徐 剑 刘建方 韩铖熹

（上海飞机设计研究院，上海 201210）

基于RTCA/DO-330的机载电子硬件工具鉴定准则研究

徐 剑 刘建方 韩铖熹

（上海飞机设计研究院，上海 201210）

简要回顾了RTCA/DO-254《机载电子硬件设计保证指南》中工具鉴定的要求，介绍了国际航空无线电委员会（RTCA）最新发布的RTCA/DO-330《软件工具鉴定考虑》。在此基础上，提出了一种RTCA/DO-254的框架内基于RTCA/DO-330进行机载电子硬件工具评估和鉴定的准则。

机载电子硬件；工具鉴定；准则；研究

随着大规模集成电路的发展，机载电子硬件在现代民用飞机中承担着越来越多和越来越重要的功能。为了规范民用飞机项目中机载电子硬件的研制过程，国际航空无线电委员会（RTCA）于2000年发布了RTCA/DO-254《机载电子硬件设计保证指南》（以下简称DO-254）。2005年，美国联邦航空局（FAA）发布咨询通告AC20-152《RTCA文件：RTCA/DO-254 机载电子硬件设计保证指南》接受DO-254作为机载电子硬件研制过程对适航规章的符合性方法。

现代机载电子硬件的研制过程中，随着机载电子硬件规模的增加和功能架构的复杂化，各种研制工具使用日益广泛。工具的使用，减轻了电子硬件设计和验证人员的工作量，减少了出现人为错误的概率，大大提高了机载电子硬件研制的效率。然而，如果工具本身存在缺陷和错误，那么就有可能导致该工具研制的机载电子硬件中的错误，从而影响飞机功能的正常运行和运营安全。因此，机载电子硬件研制过程中使用工具的评估和鉴定一直是民用飞机合格审定过程中的重要课题。

1 DO-254中的机载电子硬件工具鉴定要求

1.1 DO-254中机载电子硬件工具的分类

根据工具是否将在电子硬件中引入错误，DO-254将机载电子硬件研制过程中使用的工具分为设计工具和验证工具。

设计工具是指用于生成硬件或设计硬件的工具。设计工具的错误可能会导致硬件中的错误。

验证工具是指用于硬件验证的工具。验证工具的错误可能使工具无法检测到硬件设计中的错误。

1.2 DO-254中的机载电子硬件工具评估和鉴定过程

DO-254在第11.4节提出了工具的评估和鉴定要求。DO-254中工具评估的定义为评估用于电子硬件设计和验证活动的工具。工具评估的目的是确保工具能够按照电子硬件设计保证等级（DAL）的要求，正确地执行其功能。机载电子硬件工具评估过程如图1所示。

图1 机载电子硬件工具评估过程

机载电子硬件研制过程中使用的工具绝大部分也是软件，因此DO-254中的工具鉴定要求与RTCA/ DO-178B《机载系统设备合格审定中的软件考虑》（以下简称DO-178B）中的工具鉴定要求实际上是类似的。当工具支持了DO-254规定的机载电子硬件的研制过程，且其输出没有经过独立的评估时，需要对工具进行鉴定。

DO-254中将工具鉴定分为基本工具鉴定和设计工具鉴定。基本工具鉴定即建立并执行一个计划，采用分析或测试的方法确认工具在预定的应用中产生了正确的输出。DO-254中的基本工具鉴定实际上与DO-178B中验证工具的鉴定过程是相同的。对于设计工具鉴定，DO-254没有给出具体的鉴定指南，而是推荐可以按照DO-254附录B中的策略，DO-178B中的开发工具鉴定指南或其他审查局方接受的方法进行鉴定。综上所述，按照DO-178B中的开发工具和验证工具的鉴定指南鉴定机载电子硬件研制过程中使用设计工具和验证工具完全可以满足DO-254的要求。

与DO-178B不同的是，DO-254只要求对用于支持A、B级机载电子硬件的设计工具进行设计工具鉴定，对C级设计工具或A、B级验证工具只要求进行基本工具鉴定，对于D级设计工具和C、D级验证工具则不要求进行工具鉴定。

2 RTCA/DO-330软件工具鉴定考虑概述

2.1 RTCA/DO-330发布的背景

随着电子硬件规模和复杂度的增长，工具在机载电子硬件的研制过程中实现了更多、更重要的功能，工具在机载电子硬件的研制过程中扮演着越来越重要的角色。另一方面，DO-254和DO-178B等行业标准中提出的笼统的指南已经不能完全满足工具鉴定的要求。

为了规范工具鉴定的过程，国际航空无线电委员会（RTCA）于2011年以独立的标准形式发布了RTCA/DO-330《软件工具鉴定考虑》（以下简称DO-330）。2013年，美国联邦航空局（FAA）发布咨询通告AC20-115C《机载软件保证》接受包括DO-330在内的5份RTCA标准作为机载软件对适航规章的符合性方法。

2.2 DO-330标准的架构

为了与先前标准中的工具鉴定框架保持一致，DO-330标准采用了与DO-178B/C类似的文件架构。DO-330的文件架构见图2。

DO-330将工具生命周期过程分为计划过程、开发过程和整体过程。其中开发过程又分为需求过程、设计过程、编码过程和集成过程。整体过程由验证过程、构型管理过程、质量保证过程和合格审定联络过程组成，并贯穿与整个工具生命周期过程的始终。DO-330第4章到第9章分别给出了工具生命周期不同阶段的目标和活动，并在附件A表T-1到T-10总结了整个工具生周期的目标。

图2 DO-330的文档架构

除了工具生命周期过程，DO-330还提出了工具操作过程（Tool Operational Process），包括工具操作需求过程、工具操作集成过程以及工具操作验证和确认过程。工具操作过程的目的是定义具体项目中的工具操作需求、将工具集成到目标环境中并验证和确认工具满足具体项目中的工具操作需求。DO-330附件A表T-0总结了工具操作过程的目标。

2.3 DO-330的应用策略

DO-330将工具分为5个鉴定级别（Tool Qualification Level， TQL）：TQL-1～TQL-5，不同级别工具的鉴定过程需满足的工具鉴定目标不同。TQL-1级别的工具需满足的目标最多，鉴定的要求最高。随着TQL的递减工具需要满足的目标越来越少，鉴定的严格程度也越来越低。

但是，DO-330标准本身并没有定义确定工具鉴定级别的准则，而且DO-330描述的工具鉴定过程也不基于特定的行业领域。DO-330第1.3节指出，这份标准也可以在汽车、航天、电子硬件、航空数据库等航空领域以外的行业的工具鉴定过程中使用。当使用DO-330进行工具鉴定时，这些行业领域的标准应该具体定义确定工具鉴定级别的准则。如果行业标准中没有相关的准则，特定项目的软件合格审定计划（Plan for Software Aspect of Certification, PSAC）或等效文件中也可以定义对应准则。

3 基于DO-330的机载电子硬件工具鉴定准则

3.1 机载电子硬件工具TQL的确定准则

确定机载电子硬件工具TQL的前提是评估工具的使用对DO-254中机载电子硬件生命周期过程的影响。工具对DO-254过程的影响可以根据如下3个准则进行评估：

准则1：工具输出是电子硬件的一部分。工具的错误可能会导致硬件中的错误。

准则2：工具用于电子硬件验证过程。工具的错误可能使工具无法检测到硬件设计中的错误。但其输出还用来声明消除或减少了除工具自动化的过程以外的验证过程，或机载电子硬件的开发过程。

准则3：工具用于电子硬件验证过程。工具的错误可能使工具无法检测到硬件设计中的错误。

如果由于工具的使用而减少、消除或自动化了DO-254中规定的电子硬件设计或验证过程，且其输出没有进行独立评估时，应根据上述3个原则按照表1确定工具的TQL。

3.2 基于DO-330的机载电子硬件工具评估和鉴定过程

明确了基于DO-330的机载电子硬件工具的TQL后，就可以按照DO-330中相应TQL适用的要求进行工具鉴定。在这种框架下，DO-254中机载电子硬件工具评估和鉴定过程可以修订为图3所示。

表1 机载电子硬件工具TQL的确定

图3 基于DO-330的机载电子硬件工具评估过程

4 小结

DO-330从发布到现在只走过了不到3年时间。只有国际航空无线电委员会（RTCA）在同一时间发布DO-178C和RTCA/DO-278A《CNS/ATM系统的软件完整性保证考虑》时定义了机载软件和地面软件项目中使用DO-330进行工具鉴定的准则。目前，还没有任何民用飞机项目中使用的机载电子硬件工具使用DO-330完成鉴定。

在DO-254的框架下，本文提出了一种基于DO-330机载电子硬件工具评估和鉴定准则，希望为我国将来民用飞机项目中的机载电子硬件工具鉴定提供参考。

（编辑：雨晴）

V243

C

1003–6660（2014）06–0044–03

10.13237/j.cnki.asq.2014.06.012

[收修订稿日期] 2014-06-26