民用飛機研制中的先前開發電子硬件適航審查

吳健

【摘 要】本文介紹了民用飛機使用的先前開發電子硬件，從未使用功能產生的來源、DO-254對未使用功能和先前開發硬件更改的指導準則等方面，闡述了使用先前開發電子硬件時應當注意的問題。還討論了先前開發電子硬件開口問題報告的評估。這些工作的共同目的都是為了保證飛機安全性。

【關鍵詞】民用飛機；先前開發電子硬件；DO-254；適航審查

0 前言

半導體技術的快速發展使可編程邏輯器件在民用飛機領域得到了廣泛的應用，包括可編程邏輯器件（PLD）、復雜可編程邏輯器件（CPLD）、現場可編程門陣列（FPGA）、專用集成電路（ASIC）等。可編程器件以其體積小、配置靈活、功耗低、集成密度高等特性受到了航空界的歡迎。對可編程器件，研制企業可以在確定其功能需求后開始新的硬件設計，還可以復用之前項目中使用的器件。DO-254[1]作為航空界普遍接受的電子硬件開發標準文件，專門討論了對先前開發電子硬件（下稱“先研硬件”）使用的指導原則。先研硬件常見的考慮包括：

？誗未使用的功能；

？誗硬件的更改；

？誗開口問題報告。

先研硬件在民機研制中經常出現，得到了越來越多的關注[2]。本文將結合DO-254的要求和以往工作經驗，對先研硬件中常見的問題展開論述。

1 先研硬件未使用的功能

1.1 未使用功能的來源

未使用功能的來源有多個方面：一方面，硬件設計者在設計硬件的時候，出于可配置的靈活性，會對某些功能設置使能/禁用開關，通過外部的軟件或硬件配置硬件實現的功能。這樣，就可以根據不同的應用場合進行具體的配置，增強硬件使用的靈活性。另一方面，有些功能是為了方便外部對硬件進行測試，例如通過測試接口向外發送數據，或者接受外部配置信息。對于這些功能，在實際應用中會被禁用，以免產生不必要的影響。

無論是什么原因導致未使用功能，適航申請人都應當分析其影響，確保未使用功能不會被意外激活，且未使用功能不會影響正常功能，從而保證飛機的安全性。

1.2 DO-254對未使用功能的規定

DO-254規定了在設計的不同階段對未使用功能的限制。

在需求捕獲階段，應該有衍生需求來施加特別的限制，控制未使用的功能。

在概念設計階段，應識別硬件的主要組件，確定未使用功能對硬件安全性需求的影響。在概念設計數據中，從適航的觀點來看，可能要包括架構特征和分區，以考慮未使用的功能。

在詳細設計階段，應評估未使用的功能，以確認可能的安全性影響。詳細設計數據可能包含組件中的未使用功能清單和需要采取的措施，以確保它們不會損害硬件產品的安全性。

在硬件驗證計劃中，應描述驗證活動所遵循的政策、過程、標準和方法，以提供客觀證據表明硬件產品的完整性，包括未使用的功能。

元素分析法：由于硬件產品可能包含不在目標應用中使用的功能，例如某個庫功能中的子功能，或是僅用于組件級別驗收測試的測試結構。應當表明這些功能與其它使用的功能相隔離，或者它們不會產生影響安全性的異常行為。可以說明未使用的元素在硬件中或者安裝時被徹底抑制。如果未使用的功能會被用于一些將來的應用，且確認這些功能沒有被充分驗證，可在將來重新檢查元素分析的缺陷。

2 DO-254對先研硬件的指導準則

DO-254對先研硬件的使用給出了一些指導準則，主要包括如下幾點。

2.1 對先研硬件的更改

對先研硬件可能的更改主要來自于：需求更改、檢測到錯誤、硬件或技術改進，或者采購困難。申請人和開發者應當對更改所帶來的影響進行分析，包括：

？誗對系統安全性評估過程輸出的評審。

？誗如果硬件的設計保證等級提高，則需按照DO-254第11.1.4節的指導準則進行評審。

？誗分析更改影響，包括那些可能導致對更改區域之外的其它區域重新驗證的影響結果。可以通過信號流、功能分析、時序分析、追溯性分析或其它合適方法來確定該區域。

2.2 飛機安裝的更改

當在新的飛機安裝上使用先研硬件時，應使用以下的指導準則：

？誗系統安全性評估過程評估了飛機安裝，并且確定了硬件研制保證等級和合格審定基礎。如果和之前的安裝相比，新的安裝具有相同或者更低的研制保證等級，則不需要額外的工作。

？誗如果新的安裝需要功能更改，則需進行更改影響分析。

2.3 更改應用或設計環境

使用先研硬件可能意味著新的設計環境，或者與先前項目不同的其它軟件或硬件的集成。新的設計環境可能增加或減少硬件生命周期過程的一些工作。指導準則包括：

？誗如果新的設計環境使用了硬件設計工具，則應當根據DO-254第11.4節判斷是否進行工具評估和鑒定。

？誗如果先研硬件與不同的硬件接口，則需驗證硬件接口。

？誗當先研硬件使用不同的軟件時，則需考慮重新驗證硬件/軟件接口。

2.4 升級基線

如果先前項目使用的硬件具有更低的設計保證等級，而當前項目需要提高設計保證等級，則需要考慮以下指導準則：

？誗在利用之前項目的生命周期數據時，必須保證滿足DO-254的目標。

？誗硬件合格審定應基于系統安全性評估過程確定的失效條件和硬件設計保證等級。應分析更改的影響，以確定有缺陷的地方。

？誗應評估來自于先前項目的生命周期數據，確保滿足硬件設計保證等級對應的驗證過程目標。

？誗可以利用逆向工程重新產生不足或者缺失的硬件生命周期數據，以滿足DO-254的設計保證目標。

？誗在升級設計基線時，如果計劃使用產品的服務經驗來滿足DO-254規定的設計保證目標，則應考慮DO-254第11.3節的指導準則。申請人應當在硬件合格審定計劃中明確表明符合性的策略。

2.5 額外的構型管理考慮

除了DO-254第7章規定的指導準則，還應包括先研硬件在新應用場合的構型管理過程。

？誗從先前應用的硬件產品和生命周期數據至新應用的追溯性。例如，應當建立從先研硬件需求至當前的系統級需求之間的追溯性，確保硬件需求對系統級需求的符合性。

？誗有合適的更改控制過程來管理不同項目對公共產品的更改請求。

從以上DO-254的要求可以看出，DO-254對先研硬件可能產生的更改給出了充分的關注。無論發生什么類型的更改，核心是要產生必要的生命周期數據，符合DO-254目標。此外，過程保證也應當在先研硬件的更改過程中按照DO-254的要求開展工作。

3 先研硬件的開口問題報告

先研硬件在之前項目的開發過程中，可能會由于各種各樣的問題而產生問題報告。根據所發現問題的嚴重程度，有的問題報告會得到及時解決。有的問題報告由于供應商判斷其描述的問題不足以對飛機的安全性產生影響，而解決問題報告則意味著投入人力和物力，故決定不予解決，或者在以后統一解決。這些未解決的問題報告就成為了開口問題報告。

供應商通常會就開口問題報告對當前項目的影響進行評估，以確認其不會產生安全性影響。做為適航申請人和主制造商，應當對供應商的評估結論進行復核，保證飛機安全性。

4 結論

本文討論了民用飛機中使用的先前開發電子硬件，從適航審查的方面闡述了開發者和申請人應當注意的問題。先前開發電子硬件在帶來便利性的同時，也給適航審查提出了新的問題。無論采取何種方式，最終目的都是為了向適航審查當局表明飛機設計的安全性，保障乘客的安全。

【參考文獻】

[1]DO-254.Design Assurance Guidance for Airborne Electronic Hardware. RTCA， April 2000.

[2]孫景華， 張楊，花卉，李海峰.先前開發電子硬件適航符合性驗證技術研究[J]. 航空標準化與質量，2016（1）.