簡單用戶微編碼器件適航要求研究

周 紅 江玉峰

(中電科航空電子有限公司，成都 611731)

0 引言

隨著民用飛機研制周期的大大縮短，機載設備研制節奏也隨之加快。在短時間內研制出安全、可靠、功能強大且成本更低的機載設備，是制造商們的迫切愿望。用戶微編碼器件在電子硬件設計中的便捷性與高效性，使其在機載設備研制中廣泛被使用。用戶微編碼器件高度集成且復雜，開發過程中產生的設計錯誤難以通過傳統的測試分析方法進行管理和評估，而這些設計錯誤會對飛機功能的實現造成影響，進而影響飛機安全性。因此，各國局方普遍采用研制保證(又稱“過程保證”)方法對其進行管理。但在實際項目使用中，用戶微編碼器件可能實現的功能較為簡單，制造商希望采用工作量更少，成本更低的測試分析方法來表明其適航符合性。在缺乏明確要求的情況下，本文旨在通過對現有適航咨詢通告、工業標準及實踐指南的研究，梳理出通過測試分析方法表明簡單用戶微編碼器件(以下簡稱“SEH”)符合性需滿足的適航要求。

1 用戶微編碼器件

用戶微編碼器件的名稱來源于美國聯邦航空局(FAA)發布的咨詢通告(AC 20-152)，其定義為被封裝成可在電路板或更高層級組件上安裝使用的單一集成電路器件[1]。用戶微編碼器件是20世紀70年代發展起來的一種新型邏輯器件，其應用和發展不僅簡化了電路設計，降低了成本，提高了系統的可靠性和保密性，還給數字系統設計帶來了革命性變化。用戶微編碼器件發展至今，已形成多種型別，包括小規模集成的可編程只讀存儲器(PROM)、可編程陣列邏輯(PAL)和通用可編程陣列邏輯(GAL)，以及大規模集成的復雜可編程邏輯器件(CPLD)和現場可編程門陣列(FPGA)。

2 國內外研究現狀

為確保在民航領域的使用安全，美國聯邦航空局(FAA)于2008年7月發布指令(Order 8110.105)，對用戶微編碼器件的使用進行管理[2]。FAA還將其分為簡單和復雜兩類，并指出簡單類型有兩種可接受的符合性方法。一種是研制保證，即采用已計劃并開展的系統性活動證明，用戶微編碼器件的開發錯誤已被識別和糾正，且滿足適用的審定基礎；另一種是測試分析，即通過充分的確定性測試和分析相結合的方法證明用戶微編碼器件的適航符合性。另外，FAA除在指令中提出針對SEH的要求外，還額外發布支持文件(如CAST Position paper)對要求進行詳細說明[3]。歐洲航空安全局(EASA)和加拿大民用航空運輸部(TCCA)則分別發布審查備忘錄(CM-SWCEH-001 Issue 01 Revision 02)和電子硬件審查手冊(CM E-02)，提出針對SEH的管理要求。

目前，國內還未發布關于SEH的適航規章要求。但在實際審查時，審查方會針對具體項目中使用的SEH提出專門的審查要求。

3 國外要求分析和研究

本文僅討論采用測試分析方法表明SEH適航符合性的通用要求，其它額外要求(如工具評估及鑒定、先前開發硬件等)不在考慮范圍。

3.1 FAA管理要求

審定計劃(PHAC)需滿足DO-254指南要求，還需包含SEH清單、器件實現功能、器件失效影響、建議符合性方法、器件研制保證等級(DAL)及輸出數據等[4]。

確認方面，需識別和確認衍生需求，記錄確認活動，并對記錄進行合理構型管理[5]。A和B級SEH的確認活動需具備獨立性。驗證方面，需驗證A級和B級SEH，在輸入信號及內部狀態所有可能的排列、組合和并發條件下，能夠正常工作，不產生異常行為，并開展驗證目標覆蓋率及時序分析。驗證C級SEH，在輸入信號所有可能的排列和組合條件下，能夠正常工作，并驗證狀態機所有可能狀態[6]。驗證D級SEH滿足硬件需求。

追溯性方面，A級和B級SEH，需建立硬件需求(直接分配的系統需求)、概念設計、詳細設計及實現之間的追溯；建立硬件需求、概念設計、詳細設計及實現與驗證和確認結果的追溯。C級和D級SEH，建立需求與測試的追溯。構型管理方面，識別構型項，并開展變更控制及問題報告管理。建議提交數據包括PHAC、硬件驗證計劃(HVEP)、硬件研制綜述(HAS)及硬件構型索引(HCI)等。

3.2 EASA管理要求

SEH是通過符合其DAL要求的充分的確定性測試和分析，能夠證明在所有預期條件下可正確實現功能，不存在異常行為的器件。

驗證方面，需驗證A級和B級SEH，在器件內所有邏輯塊(門或節點)輸入狀態的所有可能排列、組合及并發條件下，能夠實現預期功能。驗證C級SEH，在器件管腳級輸入的所有可能排列、組合及并發條件下，能夠實現預期功能，并驗證狀態機所有狀態。驗證D級SEH滿足硬件需求。所有SEH，需完成需求驗證，并開展驗證覆蓋率分析[7]。

對SEH進行合理構型控制。提交數據包括PHAC、硬件開發計劃(HDP)、硬件確認計劃(HVAP)、HVEP、硬件構型管理計劃(HCMP)、供應商管理計劃(SMP)、HAS及HCI。

3.3 TCCA管理要求

SEH是通過確定性測試和分析的充分組合，能夠證明在所有預期工作條件下，可正確實現功能，不存在異常行為的器件。

PHAC需列出SEH清單，說明器件供應商、器件實現功能、器件DAL及建議符合性方法等[8]。

驗證要求與EASA一致。追溯性方面，A級和B級SEH需完成系統需求、硬件架構設計及硬件需求、概念設計、詳細設計與實現的追溯。C級和D級SEH完成硬件需求與測試用例的追溯。

構型管理要求與EASA要求一致。提交數據包括HAS、頂層圖紙及所有符合性報告。

3.4 DO-254指南要求

SEH是通過符合其DAL要求的確定性測試和分析的充分組合，能夠證明在所有預期工作條件下，可正確實現功能，不存在異常行為的器件[9]。

驗證和構型管理過程要求對SEH適用。

3.5 要求對比與分析

國外各方對SEH的要求匯總如表1所示。

表1 SEH要求匯總表

通過對各方要求的分析和總結，可看出：

1)SEH要求可分類為器件定義、審定計劃、確認、驗證、追溯性、構型管理和提交數據；

2)器件定義、審定計劃、驗證、構型管理及提交數據方面，各方都提出要求且基本一致；

3)FAA和TCCA立場一致的提出追溯性要求；

4)僅FAA提出確認要求。

TCCA的SEH定義與其他方不同，缺少關鍵詞DAL。由于所實現功能存在不同DAL要求，且對SEH的測試和分析也應充分考慮DAL差異，因此在SEH定義中增加DAL約束是有必要的。

追溯活動建立了系統需求、硬件需求、硬件設計、硬件實現與硬件確認和驗證之間的聯系，對確保需求分配、實現及驗證的正確性和完整性有重要意義[10]。

硬件需求的正確性與完整性是保證項目成功的基礎。硬件需求包含系統分配的需求和衍生需求，衍生需求可能會對安全性造成影響。EASA在審查備忘錄第8.4.1節要求對所有硬件需求進行確認，而FAA在指令第4.4節僅要求對衍生需求進行確認。另外，DO-254指南第6.1節指出確認過程是確保衍生需求正確性和完整性所不可或缺的。因此，在考慮系統分配到硬件的需求由系統進行確認的情況下，增加衍生需求的確認工作是合理的。

4 適航要求考慮

通過上述分析和研究，建議從如下幾個方面考慮針對SEH的管理。

1)SEH器件定義

通過采用符合其DAL要求的充分確定性測試和分析相結合的方法，能夠證明在所有預期的工作條件下可正確實現其功能，而不存在其它異常行為的器件。

2)審定計劃

PHAC除需包含DO-254指南第10.1.1節內容外，還需包含SEH清單、器件實現功能、器件DAL要求、建議的符合性方法、提交數據及器件使用經驗說明(按需)等。

3)確認要求

識別和確認衍生需求，并根據DO-254指南第6.1.2節準則檢查確認活動完整性；記錄確認活動，并根據DAL及DO-254指南附錄A要求對確認活動記錄進行管理；捕獲異常和邊界條件下，期望A級和B級SEH的輸出為需求；A級和B級SEH的確認活動需滿足獨立性。

4)驗證要求

建議的驗證要求為：

(1)A級和B級SEH，在器件內所有邏輯塊(門或節點)輸入狀態的所有可能排列、組合和并發條件下，能夠實現預期功能[11]；完成需求驗證，并開展驗證目標覆蓋率分析；開展時序分析，并考慮最好和最壞時序條件、潛在時鐘偏移、溫度變化、輸入信號建立時間與保持時間等問題。

(2)C級SEH，在器件管腳級輸入信號所有可能排列、組合和并發條件下，能夠實現預期功能，且完成狀態機所有可能狀態驗證；完成需求驗證，并開展驗證目標覆蓋率分析；開展時序分析，要求與A級和B級一致。

(3)D級和E級SEH，驗證硬件實現滿足硬件需求，且覆蓋所有需求；

(4)采用分區設計或者其它手段來證明器件為簡單時，需開展分區完整性的驗證；

(5)開展驗證規程和驗證用例評審，確保規程與用例適用于追溯的需求，且需求被正確和完整的覆蓋。

5)追溯性

(1)A級和B級SEH，需建立系統需求、硬件需求、硬件設計與硬件實現之間的追溯；建立硬件需求、設計及實現與硬件驗證及確認結果之間的追溯；

(2)C級、D級和E級SEH，建立硬件需求與硬件確認和驗證結果之間的追溯。

6)構型管理

識別構型項，按照DO-254指南開展變更控制及問題報告管理。每次審查前，需建立審查基線，關閉必要的問題報告。對已批準設計進行變更時，需證明從批準基線開始即開展構型項的變更控制及問題報告的管理。

7)提交數據

提交數據包括PHAC、HVEP、HVAP、HAS、HCI及其它符合性報告。與審查方達成一致后，如下數據可不提交，但需備查，如系統需求、硬件需求、HDL代碼、硬件評審和分析規程、硬件評審和分析結果、硬件測試規程、硬件測試結果、問題報告及硬件構型管理記錄等。

5 結論

本文主要描述了民用航空機載設備中用戶微編碼器件的使用背景，介紹了用戶微編碼器件的主要特性及發展情況，闡述了國內外主流局方對于SEH的管理要求，并通過對國外采用的SEH管理要求的分析和研究，梳理出適用于具體項目研制的SEH管理要求及關鍵要素，為民用航空機載設備適航驗證過程中采用充分的確定性測試和分析相結合的方法表明簡單用戶微編碼器件的適航符合性提供一定的指導和幫助。