民用飛機機載軟件是如何表明適航符合性的

01機載軟件的基本特征

機載計算機在現(xiàn)代飛機各組成部分中占有舉足輕重的位置，是現(xiàn)代航空電子系統(tǒng)的基礎(chǔ)和核心，其研制、生產(chǎn)和應(yīng)用水平已成為衡量飛機先進(jìn)性的重要標(biāo)志。機載計算機通常是飛機上各種計算機的總稱，包括導(dǎo)航計算機、大氣數(shù)據(jù)計算機、飛行控制計算機、任務(wù)計算機、雷達(dá)信號/數(shù)據(jù)處理機、顯示控制處理機和通用綜合處理機等。

機載計算機系統(tǒng)負(fù)責(zé)完成飛行的數(shù)據(jù)采集、信息處理和指揮控制任務(wù)?？梢院敛豢鋸埖卣f，現(xiàn)代飛機每一個動作的完成都離不開機載軟件的支持，飛行員的每一個意圖也必須依靠機載軟件才能實現(xiàn)。同時，機載軟件還有一個明顯的發(fā)展趨勢，那就是它所完成的功能將越來越多。以美國軍用飛機的發(fā)展為例，第二代戰(zhàn)斗機F-111的航電系統(tǒng)，其20%的功能是通過軟件實現(xiàn)的；第三代戰(zhàn)斗機F-16，這個比例達(dá)到40%；到最先進(jìn)的第四代戰(zhàn)斗機F-22中，航電系統(tǒng)功能中竟有80%是通過軟件實現(xiàn)的。機載軟件的規(guī)模呈超幾何級數(shù)增長。如美國F-106戰(zhàn)斗機的早期型號僅裝備1臺計算機，其作戰(zhàn)飛行程序為4K，占據(jù)了計算機存儲器容中的絕大部分；F-111D戰(zhàn)斗機的作戰(zhàn)飛行程序約51K；F-16戰(zhàn)斗機早期型號（F-16A）的作戰(zhàn)飛行程序為128K；70年代末艦載F/A-18戰(zhàn)斗機的作戰(zhàn)飛行程序則增加到約700K；F-22戰(zhàn)斗機機載軟件的規(guī)模已達(dá)到170多萬條語句。F-35的代碼量是F-22軟件代碼量的4倍多，達(dá)到了驚人的800萬條語句。

安全性設(shè)計是軟件設(shè)計的重要環(huán)節(jié)，尤其對于機載軟件而言，它的輸出會直接或間接地影響硬件的運行，其重要性不言而喻。但是，在進(jìn)行安全性工作時卻遇到許多實際的困難，諸如設(shè)計手段不規(guī)范、沒有明確的驗證方法和有效的評估數(shù)據(jù)、無法準(zhǔn)確評估軟件中錯誤的數(shù)量等。盡管如此，軟件界還是形成了共識，即軟件的質(zhì)量更主要依靠過程（包括規(guī)范設(shè)計、嚴(yán)格管理等）來保障。

02民用飛機機載軟件適航標(biāo)準(zhǔn)及其符合性

2.1 適航管理

民用航空器的適航管理以保障民用航空器的安全性為目標(biāo)，是政府適航當(dāng)局在制定的各種最低產(chǎn)品安全標(biāo)準(zhǔn)的基礎(chǔ)上，對民用航空器的設(shè)計、制造、使用和維修等環(huán)節(jié)進(jìn)行科學(xué)統(tǒng)一的審查、鑒定、監(jiān)督和管理?？上鄬Ψ譃閮纱箢惞芾恚活愂浅跏歼m航管理，另一類是持續(xù)適航管理。

適航管理的特點主要反映在以下幾個方面，即權(quán)威性或法規(guī)性、國際性、完整性和統(tǒng)一性以及動態(tài)發(fā)展性。

2.2 適航技術(shù)和符合性方法

民用航空器產(chǎn)品的安全性實現(xiàn)需要安全性技術(shù)，這些安全性技術(shù)要求從屬于適航要求才能達(dá)到在產(chǎn)品上的具體應(yīng)用。民用航空器必須在產(chǎn)品生命周期內(nèi)滿足相應(yīng)的適航標(biāo)準(zhǔn)和要求，以確保產(chǎn)品的適航性和安全性，其首要環(huán)節(jié)是產(chǎn)品的型號設(shè)計符合規(guī)定的適航標(biāo)準(zhǔn)。民用航空產(chǎn)品設(shè)計符合適航標(biāo)準(zhǔn)并取證的途徑和方法是：

民用航空產(chǎn)品適航審定過程通?？衫斫鉃楦拍钤O(shè)計、要求確定、符合性計劃制定、計劃實施以及頒發(fā)型號合格證后等5個階段。對局方從事適航審定的人員，在適航審定中的技術(shù)層面工作主要是適航標(biāo)準(zhǔn)要求確定、評估和批準(zhǔn)包括驗證試驗大綱在內(nèi)的技術(shù)文件和做出符合性判定。

因此，無論是民用航空器的適航管理活動還是產(chǎn)品開發(fā)活動，都存在確定的適航技術(shù)。通常意義上存在三類適航技術(shù)：

1）適航標(biāo)準(zhǔn)確定或安全性指標(biāo)和要求確定的技術(shù)

事故及案例分析及安全特征提取、新穎獨特設(shè)計安全（適航）設(shè)計要求、專項試驗（如燃燒、墜撞）設(shè)計及參數(shù)或指標(biāo)確定、機隊運行數(shù)據(jù)收集與特征提取、新技術(shù)應(yīng)用，特別是成熟、先進(jìn)工業(yè)標(biāo)準(zhǔn)的引用或裁剪技術(shù)等；

2）滿足適航標(biāo)準(zhǔn)或要求的工程設(shè)計技術(shù)

適航標(biāo)準(zhǔn)或適航要求的工程定義或工程需求定義設(shè)計技術(shù)、系統(tǒng)架構(gòu)分析與設(shè)計技術(shù)、系統(tǒng)安全性分析技術(shù)、備份或冗余設(shè)計技術(shù)、在線故障診斷及容錯設(shè)計技術(shù)、系統(tǒng)工程技術(shù)、結(jié)構(gòu)設(shè)計技術(shù)、載荷設(shè)計技術(shù)、強度設(shè)計技術(shù)、顫振設(shè)計技術(shù)、系統(tǒng)生存環(huán)境（空間及區(qū)域）設(shè)計技術(shù)、隔離與保護設(shè)計技術(shù)、特殊風(fēng)險分析與防范設(shè)計技術(shù)、維修與保障性設(shè)計技術(shù)、設(shè)計過程保證技術(shù)、硬件及軟件設(shè)計技術(shù)、HMI（人機環(huán)境）設(shè)計技術(shù)、噪聲抑制或控制設(shè)計技術(shù)等；

3）滿足適航標(biāo)準(zhǔn)或要求的驗證技術(shù)

系統(tǒng)安全性分析技術(shù)、各種平臺（臺架、模擬機、風(fēng)洞及飛機）測試與試驗技術(shù)、試驗件和試驗裝置及試驗環(huán)境設(shè)計技術(shù)、計算與分析技術(shù)（有限元、流體、運動軌跡、仿真）、工程檢驗技術(shù)等；

表1適航符合性驗證方法

03機載軟件的適航與RTCA DO-178C

3.1 軟件的適航符合性標(biāo)準(zhǔn)

運輸類飛機適航標(biāo)準(zhǔn)（CCAR 25、14 CFR part 25、CS 25）是民用飛機進(jìn)行適航審定的基本依據(jù)。其中與機載軟件密切相關(guān)的條目CCAR(14CFR/CS)25.1309規(guī)定了民用飛機必須滿足的設(shè)備、系統(tǒng)與安裝方面的安全性要求，其中包括：

1）凡航空器適航標(biāo)準(zhǔn)對其功能有要求的設(shè)備、系統(tǒng)及安裝，其設(shè)計必須保證在各種可預(yù)期的運行條件下能完成預(yù)定功能；

2）飛機系統(tǒng)與有關(guān)不見的設(shè)計，在單獨考慮以及與其它系統(tǒng)一同考慮的情況下，必須符合下列規(guī)定：

·發(fā)生任何妨礙飛機繼續(xù)安全飛行與著陸的失效狀態(tài)的概率極??；

·發(fā)生任何降低飛機能力或機組處理不利運行條件能力的其它失效狀態(tài)的概率很小。

RTCA DO-178C就是為機載軟件的表明符合性提供指導(dǎo)的一套標(biāo)準(zhǔn)，其目的是指導(dǎo)航空機載軟件開發(fā)，并確保航空機載軟件不僅滿足飛機和機載系統(tǒng)對其功能和性能的要求，還要具備不同嚴(yán)苛等級的安全置信度。需要注意的是，DO-178C不是單獨存在的，它和ARP 4754A、ARP 4761、DO-254一起構(gòu)成了現(xiàn)代機載系統(tǒng)（尤其是高度綜合和復(fù)雜系統(tǒng)）安全性設(shè)計與評估的一組指南材料。四個文件之間的關(guān)系如下圖所示。

圖1系統(tǒng)-軟硬件過程保證標(biāo)準(zhǔn)間的關(guān)系

其中，DO-178C對航空機載軟件開發(fā)應(yīng)該遵循的基本理念和規(guī)則從以下各個方面進(jìn)行了說明和規(guī)定：

·機載系統(tǒng)與機載軟件之間的內(nèi)在關(guān)系；

·機載軟件生命周期；

·機載軟件計劃過程；

·機載軟件的開發(fā)過程；

·機載軟件的驗證過程；

·機載軟件的構(gòu)型管理過程；

·機載軟件質(zhì)量保證過程；

·適航認(rèn)證聯(lián)絡(luò)過程；

·軟件生命周期數(shù)據(jù)記錄；

·其它考慮。

總之，軟件層面的DO-178C研制過程包含了計劃過程、開發(fā)過程、綜合過程在內(nèi)的三大類過程，對軟件研制的嚴(yán)苛程度進(jìn)行了規(guī)定。在減少引入錯誤和增強檢出錯誤兩個維度下，保持機載軟件在不同安全性要求下的適航性。

在DO-178C中，針對每一個過程都涵蓋了以下內(nèi)容：

·過程需要滿足的目標(biāo)；

·過程需要產(chǎn)生的數(shù)據(jù)；

·數(shù)據(jù)證明目標(biāo)的滿足；

從以上DO-178C的主要內(nèi)容可以看出，DO-178C是面向過程和目標(biāo)的。簡單來說，DO-178C主要通過以下三種形式來指導(dǎo)機載軟件開發(fā)者工作，其中包括：規(guī)定航空機載軟件生命周期中各個過程的目標(biāo)；規(guī)定達(dá)到這些目標(biāo)的活動和工程實現(xiàn)考慮；規(guī)定確認(rèn)這些目標(biāo)已經(jīng)實現(xiàn)的證據(jù)記錄。DO-178C通過這三種形式的要求較全面地反映了航空機載軟件工程的基本理念和規(guī)則，指導(dǎo)著當(dāng)今國際航空機載設(shè)備開發(fā)商的工程開發(fā)。

通過以上提及的四個標(biāo)準(zhǔn)及提供的符合性證據(jù)，才能完整形成對于CCAR(14CFR/CS) 25.1309在飛機、系統(tǒng)、設(shè)備和軟硬件不同層次上的證據(jù)鏈。

圖2軟件生命周期過程之間的基本關(guān)系

3.2失效狀態(tài)和軟件等級

為達(dá)到系統(tǒng)所需的安全性水平，標(biāo)準(zhǔn)首先對各類機載軟件定義了軟件等級（Software Level）。例如考慮如下兩種機載軟件情況：

1）飛機尾部廚房中用來控制煮咖啡器的軟件失效；

結(jié)果：可能會使一些乘客惱怒，但是不會影響到機上乘客的安全。

2）在低可見度情況下用來控制飛機自主進(jìn)近的軟件程序失效；

結(jié)果：可能會導(dǎo)致機毀人亡。

顯然，這兩種軟件不可能開發(fā)成同樣等級，也無法以同樣的嚴(yán)格程度來控制開發(fā)。需要針對具體情況，根據(jù)軟件異常行為可能導(dǎo)致的飛機失效狀態(tài)類別來定義軟件的等級。

DO-178C中規(guī)定，軟件等級應(yīng)與軟件失效可能導(dǎo)致的最嚴(yán)重的系統(tǒng)安全性影響程度相對應(yīng)。也就是說軟件等級是由其失效狀態(tài)的類別來決定的，而軟件失效狀態(tài)的類別定義則與系統(tǒng)失效狀態(tài)的類別定義完全相同。同時，軟件失效狀態(tài)的類別與系統(tǒng)失效狀態(tài)的類別一樣，都是通過系統(tǒng)的安全性評估來確定的，即在確定系統(tǒng)的審定基礎(chǔ)時確定。表2給出了軟件等級與失效狀態(tài)類別的對應(yīng)關(guān)系和簡要說明。

表2軟件等級與失效狀態(tài)之間的關(guān)系

軟件等級由申請人和合格審定局方共同確定，且通常作為軟件審定的基本前提，記錄在相應(yīng)的審定計劃中。商討確定軟件等級的基本過程如圖3所示。

圖3軟件等級的確定過程

對于軟件等級的確定問題需要注意以下幾個問題：

1）無論系統(tǒng)怎樣設(shè)計，系統(tǒng)安全性評估過程確定了一個特定系統(tǒng)的軟件組件應(yīng)有的軟件等級。失效所造成的功能喪失和故障影響均要在軟件等級確定中加以考慮處理。從系統(tǒng)功能出發(fā)，評估系統(tǒng)功能失效的影響等級，考慮是否可能由軟件的錯誤導(dǎo)致這種失效，進(jìn)行確定軟件所造成的最大的系統(tǒng)失效為何種等級，從而確定軟件自身的等級。

2）一個系統(tǒng)功能可能會被分配給一個或多個彼此相互分割的軟件組件來執(zhí)行，并行執(zhí)行過程是指一個系統(tǒng)的功能要靠多個軟件組件來實現(xiàn)，以至于多個軟件組件的異常行為才會引起系統(tǒng)的失效。對于并行執(zhí)行過程而言，至少要有一個重要或者關(guān)鍵的軟件組件的軟件等級由該系統(tǒng)的最嚴(yán)重失效狀態(tài)類別來確定，其它軟件組件的軟件等級將由系統(tǒng)失去上述功能后的剩余失效狀態(tài)類別來確定。

3）串行執(zhí)行過程是指一個系統(tǒng)的功能要靠多個軟件組件來共同實現(xiàn)，以至于任何軟件組件的異常行為都將會引起系統(tǒng)的失效。對于串行執(zhí)行過程而言，軟件組件的軟件等級都將由該系統(tǒng)的最嚴(yán)重失效狀態(tài)類別來確定。

4）如果一個軟件組件的異常行為導(dǎo)致了多個失效狀態(tài)的發(fā)生，那么最嚴(yán)重失效狀態(tài)類別就決定了該軟件組件的軟件等級。隨著系統(tǒng)設(shè)計技術(shù)的演變，產(chǎn)生了各種架構(gòu)策略，例如在DO-178C標(biāo)準(zhǔn)第2.4節(jié)中詳細(xì)介紹，這些策略的使用可能會導(dǎo)致軟件等級的修改。例如：

· 分區(qū)/隔離

如果使用分區(qū)/隔離技術(shù)，每個被隔離軟件組件的軟件等級將由該組件所導(dǎo)致的最嚴(yán)重失效狀態(tài)來確定。如果分區(qū)/隔離保護由軟件來實現(xiàn)，那么該軟件的軟件等級將與被隔離軟件中的最高等級相同。

· 安全性監(jiān)控

如果使用安全性監(jiān)控技術(shù)，被監(jiān)控功能的軟件等級可以降低至喪失該功能后的對應(yīng)等級。執(zhí)行安全性監(jiān)控功能的軟件其軟件等級則由被監(jiān)控功能中的最嚴(yán)重失效狀態(tài)來確定。

5）開發(fā)某一等級的軟件并不意味著為軟件分配失效率，因此軟件等級以及基于軟件等級的軟件可靠率（Software Reliability Rate）就不能像硬件失效率那樣在系統(tǒng)評估過程中加以應(yīng)用。軟件的錯誤并不呈現(xiàn)概率分布。

審核編輯：湯梓紅