許俊峰， 費(fèi) 益， 季小琴， 童岳威

(上海飛機(jī)設(shè)計(jì)研究院，上海 201210)

0 引言

面對大型復(fù)雜軟件開發(fā)成本和難度的不斷增高，軟件數(shù)據(jù)復(fù)用作為一種有效設(shè)計(jì)方式逐漸被用于提高軟件開發(fā)效率和軟件質(zhì)量。各領(lǐng)域開發(fā)人員對軟件復(fù)用技術(shù)的應(yīng)用進(jìn)行了大量研究：LI結(jié)合軟件復(fù)用思想提出一種電子信息系統(tǒng)的軟件復(fù)用框架[1]；文獻(xiàn)[2-6]對軟件復(fù)用技術(shù)在飛控系統(tǒng)軟件、監(jiān)控軟件、飛行模擬器生成軟件、雷載軟件、星載軟件上的應(yīng)用進(jìn)行了研究；張選剛等[7]將軟件復(fù)用技術(shù)應(yīng)用到軟件測試中；民機(jī)領(lǐng)域中，羅青青[8]深入研究了DO-178C標(biāo)準(zhǔn)定義的軟件過程，提出了覆蓋軟件生命周期且滿足領(lǐng)域可復(fù)用要求的規(guī)范標(biāo)準(zhǔn)和實(shí)施準(zhǔn)則，降低DO-178C實(shí)施難度；李可[9]基于軟件復(fù)用機(jī)制和ARINC661架構(gòu)提出一種可復(fù)用的機(jī)載平顯系統(tǒng)架構(gòu)。

對于民機(jī)領(lǐng)域中軟件復(fù)用的適航審定，F(xiàn)AA咨詢通告AC 20-148對可復(fù)用軟件組件(Reusable Software Components，RSC)的適航批準(zhǔn)提供了指南[10]；CAST-22報(bào)告將可復(fù)用軟件組件概念應(yīng)用至工具鑒定[11]；趙長嘯等[12]針對綜合模塊化航電系統(tǒng)可復(fù)用組件的適航審定要求進(jìn)行了研究。

實(shí)際項(xiàng)目中，由于軟件來源和研制基礎(chǔ)的不同，民機(jī)機(jī)載軟件存在不同類別、不同程度的復(fù)用情形，當(dāng)不能復(fù)用全部軟件數(shù)據(jù)時(shí)，供應(yīng)商傾向于選擇按照新研軟件表明符合性，缺乏經(jīng)驗(yàn)的供應(yīng)商可能因此減少對復(fù)用軟件數(shù)據(jù)符合性的充分評估，在項(xiàng)目后期面臨審定風(fēng)險(xiǎn)以及變更成本。因此，在項(xiàng)目早期對軟件復(fù)用情況進(jìn)行充分評估，有助于軟件開發(fā)方、集成方和申請人等軟件復(fù)用相關(guān)方進(jìn)行項(xiàng)目風(fēng)險(xiǎn)評估和獲得適航認(rèn)可。

1 機(jī)載軟件復(fù)用綜述

機(jī)載軟件復(fù)用是指利用已有軟件數(shù)據(jù)實(shí)現(xiàn)或更新民用飛機(jī)系統(tǒng)機(jī)載軟件產(chǎn)品的過程。其中，軟件數(shù)據(jù)可以是軟件組件、軟件需求、軟件設(shè)計(jì)、源代碼或其他軟件生命周期資料(包括計(jì)劃、標(biāo)準(zhǔn)、測試數(shù)據(jù)、工具鑒定數(shù)據(jù))。軟件復(fù)用可以應(yīng)用于已有系統(tǒng)、相似系統(tǒng)或者差異系統(tǒng)。

在航空領(lǐng)域中，大多數(shù)軟件項(xiàng)目是由已有系統(tǒng)衍生而出，而完全從頭開始的新研航空電子、電子系統(tǒng)和發(fā)動機(jī)則極其少見。以民用飛機(jī)顯示系統(tǒng)為例，一般包含下視顯示和控制系統(tǒng)、平視顯示系統(tǒng)、視景增強(qiáng)系統(tǒng)、合成視景系統(tǒng)等子系統(tǒng)，各子系統(tǒng)包含承擔(dān)不同功能的軟件組件集合。顯示系統(tǒng)軟件基本組成包括平臺軟件(如操作系統(tǒng)軟件、板級支持包軟件)、驅(qū)動軟件(如總線驅(qū)動軟件、圖形驅(qū)動軟件)、應(yīng)用軟件(如主飛行顯示應(yīng)用軟件、發(fā)動機(jī)指示軟件)、中間件(如繪圖指令轉(zhuǎn)換軟件、協(xié)議轉(zhuǎn)換軟件)、控制板軟件及工具類軟件，顯示系統(tǒng)或其子系統(tǒng)供應(yīng)商的軟件開發(fā)一般基于已有項(xiàng)目數(shù)據(jù)進(jìn)行衍生，其中，應(yīng)用軟件、控制板軟件一般存在先前項(xiàng)目的數(shù)據(jù)基礎(chǔ)，平臺軟件、驅(qū)動軟件、中間件、工具類軟件廣泛采用外包方式獲取成熟商業(yè)產(chǎn)品，這些成熟產(chǎn)品經(jīng)過不同項(xiàng)目的迭代，本身也存在各類形式的軟件復(fù)用。

在民機(jī)新項(xiàng)目中復(fù)用已有軟件數(shù)據(jù)時(shí)，已有軟件數(shù)據(jù)的特性和復(fù)用方法將影響新軟件項(xiàng)目的符合性表明過程，因此，在項(xiàng)目早期識別和評估軟件復(fù)用情況有利于降低后期適航審定風(fēng)險(xiǎn)。

2 機(jī)載軟件復(fù)用分類

機(jī)載軟件復(fù)用的軟件來源包括商業(yè)貨架產(chǎn)品(COTS)軟件、來自先前項(xiàng)目的軟件、遵照DO-178系列標(biāo)準(zhǔn)開發(fā)的軟件和遵照非DO-178系列標(biāo)準(zhǔn)開發(fā)的軟件。

機(jī)載軟件的復(fù)用方式包括完全無更改使用、根據(jù)新的系統(tǒng)或環(huán)境更改使用。

根據(jù)復(fù)用軟件來源、軟件復(fù)用方式，總結(jié)機(jī)載軟件復(fù)用分類示例見表1。

表1 機(jī)載軟件復(fù)用分類示例

3 機(jī)載軟件復(fù)用評估過程

為將一個(gè)已有軟件數(shù)據(jù)復(fù)用至民用飛機(jī)產(chǎn)品中，并向合格審定機(jī)構(gòu)表明產(chǎn)品的完整符合性，應(yīng)對軟件復(fù)用情況進(jìn)行評估，并在計(jì)劃文件中識別和歸檔相關(guān)的符合性策略。軟件復(fù)用評估過程如圖1所示。

圖1 軟件復(fù)用評估過程

軟件復(fù)用評估步驟的具體描述如下。

1) 判斷是否已經(jīng)過批準(zhǔn)。

① 若該軟件已在一個(gè)經(jīng)過合格審定的民用航空器、發(fā)動機(jī)或推進(jìn)器中得到批準(zhǔn)，則判斷是否符合項(xiàng)目先前開發(fā)軟件(Previous Developed Software，PDS)要求；

② 否則，繼續(xù)進(jìn)行復(fù)用評估。

2) 判斷是否符合PDS要求。

① 若該軟件符合PDS要求，則復(fù)用已有批準(zhǔn)結(jié)論；

② 否則，繼續(xù)進(jìn)行復(fù)用評估。

3) 判斷軟件是否按照DO-178()開發(fā)。

① 若該軟件在先前項(xiàng)目中按照DO-178()開發(fā)，則繼續(xù)判斷軟件級別的符合性；

② 否則，執(zhí)行差距分析來識別差距，并執(zhí)行差距彌補(bǔ)活動。

4) 判斷軟件級別是否滿足要求。

① 若軟件級別滿足當(dāng)前項(xiàng)目要求，則繼續(xù)判斷軟件或開發(fā)環(huán)境的符合性；

② 否則，執(zhí)行差距分析來識別差距，并執(zhí)行差距彌補(bǔ)活動。

5) 判斷軟件或開發(fā)環(huán)境是否變更。

① 若軟件或安裝環(huán)境發(fā)生變更，如軟件功能變更，或編譯器、編譯器設(shè)置、代碼生成器版本、鏈接器版本等開發(fā)環(huán)境變更，則通過變更影響分析識別受影響數(shù)據(jù)，執(zhí)行差距分析和差距彌補(bǔ)；

② 否則，繼續(xù)評估軟件安裝的符合性。

6) 變更影響分析。

對于軟件或開發(fā)環(huán)境的變更，通過變更影響分析識別受影響數(shù)據(jù)，并制定重驗(yàn)證計(jì)劃。

7) 判斷安裝是否滿足要求。

① 若安裝發(fā)生變更，則進(jìn)行使用域分析，執(zhí)行差距分析和差距彌補(bǔ)；

② 否則，進(jìn)行復(fù)用策略歸檔。

8) 使用域分析。

對于在新安裝中復(fù)用的軟件，通過使用域分析對預(yù)期的復(fù)用環(huán)境進(jìn)行全面評估，識別受影響數(shù)據(jù)。該分析若識別出軟件更改，則該分析可以與變更影響分析聯(lián)合執(zhí)行。

9) 差距分析。

依據(jù)DO-178C目標(biāo)對復(fù)用軟件及其支持資料進(jìn)行分析，識別差距。

10) 差距彌補(bǔ)。

對軟件進(jìn)行基線提升，彌補(bǔ)擬復(fù)用軟件與DO-178C目標(biāo)之間的差距，并執(zhí)行必要的補(bǔ)充驗(yàn)證活動。

11) 歸檔復(fù)用策略。

在軟件合格審定計(jì)劃或等效文件中歸檔軟件復(fù)用的策略、適用的原則和指南，并獲得合格審定機(jī)構(gòu)的認(rèn)可。

4 機(jī)載軟件復(fù)用審定要求

DO-178系列標(biāo)準(zhǔn)共經(jīng)歷了DO-178，DO-178A，DO-178B，DO-178C這4個(gè)版本，其中，DO-178B和DO-178C是目前審定機(jī)構(gòu)接受的主流版本。

AC 20-115D[17]將DO-178C作為一種可接受的軟件研制保證方法，以DO-178C為當(dāng)前項(xiàng)目的符合性方法，軟件復(fù)用應(yīng)遵照如下要求。

1) 若擬復(fù)用軟件遵照DO-178系列標(biāo)準(zhǔn)開發(fā)，且已在民用航空器上得到批準(zhǔn)，該軟件在先前項(xiàng)目的批準(zhǔn)狀態(tài)應(yīng)滿足下列要求：

① 相比先前批準(zhǔn)中的安裝，該軟件應(yīng)被安裝于相同的系統(tǒng)并使用相同安裝方式，且具備等效的安全性影響；

② 相比先前批準(zhǔn)中的軟件等級，該軟件等級應(yīng)滿足當(dāng)前項(xiàng)目的軟件等級要求(DO-178各版本的軟件級別對應(yīng)關(guān)系參見FAA Order 8110.49 CHG 1[18]表10-1)。

2) 若擬復(fù)用軟件遵照DO-178系列標(biāo)準(zhǔn)開發(fā)，但未經(jīng)過批準(zhǔn)，該軟件應(yīng)表明對當(dāng)前項(xiàng)目要求的符合性。

① 若軟件等級不滿足要求，應(yīng)按DO-178C第12.1.4節(jié)執(zhí)行基線提升，并執(zhí)行必要的補(bǔ)充驗(yàn)證活動，以滿足軟件級別差異導(dǎo)致的額外DO-178C目標(biāo)。

② 若安裝發(fā)生變更，應(yīng)按照DO-178C第12.1.2節(jié)分析安裝變更的影響，并執(zhí)行必要的彌補(bǔ)措施，保證新安裝下軟件復(fù)用對于航空器的安全性或運(yùn)行能力無不利影響。

③ 若軟件環(huán)境變更，應(yīng)按照DO-178C第12.1.3節(jié)執(zhí)行變更影響分析，并更新對應(yīng)軟件生命周期資料。

④ 若軟件被更改使用，應(yīng)按照DO-178C第12.1.3節(jié)執(zhí)行變更影響分析并制定再驗(yàn)證計(jì)劃。當(dāng)擬復(fù)用軟件為遺產(chǎn)軟件時(shí)，若變更為主要變更，變更過程應(yīng)遵循當(dāng)前項(xiàng)目要求的變更流程；若變更為次要變更，可以選用遺產(chǎn)軟件使用的變更流程。

3) 若擬復(fù)用軟件遵照DO-178系列標(biāo)準(zhǔn)開發(fā)，且使用新技術(shù)，應(yīng)額外評估軟件所用新技術(shù)特征的符合性：

① 若軟件使用基于模型開發(fā)技術(shù)，應(yīng)表明對DO-331[19]的符合性；

② 若軟件使用面向?qū)ο蠹夹g(shù)，應(yīng)表明對DO-332[20]的符合性；

③ 若軟件使用形式化方法，應(yīng)表明對DO-333[21]的符合性；

④ 若軟件存在配置數(shù)據(jù)，應(yīng)表明對DO-178C中參數(shù)數(shù)據(jù)項(xiàng)相關(guān)目標(biāo)的符合性；

⑤ 若軟件使用其他新技術(shù)，應(yīng)按照與審定機(jī)構(gòu)約定的問題紀(jì)要或?qū)Φ任锉砻鞣闲浴?/p>

4) 若擬復(fù)用軟件中存在工具鑒定，應(yīng)遵照AC 20-115D第10節(jié)表明軟件工具鑒定的符合性。

5) 若擬復(fù)用軟件未按照DO-178系列標(biāo)準(zhǔn)開發(fā)，應(yīng)基于DO-178系列標(biāo)準(zhǔn)目標(biāo)對軟件及其支持資料執(zhí)行一個(gè)差距分析來識別未滿足的DO-178系列標(biāo)準(zhǔn)目標(biāo)：

① 對于差距分析識別的差距，應(yīng)按照DO-248C[22]第4.5節(jié)給出的替代方法及其組合來彌補(bǔ)差距，獲取等效置信度；

② 若擬復(fù)用軟件為COTS軟件，應(yīng)按照DO-278A[23]第12.4節(jié)指南獲取DO-178C同等級別置信度；

③ 若擬復(fù)用軟件所有資料不可接近，應(yīng)將批準(zhǔn)等級限制為D級或E級；

④ 若擬復(fù)用軟件源碼不可得，應(yīng)將批準(zhǔn)的最高級別限定為D級；

⑤ 若擬復(fù)用軟件需按A和B級軟件表明符合性，識別的差距較大，應(yīng)重新考慮復(fù)用策略。

5 機(jī)載軟件復(fù)用評估案例

根據(jù)上述研究，對某實(shí)時(shí)操作系統(tǒng)軟件復(fù)用進(jìn)行評估。該操作系統(tǒng)軟件具備以下復(fù)用中需考慮的特征：1) DO-178B軟件數(shù)據(jù)復(fù)用至DO-178C項(xiàng)目；2) 安裝環(huán)境變更；3) 當(dāng)前版本先前未經(jīng)過批準(zhǔn)；4) 基于源碼逆向工程其他生命周期數(shù)據(jù)。對該版本操作系統(tǒng)的復(fù)用評估過程如下。

1) 判斷是否已經(jīng)過批準(zhǔn)：當(dāng)前版本操作系統(tǒng)未在民用航空器上獲得批準(zhǔn)，但當(dāng)前版本軟件的舊版本獲得過批準(zhǔn)，不符合PDS要求。

2) 判斷是否按照DO-178C開發(fā)：當(dāng)前版本操作系統(tǒng)軟件按照DO-178C A級開發(fā)、向合格審定機(jī)構(gòu)表明符合性。

3) 判斷軟件級別是否滿足要求：當(dāng)前版本操作系統(tǒng)軟件按照DO-178C A級表明符合性，滿足所在項(xiàng)目要求。

4) 判斷軟件或開發(fā)環(huán)境是否改變：當(dāng)前版本操作系統(tǒng)軟件對舊版軟件之后的勘誤進(jìn)行了修復(fù)，對新版本硬件進(jìn)行了適配；部分軟件功能按照項(xiàng)目需求進(jìn)行了裁剪和限制。

5) 判斷安裝是否滿足要求：軟件駐留的目標(biāo)處理器與生成軟件生命周期資料的處理器是具有相同核心、不同型號的處理器。

6) 執(zhí)行使用域分析：基于復(fù)用軟件先前使用構(gòu)型、功能等，與目標(biāo)使用構(gòu)型、功能等進(jìn)行對比分析，確定目標(biāo)使用范圍與先前使用范圍的差異。

7) 執(zhí)行變更影響分析：針對勘誤修復(fù)及硬件適配引起的變更，分析變更對所有已有生命周期數(shù)據(jù)的影響，識別出所有可復(fù)用生命周期數(shù)據(jù)。

8) 差距分析和彌補(bǔ)：對目標(biāo)處理器型號的勘誤進(jìn)行脆弱性分析；在目標(biāo)處理器上執(zhí)行額外測試；提供差異分析報(bào)告。

9) 歸檔復(fù)用策略：在軟件合格審定計(jì)劃中歸檔具體復(fù)用策略。針對軟件更改部分，按照本項(xiàng)目符合性方法表明符合性；針對軟件未更改部分，確定了先前數(shù)據(jù)復(fù)用原則具體如下：

① 源碼無更改；

② 需求表述無更改；

③ 軟件更改按照A級要求執(zhí)行更改影響分析；

④ 基于需求的測試和控制耦合分析在目標(biāo)環(huán)境中重復(fù)執(zhí)行過；

⑤ 追溯性經(jīng)過驗(yàn)證。

6 結(jié)束語

本文首先分析民用飛機(jī)機(jī)載軟件復(fù)用來源和復(fù)用方式，歸納機(jī)載軟件復(fù)用類別。在此基礎(chǔ)上識別出將已有軟件數(shù)據(jù)復(fù)用至民機(jī)產(chǎn)品的評估要素，給出機(jī)載軟件復(fù)用的評估過程。進(jìn)一步從實(shí)際審查角度出發(fā)，提出機(jī)載軟件復(fù)用的審定要求。本文的研究可以在項(xiàng)目初期對復(fù)用軟件數(shù)據(jù)的符合性進(jìn)行充分評估，制定符合性策略，降低后期審定風(fēng)險(xiǎn)以及項(xiàng)目變更成本。