劉治學

（中國電子科技集團公司第二十研究所，陜西 西安 710068）

DO-178B《機載系統(tǒng)和設備合格審定中的軟件考慮》是由美國航空無線電技術委員會（RTCA）發(fā)布的一個航空軟件合格審定指南，F(xiàn)AA、EASA、CAAC等民航當局都將DO-178B作為可接受的機載軟件符合性方法，通過AC予以實施。

DO-178B標準中的12.2條款中對軟件開發(fā)工具和軟件驗證工具進行了定義，并提出了資格鑒定要求。國內(nèi)研發(fā)民用航空載設備的企業(yè)在按照DO-178B的要求進行適航取證時，對于DO-178B標準中的工具鑒定要求，缺乏足夠的了解和手段。本文主要介紹了美國FAA關于DO-178B標準中的工具鑒定要求和如何進行工具鑒定，為國內(nèi)機載設備軟件進行工具鑒定時提供參考意見。

1 DO-178B簡介

機載設備是飛行安全的基本保證，隨著軟硬件技術的發(fā)展，軟件實現(xiàn)的功能在機載設備中所占的比例迅速增加，同時，軟件安全性也越來越受到人們的重視。

1982年，美國航空無線電技術委員會（RTCA）發(fā)布了第一版DO-178。該標準利用過程控制的方法來滿足軟件安全性的要求，1985年發(fā)布DO-178A，1992年發(fā)布DO-178B。1993年，美國聯(lián)邦航空局（FAA）發(fā)布咨詢通告AC 20-115B，通告中明確：“DO-178B為在當前機載系統(tǒng)及設備的合格審定中如何保證這些系統(tǒng)和設備的軟件滿足適航要求提供了一種可接受的方法”。2000年，中國民用航空總局（CAAC）發(fā)布咨詢通告AC-21-02，將DO-178B推薦為民用航空機載設備軟件合格審定的標準。

DO-178B基于完整的軟件工程過程，在軟件開發(fā)的過程中提出了需要滿足的安全性目標和要求，以此實現(xiàn)對軟件安全性進行控制的要求。另外，DO-178B首次對軟件開發(fā)過程中使用的工具提出了安全性要求，明確了2類工具的鑒定要求。

鑒于此，F(xiàn)AA發(fā)布了一系列有關DO-178B工具鑒定的咨詢通告和適航指令，明確工具鑒定的要求和方法。1999年， FAA發(fā)布通告N8110.83 Software Tool Quali fi cation Notice，2001年，F(xiàn)AA再次發(fā)布通告N8110.91 Guidelines for the Quali fi cation of Software Tools Using RTCA/DO-178B，2003年，F(xiàn)AA發(fā)布適航指令ORDER8110.49 Software Approval Guidelines等等，對在使用DO-178B標準過程中涉及到的工具鑒定問題，提出了指導意見，以消除對標準的誤解。

2 軟件工具的類型和判定準則

DO-178B標準中的12.2中有關工具鑒定的要求是，“當DO-178B的過程，通過使用某一軟件工具而被取消、減少或自動進行，且其輸出未按照第6 章的規(guī)定進行驗證時，要求對工具進行鑒定?！薄肮ぞ哞b定過程的目標是確保工具提供至少等效于取消的、減少的或自動進行的過程的置信度”。

2.1 軟件工具的類型

按照DO-178B標準生命周期模型，軟件過程由計劃過程、開發(fā)過程和綜合過程組成，軟件開發(fā)過程由需求過程、設計過程、編碼過程、集成過程組成，及綜合過程中的驗證過程。在開發(fā)過程中一般使用的工具主要分為4種類型：分析工具（需求、性能）、設計工具（架構設計、代碼生成）和集成工具（編譯器等），驗證過程使用的工具有測試工具、覆蓋分析工具等。

DO-178B主要關注兩類軟件工具：開發(fā)工具，輸出是機載軟件的一部分并且可能引入錯誤的工具；驗證工具，不能引入錯誤但可能檢測不到錯誤的工具。

2.2 判定準則

按照N8110.83、N8110.91的要求，一個工具需要鑒定必須具備3個條件： 工具可能將錯誤引入到軟件中；工具的輸出沒有按照DO-178B的要求進行驗證； 通過使用工具消除、減少或自動進行了某些過程，只有滿足了3個條件，這個工具才需要進行鑒定，否則，不需要鑒定。其判定過程見圖1。

圖1 工具鑒定的確定過程

3 鑒定過程

3.1 確定工具的鑒定要求

當按照判斷準則，確定一個工具需要進行鑒定，就需要按照工具的類別確定工具的鑒定要求，DO-178B對開發(fā)工具和驗證工具提出了不同的要求。我們知道，軟件的開發(fā)過程和驗證過程的所需證據(jù)是按照軟件的安全等級對系統(tǒng)的影響確定的，因此，開發(fā)工具和驗證工具的鑒定要求也是按照工具的潛在錯誤對安全等級的影響確定的。

工具的鑒定要求如表1所示。

3.2 鑒定過程需提交的資料

工具鑒定是軟件合格審定過程的一部分，并且是系統(tǒng)合格審定的組成部分。因此，在適航指令ORDER8110.49中明確規(guī)定，工具鑒定必須按照軟件過程要求，獨立對工具鑒定過程進行策劃，編制獨立的工具鑒定計劃，并與軟件開發(fā)計劃保持一致、協(xié)調(diào)；在軟件合格審定計劃中應引用和說明工具鑒定計劃，在完成工具鑒定后應編制工具鑒定工作總結報告，并應在軟件研制工作總結報告中引用和說明工具鑒定工作總結。

表1 工具的鑒定要求

資料分為需要和提交兩類，適航審查方將對需要類資料進行評審，提交類是指被審查方應向適航審查方提交此類資料。

工具鑒定過程的資料見表2。

表2 工具的鑒定資料

3.2.1 開發(fā)工具的鑒定資料

對于需要進行鑒定的軟件開發(fā)工具，必須向適航審查方提交軟件合格審定計劃、工具鑒定計劃、軟件研制工作總結和工具鑒定工作總結，同時，受審查方應提供工具操作手冊、研制測試結果以及工具鑒定過程中的研發(fā)資料。

3.2.1.1 軟件合格審定計劃

軟件合格審定計劃是合格審定機構使用的主要手段，以確定申請人是否正在計劃與被開發(fā)軟件的等級的主要要求相匹配的軟件生存周期。在軟件合格審定計劃中應詳細說明將要使用的驗證工具，與審核員溝通確定工具鑒定的可接受方法和相關文檔，軟件合格審定計劃應經(jīng)審定機構評審。

3.2.1.2 開發(fā)工具鑒定計劃

需要單獨提交工具鑒定計劃，工具鑒定計劃中應包括鑒定的方法和資料，工具鑒定計劃應提交給審定機構，并獲得批準。

3.2.1.3 開發(fā)工具操作要求

開發(fā)工具的操作要求除滿足驗證工具的操作要求外，應明確使用工具所代替的開發(fā)過程，以及異常工作情況下，工具所期望的反應。

通常情況下，工具的用戶手冊可能包括了這些信息，但也可能存在不足，還應設法補充不足的信息。

3.2.1.4 開發(fā)工具驗證測試結果

按照開發(fā)工具操作要求完成所有的驗證工作，必須在工具運行的正常狀態(tài)和異常狀態(tài)下進行充分的驗證，驗證數(shù)據(jù)與開發(fā)工具的等級和開發(fā)工具的復雜度有關，這些資料應提交給審定機構并進行評審。

3.2.1.5 開發(fā)工具鑒定工作總結

需單獨編制工具鑒定工作總結，內(nèi)容應包括工具鑒定的結果和鑒定過程的詳細描述，以及其他相關的鑒定資料，工具鑒定工作總結應提交給審定機構，并獲得批準。

3.2.1.6 開發(fā)工具鑒定過程的研發(fā)資料

開發(fā)工具在鑒定過程中如果有研發(fā)資料，如設計、代碼、測試用例和規(guī)程等，應提供給審定機構進行評審。

3.2.2 驗證工具的鑒定資料

有關驗證工具，向局方提交的資料較少，主要有軟件合格審定計劃、工具鑒定工作總結。除工具鑒定過程的研發(fā)資料外，其他資料應提供局方進行評審。

3.2.2.1 驗證工具鑒定計劃

可以提供單獨的工具鑒定計劃，或?qū)⑵鋬?nèi)容納入到軟件合格審定計劃中。

3.2.2.2 驗證工具操作要求

工具操作要求規(guī)定了工具操作的功能性，在正常運行情況下，對其所具有的功能制定詳細的驗證要求，并進行測試以驗證。定義工具的運行環(huán)境，包括操作系統(tǒng)和其他考慮（分析工具具備哪些功能，不具備哪些功能等）、檢查單、測試用例等，以及硬件環(huán)境（處理器、特殊的測試儀器等），其他信息要求，如軟件安裝和運行的用戶手冊。工具操作要求應經(jīng)審定機構評審。

3.2.2.3 驗證工具測試結果、鑒定工作總結，軟件研制工作總結

可以提供單獨的工具驗證測試結果、工具鑒定工作總結，也可將其內(nèi)容納入到軟件研制工作工作總結中，并提交給審定機構。

3.3 工具鑒定的配置管理過程和質(zhì)量保證過程

對軟件開發(fā)工具，工具鑒定資料要按照DO-178B中控制類1（CC1）的要求進行控制；對軟件驗證工具，工具鑒定資料要按照DO-178B中控制類2（CC2）的要求進行控制。

工具鑒定的質(zhì)量保證過程應和開發(fā)軟件的質(zhì)量保證過程一致。

3.4 批準工具鑒定過程的資料

按照Order 8110.49的規(guī)定，審定機構將根據(jù)工具的種類，分兩步對工具鑒定做出認可。

3.4.1 開發(fā)工具

批準工具鑒定計劃；

批準工具鑒定工作總結。

3.4.2 驗證工具

批準軟件合格審定計劃；

批準軟件研制工作總結。

4 結束語

DO-178B軟件工具鑒定實施難度較大，軟件工具鑒定對國內(nèi)企業(yè)來說還是一個新課題，還需要我們進行不斷的探索和研究。