DO-330標準對機載軟件開發過程的考慮

文/吳綠原

隨著飛機功能和性能需求的進一步提升以及計算機技術的發展，飛機上越來越多的系統采用了嵌入式硬件和軟件以實現復雜的功能。一方面，由于軟件的功能變得越來越復雜，給傳統的軟件開發和測試帶來了挑戰，工業界越來越多地采用了軟件設計工具和測試工具進行軟件開發；另一方面，軟件所承擔的系統功能越多，機載軟件失效所帶來的影響也越大，尤其對于機載安全關鍵系統，適航當局對其安全性要求越來越高。隨著機載軟件適航標準的不斷更新，如何在使用工具的條件下滿足適航要求，成為機載軟件開發組織必須要的重要問題。因而明確軟件工具適航要求的內容，并討論如何在型號合格審定中進行實踐，具有十分重要的意義。

1 概述

DΟ-178標準作為一種機載軟件的適航符合性方法，自1980年RTCA組織頒布DΟ-178，到1985年發布DΟ-178A，再到1992年修訂發布了DΟ-178B，其已被全世界多數國家的適航當局和工業界認可。

隨著軟件技術的進步和軟件規模的擴大，使用自動化工具進行軟件的設計和驗證成為一種新的趨勢。同時包括基于模型的開發方法、基于形式化方法的開發以及面向對象的開發等一系列新技術也開始得到應用。這促使RTCA對已發布的標準繼續進行完善。2011年，最新的DΟ-178C修訂完成，同時發布了DΟ-330（工具鑒定）、DΟ-331（基于模型軟件開發）、DΟ-332（面向對象的軟件開發）、DΟ-333（形式化方法）四份新標準。在保持原有標準穩定性的同時，結合新技術對原有機載軟件開發的標準進行了補充和完善。其中DΟ-330標準針對目前普遍采用的軟件工具設計與驗證工作給出了指南。但由于標準頒布的時間較短，在具體的軟件合格審定實踐過程中，該如何評估軟件工具是否需要進行鑒定，如何定義工具鑒定的符合性目標，如何在軟件研發過程中表明符合性，都是需要解決的問題。

2 DO-330標準分析

2.1 DO-330的使用范圍

DΟ-178B的要求中包含了對于工具鑒定的要求，但只是將工具分為開發工具和驗證工具，并在標準內容中做了簡單要求。相比之下，DΟ-330充分結合當前軟件工具在工業界的應用，對工具的等級做了進一步的劃分。與同時頒布的其他三個標準（DΟ-331、DΟ-332、DΟ-333）不同，DΟ-330并沒有限制只針對機載軟件開發活動，所以其并不是DΟ-178C標準的補充，而是可作為一份可脫離DΟ-178C單獨使用的標準。因此DΟ-330也可以適用于地面維護、空中交通管理等軟件，甚至是其他行業或類型的軟件開發。值得一提的是，對于復雜電子硬件的適航審定活動，其工具也是適用于DΟ-330的。

2.2 工具鑒定活動的利益相關方

DΟ-330包含了兩類要求，一類是工具軟件本身的要求，另外一類是對工具軟件所開發對象的要求。按照DΟ-330的定義，工具鑒定活動的利益相關方（Stakeholder）包括工具的開發者（Tool Developer）和工具的使用者（Tool User）。對于機載軟件開發工具而言，工具開發者有可能是商業軟件的開發商，也可能是機載軟件開發內部的團隊；工具的使用者則是用工具軟件進行機載軟件的開發組織。

在適航取證中，機載軟件項目的目標是保證最終得到局方對于項目的批準通過適航審查。當項目使用了軟件工具并被局方確認需要進行工具鑒定時，則需同時保證工具所開發的軟件和工具都通過適航審查。對工具來講，對應的審查活動就是鑒定（Qualify）。工具的開發者保證工具滿足適航要求（DΟ-330），工具的使用者保證除工具外的其他要素滿足整個項目的適航要求（DΟ-178C）。

2.3 工具鑒定過程

在項目規劃之初，定義軟件的生命周期環境，對使用的工具進行識別；在軟件計劃階段，根據DΟ-330標準，對軟件工具進行評估，評估哪些工具需要進行工具鑒定，被鑒定的軟件工具需要滿足哪個TQL等級的鑒定要求；在得到局方的認可后，這些信息都要在軟件的合格審定計劃和工具鑒定計劃（信息也可以包含在軟件合格審定計劃中）中進行定義。

在軟件開發階段，局方根據DΟ-178C的過程目標要求對機載軟件活動進行審查，對在計劃階段定義的需進行鑒定的工具進行相應等級的過程目標審查。在軟件驗證階段，也是同樣的原則。最終在軟件完成集成過程之后，局方會對工具軟件是否滿足DΟ-330過程目標給出結論，最終結合對機載軟件的過程活動目標的審查給出是否滿足DΟ-178C的結論。并在在對軟件構型索引和軟件完成綜述的批準中進行確認。

如果提前進行了工具鑒定，那么局方是通過軟件工具對DΟ-330的部分過程目標的符合性，了對與工具本身特性相關的鑒定。機載軟件開發過程中，如果需要使用工具軟件，仍需按照DΟ-178C和DΟ-330的過程目標要求，只是不需要重新生成部分已經在工具鑒定審查中被批準的數據。

適航審定實踐中允許軟件工具和使用工具進行研發的機載軟件在不同的時間和空間下進行，工具的鑒定工作既可獨立于其開發的軟件對象，也可與工具開發的軟件同步進行，但工具鑒定不能晚于軟件項目的適航批準。對于已經提前進行過工具鑒定的工具，屬于DΟ-330的11.2節定義的內容。

要明確的是，軟件工具只是省略、減少或自動化了軟件生命周期的某一個或某幾個過程。但并不能夠省略適航審定的活動。實際上，使用工具的意義在于用對工具鑒定的工作量替代了軟件本身研發的工作量。即使對工具軟件已經進行通過工具鑒定，并不代表使用這種工具所開發的軟件具備通過適航審查的條件，而必須要結合研發機載軟件的組織對于工具的使用提供標準所要求的必要的證據。且只能證明工具省略、減少或自動化的部分，而不是軟件的整個項目滿足適航要求。這與很多適航取證的申請人對于自動化工具的直覺感受是相反的。工具的使用實際上使得適航審定工作變得更加困難，它的意義在于減輕了研發活動的工作量。

3 工具鑒定的評估和級別定義

3.1 工具鑒定的評估

并不是在軟件研發活動中所有使用的工具都需要進行工具鑒定。根據DΟ-178C的要求，通過兩個基本準則來進行判斷：

表1：工具鑒定等級的分類準則

表2：TQL等級對應的活動目標數

1）工具是否減少、省略或自動化了DΟ-178C所定義的一個或幾個過程；

2）被工具減少、省略或自動化過程所產生的輸出是否按照軟件驗證過程的要求進行驗證；

當1）和2）條件同時滿足時，使用的軟件工具需要進行工具鑒定。軟件工具是否需要進行工具鑒定并不是絕對的。同樣的軟件工具，在不同的機載軟件開發項目中，工具輸出的結果是否按照DΟ-178C定義的軟件驗證活動進行驗證，決定了軟件工具是否需要被鑒定。原則上給軟件開發組織在軟件結果驗證活動和工具鑒定活動之間的權衡保留了空間。申請人既可以考慮通過對工具軟件的輸出結果驗證來避免對工具進行鑒定，也可以通過工具鑒定活動來省略對軟件過程輸出結果的驗證。

3.2 工具鑒定級別的定義

確定進行工具鑒定的軟件工具需要判斷鑒定的等級。DΟ-178C和DΟ-330將工具的鑒定等級分為5級，由TQL#1至TQL#5，對工具鑒定的過程目標要求依次降低。標準通過判定矩陣給出工具鑒定等級判斷的原則：1）使用工具軟件開發的機載軟件的DAL（Design Assurance Level）；2）對工具軟件的使用準則（Criteria），3個準則的要求如下:

Criteria1: Atoolwhoseoutputispartoftheresult ingsoftwareandcouldinsertanerror.

Criteria2: A tool that automates verification process(es) and thus could fail todetect an error,and whose output is used to justify the elimination or reduction of:

· Verification process(es) other than that automated by the tool,or

· Development process(es) that could have an impact on the airborne (or CNS/ATM) software.

Criteria3: A tool that,within the scope of its intended use,could fail to detect an error.

判斷矩陣如表1所示。

與DΟ-178B不 同，DΟ-178C和DΟ-330并沒有定義開發工具和驗證工具。而是以軟件輸出的最終結果影響和被開發軟件的DAL判斷。如果工具的輸出錯誤會直接導致機載軟件錯誤或者將錯誤引入機載軟件，則納入準則1的范圍；如果工具軟件的錯誤會導致無法檢測出機載軟件的錯誤，則納入準則3的范圍；如果工具的軟件自動化代替了一個或多個驗證過程而有可能由于錯誤而的錯誤會導致無法檢測出機載軟件的錯誤，并且工具的輸出還被用來減少或省略被工具自動化以外的驗證過程，或這對機載軟件的開發過程造成影響，則可以定義為準則2。

情況1：現在有一些工具軟件可以對軟件代碼進行形式化驗證的軟件，軟件本身可以減少軟件的代碼走查活動。同時，工具還減少了后續對于軟件測試的覆蓋率分析工作，則這類軟件有可能作為準則2來進行分類。

情況2：對于代碼覆蓋率測試工具，如果其對被測軟件進行插裝，且無法證明工具的錯誤不會導致插裝代碼會殘留在機載軟件中，則其作為準則1來進行鑒定。

4 DO-330定義的工具鑒定目標

確定了工具鑒定的等級，則按照DΟ-330附錄A中TQL-1到TQL-5這5個不同等級的活動目標進行研發和適航審查。不同TQL對應的過程目標數如表2所示。

對表2進行分析，第2到8組過程，TQL-5幾乎不需要滿足任何目標；而對于TQL-4，第5到第8組過程也只有少數需要滿足。相對于TQL1，TQL2和TQL3而言，TQL4在各個階段需要滿足的目標數少約50%，其中TQL5需滿足的目標數不到TQL1的20%，且都集中在操作需求過程和構型管理過程保證過程中。結合表1，TQL4和5的要求集中在準則2和準則3的工具中。因此。只要能夠保證工具軟件的輸出錯誤不會直接引入錯誤到機載軟件，那么其工具鑒定工作的活動工作量會大大減少，通過類比機載軟件不同過程的目標個數的工作量（圖1），TQL4工具鑒定的工作量約為TQL1工作量的20%。

圖1：DO-178C與DO-330不同等級目標比較

圖2：對先前已鑒定工具的評估流程

通過圖1的比較會比較清晰地發現，DΟ-178C中的DAL與DΟ-330中的TQL的相同等級的目標數量存在者很大的相似性。這是由于對于開發工具來講，不管工具軟件減少、省略或自動化了哪一個步驟，對于工具的適航要求與機載軟件的適航要求基本是一樣的，這也與DΟ-178B的要求一致。

5 工具鑒定中的其他考慮

除了對通用性的工具鑒定考慮之外，DΟ-330在標準的第11章對特殊的情況進行了說明。雖然是對DΟ-330工具鑒定的補充考慮，但其對多功能軟件工具、先前鑒定軟件工具、貨架工具軟件的鑒定及歷史數據的要求，卻是目前型號中工具軟件很多情況下要考慮的問題。這是因為大多數項目都是為了節省軟件項目開發進度和人力成本而使用工具。而采用已經被鑒定的工具或者貨架產品，才能夠最大化的實現縮減進度和減少目標，否則使用工具的優勢很難彌補工具鑒定所帶來的額外付出。

5.1 具有多個功能的工具鑒定

多數軟件工具有不只一個功能，其減少、替代或自動化的也不只一個軟件過程，因此在工具鑒定活動中對每個功能類別都有可能作為一個單獨項目進行評估和分析。按照可執行文件是否為一個整體進行分類可以分為：不同功能的軟件工具作為同一個可執行文件；不同功能包含在不同的可執行文件，這種情況下，允許選擇或者關閉特定功能；也有情況是不同功能以其他形式構成組合，但允許用戶選擇或者關閉特定的功能。

對于具有多個功能的工具，首先要評估哪些功能被使用。然后就是對確認使用的的功能進行評估，按照第3章和第4章的方法，評估是否需要進行工具鑒定，判斷需要進行哪個等級的工具鑒定。

原則上來講，單獨實現的功能，不管是其在同一個可執行文件中，還是在不同的可執行文件中，都允許根據其使用的研制保證等級和

5.2 先前已鑒定工具的復用

先前鑒定工具的使用是工程實踐中常遇到的情況，是指已通過鑒定的工具在更改的項目或者新項目中復用。對于先前鑒定工具包括以下3種情況：（1）對于已被鑒定的工具的復用而無任何更改；（2）工具的使用環境發生了變化；（3）工具本身發生了更改。通常對工具軟件的更改評估采用如圖2的流程：

如果申請人要聲明先前鑒定的工具未經任何更改，則需要同時滿足以下條件：

（1）工具軟件已經在之前被局方批準的軟件項目中通過鑒定；

（2）已通過鑒定的工具的項目具有與當前項目相同的鑒定等級，或比當前的軟件等級高；

（3）在工具通過鑒定之后，復用部分的工具的生命周期數據未經改變；

（4）當前的項目與已經通過工具鑒定的項目具有相同的運行需求；

（5）當前項目與已經通過工具鑒定的項目具有相同的運行需求；

（6）申請人可以訪問被批準的工具的取證證據；

（7）申請人需確認已經通過鑒定的數據與當前項目使用的工具是同一版本。

以上條件如果有任一一條不滿足，則判定工具或者工具的運行環境發生了更改。通過分析，申請人在新的項目中要聲明采用已被鑒定的工具，要求是十分苛刻的。如果工具、工具鑒定的計劃或者等級發生了更改，則需要進行進一步的影響分析。

5.3 貨架工具軟件

貨架工具軟件通常并不會針對某個特殊的軟件項目，因此是典型的工具的開發者和工具的使用者不屬于同一組織的情況。且通常貨架工具軟件沒有專門針對適航審查的工具生命周期數據，因此給申請人取證過程帶來了困難。根據上文的分析，對于TQL1、2和3的工具來講，如果沒有工具軟件的生命周期數據，是很難滿足適航要求的。而對于TQL4和5等級的工具鑒定來講，一般工具軟件開發者的運行需求和工具使用者是不同的。工具的使用者需要提供更為詳細的工具操作需求，才能夠滿足適航的要求。

5.4 服役歷史

在工具操作需求被定義的前提下，如果存在以下情況，申請人可能需要使用服役歷史數據來進行符合性表明。

（1）工具已經被使用過，但是需要的工具鑒定數據無法得到；

（2）工具的鑒定等級需要提升；

（3）工具的一些特性很難通過現有的數據進行分析；

（4）對于工具操作需求的符合性證明不夠充分的條件下，需要服役歷史數據來提高審查方對項目的信心或置信度。

通常對于服役歷史數據的審查，需要從工具操作需求的符合性演示，工具使用的問題報告，工具使用的環境，工具的操作，工具的穩定性和成熟度及工具使用對象的情況這幾個方面來考慮，一般采用一事一議的原則。

5.5 其他替代方法

DΟ-330中也定義了可以考慮的替代方法，在項目中也可以作為選擇的方案，例如輸入窮舉測試，形式化方法或者非相似工具的使用。如果采用了替代的方法來證明符合性的話，則需要在工具的計劃中進行明確。替代的方法需要提供足夠的證據證明完整性和正確性。例如采用非相似工具進行輸出對比時，要盡可能考慮到所有的輸入輸出可能出現的情況。即使采用了替代方法，申請人也必須向局方表明對于DΟ-178C和DΟ-330的目標的符合性。

6 總結

在機載軟件研制的過程中，使用軟件工具來減少、消除或者自動化某個過程，能夠節省大量的資源，提高項目的進度。如果對工具的輸出不進行驗證，則要評估工具軟件是否需要進行工具鑒定，以及工具鑒定的等級。由此帶來的是工具鑒定活動的成本。通過最新發布的DΟ-330標準的分析，明確了工具鑒定的評估、級別的定義流程和方法。對工具鑒定的過程和目標進行了分析。同時，針對實際工程中遇到的一些具體情況，結合標準要求對多功能工具、先前已鑒定工具的復用、貨架工具軟件、服役歷史等要求進行了分析。同時對可能的替代方法進行了分析。

對于申請人來講，需要綜合進度、成本及復用性等因素，選擇是否要使用工具，是否要對工具進行鑒定，對工具鑒定的等級也要進行選擇。總之，DΟ-330標準充分考慮目前工程應用中的情況，通過對標準的分析，旨在為申請人提供了具體的取證方法和過程說明，為機載軟件適航取證的策略提供參考。