DO-254标准中的确认与验证过程分析
2014-03-28刘子宜
高 虎 刘 媛 刘子宜
(1.中航工业综合技术研究所,北京 100028; 2.驻京昌地区军事代表室,北京 100041)
DO-254《机载电子硬件设计保证指南》[1],为航空机载系统和设备的复杂电子硬件设计提供了质量保证指导,于2005年获得FAA(联邦航空管理局)正式认可。
DO-254的采纳与实施会给实际项目带来很多益处,如更多的前期需求与设计明确化,更少的设计迭代,更早的发现需求与设计缺陷,更好的确保需求与实现的一致性,更完善的配置管理,更高的设计复用性等,因此该标准在美国航空领域的军工企业得到普遍采纳,如雷神、诺斯洛普•杜鲁门、洛克希德•马丁等企业均将该标准作为开展机载电子硬件研制开发工程化管理的指导性文件。目前,该标准也在欧洲被欧空局、瑞典萨博公司等多家机构和企业采纳。
DO-254标准描述了机载电子硬件全生命周期的目标要求,规定了全生命周期定义和阶段的划分,针对器件全生命周期提出机构职责、计划、每个阶段的目标及技术要求[2]。确认和验证过程覆盖于机载电子硬件设计生命的全周期,是复杂机载电子硬件设计质量保证的最重要方式。为此,本文针对DO-254的确认与验证过程进行分析与研究,提出实施建议,为工程实践过程中的确认与验证活动提供参考。
1 硬件设计生命周期
DO-254描述的机载电子硬件设计生命周期包括:
1)硬件策划过程,定义和协调一个项目的硬件设计过程及支持过程的活动。
2)硬件设计过程,生成设计数据和相应的硬件项,包括:需求获取、概要设计、详细设计、实现和生产转化。
3)支持过程,产生硬件设计生命周期数据,以保证硬件设计生命周期及其输出的正确性及可控性,包括策划、设计、硬件安全性评估和支持过程。这些过程通常与策划和设计过程同时进行。
确认和验证与配置管理、过程保证和认证验收一起构成了支持过程的主要活动,如图1所示,确认和验证过程覆盖硬件设计过程的各个环节。
图1 机载电子硬件设计生命周期
2 确认和验证目标
根据DO-254的规定,确认活动的目的是通过主、客观过程相结合的方法,保证派生需求相对于分配给硬件的系统需求是正确和完整的。确认过程主要针对的是派生需求,而不是系统分配的需求。基于确认过程的目标,影响系统安全性的设计决策或分配给系统其它部件的功能需求均属于派生需求,均需要确认。在确认过程中发现的需求遗漏和错误需提供给相应的过程,用于决策。
验证过程的目的是保证硬件设计实现符合需求。通过验证过程建立需求、实现与验证之间的追溯性,并将验证过程中发现的需求遗漏和错误提供给相应的过程,用于决策。
3 确认和验证过程
3.1 确认和验证策划
DO-254中指出,确认和验证过程贯穿于整个硬件设计生命周期。从实际实施层面考虑,确认和验证的时机可在硬件开发的整个生命周期中进行,但在开发生命周期早期开展有效的确认和验证,可以有效减少设计缺陷以及缺陷修改成本。因此,建议在制定一个硬件开发计划时,同时也应该制定相应的确认和验证计划。
在项目策划阶段,为确认和验证制定计划,包括确认和验证策略、确认和验证内容、确认和验证的标准、验证环境、验证级别、进度安排等。对于项目派生需求的确认以及项目的验证,确认计划和验证计划需描述要采用的程序、方法、标准以及要进行的过程和活动,才能达到DO-254的确认和验证目标。这个计划可包含在硬件方面认证计划(PHAC)中,也可单独编制。
3.1.1 确认计划内容
确认计划应包含:
1)确认方法。描述和引用要使用的确认程序、标准和方法。方法可以包括分析、评审和测试。
2)确认数据。确定并描述要输出的作为硬件确认过程结果的证据。
3) 确认环境。确定并描述进行确认过程活动要采用的分析和测试设备,以及确认工具。
3.1.2 验证计划内容
验证计划应包含:
1)验证方法。描述并引用用来提供项目完整性的目标证据的验证策略、程序、标准和方法。方法可以包括分析、评审和测试。
2)验证数据。作为硬件验证过程的结果,确定并描述要产生的证据。
3)验证独立性。对要求独立验证的目标,描述用来保证验证独立性的方法。
4) 验证环境。确定并描述实现验证过程活动要使用的分析和测试设备,以及验证工具。
5)组织职责。确定实现验证过程的组织职责。
3.2 确认和验证实施
3.2.1 确认过程的实施
确认过程可通过一系列活动来满足,如评审、仿真、原型、建模、分析、经验、工程评估或测试等。如图2确认过程活动所示,建议确认过程应按照计划的确认方法,开展以下工作:
图2 确认过程活动
1)评估机载电子硬件需求的完整性,即逐项确认所有分配给机载电子硬件的系统需求均已定义,并确认所有已定义的机载电子硬件需求均为实现需求所必须的;
2)评估机载电子硬件需求的正确性,即机载电子硬件需求被明确定义,且定义的需求属性没有错误;
3)应评估派生的机载电子硬件需求对安全性的影响。
3.2.2 验证过程的实施
验证过程采用评审、分析或测试的方法对项目进行设计与需求的符合性验证,并对验证结果进行评估。硬件安全性方面的设计考虑要满足安全性需求,在设计过程的不同阶段应进行验证,以降低设计错误的概率。
已验证的配置在后续设计中进行的更改,可以通过相似性分析、新设计测试激励或重用部分原有的验证手段等方法重新验证。若验证后硬件未达到所策划的需求,应采取适当的纠正措施确保实现与需求的符合性。如图3所示,建议验证过程应按照计划的验证方法,开展以下工作:
图3 验证过程活动
1)设计验证的具体实施方案,对于应用测试方法进行验证的情况,应设计测试用例,测试用例应覆盖所验证层次化设计级别的所有决策内容;
2)按照验证计划、测试用例及相关规程执行验证过程;
3)开发方应根据验证结果对机载电子硬件进行全部必要的修改,并进行所有必要的回归测试,并根据需要更新相关开发文档;
4 确认与验证方法
为了实现确认与验证过程的目标,通常采用的方法有评审、分析及测试或三者的组合等。确认和验证活动应基于需求开展,每个阶段的确认和验证活动应首先确定需要进行确认和验证的机载电子硬件需求及派生需求;建立确认和验证过程与机载电子硬件需求之间的可追溯性,确保确认和验证的覆盖率,如果覆盖率未满足要求,应迭代开展[3]。
4.1 测试
测试是一种最通用的验证方法。关于机载电子硬件的测试,DO-254指出,测试是一种确认硬件对一个激励或一系列激励正确响应的方法,可在不同设计过程中进行。测试的方式包括对项目进行功能测试、系统平台测试、系统确认工具测试和飞机测试。可通过手工、自动或专用测试设备进行[4]。
在验证过程中,测试也可利用硬件内部的测试能力,如BIT测试。若无法在预期工作环境中使用硬件进行具体需求的验证,则应采用其他有效方法加以验证。
在实际项目中,建议对机载电子硬件从功能测试、性能测试、边界测试、逻辑测试、接口测试等测试类型分别考虑测试激励的设计,并充分考虑测试环境对通过准则条件及测试结果的影响。
4.2 分析
分析是一个具体的、可重复的、解析的方法,用于评估具体项目的特性,来证明某一具体需求得到满足。分析的方式包括应力分析、设计余量分析、共模故障分析、最坏情况分析和测试覆盖率分析。分析方法是对测试方法的一个很好的补充,通常情况下,测试无法完成对一些特殊需求的验证,如精度测试等,此时建议采用分析的方法。
分析可以包括对以下内容的详细检查:功能、性能、可追溯性、安全性以及与机载系统中其它功能的关系等。
分析可以单独使用,也可以与其它验证方法结合使用以提供需求被正确实现的证据。分析应基于设计过程、服务履历提供的数据或其它可用的数据库进行。
随着硬件设计复杂度的提高,利用计算机仿真工具来验证需求和设计的实现成为一种很重要的设计分析手段。仿真可分析出硬件参数变化给系统带来的影响,是其它验证方法难以做到的。在项目实施过程中,建议提高仿真分析方法的重视,提高设计确认的完整性。
4.3 评审
评审是对策划、需求、设计数据、设计概念或设计实现进行的定性评估,凭借参与评审的人员具备评审所必须的知识,以较高的认可度证实需求已经得到满足或将会得到满足。应按照相应计划,在整个硬件设计生命周期中进行评审。
需求评审主要的目的是确保所有需求都是明确的、能够被验证的。
设计评审是一种确定设计数据和实现满足需求的方法。在硬件设计生命周期中,应按照计划多次进行设计评审,例如概要设计、详细设计和实现评审。对于跨越多个项目层次的分层设计,如ASIC和电路卡,应在最有可能保证设计正确的地方考虑设计评审。
通过对设计进行评审可以最大程度地保证一个设计的正确性。在实际工作中,建议能够根据不同的专业来成立专门的、固定的评审组,以保证评审的有效性和上、下级需求之间的协调性。在进行设计评审时,应开发相应专业的评审检查单,以确保明确的评审判据,也便于开发人员在正式评审前进行自我检查,以提高正式评审的效率。
5 总结
DO-254 定义了机载电子硬件开发的需求、设计、验证、确认、过程保证的目标及活动,对硬件设计全过程提出了一系列要求,而验证和确认过程活动在整个硬件设计生命周期中,对机载电子硬件的质量提供了可靠有效的保证。
机载电子硬件项目开展过程中,有效、充分的开展基于DO-254的机载电子硬件验证和确认活动对终端产品质量的提升具有重要意义,建议在航空装备电子硬件的设计过程中广泛推广和实施。
[1] RTCA,DO-254.Design Assurance Guidance for Airborne Electronic Hardware[S/OL].2000.http:// www.rtca.org/onlinecart/product.cfm?id=194.
[2] PAUL S MINER, VIVTOR A. A case-study Application of RTCA DO-254[C]. AIAA/IEEE 2000 Digital Avionics System conference, Philadelpha. PA, 2000.
[3] 胡小婷,田泽.基于DO-254的航空集成电路设计保障研究[J].计算机技术与发展,2012,22(8):189-191.
[4] 刘子宜,刘畅,郑军. 基于软件测试技术的FPGA测试研究[J]. 电子技术应用, 2011(37), 5:28-30.