基于DO—178B的民用飛機空氣管理系統綜合控制器機載軟件設計階段評審綜述

奚海燕+韓興光+薛戰東

【摘 要】本文首先介紹民用飛機機載軟件的適航認證標準DO-178B；其次介紹了一套空氣管理系統及其控制器機載軟件，并以這套機載軟件研制過程中的設計階段數據為例，描述了軟件設計數據的評審過程，總結了評審的重點及難點；最后對目前軟件適航評審技術進行了總結及展望。

【關鍵詞】適航認證標準；空氣管理系統；機載軟件；DO-178B；設計階段評審

1 適航認證標準DO-178B

飛機和汽車都是重要的交通工具，但從它們的安全性要求來說，有著很大的不同。汽車發生碰撞和故障時，人存活的概率比較大；一旦飛機發生碰撞和故障，存活的概率則幾乎為零。因此，飛機研制過程中對安全性的要求比汽車高很多。

我們可以簡單地把飛機分成兩類：軍用飛機和民用飛機。每個國家對軍用飛機的研制都有自己的標準和質量監督體系；但對于民用飛機來說，由于一個國家研制的飛機會飛到其他國家去，這就要求有一個能夠被國際普遍認可的標準和質量體系來保證飛機的安全。具體來說，飛機通常需要通過4個認證以后才可真正投入運營：也即定型認證（Type Certificate）、生產認證（Production Certificate）、適航認證（Airworthiness Certificate）和運營認證（Operational Certificate）。而DO-178B標準則是對機載軟件進行適航認證時適用的標準，是整個民航標準體系中比較重要的一個標準。

DO-178B首先依據軟件失效條件確定了軟件設計保證等級，而失效條件是按照對飛機、機組和乘客的影響來分類的，按嚴重程度可分為如下5級，軟件級別和DO-178B附表A中目標的對應關系如表1所示。

同時，DO-178B定義了如圖1所示的軟件研制過程：

DO-178B中第11章節規定了以上研制過程對應的生命周期數據。

2 空氣管理系統及其控制器機載軟件描述

本文論述的一套民用飛機空氣管理系統系統主要由空調系統、氣源系統、機翼防冰系統組成。系統主要采用發動機供氣（地面采用 APU或氣源車供氣），經氣源系統調節，將滿足溫度、壓力要求的空氣提供給空調系統的左右制冷組件中或機翼防冰系統；空調系統對座艙內的空氣流量、溫度及壓力進行調節，為乘員提供安全、舒適的壓力環境；同時機翼防冰系統利用氣源引來的熱空氣為飛機機翼進行加熱防冰。

通常來說，為了實現會對空氣管理各子系統功能進行集成控制，并考慮冗余備份，系統會設置兩個控制器。控制器架構如圖2所示，

有如下特點：

a）每個控制器有兩個控制通道，即通道A和通道B；

b）控制通道間相互隔離并安裝相同的軟件；

c）安全通道與通道A/B獨立非相似；

d）控制器的各通道獨立供電；

e）兩個控制器通過針腳編程進行區分。

3 控制器機載軟件設計階段評審過程

3.1 軟件設計階段評審依據

機載軟件設計階段評審的目的通過檢查生命周期數據評估其對計劃和標準的符合性；評估計劃文件更改；評估生命周期數據對DO-178B附表A表A-2、A-3、A-4、A-5、A-8、A-9、A-10中目標的符合性。

3.2 軟件設計階段評審對象

控制器機載軟件在其研發過程的設計階段相繼產生一系列生命周期數據，主要包括軟件的高級別需求、低級別需求、軟件源代碼以及他們之間的追溯矩陣，軟件需求確認記錄、軟件構型記錄、軟件評審記錄、軟件問題報告記錄以及前期評審遺留的開口項等。系統供應商需將這些數據提交給主機廠做評審。軟件的設計階段的審查數據項與DO-178B的對應關系如表2所示。

3.3 軟件設計階段評審過程

主機廠的評審工作由評審委員會發起，評審人員主要涉及項目經理、系統工程師、軟硬件工程師以及質量和適航負責人等。評審通常通過抽樣的方法展開，評審過程大約需要2-3天時間，評審的主要活動包括：

a）評審軟件高級別需求以及衍生的高級別需求對系統需求的追溯性，評估其對對DO-178B附表A中A-3表的符合性；

b）評審軟件低級別需求對DO-178B附表A表A-4的符合性；

c）評審軟件架構，包括軟件分區、內存管理、供電管理、中斷和保護機制、數據流、接口、兼容性以及通訊機制等，并評估其對DO-178B附表A中A-4表的符合性；

d）評審軟件代碼對DO-178B附表A中A-5表的符合性；

e）評估軟件的設計階段生命周期數據對DO-178B第6章和第11章適用章節的符合性；

f）評估軟件構型管理過程和問題報告對DO-178B附表A中A-8表的符合性；

g）評估軟件質量保證過程對DO-178B附表A中A-9表的符合性；

h）評估軟件開發的進度安排、資源配置、項目狀態和項目風險；

3.4 軟件設計階段評審輸出

軟件設計階段評審結束后的輸出包括：

a）主機廠評審軟件計劃階段評審遺留行動項關閉情況；

b）主機廠評審供應商提交軟件設計過程的生命周期數據并形成評審記錄；

c）基于整個評審活動的情況，完成控制器機載軟件設計階段評審總結報告。評審報告內容包括評審目的，材料和活動，并闡述對DO-178B的符合性，列出評審活動中所有行動項目及完成期限，給出評審的結論。

4 控制器機載軟件設計階段審查難點和重點

4.1 軟件需求抽樣

軟件涉及到氣源系統、機翼防冰系統、空調系統等多個子系統的控制功能，需求抽樣應依據各子系統主要功能、接口以及安全性展開，因而需要熟悉系統功能，才能提煉出用于抽樣的核心需求。

4.2 軟件分區設計

軟件分區設計通常包括時間分區和空間分區，在空間分區的設計上，需要重點審查其數據流的保護方法，不同等級軟件間的數據隔離；在時間分區的設計上，需要重點審查再超限，時序沖突，時間間隔測量故障，中斷抑制等方面的實時處理機制。

4.3 工具的使用

為了減少勞動量，降低開發成本，同時減少人為引入的錯誤，越來越多的工具被引入到軟件設計過程中。而工具的研制相對于軟件設計過程是獨立的，同時工具的錯誤可能通過其重復使用而放大。軟件設計過程中使用已鑒定的工具需關注其工具鑒定計劃和工具鑒定數據。

5 總結及展望

DO-178B是面向過程的，同時也是面向目標的，它的穩定性使這項標準至今已使用了25年。但是，歷史的車輪在飛轉，軟件的技術在發展，由于以下兩個方面的原因，DO-178B還需要繼續修訂：

a）目標僅僅是“相對穩定”的，它不可能是“永恒穩定”的。軟件開發的新技術層出不窮，有些技術的出現使得實現這些目標變得更加容易，這保證了目標的“相對穩定”；而有些技術的出現則使得某些目標不再適用，這使得目標不可能“永恒穩定”，比如面向對象的技術和基于模型的開發和驗證，而DO-178B缺乏這些新方法相應的評審的標準。

b）DO-178B對“面向目標”的原則還貫徹得不夠徹底。DO-178B中所定義的66個目標中，有少量的目標并不是真正的“目標”，而是“技術”，比如目標中關于MC/DC覆蓋、判斷覆蓋、語句覆蓋等。這些“技術”以“目標”的形式出現在標準里，降低了DO-178B標準的穩定性。

為了彌補這些缺陷，在保持現有的“面向目標”原則不變和核心內容基本保持穩定，只有少量改動的原則下，聯合工作組籌備制訂了的DO-178C及其補充 。DO-178C及其補充文檔重點增加了面向對象的技術、基于模型的開發和形式化方法的評審標準，并替換或增訂了DO-178B中不再適用的目標。未來，DO-178C作為新一代機載軟件的適航認證標準將會逐漸取代DO-178B。

【參考文獻】

[1]鄭軍.機載軟件適航認證標準新進展及展望[J].計算機工程與設計，2012年1月.

[2]陸民燕，軟件可靠性工程，國防工業出版社.

[3]岳慶敏，軟件適航認證與DO-178B，技術前沿.

[責任編輯：田吉捷]