鄺安玄，郭 勇，馮思桐

(航空工業(yè)西安航空計算技術(shù)研究所，陜西 西安 710076)

0 引言

近年來，數(shù)字電子和信息技術(shù)日益增進(jìn)的發(fā)展趨勢，對機(jī)載設(shè)備的支持提出了具備復(fù)雜且全面的機(jī)載軟件新需求。現(xiàn)代機(jī)載計算機(jī)應(yīng)該確保其操作的可靠性和機(jī)上人身安全[1-4]。數(shù)字化機(jī)載設(shè)備和系統(tǒng)的研發(fā)過程應(yīng)該確保飛機(jī)在臨界飛行條件下可靠運(yùn)行。例如在飛行員操控飛行期間，環(huán)境空氣壓力和溫度變化以及線性過載的情況；在惡劣天氣條件下，飛機(jī)臨近著陸時，儀表降落系統(tǒng)軟件故障情況；以及在指示目標(biāo)/選擇武器類型/戰(zhàn)斗飛行過程中頭盔武器控制系統(tǒng)損壞的情況。

1 DO-178C介紹

為了嚴(yán)格滿足電子航空設(shè)備及其專用航空電子軟件開發(fā)過程的可靠性相關(guān)要求，專家們制定了相關(guān)標(biāo)準(zhǔn)，如軟件標(biāo)準(zhǔn)DO-178C，硬件標(biāo)準(zhǔn)DO-254，標(biāo)準(zhǔn)化支持文檔(ARP 4761和ARP 4754A)，如圖1所示。

圖1 遵循標(biāo)準(zhǔn)DO-178C的航空電子設(shè)備和軟件的研發(fā)流程圖

標(biāo)準(zhǔn)ARP 4761是一套確保軟件達(dá)到一定可裝機(jī)標(biāo)準(zhǔn)的流程和技術(shù)。該標(biāo)準(zhǔn)以對飛機(jī)、機(jī)組、乘客的影響為評判準(zhǔn)則將失效狀態(tài)的危險等級分為5類，并明確了各危險等級失效狀態(tài)影響，如表1所示。標(biāo)準(zhǔn)ARP 4754A則是一套針對軟硬件的實用性系統(tǒng)要求。

表1 危險等級失效狀態(tài)及影響

標(biāo)準(zhǔn)DO-178C是國際航空領(lǐng)域用于機(jī)載電子設(shè)備軟件研發(fā)和過程認(rèn)證的基礎(chǔ)，由核心文件和補(bǔ)充文件兩部分組成(DO-331、DO-332、DO-333以及DO-330、DO-248C、DO-278A)，這些標(biāo)準(zhǔn)定義了在軟件開發(fā)過程中需要提供的附加需求和活動，具體取決于采用的實現(xiàn)技術(shù)如圖2。

圖2 DO-178C標(biāo)準(zhǔn)的組成部分

標(biāo)準(zhǔn)DO-331使用基于模型的開發(fā)和驗證描述軟硬件。計算編程算法或其他部分使用外部工具實現(xiàn)的，設(shè)計過程通過多組合的數(shù)學(xué)運(yùn)算執(zhí)行，需要經(jīng)過測試和驗證，最終實現(xiàn)自動生成基于軟件代碼的圖表。

標(biāo)準(zhǔn)DO-332適用于使用面向?qū)ο缶幊陶Z言(包括C++、Java、Ada)的項目。其根本目標(biāo)是驗證軟件是否遵循三個核心技術(shù)，即繼承、多態(tài)和動態(tài)鏈接。此標(biāo)準(zhǔn)表現(xiàn)為，當(dāng)同名方法在相同的類層次結(jié)構(gòu)中出現(xiàn)時，調(diào)用相關(guān)的類時會執(zhí)行適當(dāng)?shù)姆椒ā?/p>

標(biāo)準(zhǔn)DO-333對機(jī)載軟件安全性標(biāo)準(zhǔn)DO-178C關(guān)于形式化方法的補(bǔ)充，指出了需要形式化描述的軟件制品以及從中能獲得的驗證證據(jù)。它是軟件開發(fā)和驗證過程適用的精確性技術(shù)。形式化方法描述了在軟件開發(fā)、測試、啟動和修改過程中對未經(jīng)驗證的軟件工具的輸出進(jìn)行評估，從而驗證其實用程度是否滿足安全性假設(shè)要求[1-3]。

標(biāo)準(zhǔn)DO-248C是DO-178C的補(bǔ)充文件，用于解釋其中難以理解和存疑的方面。

上述條件成為了建立支持機(jī)載軟件生命周期管理的基礎(chǔ)。

2 DO-178C中軟件生命周期數(shù)據(jù)

DO-178C規(guī)定了二十種軟件研制生命周期中產(chǎn)生的數(shù)據(jù)，這些數(shù)據(jù)用來證明軟件實現(xiàn)了不同等級軟件在不同階段所設(shè)定的目標(biāo)。審定局方就是通過審查這些輸出數(shù)據(jù)來評估申請人軟件研制流程中目標(biāo)的實現(xiàn)情況，軟件研制生命周期數(shù)據(jù)及簡要說明見表2所示。

表2 軟件研制生命周期數(shù)據(jù)及簡要說明

3 DO-178C中軟件生命周期過程

機(jī)載軟件的生命周期與多種不同類型的關(guān)聯(lián)性任務(wù)的實現(xiàn)相關(guān)，其目標(biāo)是設(shè)計和開發(fā)滿足訂購方要求的符合質(zhì)量的軟件，同時確保所設(shè)計的軟件達(dá)到所需的安全級別[4-6]。

標(biāo)準(zhǔn)DO-178C定義了三個主要過程，即軟件規(guī)劃、開發(fā)和集成。在被選領(lǐng)域內(nèi)三大過程是并發(fā)的，這意味著一個過程的開始不必在前一個過程完成后進(jìn)行。例如，對已編碼的軟件部件進(jìn)行測試可以在全部編碼完成階段之前開始。

軟件生命周期模型有很多，模型中的主要階段包括收集需求和分析，軟件設(shè)計、開發(fā)、測試和實現(xiàn)。這些階段都允許回退到以前狀態(tài)，允許執(zhí)行任務(wù)之間的交互，這在檢測需要修復(fù)的軟件問題時是尤為重要的[7-10]。

3.1 軟件規(guī)劃過程

軟件規(guī)劃涉及與計劃和標(biāo)準(zhǔn)相關(guān)的過程，在此之后軟件開發(fā)將遵循這些過程。在此階段，標(biāo)準(zhǔn)DO-178C定義了五個主要計劃和三個軟件標(biāo)準(zhǔn)，以及軟件認(rèn)證所需的其他文檔，見章節(jié)2。

生命周期各階段關(guān)鍵節(jié)點符合性證據(jù)評審是根據(jù)DO-178C標(biāo)準(zhǔn)相關(guān)章節(jié)對應(yīng)要求，對各級別軟件各階段需生成的生命周期數(shù)據(jù)進(jìn)行技術(shù)評價的活動。

軟件生命周期數(shù)據(jù)評審是根據(jù)項目進(jìn)展需求(試驗節(jié)點、項目問題、評審要求等)，對軟件某一項或幾項生命周期數(shù)據(jù)進(jìn)行的技術(shù)評價活動。

3.2 軟件開發(fā)過程

軟件開發(fā)過程包括了四個過程：

·軟件需求過程，高層需求(HLRs)的開發(fā)；

·軟件設(shè)計過程，底層需求(LLRs)和基于高層需求的軟件架構(gòu)的開發(fā)；

·編碼過程，創(chuàng)建源代碼和非集成的目標(biāo)代碼；

·軟件集成過程，包括將軟件整合成可執(zhí)行程序的形式，并與外部設(shè)備集成。

HLRs是基于系統(tǒng)架構(gòu)和系統(tǒng)需求實現(xiàn)的。HLRs包括時間波形、內(nèi)存管理、與外部設(shè)備的連接、響應(yīng)和檢測錯誤的方法、系統(tǒng)運(yùn)行監(jiān)控和軟件分區(qū)，以及與外部設(shè)備的連接描述，數(shù)據(jù)流的定義和方式，通信機(jī)制和軟件組件。

編碼過程是將LLRs轉(zhuǎn)換為源代碼和預(yù)編譯的目標(biāo)代碼。集成過程包括編譯和合并編譯后的代碼到可執(zhí)行應(yīng)用程序(一或多個)，并將該軟件嵌入到機(jī)載設(shè)備上。

軟件開發(fā)過程決定一個或多個系統(tǒng)需求級別。軟件需求過程利用軟件生命周期過程輸出來創(chuàng)建高層需求。軟件需求數(shù)據(jù)定義高層需求，包括訂購方提出的需求。這些數(shù)據(jù)應(yīng)該包括軟件系統(tǒng)需求分配的描述，具體數(shù)據(jù)應(yīng)涉及安全要求和潛在的錯誤條件，每個運(yùn)行模式的功能和操作要求，性能標(biāo)準(zhǔn)(如精度和準(zhǔn)確性)，與時間相關(guān)的要求和限制，內(nèi)存大小限制，硬件和軟件接口(例如協(xié)議，格式，輸入/輸出頻率)，錯誤檢測，安全監(jiān)控，以及軟件分區(qū)的要求(分離的軟件組件如何協(xié)作)和各組件的軟件級別。

機(jī)載軟件設(shè)計過程的輸入包括軟件需求、軟件開發(fā)計劃和軟件設(shè)計標(biāo)準(zhǔn)。如果滿足了計劃的轉(zhuǎn)換標(biāo)準(zhǔn)，則在制造過程中使用高層需求來創(chuàng)建軟件架構(gòu)和底層需求。這些過程的基本輸出是設(shè)計描述，包含軟件架構(gòu)和底層需求。數(shù)據(jù)應(yīng)該包括軟件如何滿足高層需求的詳細(xì)描述，算法和數(shù)據(jù)結(jié)構(gòu)，以及軟件需求如何與過程和任務(wù)相對應(yīng)。它還應(yīng)該提供定義軟件結(jié)構(gòu)的軟件架構(gòu)描述，包括實現(xiàn)的需求、輸入/輸出描述(例如數(shù)據(jù)字典、設(shè)計中的數(shù)據(jù)和控制流)、資源限制、資源及其限制的管理策略、邊距以及測量邊距的方法(例如時間和內(nèi)存，排序程序)。描述應(yīng)該包括內(nèi)處理器和任務(wù)內(nèi)通信機(jī)制，包括固定的中斷時間序列，設(shè)計方法，以及它們的實現(xiàn)細(xì)節(jié)(例如軟件加載)。描述的一個重要元素是用戶修改的軟件、分區(qū)方法和防止分區(qū)破壞的措施，以及軟件組件的描述(無論它們是新的還是以前制造的)和對下載它們的基準(zhǔn)版本的引用。該描述還應(yīng)該包括軟件設(shè)計過程中產(chǎn)生的派生需求。如果一個系統(tǒng)包含一個非激活代碼，則在與其安全性相關(guān)的系統(tǒng)需求中直接包含用于在目標(biāo)計算機(jī)上激活該代碼的安全措施的描述和設(shè)計決策的證明。當(dāng)軟件設(shè)計過程的目標(biāo)和相關(guān)集成過程的目標(biāo)實現(xiàn)時，軟件設(shè)計過程即完成。在軟件編碼過程中，源代碼是基于軟件架構(gòu)和底層需求實現(xiàn)的。編碼過程輸入是來自軟件設(shè)計過程、軟件開發(fā)計劃和軟件編碼標(biāo)準(zhǔn)的底層需求和軟件架構(gòu)。軟件編碼過程可以在滿足計劃的轉(zhuǎn)換標(biāo)準(zhǔn)時開始。源代碼是在這個過程中開發(fā)的，并基于系統(tǒng)架構(gòu)和底層需求。在集成過程中，使用目標(biāo)計算機(jī)和來自軟件編寫的源代碼來編譯、合并和加載數(shù)據(jù)；其目的是整合航空電子系統(tǒng)或其設(shè)備組成部分。

3.3 集成過程

集成過程包括了四個詳細(xì)的過程：

·軟件認(rèn)證期的溝通；

·軟件認(rèn)證的需求管理；

·軟件認(rèn)證中的驗證；

·軟件認(rèn)證的質(zhì)量評估。

認(rèn)證期溝通過程是成功完成軟件認(rèn)證的一個必不可少的環(huán)節(jié)，涉及申請人和認(rèn)證機(jī)構(gòu)之間的持續(xù)合作和溝通，貫穿于整個軟件生命周期。申請人需要確定定義軟件滿足基本認(rèn)證要求的合規(guī)性措施。

需求管理過程涵蓋了所有用于軟件開發(fā)和驗證的數(shù)據(jù)和文檔，同樣貫穿于整個軟件生命周期。管理需求在軟件開發(fā)階段識別、組織和控制變更，其目標(biāo)是在最小化錯誤的同時達(dá)到最高的效率。需求管理方法與機(jī)載設(shè)備損毀程度相關(guān)。

軟件驗證過程包括檢測和描述從軟件規(guī)劃階段到開發(fā)階段引入的錯誤。

質(zhì)量評估過程用于證明軟件符合假定要求和標(biāo)準(zhǔn)，即產(chǎn)品滿足訂購方的期望。軟件質(zhì)量評估是一個持續(xù)的過程，它從計劃階段開始一直持續(xù)到開發(fā)和測試階段，直到最終產(chǎn)品交付[4]。

4 結(jié)論

本文詳細(xì)描述了DO-178C標(biāo)準(zhǔn)中三個主要工程過程——軟件規(guī)劃、開發(fā)和集成。整個軟件研制過程通過過程來實現(xiàn)目標(biāo)，通過過程來產(chǎn)生軟件生命周期數(shù)據(jù)，同時通過軟件生命周期數(shù)據(jù)來證明實現(xiàn)的目標(biāo)。機(jī)載軟件生命周期管理方法進(jìn)行的分析和設(shè)計工作所得到的結(jié)果，對飛機(jī)飛行期間的機(jī)載軟件安全性起到重要的保障作用。本文限于篇幅未對不同等級軟件在不同階段要實現(xiàn)的目標(biāo)進(jìn)行概論。