民用飛機(jī)機(jī)載軟件開(kāi)發(fā)階段適航審查工作研究

郭祺君

【摘 要】機(jī)載軟件開(kāi)發(fā)階段的審查工作是軟件適航審查工作的不可或缺的組成部分，同時(shí)，機(jī)載軟件適航審查工作也影響著整個(gè)飛機(jī)的適航取證置信度。本文結(jié)合了國(guó)際上通用的審查要求及程序，論述了機(jī)載軟件開(kāi)發(fā)階段適航審查工作的目的原則、內(nèi)容及審查方法，并對(duì)過(guò)程中突出問(wèn)題進(jìn)行了分析。

【關(guān)鍵詞】民用飛機(jī)；機(jī)載軟件；適航審查

中圖分類號(hào)： V247 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2017）32-0084-002

【Abstract】The review of airborne software development phase is an indispensable part of airworthiness review of airworthiness software. At the same time， airworthiness review of airborne software also affects the confidence of airworthiness certification. In this paper， the international common review requirements and procedures are discussed in this paper. The principles， contents and examination methods of airworthiness review during airborne software development are discussed. The outstanding problems in the process are analyzed.

【Key words】Civil aircraft； Airborne software； Airworthiness review

1 軟件適航審查工作概述

隨著電子芯片和編程技術(shù)的高速發(fā)展，應(yīng)用于民用飛機(jī)領(lǐng)域的機(jī)載軟件不僅數(shù)量越來(lái)越多，復(fù)雜程度也日趨增高，而我國(guó)民機(jī)研制經(jīng)驗(yàn)和國(guó)外相比起步較晚，這對(duì)機(jī)載軟件的適航審查工作帶來(lái)了更大的挑戰(zhàn)。

在當(dāng)前的機(jī)載系統(tǒng)及設(shè)備的合格審定中如何保證這些軟件滿足適航要求，工業(yè)界發(fā)布了RTCA DO-178B[1]，之后又更新了部分細(xì)節(jié)發(fā)布了RTCA DO-178C[2]，F(xiàn)AA通過(guò)AC 20-115C[3]確認(rèn)了RTCA DO-178C可以為適航當(dāng)局所接受的一種機(jī)載軟件符合性方法。

在民機(jī)的適航審查過(guò)程中，機(jī)載軟件的審查是對(duì)軟件研發(fā)過(guò)程的審查，是檢查或調(diào)查軟件的生命周期數(shù)據(jù)、軟件項(xiàng)目進(jìn)展和記錄以及其他證據(jù)，以確定是否符合DO-178B/C目標(biāo)的活動(dòng)。

民用飛機(jī)機(jī)載軟件階段性介入審查（SOI）由美國(guó)FAA提出，具體適航審查程序指南的發(fā)布于FAA8110.49 《軟件批準(zhǔn)指南》[4]。SOI一般由四個(gè)部分組成，SOI#1（軟件計(jì)劃階段評(píng)審）、SOI#2（軟件開(kāi)發(fā)階段評(píng)審）、SOI#3（軟件驗(yàn)證階段評(píng)審）和SOI#4（軟件最終審定評(píng)審）。在實(shí)際項(xiàng)目中，可以根據(jù)項(xiàng)目的復(fù)雜程度、委任代表的審查經(jīng)驗(yàn)或者軟件研制商的適航開(kāi)發(fā)經(jīng)驗(yàn)來(lái)確定實(shí)際項(xiàng)目的評(píng)審次數(shù)，即適航當(dāng)局介入的程度。

本文主要研究的SOI#2，即軟件開(kāi)發(fā)階段的介入評(píng)審。

2 軟件開(kāi)發(fā)階段審查（SOI#2）目的和原則

開(kāi)展SOI#2的目的是：

1）通過(guò)檢查軟件生命周期數(shù)據(jù)來(lái)評(píng)估申請(qǐng)方的計(jì)劃和標(biāo)準(zhǔn)是否得到有效地實(shí)施；

2）評(píng)估計(jì)劃的任何變更，并對(duì)其認(rèn)可；

3）評(píng)審軟件開(kāi)發(fā)階段中產(chǎn)生的偏離，并給出是否可接受的結(jié)論；

4）確保軟件生命周期數(shù)據(jù)符合DO-178B/C附表A表A-2、A-3、A-4、A-5、A-8、A-9和A-10的目標(biāo)；

5）確保軟件開(kāi)發(fā)符合軟件相關(guān)政策、指南、問(wèn)題紀(jì)要等適航要求。

SOI#2的評(píng)審原則是檢查申請(qǐng)人的：

1）軟件研制實(shí)際過(guò)程是否與已批準(zhǔn)的計(jì)劃和標(biāo)準(zhǔn)一致；

2）計(jì)劃的過(guò)程是否能夠產(chǎn)生合適的輸出。

3 開(kāi)展軟件開(kāi)發(fā)階段審查的前提

軟件開(kāi)發(fā)階段審查的前提是軟件開(kāi)發(fā)過(guò)程足夠成熟，這要求申請(qǐng)人及軟件供應(yīng)商已經(jīng)完成的工作包括：

1）高層需求已形成文檔、內(nèi)部評(píng)審并可追蹤到系統(tǒng)需求；

2）軟件架構(gòu)已定義，并已完成了評(píng)審和分析；

3）低層需求已形成文檔、已內(nèi)部評(píng)審并可追蹤到高層需求；

4）源代碼實(shí)現(xiàn)了低層需求和可追蹤到底層需求，并且經(jīng)過(guò)了內(nèi)部評(píng)審。

4 軟件開(kāi)發(fā)階段審查內(nèi)容

軟件開(kāi)發(fā)階段審查的具體材料及相對(duì)應(yīng)的DO-178B章節(jié)如下表：

當(dāng)申請(qǐng)人確認(rèn)當(dāng)前軟件開(kāi)發(fā)已開(kāi)展的活動(dòng)能夠表現(xiàn)出整個(gè)開(kāi)發(fā)階段生命周期的面貌，后期潛在的更改已經(jīng)能夠?qū)Ξ?dāng)前結(jié)果的影響進(jìn)行充分分析，就可以開(kāi)展SOI#2的審查活動(dòng)。從歐美適航當(dāng)局的審查來(lái)說(shuō)，F(xiàn)AA要求至少50%的軟件開(kāi)發(fā)階段數(shù)據(jù)，包括軟件需求、設(shè)計(jì)、代碼，已經(jīng)完成開(kāi)發(fā)，那么可以執(zhí)行SOI#2的評(píng)審；EASA則要求至少75%的軟件開(kāi)發(fā)階段數(shù)據(jù)已經(jīng)完成開(kāi)發(fā)后可執(zhí)行SOI#2的評(píng)審。

申請(qǐng)人應(yīng)當(dāng)將SOI#2階段的審查內(nèi)容在SOI#2評(píng)審會(huì)前提交局方，如果有相關(guān)內(nèi)容涉及公司機(jī)密不可以直接提交，那么應(yīng)當(dāng)允許或邀請(qǐng)審查代表在審查現(xiàn)場(chǎng)直接接觸這些數(shù)據(jù)，以進(jìn)行審查工作。

5 軟件開(kāi)發(fā)階段的審查方法

SOI#2開(kāi)發(fā)評(píng)審的檢查方法包括但不限于：介紹、閱讀、采樣、訪談和目擊。

5.1 介紹

主要由申請(qǐng)方進(jìn)行軟件開(kāi)發(fā)階段的介紹，包括當(dāng)前開(kāi)發(fā)階段執(zhí)行的開(kāi)發(fā)活動(dòng)，生成的數(shù)據(jù)，審查方應(yīng)當(dāng)對(duì)照批準(zhǔn)的計(jì)劃，檢查是否一致；endprint

申請(qǐng)人也應(yīng)當(dāng)介紹當(dāng)前已開(kāi)展的質(zhì)量保證過(guò)程的活動(dòng)，審查方檢查是否存在缺漏，是否存在嚴(yán)重的不符合問(wèn)題，及采取的措施。

5.2 閱讀

審查方通過(guò)閱讀的方式對(duì)質(zhì)量保證記錄和報(bào)告進(jìn)行監(jiān)察，檢查質(zhì)量保證活動(dòng)中的不符合問(wèn)題，問(wèn)題分類情況，是否有系統(tǒng)性的問(wèn)題，如有系統(tǒng)性問(wèn)題，當(dāng)前的措施是否得當(dāng)。

通過(guò)閱讀也可以檢查：

1）分配的系統(tǒng)需求是否明確；

2）是否所有分配的系統(tǒng)需求都分解到了高級(jí)別需求；

3）是否所有的高級(jí)別需求都有上級(jí)需求對(duì)應(yīng)；

4）高級(jí)、低級(jí)和代碼是否都對(duì)應(yīng)評(píng)審記錄；

5）識(shí)別出的衍生需求，是否都反饋到系統(tǒng)進(jìn)行安全性分析。

5.3 采樣

采樣是選擇一組典型的軟件生命周期數(shù)據(jù)用于檢查或分析，是評(píng)審中非常重要的一種方式，主要是對(duì)開(kāi)發(fā)過(guò)程一致性、開(kāi)發(fā)過(guò)程對(duì)標(biāo)準(zhǔn)的符合性以及驗(yàn)證正確性的檢查。

采樣前應(yīng)準(zhǔn)備以下相關(guān)數(shù)據(jù)：高級(jí)別需求條目，低級(jí)別需求條目，已完成編碼的高/低級(jí)別需求，已完成的代碼量，生成的生命周期數(shù)據(jù)構(gòu)型項(xiàng)目，產(chǎn)生的問(wèn)題報(bào)告數(shù)目，產(chǎn)生的變更數(shù)目。

在實(shí)際的評(píng)審中，通常采用的采樣方法有兩種：

1）以某一層次的生命周期數(shù)據(jù)為采樣的開(kāi)始，比如軟件低級(jí)別需求，根據(jù)軟件功能或其他重要指標(biāo)選定若干條需求作為采樣對(duì)象，然后檢查與這些需求追溯的其他各級(jí)生命周期數(shù)據(jù)。同時(shí)，在檢查時(shí)，應(yīng)該保證向上追溯和向下追溯兩種方向都被遍歷。

2）選取某一代表性的變更請(qǐng)求，按照變更原因、分析影響、更改內(nèi)容、再評(píng)審的變更步驟進(jìn)行逐步檢查。

審查方應(yīng)當(dāng)確保最終采樣的數(shù)據(jù)包括：

1）系統(tǒng)需求-軟件高級(jí)別需求-軟件低級(jí)別需求；

2）軟件架構(gòu)-軟件代碼-軟件目標(biāo)代碼；

3）上述軟件生命周期數(shù)據(jù)的驗(yàn)證記錄；

4）構(gòu)型管理記錄；

5）質(zhì)量保證記錄

另外，由于一般情況下審查時(shí)采樣能抽取的數(shù)據(jù)十分有限，無(wú)法覆蓋全部SOI#2數(shù)據(jù)，因此無(wú)法保證數(shù)據(jù)的完整性。

5.4 目擊

閱讀和采樣都是對(duì)數(shù)據(jù)和記錄的靜態(tài)檢查，而目擊是對(duì)過(guò)程的動(dòng)態(tài)檢查。

目擊可以使審查人員實(shí)際感受當(dāng)前的軟件研制過(guò)程設(shè)置，了解工具和環(huán)境的使用，體會(huì)軟件計(jì)劃和標(biāo)準(zhǔn)的執(zhí)行過(guò)程，并且了解對(duì)方人員操作的嚴(yán)格程度。

5.5 訪談

和軟件研發(fā)人員的面對(duì)面交談可以使檢查人員掌握以下情況，對(duì)所需過(guò)程及標(biāo)準(zhǔn)的掌握情況；研發(fā)人員是否滿足當(dāng)前過(guò)程設(shè)置要求這一假設(shè)的正確性。

6 審查結(jié)果的記錄

審查方將所有審查數(shù)據(jù)、審查情況及審查中發(fā)現(xiàn)的問(wèn)題記錄在評(píng)審報(bào)告中。在審查中發(fā)現(xiàn)的錯(cuò)誤或者問(wèn)題，如果發(fā)現(xiàn)不能符合DO-178B/C的一個(gè)或多個(gè)目標(biāo)的事項(xiàng)時(shí)，會(huì)記為不符合項(xiàng)，要求申請(qǐng)人整改。如果發(fā)現(xiàn)軟件生命周期過(guò)程中需要改進(jìn)的潛在事項(xiàng)，則記為建議修改項(xiàng)，可以要求申請(qǐng)人提供更改措施，在后續(xù)軟件研制過(guò)程中改進(jìn)。同時(shí)，對(duì)于現(xiàn)階段發(fā)現(xiàn)的可能影響接下來(lái)的階段審查目標(biāo)或特別需要接下來(lái)階段審查注意的事項(xiàng)，可以記為后續(xù)關(guān)注項(xiàng)，在后續(xù)的審查過(guò)程中予以確認(rèn)。審查方會(huì)根據(jù)具體發(fā)現(xiàn)的問(wèn)題來(lái)確定是否需要再啟動(dòng)SOI#2，或是后續(xù)桌面評(píng)審后即可認(rèn)可所有的問(wèn)題解釋和相關(guān)證據(jù)。

如果審查方認(rèn)為通過(guò)審查，申請(qǐng)人軟件開(kāi)發(fā)階段的工作已經(jīng)足夠充分，能夠滿足適用的DO-178B/C所規(guī)定的所有目標(biāo)，且申請(qǐng)方所有的問(wèn)題解釋能夠被審查方認(rèn)可接受，那么審查方會(huì)發(fā)布批準(zhǔn)表，通過(guò)該軟件的SOI#2。

7 總結(jié)

本文對(duì)軟件適航審查過(guò)程中的軟件開(kāi)發(fā)階段的評(píng)審的目的、原則、開(kāi)展的前提、審查內(nèi)容及方法，以及審查結(jié)果的記錄進(jìn)行了討論分析，適用于軟件開(kāi)發(fā)階段的適航評(píng)審，對(duì)我國(guó)民機(jī)飛機(jī)機(jī)載軟件開(kāi)發(fā)階段的適航審查工作有著一定的參考意義。

【參考文獻(xiàn)】

[1]RTCA DO-178B.Software considerations in airborne systems and equipment certification[S].Washington DC，1992，12.

[2]RTCA DO-178C.Software considerations in airborne systems and equipment certification[S].Washington DC，2011，12.

[3]AC 20-115C Airborne Software Assurance[Z].Washington DC，2013.07.

[4]FAA Order 8110.49.Software approval guidelines[S].Washington DC， 2003，06.endprint