高 虎，封二強(qiáng)，王 寧

（中國航空綜合技術(shù)研究所,北京100028）

0 引言

航空發(fā)動(dòng)機(jī)在航空技術(shù)的發(fā)展中起著關(guān)鍵性作用，其狀態(tài)和性能直接影響飛行任務(wù)的完成和飛行安全，被稱為飛機(jī)的“心臟”。隨著全權(quán)限數(shù)字電子控制（FADEC）技術(shù)在國內(nèi)外新型發(fā)動(dòng)機(jī)中的應(yīng)用，航空發(fā)動(dòng)機(jī)控制軟件（以下簡稱“發(fā)控軟件”）成為航空發(fā)動(dòng)機(jī)系統(tǒng)最核心的控制決策單元[1]。近年來，由軟件造成的航空發(fā)動(dòng)機(jī)安全事故呈大幅度上升趨勢，發(fā)控軟件的質(zhì)量與安全性問題成為航空發(fā)動(dòng)機(jī)發(fā)展中亟待解決的問題之一。該問題的解決目前主要依賴于軟件測試活動(dòng)。

軟件測試是目前確保軟件可靠性和質(zhì)量的最成熟而有效的方法[2]。航空無線電委員會(huì)（RTCA）規(guī)定軟件測試目的在于證明軟件滿足其需求，并且以高置信度證明由系統(tǒng)安全性過程確定的失效狀態(tài)得到消除[3]。而目前在中國航空軟件測試工程實(shí)踐中，更多關(guān)注軟件實(shí)現(xiàn)對需求的符合性驗(yàn)證，而對軟件安全性的驗(yàn)證尚未給予足夠重視，缺乏系統(tǒng)性的理論基礎(chǔ)，很大程度上依賴于測試人員的實(shí)踐經(jīng)驗(yàn)，成為航空發(fā)動(dòng)機(jī)安全運(yùn)行的重大隱患[4]。因此，基于安全性分析的發(fā)控軟件測試技術(shù)成為保證我國發(fā)控軟件有效運(yùn)行進(jìn)而保證飛機(jī)整體安全的重要途徑。

軟件安全性是指軟件運(yùn)行時(shí)不引起系統(tǒng)危害的能力[5]。軟件安全性分析就是識別可能導(dǎo)致系統(tǒng)危險(xiǎn)和軟件自身失效的軟件因素，從而形成軟件安全性需求的過程。在軟件安全性分析領(lǐng)域，采用基于模型的軟件安全性分析與驗(yàn)證方法[6-7]可以獲得軟件安全性分析結(jié)果，該結(jié)果精確描述了軟件行為導(dǎo)致的系統(tǒng)危險(xiǎn)和軟件失效情況?；诖祟惏踩苑治鼋Y(jié)果，在軟件測試過程中通過動(dòng)態(tài)運(yùn)行軟件將導(dǎo)致安全性事件的軟件行為進(jìn)行復(fù)現(xiàn)，便可驗(yàn)證軟件安全性需求的落實(shí)情況。

本文提出了基于需求模型與安全性分析的發(fā)控軟件安全性測試技術(shù)方法，以實(shí)現(xiàn)對基于發(fā)控軟件安全性分析的軟件安全性需求的有效驗(yàn)證。

1 軟件需求建模與安全性分析

1.1 基本方法

基于安全性的發(fā)控軟件測試技術(shù)以軟件需求模型和安全性分析技術(shù)為基礎(chǔ)，以測試技術(shù)為驗(yàn)證手段，3項(xiàng)技術(shù)共同構(gòu)成了支撐發(fā)控軟件安全性的基本方法。

建立軟件需求模型是保證軟件安全性分析客觀、無歧義的有效手段，也是軟件安全性分析流程化、自動(dòng)化的基礎(chǔ)。軟件安全性分析結(jié)果與軟件需求模型的不斷迭代，最終形成滿足安全性要求的軟件需求。同時(shí)在基于需求的軟件測試中，軟件需求模型能夠?yàn)槌绦蚧能浖y試用例設(shè)計(jì)提供依據(jù)。

軟件安全性分析立足于軟件全生命周期，以安全性為視角，分析軟件的安全不確定性因素——軟件是否存在導(dǎo)致系統(tǒng)危險(xiǎn)和軟件自身失效的可能性，從而在軟件層面上識別危險(xiǎn)與失效、補(bǔ)充危險(xiǎn)與失效的控制策略，最終實(shí)現(xiàn)系統(tǒng)級安全性要求，提高系統(tǒng)級安全性水平。

動(dòng)態(tài)測試作為最直接有效的手段，驗(yàn)證軟件安全性分析產(chǎn)生的軟件安全性需求在軟件代碼中能否得到準(zhǔn)確而充分的落實(shí)。軟件安全性測試即驗(yàn)證軟件安全性需求的動(dòng)態(tài)測試過程，基于軟件需求模型將軟件安全性分析的因果關(guān)系進(jìn)行實(shí)例化，形成安全性測試用例，在動(dòng)態(tài)測試過程中執(zhí)行安全性測試用例，提供軟件安全性驗(yàn)證結(jié)論。

軟件需求建模、安全性分析與測試的關(guān)系如圖1所示。

1.2 發(fā)控軟件需求建模

發(fā)控軟件實(shí)時(shí)性強(qiáng)，輸入輸出接口多，功能邏輯復(fù)雜且耦合性強(qiáng)，大量存在閉環(huán)控制功能，軟件具有明顯的任務(wù)特性和狀態(tài)特性[8-9]。因此發(fā)控軟件的需求模型一方面需要清晰客觀地描述發(fā)動(dòng)機(jī)地面起動(dòng)、運(yùn)行、加力、停車以及空中起動(dòng)等主要控制流程的軟件控制及故障處理要求，另一方面還應(yīng)對安全性分析所需的各類復(fù)雜邏輯信息，如狀態(tài)遷移、功能時(shí)序約束、機(jī)構(gòu)控制策略等進(jìn)行描述。建立發(fā)控軟件需求模型包括：

圖1 軟件需求建模、安全性分析與安全性測試的關(guān)系

（1）外部交聯(lián)關(guān)系模型，描述發(fā)動(dòng)機(jī)控制系統(tǒng)外部交聯(lián)設(shè)備、總線、接口的連接關(guān)系，信號的閉環(huán)反饋關(guān)系，以及信號間的耦合關(guān)系；

（2）狀態(tài)遷移模型，描述發(fā)動(dòng)機(jī)控制系統(tǒng)的任務(wù)狀態(tài)，狀態(tài)之間的遷移條件；

（3）狀態(tài)流程模型，描述各狀態(tài)內(nèi)部控制流程，各狀態(tài)控制律算法和輸出組合邏輯，以及狀態(tài)內(nèi)部異常處理邏輯；

（4）公共功能模型，描述發(fā)動(dòng)機(jī)控制系統(tǒng)各任務(wù)狀態(tài)公共功能邏輯和時(shí)序，如發(fā)動(dòng)機(jī)消喘、防冰、應(yīng)急放油等。

1.3 發(fā)控軟件安全性分析

針對發(fā)控軟件特點(diǎn)，軟件安全性分析基于需求模型對狀態(tài)、流程、輸入、輸出的描述，重點(diǎn)關(guān)注發(fā)動(dòng)機(jī)控制狀態(tài)遷移、動(dòng)態(tài)處理流程以及功能和接口的耦合關(guān)聯(lián)關(guān)系等方面引起的危險(xiǎn)和失效，分析其原因和影響，并提出改進(jìn)措施，形成軟件安全性需求。

初步危險(xiǎn)分析（PHA）[10]、失效模式與影響分析（FMEA）[11]、故障樹分析（FTA）[12-13]等方法，能夠有效地為發(fā)控軟件安全性分析提供幫助。

上述軟件安全性分析方法的出發(fā)點(diǎn)都來自于系統(tǒng)危險(xiǎn)或軟件失效，且均通過對原因和影響的分析最終產(chǎn)生系統(tǒng)危險(xiǎn)或軟件失效的因果關(guān)系鏈。

軟件安全性分析的目標(biāo)是在軟件層面上識別危險(xiǎn)與失效并補(bǔ)充危險(xiǎn)與失效的控制策略。如果發(fā)控軟件在進(jìn)入安全性分析前已經(jīng)正確實(shí)現(xiàn)了軟件需求，則系統(tǒng)危險(xiǎn)或軟件失效的因果關(guān)系鏈的最頂層原因均能夠反映在軟件的外部輸入中。因此，系統(tǒng)危險(xiǎn)或軟件失效的發(fā)生均可通過軟件的外部輸入激發(fā)產(chǎn)生。而軟件動(dòng)態(tài)測試過程也是以軟件外部輸入為激勵(lì)，因此基于軟件安全性分析結(jié)果設(shè)計(jì)測試用例，并在測試環(huán)境中執(zhí)行測試用例，成為一種驗(yàn)證軟件安全性需求的有效手段。

2 軟件安全性測試策略

2.1 軟件安全性測試目的

軟件安全性測試的目的是通過設(shè)計(jì)和執(zhí)行測試用例，復(fù)現(xiàn)軟件安全性分析過程中產(chǎn)生系統(tǒng)危險(xiǎn)或軟件失效的場景，查看系統(tǒng)危險(xiǎn)和軟件失效是否均得到有效的控制和處理，從而驗(yàn)證軟件安全性需求的落實(shí)情況。

軟件安全性測試的輸入是軟件安全性分析過程產(chǎn)生的包含系統(tǒng)危險(xiǎn)或軟件失效的因果關(guān)系鏈，以及系統(tǒng)的外部交聯(lián)關(guān)系模型；軟件安全性測試的過程形成軟件安全性測試用例，并根據(jù)軟件安全性測試用例的執(zhí)行結(jié)果，最終輸出軟件安全性需求的驗(yàn)證結(jié)論。

2.2 發(fā)控軟件安全性測試特點(diǎn)分析

發(fā)控軟件具有時(shí)序邏輯強(qiáng)、輸入輸出接口關(guān)系復(fù)雜的特點(diǎn)[14]，發(fā)控軟件安全性分析生成的危險(xiǎn)或失效原因一般描述為特定時(shí)間點(diǎn)和特定輸入接口的異常行為。而在發(fā)控軟件測試過程中，一般需要執(zhí)行完整的發(fā)動(dòng)機(jī)運(yùn)行流程，不但需要與危險(xiǎn)或失效原因相對應(yīng)的相關(guān)輸入激勵(lì)，還要對與危險(xiǎn)或失效原因耦合的其他輸入激勵(lì)進(jìn)行實(shí)時(shí)調(diào)整，以保證發(fā)控軟件運(yùn)行所必須的數(shù)據(jù)需求。由此可見，發(fā)控軟件安全性測試用例描述的是一個(gè)在完整的發(fā)動(dòng)機(jī)控制系統(tǒng)運(yùn)行場景下注入了危險(xiǎn)和失效原因的實(shí)時(shí)性運(yùn)行過程。

另外，發(fā)控軟件安全性分析結(jié)果多數(shù)來源于對發(fā)動(dòng)機(jī)危險(xiǎn)及軟件失效等異常情況的考慮，這些異常情況一旦在實(shí)際發(fā)動(dòng)機(jī)系統(tǒng)中產(chǎn)生而未得到有效控制，將造成嚴(yán)重的后果。所以發(fā)控軟件的安全性測試如果在實(shí)物或半實(shí)物環(huán)境下執(zhí)行，將面臨較大的危險(xiǎn)和成本，因此必須采用仿真測試技術(shù)，通過建立交聯(lián)環(huán)境的全數(shù)字模型，模擬發(fā)動(dòng)機(jī)運(yùn)行數(shù)據(jù)以及各類異常情況來完成。在仿真測試環(huán)境中，交聯(lián)設(shè)備的危險(xiǎn)和失效等行為改變在很多情況下體現(xiàn)為仿真模型的參數(shù)變化[15]，因此在安全性測試用例設(shè)計(jì)中，可將危險(xiǎn)和失效原因落實(shí)在仿真模型參數(shù)中，通過仿真模型的運(yùn)行間接實(shí)現(xiàn)包含失效和危險(xiǎn)狀態(tài)的測試激勵(lì)。

2.3 發(fā)控軟件安全性測試方案

（1）將軟件的外部輸入接口劃分為被控對象輸入和操作輸入。被控對象輸入主要包括發(fā)動(dòng)機(jī)系統(tǒng)的傳感器采集輸入，如轉(zhuǎn)速、溫度、壓力等信號；操作輸入主要包括飛機(jī)其他系統(tǒng)或駕駛員對發(fā)動(dòng)機(jī)系統(tǒng)的輸入，如油門桿、各類按鈕等。

（2）建立從軟件控制指令輸出到被控對象輸入的全數(shù)字仿真模型，并根據(jù)正常的發(fā)動(dòng)機(jī)操作流程確立軟件所有操作輸入的時(shí)序變化關(guān)系，實(shí)現(xiàn)對發(fā)動(dòng)機(jī)正常使用場景的模擬。

（3）將軟件安全性分析獲得的危險(xiǎn)或失效原因定位于軟件的外部輸入，或間接定位于仿真模型的參數(shù)輸入，然后依據(jù)軟件外部交聯(lián)關(guān)系對系統(tǒng)輸入范圍及時(shí)序的約束將相關(guān)的系統(tǒng)輸入進(jìn)行實(shí)例化。

（4）依據(jù)危險(xiǎn)或失效原因的產(chǎn)生時(shí)機(jī)，將實(shí)例化的系統(tǒng)輸入注入到已確定的描述發(fā)動(dòng)機(jī)正常使用場景的輸入序列中，形成安全性測試用例。

（5）軟件安全性分析獲得的危險(xiǎn)或失效原因可通過優(yōu)化算法（如故障樹最小割集算法）進(jìn)行組合，以降低測試成本。

（6）發(fā)控軟件安全性測試用例可根據(jù)格式化的軟件需求模型和安全性分析結(jié)果通過自動(dòng)化的手段生成。

3 軟件安全性測試用例自動(dòng)生成方法

3.1 基本原理

軟件安全性分析產(chǎn)生系統(tǒng)危險(xiǎn)或軟件失效的因果關(guān)系鏈，其最底層的危險(xiǎn)和失效原因均可描述為軟件輸入的數(shù)值或時(shí)序行為；利用數(shù)字化的軟件交聯(lián)環(huán)境模型，可將這些軟件輸入的數(shù)值或時(shí)序行為實(shí)例化為具體的軟件輸入；將由危險(xiǎn)和失效原因產(chǎn)生的軟件輸入注入到軟件運(yùn)行場景中，形成軟件安全性測試用例。

3.2 算法描述

定義發(fā)控軟件輸入向量

式中：pe為被控對象輸入；pf為操作輸入。

定義發(fā)控軟件輸出向量

式中：qe為仿真模型的輸入；qf為發(fā)控軟件的其他輸出。

發(fā)控軟件的行為可用矩陣S描述

建立發(fā)動(dòng)機(jī)系統(tǒng)仿真模型M，則仿真模型運(yùn)行可描述為

其中仿真模型存在可變參數(shù)b，定義該參數(shù)隨發(fā)動(dòng)機(jī)運(yùn)行時(shí)間序列為b(t)

同時(shí)，建立發(fā)動(dòng)機(jī)正常操作流程為pf(t)，因此，發(fā)動(dòng)機(jī)的運(yùn)行過程可描述為

根據(jù)式（6）可通過計(jì)算機(jī)遞推方法計(jì)算發(fā)控軟件輸入p(t)T，實(shí)現(xiàn)發(fā)動(dòng)機(jī)正常操作流程的動(dòng)態(tài)仿真運(yùn)行。

安全性分析結(jié)果中的危險(xiǎn)或失效原因可分解為某個(gè)變量（或模型參數(shù)）在某中時(shí)序下的行為，可采用結(jié)構(gòu)化的方式描述為：“A狀態(tài)B操作中，C變量（或參數(shù)），產(chǎn)生D數(shù)值改變或E時(shí)序改變”。

根據(jù)軟件需求模型對狀態(tài)和操作的描述，可通過危險(xiǎn)或失效原因在正常操作序列pf(t)中查找獲得該危險(xiǎn)或失效產(chǎn)生的基準(zhǔn)時(shí)間t0，并可在pf（或b）向量中定位到發(fā)控軟件運(yùn)行模型中的輸入（或模型參數(shù)）pf_x(或 bx)。

根據(jù)危險(xiǎn)或失效原因中對“E時(shí)序改變”既有方式的選擇，可通過查表的方法，并結(jié)合需求模型中對時(shí)序參數(shù)（時(shí)間分辨率、響應(yīng)時(shí)間等）的設(shè)置，確定危險(xiǎn)或失效的實(shí)際激發(fā)時(shí)間t0+δ；同時(shí)根據(jù)危險(xiǎn)或失效原因中對“D數(shù)值改變”既有方式的選擇，可通過查表的方法，結(jié)合pf(t0)（或b(t0)）的正常輸入以及需求模型中對接口參數(shù)（上下限、精度等）的設(shè)置，確定產(chǎn)生危險(xiǎn)的系統(tǒng)輸入pf_x(t0+δ)（或bx(t0+δ)）。

最后，根據(jù)安全性分析結(jié)果將單點(diǎn)或組合的危險(xiǎn)或失效原因?qū)嵗敵鼋Y(jié)果疊加于原模型參數(shù)和操作輸出序列中，未影響的輸入（或模型參數(shù)）填充為“null”，即

根據(jù)式（8）形成新的發(fā)控軟件運(yùn)行序列，作為該危險(xiǎn)或失效原因所對應(yīng)的安全性測試用例。

4 工程應(yīng)用

某型號航空發(fā)動(dòng)機(jī)控制系統(tǒng)由FADEC控制器、傳感器、液壓機(jī)械裝置和電氣系統(tǒng)組成。其中發(fā)控軟件是FADEC控制器的核心部分，該軟件接收來自飛機(jī)、發(fā)動(dòng)機(jī)和機(jī)械液壓裝置的信號，經(jīng)過數(shù)字運(yùn)算、邏輯判斷發(fā)出各種控制信號給相應(yīng)的執(zhí)行機(jī)構(gòu)以控制發(fā)動(dòng)機(jī)狀態(tài)，同時(shí)傳輸信號給飛機(jī)機(jī)載裝置顯示和記錄。

2014年9月至2016年8月，對該發(fā)控軟件開展了安全性分析和測試工作。其中安全性分析工作通過自研的“軟件安全性分析工具”開展，在依據(jù)系統(tǒng)和軟件需求建立外部交聯(lián)關(guān)系模型、狀態(tài)遷移模型、狀態(tài)流程模型和公共功能模型的基礎(chǔ)上，采用PHA和FMEA方法進(jìn)行了軟件安全性分析，分析識別系統(tǒng)危險(xiǎn)45項(xiàng)，分解危險(xiǎn)原因69條，識別軟件失效138項(xiàng)，獲得失效原因155條。典型安全性分析結(jié)果見表1。

表1 典型安全性分析結(jié)果

其中，32條危險(xiǎn)原因和101條失效原因均已采取相應(yīng)的控制措施，形成為軟件安全性需求，并在軟件的升級版中得到落實(shí)。對失效或危險(xiǎn)原因進(jìn)行優(yōu)化和合并后，設(shè)計(jì)軟件安全性測試用例117個(gè)（其中92個(gè)采用軟件安全性測試用生成算法自動(dòng)生成），執(zhí)行了全部測試用例，軟件安全性需求得到有效驗(yàn)證。

針對發(fā)控軟件的特點(diǎn)，要求安全性測試環(huán)境具備實(shí)時(shí)性、自動(dòng)化、支持仿真模型運(yùn)行的能力，因此在項(xiàng)目實(shí)施過程中，構(gòu)建軟件安全性測試環(huán)境如圖2所示。

該測試環(huán)境通過測試執(zhí)行計(jì)算機(jī)中的測試主控模塊實(shí)現(xiàn)測試用例的自動(dòng)組織和執(zhí)行。測試用例和測試模型通過以太網(wǎng)加載到測試執(zhí)行計(jì)算機(jī)中，并通過測試執(zhí)行計(jì)算機(jī)集成的總線接口加載到被測設(shè)備中，測試執(zhí)行計(jì)算機(jī)采用VxWorks實(shí)時(shí)操作系統(tǒng)，能夠以較高的時(shí)間精度實(shí)現(xiàn)仿真模型的運(yùn)行和測試用例的執(zhí)行[16]。

圖2 某發(fā)動(dòng)機(jī)控制軟件安全性測試環(huán)境

根據(jù)表1中描述的典型軟件安全性分析結(jié)果設(shè)計(jì)測試用例，在已落實(shí)安全性需求的軟件中執(zhí)行的結(jié)果見表2。

表2 典型安全性測試用例

通過對某型發(fā)動(dòng)機(jī)控制軟件安全性分析和測試，使?jié)撛趯?dǎo)致系統(tǒng)危險(xiǎn)和失效的軟件原因得到了有效的識別和控制。在安全性測試工作中，已形成安全性需求的危險(xiǎn)或失效原因均通過測試用例進(jìn)行覆蓋，危險(xiǎn)和失效得到有效復(fù)現(xiàn)，軟件安全性需求得到驗(yàn)證。

5 結(jié)束語

本文提出了針對航空發(fā)動(dòng)機(jī)控制軟件的安全性測試新方法，并給出了軟件安全性測試用例自動(dòng)生成的算法和原理，開發(fā)形成了原型工具平臺，型號發(fā)控軟件的工程應(yīng)用表明該方法具有較高的實(shí)用性和可操作性，能夠?yàn)榘l(fā)控軟件的質(zhì)量提升和安全性保證提供支撐。后續(xù)工作中，可將軟件安全性分析與安全性測試結(jié)果相結(jié)合，采用軟件安全性分析的方法對安全性測試數(shù)據(jù)進(jìn)行采集，作為迭代開展軟件安全性分析的輸入；此外，軟件安全性分析結(jié)果到軟件安全性測試用例的轉(zhuǎn)換算法是通過形式化描述實(shí)現(xiàn)的，因此需要對軟件安全性分析結(jié)果進(jìn)行進(jìn)一步優(yōu)化，使其能夠與測試用例生成模塊直接對接，從而避免人工進(jìn)行形式化轉(zhuǎn)化工作，進(jìn)而大大提高測試效率。

[1]姜彩虹.航空發(fā)動(dòng)機(jī)雙余度控制規(guī)律設(shè)計(jì)方法 [J].航空動(dòng)力學(xué)報(bào)，2011，26（10）:2364-2370.JIANG Caihong.Method of dual-redundant control law design for aeroengine [J].Journal of Aerospace Power，2011，26（10）:2364-2370.（in Chinese）

[2]Antona Bertoling.Software testing research:achievements,challenges,dreams [C]//Futureof SoftwareEngineering,Minneapolis,2007:85-103.

[3]RTCA/DO-178C.Software considerations in airborne systems and equipment certification[S].Washington.DC:Requirement s and Technical Concepts for Aviation（RTCA）,2011:31.

[4]何鑫，鄭軍，劉暢.軟件安全性測試研究綜述[J].計(jì)算機(jī)測量與控制，2011，19（3）:493-496.HE Xin,ZHENG Jun,LIU Chang.A survey on research of software safety test [J].Computer Measurement&Control，2011，19（3）:493-496.（in Chinese）.

[5]MIL-STD-882D,Standard Practice for System Safety Program Requirements[S].Department of Defense,Washington.DC:USA Military,1996:4.

[6]徐丙鳳，黃志球，胡軍，等.面向適航認(rèn)證的模型驅(qū)動(dòng)機(jī)載軟件構(gòu)件的安全性驗(yàn)證[J].航空學(xué)報(bào)，2012，33（5）:796-808.XU Bingfeng,HUANG Zhiqiu,HU Jun,et al.Model-driven safety dependence verification for component-based airborne software supporting airworthiness certification [J].Acta Aeronautica Et Astronautica Sinica，2012，33（5）:796-808.（in Chinese）

[7]Hendzik Post,Carsten Sinz,Florian Merz,et al.Linking functional requirements and software verification[C]//17th IEEE International Requirements Engineering Conference,2009:295-302.

[8]李華聰,王鑫,韓小寶,等.航空發(fā)動(dòng)機(jī)線性變參數(shù)建模方法研究[J].推進(jìn)技術(shù),2007,28（4）:418-421.LI Huacong,WANG Xin,HAN Xiaobao,et al.Study of aeroengine linear parameter varying modeling[J].Journal of Propulsion Technology,2007,28（4）:418-421.（in Chinese）.

[9]胡衛(wèi)紅,李述清,孫健國.控制問題中航空發(fā)動(dòng)機(jī)飛行包線區(qū)域最優(yōu)劃分[J].推進(jìn)技術(shù),2011,32（3）:391-395.HU Weihong,LI Shuqing,SUN Jianguo.Flight-envelope optimization partition for aeroengines control[J].Journal of Propulsion Technology,2011,32（3）:391-395.（in Chinese）

[10]NASA.NASA-GB-8719.13 Software safety guidebook[S].Washington.DC:National Aeronautics and Space Administration,2004：6.

[11]SAE.SAE ARP4761 Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[S].Warrendale:The Engineering Society For Advancing Mobility Land Sea Air and Space,1996：6.

[12]宋曉秋.GJB/Z 102A-2012軍用軟件安全性設(shè)計(jì)指南 [S].北京：中國人民解放軍總裝備部，2012：13.SONG Xiaoqiu.GJB/Z 102A-2012 Guide for military software safety design[S].Beijing：General Armament Department of the People's Liberation Army，2012:13.（in Chinese）

[13]趙躍華，朱媛媛.基于故障樹分析的軟件安全性測試研究[J].計(jì)算機(jī)應(yīng)用研究，2013，30（6）:1760-1763.ZHAO Yuehua,ZHU Yuanyuan.Research on software safety testing based on fault tree analysis[J].Application Research of Computers，2013，30（6）:1760-1763.（in Chinese）

[14]蔣文亮,王少永,營笑,等.一種應(yīng)用于航空發(fā)動(dòng)機(jī)全權(quán)限數(shù)字電子控制系統(tǒng)的解算器處理技術(shù)[J].推進(jìn)技術(shù),2017,38（3）:666-672.JIANG Wenliang,WANG Shaoyong,YING Xiao,et al.A resolver technology for full authority digital electronic control systems of aero-engine[J].Journal of Proplsion Technology,2017,38（3）:666-672.（in Chinese）

[15]楊偉,馮雷星,彭靖波,等.求解航空發(fā)動(dòng)機(jī)數(shù)學(xué)模型的混合智能方法[J].推進(jìn)技術(shù),2008,29（5）:614-616.YANG Wei,FENG Leixing,PENG Jingbo,et al.An intelligent algorithm for solution of nonlinear mathematical model for aeroengine[J].Journal of Propulsion Technology,2008,29（5）:614-616.（in Chinese）

[16]劉暢，劉斌，阮鐮.航空電子軟件仿真測試環(huán)境軟件體系結(jié)構(gòu)研究[J].航空學(xué)報(bào)，2006，27（5）:877-882.LIU Chang，LIU Bin，RUAN Lian.Software architecture of simulation testing environment for software in avionics [J].Acta Aeronautica Et Astronautica Sinica，2006，27（5）:877-882.（in Chinese）