王 鵬，田 毅

（中國民航大學(xué)適航審定技術(shù)研究與管理中心，天津 300300）

隨著現(xiàn)代科學(xué)技術(shù)的發(fā)展，現(xiàn)代飛機(jī)在飛行控制、綜合顯示等關(guān)鍵系統(tǒng)中越來越多地使用了復(fù)雜電子硬件，尤其是客戶化的可編程邏輯器件，這對于適航性設(shè)計(jì)和審定帶來了挑戰(zhàn)。這些復(fù)雜電子硬件的設(shè)計(jì)常常與基于微處理器控制的系統(tǒng)軟件一樣復(fù)雜，因此，隨著硬件復(fù)雜度的提高，由硬件設(shè)計(jì)錯(cuò)誤帶來的負(fù)面影響已經(jīng)越來越難以控制。為了降低這種可預(yù)見的風(fēng)險(xiǎn)，必須通過一些標(biāo)準(zhǔn)的和可驗(yàn)證的方式，來證明在設(shè)計(jì)和審定過程中這些潛在的硬件設(shè)計(jì)錯(cuò)誤能夠被消除。

通常，國際航空工業(yè)界采用美國RTCA協(xié)會的DO-254標(biāo)準(zhǔn)（等同于歐洲EUROCAE的ED-80標(biāo)準(zhǔn)，簡稱為DO-254）《機(jī)載電子硬件設(shè)計(jì)保證指南》，來保證機(jī)載電子硬件（AEH）的安全性水平。FAA、EASA通過咨詢通告認(rèn)可了這部標(biāo)準(zhǔn)，申請人可采用此標(biāo)準(zhǔn)作為客戶化可編程邏輯器件對適航要求的符合性方法。中國民用航空局（CAAC）目前雖未頒布相關(guān)的咨詢通告或程序，但在新支線客機(jī)ARJ21-700項(xiàng)目中以問題紀(jì)要（SE005）的形式，明確了以DO-254作為CCAR-25部1301和1309條款的符合性方法之一。

然而，DO-254標(biāo)準(zhǔn)未能涵蓋機(jī)載電子硬件設(shè)計(jì)和審定中遇到的一些特殊工程問題，使申請人和適航審定人員在工程實(shí)踐中面臨困難，需要進(jìn)一步明確。本文介紹了機(jī)載電子硬件的設(shè)計(jì)過程和批準(zhǔn)，并就DO-254中沒有明確的簡單電子硬件審定、成熟商用器件（COTS）、驗(yàn)證標(biāo)準(zhǔn)等工程的關(guān)鍵問題，結(jié)合ARJ21-700型號合格審定中的實(shí)際工程經(jīng)驗(yàn)進(jìn)行了分析說明。

1 電子硬件設(shè)計(jì)過程和批準(zhǔn)

1.1 硬件設(shè)計(jì)生命周期

現(xiàn)代電子硬件設(shè)計(jì)過程中已普遍采用了硬件描述語言，采用以試驗(yàn)或分析為主體的傳統(tǒng)驗(yàn)證方法已不可行。因此借鑒了與機(jī)載軟件類似的管理辦法，相應(yīng)于硬件的關(guān)鍵程度，引入“設(shè)計(jì)保證”的概念，對其整個(gè)生命周期的每個(gè)過程都進(jìn)行嚴(yán)格控制，包括有效合理的計(jì)劃、對需求的確認(rèn)與驗(yàn)證（V&V）、全過程的構(gòu)型管理和質(zhì)量保證、針對不同等級的關(guān)鍵技術(shù)要求等，將由復(fù)雜電子硬件設(shè)計(jì)錯(cuò)誤造成安全問題的可能性降到最低，以保證最終硬件產(chǎn)品的安全性水平是可接受的，并符合適航要求。

按照DO-254標(biāo)準(zhǔn)，一個(gè)典型硬件設(shè)計(jì)過程[1]如圖1所示，審定過程在此基礎(chǔ)上進(jìn)行。

設(shè)計(jì)過程包括需求捕獲、概念設(shè)計(jì)、詳細(xì)設(shè)計(jì)、設(shè)計(jì)實(shí)現(xiàn)、生產(chǎn)過渡、持續(xù)生產(chǎn)。持續(xù)生產(chǎn)過程不在DO-254的考慮范圍。需求捕獲用來確定和記錄硬件項(xiàng)目需求，包括由預(yù)期的硬件架構(gòu)、工藝選擇、基本和可選功能、環(huán)境和性能需求所帶來的衍生需求以及由系統(tǒng)安全評估附加的需求。概念設(shè)計(jì)過程形成一個(gè)高層級的設(shè)計(jì)概念，通過對這一概念的評估，以確定最終設(shè)計(jì)實(shí)現(xiàn)符合需求的可能性，并定義硬件的體系結(jié)構(gòu)。詳細(xì)設(shè)計(jì)過程使硬件項(xiàng)目需求和概念設(shè)計(jì)信息作為詳細(xì)設(shè)計(jì)的基礎(chǔ)，得出詳細(xì)設(shè)計(jì)數(shù)據(jù)。硬件設(shè)計(jì)實(shí)現(xiàn)過程利用硬件詳細(xì)設(shè)計(jì)數(shù)據(jù)形成硬件。生產(chǎn)過渡過程采用來自硬件設(shè)計(jì)實(shí)現(xiàn)和驗(yàn)證過程的輸出，將產(chǎn)品轉(zhuǎn)入生產(chǎn)。

除設(shè)計(jì)過程外，DO-254提出了非常關(guān)鍵的支持過程，這包括確認(rèn)過程、驗(yàn)證過程、構(gòu)型管理過程、過程保證過程、審定聯(lián)絡(luò)過程。確認(rèn)過程保證系統(tǒng)安全性分析過程分配到硬件所對應(yīng)的衍生需求的正確性和完整性[2]。驗(yàn)證過程保證硬件實(shí)現(xiàn)滿足所有的需求（包括衍生需求），系統(tǒng)需求不必在硬件的V&V過程進(jìn)行確認(rèn)。構(gòu)型管理過程要提供能夠持續(xù)更替的構(gòu)型項(xiàng)，再現(xiàn)必要的數(shù)據(jù)和產(chǎn)品，在必須更改時(shí)控制構(gòu)型項(xiàng)的更改。對于復(fù)雜電子硬件構(gòu)型管理，僅使用頂層圖紙是不夠的，需采用附加方法來控制客戶化可編程器件中的嵌入邏輯，硬件構(gòu)型索引便是其選擇之一。過程保證確保了開發(fā)活動按照計(jì)劃進(jìn)行，使生命周期目標(biāo)得到實(shí)現(xiàn)，對于偏離的事件進(jìn)行了標(biāo)識。多數(shù)情況下，該活動由獨(dú)立于開發(fā)團(tuán)隊(duì)的質(zhì)量保證系統(tǒng)或機(jī)構(gòu)完成。各過程的關(guān)聯(lián)[3]如圖2所示。

1.2 機(jī)載電子硬件的批準(zhǔn)方式

機(jī)載電子硬件并沒有一個(gè)獨(dú)立的審定批準(zhǔn)證書，其總是作為飛機(jī)、系統(tǒng)或設(shè)備的一部分，不會單獨(dú)存在。它一般通過型號合格審定（TC）、補(bǔ)充型號合格審定（STC）、技術(shù)標(biāo)準(zhǔn)規(guī)定（TSO）、零部件制造人批準(zhǔn)書（PMA）等形式獲得適航批準(zhǔn)。另一方面，含有機(jī)載電子軟硬件的飛機(jī)、系統(tǒng)或設(shè)備得到批準(zhǔn)的前提之一便是所含的電子硬件和軟件已得到批準(zhǔn)。機(jī)載設(shè)備最常見的審定形式為隨型號合格審定和單獨(dú)審定兩種。

在ARJ21-700型號合格審定項(xiàng)目中，對機(jī)載電子硬件的相關(guān)適航要求主要體現(xiàn)在對系統(tǒng)和設(shè)備的要求，即 CCAR25.1301“功能和安裝”、CCAR25.1309“設(shè)備、系統(tǒng)及安裝”和CCAR33.28“發(fā)動機(jī)電氣和電子控制系統(tǒng)”（發(fā)動機(jī)具備單獨(dú)的TC，不在該項(xiàng)目審定范圍內(nèi)）。

對于單獨(dú)審定項(xiàng)目，其審定基礎(chǔ)一般為對應(yīng)的適航標(biāo)準(zhǔn)和附加要求。在ARJ21-700項(xiàng)目中最主要的就是TSO形式。值得注意的是，許多TSO是在適航局方提出機(jī)載電子硬件審定要求前發(fā)布，可能不包含相關(guān)硬件的要求，但考慮到現(xiàn)代飛機(jī)的需求，也意味著即使新申請較早版本TSOA的項(xiàng)目，也必須關(guān)注機(jī)載電子硬件的適航要求。

但無論何種審定形式，對于機(jī)載電子硬件的適航要求都是統(tǒng)一的。對于不同項(xiàng)目，審定中存在差異的是局方介入項(xiàng)目的深度，這取決于申請人經(jīng)驗(yàn)、申請人背景、工程師的設(shè)計(jì)質(zhì)量和經(jīng)驗(yàn)、項(xiàng)目的創(chuàng)新性或唯一性以及項(xiàng)目的關(guān)鍵程度等。

中國的絕大部分申請人是第1次依照DO-254來開發(fā)復(fù)雜電子硬件。CAAC的介入程度都應(yīng)當(dāng)是最高等級，需要對所有的階段進(jìn)行現(xiàn)場審核。為了滿足符合性，適航審定貫穿于整個(gè)硬件生命周期，局方有4個(gè)典型的介入階段[4]，分別是計(jì)劃評審、設(shè)計(jì)評審、確認(rèn)與驗(yàn)證評審、最終評審。對于某些項(xiàng)目，根據(jù)需求，現(xiàn)場審核也可能不限于這4個(gè)階段。例如：一個(gè)大系統(tǒng)擁有許多小系統(tǒng)或一個(gè)項(xiàng)目有許多問題時(shí)，局方將會要求更深的介入。

對于國產(chǎn)型號的國外供應(yīng)商，根據(jù)具體情況，處理方式也各不相同，具體取決于中國與該國適航雙邊協(xié)議（BASA），當(dāng)然也取決于審定的類型。例如：對于美國供應(yīng)商，具有TSOA的設(shè)備就可以通過設(shè)計(jì)批準(zhǔn)認(rèn)可（VDA）的形式進(jìn)行批準(zhǔn)，CAAC將主要進(jìn)行文件審定，而不會對其進(jìn)行現(xiàn)場審核；對于未取得TSOA隨機(jī)取證的設(shè)備，CAAC將直接負(fù)責(zé)所有審定工作。

2 DO-254標(biāo)準(zhǔn)未能涵蓋的問題解析

2.1 適用范圍

依照DO-254標(biāo)準(zhǔn)定義，DO-254適用于整個(gè)機(jī)載電子設(shè)備，但在具體實(shí)踐工程中，局方往往并不這樣要求，而是主要針對于客戶化可編程邏輯器件。

在ARJ21-700項(xiàng)目中，有18個(gè)系統(tǒng)、33個(gè)設(shè)備，包含了可編程邏輯器件。AEH的審定主要關(guān)注于設(shè)計(jì)保證等級（DAL）為A、B、C級的下列器件：

1）客戶化可編程器件，其中包括專用集成電路（ASIC）、可編程邏輯器件（PLD）以及在航空系統(tǒng)和設(shè)備中使用的相似電子元器件等。

2）COTS器件，如微處理器、橋接器、圖形處理器等。

3）知識產(chǎn)權(quán)（IP）核，如 PCI、CAN 總線等。IP 包括硬IP、軟IP和固件IP。

其中第1）項(xiàng)必須按照DO-254進(jìn)行硬件研制。對于COTS器件和IP，基于目前工業(yè)實(shí)踐的經(jīng)驗(yàn)，要求其遵循DO-254是不現(xiàn)實(shí)的。中國審定局方對于該如何處理還沒有給出指導(dǎo)性的意見，但申請人可基于下述方法來表明這類器件的適航符合性：

1）從已知關(guān)于IP功能和設(shè)計(jì)的信息中利用反向工程獲取所需要的生命周期數(shù)據(jù)；

2）加強(qiáng)IP測試與分析；

3）設(shè)備、板卡、LRU或系統(tǒng)級體系結(jié)構(gòu)消解；

4）產(chǎn)品服務(wù)經(jīng)驗(yàn)；

5）避免在A、B級功能中直接使用COTS產(chǎn)品。

2.2 驗(yàn)證的完成標(biāo)準(zhǔn)

DO-254沒有明確指出驗(yàn)證活動的完成標(biāo)準(zhǔn)，只在附錄B中討論了元素分析的使用，用于判斷完成的標(biāo)準(zhǔn)。本文并不討論所有的驗(yàn)證活動，而僅限于硬件描述語言（HDL）。與DO-178B不同，DO-254未針對不同的等級提出不同的“標(biāo)準(zhǔn)”覆蓋率要求，如對應(yīng)于軟件的A、B、C級要求修訂條件判斷覆蓋（MC/DC）、條件判定覆蓋（C/DC）和語句覆蓋。進(jìn)行代碼覆蓋率分析是為了確保驗(yàn)證過程將執(zhí)行所有的代碼、指示測試集是否完善，對于必須寫出而又無法測試到的代碼要保證其不會影響設(shè)計(jì)功能，并且找出死代碼。對于硬件來說，常見的有語句覆蓋、分支覆蓋、條件覆蓋、表達(dá)式覆蓋、有限狀態(tài)機(jī)覆蓋和翻轉(zhuǎn)覆蓋。

語句覆蓋，能確保每個(gè)語句都被執(zhí)行，尤其是一行代碼包含多個(gè)語句。分支覆蓋，能說明是否執(zhí)行了所有可能的分支。條件覆蓋著重檢查分支條件是否都執(zhí)行了。表達(dá)式覆蓋率將跟蹤輸入或輸出的狀態(tài)，確保每一個(gè)輸入進(jìn)表達(dá)式的真假值都執(zhí)行了，類似于軟件中的C/DC或MC/DC覆蓋。有限狀態(tài)機(jī)覆蓋，確保測試執(zhí)行了所有狀態(tài)以及狀態(tài)的轉(zhuǎn)換。翻轉(zhuǎn)覆蓋比較容易引起迷惑，雖然很多仿真工具提供支持，但并不能真正用來做RTL代碼分析，而是在制造階段用來支持芯片測試，尋找引起芯片內(nèi)部某個(gè)節(jié)點(diǎn)停留在邏輯1或0狀態(tài)的缺陷。

這里要指出的是，達(dá)到100%的代碼覆蓋率并不能保證設(shè)計(jì)的功能正確，還需要功能覆蓋率。功能覆蓋率包含了一套捕獲和描述設(shè)計(jì)行為的機(jī)制，自動生成捕獲測試結(jié)果，并判斷是否違規(guī)。除此之外，對于ASIC還有固定值故障、路徑延遲故障以及橋接故障等，每種故障都有相應(yīng)指標(biāo)，有時(shí)統(tǒng)稱為測試覆蓋率。

在當(dāng)前的項(xiàng)目中，局方針對不同的案例可能會提出不同的要求，如空客A350和A380型號審定中的要求是不一樣的。無論如何申請人應(yīng)當(dāng)至少滿足需求的100%覆蓋，并表明與局方約定的HDL代碼的相應(yīng)覆蓋率。

2.3 可更改客戶化可編程器件

有些數(shù)字設(shè)備不用更換其硬件本身，就可從外部更改其內(nèi)部嵌入邏輯和功能，這就是可更改客戶化可編程器件，這些器件具有被用戶在現(xiàn)場改變其構(gòu)型的可能性。在機(jī)載設(shè)備中很少使用現(xiàn)場可更改客戶化可編程器件，因?yàn)槠渚哂胁淮_定性，但DO－254沒有就這類硬件的現(xiàn)場更改情況提出相關(guān)要求。在審定過程中，為保證硬件不會發(fā)生在非構(gòu)型控制狀態(tài)下的更改，就需要采取適當(dāng)?shù)拇胧┛刂破淝度脒壿嫺姆椒?。因此對于此類硬件，局方要求除了DO－254外，申請人還必須遵循DO－178B第2.4～2.5節(jié)，或者能夠證明具有相同的安全性。此外，8110.49的第5～7章也應(yīng)當(dāng)被考慮。ARJ21－700項(xiàng)目則明確規(guī)定了不允許在現(xiàn)場對可編程邏輯器件進(jìn)行更改。

2.4 多時(shí)鐘域問題

在DO－254編寫時(shí)，由于工藝和設(shè)計(jì)水平的限制，多時(shí)鐘域問題并不是一個(gè)棘手的問題，但在今天卻是一個(gè)普遍存在的問題，雖然DO－254涉及到了設(shè)計(jì)裕度，但這里仍然需要強(qiáng)調(diào)。比較嚴(yán)重的是由于多時(shí)鐘域而帶來的亞穩(wěn)態(tài)特性，在普通的仿真和靜態(tài)時(shí)序分析中很難發(fā)現(xiàn)問題，這對于安全性相關(guān)的功能帶來了潛在威脅。DO－254雖然沒有明確提出要進(jìn)行跨時(shí)鐘域的驗(yàn)證，但是要求檢查“反常行為”，而亞穩(wěn)態(tài)可以被認(rèn)為是由設(shè)計(jì)錯(cuò)誤而引起的反常行為。申請人應(yīng)當(dāng)提供處理亞穩(wěn)態(tài)性的數(shù)據(jù)，包括是否有同步策略、同步策略如何使用以及效果如何。此外，申請人還應(yīng)進(jìn)行由于多時(shí)鐘域而帶來的環(huán)境方面的考慮。

2.5 邏輯綜合問題

這是一個(gè)經(jīng)常被忽略的地方。DO－254要求設(shè)計(jì)的每一步都有可重復(fù)性，理想的情況下，重新運(yùn)行同樣的設(shè)計(jì)步驟，一定可以得到相同的結(jié)果。但是工具在綜合階段會進(jìn)行邊界優(yōu)化、資源共享以及流水線優(yōu)化，每次綜合可能得到不同的內(nèi)部數(shù)據(jù)和不可重復(fù)的結(jié)果。申請人需在此方面對工具進(jìn)行鑒定，并且在設(shè)計(jì)中考慮一些設(shè)計(jì)保證措施以保證改動部分的設(shè)計(jì)不影響已經(jīng)固定下來的設(shè)計(jì)部分。

2.6 簡單電子硬件（SEH）的驗(yàn)證標(biāo)準(zhǔn)

對于簡單電子硬件的審定，同樣關(guān)注于客戶化可編程器件。如果申請人將該類器件定義為“簡單”的，并且不選擇DO－254作為符合性方法，則CAAC將要求申請人進(jìn)行窮盡測試和分析。圖3展示了一個(gè)簡單的執(zhí)行A級輸入控制功能的案例，說明“簡單”電子硬件的測試和分析要求。

所有的輸入（429_DATA1/2、SENSOR1/2、Re復(fù)位信號、UART），輸出（OUT_A、OUT_EN），內(nèi)部信號（全局復(fù)位信號、邏輯控制信號、監(jiān)控信號等），內(nèi)部模塊（全局復(fù)位、MONITOR、LOGIC CONTROL、多路選擇器）以及器件中所有的寄存器、鎖存器、邏輯器件和門，應(yīng)該證明它們在所有可能的組合、排列和并發(fā)狀態(tài)均無異常行為。當(dāng)然也要考慮動態(tài)特性，如輸出信號OUT_EN的建立時(shí)間應(yīng)該是有限的（如小于5 ns），并且與其他模塊是并發(fā)的。因此，在模塊層級還不能完全完成測試，需要延伸到內(nèi)部模塊，如邏輯控制模塊[5]，并且最終到達(dá)寄存器傳輸級或門級。局方最認(rèn)同的驗(yàn)證方式是物理測試，這就要求申請人采用必要的方法以觀測內(nèi)部節(jié)點(diǎn)信號。

除了上面提到的測試與分析之外，覆蓋分析需要證明完整地實(shí)現(xiàn)了特定標(biāo)準(zhǔn)。所有的門或節(jié)點(diǎn)及其內(nèi)部的模塊組織（如多路選擇器可能由許多的與非門、或門和觸發(fā)器組成），應(yīng)確定的是其的確執(zhí)行了恰當(dāng)?shù)牟僮鱗6]。同時(shí)，還應(yīng)分析最好和最壞時(shí)序，這是硬件驗(yàn)證與軟件不同之處，在驗(yàn)證電路時(shí)，設(shè)計(jì)者應(yīng)考慮電路物理特性。

但是，在工業(yè)實(shí)際中，如果硬件邏輯如本案例一樣復(fù)雜，這幾乎不可能達(dá)到所要求的標(biāo)準(zhǔn)。如果申請人將如此復(fù)雜的硬件定義為“簡單”，他們將要承擔(dān)巨大的風(fēng)險(xiǎn)，并且有可能不得不再次按照DO－254要求重新開始研制。當(dāng)用戶將微編碼器件用于選擇器、分頻器等簡單功能時(shí)，通常是可以被定義為“簡單”的。

3 結(jié)語

許多國家的適航局方已認(rèn)可DO－254作為一個(gè)可接受的符合性方法來滿足機(jī)載系統(tǒng)和設(shè)備中的客戶化可編程器件相應(yīng)的規(guī)章。經(jīng)過工業(yè)證明，DO－254巨大提升了需求質(zhì)量，并明顯降低了由于錯(cuò)誤和需求缺失帶來的返工概率，提升了構(gòu)型管理，確保更高的硬件質(zhì)量。但其仍是一個(gè)不完善的標(biāo)準(zhǔn)，有許多不明確問題需要進(jìn)一步說明。

RTCA/SC-180委員會（DO-254）與 RTCA/SC-167委員會（DO-178B）聯(lián)系較多，因此很容易發(fā)現(xiàn)DO-254標(biāo)準(zhǔn)與機(jī)載軟件的標(biāo)準(zhǔn)DO-178B有許多過程和要求是相似的，然而恰好也是這種延承使得DO-254沒有很好考慮硬件自身的特性，如動態(tài)測試、并發(fā)過程、時(shí)鐘偏移和時(shí)序等問題，同時(shí)一些航空領(lǐng)域之外的工業(yè)實(shí)踐方法也沒有很好地被利用。

對于硬件設(shè)計(jì)或者審定工程師，在遵照DO-254標(biāo)準(zhǔn)的同時(shí)，還應(yīng)當(dāng)關(guān)注本文中所討論的一些關(guān)鍵問題，這有可能成為機(jī)載電子硬件的潛在安全性問題。本文所推薦的方法并不能直接當(dāng)作適航要求使用，但可以為審定和設(shè)計(jì)工作提供參考。

[1]RTCA.Design Assurance Guidance for Airborne Electronic Hardwar，DO-254[S].Washington D C：RTCA Inc，2000.

[2]SAE.Certification Considerations for Highly Integrated or Complex Aircraft Systems，ARP4754[S].Warrendale，PA：The Engineering Society for Advancing Mobility Land Sea Air and Space，1996.

[3]PAUL S MINER，VICTOR A.A Case-Study Application of RTCA DO-254：Design Assurance Guidance for Airborne Electronic Hardware[C]//AIAA/IEEE 2000 Digital Avionics Systems Conference，Philadelphia，PA，2000.

[4]FAA.Conducting Airborne Electronic Hardware Reviews[S].Seattle：Aircraft Certification Service，2008.

[5]STEVEN C BELAND.Functional Failure Path Analysis of Airborne Electronic Hardware[C]//AIAA/IEEE 2000 Digital Avionics Systems Conference，Philadelphia，PA，2000.

[6]FAA.Simple and Complex Electronic Hardware Approval Guidance，Order8110.105-Chg1[S].Seattle：Aircraft Certification Service，2008.