周 紅 江玉峰

(中電科航空電子有限公司，成都 611731)

0 引言

隨著民用飛機(jī)研制周期的大大縮短，機(jī)載設(shè)備研制節(jié)奏也隨之加快。在短時間內(nèi)研制出安全、可靠、功能強(qiáng)大且成本更低的機(jī)載設(shè)備，是制造商們的迫切愿望。用戶微編碼器件在電子硬件設(shè)計(jì)中的便捷性與高效性，使其在機(jī)載設(shè)備研制中廣泛被使用。用戶微編碼器件高度集成且復(fù)雜，開發(fā)過程中產(chǎn)生的設(shè)計(jì)錯誤難以通過傳統(tǒng)的測試分析方法進(jìn)行管理和評估，而這些設(shè)計(jì)錯誤會對飛機(jī)功能的實(shí)現(xiàn)造成影響，進(jìn)而影響飛機(jī)安全性。因此，各國局方普遍采用研制保證(又稱“過程保證”)方法對其進(jìn)行管理。但在實(shí)際項(xiàng)目使用中，用戶微編碼器件可能實(shí)現(xiàn)的功能較為簡單，制造商希望采用工作量更少，成本更低的測試分析方法來表明其適航符合性。在缺乏明確要求的情況下，本文旨在通過對現(xiàn)有適航咨詢通告、工業(yè)標(biāo)準(zhǔn)及實(shí)踐指南的研究，梳理出通過測試分析方法表明簡單用戶微編碼器件(以下簡稱“SEH”)符合性需滿足的適航要求。

1 用戶微編碼器件

用戶微編碼器件的名稱來源于美國聯(lián)邦航空局(FAA)發(fā)布的咨詢通告(AC 20-152)，其定義為被封裝成可在電路板或更高層級組件上安裝使用的單一集成電路器件[1]。用戶微編碼器件是20世紀(jì)70年代發(fā)展起來的一種新型邏輯器件，其應(yīng)用和發(fā)展不僅簡化了電路設(shè)計(jì)，降低了成本，提高了系統(tǒng)的可靠性和保密性，還給數(shù)字系統(tǒng)設(shè)計(jì)帶來了革命性變化。用戶微編碼器件發(fā)展至今，已形成多種型別，包括小規(guī)模集成的可編程只讀存儲器(PROM)、可編程陣列邏輯(PAL)和通用可編程陣列邏輯(GAL)，以及大規(guī)模集成的復(fù)雜可編程邏輯器件(CPLD)和現(xiàn)場可編程門陣列(FPGA)。

2 國內(nèi)外研究現(xiàn)狀

為確保在民航領(lǐng)域的使用安全，美國聯(lián)邦航空局(FAA)于2008年7月發(fā)布指令(Order 8110.105)，對用戶微編碼器件的使用進(jìn)行管理[2]。FAA還將其分為簡單和復(fù)雜兩類，并指出簡單類型有兩種可接受的符合性方法。一種是研制保證，即采用已計(jì)劃并開展的系統(tǒng)性活動證明，用戶微編碼器件的開發(fā)錯誤已被識別和糾正，且滿足適用的審定基礎(chǔ)；另一種是測試分析，即通過充分的確定性測試和分析相結(jié)合的方法證明用戶微編碼器件的適航符合性。另外，F(xiàn)AA除在指令中提出針對SEH的要求外，還額外發(fā)布支持文件(如CAST Position paper)對要求進(jìn)行詳細(xì)說明[3]。歐洲航空安全局(EASA)和加拿大民用航空運(yùn)輸部(TCCA)則分別發(fā)布審查備忘錄(CM-SWCEH-001 Issue 01 Revision 02)和電子硬件審查手冊(CM E-02)，提出針對SEH的管理要求。

目前，國內(nèi)還未發(fā)布關(guān)于SEH的適航規(guī)章要求。但在實(shí)際審查時，審查方會針對具體項(xiàng)目中使用的SEH提出專門的審查要求。

3 國外要求分析和研究

本文僅討論采用測試分析方法表明SEH適航符合性的通用要求，其它額外要求(如工具評估及鑒定、先前開發(fā)硬件等)不在考慮范圍。

3.1 FAA管理要求

審定計(jì)劃(PHAC)需滿足DO-254指南要求，還需包含SEH清單、器件實(shí)現(xiàn)功能、器件失效影響、建議符合性方法、器件研制保證等級(DAL)及輸出數(shù)據(jù)等[4]。

確認(rèn)方面，需識別和確認(rèn)衍生需求，記錄確認(rèn)活動，并對記錄進(jìn)行合理構(gòu)型管理[5]。A和B級SEH的確認(rèn)活動需具備獨(dú)立性。驗(yàn)證方面，需驗(yàn)證A級和B級SEH，在輸入信號及內(nèi)部狀態(tài)所有可能的排列、組合和并發(fā)條件下，能夠正常工作，不產(chǎn)生異常行為，并開展驗(yàn)證目標(biāo)覆蓋率及時序分析。驗(yàn)證C級SEH，在輸入信號所有可能的排列和組合條件下，能夠正常工作，并驗(yàn)證狀態(tài)機(jī)所有可能狀態(tài)[6]。驗(yàn)證D級SEH滿足硬件需求。

追溯性方面，A級和B級SEH，需建立硬件需求(直接分配的系統(tǒng)需求)、概念設(shè)計(jì)、詳細(xì)設(shè)計(jì)及實(shí)現(xiàn)之間的追溯；建立硬件需求、概念設(shè)計(jì)、詳細(xì)設(shè)計(jì)及實(shí)現(xiàn)與驗(yàn)證和確認(rèn)結(jié)果的追溯。C級和D級SEH，建立需求與測試的追溯。構(gòu)型管理方面，識別構(gòu)型項(xiàng)，并開展變更控制及問題報(bào)告管理。建議提交數(shù)據(jù)包括PHAC、硬件驗(yàn)證計(jì)劃(HVEP)、硬件研制綜述(HAS)及硬件構(gòu)型索引(HCI)等。

3.2 EASA管理要求

SEH是通過符合其DAL要求的充分的確定性測試和分析，能夠證明在所有預(yù)期條件下可正確實(shí)現(xiàn)功能，不存在異常行為的器件。

驗(yàn)證方面，需驗(yàn)證A級和B級SEH，在器件內(nèi)所有邏輯塊(門或節(jié)點(diǎn))輸入狀態(tài)的所有可能排列、組合及并發(fā)條件下，能夠?qū)崿F(xiàn)預(yù)期功能。驗(yàn)證C級SEH，在器件管腳級輸入的所有可能排列、組合及并發(fā)條件下，能夠?qū)崿F(xiàn)預(yù)期功能，并驗(yàn)證狀態(tài)機(jī)所有狀態(tài)。驗(yàn)證D級SEH滿足硬件需求。所有SEH，需完成需求驗(yàn)證，并開展驗(yàn)證覆蓋率分析[7]。

對SEH進(jìn)行合理構(gòu)型控制。提交數(shù)據(jù)包括PHAC、硬件開發(fā)計(jì)劃(HDP)、硬件確認(rèn)計(jì)劃(HVAP)、HVEP、硬件構(gòu)型管理計(jì)劃(HCMP)、供應(yīng)商管理計(jì)劃(SMP)、HAS及HCI。

3.3 TCCA管理要求

SEH是通過確定性測試和分析的充分組合，能夠證明在所有預(yù)期工作條件下，可正確實(shí)現(xiàn)功能，不存在異常行為的器件。

PHAC需列出SEH清單，說明器件供應(yīng)商、器件實(shí)現(xiàn)功能、器件DAL及建議符合性方法等[8]。

驗(yàn)證要求與EASA一致。追溯性方面，A級和B級SEH需完成系統(tǒng)需求、硬件架構(gòu)設(shè)計(jì)及硬件需求、概念設(shè)計(jì)、詳細(xì)設(shè)計(jì)與實(shí)現(xiàn)的追溯。C級和D級SEH完成硬件需求與測試用例的追溯。

構(gòu)型管理要求與EASA要求一致。提交數(shù)據(jù)包括HAS、頂層圖紙及所有符合性報(bào)告。

3.4 DO-254指南要求

SEH是通過符合其DAL要求的確定性測試和分析的充分組合，能夠證明在所有預(yù)期工作條件下，可正確實(shí)現(xiàn)功能，不存在異常行為的器件[9]。

驗(yàn)證和構(gòu)型管理過程要求對SEH適用。

3.5 要求對比與分析

國外各方對SEH的要求匯總?cè)绫?所示。

表1 SEH要求匯總表

通過對各方要求的分析和總結(jié)，可看出：

1)SEH要求可分類為器件定義、審定計(jì)劃、確認(rèn)、驗(yàn)證、追溯性、構(gòu)型管理和提交數(shù)據(jù)；

2)器件定義、審定計(jì)劃、驗(yàn)證、構(gòu)型管理及提交數(shù)據(jù)方面，各方都提出要求且基本一致；

3)FAA和TCCA立場一致的提出追溯性要求；

4)僅FAA提出確認(rèn)要求。

TCCA的SEH定義與其他方不同，缺少關(guān)鍵詞DAL。由于所實(shí)現(xiàn)功能存在不同DAL要求，且對SEH的測試和分析也應(yīng)充分考慮DAL差異，因此在SEH定義中增加DAL約束是有必要的。

追溯活動建立了系統(tǒng)需求、硬件需求、硬件設(shè)計(jì)、硬件實(shí)現(xiàn)與硬件確認(rèn)和驗(yàn)證之間的聯(lián)系，對確保需求分配、實(shí)現(xiàn)及驗(yàn)證的正確性和完整性有重要意義[10]。

硬件需求的正確性與完整性是保證項(xiàng)目成功的基礎(chǔ)。硬件需求包含系統(tǒng)分配的需求和衍生需求，衍生需求可能會對安全性造成影響。EASA在審查備忘錄第8.4.1節(jié)要求對所有硬件需求進(jìn)行確認(rèn)，而FAA在指令第4.4節(jié)僅要求對衍生需求進(jìn)行確認(rèn)。另外，DO-254指南第6.1節(jié)指出確認(rèn)過程是確保衍生需求正確性和完整性所不可或缺的。因此，在考慮系統(tǒng)分配到硬件的需求由系統(tǒng)進(jìn)行確認(rèn)的情況下，增加衍生需求的確認(rèn)工作是合理的。

4 適航要求考慮

通過上述分析和研究，建議從如下幾個方面考慮針對SEH的管理。

1)SEH器件定義

通過采用符合其DAL要求的充分確定性測試和分析相結(jié)合的方法，能夠證明在所有預(yù)期的工作條件下可正確實(shí)現(xiàn)其功能，而不存在其它異常行為的器件。

2)審定計(jì)劃

PHAC除需包含DO-254指南第10.1.1節(jié)內(nèi)容外，還需包含SEH清單、器件實(shí)現(xiàn)功能、器件DAL要求、建議的符合性方法、提交數(shù)據(jù)及器件使用經(jīng)驗(yàn)說明(按需)等。

3)確認(rèn)要求

識別和確認(rèn)衍生需求，并根據(jù)DO-254指南第6.1.2節(jié)準(zhǔn)則檢查確認(rèn)活動完整性；記錄確認(rèn)活動，并根據(jù)DAL及DO-254指南附錄A要求對確認(rèn)活動記錄進(jìn)行管理；捕獲異常和邊界條件下，期望A級和B級SEH的輸出為需求；A級和B級SEH的確認(rèn)活動需滿足獨(dú)立性。

4)驗(yàn)證要求

建議的驗(yàn)證要求為：

(1)A級和B級SEH，在器件內(nèi)所有邏輯塊(門或節(jié)點(diǎn))輸入狀態(tài)的所有可能排列、組合和并發(fā)條件下，能夠?qū)崿F(xiàn)預(yù)期功能[11]；完成需求驗(yàn)證，并開展驗(yàn)證目標(biāo)覆蓋率分析；開展時序分析，并考慮最好和最壞時序條件、潛在時鐘偏移、溫度變化、輸入信號建立時間與保持時間等問題。

(2)C級SEH，在器件管腳級輸入信號所有可能排列、組合和并發(fā)條件下，能夠?qū)崿F(xiàn)預(yù)期功能，且完成狀態(tài)機(jī)所有可能狀態(tài)驗(yàn)證；完成需求驗(yàn)證，并開展驗(yàn)證目標(biāo)覆蓋率分析；開展時序分析，要求與A級和B級一致。

(3)D級和E級SEH，驗(yàn)證硬件實(shí)現(xiàn)滿足硬件需求，且覆蓋所有需求；

(4)采用分區(qū)設(shè)計(jì)或者其它手段來證明器件為簡單時，需開展分區(qū)完整性的驗(yàn)證；

(5)開展驗(yàn)證規(guī)程和驗(yàn)證用例評審，確保規(guī)程與用例適用于追溯的需求，且需求被正確和完整的覆蓋。

5)追溯性

(1)A級和B級SEH，需建立系統(tǒng)需求、硬件需求、硬件設(shè)計(jì)與硬件實(shí)現(xiàn)之間的追溯；建立硬件需求、設(shè)計(jì)及實(shí)現(xiàn)與硬件驗(yàn)證及確認(rèn)結(jié)果之間的追溯；

(2)C級、D級和E級SEH，建立硬件需求與硬件確認(rèn)和驗(yàn)證結(jié)果之間的追溯。

6)構(gòu)型管理

識別構(gòu)型項(xiàng)，按照DO-254指南開展變更控制及問題報(bào)告管理。每次審查前，需建立審查基線，關(guān)閉必要的問題報(bào)告。對已批準(zhǔn)設(shè)計(jì)進(jìn)行變更時，需證明從批準(zhǔn)基線開始即開展構(gòu)型項(xiàng)的變更控制及問題報(bào)告的管理。

7)提交數(shù)據(jù)

提交數(shù)據(jù)包括PHAC、HVEP、HVAP、HAS、HCI及其它符合性報(bào)告。與審查方達(dá)成一致后，如下數(shù)據(jù)可不提交，但需備查，如系統(tǒng)需求、硬件需求、HDL代碼、硬件評審和分析規(guī)程、硬件評審和分析結(jié)果、硬件測試規(guī)程、硬件測試結(jié)果、問題報(bào)告及硬件構(gòu)型管理記錄等。

5 結(jié)論

本文主要描述了民用航空機(jī)載設(shè)備中用戶微編碼器件的使用背景，介紹了用戶微編碼器件的主要特性及發(fā)展情況，闡述了國內(nèi)外主流局方對于SEH的管理要求，并通過對國外采用的SEH管理要求的分析和研究，梳理出適用于具體項(xiàng)目研制的SEH管理要求及關(guān)鍵要素，為民用航空機(jī)載設(shè)備適航驗(yàn)證過程中采用充分的確定性測試和分析相結(jié)合的方法表明簡單用戶微編碼器件的適航符合性提供一定的指導(dǎo)和幫助。