場合的測試和試驗驗證以及第三方評測是保證軟體產品質量滿足要求的主要手段。要進一步提升其效果,應注重以下要點:(1)高度重視需求分析的全面性以及功能、性能分解的細化;高度重視需求規格說明的完整性和無歧義,並向測試者傳遞、溝通到位。(2)測試覆蓋性分析決定著測試/試驗驗證規劃和方案設計的全面性和合理性,決定著驗證環境等保障條件建設是否能夠及時到位。應力求與需求分析同步完成。(3)「飛什麼,測什麼」是保證驗證覆蓋性和有效性的首要原則。對於功能模式多、性能指標要求高的複雜產品,測試/試驗驗證規劃十分重要,須將驗證目標和項目精細分解,分配在各級和不同場合的測試/試驗中;對地面無法或真實模擬測試/試驗驗證的項目,應及早探討其他有效驗證手段。
3.5適時開展針對性強的專項活動
針對具體問題,適時開展風險控制專項活動通常效果顯著,可借鑑採納,如共性案例分析與解決方案培訓、組織專家審查把關技術難點項目、方案總體-技術總體-軟體研製方聯合走查、落焊過程控制、軟體系統與飛行程序/飛控預案協調性覆核等。
4結語
風險管理的根本目標是及早發現問題,防患於未然。載人太空飛行器系統研製過程中實施軟體項目風險管理的實踐證明:風險分析與軟體工程化的系統融合是推進精細軟體工程化、提升軟體產品保證能力的有效方法。因此,在型號項目全過程管理過程中,需要全面分析和識別風險源,提出切實有效的控制措施,並嚴格落實在各研製階段,規避各種隱患。(1)關鍵技術或新產品的攻關進展滯後,是影響型號系統初樣乃至正樣研製進度和質量的主要風險因素之一。要有效規避或降低該類問題帶來的風險,須在方案階段做好風險分析和控制對策(特別是各級管理和保障方面的措施)制定工作,並切實落實到位。(2)軟體工程化和產品保證實施過程中總結的有效、實用的方法仍需通過不斷地總結工程經驗與教訓,並進行提煉、豐富,最終固化成為每一位參研者共享的財富。(3)要更有效地解決需求確定和全面驗證等環節的相關問題,必須依賴技術手段,如建設並推廣使用可支持單機級、分系統級乃至系統功能級方案比較、軟硬體聯合設計、軟體系統更全面測試的快速仿真環境等。
作者:郭娟 韓冬 王陽 趙攀 單位:北京空間技術研製試驗中心
收藏