基于DO-178B的民用飛機(jī)空氣管理系統(tǒng)綜合控制器機(jī)載軟件設(shè)計(jì)階段評(píng)審綜述

1、    基于do178b的民用飛機(jī)空氣管理系統(tǒng)綜合控制器機(jī)載軟件設(shè)計(jì)階段評(píng)審綜述    奚海燕+韓興光+薛戰(zhàn)東【摘 要】本文首先介紹民用飛機(jī)機(jī)載軟件的適航認(rèn)證標(biāo)準(zhǔn)do-178b；其次介紹了一套空氣管理系統(tǒng)及其控制器機(jī)載軟件，并以這套機(jī)載軟件研制過(guò)程中的設(shè)計(jì)階段數(shù)據(jù)為例，描述了軟件設(shè)計(jì)數(shù)據(jù)的評(píng)審過(guò)程，總結(jié)了評(píng)審的重點(diǎn)及難點(diǎn)；最后對(duì)目前軟件適航評(píng)審技術(shù)進(jìn)行了總結(jié)及展望?！娟P(guān)鍵詞】適航認(rèn)證標(biāo)準(zhǔn)；空氣管理系統(tǒng)；機(jī)載軟件；do-178b；設(shè)計(jì)階段評(píng)審1 適航認(rèn)證標(biāo)準(zhǔn)do-178b飛機(jī)和汽車(chē)都是重要的交通工具，但從它們的安全性要求來(lái)說(shuō)，有著很大的不同。汽車(chē)發(fā)生碰撞和

2、故障時(shí)，人存活的概率比較大；一旦飛機(jī)發(fā)生碰撞和故障，存活的概率則幾乎為零。因此，飛機(jī)研制過(guò)程中對(duì)安全性的要求比汽車(chē)高很多。我們可以簡(jiǎn)單地把飛機(jī)分成兩類：軍用飛機(jī)和民用飛機(jī)。每個(gè)國(guó)家對(duì)軍用飛機(jī)的研制都有自己的標(biāo)準(zhǔn)和質(zhì)量監(jiān)督體系；但對(duì)于民用飛機(jī)來(lái)說(shuō)，由于一個(gè)國(guó)家研制的飛機(jī)會(huì)飛到其他國(guó)家去，這就要求有一個(gè)能夠被國(guó)際普遍認(rèn)可的標(biāo)準(zhǔn)和質(zhì)量體系來(lái)保證飛機(jī)的安全。具體來(lái)說(shuō)，飛機(jī)通常需要通過(guò)4個(gè)認(rèn)證以后才可真正投入運(yùn)營(yíng)：也即定型認(rèn)證（type certificate）、生產(chǎn)認(rèn)證（production certificate）、適航認(rèn)證（airworthiness certificate）和運(yùn)營(yíng)認(rèn)證（opera

3、tional certificate）。而do-178b標(biāo)準(zhǔn)則是對(duì)機(jī)載軟件進(jìn)行適航認(rèn)證時(shí)適用的標(biāo)準(zhǔn)，是整個(gè)民航標(biāo)準(zhǔn)體系中比較重要的一個(gè)標(biāo)準(zhǔn)。do-178b首先依據(jù)軟件失效條件確定了軟件設(shè)計(jì)保證等級(jí)，而失效條件是按照對(duì)飛機(jī)、機(jī)組和乘客的影響來(lái)分類的，按嚴(yán)重程度可分為如下5級(jí)，軟件級(jí)別和do-178b附表a中目標(biāo)的對(duì)應(yīng)關(guān)系如表1所示。同時(shí)，do-178b定義了如圖1所示的軟件研制過(guò)程：do-178b中第11章節(jié)規(guī)定了以上研制過(guò)程對(duì)應(yīng)的生命周期數(shù)據(jù)。2 空氣管理系統(tǒng)及其控制器機(jī)載軟件描述本文論述的一套民用飛機(jī)空氣管理系統(tǒng)系統(tǒng)主要由空調(diào)系統(tǒng)、氣源系統(tǒng)、機(jī)翼防冰系統(tǒng)組成。系統(tǒng)主要采用發(fā)動(dòng)機(jī)供氣（地面采用

4、 apu或氣源車(chē)供氣），經(jīng)氣源系統(tǒng)調(diào)節(jié)，將滿足溫度、壓力要求的空氣提供給空調(diào)系統(tǒng)的左右制冷組件中或機(jī)翼防冰系統(tǒng)；空調(diào)系統(tǒng)對(duì)座艙內(nèi)的空氣流量、溫度及壓力進(jìn)行調(diào)節(jié)，為乘員提供安全、舒適的壓力環(huán)境；同時(shí)機(jī)翼防冰系統(tǒng)利用氣源引來(lái)的熱空氣為飛機(jī)機(jī)翼進(jìn)行加熱防冰。通常來(lái)說(shuō)，為了實(shí)現(xiàn)會(huì)對(duì)空氣管理各子系統(tǒng)功能進(jìn)行集成控制，并考慮冗余備份，系統(tǒng)會(huì)設(shè)置兩個(gè)控制器?？刂破骷軜?gòu)如圖2所示，有如下特點(diǎn)：a）每個(gè)控制器有兩個(gè)控制通道，即通道a和通道b；b）控制通道間相互隔離并安裝相同的軟件；c）安全通道與通道a/b獨(dú)立非相似；d）控制器的各通道獨(dú)立供電；e）兩個(gè)控制器通過(guò)針腳編程進(jìn)行區(qū)分。3 控制器機(jī)載軟件設(shè)計(jì)階段評(píng)審過(guò)

5、程3.1 軟件設(shè)計(jì)階段評(píng)審依據(jù)機(jī)載軟件設(shè)計(jì)階段評(píng)審的目的通過(guò)檢查生命周期數(shù)據(jù)評(píng)估其對(duì)計(jì)劃和標(biāo)準(zhǔn)的符合性；評(píng)估計(jì)劃文件更改；評(píng)估生命周期數(shù)據(jù)對(duì)do-178b附表a表a-2、a-3、a-4、a-5、a-8、a-9、a-10中目標(biāo)的符合性。3.2 軟件設(shè)計(jì)階段評(píng)審對(duì)象控制器機(jī)載軟件在其研發(fā)過(guò)程的設(shè)計(jì)階段相繼產(chǎn)生一系列生命周期數(shù)據(jù)，主要包括軟件的高級(jí)別需求、低級(jí)別需求、軟件源代碼以及他們之間的追溯矩陣，軟件需求確認(rèn)記錄、軟件構(gòu)型記錄、軟件評(píng)審記錄、軟件問(wèn)題報(bào)告記錄以及前期評(píng)審遺留的開(kāi)口項(xiàng)等。系統(tǒng)供應(yīng)商需將這些數(shù)據(jù)提交給主機(jī)廠做評(píng)審。軟件的設(shè)計(jì)階段的審查數(shù)據(jù)項(xiàng)與do-178b的對(duì)應(yīng)關(guān)系如表2所示。3.3

6、 軟件設(shè)計(jì)階段評(píng)審過(guò)程主機(jī)廠的評(píng)審工作由評(píng)審委員會(huì)發(fā)起，評(píng)審人員主要涉及項(xiàng)目經(jīng)理、系統(tǒng)工程師、軟硬件工程師以及質(zhì)量和適航負(fù)責(zé)人等。評(píng)審?fù)ǔＭㄟ^(guò)抽樣的方法展開(kāi)，評(píng)審過(guò)程大約需要2-3天時(shí)間，評(píng)審的主要活動(dòng)包括：a）評(píng)審軟件高級(jí)別需求以及衍生的高級(jí)別需求對(duì)系統(tǒng)需求的追溯性，評(píng)估其對(duì)對(duì)do-178b附表a中a-3表的符合性；b）評(píng)審軟件低級(jí)別需求對(duì)do-178b附表a表a-4的符合性；c）評(píng)審軟件架構(gòu)，包括軟件分區(qū)、內(nèi)存管理、供電管理、中斷和保護(hù)機(jī)制、數(shù)據(jù)流、接口、兼容性以及通訊機(jī)制等，并評(píng)估其對(duì)do-178b附表a中a-4表的符合性；d）評(píng)審軟件代碼對(duì)do-178b附表a中a-5表的符合性；e）評(píng)

7、估軟件的設(shè)計(jì)階段生命周期數(shù)據(jù)對(duì)do-178b第6章和第11章適用章節(jié)的符合性；f）評(píng)估軟件構(gòu)型管理過(guò)程和問(wèn)題報(bào)告對(duì)do-178b附表a中a-8表的符合性；g）評(píng)估軟件質(zhì)量保證過(guò)程對(duì)do-178b附表a中a-9表的符合性；h）評(píng)估軟件開(kāi)發(fā)的進(jìn)度安排、資源配置、項(xiàng)目狀態(tài)和項(xiàng)目風(fēng)險(xiǎn)；3.4 軟件設(shè)計(jì)階段評(píng)審輸出軟件設(shè)計(jì)階段評(píng)審結(jié)束后的輸出包括：a）主機(jī)廠評(píng)審軟件計(jì)劃階段評(píng)審遺留行動(dòng)項(xiàng)關(guān)閉情況；b）主機(jī)廠評(píng)審供應(yīng)商提交軟件設(shè)計(jì)過(guò)程的生命周期數(shù)據(jù)并形成評(píng)審記錄；c）基于整個(gè)評(píng)審活動(dòng)的情況，完成控制器機(jī)載軟件設(shè)計(jì)階段評(píng)審總結(jié)報(bào)告。評(píng)審報(bào)告內(nèi)容包括評(píng)審目的，材料和活動(dòng)，并闡述對(duì)do-178b的符合性，列出評(píng)

8、審活動(dòng)中所有行動(dòng)項(xiàng)目及完成期限，給出評(píng)審的結(jié)論。4 控制器機(jī)載軟件設(shè)計(jì)階段審查難點(diǎn)和重點(diǎn)4.1 軟件需求抽樣軟件涉及到氣源系統(tǒng)、機(jī)翼防冰系統(tǒng)、空調(diào)系統(tǒng)等多個(gè)子系統(tǒng)的控制功能，需求抽樣應(yīng)依據(jù)各子系統(tǒng)主要功能、接口以及安全性展開(kāi)，因而需要熟悉系統(tǒng)功能，才能提煉出用于抽樣的核心需求。 4.2 軟件分區(qū)設(shè)計(jì)軟件分區(qū)設(shè)計(jì)通常包括時(shí)間分區(qū)和空間分區(qū)，在空間分區(qū)的設(shè)計(jì)上，需要重點(diǎn)審查其數(shù)據(jù)流的保護(hù)方法，不同等級(jí)軟件間的數(shù)據(jù)隔離；在時(shí)間分區(qū)的設(shè)計(jì)上，需要重點(diǎn)審查再超限，時(shí)序沖突，時(shí)間間隔測(cè)量故障，中斷抑制等方面的實(shí)時(shí)處理機(jī)制。4.3 工具的使用為了減少勞動(dòng)量，降低開(kāi)發(fā)成本，同時(shí)減少人為引入的錯(cuò)誤，越來(lái)越多的工

9、具被引入到軟件設(shè)計(jì)過(guò)程中。而工具的研制相對(duì)于軟件設(shè)計(jì)過(guò)程是獨(dú)立的，同時(shí)工具的錯(cuò)誤可能通過(guò)其重復(fù)使用而放大。軟件設(shè)計(jì)過(guò)程中使用已鑒定的工具需關(guān)注其工具鑒定計(jì)劃和工具鑒定數(shù)據(jù)。5 總結(jié)及展望do-178b是面向過(guò)程的，同時(shí)也是面向目標(biāo)的，它的穩(wěn)定性使這項(xiàng)標(biāo)準(zhǔn)至今已使用了25年。但是，歷史的車(chē)輪在飛轉(zhuǎn)，軟件的技術(shù)在發(fā)展，由于以下兩個(gè)方面的原因，do-178b還需要繼續(xù)修訂：a）目標(biāo)僅僅是“相對(duì)穩(wěn)定”的，它不可能是“永恒穩(wěn)定”的。軟件開(kāi)發(fā)的新技術(shù)層出不窮，有些技術(shù)的出現(xiàn)使得實(shí)現(xiàn)這些目標(biāo)變得更加容易，這保證了目標(biāo)的“相對(duì)穩(wěn)定”；而有些技術(shù)的出現(xiàn)則使得某些目標(biāo)不再適用，這使得目標(biāo)不可能“永恒穩(wěn)定”，比如面

10、向?qū)ο蟮募夹g(shù)和基于模型的開(kāi)發(fā)和驗(yàn)證，而do-178b缺乏這些新方法相應(yīng)的評(píng)審的標(biāo)準(zhǔn)。b）do-178b對(duì)“面向目標(biāo)”的原則還貫徹得不夠徹底。do-178b中所定義的66個(gè)目標(biāo)中，有少量的目標(biāo)并不是真正的“目標(biāo)”，而是“技術(shù)”，比如目標(biāo)中關(guān)于mc/dc覆蓋、判斷覆蓋、語(yǔ)句覆蓋等。這些“技術(shù)”以“目標(biāo)”的形式出現(xiàn)在標(biāo)準(zhǔn)里，降低了do-178b標(biāo)準(zhǔn)的穩(wěn)定性。為了彌補(bǔ)這些缺陷，在保持現(xiàn)有的“面向目標(biāo)”原則不變和核心內(nèi)容基本保持穩(wěn)定，只有少量改動(dòng)的原則下，聯(lián)合工作組籌備制訂了的do-178c及其補(bǔ)充 。do-178c及其補(bǔ)充文檔重點(diǎn)增加了面向?qū)ο蟮募夹g(shù)、基于模型的開(kāi)發(fā)和形式化方法的評(píng)審標(biāo)準(zhǔn)，并替換或增訂了do-178b中不再