劉文+王青

摘要研究了DO-254標準中提出的過程保證目標，定義過程保證與機載復(fù)雜電子硬件開發(fā)其他過程的關(guān)系，提出了具體過程保證活動定義和要求，能夠為機載復(fù)雜電子硬件開發(fā)提供有效保障。

關(guān)鍵詞DO-254；過程保證

中圖分類號：V241 文獻標識碼：A 文章編號：1671-7597（2014）11-0045-02

伴隨航空電子技術(shù)的發(fā)展，大量復(fù)雜電子硬件在飛行關(guān)鍵系統(tǒng)中承擔的功能越來越多，對飛行關(guān)鍵系統(tǒng)及飛機的安全性影響越來越大。但由于復(fù)雜電子硬件其自身不同于傳統(tǒng)機械式部件，其設(shè)計錯誤帶來的風險難以控制，而且很難完整地通過測試或分析來保證其高可靠性和安全性。通常為了降低這種風險，適航審定部門在飛機適航審定過程中將引入一些標準，來規(guī)范硬件開發(fā)過程，期望在早期消除或降低硬件設(shè)計錯誤對安全性的影響。

目前國內(nèi)外航空業(yè)界普遍認可美國RTCA協(xié)會制定的DO-254標準《機載電子硬件設(shè)計保證指南》（等同于歐洲EUROCAE ED-80標準）作為機載復(fù)雜電子硬件開發(fā)的指導性文件。中國民用航空局（CAAC）目前雖未頒布相關(guān)的咨詢通告或程序，但在新支線客機ARJ21-700項目中以問題紀要的形式，明確了以DO-254作為CCAR-25部1301和1309條款的符合性方法之一[1]。因此遵照DO-254中提出的過程要求開展機載復(fù)雜電子硬件（以下簡稱硬件）開發(fā)，才能符合適航要求。

1硬件開發(fā)生命周期

通常機載復(fù)雜電子硬件開發(fā)生命周期分為計劃過程、需求過程、概要設(shè)計過程、詳細設(shè)計過程、實現(xiàn)過程、生產(chǎn)轉(zhuǎn)換過程[2]。如圖1所示，各過程之間均需要通過評審，以確定該過程滿足了過程目標，能夠進入下一開發(fā)過程。這里便引入了過程保證（Process Assurance）的概念，其作為一種支持性過程存在于整個軟/硬件生命周期。

過程保證主要是評估軟硬件生命周期過程及其輸出，以保證開發(fā)過程滿足各項目標要求，保證設(shè)計中發(fā)現(xiàn)出的問題能夠得到有效評估、跟蹤直至解決，保證硬件產(chǎn)品及其生命周期數(shù)據(jù)符合適航審定要求。過程保證活動應(yīng)獨立完成，以保證這些生命周期過程評價的客觀性。

2過程保證目標

DO-254標準提出過程保證的目標是保證硬件開發(fā)生命周期符合開發(fā)計劃；保證產(chǎn)生的硬件設(shè)計生命周期數(shù)據(jù)符合開發(fā)計劃；保證用于符合性評審的硬件項是按照相關(guān)的生命周期數(shù)據(jù)創(chuàng)建的。標準中還給出了硬件過程保證活動的部分指南[2]，其中包括：保證計劃階段制定計劃的有效性；保證按照已批準的計劃進行評審，跟蹤采取的措施達到閉環(huán)；保證與硬件計劃和標準的差異的檢測、記錄、評估、批準、跟蹤和解決；保證硬件生命周期過程的轉(zhuǎn)化條件滿足已批準的計劃；保證硬件項目的創(chuàng)建與其設(shè)計數(shù)據(jù)一致；產(chǎn)生過程保證活動記錄。

通過研究RTCA DO-254標準中過程保證相關(guān)內(nèi)容，總結(jié)出過程保證活動的目標[2]如下：1）生命周期過程符合經(jīng)批準的計劃；2）產(chǎn)生的硬件設(shè)計生命周期數(shù)據(jù)符合經(jīng)批準的計劃；3）用于符合性評審的硬件項目，按照相關(guān)的生命周期數(shù)據(jù)創(chuàng)建。

圖1硬件開發(fā)生命周期

總之，硬件開發(fā)過程中進行過程保證活動就是為了保證硬件設(shè)計過程中的所有活動能夠按照計劃，完整有效地進行。

3過程保證活動

通過對DO-254中提出的目標和活動指南，可以確定四項過程保證活動：制定過程保證計劃、工作產(chǎn)品審計、過程轉(zhuǎn)換評審和符合性評審[4]，各過程保證活動在硬件開發(fā)過程的關(guān)系如圖2所示。下面將詳細介紹每一項過程保證活動的內(nèi)容和要求。

3.1 制定過程保證計劃

在計劃階段，項目質(zhì)量工程師應(yīng)對硬件開發(fā)過程中的過程保證活動進行策劃，編制過程保證計劃，過程保證計劃應(yīng)保證與硬件開發(fā)計劃一致。在過程保證計劃中應(yīng)考慮以下內(nèi)容：1）過程保證組織機構(gòu)及人員職責；2）定義開發(fā)過程中的審計活動，明確質(zhì)量工程師需要獨立進行或目擊的驗證測試活動；3）確定過程轉(zhuǎn)換評審的準則；4）確定批準工作產(chǎn)品的范圍；5）確定符合性評審要求；6）制定各項過程保證活動的開展時機和時間計劃。

圖2硬件開發(fā)過程中過程保證活動

3.2 審計工作產(chǎn)品

工作產(chǎn)品審計主要針對各過程活動（需求過程、設(shè)計過程、實現(xiàn)過程等）產(chǎn)生的工作產(chǎn)品（包括文檔、代碼、測試程序等）進行審計。目的是檢查工作產(chǎn)品與計劃、開發(fā)標準（需求標準、設(shè)計標準、編碼標準）及有關(guān)的標準規(guī)范的符合性，從而確保工作產(chǎn)品的質(zhì)量。

項目質(zhì)量工程師可獨立進行審計，也可通過參加工作產(chǎn)品評審會議進行。質(zhì)量工程師應(yīng)事先制定相應(yīng)工作產(chǎn)品的檢查單，質(zhì)量工程師按照檢查單，對工作產(chǎn)品的內(nèi)容，與計劃的一致性，評審問題的落實情況，工作產(chǎn)品受控情況逐一進行審計，若發(fā)現(xiàn)不符合檢查單或計劃要求時，質(zhì)量工程師有權(quán)將該文件退回，并要求相關(guān)人員修改后重新提交。工作產(chǎn)品在審簽過程中必須增加質(zhì)量工程師批準，未經(jīng)過質(zhì)量工程師批準的工作產(chǎn)品不可認為是有效產(chǎn)品。

在質(zhì)量工程師開展審計時，應(yīng)關(guān)注以下幾方面：1）工作產(chǎn)品的標識、版本和更改信息是否完整；2）工作產(chǎn)品內(nèi)容與需求標準、設(shè)計標準、驗證標準等標準文件的一致性；3）工作產(chǎn)品中進度安排與計劃的一致性；4）工作產(chǎn)品的評審情況以及受控情況。

3.3 進行過程轉(zhuǎn)換評審

過程轉(zhuǎn)換評審是當項目按照開發(fā)計劃中規(guī)定的過程（需求過程、設(shè)計過程、實現(xiàn)過程等）進行開發(fā)時，由質(zhì)量工程師按照計劃檢查每個工作階段任務(wù)的完成情況是否與計劃一致，并批準是否可以轉(zhuǎn)入下一階段工作。

質(zhì)量工程師在過程轉(zhuǎn)換評審中，應(yīng)關(guān)注以下幾點：1）該過程中的工作產(chǎn)品、評審記錄、構(gòu)型管理記錄是否完整；2）檢查硬件開發(fā)計劃中定義的該過程工作產(chǎn)品是否都已完成；3）確定未關(guān)閉的問題是否會對下一過程的工作造成重大影響；4）確定是否滿足硬件開發(fā)計劃中進入下一個過程的條件。

如果質(zhì)量工程師根據(jù)硬件開發(fā)計劃，通過各項資料審查認為不具備過程轉(zhuǎn)換條件時，給予不通過結(jié)論。質(zhì)量工程師可以要求開發(fā)團隊（組件）在補充完善產(chǎn)品資料后，需重新申請過程轉(zhuǎn)換評審。

3.4 進行符合性評審

符合性評審是為了保證硬件生命周期和生命周期數(shù)據(jù)的完整性，在所有數(shù)據(jù)提交適航審定部門最終批準前進行的一次評審。質(zhì)量工程師應(yīng)組織項目人員檢查硬件開發(fā)過程和數(shù)據(jù)的完整性，評估開發(fā)過程是否和計劃一致，所有的開發(fā)活動和生命周期數(shù)據(jù)是否完整，有效。符合性評審活動由質(zhì)量工程師發(fā)起，可以邀請項目團隊參加，也可以獨立進行。評審需要檢查的數(shù)據(jù)如下：1）硬件確認和驗證結(jié)果；2）硬件環(huán)境配置索引；3）硬件配置索引；4）硬件開發(fā)過程中相關(guān)證據(jù)文件（問題報告、構(gòu)型索引）。

通過符合性評審的準則可以考慮以下方面：1）確認硬件開發(fā)生命周期已經(jīng)完成；2）確認硬件開發(fā)生命周期數(shù)據(jù)完整、受控并且已發(fā)布；3）確認之前的問題報告是否已歸零；分析遺留的開口問題是否影響產(chǎn)品的提交和發(fā)布；4）確認硬件構(gòu)型索引報告是否與待提交或發(fā)布產(chǎn)品狀態(tài)一致。

符合性評審的通過標志著整個硬件開發(fā)生命周期的結(jié)束。

4結(jié)束語

本文主要通過對機載復(fù)雜電子硬件過程保活動目標的研究，提出符合DO-254要求的過程保證方法，該過程保證方法也可以用于機載軟件開發(fā)過程對DO-178B標準中質(zhì)量保證活動。過程保證應(yīng)該在軟件和硬件生命周期過程活動中起到積極的作用，但是需要注意，質(zhì)量工程師必須具有一定的權(quán)威性、明確的職責和獨立性，才能確保過程保證活動發(fā)揮其真正意義。

參考文獻

[1]王鵬，田毅.DO-254標準在機載電子硬件審定中的應(yīng)用[J].中國民航大學學報，2010，10（5）：17-20，24.

[2]RTCA. DO-254 Design Assurance Guidance for Airborne Electronic Hardwar [S]. Washington DC：RTCA Inc.

[3]胡小婷，田澤.基于DO-254的航空集成電路設(shè)計保障研究[J].計算機技術(shù)與發(fā)展[J].2012（8）：189-191.

[4]劉文.機載信息系統(tǒng)研制過程中的質(zhì)量保證體系研究[D].北京航空航天大學可靠性與系統(tǒng)工程學院，2013（11）.

[5]逯鵬，高慶一，等.軟件質(zhì)量保證的工程化實施[J].哈爾濱工業(yè)大學學報，2006（3）：423-425.

[6]SAE ARP4754A Guidelines For Development of Civil Aircraft and Systems[S].

[7]RTCA DO-178B Software considerations in airborne systems and equipment certification[S].Washington DC：RTCA Inc.

[8]張俊光，呂廷杰.軟件質(zhì)量保證計劃方法的研究[J].北京郵電大學學報，2006（4）：42-45.

[9]劉中平.基于過程管理的民機軟件質(zhì)量控制[J].中國制造業(yè)信息化，2012（9）：25-27，31.

[10]房海濤，劉丹.基于ARP4754的民用飛機復(fù)雜系統(tǒng)研制過程保證方法研究[J].航空科學技術(shù)，2013（1）：52-54.

endprint

摘要研究了DO-254標準中提出的過程保證目標，定義過程保證與機載復(fù)雜電子硬件開發(fā)其他過程的關(guān)系，提出了具體過程保證活動定義和要求，能夠為機載復(fù)雜電子硬件開發(fā)提供有效保障。

關(guān)鍵詞DO-254；過程保證

中圖分類號：V241 文獻標識碼：A 文章編號：1671-7597（2014）11-0045-02

伴隨航空電子技術(shù)的發(fā)展，大量復(fù)雜電子硬件在飛行關(guān)鍵系統(tǒng)中承擔的功能越來越多，對飛行關(guān)鍵系統(tǒng)及飛機的安全性影響越來越大。但由于復(fù)雜電子硬件其自身不同于傳統(tǒng)機械式部件，其設(shè)計錯誤帶來的風險難以控制，而且很難完整地通過測試或分析來保證其高可靠性和安全性。通常為了降低這種風險，適航審定部門在飛機適航審定過程中將引入一些標準，來規(guī)范硬件開發(fā)過程，期望在早期消除或降低硬件設(shè)計錯誤對安全性的影響。

目前國內(nèi)外航空業(yè)界普遍認可美國RTCA協(xié)會制定的DO-254標準《機載電子硬件設(shè)計保證指南》（等同于歐洲EUROCAE ED-80標準）作為機載復(fù)雜電子硬件開發(fā)的指導性文件。中國民用航空局（CAAC）目前雖未頒布相關(guān)的咨詢通告或程序，但在新支線客機ARJ21-700項目中以問題紀要的形式，明確了以DO-254作為CCAR-25部1301和1309條款的符合性方法之一[1]。因此遵照DO-254中提出的過程要求開展機載復(fù)雜電子硬件（以下簡稱硬件）開發(fā)，才能符合適航要求。

1硬件開發(fā)生命周期

通常機載復(fù)雜電子硬件開發(fā)生命周期分為計劃過程、需求過程、概要設(shè)計過程、詳細設(shè)計過程、實現(xiàn)過程、生產(chǎn)轉(zhuǎn)換過程[2]。如圖1所示，各過程之間均需要通過評審，以確定該過程滿足了過程目標，能夠進入下一開發(fā)過程。這里便引入了過程保證（Process Assurance）的概念，其作為一種支持性過程存在于整個軟/硬件生命周期。

過程保證主要是評估軟硬件生命周期過程及其輸出，以保證開發(fā)過程滿足各項目標要求，保證設(shè)計中發(fā)現(xiàn)出的問題能夠得到有效評估、跟蹤直至解決，保證硬件產(chǎn)品及其生命周期數(shù)據(jù)符合適航審定要求。過程保證活動應(yīng)獨立完成，以保證這些生命周期過程評價的客觀性。

2過程保證目標

DO-254標準提出過程保證的目標是保證硬件開發(fā)生命周期符合開發(fā)計劃；保證產(chǎn)生的硬件設(shè)計生命周期數(shù)據(jù)符合開發(fā)計劃；保證用于符合性評審的硬件項是按照相關(guān)的生命周期數(shù)據(jù)創(chuàng)建的。標準中還給出了硬件過程保證活動的部分指南[2]，其中包括：保證計劃階段制定計劃的有效性；保證按照已批準的計劃進行評審，跟蹤采取的措施達到閉環(huán)；保證與硬件計劃和標準的差異的檢測、記錄、評估、批準、跟蹤和解決；保證硬件生命周期過程的轉(zhuǎn)化條件滿足已批準的計劃；保證硬件項目的創(chuàng)建與其設(shè)計數(shù)據(jù)一致；產(chǎn)生過程保證活動記錄。

通過研究RTCA DO-254標準中過程保證相關(guān)內(nèi)容，總結(jié)出過程保證活動的目標[2]如下：1）生命周期過程符合經(jīng)批準的計劃；2）產(chǎn)生的硬件設(shè)計生命周期數(shù)據(jù)符合經(jīng)批準的計劃；3）用于符合性評審的硬件項目，按照相關(guān)的生命周期數(shù)據(jù)創(chuàng)建。

圖1硬件開發(fā)生命周期

總之，硬件開發(fā)過程中進行過程保證活動就是為了保證硬件設(shè)計過程中的所有活動能夠按照計劃，完整有效地進行。

3過程保證活動

通過對DO-254中提出的目標和活動指南，可以確定四項過程保證活動：制定過程保證計劃、工作產(chǎn)品審計、過程轉(zhuǎn)換評審和符合性評審[4]，各過程保證活動在硬件開發(fā)過程的關(guān)系如圖2所示。下面將詳細介紹每一項過程保證活動的內(nèi)容和要求。

3.1 制定過程保證計劃

在計劃階段，項目質(zhì)量工程師應(yīng)對硬件開發(fā)過程中的過程保證活動進行策劃，編制過程保證計劃，過程保證計劃應(yīng)保證與硬件開發(fā)計劃一致。在過程保證計劃中應(yīng)考慮以下內(nèi)容：1）過程保證組織機構(gòu)及人員職責；2）定義開發(fā)過程中的審計活動，明確質(zhì)量工程師需要獨立進行或目擊的驗證測試活動；3）確定過程轉(zhuǎn)換評審的準則；4）確定批準工作產(chǎn)品的范圍；5）確定符合性評審要求；6）制定各項過程保證活動的開展時機和時間計劃。

圖2硬件開發(fā)過程中過程保證活動

3.2 審計工作產(chǎn)品

工作產(chǎn)品審計主要針對各過程活動（需求過程、設(shè)計過程、實現(xiàn)過程等）產(chǎn)生的工作產(chǎn)品（包括文檔、代碼、測試程序等）進行審計。目的是檢查工作產(chǎn)品與計劃、開發(fā)標準（需求標準、設(shè)計標準、編碼標準）及有關(guān)的標準規(guī)范的符合性，從而確保工作產(chǎn)品的質(zhì)量。

項目質(zhì)量工程師可獨立進行審計，也可通過參加工作產(chǎn)品評審會議進行。質(zhì)量工程師應(yīng)事先制定相應(yīng)工作產(chǎn)品的檢查單，質(zhì)量工程師按照檢查單，對工作產(chǎn)品的內(nèi)容，與計劃的一致性，評審問題的落實情況，工作產(chǎn)品受控情況逐一進行審計，若發(fā)現(xiàn)不符合檢查單或計劃要求時，質(zhì)量工程師有權(quán)將該文件退回，并要求相關(guān)人員修改后重新提交。工作產(chǎn)品在審簽過程中必須增加質(zhì)量工程師批準，未經(jīng)過質(zhì)量工程師批準的工作產(chǎn)品不可認為是有效產(chǎn)品。

在質(zhì)量工程師開展審計時，應(yīng)關(guān)注以下幾方面：1）工作產(chǎn)品的標識、版本和更改信息是否完整；2）工作產(chǎn)品內(nèi)容與需求標準、設(shè)計標準、驗證標準等標準文件的一致性；3）工作產(chǎn)品中進度安排與計劃的一致性；4）工作產(chǎn)品的評審情況以及受控情況。

3.3 進行過程轉(zhuǎn)換評審

過程轉(zhuǎn)換評審是當項目按照開發(fā)計劃中規(guī)定的過程（需求過程、設(shè)計過程、實現(xiàn)過程等）進行開發(fā)時，由質(zhì)量工程師按照計劃檢查每個工作階段任務(wù)的完成情況是否與計劃一致，并批準是否可以轉(zhuǎn)入下一階段工作。

質(zhì)量工程師在過程轉(zhuǎn)換評審中，應(yīng)關(guān)注以下幾點：1）該過程中的工作產(chǎn)品、評審記錄、構(gòu)型管理記錄是否完整；2）檢查硬件開發(fā)計劃中定義的該過程工作產(chǎn)品是否都已完成；3）確定未關(guān)閉的問題是否會對下一過程的工作造成重大影響；4）確定是否滿足硬件開發(fā)計劃中進入下一個過程的條件。

如果質(zhì)量工程師根據(jù)硬件開發(fā)計劃，通過各項資料審查認為不具備過程轉(zhuǎn)換條件時，給予不通過結(jié)論。質(zhì)量工程師可以要求開發(fā)團隊（組件）在補充完善產(chǎn)品資料后，需重新申請過程轉(zhuǎn)換評審。

3.4 進行符合性評審

符合性評審是為了保證硬件生命周期和生命周期數(shù)據(jù)的完整性，在所有數(shù)據(jù)提交適航審定部門最終批準前進行的一次評審。質(zhì)量工程師應(yīng)組織項目人員檢查硬件開發(fā)過程和數(shù)據(jù)的完整性，評估開發(fā)過程是否和計劃一致，所有的開發(fā)活動和生命周期數(shù)據(jù)是否完整，有效。符合性評審活動由質(zhì)量工程師發(fā)起，可以邀請項目團隊參加，也可以獨立進行。評審需要檢查的數(shù)據(jù)如下：1）硬件確認和驗證結(jié)果；2）硬件環(huán)境配置索引；3）硬件配置索引；4）硬件開發(fā)過程中相關(guān)證據(jù)文件（問題報告、構(gòu)型索引）。

通過符合性評審的準則可以考慮以下方面：1）確認硬件開發(fā)生命周期已經(jīng)完成；2）確認硬件開發(fā)生命周期數(shù)據(jù)完整、受控并且已發(fā)布；3）確認之前的問題報告是否已歸零；分析遺留的開口問題是否影響產(chǎn)品的提交和發(fā)布；4）確認硬件構(gòu)型索引報告是否與待提交或發(fā)布產(chǎn)品狀態(tài)一致。

符合性評審的通過標志著整個硬件開發(fā)生命周期的結(jié)束。

4結(jié)束語

本文主要通過對機載復(fù)雜電子硬件過程?；顒幽繕说难芯?，提出符合DO-254要求的過程保證方法，該過程保證方法也可以用于機載軟件開發(fā)過程對DO-178B標準中質(zhì)量保證活動。過程保證應(yīng)該在軟件和硬件生命周期過程活動中起到積極的作用，但是需要注意，質(zhì)量工程師必須具有一定的權(quán)威性、明確的職責和獨立性，才能確保過程保證活動發(fā)揮其真正意義。

參考文獻

[1]王鵬，田毅.DO-254標準在機載電子硬件審定中的應(yīng)用[J].中國民航大學學報，2010，10（5）：17-20，24.

[2]RTCA. DO-254 Design Assurance Guidance for Airborne Electronic Hardwar [S]. Washington DC：RTCA Inc.

[3]胡小婷，田澤.基于DO-254的航空集成電路設(shè)計保障研究[J].計算機技術(shù)與發(fā)展[J].2012（8）：189-191.

[4]劉文.機載信息系統(tǒng)研制過程中的質(zhì)量保證體系研究[D].北京航空航天大學可靠性與系統(tǒng)工程學院，2013（11）.

[5]逯鵬，高慶一，等.軟件質(zhì)量保證的工程化實施[J].哈爾濱工業(yè)大學學報，2006（3）：423-425.

[6]SAE ARP4754A Guidelines For Development of Civil Aircraft and Systems[S].

[7]RTCA DO-178B Software considerations in airborne systems and equipment certification[S].Washington DC：RTCA Inc.

[8]張俊光，呂廷杰.軟件質(zhì)量保證計劃方法的研究[J].北京郵電大學學報，2006（4）：42-45.

[9]劉中平.基于過程管理的民機軟件質(zhì)量控制[J].中國制造業(yè)信息化，2012（9）：25-27，31.

[10]房海濤，劉丹.基于ARP4754的民用飛機復(fù)雜系統(tǒng)研制過程保證方法研究[J].航空科學技術(shù)，2013（1）：52-54.

endprint

摘要研究了DO-254標準中提出的過程保證目標，定義過程保證與機載復(fù)雜電子硬件開發(fā)其他過程的關(guān)系，提出了具體過程保證活動定義和要求，能夠為機載復(fù)雜電子硬件開發(fā)提供有效保障。

關(guān)鍵詞DO-254；過程保證

中圖分類號：V241 文獻標識碼：A 文章編號：1671-7597（2014）11-0045-02

伴隨航空電子技術(shù)的發(fā)展，大量復(fù)雜電子硬件在飛行關(guān)鍵系統(tǒng)中承擔的功能越來越多，對飛行關(guān)鍵系統(tǒng)及飛機的安全性影響越來越大。但由于復(fù)雜電子硬件其自身不同于傳統(tǒng)機械式部件，其設(shè)計錯誤帶來的風險難以控制，而且很難完整地通過測試或分析來保證其高可靠性和安全性。通常為了降低這種風險，適航審定部門在飛機適航審定過程中將引入一些標準，來規(guī)范硬件開發(fā)過程，期望在早期消除或降低硬件設(shè)計錯誤對安全性的影響。

目前國內(nèi)外航空業(yè)界普遍認可美國RTCA協(xié)會制定的DO-254標準《機載電子硬件設(shè)計保證指南》（等同于歐洲EUROCAE ED-80標準）作為機載復(fù)雜電子硬件開發(fā)的指導性文件。中國民用航空局（CAAC）目前雖未頒布相關(guān)的咨詢通告或程序，但在新支線客機ARJ21-700項目中以問題紀要的形式，明確了以DO-254作為CCAR-25部1301和1309條款的符合性方法之一[1]。因此遵照DO-254中提出的過程要求開展機載復(fù)雜電子硬件（以下簡稱硬件）開發(fā)，才能符合適航要求。

1硬件開發(fā)生命周期

通常機載復(fù)雜電子硬件開發(fā)生命周期分為計劃過程、需求過程、概要設(shè)計過程、詳細設(shè)計過程、實現(xiàn)過程、生產(chǎn)轉(zhuǎn)換過程[2]。如圖1所示，各過程之間均需要通過評審，以確定該過程滿足了過程目標，能夠進入下一開發(fā)過程。這里便引入了過程保證（Process Assurance）的概念，其作為一種支持性過程存在于整個軟/硬件生命周期。

過程保證主要是評估軟硬件生命周期過程及其輸出，以保證開發(fā)過程滿足各項目標要求，保證設(shè)計中發(fā)現(xiàn)出的問題能夠得到有效評估、跟蹤直至解決，保證硬件產(chǎn)品及其生命周期數(shù)據(jù)符合適航審定要求。過程保證活動應(yīng)獨立完成，以保證這些生命周期過程評價的客觀性。

2過程保證目標

DO-254標準提出過程保證的目標是保證硬件開發(fā)生命周期符合開發(fā)計劃；保證產(chǎn)生的硬件設(shè)計生命周期數(shù)據(jù)符合開發(fā)計劃；保證用于符合性評審的硬件項是按照相關(guān)的生命周期數(shù)據(jù)創(chuàng)建的。標準中還給出了硬件過程保證活動的部分指南[2]，其中包括：保證計劃階段制定計劃的有效性；保證按照已批準的計劃進行評審，跟蹤采取的措施達到閉環(huán)；保證與硬件計劃和標準的差異的檢測、記錄、評估、批準、跟蹤和解決；保證硬件生命周期過程的轉(zhuǎn)化條件滿足已批準的計劃；保證硬件項目的創(chuàng)建與其設(shè)計數(shù)據(jù)一致；產(chǎn)生過程保證活動記錄。

通過研究RTCA DO-254標準中過程保證相關(guān)內(nèi)容，總結(jié)出過程保證活動的目標[2]如下：1）生命周期過程符合經(jīng)批準的計劃；2）產(chǎn)生的硬件設(shè)計生命周期數(shù)據(jù)符合經(jīng)批準的計劃；3）用于符合性評審的硬件項目，按照相關(guān)的生命周期數(shù)據(jù)創(chuàng)建。

圖1硬件開發(fā)生命周期

總之，硬件開發(fā)過程中進行過程保證活動就是為了保證硬件設(shè)計過程中的所有活動能夠按照計劃，完整有效地進行。

3過程保證活動

通過對DO-254中提出的目標和活動指南，可以確定四項過程保證活動：制定過程保證計劃、工作產(chǎn)品審計、過程轉(zhuǎn)換評審和符合性評審[4]，各過程保證活動在硬件開發(fā)過程的關(guān)系如圖2所示。下面將詳細介紹每一項過程保證活動的內(nèi)容和要求。

3.1 制定過程保證計劃

在計劃階段，項目質(zhì)量工程師應(yīng)對硬件開發(fā)過程中的過程保證活動進行策劃，編制過程保證計劃，過程保證計劃應(yīng)保證與硬件開發(fā)計劃一致。在過程保證計劃中應(yīng)考慮以下內(nèi)容：1）過程保證組織機構(gòu)及人員職責；2）定義開發(fā)過程中的審計活動，明確質(zhì)量工程師需要獨立進行或目擊的驗證測試活動；3）確定過程轉(zhuǎn)換評審的準則；4）確定批準工作產(chǎn)品的范圍；5）確定符合性評審要求；6）制定各項過程保證活動的開展時機和時間計劃。

圖2硬件開發(fā)過程中過程保證活動

3.2 審計工作產(chǎn)品

工作產(chǎn)品審計主要針對各過程活動（需求過程、設(shè)計過程、實現(xiàn)過程等）產(chǎn)生的工作產(chǎn)品（包括文檔、代碼、測試程序等）進行審計。目的是檢查工作產(chǎn)品與計劃、開發(fā)標準（需求標準、設(shè)計標準、編碼標準）及有關(guān)的標準規(guī)范的符合性，從而確保工作產(chǎn)品的質(zhì)量。

項目質(zhì)量工程師可獨立進行審計，也可通過參加工作產(chǎn)品評審會議進行。質(zhì)量工程師應(yīng)事先制定相應(yīng)工作產(chǎn)品的檢查單，質(zhì)量工程師按照檢查單，對工作產(chǎn)品的內(nèi)容，與計劃的一致性，評審問題的落實情況，工作產(chǎn)品受控情況逐一進行審計，若發(fā)現(xiàn)不符合檢查單或計劃要求時，質(zhì)量工程師有權(quán)將該文件退回，并要求相關(guān)人員修改后重新提交。工作產(chǎn)品在審簽過程中必須增加質(zhì)量工程師批準，未經(jīng)過質(zhì)量工程師批準的工作產(chǎn)品不可認為是有效產(chǎn)品。

在質(zhì)量工程師開展審計時，應(yīng)關(guān)注以下幾方面：1）工作產(chǎn)品的標識、版本和更改信息是否完整；2）工作產(chǎn)品內(nèi)容與需求標準、設(shè)計標準、驗證標準等標準文件的一致性；3）工作產(chǎn)品中進度安排與計劃的一致性；4）工作產(chǎn)品的評審情況以及受控情況。

3.3 進行過程轉(zhuǎn)換評審

過程轉(zhuǎn)換評審是當項目按照開發(fā)計劃中規(guī)定的過程（需求過程、設(shè)計過程、實現(xiàn)過程等）進行開發(fā)時，由質(zhì)量工程師按照計劃檢查每個工作階段任務(wù)的完成情況是否與計劃一致，并批準是否可以轉(zhuǎn)入下一階段工作。

質(zhì)量工程師在過程轉(zhuǎn)換評審中，應(yīng)關(guān)注以下幾點：1）該過程中的工作產(chǎn)品、評審記錄、構(gòu)型管理記錄是否完整；2）檢查硬件開發(fā)計劃中定義的該過程工作產(chǎn)品是否都已完成；3）確定未關(guān)閉的問題是否會對下一過程的工作造成重大影響；4）確定是否滿足硬件開發(fā)計劃中進入下一個過程的條件。

如果質(zhì)量工程師根據(jù)硬件開發(fā)計劃，通過各項資料審查認為不具備過程轉(zhuǎn)換條件時，給予不通過結(jié)論。質(zhì)量工程師可以要求開發(fā)團隊（組件）在補充完善產(chǎn)品資料后，需重新申請過程轉(zhuǎn)換評審。

3.4 進行符合性評審

符合性評審是為了保證硬件生命周期和生命周期數(shù)據(jù)的完整性，在所有數(shù)據(jù)提交適航審定部門最終批準前進行的一次評審。質(zhì)量工程師應(yīng)組織項目人員檢查硬件開發(fā)過程和數(shù)據(jù)的完整性，評估開發(fā)過程是否和計劃一致，所有的開發(fā)活動和生命周期數(shù)據(jù)是否完整，有效。符合性評審活動由質(zhì)量工程師發(fā)起，可以邀請項目團隊參加，也可以獨立進行。評審需要檢查的數(shù)據(jù)如下：1）硬件確認和驗證結(jié)果；2）硬件環(huán)境配置索引；3）硬件配置索引；4）硬件開發(fā)過程中相關(guān)證據(jù)文件（問題報告、構(gòu)型索引）。

通過符合性評審的準則可以考慮以下方面：1）確認硬件開發(fā)生命周期已經(jīng)完成；2）確認硬件開發(fā)生命周期數(shù)據(jù)完整、受控并且已發(fā)布；3）確認之前的問題報告是否已歸零；分析遺留的開口問題是否影響產(chǎn)品的提交和發(fā)布；4）確認硬件構(gòu)型索引報告是否與待提交或發(fā)布產(chǎn)品狀態(tài)一致。

符合性評審的通過標志著整個硬件開發(fā)生命周期的結(jié)束。

4結(jié)束語

本文主要通過對機載復(fù)雜電子硬件過程保活動目標的研究，提出符合DO-254要求的過程保證方法，該過程保證方法也可以用于機載軟件開發(fā)過程對DO-178B標準中質(zhì)量保證活動。過程保證應(yīng)該在軟件和硬件生命周期過程活動中起到積極的作用，但是需要注意，質(zhì)量工程師必須具有一定的權(quán)威性、明確的職責和獨立性，才能確保過程保證活動發(fā)揮其真正意義。

參考文獻

[1]王鵬，田毅.DO-254標準在機載電子硬件審定中的應(yīng)用[J].中國民航大學學報，2010，10（5）：17-20，24.

[2]RTCA. DO-254 Design Assurance Guidance for Airborne Electronic Hardwar [S]. Washington DC：RTCA Inc.

[3]胡小婷，田澤.基于DO-254的航空集成電路設(shè)計保障研究[J].計算機技術(shù)與發(fā)展[J].2012（8）：189-191.

[4]劉文.機載信息系統(tǒng)研制過程中的質(zhì)量保證體系研究[D].北京航空航天大學可靠性與系統(tǒng)工程學院，2013（11）.

[5]逯鵬，高慶一，等.軟件質(zhì)量保證的工程化實施[J].哈爾濱工業(yè)大學學報，2006（3）：423-425.

[6]SAE ARP4754A Guidelines For Development of Civil Aircraft and Systems[S].

[7]RTCA DO-178B Software considerations in airborne systems and equipment certification[S].Washington DC：RTCA Inc.

[8]張俊光，呂廷杰.軟件質(zhì)量保證計劃方法的研究[J].北京郵電大學學報，2006（4）：42-45.

[9]劉中平.基于過程管理的民機軟件質(zhì)量控制[J].中國制造業(yè)信息化，2012（9）：25-27，31.

[10]房海濤，劉丹.基于ARP4754的民用飛機復(fù)雜系統(tǒng)研制過程保證方法研究[J].航空科學技術(shù)，2013（1）：52-54.

endprint