DO-254標(biāo)準(zhǔn)編譯稿

1、 RTCA/DO-254 機(jī)載電子設(shè)備硬件的設(shè)計(jì)保證指南 RTCA/DO254標(biāo)準(zhǔn)機(jī)載電子設(shè)備硬件的設(shè)計(jì)保證指南二00八年四月目 錄I前 言本文件由航空無線電委員會（RTCA）180專委會（SC-180）制訂，并于2000年4月19日由RTCA項(xiàng)目管理委員會批準(zhǔn)通過。本指南是RTCA SC-180和EUROCAE（歐洲民用航空設(shè)備組織）WG-46在協(xié)商一致的基礎(chǔ)上共同編寫完成的。RTCA公司是一家非營利性的組織，其宗旨是推進(jìn)航空和航空電子系統(tǒng)科學(xué)與技術(shù)的發(fā)展，為公眾的福祉服務(wù)。本組織起到了聯(lián)邦顧問委員會的作用，并就當(dāng)前航空方面的議題提出一致通過的建議。RTCA的目標(biāo)包括但并不僅限于：l 結(jié)合航

2、空系統(tǒng)用戶和供應(yīng)商的技術(shù)要求，幫助政府和企業(yè)實(shí)現(xiàn)和履行彼此的目標(biāo)及職責(zé)；l 對航空業(yè)界在追求更高安全、系統(tǒng)性能和效能時所面臨的系統(tǒng)技術(shù)問題進(jìn)行分析，并提供解決方案；l 推進(jìn)相關(guān)技術(shù)應(yīng)用的通過，以滿足用戶和供應(yīng)商的要求，包括支持飛行的電子系統(tǒng)和設(shè)備的最低工作性能標(biāo)準(zhǔn)的制定；l 幫助制定相關(guān)技術(shù)資料，以此確定國際民航組織、國際電信聯(lián)盟以及其它感興趣的國際組織的地位。本組織的建議通常被政府和民間組織作為決策的依據(jù)，并且還是眾多聯(lián)邦航空管理技術(shù)標(biāo)準(zhǔn)規(guī)程的基礎(chǔ)。由于RTCA并不是美國政府的官方代理機(jī)構(gòu)，本組織的建議未經(jīng)美國政府或在這些建議所涉及到的任何問題上擁有法定權(quán)限的組織公布，不能被認(rèn)定為官方政策。

3、執(zhí)行概要航空業(yè)界中復(fù)雜電子設(shè)備的使用和研發(fā)引起了新的安全和驗(yàn)證問題。為解決此問題，成立了RTCA SC-180和EUROCAE WG-46。RTCA SC-180和EUROCAE WG-46早在制訂本文件時就已同意并組成了聯(lián)合委員會。該聯(lián)合委員會經(jīng)特許為機(jī)載電子設(shè)備制定清晰和一致的設(shè)計(jì)保證指南，從而使機(jī)載電子設(shè)備可安全地發(fā)揮其既定功能。機(jī)載電子設(shè)備包括線可替代單元、電路板組件、專用集成電路、可編程邏輯器件等。本指南適用于現(xiàn)有的、新的以及剛出現(xiàn)的技術(shù)。前 言本文件由航空無線電委員會（RTCA）180專委會（SC-180）制訂，并于2000年4月19日由RTCA項(xiàng)目管理委員會批準(zhǔn)通過。本指南是RT

4、CA SC-180和EUROCAE（歐洲民用航空設(shè)備組織）WG-46在協(xié)商一致的基礎(chǔ)上共同編寫完成的。RTCA公司是一家非營利性的組織，其宗旨是推進(jìn)航空和航空電子系統(tǒng)科學(xué)與技術(shù)的發(fā)展，為公眾的福祉服務(wù)。本組織起到了聯(lián)邦顧問委員會的作用，并就當(dāng)前航空方面的議題提出一致通過的建議。RTCA的目標(biāo)包括但并不僅限于：結(jié)合航空系統(tǒng)用戶和供應(yīng)商的技術(shù)要求，幫助政府和企業(yè)實(shí)現(xiàn)和履行彼此的目標(biāo)及職責(zé)；對航空業(yè)界在追求更高安全、系統(tǒng)性能和效能時所面臨的系統(tǒng)技術(shù)問題進(jìn)行分析，并提供解決方案；推進(jìn)相關(guān)技術(shù)應(yīng)用的通過，以滿足用戶和供應(yīng)商的要求，包括支持飛行的電子系統(tǒng)和設(shè)備的最低工作性能標(biāo)準(zhǔn)的制定；幫助制定相關(guān)技術(shù)資料

5、，以此確定國際民航組織、國際電信聯(lián)盟以及其它感興趣的國際組織的地位。本組織的建議通常被政府和民間組織作為決策的依據(jù)，并且還是眾多聯(lián)邦航空管理技術(shù)標(biāo)準(zhǔn)規(guī)程的基礎(chǔ)。由于RTCA并不是美國政府的官方代理機(jī)構(gòu)，本組織的建議未經(jīng)美國政府或在這些建議所涉及到的任何問題上擁有法定權(quán)限的組織公布，不能被認(rèn)定為官方政策。86執(zhí)行概要航空業(yè)界中復(fù)雜電子設(shè)備的使用和研發(fā)引起了新的安全和驗(yàn)證問題。為解決此問題，成立了RTCA SC-180和EUROCAE WG-46。RTCA SC-180和EUROCAE WG-46早在制訂本文件時就已同意并組成了聯(lián)合委員會。該聯(lián)合委員會經(jīng)特許為機(jī)載電子設(shè)備制定清晰和一致的設(shè)計(jì)保證指

6、南，從而使機(jī)載電子設(shè)備可安全地發(fā)揮其既定功能。機(jī)載電子設(shè)備包括線可替代單元、電路板組件、專用集成電路、可編程邏輯器件等。本指南適用于現(xiàn)有的、新的以及剛出現(xiàn)的技術(shù)。本文件中的指導(dǎo)措施將供飛機(jī)系統(tǒng)所用的電子硬件項(xiàng)的供應(yīng)商和飛機(jī)生產(chǎn)商使用。文件中確定了硬件設(shè)計(jì)生命周期進(jìn)程，并對每一進(jìn)程的目標(biāo)和活動進(jìn)行了描述。本指南適用于所有的硬件保證等級（由系統(tǒng)安全評估確定）。在本文件的制定進(jìn)程中，委員會參考了其它的業(yè)內(nèi)文件，包括美國動力機(jī)械工程師協(xié)會（SAE）航空推薦準(zhǔn)則(ARP)文件ARP4754/EUROCAE ED-79、高度集成或復(fù)雜飛機(jī)系統(tǒng)的驗(yàn)證準(zhǔn)則、民航系統(tǒng)及設(shè)備的安全評估進(jìn)程實(shí)施方針及方法以及RTC

7、A DO-178/EUROCAE ED-12機(jī)載系統(tǒng)及設(shè)備驗(yàn)證的軟件考慮因素。目 錄1 導(dǎo)言11.1 目的11.2 范圍11.3 與其它文件的關(guān)系21.4 相關(guān)文件31.5 如何使用本文件31.6 復(fù)雜性考慮41.7 其它方法或進(jìn)程51.8 文件概覽52 系統(tǒng)方面的硬件設(shè)計(jì)保證72.1 信息流82.1.1 從系統(tǒng)開發(fā)進(jìn)程到硬件設(shè)計(jì)生命周期進(jìn)程的信息流82.1.2 從硬件設(shè)計(jì)生命周期進(jìn)程到系統(tǒng)開發(fā)進(jìn)程的信息流92.1.3 硬件設(shè)計(jì)生命周期進(jìn)程與軟件生命周期進(jìn)程之間的信息流92.2 系統(tǒng)安全評估進(jìn)程92.3 硬件安全評估132.3.1 硬件安全評估考慮事項(xiàng)132.3.2 隨機(jī)硬件故障的定量分析14

8、2.3.3 硬件設(shè)計(jì)失誤及推翻的定性評估142.3.4 關(guān)于硬件故障情況分類的設(shè)計(jì)保證考慮事項(xiàng)153 硬件設(shè)計(jì)生命周期183.1 硬件設(shè)計(jì)生命周期進(jìn)程183.2 過渡標(biāo)準(zhǔn)184 計(jì)劃進(jìn)程194.1 計(jì)劃進(jìn)程目標(biāo)194.2 計(jì)劃進(jìn)程活動195 硬件設(shè)計(jì)進(jìn)程215.1 要求捕獲進(jìn)程235.1.1 要求捕獲目標(biāo)235.1.2 要求捕獲活動235.2 概念設(shè)計(jì)進(jìn)程245.2.1 概念設(shè)計(jì)目標(biāo)255.2.2 概念設(shè)計(jì)活動255.3 詳細(xì)設(shè)計(jì)進(jìn)程255.3.1 詳細(xì)設(shè)計(jì)目標(biāo)255.3.2 詳細(xì)的設(shè)計(jì)進(jìn)程活動265.4 實(shí)施進(jìn)程265.4.1 實(shí)施目標(biāo)275.4.2 實(shí)施活動275.5 生產(chǎn)轉(zhuǎn)換進(jìn)程275.

9、5.1 生產(chǎn)轉(zhuǎn)換目標(biāo)275.5.2 生產(chǎn)轉(zhuǎn)換活動285.6 驗(yàn)收測試285.7 連續(xù)生產(chǎn)296 鑒定與驗(yàn)證進(jìn)程306.1 鑒定進(jìn)程306.1.1 鑒定進(jìn)程目標(biāo)306.1.2 鑒定進(jìn)程活動316.2 驗(yàn)證進(jìn)程316.2.1 驗(yàn)證進(jìn)程目標(biāo)326.2.2 驗(yàn)證進(jìn)程活動326.3 鑒定和驗(yàn)證方法336.3.1 測試336.3.2 分析346.3.3 審核356.3.3.1 要求審核356.3.3.2 設(shè)計(jì)審核377 配置管理進(jìn)程397.1 配置管理目標(biāo)397.2 配置管理活動397.2.1 配置識別397.2.2 原始資料的建立407.2.3 問題報(bào)告、跟蹤和糾正行為407.2.4 更改控制417.2

10、.5 發(fā)布、歸檔以及檢索427.3 數(shù)據(jù)控制類別428 進(jìn)程保證448.1 進(jìn)程保證目標(biāo)448.2 進(jìn)程保證活動449 認(rèn)證聯(lián)絡(luò)進(jìn)程459.1 符合方法與規(guī)劃459.2 符合證明4510 硬件設(shè)計(jì)生命周期數(shù)據(jù)4710.1 硬件計(jì)劃4710.1.1 硬件方面認(rèn)證計(jì)劃4810.1.2 硬件設(shè)計(jì)計(jì)劃4910.1.3 硬件鑒定計(jì)劃4910.1.4 硬件驗(yàn)證計(jì)劃5010.1.5 硬件配置管理計(jì)劃5010.1.6 硬件進(jìn)程保證計(jì)劃5110.2 硬件設(shè)計(jì)標(biāo)準(zhǔn)和指南5110.2.1 要求標(biāo)準(zhǔn)5110.2.2 硬件設(shè)計(jì)標(biāo)準(zhǔn)5110.2.3 鑒定和驗(yàn)證標(biāo)準(zhǔn)5210.2.4 硬件存檔標(biāo)準(zhǔn)5210.3 硬件設(shè)計(jì)數(shù)據(jù)5

11、210.3.1 硬件要求5210.3.2 硬件設(shè)計(jì)表示數(shù)據(jù)5310.3.2.1 概念設(shè)計(jì)數(shù)據(jù)5310.3.2.2 詳細(xì)設(shè)計(jì)數(shù)據(jù)5410.3.2.2.1 頂級圖5410.3.2.2.2 組裝圖5410.3.2.2.3 安裝控制圖5410.3.2.2.4 硬件/軟件接口數(shù)據(jù)5510.4 鑒定和驗(yàn)證數(shù)據(jù)5510.4.1 可追溯性數(shù)據(jù)5510.4.2 審核和分析程序5610.4.3 審核或分析結(jié)果5610.4.4 測試程序5710.4.5 測試結(jié)果5710.5 硬件驗(yàn)收測試標(biāo)準(zhǔn)5710.6 問題報(bào)告5810.7 硬件配置管理記錄5810.8 硬件進(jìn)程保證記錄5810.9 硬件完成概要5811 附加考慮

12、事項(xiàng)6011.1 先前開發(fā)硬件的使用6011.1.1 對先前開發(fā)硬件的變更6011.1.2 飛機(jī)設(shè)備的更改6011.1.3 應(yīng)用或設(shè)計(jì)環(huán)境的改變6111.1.4 設(shè)計(jì)原始資料的升級6111.1.5 配置管理的附加考慮事項(xiàng)6211.2 商業(yè)化成品（COTS）元件的使用6211.2.1 對COTS元件的電子元件管理6211.2.2 COTS元件的采購6311.3 產(chǎn)品服務(wù)經(jīng)驗(yàn)6311.3.1 產(chǎn)品服務(wù)經(jīng)驗(yàn)數(shù)據(jù)可接受性標(biāo)準(zhǔn)6311.3.2 對產(chǎn)品服務(wù)經(jīng)驗(yàn)數(shù)據(jù)的評估6311.3.3 產(chǎn)品服務(wù)經(jīng)驗(yàn)評估數(shù)據(jù)6411.4 工具評估和鑒定6411.4.1 工具評估和鑒定進(jìn)程6511.4.2 工具評估和鑒定數(shù)據(jù)

13、68A.1 簡介72A.2 功能故障路徑分析72A.2.1 功能故障路徑分析方法73A.2.2 功能故障路徑分析數(shù)據(jù)73A.3 A級與B級功能的設(shè)計(jì)保證方法74A.3.1 架構(gòu)緩解74A.3.1.1 架構(gòu)緩解方法74A.3.1.2 架構(gòu)緩解的解決74A.3.1.3 架構(gòu)緩解數(shù)據(jù)75A.3.2 產(chǎn)品服務(wù)經(jīng)驗(yàn)75A.3.2.1 產(chǎn)品服務(wù)經(jīng)驗(yàn)方法75A.3.2.2 產(chǎn)品服務(wù)經(jīng)驗(yàn)的解決75A.3.2.3 產(chǎn)品服務(wù)經(jīng)驗(yàn)數(shù)據(jù)75A.3.3 先進(jìn)驗(yàn)證方法76A.3.3.1 元素分析77A.3.3.1.1 元素分析法77A.3.3.1.1.1 選擇元素分析標(biāo)準(zhǔn)77A.3.3.1.1.2 執(zhí)行元素分析78A.3

14、.3.1.2 元素分析結(jié)果的解決79A.3.3.1.3 元素分析生命周期數(shù)據(jù)輸出79A.3.3.2 特定安全分析80A.3.3.2.1 特定安全分析法81A.3.3.2.2 特定安全分析的解決81A.3.3.2.3 特定安全分析數(shù)據(jù)82A.3.3.3 形式法82A.3.3.3.1 形式法的方法論83A.3.3.3.2 形式法的解決84A.3.3.3.3 形式法數(shù)據(jù)841 導(dǎo)言使用日益復(fù)雜的電子設(shè)備可獲得更好的安全關(guān)鍵飛機(jī)功能，但這也會帶來關(guān)于安全和驗(yàn)證的新的挑戰(zhàn)。產(chǎn)生這些挑戰(zhàn)是由于擔(dān)心上述飛機(jī)功能會由于硬件設(shè)計(jì)失誤的相反效應(yīng)而變得更加脆弱，并且這些失誤會由于硬件的日趨復(fù)雜化而更加難以把握。為抵

15、消此風(fēng)險(xiǎn)的擴(kuò)大，在設(shè)計(jì)和驗(yàn)證進(jìn)程中，有必要的采用更一致的和可驗(yàn)證的方式來確保潛在的硬件設(shè)計(jì)錯誤的定位。由于機(jī)載電子設(shè)備的日趨復(fù)雜化、技術(shù)的進(jìn)步以及在實(shí)際應(yīng)用中和采用本文件所述程序的進(jìn)程中獲得的經(jīng)驗(yàn)，必須根據(jù)已通過的RTCA/EUROCAE程序?qū)Ρ疚募M(jìn)行修訂和審核。1.1 目的本文件幫助研發(fā)組織為機(jī)載電子設(shè)備的開發(fā)提供了設(shè)計(jì)保證指南，從而使機(jī)載電子設(shè)備可在規(guī)定的環(huán)境中安全地發(fā)揮其預(yù)定的功能。本指南同樣適用于現(xiàn)有的、新的以及正在開發(fā)的技術(shù)。本文件的目的是：1 確定硬件設(shè)計(jì)保證目標(biāo)；2 描述這些目標(biāo)的基本原則以確保對本指南的正確闡述；3 提供目標(biāo)描述，以允許根據(jù)本指南和其它指南所作的各種改進(jìn)；4

16、提供設(shè)計(jì)保證活動指南以滿足設(shè)計(jì)保證目標(biāo)；5 只要有合適的新技術(shù)，允許靈活選擇滿足本文件目標(biāo)（包括對其的改進(jìn)）必需的進(jìn)程。本文件介紹的是為滿足設(shè)計(jì)保證目標(biāo)所應(yīng)采取的活動，而并未詳細(xì)介紹怎樣進(jìn)行某項(xiàng)設(shè)計(jì)。本指導(dǎo)文件所用的基本原理是基于電子設(shè)備所體現(xiàn)出來的系統(tǒng)功能的一種自上而下的透視法，而不是一種自下而上的透視法，或者僅基于用于實(shí)現(xiàn)某功能的一些特定設(shè)備元件的透視法。通過推進(jìn)已知系統(tǒng)和硬件設(shè)計(jì)的決定，以及高效且有效的驗(yàn)證進(jìn)程，自上而下的方法在處理安全設(shè)計(jì)失誤時會更有效。例如，應(yīng)在系統(tǒng)、組件、子組件、元件或硬件項(xiàng)的最高等級上進(jìn)行驗(yàn)證；并且在此等級上，硬件項(xiàng)可滿足其要求，驗(yàn)證目標(biāo)也可實(shí)現(xiàn)。1.2 范圍本文

17、件為機(jī)載電子設(shè)備（源自初始驗(yàn)證和后續(xù)驗(yàn)證后產(chǎn)品改進(jìn)進(jìn)程的概念）提供設(shè)計(jì)保證指南，以便確保連續(xù)的適航性。本文件基于與運(yùn)輸類飛機(jī)和設(shè)備所需的驗(yàn)證要求一致的陳述制定，但本文件的一部分并不適用于其它設(shè)備。本文件描述了系統(tǒng)生命周期和硬件設(shè)計(jì)生命周期間的關(guān)系，以幫助理解系統(tǒng)和硬件設(shè)計(jì)保證進(jìn)程的相互關(guān)系。文件中并未包括對系統(tǒng)生命周期（包括系統(tǒng)安全評估（SSA）和有效性）以及飛機(jī)驗(yàn)證進(jìn)程的完整描述。只有與硬件設(shè)計(jì)生命周期有關(guān)時，才會討論驗(yàn)證問題。而只有與硬件設(shè)計(jì)的適航性有關(guān)時，才會處理與生產(chǎn)、檢測和維護(hù)硬件項(xiàng)的能力相關(guān)的方面。本文件指南適用于但不僅限于以下硬件項(xiàng):1 線路可替代單元（LRU）；2 電路板組件；

18、3 定制微碼元件，如專用集成電路(ASIC)和可編程邏輯器件（PLD），還包括任何相關(guān)的宏功能；4 集成技術(shù)元件：如混合電路和多芯模塊；5 商業(yè)成品元件（COTS）。由于COTS元件供應(yīng)商可能不會遵從本文件所述的設(shè)計(jì)進(jìn)程，或提供必要的設(shè)計(jì)生命周期數(shù)據(jù)，因此其它的情形，尤其是針對COTS的考慮，會在第11節(jié)中進(jìn)行討論。本文件并未試圖定義固件。固件應(yīng)歸類為硬件或軟件，并且應(yīng)采用適當(dāng)?shù)倪M(jìn)程對其進(jìn)行處理。本文件假設(shè)，在系統(tǒng)定義時，功能已分配給了硬件或軟件。RTCA DO-178/EUROCAE ED-12提供了針對分配給軟件執(zhí)行程序的功能的指南。本文件提供的是針對分配給硬件的功能的指南。注：在系統(tǒng)確定

19、和功能指定后，就可確定執(zhí)行程序和設(shè)計(jì)保證的有效方法。在進(jìn)行指定時，所有團(tuán)體都應(yīng)同意此系統(tǒng)決定。硬件項(xiàng)設(shè)計(jì)和驗(yàn)證所用工具的評估和規(guī)格見第11.4節(jié)。本文件并未提供關(guān)于組織結(jié)構(gòu)或在這些結(jié)構(gòu)中如何劃分職責(zé)的指南。環(huán)境條件標(biāo)準(zhǔn)也不在本文件所涉及的范圍之內(nèi)。1.3 與其它文件的關(guān)系除了飛行性能要求外，各種關(guān)于硬件的國家和國際標(biāo)準(zhǔn)也是適用的。在有些團(tuán)體中，可能會要求遵從這些標(biāo)準(zhǔn)。但是，本文件并未援引具體的國家或國際標(biāo)準(zhǔn)，也未提供某種方法使得這些標(biāo)準(zhǔn)可用作本文件的選項(xiàng)或補(bǔ)充。當(dāng)本文件使用“標(biāo)準(zhǔn)”這一術(shù)語時，意指機(jī)載系統(tǒng)、機(jī)載設(shè)備、發(fā)動機(jī)或飛機(jī)制造商所用的工程特定標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)可能來自于制造商制定或采用的通用

20、標(biāo)準(zhǔn)。標(biāo)準(zhǔn)指南見第10.2節(jié)。1.4 相關(guān)文件SAE ARP4754/EUROCAE ED-79，即高度集成或復(fù)雜飛行系統(tǒng)驗(yàn)證準(zhǔn)則，是關(guān)于高度集成或復(fù)雜飛行系統(tǒng)的開發(fā)指南的源文件。SAE ARP4761，即民航系統(tǒng)及設(shè)備的安全評估進(jìn)程實(shí)施方針及方法，是用于硬件設(shè)計(jì)保證進(jìn)程的安全評估方法的源文件。RTCA DO-178/EUROCAE ED-12，即關(guān)于機(jī)載系統(tǒng)及設(shè)備驗(yàn)證的軟件考慮因素，是軟件開發(fā)保證的補(bǔ)充文件。RTCA DO-160/EUROCAE ED-14，即機(jī)載設(shè)備的環(huán)境條件及測試進(jìn)程，可為設(shè)備設(shè)計(jì)者用作硬件項(xiàng)規(guī)格的初級環(huán)境測試標(biāo)準(zhǔn)。1.5 如何使用本文件本文件供國際航空團(tuán)體使用。為便于

21、使用，盡可能少地參考了具體的國家規(guī)定和程序；相反，使用更多的還是通用術(shù)語。例如，術(shù)語“認(rèn)證機(jī)構(gòu)”用來指代表有權(quán)認(rèn)證的國家進(jìn)行審核的組織或個人。當(dāng)另外一個國家或國家集團(tuán)批準(zhǔn)或參加此認(rèn)證時，本文件就可使用，并且會在所涉及到的國家間的雙邊協(xié)議或諒解備忘錄中相應(yīng)地體現(xiàn)出來。本文件指南代表了航空團(tuán)體的一致意見，囊括了機(jī)載電子設(shè)備設(shè)計(jì)保證方面最好的行業(yè)實(shí)踐經(jīng)驗(yàn)。對于本文件中提出的進(jìn)程，其目的是提供可用于完成新硬件設(shè)計(jì)和后續(xù)改造的指南。先前為其它進(jìn)程提供的硬件指南見第11.1節(jié)。可以理解，除了在此介紹的方法外，其它方法也可能為申請人獲取并采用。在使用實(shí)例說明如何使用本指南時，不管是用圖表形式還是敘述方式，不

22、能認(rèn)為這些實(shí)例是首選的方法。第11節(jié)討論了關(guān)于特定已知情況（在這些已知情況下，第2節(jié)至第9節(jié)的一些目標(biāo)可能不會實(shí)現(xiàn)）的其它情形。這些情形包括：已開發(fā)出的硬件的使用指南、COTS元件使用指南、產(chǎn)品服務(wù)經(jīng)驗(yàn)指導(dǎo)、工具評估及規(guī)格指南。在附錄A中，基于執(zhí)行中的硬件設(shè)計(jì)保證等級，提供了關(guān)于必需的硬件設(shè)計(jì)生命周期數(shù)據(jù)的指南。附錄B包括了執(zhí)行A級和B級功能（除了第2節(jié)至第11節(jié)的指南外，也應(yīng)使用這些功能）所用硬件的設(shè)計(jì)保證技術(shù)指南；根據(jù)申請人的意愿，附錄B也可應(yīng)用于硬件的C級和D級設(shè)計(jì)保證。本文件中所用的術(shù)語表見附錄C。附錄D是本文件所用的縮略詞匯表，列出了這些縮略詞的全稱。對于列出的表單，并不意味著其下的

23、子項(xiàng)在任何情況下都是全面的，也不是說所有的子項(xiàng)都對應(yīng)于任何特定的產(chǎn)品。本文件中的注釋用于提供說明性材料、強(qiáng)調(diào)某一點(diǎn)或者引起對相關(guān)主題的注意。當(dāng)然，這些注釋并不僅限于上下文范圍之內(nèi)。注釋并不包含指南。當(dāng)提供指南時會用“應(yīng)該”一詞。“可能”則用于選擇性文本。本文件所用的術(shù)語“硬件項(xiàng)”則是用來描述作為本文件主題的電子設(shè)備。除非特意說明，在本文件中都會采用限定詞“硬件”。使用術(shù)語“要求”時是指“硬件要求”。系統(tǒng)或軟件限定詞通常會特意說明，如“系統(tǒng)要求”。注：各種行業(yè)咨詢文件和航空要求文件并不總是使用一致的術(shù)語。例如，聯(lián)邦航空規(guī)程（FAR）21和聯(lián)合航空要求（JAR）21中使用“產(chǎn)品”來指代飛機(jī)、飛機(jī)發(fā)

24、動機(jī)、或螺旋槳。文件SAE ARP4754/EUROCAE ED-79使用“產(chǎn)品”這一術(shù)語來指代硬件、軟件、部件或根據(jù)確定的一組要求形成的系統(tǒng)。請讀者注意在使用術(shù)語時的這些以及其它差異。本文件使用的是詞匯表中的定義。1.6 復(fù)雜性考慮盡管有各種關(guān)于術(shù)語“復(fù)雜性”的分類被用于描述電子器件，比如簡單、復(fù)雜和高度復(fù)雜，但這些分類之間的區(qū)別并未嚴(yán)格確定。要在此確定復(fù)雜性間的區(qū)別，需要根據(jù)使用確定性方法達(dá)到可行性驗(yàn)證范圍所必需的可行性和困難程度而進(jìn)行。應(yīng)分等級，按照集成電路、電路板和LRU的順序?qū)τ布膹?fù)雜性進(jìn)行檢查；其中，復(fù)雜性包括可能不可測的尋址功能，如多用途設(shè)備中未用的模式和時序機(jī)中可選的隱藏狀態(tài)

25、。在不存在異?，F(xiàn)象的所有可預(yù)見的操作條件下，只有當(dāng)符合設(shè)計(jì)保證等級的確定性測試和分析可確保正確的操作性能時，硬件項(xiàng)才可定義為簡單。若某硬件項(xiàng)不能歸入簡單一類，它就應(yīng)歸入復(fù)雜一類。全部由簡單部件構(gòu)成的部件可能是復(fù)雜部件。對于含有器件（如ASIC或PLD）的部件，若其符合本節(jié)描述的簡單標(biāo)準(zhǔn)，就可認(rèn)為是簡單的。對于復(fù)雜部件，推薦的提供設(shè)計(jì)保證方式應(yīng)該早已在硬件設(shè)計(jì)生命周期中經(jīng)認(rèn)證機(jī)構(gòu)同意使用，以減小進(jìn)程風(fēng)險(xiǎn)。對于簡單硬件項(xiàng)，設(shè)計(jì)進(jìn)程不需要提供大量文件。對于簡單硬件項(xiàng)，需要執(zhí)行并證明驗(yàn)證和配置管理支持進(jìn)程，但并不需要提供大量文件。因此，為遵從本文件，在設(shè)計(jì)簡單硬件項(xiàng)時削減了費(fèi)用。本文件的主要影響將體現(xiàn)

26、在復(fù)雜硬件項(xiàng)的設(shè)計(jì)上。1.7 其它方法或進(jìn)程除了本文件所述的以外，其它方法或進(jìn)程也可能被用于提供硬件設(shè)計(jì)保證。對于這些方法和進(jìn)程，應(yīng)根據(jù)其滿足可用準(zhǔn)則的能力來進(jìn)行評估。可選方法或進(jìn)程應(yīng)在執(zhí)行前由認(rèn)證機(jī)構(gòu)批準(zhǔn)。當(dāng)通過比較本文件來評估可選方法或進(jìn)程時，除了直接與可用準(zhǔn)則比較外，申請人還可使用以下的指南來降低進(jìn)程風(fēng)險(xiǎn)。評估可選方法或進(jìn)程應(yīng)考慮的因素包括：1 在代替本文件介紹的進(jìn)程使用時，滿足第2節(jié)至第9節(jié)中一個或多個目標(biāo)的進(jìn)程應(yīng)體現(xiàn)出同等的設(shè)計(jì)保證等級；2 應(yīng)該評估所推薦的其它方法或進(jìn)程在滿足硬件設(shè)計(jì)保證目標(biāo)時產(chǎn)生的影響；3 應(yīng)該評估所推薦的其它方法或進(jìn)程對生命周期數(shù)據(jù)產(chǎn)生的影響；4 使用推薦方法或

27、進(jìn)程的合理性應(yīng)該用這樣的證據(jù)來證明：使用這些方法或進(jìn)程可產(chǎn)生預(yù)期結(jié)果。1.8 文件概覽圖1-1是本文件所有章節(jié)的概圖，表明了這些章節(jié)彼此之間的關(guān)系，以及與其它相關(guān)進(jìn)程的關(guān)系。這并不是為了描述數(shù)據(jù)流，而是為了表明哪些章節(jié)及外部進(jìn)程是相關(guān)的。系統(tǒng)要求FAR/JAR及咨詢材料安全評估指南系統(tǒng)開發(fā)指南環(huán)境條件測試指南開發(fā)限制l 系統(tǒng)方面的硬件設(shè)計(jì)保證（2節(jié)）l 硬件設(shè)計(jì)生命周期（第3節(jié)）l 計(jì)劃進(jìn)程（第4節(jié)）l 附加考慮（第11節(jié)）l 關(guān)于A級和B級功能的設(shè)計(jì)保證考慮（附錄B）衍生要求（所要求的）要求的變化設(shè)計(jì)進(jìn)程（第5節(jié)）生產(chǎn) 使用中進(jìn)程支持進(jìn)程：l 審批及驗(yàn)證進(jìn)程（6節(jié)）l 配置管理進(jìn)程（第7節(jié)）

28、l 進(jìn)程保證（第8節(jié)）l 驗(yàn)證聯(lián)絡(luò)進(jìn)程（第9節(jié)）l 硬件設(shè)計(jì)生命周期數(shù)據(jù)（第11節(jié)）l 硬件設(shè)計(jì)保證等級和配置控制碼的硬件設(shè)計(jì)生命周期數(shù)據(jù)（附錄A）軟件開發(fā)指南圖1-1 文件概覽2 系統(tǒng)方面的硬件設(shè)計(jì)保證硬件設(shè)計(jì)保證從系統(tǒng)等級開始，系統(tǒng)功能會分配給硬件，而同時也會指定其相應(yīng)的系統(tǒng)開發(fā)保證等級。單個的系統(tǒng)功能可以分配給硬件項(xiàng)、軟件元件或軟硬件組。與功能相關(guān)的安全要求來自于系統(tǒng)透視、軟件透視和硬件透視，從而就可確定滿足這些要求所必需的可靠性等級和保證等級。圖2-1闡示了機(jī)載電子系統(tǒng)和設(shè)備的系統(tǒng)開發(fā)進(jìn)程與安全評估、硬件開發(fā)以及軟件開發(fā)進(jìn)程的關(guān)系。系統(tǒng)FAR/JAR和咨詢材料安全評估硬件軟件硬件/軟件

29、安全/硬件安全/軟件安全/硬件/軟件圖2-1 機(jī)載系統(tǒng)、安全評估、硬件和軟件進(jìn)程間的關(guān)系在圖中有四處重疊區(qū)域，分別為：安全/硬件，安全/軟件，硬件/軟件和安全/硬件/軟件。這些重疊表明了這些進(jìn)程間的關(guān)系和相互作用；而在這些進(jìn)程中，系統(tǒng)要求可能會產(chǎn)生一些在多進(jìn)程范圍及設(shè)計(jì)保證指南之內(nèi)的要求。例如，包含安全要求的硬件功能會包括安全評估進(jìn)程和硬件設(shè)計(jì)生命周期進(jìn)程。這些重疊表明，需要用進(jìn)程間的相互作用來確保系統(tǒng)功能保證要求的滿足。本文件并未探討系統(tǒng)或軟件保證進(jìn)程。但是，在協(xié)調(diào)硬件功能的設(shè)計(jì)保證時，申請人也可能想利用系統(tǒng)或軟件進(jìn)程中的活動提供的保證。這些關(guān)系和相互作用在第2.1.1節(jié)至第2.1.3節(jié)中會

30、進(jìn)一步探討。2.1 信息流生命周期進(jìn)程間的信息流如圖2-2所示。以下部分所述的是從系統(tǒng)開發(fā)進(jìn)程到硬件設(shè)計(jì)生命周期進(jìn)程間的信息流、從硬件設(shè)計(jì)生命周期進(jìn)程到系統(tǒng)開發(fā)進(jìn)程間的信息流以及硬件設(shè)計(jì)生命周期進(jìn)程與軟件生命周期進(jìn)程間的信息流。注：這些都被認(rèn)為是反復(fù)的進(jìn)程，并且在硬件設(shè)計(jì)生命周期中還會產(chǎn)生變化。系統(tǒng)開發(fā)進(jìn)程軟件設(shè)計(jì)生命周期進(jìn)程硬件設(shè)計(jì)生命周期進(jìn)程第2.1.3節(jié)第2.1.1節(jié)第2.1.2節(jié)圖2-2 系統(tǒng)開發(fā)進(jìn)程2.1.1 從系統(tǒng)開發(fā)進(jìn)程到硬件設(shè)計(jì)生命周期進(jìn)程的信息流此信息流可能包括：1 分配給硬件的設(shè)計(jì)和安全要求；2 每種功能的設(shè)計(jì)保證等級，還有其相關(guān)要求和故障條件，但前提是此功能可用；3 分配

31、的可能性，以及風(fēng)險(xiǎn)出現(xiàn)時，硬件功能故障出現(xiàn)的可能性；4 硬件/軟件接口描述5 關(guān)于安全策略及設(shè)計(jì)限制的要求，如可測試性、設(shè)計(jì)方法以及硬件結(jié)構(gòu)；6 將通過硬件等級驗(yàn)證來執(zhí)行的系統(tǒng)驗(yàn)證活動的要求；7 分配給硬件的安裝要求、人體工程學(xué)要求以及環(huán)境要求；8 可能會對要求產(chǎn)生影響的綜合問題報(bào)告。之所以會這樣，是由于一些活動的緣故，如：系統(tǒng)驗(yàn)證、系統(tǒng)要求的產(chǎn)生或SSA。2.1.2 從硬件設(shè)計(jì)生命周期進(jìn)程到系統(tǒng)開發(fā)進(jìn)程的信息流此信息流可能包括：1 要求的執(zhí)行進(jìn)程，如：機(jī)械制圖、簡圖和零件列表；2 可能會影響任何分配的要求的硬件衍生要求；3 裝置結(jié)構(gòu)，包括故障限度；4 在硬件設(shè)計(jì)生命周期中進(jìn)行的任何必需的系統(tǒng)

32、驗(yàn)證和審核活動的證明；5 產(chǎn)品安全分析數(shù)據(jù)，如：a. 與SSA進(jìn)程有關(guān)的特定硬件功能故障的可能性及故障率；b. 常見故障分析；c. 隔離范圍及普通故障緩解策略；d. 與系統(tǒng)要求相關(guān)的潛在分析數(shù)據(jù)。例如：故障監(jiān)視、故障檢測周期和不可測故障的硬件準(zhǔn)備。6 將通過系統(tǒng)等級驗(yàn)證來實(shí)施的硬件驗(yàn)證活動的要求；7 關(guān)于安裝要求和環(huán)境條件（是將要進(jìn)行的分析所必需的）的假設(shè)和分析方法；8 可能會影響系統(tǒng)、軟件或分配的硬件要求的問題或變化報(bào)告。2.1.3 硬件設(shè)計(jì)生命周期進(jìn)程與軟件生命周期進(jìn)程之間的信息流此信息流可能包括:1 硬件/軟件集成所需的衍生要求，如：草案的確定、定時限制以及軟硬件間接口的尋址方案；2 需

33、要協(xié)調(diào)硬件和軟件驗(yàn)證活動的情況；3 硬件和軟件之間所確定的不兼容性，這可能也是報(bào)告和校正行動系統(tǒng)的一部分；4 也可應(yīng)用的系統(tǒng)進(jìn)程的安全評估數(shù)據(jù)。2.2 系統(tǒng)安全評估進(jìn)程現(xiàn)有三個系統(tǒng)安全評估進(jìn)程，它們分別是：功能危險(xiǎn)性評估（FHA）,初步系統(tǒng)安全評估（PSSA）和SSA。這些進(jìn)程被用于建立可應(yīng)用于系統(tǒng)開發(fā)保證進(jìn)程的系統(tǒng)安全目標(biāo)，還用于確定系統(tǒng)功能是否達(dá)到了安全目標(biāo)。SSA進(jìn)程應(yīng)該把安全目標(biāo)轉(zhuǎn)化成系統(tǒng)和設(shè)備安全要求。這些要求應(yīng)包括系統(tǒng)及設(shè)備的功能及結(jié)構(gòu)的基本安全目標(biāo)和安全特征。SSA進(jìn)程和系統(tǒng)開發(fā)進(jìn)程把這些安全要求分配給了硬件。系統(tǒng)開發(fā)保證等級現(xiàn)有五個等級，A級至E級，對應(yīng)五類故障情況：災(zāi)難性的、

34、危險(xiǎn)的/極嚴(yán)重的、嚴(yán)重的、輕微的和無影響的。表2-1把硬件設(shè)計(jì)保證等級和五類故障情況聯(lián)系了起來，并確定了硬件故障條件和它們對應(yīng)的設(shè)計(jì)保證等級。首先，各個硬件功能的硬件設(shè)計(jì)保證等級是通過SSA進(jìn)程、使用FHA辨別可能的危險(xiǎn)來確定的；然后，PSSA進(jìn)程把安全要求和相關(guān)的故障情況分配給硬件執(zhí)行的功能。在硬件設(shè)計(jì)生命周期中，安全、系統(tǒng)和硬件進(jìn)程間可能存在循環(huán)反饋，以確保設(shè)計(jì)制造的硬件會滿足分配給硬件的系統(tǒng)安全、功能和性能要求。表2-1 硬件設(shè)計(jì)保證等級的定義及其與系統(tǒng)保證等級的關(guān)系系統(tǒng)開發(fā)保證等級故障情況分類故障情況描述硬件設(shè)計(jì)保證等級定義A級災(zāi)難性的故障情況會妨礙持續(xù)安全飛行和著陸。對于硬件功能，通

35、過如硬件安全評估可以看到，硬件功能故障或異常行為會引起能導(dǎo)致飛機(jī)發(fā)生災(zāi)難性故障情況的系統(tǒng)功能故障。B級危險(xiǎn)的/極嚴(yán)重的故障情況會降低飛機(jī)的性能或空勤組處理異常運(yùn)行情況的能力，從而極大地降低安全系數(shù)或功能，導(dǎo)致身體痛苦或增加工作量；這樣，就不能依靠空勤組精確地或完全地執(zhí)行其任務(wù)；并且還會對乘員產(chǎn)生不利影響，包括對這些成員中的一小部分造成嚴(yán)重傷害或潛在的嚴(yán)重傷害。對于硬件功能，通過如硬件安全評估可以看到，硬件功能故障或異常行為會引起能導(dǎo)致飛機(jī)發(fā)生危險(xiǎn)的/極嚴(yán)重的故障情況的系統(tǒng)功能故障。C級嚴(yán)重的故障情況會降低飛機(jī)的性能或空勤組處理異常運(yùn)行情況的能力，從而極大地降低安全系數(shù)或功能，并極大地加重空勤組

36、的工作量或降低空勤組的效率，使乘員產(chǎn)生不適，包括對其造成傷害對于硬件功能，通過如硬件安全評估可以看到，硬件功能故障或異常行為會引起能導(dǎo)致飛機(jī)發(fā)生嚴(yán)重故障情況的系統(tǒng)功能故障。D級輕微的故障情況不會極大地降低飛機(jī)安全，并且空勤組的活動也控制在其能力范圍之內(nèi)。輕微故障情況可能包括：安全系數(shù)或功能的輕微降低、空勤組的工作量的輕微增加（如，例行飛行計(jì)劃的改變）或給乘員造成的一些不便。對于硬件功能，通過如硬件安全評估可以看到，硬件功能故障或異常行為會引起能導(dǎo)致飛機(jī)發(fā)生輕微故障情況的系統(tǒng)功能故障。E級無影響的故障情況不會影響飛機(jī)的運(yùn)行能力，也不會增加空勤組的工作量。對于硬件功能，通過如硬件安全評估可以看到，

37、硬件功能故障或異常行為會引起系統(tǒng)功能故障，但不會對飛機(jī)的運(yùn)行能力或空勤組的工作量產(chǎn)生影響。對于確定為E級的功能，不需要本文件的進(jìn)一步指導(dǎo)，但本文件的指南可用做參考。2.3 硬件安全評估硬件安全評估與SSA進(jìn)程一起執(zhí)行，并用于支持SSA進(jìn)程。該安全進(jìn)程是為了證明可應(yīng)用的系統(tǒng)和設(shè)備（包括硬件）滿足了可應(yīng)用的飛機(jī)驗(yàn)證要求的安全要求。若系統(tǒng)進(jìn)程把安全、功能和性能要求分配給硬件，硬件安全評估就可確定各種功能的硬件設(shè)計(jì)保證等級，并有助于確定將要用到的合適的設(shè)計(jì)保證策略。2.3.1 硬件安全評估考慮事項(xiàng)硬件項(xiàng)設(shè)計(jì)者可能會采取適當(dāng)?shù)脑O(shè)計(jì)保證策略，遵從分配給硬件的安全要求和硬件設(shè)計(jì)保證等級。單獨(dú)的設(shè)計(jì)保證等級和

38、策略可以應(yīng)用于整個硬件項(xiàng)，而也可認(rèn)為硬件項(xiàng)擁有獨(dú)立的功能故障路徑（FFP），這樣就可提供混合設(shè)計(jì)保證等級或設(shè)計(jì)保證策略。功能故障路徑分析（FFPA）可以用來判斷硬件項(xiàng)部件較低的設(shè)計(jì)保證等級，或提供由不同方法或不同的產(chǎn)品服務(wù)歷史來執(zhí)行的不同功能。注：FFPA將在附錄B的第2部分介紹。此分析方法盡管在書面上規(guī)定用于處理附錄B中的問題，但它也適用于任何設(shè)計(jì)保證等級。若硬件項(xiàng)所含功能單獨(dú)擁有不同的設(shè)計(jì)保證等級，這種情形可用下列方法之一處理：l 可以保證整個硬件項(xiàng)為最高設(shè)計(jì)保證等級。l 若硬件的功能、接口和共享資源可免受較低保證等級的功能的不利影響，就可根據(jù)硬件安全評估確定的那樣，單獨(dú)地確保單個硬件功能

39、為各自的硬件設(shè)計(jì)保證等級。共享資源的設(shè)計(jì)保證應(yīng)該就是最高級功能的設(shè)計(jì)保證等級。針對硬件安全評估的建議包括：1 反復(fù)的硬件安全評估和設(shè)計(jì)應(yīng)該確定衍生硬件安全要求，并保證滿足分配給硬件的系統(tǒng)安全要求，還要保證滿足衍生要求；2 這些衍生要求應(yīng)包括硬件結(jié)構(gòu)安全要求、電路及元件的安全要求、以及防止異常行為的安全要求（包括結(jié)合特定硬件結(jié)構(gòu)及功能的安全特征），例如：a. 電路和元件冗余；b. 電路或元件間的分離或電隔離；c. 電路或元件間的差異；d. 電路或元件的監(jiān)視；e. 保護(hù)或重新配置機(jī)器；f. 電路和元件的隨機(jī)故障和潛在故障的容許故障率和可能性；g. 使用或安裝的限制；h. 干擾的防止、管理以及恢復(fù)。

40、3 硬件設(shè)計(jì)保證進(jìn)程和硬件安全評估應(yīng)共同確定具體的遵從方式及每種功能的設(shè)計(jì)保證等級，還應(yīng)確定已達(dá)到了可以接受的設(shè)計(jì)保證等級。注：異常行為可能由硬件項(xiàng)中的隨機(jī)故障或設(shè)計(jì)失誤引起，或者對硬件的干擾引起。硬件設(shè)計(jì)者可能會為硬件項(xiàng)功能選擇較高的硬件設(shè)計(jì)保證等級。例如，在進(jìn)行需要較高等級設(shè)計(jì)保證的安裝時，會預(yù)料到硬件項(xiàng)功能的重新利用。硬件安全評估可能會運(yùn)用各種定性和定量的評估方法。這可能包括：故障樹分析（FTA）、常規(guī)分析、故障形式和后果分析、以及可用于隨機(jī)故障的定量評估所用的統(tǒng)計(jì)可靠性分析法。2.3.2 隨機(jī)硬件故障的定量分析基于硬件故障率、冗余、分離與隔離、故障形式統(tǒng)計(jì)、可能性分析、元件減少、壓力分

41、析和制造進(jìn)程控制的統(tǒng)計(jì)故障評估和預(yù)測方法已經(jīng)證明，這些都是對隨機(jī)硬件故障進(jìn)行定量風(fēng)險(xiǎn)因素評估可以接受的方法。2.3.3 硬件設(shè)計(jì)失誤及推翻的定性評估不像硬件隨機(jī)故障那樣，設(shè)計(jì)失誤和一些類型的“推到重來”在統(tǒng)計(jì)學(xué)上都是不可預(yù)測的，并且它們都可能以普通故障的形式越過冗余界限。應(yīng)該對將要使用的冗余管理方法和定量分析方法進(jìn)行選擇，以便在必要時可以排除或減輕潛在的普通故障以及“推到重來”的影響。盡管定量評估很困難，但仍可利用定性安全評估方法有效地評估由設(shè)計(jì)失誤和“推到重來”帶來的安全風(fēng)險(xiǎn)。像故障樹分析、普通分析和功能故障形式及影響分析（F-FMEA）這樣的分析方法基本是定性的方法，可以用來處理硬件設(shè)計(jì)失

42、誤和“推到重來”。更具體地說，這些方法可以確定硬件設(shè)計(jì)失誤和“推到重來”的潛在影響，還有助于確定通過何種方式可以排除或減輕這些影響。使用這些方法后，硬件安全評估就有助于確定將要使用的硬件設(shè)計(jì)保證策略，并且在硬件設(shè)計(jì)進(jìn)程中可反復(fù)使用，從而就可定性地確定所選策略達(dá)到的保證等級。2.3.4 關(guān)于硬件故障情況分類的設(shè)計(jì)保證考慮事項(xiàng)由于系統(tǒng)故障情況越來越嚴(yán)重，為確保相關(guān)故障情況的減輕而必需的硬件設(shè)計(jì)保證量也隨之增長。對于所有的設(shè)計(jì)保證等級，應(yīng)該研究出一種方法或策略來確保合適的設(shè)計(jì)保證等級。圖2-3列出了研究適當(dāng)設(shè)計(jì)保證策略的決定生成流程。建議包括：1 對于在硬件中執(zhí)行的A級或B級功能，設(shè)計(jì)保證考慮事項(xiàng)應(yīng)

43、處理硬件功能潛在的異常行為和潛在的設(shè)計(jì)失誤；2 當(dāng)研究每個執(zhí)行中的功能的設(shè)計(jì)保證策略時，應(yīng)該使用圖2-3中列出的決定生成流程；3 除了在第3節(jié)至第1節(jié)中提供的建議外，附錄B中所述的策略也應(yīng)該用于A級和B級功能；4 設(shè)計(jì)保證策略應(yīng)選擇為硬件結(jié)構(gòu)和用途的功能，以及已選的硬件執(zhí)行技術(shù)的功能。不同的技術(shù)、元件選擇和元件用途提供了各種程度的硬件設(shè)計(jì)生命周期信息和各種程度的防止相關(guān)設(shè)計(jì)失誤及其影響的措施。在相同的硬件項(xiàng)之內(nèi)，對于不同的功能路徑，最適合的設(shè)計(jì)保證方法也會有所不同。在圖2-3中，決策和活動塊中的數(shù)字指的是根據(jù)進(jìn)一步說明決定或活動的圖表得出的編號項(xiàng)。1 啟動評估進(jìn)程。對于所有的設(shè)計(jì)保證等級，都應(yīng)

44、該研究出相應(yīng)的方法或策略來保證合適的設(shè)計(jì)保證等級。2 確定FFP設(shè)計(jì)保證等級。對于每個確定的硬件項(xiàng)，確定并證明與部件和設(shè)計(jì)保證等級相關(guān)的FFP。啟動評估進(jìn)程確定FFP設(shè)計(jì)保證等級硬件執(zhí)行是簡單還是復(fù)雜？研究A級或B級復(fù)雜FFP的設(shè)計(jì)保證策略策略合適嗎？證明可應(yīng)用的故障安全情況證明設(shè)計(jì)保證方法及策略應(yīng)用此方法修改策略A級或B級D級或E級C級簡單復(fù)雜是否圖2-3 硬件設(shè)計(jì)保證策略的決定進(jìn)程3 FFP的硬件執(zhí)行是簡單的還是復(fù)雜的？對于硬件設(shè)計(jì)保證的A級或B級FFP，按1.6所述來確定硬件是簡單還是復(fù)雜。4 研究A級或B級復(fù)雜FFP的設(shè)計(jì)保證策略。若FFP是復(fù)雜的并且為A級或B級，就可使用附錄B中所述

45、的附加策略來確定合適的設(shè)計(jì)保證策略、相應(yīng)的執(zhí)行概念以及失誤緩解方法。對于每個A級或B級FFP，應(yīng)使用深層分析、產(chǎn)品服務(wù)經(jīng)驗(yàn)或結(jié)構(gòu)緩解來確定設(shè)計(jì)保證策略。若所選方法不能完全緩解潛在的故障和異常行為，裝置中的A級FFP就可能需要不止一種方法。5 策略合適嗎？確定設(shè)計(jì)保證策略中是否有不足之處；若策略中存在不足或希望獲取的數(shù)據(jù)中可能會存在不足，請?zhí)岢鰟e的設(shè)計(jì)保證、執(zhí)行或結(jié)構(gòu)策略來修改該策略以便彌補(bǔ)不足之處。當(dāng)設(shè)計(jì)保證策略可接受時，請為每個FFP的設(shè)計(jì)保證進(jìn)程提供文件證明。該策略還應(yīng)該用來處理認(rèn)證機(jī)構(gòu)參與的項(xiàng)目，如計(jì)劃中的重大事件、項(xiàng)目審核和監(jiān)督活動。6 證明可應(yīng)用的故障安全情況。確定合適的故障安全設(shè)計(jì)

46、結(jié)構(gòu)和硬件項(xiàng)特征，然后進(jìn)行分析，以滿足系統(tǒng)的有效性和完整性。證明故障安全設(shè)計(jì)情況和相關(guān)的普通分析、可能性分析、結(jié)構(gòu)或其它特征。7 證明設(shè)計(jì)保證方法及策略。對于系統(tǒng)驗(yàn)證計(jì)劃或硬件驗(yàn)證方面的計(jì)劃（PHAC）中可應(yīng)用的設(shè)計(jì)保證方法和策略，應(yīng)進(jìn)行證明并獲取認(rèn)證機(jī)構(gòu)的審批。8 應(yīng)用此方法。根據(jù)已通過的計(jì)劃和文件（明顯遵從了已通過的計(jì)劃和策略）中確定的適當(dāng)設(shè)計(jì)保證方法進(jìn)行硬件設(shè)計(jì)。3 硬件設(shè)計(jì)生命周期本節(jié)列出了第4節(jié)至第9節(jié)中討論的硬件設(shè)計(jì)生命周期。本文件既未規(guī)定首選的生命周期模型，也未為執(zhí)行組織暗示一種結(jié)構(gòu)。硬件設(shè)計(jì)生命周期同樣適用于新系統(tǒng)或設(shè)備以及現(xiàn)有系統(tǒng)或設(shè)備的改進(jìn)型的開發(fā)。每項(xiàng)工程的生命周期都應(yīng)基

47、于進(jìn)程和活動的選擇和安排，并且這些進(jìn)程和活動應(yīng)由工程特性決定，如：要求穩(wěn)定性、已開發(fā)硬件的使用以及硬件設(shè)計(jì)保證等級。硬件設(shè)計(jì)生命周期可以是反復(fù)的，也就是說，根據(jù)逐漸的發(fā)展和進(jìn)程間的反饋，可以進(jìn)入、重新進(jìn)入以及修改生命周期。3.1 硬件設(shè)計(jì)生命周期進(jìn)程硬件設(shè)計(jì)生命周期進(jìn)程是：1 如第4節(jié)所述，硬件計(jì)劃進(jìn)程可以對一項(xiàng)工程的硬件設(shè)計(jì)和支持進(jìn)程進(jìn)行確定和調(diào)整；2 如第5節(jié)所述，硬件設(shè)計(jì)進(jìn)程可產(chǎn)生設(shè)計(jì)數(shù)據(jù)和最終的硬件項(xiàng)。這些進(jìn)程是要求捕獲、概念設(shè)計(jì)、詳細(xì)設(shè)計(jì)、執(zhí)行以及產(chǎn)品過渡；3 如第6節(jié)至第9節(jié)所述，支持進(jìn)程產(chǎn)生的硬件設(shè)計(jì)生命周期數(shù)據(jù)可以保證硬件設(shè)計(jì)生命周期及其輸出的正確性以及對其的控制，這包括：計(jì)劃

48、、設(shè)計(jì)、硬件安全評估和支持進(jìn)程。這些進(jìn)程特別與計(jì)劃和設(shè)計(jì)進(jìn)程同時執(zhí)行。這些進(jìn)程是：鑒定、驗(yàn)證、配置管理、進(jìn)程保證以及認(rèn)證聯(lián)絡(luò)。3.2 過渡標(biāo)準(zhǔn)在不同開發(fā)平臺上用不同的子項(xiàng)來開發(fā)硬件項(xiàng)是一個挑戰(zhàn)，因而需要一種方法來適度地控制設(shè)計(jì)進(jìn)程，以便在先前進(jìn)程所有的項(xiàng)目都完成前不會啟動下一個進(jìn)程。過渡標(biāo)準(zhǔn)，即用來評估從一個進(jìn)程到另一個進(jìn)程的運(yùn)動進(jìn)程的最小數(shù)據(jù)，可以用在關(guān)鍵的進(jìn)程點(diǎn)上。在計(jì)劃進(jìn)程中進(jìn)行的分析應(yīng)該確定了過渡標(biāo)準(zhǔn)的使用。沒有必要在計(jì)劃中確定的每對進(jìn)程步驟間建立過渡標(biāo)準(zhǔn)。過渡標(biāo)準(zhǔn)的選擇應(yīng)該可以處理對安全的影響。例如，在為獲得某項(xiàng)功能的認(rèn)證證書而進(jìn)行的驗(yàn)證前，該功能的要求需要用文件證明，并且應(yīng)在配置管

49、理下執(zhí)行該功能。應(yīng)在硬件計(jì)劃中對過渡標(biāo)準(zhǔn)進(jìn)行證明。使用過渡標(biāo)準(zhǔn)并不暗指任何特殊的生命周期模型，也不會阻止像快速原型設(shè)計(jì)和并行工程這樣的開發(fā)策略的實(shí)施。4 計(jì)劃進(jìn)程本節(jié)講述的是用來控制硬件項(xiàng)開發(fā)的硬件計(jì)劃進(jìn)程。本進(jìn)程提出了可能包含于一個或多個文件中的硬件計(jì)劃。若使用了多個文件，主計(jì)劃應(yīng)該包含有關(guān)于支持文件的適當(dāng)參考書目。對于涵蓋特定的設(shè)計(jì)生命周期進(jìn)程（如：配置管理或進(jìn)程保證）的標(biāo)準(zhǔn)文件，若其滿足可應(yīng)用的計(jì)劃目標(biāo)，就是可接受的。4.1 計(jì)劃進(jìn)程目標(biāo)硬件計(jì)劃進(jìn)程的目的是確定功能和適航性要求轉(zhuǎn)換成硬件項(xiàng)的方式，并且硬件項(xiàng)還要有適度的保證使其可以安全地執(zhí)行預(yù)定功能。硬件計(jì)劃進(jìn)程的目標(biāo)是：1 硬件設(shè)計(jì)生命

50、周期已確定；注：活動、重大事件、輸入、輸出和組織職責(zé)都可能包含于計(jì)劃之中。2 標(biāo)準(zhǔn)已選擇和確定；3 硬件開發(fā)及驗(yàn)證環(huán)境已選擇或確定；4 遵從硬件設(shè)計(jì)保證目標(biāo)的方式（包括用2.3.4中的方法確定的策略）已上報(bào)認(rèn)證機(jī)構(gòu)。5注：新的和正在開發(fā)的技術(shù)、工具和進(jìn)程可能需要改變計(jì)劃進(jìn)程的細(xì)節(jié)。因此，靈活性是本計(jì)劃進(jìn)程的一個關(guān)鍵因素。4.2 計(jì)劃進(jìn)程活動計(jì)劃進(jìn)程指南包括：1 應(yīng)該確定硬件設(shè)計(jì)生命周期進(jìn)程（如果可以應(yīng)用，還包括過渡標(biāo)準(zhǔn)）和單個進(jìn)程間的相互關(guān)系，比如其時序和反饋機(jī)制；2 應(yīng)確定并說明推薦的設(shè)計(jì)方法。這包括對預(yù)計(jì)硬件設(shè)計(jì)的考慮和推薦的驗(yàn)證方法的合理性；3 硬件設(shè)計(jì)標(biāo)準(zhǔn)（包括標(biāo)準(zhǔn)的衍生標(biāo)準(zhǔn)）若要用于

51、工程中，應(yīng)對其進(jìn)行定義。這包括從通用標(biāo)準(zhǔn)到公司或項(xiàng)目的具體標(biāo)準(zhǔn)；注：通過提供從以前開發(fā)中得到且已證明的工程慣例，標(biāo)準(zhǔn)就有助于減小不可測設(shè)計(jì)失誤出現(xiàn)的可能性。當(dāng)把標(biāo)準(zhǔn)應(yīng)用到新設(shè)計(jì)和新技術(shù)上時，申請人和開發(fā)者應(yīng)注意：可適用性可能已經(jīng)失效。由于設(shè)計(jì)限制、與系統(tǒng)要求的矛盾或與新技術(shù)的不兼容性，這些標(biāo)準(zhǔn)的衍生標(biāo)準(zhǔn)可能也是必需的。若使用了標(biāo)準(zhǔn)，計(jì)劃進(jìn)程就是審核合適的衍生標(biāo)準(zhǔn)的機(jī)會。4 應(yīng)該確定協(xié)調(diào)硬件設(shè)計(jì)進(jìn)程和支持進(jìn)程所用的方法；對于上述進(jìn)程，特別要注意與系統(tǒng)、軟件和飛行認(rèn)證相關(guān)的活動。注：協(xié)調(diào)可能是以表明事件（用于達(dá)成本文件所述的進(jìn)程目標(biāo)）轉(zhuǎn)折點(diǎn)的進(jìn)度表的形式出現(xiàn)。5 應(yīng)定義各個硬件設(shè)計(jì)進(jìn)程和相關(guān)支持進(jìn)

52、程的活動。此定義應(yīng)處于一個可使硬件設(shè)計(jì)進(jìn)程和相關(guān)支持進(jìn)程受到控制的等級上。6 應(yīng)選擇設(shè)計(jì)環(huán)境，包括用來開發(fā)、驗(yàn)證和控制硬件項(xiàng)和生命周期數(shù)據(jù)的工具、程序、軟件和硬件。a. 若認(rèn)證證書要求聯(lián)合使用工具，就應(yīng)在相應(yīng)的計(jì)劃中詳細(xì)說明工具使用順序；b. 設(shè)計(jì)環(huán)境會影響產(chǎn)品的設(shè)計(jì)。第11.4節(jié)所提供的建議可用于工具評估并確定何時工具規(guī)格是必需的。7 若衍生物是必需的并且還會影響驗(yàn)證，就應(yīng)確定從已定計(jì)劃進(jìn)行衍生所需的進(jìn)程。8 應(yīng)該描述用來確定、管理和控制硬件、相關(guān)原始資料和硬件設(shè)計(jì)生命周期數(shù)據(jù)的方針、進(jìn)程、標(biāo)準(zhǔn)和方法。9 當(dāng)申請人希望讓轉(zhuǎn)包商來負(fù)責(zé)整個或部分硬件設(shè)計(jì)生命周期時，硬件計(jì)劃應(yīng)能確定方法來保證滿足

53、設(shè)計(jì)保證目標(biāo)。10 應(yīng)該描述用于執(zhí)行硬件設(shè)計(jì)進(jìn)程的進(jìn)程保證方針和進(jìn)程。11 應(yīng)在PHAC中描述驗(yàn)證進(jìn)程獨(dú)立性、進(jìn)程保證獨(dú)立性和相關(guān)的組織職責(zé)。12 應(yīng)在進(jìn)程早期記錄滿足此建議的目標(biāo)所用的方法，并把其通報(bào)給認(rèn)證機(jī)構(gòu)。這些方法應(yīng)記錄在PHAC中。注：應(yīng)鼓勵針對這些方法的任何變化所作的及時調(diào)整，以便盡可能地接受最終驗(yàn)證結(jié)果，并把其作為滿足設(shè)計(jì)保證要求的適當(dāng)證據(jù)。5 硬件設(shè)計(jì)進(jìn)程硬件設(shè)計(jì)進(jìn)程產(chǎn)生的硬件項(xiàng)可以滿足從系統(tǒng)要求分配到硬件的要求。如圖5-1所述，本節(jié)描述了五個主要的進(jìn)程。它們是：要求捕獲、概念設(shè)計(jì)、詳細(xì)設(shè)計(jì)、執(zhí)行及產(chǎn)品過渡。這些設(shè)計(jì)進(jìn)程可應(yīng)用于任何等級的硬件項(xiàng)上，比如：LRU、電路板組以及AS

54、IC/PLD。以下介紹的是每個進(jìn)程、其目標(biāo)以及應(yīng)該用來減少可影響安全的設(shè)計(jì)和執(zhí)行失誤可能性的相關(guān)活動。重要的是，所有的進(jìn)程都做了計(jì)劃，并且細(xì)節(jié)都記錄在硬件設(shè)計(jì)計(jì)劃中。每個進(jìn)程以及進(jìn)程之間的相互作用都可以是反復(fù)的。對于每個反復(fù)操作，應(yīng)處理所發(fā)生的變化對每個進(jìn)程產(chǎn)生的影響，還應(yīng)評估對先前的反復(fù)操作的結(jié)果產(chǎn)生的影響。注1：在設(shè)計(jì)進(jìn)程中，證明像設(shè)計(jì)記錄、設(shè)計(jì)審核記錄和問題報(bào)告這樣的進(jìn)程產(chǎn)物是一個好的工程慣例。現(xiàn)有慣例提供了許多不同的方法（圖表式的、數(shù)學(xué)的、基于數(shù)據(jù)庫或文本的）來表示要求和設(shè)計(jì)執(zhí)行進(jìn)程，例如，示意圖、硬件描述語言（HDL）、狀態(tài)圖、布爾表示法和圖表法。注2：有些表示法適用于特定的進(jìn)程或進(jìn)程組，如：要求捕獲、概