奚海燕+韩兴光+薛战东

【摘 要】本文首先介绍民用飞机机载软件的适航认证标准DO-178B；其次介绍了一套空气管理系统及其控制器机载软件，并以这套机载软件研制过程中的设计阶段数据为例，描述了软件设计数据的评审过程，总结了评审的重点及难点；最后对目前软件适航评审技术进行了总结及展望。

【关键词】适航认证标准；空气管理系统；机载软件；DO-178B；设计阶段评审

1 适航认证标准DO-178B

飞机和汽车都是重要的交通工具，但从它们的安全性要求来说，有着很大的不同。汽车发生碰撞和故障时，人存活的概率比较大；一旦飞机发生碰撞和故障，存活的概率则几乎为零。因此，飞机研制过程中对安全性的要求比汽车高很多。

我们可以简单地把飞机分成两类：军用飞机和民用飞机。每个国家对军用飞机的研制都有自己的标准和质量监督体系；但对于民用飞机来说，由于一个国家研制的飞机会飞到其他国家去，这就要求有一个能够被国际普遍认可的标准和质量体系来保证飞机的安全。具体来说，飞机通常需要通过4个认证以后才可真正投入运营：也即定型认证（Type Certificate）、生产认证（Production Certificate）、适航认证（Airworthiness Certificate）和运营认证（Operational Certificate）。而DO-178B标准则是对机载软件进行适航认证时适用的标准，是整个民航标准体系中比较重要的一个标准。

DO-178B首先依据软件失效条件确定了软件设计保证等级，而失效条件是按照对飞机、机组和乘客的影响来分类的，按严重程度可分为如下5级，软件级别和DO-178B附表A中目标的对应关系如表1所示。

同时，DO-178B定义了如图1所示的软件研制过程：

DO-178B中第11章节规定了以上研制过程对应的生命周期数据。

2 空气管理系统及其控制器机载软件描述

本文论述的一套民用飞机空气管理系统系统主要由空调系统、气源系统、机翼防冰系统组成。系统主要采用发动机供气（地面采用 APU或气源车供气），经气源系统调节，将满足温度、压力要求的空气提供给空调系统的左右制冷组件中或机翼防冰系统；空调系统对座舱内的空气流量、温度及压力进行调节，为乘员提供安全、舒适的压力环境；同时机翼防冰系统利用气源引来的热空气为飞机机翼进行加热防冰。

通常来说，为了实现会对空气管理各子系统功能进行集成控制，并考虑冗余备份，系统会设置两个控制器。控制器架构如图2所示，

有如下特点：

a）每个控制器有两个控制通道，即通道A和通道B；

b）控制通道间相互隔离并安装相同的软件；

c）安全通道与通道A/B独立非相似；

d）控制器的各通道独立供电；

e）两个控制器通过针脚编程进行区分。

3 控制器机载软件设计阶段评审过程

3.1 软件设计阶段评审依据

机载软件设计阶段评审的目的通过检查生命周期数据评估其对计划和标准的符合性；评估计划文件更改；评估生命周期数据对DO-178B附表A表A-2、A-3、A-4、A-5、A-8、A-9、A-10中目标的符合性。

3.2 软件设计阶段评审对象

控制器机载软件在其研发过程的设计阶段相继产生一系列生命周期数据，主要包括软件的高级别需求、低级别需求、软件源代码以及他们之间的追溯矩阵，软件需求确认记录、软件构型记录、软件评审记录、软件问题报告记录以及前期评审遗留的开口项等。系统供应商需将这些数据提交给主机厂做评审。软件的设计阶段的审查数据项与DO-178B的对应关系如表2所示。

3.3 软件设计阶段评审过程

主机厂的评审工作由评审委员会发起，评审人员主要涉及项目经理、系统工程师、软硬件工程师以及质量和适航负责人等。评审通常通过抽样的方法展开，评审过程大约需要2-3天时间，评审的主要活动包括：

a）评审软件高级别需求以及衍生的高级别需求对系统需求的追溯性，评估其对对DO-178B附表A中A-3表的符合性；

b）评审软件低级别需求对DO-178B附表A表A-4的符合性；

c）评审软件架构，包括软件分区、内存管理、供电管理、中断和保护机制、数据流、接口、兼容性以及通讯机制等，并评估其对DO-178B附表A中A-4表的符合性；

d）评审软件代码对DO-178B附表A中A-5表的符合性；

e）评估软件的设计阶段生命周期数据对DO-178B第6章和第11章适用章节的符合性；

f）评估软件构型管理过程和问题报告对DO-178B附表A中A-8表的符合性；

g）评估软件质量保证过程对DO-178B附表A中A-9表的符合性；

h）評估软件开发的进度安排、资源配置、项目状态和项目风险；

3.4 软件设计阶段评审输出

软件设计阶段评审结束后的输出包括：

a）主机厂评审软件计划阶段评审遗留行动项关闭情况；

b）主机厂评审供应商提交软件设计过程的生命周期数据并形成评审记录；

c）基于整个评审活动的情况，完成控制器机载软件设计阶段评审总结报告。评审报告内容包括评审目的，材料和活动，并阐述对DO-178B的符合性，列出评审活动中所有行动项目及完成期限，给出评审的结论。

4 控制器机载软件设计阶段审查难点和重点

4.1 软件需求抽样

软件涉及到气源系统、机翼防冰系统、空调系统等多个子系统的控制功能，需求抽样应依据各子系统主要功能、接口以及安全性展开，因而需要熟悉系统功能，才能提炼出用于抽样的核心需求。

4.2 软件分区设计

软件分区设计通常包括时间分区和空间分区，在空间分区的设计上，需要重点审查其数据流的保护方法，不同等级软件间的数据隔离；在时间分区的设计上，需要重点审查再超限，时序冲突，时间间隔测量故障，中断抑制等方面的实时处理机制。

4.3 工具的使用

为了减少劳动量，降低开发成本，同时减少人为引入的错误，越来越多的工具被引入到软件设计过程中。而工具的研制相对于软件设计过程是独立的，同时工具的错误可能通过其重复使用而放大。软件设计过程中使用已鉴定的工具需关注其工具鉴定计划和工具鉴定数据。

5 总结及展望

DO-178B是面向过程的，同时也是面向目标的，它的稳定性使这项标准至今已使用了25年。但是，历史的车轮在飞转，软件的技术在发展，由于以下两个方面的原因，DO-178B还需要继续修订：

a）目标仅仅是“相对稳定”的，它不可能是“永恒稳定”的。软件开发的新技术层出不穷，有些技术的出现使得实现这些目标变得更加容易，这保证了目标的“相对稳定”；而有些技术的出现则使得某些目标不再适用，这使得目标不可能“永恒稳定”，比如面向对象的技术和基于模型的开发和验证，而DO-178B缺乏这些新方法相应的评审的标准。

b）DO-178B对“面向目标”的原则还贯彻得不够彻底。DO-178B中所定义的66個目标中，有少量的目标并不是真正的“目标”，而是“技术”，比如目标中关于MC/DC覆盖、判断覆盖、语句覆盖等。这些“技术”以“目标”的形式出现在标准里，降低了DO-178B标准的稳定性。

为了弥补这些缺陷，在保持现有的“面向目标”原则不变和核心内容基本保持稳定，只有少量改动的原则下，联合工作组筹备制订了的DO-178C及其补充 。DO-178C及其补充文档重点增加了面向对象的技术、基于模型的开发和形式化方法的评审标准，并替换或增订了DO-178B中不再适用的目标。未来，DO-178C作为新一代机载软件的适航认证标准将会逐渐取代DO-178B。

【参考文献】

[1]郑军.机载软件适航认证标准新进展及展望[J].计算机工程与设计，2012年1月.

[2]陆民燕，软件可靠性工程，国防工业出版社.

[3]岳庆敏，软件适航认证与DO-178B，技术前沿.

[责任编辑：田吉捷]