基于DO—178B的民用飛機機載軟件適航審定研究

高小龍

【摘 要】DO-178B中提出的指導(dǎo)性材料，已經(jīng)被民用航空業(yè)界和各國適航當(dāng)局公認(rèn)為可用以建立特定機載軟件達到其預(yù)期設(shè)計需求的置信度。本文基于DO-178B從機載軟件研制全生命周期，概述了機載軟件研制過程。

【關(guān)鍵詞】DO-178B；機載軟件；適航審定

【Abstract】The guidance material presented in DO-178B has been recognized by industry and the various regulatory authorities to establish levels of confidence that a specific item of software respectively performs to its intended design requirements.According to the airborne software life cycle based on DO-178B，summarized the software development process.

【Key words】DO-178B；Airborne Software；Airworthiness Certification

0 引言

2017年5月5日下午，我國首架干線飛機C919在上海浦東國際機場一躍而起，直上云霄，飛行79分鐘后，平穩(wěn)著陸。C919首次飛行成功標(biāo)志著世界上多了一款屬于中國，擁有完全自主知識產(chǎn)權(quán)的，依照世界先進標(biāo)準(zhǔn)研制的大型客機如圖1。作為我國首款按照最新國際適航標(biāo)準(zhǔn)研制的民用飛機，現(xiàn)代適航標(biāo)準(zhǔn)體系為C919的成功首飛提供了堅實的保證。

圖1 C919首飛

適航標(biāo)準(zhǔn)是各國適航當(dāng)局辦法的一系列特殊的航空器產(chǎn)品技術(shù)性標(biāo)準(zhǔn)，它規(guī)定了民用航空器適航性的設(shè)計要求以及設(shè)計準(zhǔn)則，通?？梢哉J(rèn)為適航標(biāo)準(zhǔn)規(guī)定了民用航空器產(chǎn)品的最低安全標(biāo)準(zhǔn)，因此在適航標(biāo)準(zhǔn)的滿足上不允許任何偏離。運輸類飛機適航標(biāo)準(zhǔn)（CCAR 25/FAR25/JAR25）是民用飛機進行適航審定的基礎(chǔ)，但在其條款中沒有直接針對機載軟件的規(guī)章要求，都是由軟件所屬的系統(tǒng)和設(shè)備的要求衍生而來，而現(xiàn)在各國適航當(dāng)局都將 DO-178B《機載系統(tǒng)與設(shè)備的軟件合格審定考慮》（Software Consideration in Airborne Systems and Equipment Certification）作為加載軟件適航審定的指導(dǎo)方法。

1 DO-178B介紹

DO-178B就是為機載軟件的符合性證明和審查活動提供指導(dǎo)的一套標(biāo)準(zhǔn)，其目的是指導(dǎo)民用飛機機載軟件開發(fā)，并確保機載軟件不僅滿足飛機和對應(yīng)系統(tǒng)對其功能和性能的要求，還要具備達到其預(yù)期設(shè)計需求的置信度。在民用飛機和系統(tǒng)的整個研制周期中，DO-178并不是單獨存在，它與ARP 4754（Guidelines for Development of Civil Aircraft and System）、ARP 4761（Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment）、DO-297（IMA Development Guidance and Certification Consideration）和DO-254（Design Assurance Guidance for Airborne Electronic Hardware）共同構(gòu)成了現(xiàn)代民用飛機及其高度綜合復(fù)雜系統(tǒng)安全性設(shè)計與評估的一套指導(dǎo)性標(biāo)準(zhǔn)，圖2概述了整個民機研制生命周期中安全性評估、電子硬件和軟件生命周期之間的關(guān)系。

DO-178B在指導(dǎo)機載軟件的開發(fā)和適航當(dāng)局適航審查工作時，是面向過程和目標(biāo)的，主要包括：規(guī)定了機載軟件生命周期中各個過程要實現(xiàn)的目標(biāo)；規(guī)定了達到這些目標(biāo)的活動和工程實現(xiàn)考慮；規(guī)定了確認(rèn)這些目標(biāo)已經(jīng)實現(xiàn)的證據(jù)記錄，DO-178B通過這三種形式的要求來考量機載軟件能否達到其預(yù)期設(shè)計需求的置信度。從機載軟件研制的過程來分析，具體可以分為：機載軟件與機載系統(tǒng)的傳遞和追溯關(guān)系、機載軟件的計劃過程、機載軟件的開發(fā)過程、機載軟件的開發(fā)過程、機載軟件的驗證過程、機載軟件的構(gòu)型管理過程、機載軟件的質(zhì)量保證過程、適航認(rèn)證的聯(lián)絡(luò)過程和軟件生命周期的數(shù)據(jù)記錄。針對每一個過程又定義了以下內(nèi)容：不同級別軟件需要實現(xiàn)的目標(biāo)、不同級別軟件對軟件生命周期數(shù)據(jù)的控制類別和過程的輸入與輸出。

2 DO-178B中軟件生命周期過程

DO-178B中將軟件分為A、B、C、D和E，5個等級，軟件等級的確定與軟件失效可能導(dǎo)致的最嚴(yán)重的安全性影響程度有關(guān)，對應(yīng)分別為災(zāi)難級（catastrophic failure）、危險級（hazardous failure）、重要級（major failure）、次要級（minor failure）和無影響（no effect），通過系統(tǒng)的安全性評估來確定。表1所示為軟件級別與失效狀態(tài)影響程度的對應(yīng)關(guān)系及簡要說明。

DO-178B對機載軟件生命周期的基本活動進行分類和綜合，得到了軟件生命周期的三個過程，即軟件計劃過程、軟件開發(fā)過程和軟件綜合過程。其中，軟甲計劃過程用于制定軟件開發(fā)過程和綜合過程中相關(guān)活動的計劃和標(biāo)準(zhǔn)；軟件開發(fā)過程是一些列過程，包括了軟件需求過程、軟件設(shè)計過程、軟件編碼過程和軟件集成過程；軟件綜合過程用于保證軟件生命周期及其輸出、受控和可信的過程，包括了軟件驗證過程、軟件構(gòu)型管理過程、軟件質(zhì)量保證過程和審定聯(lián)絡(luò)過程，軟件的綜合過程是貫穿整個軟件生命周期的。圖3描述了軟件過程之前的基本關(guān)系，其中雙向箭頭表示兩邊的過程是并行的。

在軟件的開發(fā)過程中，不同階段階段之間是需要轉(zhuǎn)換準(zhǔn)則的，即用來確定某過程是否可以進入或者退出，退出當(dāng)前過程和進入下一個過程的轉(zhuǎn)換準(zhǔn)則一般是當(dāng)前階段設(shè)定的目標(biāo)均已滿足并通過評審，比如從軟件初步設(shè)計階段轉(zhuǎn)換到軟件詳細(xì)設(shè)計階段，需要滿足的一個重要目標(biāo)就是軟件的高級別需求已經(jīng)確認(rèn)和軟件初步架構(gòu)已經(jīng)完成，且通過評審。圖4表示了軟件開發(fā)過程中，不同階段的傳遞過程。

3 DO-178B軟件生命周期數(shù)據(jù)

在DO-178B中規(guī)定了20中軟件研制生命周期中產(chǎn)生的數(shù)據(jù)，這些數(shù)據(jù)用來證明軟件實現(xiàn)了不同等級軟件在不同階段DO-178B中設(shè)定的目標(biāo)。審定局方就是通過審查這些輸出數(shù)據(jù)來評估申請人軟件研制流程中目標(biāo)的實現(xiàn)情況，軟件研制生命周期數(shù)據(jù)及簡要說明見表2所示。

表2

4 總結(jié)

DO-178B可以理解為由這三個基本元素組成——過程、目標(biāo)和軟件生命周期數(shù)據(jù)，整個軟件研制過程中，通過過程來實現(xiàn)目標(biāo)，通過過程來產(chǎn)生軟件生命周期數(shù)據(jù)，同時通過軟件生命周期數(shù)據(jù)來證明實現(xiàn)的目標(biāo)，其三者關(guān)系見圖5。本文限于篇幅未對不同等級軟件在不同階段要實現(xiàn)的目標(biāo)進行概論。

圖5 DO-178B基本元素及關(guān)系

[責(zé)任編輯：田吉捷]