王 鵬，田 毅

（中國民航大學適航審定技術(shù)研究與管理中心，天津 300300）

隨著現(xiàn)代科學技術(shù)的發(fā)展，現(xiàn)代飛機在飛行控制、綜合顯示等關(guān)鍵系統(tǒng)中越來越多地使用了復雜電子硬件，尤其是客戶化的可編程邏輯器件，這對于適航性設計和審定帶來了挑戰(zhàn)。這些復雜電子硬件的設計常常與基于微處理器控制的系統(tǒng)軟件一樣復雜，因此，隨著硬件復雜度的提高，由硬件設計錯誤帶來的負面影響已經(jīng)越來越難以控制。為了降低這種可預見的風險，必須通過一些標準的和可驗證的方式，來證明在設計和審定過程中這些潛在的硬件設計錯誤能夠被消除。

通常，國際航空工業(yè)界采用美國RTCA協(xié)會的DO-254標準（等同于歐洲EUROCAE的ED-80標準，簡稱為DO-254）《機載電子硬件設計保證指南》，來保證機載電子硬件（AEH）的安全性水平。FAA、EASA通過咨詢通告認可了這部標準，申請人可采用此標準作為客戶化可編程邏輯器件對適航要求的符合性方法。中國民用航空局（CAAC）目前雖未頒布相關(guān)的咨詢通告或程序，但在新支線客機ARJ21-700項目中以問題紀要（SE005）的形式，明確了以DO-254作為CCAR-25部1301和1309條款的符合性方法之一。

然而，DO-254標準未能涵蓋機載電子硬件設計和審定中遇到的一些特殊工程問題，使申請人和適航審定人員在工程實踐中面臨困難，需要進一步明確。本文介紹了機載電子硬件的設計過程和批準，并就DO-254中沒有明確的簡單電子硬件審定、成熟商用器件（COTS）、驗證標準等工程的關(guān)鍵問題，結(jié)合ARJ21-700型號合格審定中的實際工程經(jīng)驗進行了分析說明。

1 電子硬件設計過程和批準

1.1 硬件設計生命周期

現(xiàn)代電子硬件設計過程中已普遍采用了硬件描述語言，采用以試驗或分析為主體的傳統(tǒng)驗證方法已不可行。因此借鑒了與機載軟件類似的管理辦法，相應于硬件的關(guān)鍵程度，引入“設計保證”的概念，對其整個生命周期的每個過程都進行嚴格控制，包括有效合理的計劃、對需求的確認與驗證（V&V）、全過程的構(gòu)型管理和質(zhì)量保證、針對不同等級的關(guān)鍵技術(shù)要求等，將由復雜電子硬件設計錯誤造成安全問題的可能性降到最低，以保證最終硬件產(chǎn)品的安全性水平是可接受的，并符合適航要求。

按照DO-254標準，一個典型硬件設計過程[1]如圖1所示，審定過程在此基礎上進行。

設計過程包括需求捕獲、概念設計、詳細設計、設計實現(xiàn)、生產(chǎn)過渡、持續(xù)生產(chǎn)。持續(xù)生產(chǎn)過程不在DO-254的考慮范圍。需求捕獲用來確定和記錄硬件項目需求，包括由預期的硬件架構(gòu)、工藝選擇、基本和可選功能、環(huán)境和性能需求所帶來的衍生需求以及由系統(tǒng)安全評估附加的需求。概念設計過程形成一個高層級的設計概念，通過對這一概念的評估，以確定最終設計實現(xiàn)符合需求的可能性，并定義硬件的體系結(jié)構(gòu)。詳細設計過程使硬件項目需求和概念設計信息作為詳細設計的基礎，得出詳細設計數(shù)據(jù)。硬件設計實現(xiàn)過程利用硬件詳細設計數(shù)據(jù)形成硬件。生產(chǎn)過渡過程采用來自硬件設計實現(xiàn)和驗證過程的輸出，將產(chǎn)品轉(zhuǎn)入生產(chǎn)。

除設計過程外，DO-254提出了非常關(guān)鍵的支持過程，這包括確認過程、驗證過程、構(gòu)型管理過程、過程保證過程、審定聯(lián)絡過程。確認過程保證系統(tǒng)安全性分析過程分配到硬件所對應的衍生需求的正確性和完整性[2]。驗證過程保證硬件實現(xiàn)滿足所有的需求（包括衍生需求），系統(tǒng)需求不必在硬件的V&V過程進行確認。構(gòu)型管理過程要提供能夠持續(xù)更替的構(gòu)型項，再現(xiàn)必要的數(shù)據(jù)和產(chǎn)品，在必須更改時控制構(gòu)型項的更改。對于復雜電子硬件構(gòu)型管理，僅使用頂層圖紙是不夠的，需采用附加方法來控制客戶化可編程器件中的嵌入邏輯，硬件構(gòu)型索引便是其選擇之一。過程保證確保了開發(fā)活動按照計劃進行，使生命周期目標得到實現(xiàn)，對于偏離的事件進行了標識。多數(shù)情況下，該活動由獨立于開發(fā)團隊的質(zhì)量保證系統(tǒng)或機構(gòu)完成。各過程的關(guān)聯(lián)[3]如圖2所示。

1.2 機載電子硬件的批準方式

機載電子硬件并沒有一個獨立的審定批準證書，其總是作為飛機、系統(tǒng)或設備的一部分，不會單獨存在。它一般通過型號合格審定（TC）、補充型號合格審定（STC）、技術(shù)標準規(guī)定（TSO）、零部件制造人批準書（PMA）等形式獲得適航批準。另一方面，含有機載電子軟硬件的飛機、系統(tǒng)或設備得到批準的前提之一便是所含的電子硬件和軟件已得到批準。機載設備最常見的審定形式為隨型號合格審定和單獨審定兩種。

在ARJ21-700型號合格審定項目中，對機載電子硬件的相關(guān)適航要求主要體現(xiàn)在對系統(tǒng)和設備的要求，即 CCAR25.1301“功能和安裝”、CCAR25.1309“設備、系統(tǒng)及安裝”和CCAR33.28“發(fā)動機電氣和電子控制系統(tǒng)”（發(fā)動機具備單獨的TC，不在該項目審定范圍內(nèi)）。

對于單獨審定項目，其審定基礎一般為對應的適航標準和附加要求。在ARJ21-700項目中最主要的就是TSO形式。值得注意的是，許多TSO是在適航局方提出機載電子硬件審定要求前發(fā)布，可能不包含相關(guān)硬件的要求，但考慮到現(xiàn)代飛機的需求，也意味著即使新申請較早版本TSOA的項目，也必須關(guān)注機載電子硬件的適航要求。

但無論何種審定形式，對于機載電子硬件的適航要求都是統(tǒng)一的。對于不同項目，審定中存在差異的是局方介入項目的深度，這取決于申請人經(jīng)驗、申請人背景、工程師的設計質(zhì)量和經(jīng)驗、項目的創(chuàng)新性或唯一性以及項目的關(guān)鍵程度等。

中國的絕大部分申請人是第1次依照DO-254來開發(fā)復雜電子硬件。CAAC的介入程度都應當是最高等級，需要對所有的階段進行現(xiàn)場審核。為了滿足符合性，適航審定貫穿于整個硬件生命周期，局方有4個典型的介入階段[4]，分別是計劃評審、設計評審、確認與驗證評審、最終評審。對于某些項目，根據(jù)需求，現(xiàn)場審核也可能不限于這4個階段。例如：一個大系統(tǒng)擁有許多小系統(tǒng)或一個項目有許多問題時，局方將會要求更深的介入。

對于國產(chǎn)型號的國外供應商，根據(jù)具體情況，處理方式也各不相同，具體取決于中國與該國適航雙邊協(xié)議（BASA），當然也取決于審定的類型。例如：對于美國供應商，具有TSOA的設備就可以通過設計批準認可（VDA）的形式進行批準，CAAC將主要進行文件審定，而不會對其進行現(xiàn)場審核；對于未取得TSOA隨機取證的設備，CAAC將直接負責所有審定工作。

2 DO-254標準未能涵蓋的問題解析

2.1 適用范圍

依照DO-254標準定義，DO-254適用于整個機載電子設備，但在具體實踐工程中，局方往往并不這樣要求，而是主要針對于客戶化可編程邏輯器件。

在ARJ21-700項目中，有18個系統(tǒng)、33個設備，包含了可編程邏輯器件。AEH的審定主要關(guān)注于設計保證等級（DAL）為A、B、C級的下列器件：

1）客戶化可編程器件，其中包括專用集成電路（ASIC）、可編程邏輯器件（PLD）以及在航空系統(tǒng)和設備中使用的相似電子元器件等。

2）COTS器件，如微處理器、橋接器、圖形處理器等。

3）知識產(chǎn)權(quán)（IP）核，如 PCI、CAN 總線等。IP 包括硬IP、軟IP和固件IP。

其中第1）項必須按照DO-254進行硬件研制。對于COTS器件和IP，基于目前工業(yè)實踐的經(jīng)驗，要求其遵循DO-254是不現(xiàn)實的。中國審定局方對于該如何處理還沒有給出指導性的意見，但申請人可基于下述方法來表明這類器件的適航符合性：

1）從已知關(guān)于IP功能和設計的信息中利用反向工程獲取所需要的生命周期數(shù)據(jù)；

2）加強IP測試與分析；

3）設備、板卡、LRU或系統(tǒng)級體系結(jié)構(gòu)消解；

4）產(chǎn)品服務經(jīng)驗；

5）避免在A、B級功能中直接使用COTS產(chǎn)品。

2.2 驗證的完成標準

DO-254沒有明確指出驗證活動的完成標準，只在附錄B中討論了元素分析的使用，用于判斷完成的標準。本文并不討論所有的驗證活動，而僅限于硬件描述語言（HDL）。與DO-178B不同，DO-254未針對不同的等級提出不同的“標準”覆蓋率要求，如對應于軟件的A、B、C級要求修訂條件判斷覆蓋（MC/DC）、條件判定覆蓋（C/DC）和語句覆蓋。進行代碼覆蓋率分析是為了確保驗證過程將執(zhí)行所有的代碼、指示測試集是否完善，對于必須寫出而又無法測試到的代碼要保證其不會影響設計功能，并且找出死代碼。對于硬件來說，常見的有語句覆蓋、分支覆蓋、條件覆蓋、表達式覆蓋、有限狀態(tài)機覆蓋和翻轉(zhuǎn)覆蓋。

語句覆蓋，能確保每個語句都被執(zhí)行，尤其是一行代碼包含多個語句。分支覆蓋，能說明是否執(zhí)行了所有可能的分支。條件覆蓋著重檢查分支條件是否都執(zhí)行了。表達式覆蓋率將跟蹤輸入或輸出的狀態(tài)，確保每一個輸入進表達式的真假值都執(zhí)行了，類似于軟件中的C/DC或MC/DC覆蓋。有限狀態(tài)機覆蓋，確保測試執(zhí)行了所有狀態(tài)以及狀態(tài)的轉(zhuǎn)換。翻轉(zhuǎn)覆蓋比較容易引起迷惑，雖然很多仿真工具提供支持，但并不能真正用來做RTL代碼分析，而是在制造階段用來支持芯片測試，尋找引起芯片內(nèi)部某個節(jié)點停留在邏輯1或0狀態(tài)的缺陷。

這里要指出的是，達到100%的代碼覆蓋率并不能保證設計的功能正確，還需要功能覆蓋率。功能覆蓋率包含了一套捕獲和描述設計行為的機制，自動生成捕獲測試結(jié)果，并判斷是否違規(guī)。除此之外，對于ASIC還有固定值故障、路徑延遲故障以及橋接故障等，每種故障都有相應指標，有時統(tǒng)稱為測試覆蓋率。

在當前的項目中，局方針對不同的案例可能會提出不同的要求，如空客A350和A380型號審定中的要求是不一樣的。無論如何申請人應當至少滿足需求的100%覆蓋，并表明與局方約定的HDL代碼的相應覆蓋率。

2.3 可更改客戶化可編程器件

有些數(shù)字設備不用更換其硬件本身，就可從外部更改其內(nèi)部嵌入邏輯和功能，這就是可更改客戶化可編程器件，這些器件具有被用戶在現(xiàn)場改變其構(gòu)型的可能性。在機載設備中很少使用現(xiàn)場可更改客戶化可編程器件，因為其具有不確定性，但DO－254沒有就這類硬件的現(xiàn)場更改情況提出相關(guān)要求。在審定過程中，為保證硬件不會發(fā)生在非構(gòu)型控制狀態(tài)下的更改，就需要采取適當?shù)拇胧┛刂破淝度脒壿嫺姆椒?。因此對于此類硬件，局方要求除了DO－254外，申請人還必須遵循DO－178B第2.4～2.5節(jié)，或者能夠證明具有相同的安全性。此外，8110.49的第5～7章也應當被考慮。ARJ21－700項目則明確規(guī)定了不允許在現(xiàn)場對可編程邏輯器件進行更改。

2.4 多時鐘域問題

在DO－254編寫時，由于工藝和設計水平的限制，多時鐘域問題并不是一個棘手的問題，但在今天卻是一個普遍存在的問題，雖然DO－254涉及到了設計裕度，但這里仍然需要強調(diào)。比較嚴重的是由于多時鐘域而帶來的亞穩(wěn)態(tài)特性，在普通的仿真和靜態(tài)時序分析中很難發(fā)現(xiàn)問題，這對于安全性相關(guān)的功能帶來了潛在威脅。DO－254雖然沒有明確提出要進行跨時鐘域的驗證，但是要求檢查“反常行為”，而亞穩(wěn)態(tài)可以被認為是由設計錯誤而引起的反常行為。申請人應當提供處理亞穩(wěn)態(tài)性的數(shù)據(jù)，包括是否有同步策略、同步策略如何使用以及效果如何。此外，申請人還應進行由于多時鐘域而帶來的環(huán)境方面的考慮。

2.5 邏輯綜合問題

這是一個經(jīng)常被忽略的地方。DO－254要求設計的每一步都有可重復性，理想的情況下，重新運行同樣的設計步驟，一定可以得到相同的結(jié)果。但是工具在綜合階段會進行邊界優(yōu)化、資源共享以及流水線優(yōu)化，每次綜合可能得到不同的內(nèi)部數(shù)據(jù)和不可重復的結(jié)果。申請人需在此方面對工具進行鑒定，并且在設計中考慮一些設計保證措施以保證改動部分的設計不影響已經(jīng)固定下來的設計部分。

2.6 簡單電子硬件（SEH）的驗證標準

對于簡單電子硬件的審定，同樣關(guān)注于客戶化可編程器件。如果申請人將該類器件定義為“簡單”的，并且不選擇DO－254作為符合性方法，則CAAC將要求申請人進行窮盡測試和分析。圖3展示了一個簡單的執(zhí)行A級輸入控制功能的案例，說明“簡單”電子硬件的測試和分析要求。

所有的輸入（429_DATA1/2、SENSOR1/2、Re復位信號、UART），輸出（OUT_A、OUT_EN），內(nèi)部信號（全局復位信號、邏輯控制信號、監(jiān)控信號等），內(nèi)部模塊（全局復位、MONITOR、LOGIC CONTROL、多路選擇器）以及器件中所有的寄存器、鎖存器、邏輯器件和門，應該證明它們在所有可能的組合、排列和并發(fā)狀態(tài)均無異常行為。當然也要考慮動態(tài)特性，如輸出信號OUT_EN的建立時間應該是有限的（如小于5 ns），并且與其他模塊是并發(fā)的。因此，在模塊層級還不能完全完成測試，需要延伸到內(nèi)部模塊，如邏輯控制模塊[5]，并且最終到達寄存器傳輸級或門級。局方最認同的驗證方式是物理測試，這就要求申請人采用必要的方法以觀測內(nèi)部節(jié)點信號。

除了上面提到的測試與分析之外，覆蓋分析需要證明完整地實現(xiàn)了特定標準。所有的門或節(jié)點及其內(nèi)部的模塊組織（如多路選擇器可能由許多的與非門、或門和觸發(fā)器組成），應確定的是其的確執(zhí)行了恰當?shù)牟僮鱗6]。同時，還應分析最好和最壞時序，這是硬件驗證與軟件不同之處，在驗證電路時，設計者應考慮電路物理特性。

但是，在工業(yè)實際中，如果硬件邏輯如本案例一樣復雜，這幾乎不可能達到所要求的標準。如果申請人將如此復雜的硬件定義為“簡單”，他們將要承擔巨大的風險，并且有可能不得不再次按照DO－254要求重新開始研制。當用戶將微編碼器件用于選擇器、分頻器等簡單功能時，通常是可以被定義為“簡單”的。

3 結(jié)語

許多國家的適航局方已認可DO－254作為一個可接受的符合性方法來滿足機載系統(tǒng)和設備中的客戶化可編程器件相應的規(guī)章。經(jīng)過工業(yè)證明，DO－254巨大提升了需求質(zhì)量，并明顯降低了由于錯誤和需求缺失帶來的返工概率，提升了構(gòu)型管理，確保更高的硬件質(zhì)量。但其仍是一個不完善的標準，有許多不明確問題需要進一步說明。

RTCA/SC-180委員會（DO-254）與 RTCA/SC-167委員會（DO-178B）聯(lián)系較多，因此很容易發(fā)現(xiàn)DO-254標準與機載軟件的標準DO-178B有許多過程和要求是相似的，然而恰好也是這種延承使得DO-254沒有很好考慮硬件自身的特性，如動態(tài)測試、并發(fā)過程、時鐘偏移和時序等問題，同時一些航空領(lǐng)域之外的工業(yè)實踐方法也沒有很好地被利用。

對于硬件設計或者審定工程師，在遵照DO-254標準的同時，還應當關(guān)注本文中所討論的一些關(guān)鍵問題，這有可能成為機載電子硬件的潛在安全性問題。本文所推薦的方法并不能直接當作適航要求使用，但可以為審定和設計工作提供參考。

[1]RTCA.Design Assurance Guidance for Airborne Electronic Hardwar，DO-254[S].Washington D C：RTCA Inc，2000.

[2]SAE.Certification Considerations for Highly Integrated or Complex Aircraft Systems，ARP4754[S].Warrendale，PA：The Engineering Society for Advancing Mobility Land Sea Air and Space，1996.

[3]PAUL S MINER，VICTOR A.A Case-Study Application of RTCA DO-254：Design Assurance Guidance for Airborne Electronic Hardware[C]//AIAA/IEEE 2000 Digital Avionics Systems Conference，Philadelphia，PA，2000.

[4]FAA.Conducting Airborne Electronic Hardware Reviews[S].Seattle：Aircraft Certification Service，2008.

[5]STEVEN C BELAND.Functional Failure Path Analysis of Airborne Electronic Hardware[C]//AIAA/IEEE 2000 Digital Avionics Systems Conference，Philadelphia，PA，2000.

[6]FAA.Simple and Complex Electronic Hardware Approval Guidance，Order8110.105-Chg1[S].Seattle：Aircraft Certification Service，2008.