民用机载软件设计与适航审查标准及疑难点解析

2023-01-10

在现代航空工业中, 随着软件系统在飞行器中所占比重的不断增加, 从第二代飞机起, 通过软件实现的功能随着每一代飞机而翻番。软件的大量应用使机载设备性能有了很大飞跃, 正因如此, 机载软件越来越多地影响着航空器的飞行安全。对民用航空器来说, 适航性就是其保障安全性的最低标准。民用机载软件作为航空器的一部分, 其适航性要求满足DO-178B/C《机载系统和设备合格审定的软件考虑》。

本文将针对软件适航审查过程中的一些审查重点和难点予以解析, 以便于软件设计人员能够从正向设计的角度尽早考虑适航要求, 真正实现设计的适航性。

一、机载软件适航审定发展历史

波音777飞机成功地投入民航运营, 标志着民机计算机软件设计时代的到来。机上软件所执行的往往都是信息管理类或是指令控制类的功能, 很大程度上影响到飞行安全, 这就迫切需要一个工业可接受的适航性标准[1]。

1982年, RTCA和EUROCAE正式发布了DO-178。这是民用航空机载软件开发中安全保证的一个里程碑。但在实践过程中却发现许多问题, 继而进行修订形成了DO-178A。然而该标准是面向过程的, 无法应对层出不穷的新技术和方法。

为了解决这个问题, RTCA从原则上对标准进行了变更, 修订了“面向过程和目标”的稳定版本DO-178B。目前它已经成为了国际公认的民用航空机载软件的开发标准。但该版本仍有一些不足之处, 例如:对“面向目标”的原则执行的不够彻底等。因此, RTCA和EUROCAE共同修订了DO-178B, 以目标为导向, 面向过程, 并针对一些刚开始应用或者未来可能会广泛应用到的新技术提供了更明确的指南, 形成了新的版本DO-178C。从内容上看, 该版本主要是从工具和新技术方面做了研究和补充, 包括:工具资格认证;基于模型的开发;面向对象以及相关技术;形式化方法[2]。

DO-178C可以涵盖DO-178B的要求, 并且更加符合软件研发技术的发展方向。目前, 业界已基本认可以下原则:新的软件研发默认遵循DO-178C的要求;而对于固有软件的更新则视情分类, 未涉及新技术和开发方法的仍可适用DO-178B的标准。若涉及了新技术的, 那么采用新的技术和方法而开发的部分应遵循DO-178C中关于新技术的要求[3]。

二、软件设计及审查难点分析

机载软件的适航审查是以目标为导向的, DO-178B/C针对不同等级的软件提出了相应的目标要求, 但对于软件的过程管理原则是不变的。总结起来, 在软件的设计和适航审查中涉及的难点基本为以下几点[4]:

(1) 安全性分析。机载软件进行适航审查之前, 首先要通过安全性分析来确定软件等级。软件的本质是一些代码, 其本身并没有任何的功能, 更没有安全或者是不安全的属性。它通过系统平台来发挥特定的功能, 从而影响航空器的安全, 也就是说安全性其实是系统的属性, 要对软件进行安全性分析就需要按照ARP4761的规定逐层分解。总的来说, 需要从整机开始逐层细化, 同时还应考虑到各个功能的组合在航空器各状态中的影响。该工作是一项系统性的工程, 如何才能够保证它是全面且有效的, 就是首要解决的关键问题。

(2) 过程的可控性。对于一套机载软件来说, 从研制一直到生命周期结束, 可能需要经历种种复杂情况的考验, 环境、功能以及其他系统或部件的关联影响等, 都有可能引起不可预料的变化, 例如, 额外功能或无用代码等…要解决这一系列问题, 就要确保整个软件研发的过程是可控的。目前除了在各个研制阶段之间的转段评审和过程中的变更管理, 并没有其他的有效措施。然而软件的研发是一个持续的过程, 以阶段为目标来进行的控制, 是无法对整个过程都进行有效把控的[5]。

(3) 需求的完整性。软件需求既是研制输入又是验收的依据, 在整个软件研制过程中举足轻重。软件都是系统的一部分, 而系统是整机的一部分, 软件需求需从整机层层分解。如何才能够确保软件的需求可以刚好满足系统乃至整机的需要, 既无冗余又无缺失, 这就成为了亟待解决的又一难题。目前针对需求业界已经提出了需求工程的理念, 或许可以为该难题的解决提供一种更为有效的途径。

(4) 准确而有效的软件测试。理论上讲软件测试的输入应为软件需求, 测试用例应与需求功能一一对应, 同时还应避免测试资源的浪费。此外, 由于软件开发技术的迅猛发展, 许多新技术和新工具纷纷涌现, 例如模型化的设计等。这就使得现在的软件开发中出现了许多的灰色代码, 致使传统的软件测试方法, 包括静态走查以及动态的测试, 都很难全面的覆盖。因此, 如何有效又高效的编制出相关的测试用例, 使之可以完全满足DO-178B/C的测试要求, 就成为了一个新的难点[6]。