高小龍

【摘 要】DO-178B中提出的指導(dǎo)性材料，已經(jīng)被民用航空業(yè)界和各國(guó)適航當(dāng)局公認(rèn)為可用以建立特定機(jī)載軟件達(dá)到其預(yù)期設(shè)計(jì)需求的置信度。本文基于DO-178B從機(jī)載軟件研制全生命周期，概述了機(jī)載軟件研制過程。

【關(guān)鍵詞】DO-178B；機(jī)載軟件；適航審定

【Abstract】The guidance material presented in DO-178B has been recognized by industry and the various regulatory authorities to establish levels of confidence that a specific item of software respectively performs to its intended design requirements.According to the airborne software life cycle based on DO-178B，summarized the software development process.

【Key words】DO-178B；Airborne Software；Airworthiness Certification

0 引言

2017年5月5日下午，我國(guó)首架干線飛機(jī)C919在上海浦東國(guó)際機(jī)場(chǎng)一躍而起，直上云霄，飛行79分鐘后，平穩(wěn)著陸。C919首次飛行成功標(biāo)志著世界上多了一款屬于中國(guó)，擁有完全自主知識(shí)產(chǎn)權(quán)的，依照世界先進(jìn)標(biāo)準(zhǔn)研制的大型客機(jī)如圖1。作為我國(guó)首款按照最新國(guó)際適航標(biāo)準(zhǔn)研制的民用飛機(jī)，現(xiàn)代適航標(biāo)準(zhǔn)體系為C919的成功首飛提供了堅(jiān)實(shí)的保證。

圖1 C919首飛

適航標(biāo)準(zhǔn)是各國(guó)適航當(dāng)局辦法的一系列特殊的航空器產(chǎn)品技術(shù)性標(biāo)準(zhǔn)，它規(guī)定了民用航空器適航性的設(shè)計(jì)要求以及設(shè)計(jì)準(zhǔn)則，通常可以認(rèn)為適航標(biāo)準(zhǔn)規(guī)定了民用航空器產(chǎn)品的最低安全標(biāo)準(zhǔn)，因此在適航標(biāo)準(zhǔn)的滿足上不允許任何偏離。運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn)（CCAR 25/FAR25/JAR25）是民用飛機(jī)進(jìn)行適航審定的基礎(chǔ)，但在其條款中沒有直接針對(duì)機(jī)載軟件的規(guī)章要求，都是由軟件所屬的系統(tǒng)和設(shè)備的要求衍生而來，而現(xiàn)在各國(guó)適航當(dāng)局都將 DO-178B《機(jī)載系統(tǒng)與設(shè)備的軟件合格審定考慮》（Software Consideration in Airborne Systems and Equipment Certification）作為加載軟件適航審定的指導(dǎo)方法。

1 DO-178B介紹

DO-178B就是為機(jī)載軟件的符合性證明和審查活動(dòng)提供指導(dǎo)的一套標(biāo)準(zhǔn)，其目的是指導(dǎo)民用飛機(jī)機(jī)載軟件開發(fā)，并確保機(jī)載軟件不僅滿足飛機(jī)和對(duì)應(yīng)系統(tǒng)對(duì)其功能和性能的要求，還要具備達(dá)到其預(yù)期設(shè)計(jì)需求的置信度。在民用飛機(jī)和系統(tǒng)的整個(gè)研制周期中，DO-178并不是單獨(dú)存在，它與ARP 4754（Guidelines for Development of Civil Aircraft and System）、ARP 4761（Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment）、DO-297（IMA Development Guidance and Certification Consideration）和DO-254（Design Assurance Guidance for Airborne Electronic Hardware）共同構(gòu)成了現(xiàn)代民用飛機(jī)及其高度綜合復(fù)雜系統(tǒng)安全性設(shè)計(jì)與評(píng)估的一套指導(dǎo)性標(biāo)準(zhǔn)，圖2概述了整個(gè)民機(jī)研制生命周期中安全性評(píng)估、電子硬件和軟件生命周期之間的關(guān)系。

DO-178B在指導(dǎo)機(jī)載軟件的開發(fā)和適航當(dāng)局適航審查工作時(shí)，是面向過程和目標(biāo)的，主要包括：規(guī)定了機(jī)載軟件生命周期中各個(gè)過程要實(shí)現(xiàn)的目標(biāo)；規(guī)定了達(dá)到這些目標(biāo)的活動(dòng)和工程實(shí)現(xiàn)考慮；規(guī)定了確認(rèn)這些目標(biāo)已經(jīng)實(shí)現(xiàn)的證據(jù)記錄，DO-178B通過這三種形式的要求來考量機(jī)載軟件能否達(dá)到其預(yù)期設(shè)計(jì)需求的置信度。從機(jī)載軟件研制的過程來分析，具體可以分為：機(jī)載軟件與機(jī)載系統(tǒng)的傳遞和追溯關(guān)系、機(jī)載軟件的計(jì)劃過程、機(jī)載軟件的開發(fā)過程、機(jī)載軟件的開發(fā)過程、機(jī)載軟件的驗(yàn)證過程、機(jī)載軟件的構(gòu)型管理過程、機(jī)載軟件的質(zhì)量保證過程、適航認(rèn)證的聯(lián)絡(luò)過程和軟件生命周期的數(shù)據(jù)記錄。針對(duì)每一個(gè)過程又定義了以下內(nèi)容：不同級(jí)別軟件需要實(shí)現(xiàn)的目標(biāo)、不同級(jí)別軟件對(duì)軟件生命周期數(shù)據(jù)的控制類別和過程的輸入與輸出。

2 DO-178B中軟件生命周期過程

DO-178B中將軟件分為A、B、C、D和E，5個(gè)等級(jí)，軟件等級(jí)的確定與軟件失效可能導(dǎo)致的最嚴(yán)重的安全性影響程度有關(guān)，對(duì)應(yīng)分別為災(zāi)難級(jí)（catastrophic failure）、危險(xiǎn)級(jí)（hazardous failure）、重要級(jí)（major failure）、次要級(jí)（minor failure）和無影響（no effect），通過系統(tǒng)的安全性評(píng)估來確定。表1所示為軟件級(jí)別與失效狀態(tài)影響程度的對(duì)應(yīng)關(guān)系及簡(jiǎn)要說明。

DO-178B對(duì)機(jī)載軟件生命周期的基本活動(dòng)進(jìn)行分類和綜合，得到了軟件生命周期的三個(gè)過程，即軟件計(jì)劃過程、軟件開發(fā)過程和軟件綜合過程。其中，軟甲計(jì)劃過程用于制定軟件開發(fā)過程和綜合過程中相關(guān)活動(dòng)的計(jì)劃和標(biāo)準(zhǔn)；軟件開發(fā)過程是一些列過程，包括了軟件需求過程、軟件設(shè)計(jì)過程、軟件編碼過程和軟件集成過程；軟件綜合過程用于保證軟件生命周期及其輸出、受控和可信的過程，包括了軟件驗(yàn)證過程、軟件構(gòu)型管理過程、軟件質(zhì)量保證過程和審定聯(lián)絡(luò)過程，軟件的綜合過程是貫穿整個(gè)軟件生命周期的。圖3描述了軟件過程之前的基本關(guān)系，其中雙向箭頭表示兩邊的過程是并行的。

在軟件的開發(fā)過程中，不同階段階段之間是需要轉(zhuǎn)換準(zhǔn)則的，即用來確定某過程是否可以進(jìn)入或者退出，退出當(dāng)前過程和進(jìn)入下一個(gè)過程的轉(zhuǎn)換準(zhǔn)則一般是當(dāng)前階段設(shè)定的目標(biāo)均已滿足并通過評(píng)審，比如從軟件初步設(shè)計(jì)階段轉(zhuǎn)換到軟件詳細(xì)設(shè)計(jì)階段，需要滿足的一個(gè)重要目標(biāo)就是軟件的高級(jí)別需求已經(jīng)確認(rèn)和軟件初步架構(gòu)已經(jīng)完成，且通過評(píng)審。圖4表示了軟件開發(fā)過程中，不同階段的傳遞過程。

3 DO-178B軟件生命周期數(shù)據(jù)

在DO-178B中規(guī)定了20中軟件研制生命周期中產(chǎn)生的數(shù)據(jù)，這些數(shù)據(jù)用來證明軟件實(shí)現(xiàn)了不同等級(jí)軟件在不同階段DO-178B中設(shè)定的目標(biāo)。審定局方就是通過審查這些輸出數(shù)據(jù)來評(píng)估申請(qǐng)人軟件研制流程中目標(biāo)的實(shí)現(xiàn)情況，軟件研制生命周期數(shù)據(jù)及簡(jiǎn)要說明見表2所示。

表2

4 總結(jié)

DO-178B可以理解為由這三個(gè)基本元素組成——過程、目標(biāo)和軟件生命周期數(shù)據(jù)，整個(gè)軟件研制過程中，通過過程來實(shí)現(xiàn)目標(biāo)，通過過程來產(chǎn)生軟件生命周期數(shù)據(jù)，同時(shí)通過軟件生命周期數(shù)據(jù)來證明實(shí)現(xiàn)的目標(biāo)，其三者關(guān)系見圖5。本文限于篇幅未對(duì)不同等級(jí)軟件在不同階段要實(shí)現(xiàn)的目標(biāo)進(jìn)行概論。

圖5 DO-178B基本元素及關(guān)系

[責(zé)任編輯：田吉捷]