張磊

摘要 根據(jù)RTCA D0-178C中可替代方法的描述，分析了采用產(chǎn)品服務(wù)歷史方法替代D0-17 8C的可行性及適用性，研究了局方在審查過程中對(duì)于該方法的主要關(guān)注點(diǎn)，并最終研究給出了使用產(chǎn)品服務(wù)歷史如何能夠滿足與D0-17 8C相關(guān)目標(biāo)同等安全性的方法和指導(dǎo)意見。

【關(guān)鍵詞】機(jī)載軟件 產(chǎn)品服務(wù)歷史 可替代方法D0-17 8C

1 引言

產(chǎn)品服務(wù)歷史是RTCA D0-178C在可替代方法一章中描述的一種能夠替代D0-178C來證明機(jī)載軟件符合性的方法。D0-178C中對(duì)它的定義是“軟件在己知環(huán)境下持續(xù)運(yùn)行的一段時(shí)間，在該段時(shí)間內(nèi)的失效或問題均有所記錄”。由該定義可以看出，產(chǎn)品服務(wù)歷史主要關(guān)注軟件的運(yùn)行環(huán)境、運(yùn)行時(shí)間及問題報(bào)告過程。它是一種通過長(zhǎng)時(shí)間在可控環(huán)境下無嚴(yán)重故障運(yùn)行的歷史性證據(jù)來間接證明軟件安全性的方法。

由于貨架產(chǎn)品（如商用操作系統(tǒng)）本身并不是專門針對(duì)航空運(yùn)輸系統(tǒng)開發(fā)，因此在一開始設(shè)計(jì)時(shí)并未考慮合格審定的相關(guān)因素，很難完全滿足D0-178C的要求。產(chǎn)品服務(wù)歷史則對(duì)于大多數(shù)已經(jīng)開發(fā)完畢的貨架產(chǎn)品或其它并未使用D0-178系列標(biāo)準(zhǔn)的先前開發(fā)軟件產(chǎn)品來說，是一種有效的符合性舉證方法。

D0-178C中就如何通過產(chǎn)品服務(wù)歷史這種方法來滿足相應(yīng)的安全性要求，以及如果申請(qǐng)使用產(chǎn)品服務(wù)歷史，具體需要滿足哪些要求并沒有詳細(xì)說明。本文通過對(duì)D0-178C、DO-248A、FAA其他相關(guān)文檔，結(jié)合型號(hào)適航審定經(jīng)驗(yàn)，對(duì)產(chǎn)品服務(wù)歷史的使用方法進(jìn)行了深入研究，希望能夠給先前開發(fā)軟件適航審定申請(qǐng)人提供一定的參考價(jià)值。

2 產(chǎn)品服務(wù)歷史在使用中的困難

IEEE對(duì)軟件可靠性的定義是“軟件產(chǎn)品在規(guī)定的條件下和規(guī)定的時(shí)間區(qū)間內(nèi)完成規(guī)定功能的能力”，其中包含時(shí)間、操作環(huán)境及功能執(zhí)行等各方面的概念，可以看出與產(chǎn)品服務(wù)歷史的定義非常相似。D0-178C第12.3.3節(jié)明確表明了對(duì)軟件可靠性測(cè)量的方法并不認(rèn)可，因此局方在接受產(chǎn)品服務(wù)歷史作為軟件符合性方法時(shí)，也很少能夠完全接受。

另外，貨架產(chǎn)品或其它類似軟件由于設(shè)計(jì)之初并未考慮產(chǎn)品服務(wù)歷史的相關(guān)要求，因此往往無法按要求提供全部的資料，其配置管理、問題報(bào)告過程也不能證明能夠完成軟件運(yùn)行期間的所有問題數(shù)據(jù)的收集。

以FAA機(jī)載軟件合格審定的歷史情況來看，幾乎不存在完全使用產(chǎn)品服務(wù)歷史作為符合性方法的先例。但是，將軟件的現(xiàn)有生命周期數(shù)據(jù)作為D0-178系列的符合性證據(jù)先滿足其部分目標(biāo)，再使用產(chǎn)品服務(wù)歷史來表明對(duì)其它目標(biāo)的符合性則是一種非常常見，也更容易獲得局方信任的方法。因此，在無法證明全部D0-178C目標(biāo)滿足性的前提下，作為軟件合格審定的補(bǔ)充符合性方法，產(chǎn)品服務(wù)歷史對(duì)先前開發(fā)軟件來說仍然具有很高的實(shí)踐價(jià)值。

3 產(chǎn)品服務(wù)歷史的符合性方法研究

D0-178C中對(duì)產(chǎn)品服務(wù)歷史的要求主要考慮以下幾個(gè)方面：

（1）軟件配置管理過程;

（2）問題報(bào)告過程的有效性;

（3）軟件的成熟度及穩(wěn)定性;

（4）軟件運(yùn)行環(huán)境的相關(guān)性;

（5）產(chǎn)品服務(wù)歷史的時(shí)間長(zhǎng)度;

（6）產(chǎn)品服務(wù)歷史區(qū)間內(nèi)的軟件失效率;

（7）軟件更改的影響。

針對(duì)以上各方面的因素，要滿足產(chǎn)品服務(wù)歷史的要求，具體應(yīng)完成如下活動(dòng)：

（1）證明產(chǎn)品服務(wù)歷史的相關(guān)性，具體包括：

1.產(chǎn)品服務(wù)歷史的時(shí)間區(qū)間有明確的記錄，并且能夠滿足局方要求;

2.產(chǎn)品運(yùn)行環(huán)境必須與本次新的使用或安裝環(huán)境相關(guān)，且與軟件配置項(xiàng)一起實(shí)施了相應(yīng)的配置管理活動(dòng);

3.與本次新的使用相比，產(chǎn)品的使用方式不變;

4.如軟件使用過程中發(fā)生過更改，更改后的軟件不影響相關(guān)性（即不影響以上兩條要求的判斷）;

5.產(chǎn)品服務(wù)歷史區(qū)間內(nèi)的軟件環(huán)境如與本次要求的環(huán)境有所差異，應(yīng)對(duì)差異進(jìn)行分析，并證明差異對(duì)此次符合性舉證不產(chǎn)生影響;

6.對(duì)于非激活代碼等與本次需求無關(guān)的功能或組件，應(yīng)證明其不會(huì)影響其它軟件功能的執(zhí)行，并不會(huì)被意外調(diào)用。且對(duì)于該部分，無需提供產(chǎn)品服務(wù)歷史數(shù)據(jù)。

（2）證明產(chǎn)品服務(wù)歷史的充足性。由于產(chǎn)品服務(wù)歷史經(jīng)常被作為補(bǔ)充方法，因此應(yīng)證明服務(wù)歷史數(shù)據(jù)能夠滿足D0-178C中的未滿足目標(biāo)。同時(shí)還應(yīng)考慮系統(tǒng)安全性目標(biāo)及軟件等級(jí)。

（3）對(duì)服務(wù)期間產(chǎn)生的問題進(jìn)行了收集和分析，并保證所有的問題經(jīng)分析后，表明其安全性影響是可以接受的。這通常對(duì)企業(yè)的問題報(bào)告過程有較高的要求。

對(duì)于D0-178C中產(chǎn)品服務(wù)歷史方法的符合性研究一直都未停止，F(xiàn)AA曾出資對(duì)產(chǎn)品服務(wù)歷史的應(yīng)用做過一定程度的研究，研究成果是《軟件服務(wù)歷史手冊(cè)》，其中包含87個(gè)對(duì)TC申請(qǐng)人提出的問題。因此，是否能夠完全回答這87個(gè)問題，也可以作為是否能夠成功申請(qǐng)產(chǎn)品服務(wù)歷史方法符合性的一個(gè)依據(jù)。問題總共包括四類，總結(jié)如下：

（1）問題報(bào)告過程相關(guān)問題（45個(gè)）;

（2）操作或運(yùn)行過程相關(guān)問題（11個(gè)）;

（3）環(huán)境相關(guān)問題（12個(gè)）;

（4）時(shí)間區(qū)間長(zhǎng)度及失效率相關(guān)問題（19個(gè)）。

另外，作為D0-178C的解讀和常見問題說明，RTCA D0-248C也針對(duì)產(chǎn)品服務(wù)歷史的要求進(jìn)行了一定程度的討論，內(nèi)容涵蓋了DO-1780中所關(guān)注的這幾個(gè)方面。

4 結(jié)論

產(chǎn)品服務(wù)歷史自從2011年D0-178C出版以來便作為一種可替代方法適用于所有設(shè)計(jì)時(shí)未考慮適航性的先前開發(fā)軟件產(chǎn)品。雖然時(shí)至今日，選擇使用該方法仍具有一定的困難，但是作為對(duì)D0-178C未滿足目標(biāo)的補(bǔ)充舉證來說仍然非常有效。本文廣泛參考D0-178C、D0-248C及FAA前期研究成果，對(duì)該方法進(jìn)行了進(jìn)一步研究，并提供了符合該方法所需執(zhí)行的舉證活動(dòng)，對(duì)TC申請(qǐng)人具有一定的參考價(jià)值和應(yīng)用意義。

參考文獻(xiàn)

[1] Software Considerations in AirborneSystems and Equipment Certification.RTCA Document D0-178C， 2011.

[2] IEEE Standard Dictionary ofMeasures of the Software Aspects ofDependability. IEEE Std 982. 1-2005.

[3] Software Service History Handbook.U.D. Ferrell and T.K.Ferrell， FAA AR-01/116，2002.

[4] Supporting Information for DO-178C and D0-278A. RTCA Document DO-248C.2011.