基于DO-178C的非激活代碼符合性舉證方法研究

陳剛　羅旭升

摘要：根據(jù)RTCA DO-178C中對非激活代碼的要求，對非激活代碼的定義、分類以及適航相關(guān)要求進行了進一步的研究，并提出了證明該部分的適航符合性需要向局方提供的信息。為國內(nèi)民用飛機機載軟件適航取證過程提供參考。

關(guān)鍵詞：機載軟件;符合性;非激活代碼;DO-178C;舉證方法

中圖分類號：TP311.5 文獻標識碼：A 文章編號：1007-9416（2019）06-0122-01

0 引言

2013年FAA發(fā)布AC 20-115C，標志著RTCA DO-178C作為民用飛機機載軟件的適航符合性方法正式被FAA采用。盡管目前中國民航局通過咨詢通告正式認可的現(xiàn)行有效的適航符合性方法仍是DO-178B，但國內(nèi)在研民機型號中已經(jīng)將DO-178C作為機載軟件的適航符合性方法。

由于軟件具有測試無法窮舉的特性，DO-178C采用以過程控制的嚴格程度來保證軟件的正確性或可靠程度。在軟件研制過程中，研制單位需要向局方提供證據(jù)資料，以表明軟件確實按照相應(yīng)的嚴格程度來開發(fā)和管理。目前研制單位普遍采用的是標準V軟件生存周期模型，國內(nèi)大部分軟件承研商由于以下兩方面原因，造成普遍只能提供部分適航符合性證據(jù)，不能滿足民機適航的要求：

（1）標準要求理解不到位，特別對于DO-178C中對于一些特殊特性軟件的規(guī)定，如參數(shù)數(shù)據(jù)項、用戶可更改軟件、商用貨架軟件、非激活代碼、選項可選軟件等方面;（2）缺乏相關(guān)的舉證經(jīng)驗。本文以DO-178C對非激活代碼的要求為基礎(chǔ)，結(jié)合相關(guān)文獻、適航條例及國外機載軟件供應(yīng)商的適航取證經(jīng)驗，研究了非激活代碼的定義、分類、研制及符合性表明方法，為國內(nèi)民用飛機機載軟件適航符合性舉證提供一定的參考。

1 非激活代碼的定義及分類

按照DO-178C的要求，對A、B、C級的機載軟件需要執(zhí)行一定程度的結(jié)構(gòu)覆蓋率測試，其目的在于找出軟件中的多余代碼（即無法追溯到任何軟件需求的代碼）。這樣的代碼存在以下幾種可能：

（1）由于需求或測試用例編寫不完全而造成的不能覆蓋。這種情況只需增加相應(yīng)的需求和測試用例，并補充測試即可滿足目標;（2）由于編譯器或鏈接器的優(yōu)化選項，而自動加入的一部分代碼。若機載軟件為A級，需要對這一部分通過分析、評審或其它手段進行進一步驗證;（3）盡管不能覆蓋，但經(jīng)過分析認為合理的代碼，如防御性編程（用于數(shù)組邊界檢查的代碼、異常處理、switch語句里的default等等）;（4）死代碼，即無論如何也執(zhí)行不到的代碼。這是DO-178C中不允許的一種情況，一旦發(fā)現(xiàn)應(yīng)進行刪除;（5）非激活代碼。在DO-178C的術(shù)語章節(jié)中對非激活代碼的定義[1]：能夠追蹤到某個需求，人為設(shè)計的可執(zhí)行目標碼或數(shù)據(jù)，包括：①不打算執(zhí)行或使用的可執(zhí)行目標碼或數(shù)據(jù)。例如先前開發(fā)軟件中，與此次應(yīng)用的功能無關(guān)的代碼組件、軟件庫的部分功能模或用于將來擴展的代碼;②僅在部分構(gòu)型中執(zhí)行或使用的可執(zhí)行目標碼或數(shù)據(jù)。例如通過硬件管腳或者軟件編程選項來激活的代碼。

由上述定義可以看出，非激活代碼是出于一定的目的（一般是供應(yīng)商的成本考慮）而進行的一種有意的設(shè)計行為[2]。一般分為兩類，第一類是在飛機正常飛行過程中永遠不會執(zhí)行的代碼;第二類是在飛機的某些構(gòu)型下會執(zhí)行，而在其它構(gòu)型不會執(zhí)行的代碼。

第一類非激活代碼比如以前給其它機型設(shè)計的機載軟件，能夠完全覆蓋當前機型的要求，且有部分多余功能的，一般開發(fā)商不會再重新開發(fā)軟件，要么從源代碼中刪除這一部分代碼，要么作為非激活代碼將這一部分功能使用某種方法進行屏蔽。另外一個例子比如調(diào)試代碼，即出于方便調(diào)試的目的而加入的代碼，如果能采用健壯的機制進行屏蔽，也可以設(shè)計為非激活代碼。

第二類非激活代碼比如某個設(shè)備的控制通道和監(jiān)控通道軟件大部分功能相同，僅有小部分差別，供應(yīng)商設(shè)計一個擁有全部功能的軟件分別在兩個通道安裝，然后按照安裝位置對部分功能進行屏蔽，使其分別滿足控制通道和監(jiān)控通道的要求。這種情況通常是軟件供應(yīng)商出于軟件產(chǎn)品通用性考慮，為了節(jié)約成本而將其設(shè)計成可配置型軟件，產(chǎn)品安裝時通過軟件手段或硬件手段對軟件產(chǎn)品的功能進行使能和屏蔽的一種方法。

2 非激活代碼的符合性舉證活動[3]

2.1 計劃階段

在軟件計劃階段，機載軟件供應(yīng)商需要向局方提供通過內(nèi)部評審、且受控于配置管理系統(tǒng)的計劃和/或標準文件。對于非激活軟件來說，在軟件合格審定計劃中應(yīng)說明以下信息：

（1）是否計劃在軟件中使用非激活代碼;（2）若計劃使用非激活代碼，應(yīng)具體說明屬于前文描述的第一類還是第二類;（3）施加在非激活代碼上的保護/屏蔽機制，保證非激活代碼不會被意外激活而影響正常功能的執(zhí)行;（4）簡述非激活代碼的開發(fā)及驗證過程，若與正常軟件模塊開發(fā)及驗證過程并無區(qū)別，也可以不進行特殊說明。

在軟件開發(fā)計劃中，應(yīng)進一步說明軟件保護/屏蔽機制的設(shè)計過程，在驗證計劃中說明軟件保護/屏蔽機制的驗證活動，以及如何保證非激活代碼不會在非預期情況下被激活。

2.2 開發(fā)階段

在軟件開發(fā)階段，機載軟件供應(yīng)商需要向局方提供的證據(jù)包括：

（1）非激活代碼的正常開發(fā)過程資料，如需求、設(shè)計描述、代碼、追蹤數(shù)據(jù)等;（2）非激活代碼保護/屏蔽機制的開發(fā)過程資料。

對于第一類非激活代碼，由于在本次軟件產(chǎn)品中并不準備執(zhí)行，因此在能夠證明保護機制有效的情況下，可以將該部分代碼作為E級處理，即不需要提交其它符合性資料;對于第二類非激活代碼，仍需按照相應(yīng)等級正常代碼要求提交DO-178C符合性資料。

2.3 驗證階段

軟件驗證階段的任務(wù)是對非激活代碼及其保護/屏蔽機制進行驗證，以保證其正確性，機載軟件供應(yīng)商需要向局方提供的證據(jù)包括：

（1）非激活代碼的驗證結(jié)果;（2）保護/屏蔽機制的驗證結(jié)果;（3）若計劃通過編譯工具的設(shè)置去除非激活代碼（即在最終安裝的產(chǎn)品中不包含非激活代碼），則要么對工具進行鑒定，要么對目標碼進行再次檢查，確保該部分代碼已經(jīng)完全去除。

2.4 最終階段

有時候由于項目進展、成本等其它商務(wù)原因，可能原本計劃的非激活代碼會被去掉、或者原本計劃的二類非激活代碼不得不最終改為一類。若在項目執(zhí)行過程中發(fā)生任何違背計劃的事項，則應(yīng)通過適航聯(lián)絡(luò)過程隨時與局方聯(lián)絡(luò)并取得局方的同意。另外，在最終的軟件完成綜述文件中，應(yīng)對這些情況進行詳細記錄，以免在將來型號中誤以為該非激活代碼已經(jīng)按正常流程通過了局方評審而進行了不正確的應(yīng)用。

參考文獻

[1] Software Considerations in Airborne Systems and Equipment Certification. RTCA Document DO-178C.2011.

[2] Supporting Information for DO-178C and DO-278A.RTCA DocumentDO-248C.2011.

[3] Software Approval Guidelines.FAA.FAA Order 8110.49.2003.

Research on The Method of Compliance for DO-178C Deactivated Code

CHEN Gang，LUO Xu-sheng

（First Aircraft Design and Research Institute of China Aviation Industry Group Corporation，Xi'an Shanxi? 710089）

Abstract：The paper studies the requirements for deactivated code in DO-178C and related airworthiness regulations to clarify its definition and classification， and then proposed a serial of materials the software developer has to provide to the authority for gaining certification credit. The paper can help in airborne software certification process for DO-178C compliance.

Key words：Airborne software;compliance;deactivated code;DO-178C;method of compliance