DO-254標(biāo)準(zhǔn)中的確認(rèn)與驗(yàn)證過(guò)程分析

高 虎 劉 媛 劉子宜

（1.中航工業(yè)綜合技術(shù)研究所，北京 100028； 2.駐京昌地區(qū)軍事代表室，北京 100041）

DO-254《機(jī)載電子硬件設(shè)計(jì)保證指南》[1]，為航空機(jī)載系統(tǒng)和設(shè)備的復(fù)雜電子硬件設(shè)計(jì)提供了質(zhì)量保證指導(dǎo)，于2005年獲得FAA（聯(lián)邦航空管理局）正式認(rèn)可。

DO-254的采納與實(shí)施會(huì)給實(shí)際項(xiàng)目帶來(lái)很多益處，如更多的前期需求與設(shè)計(jì)明確化，更少的設(shè)計(jì)迭代，更早的發(fā)現(xiàn)需求與設(shè)計(jì)缺陷，更好的確保需求與實(shí)現(xiàn)的一致性，更完善的配置管理，更高的設(shè)計(jì)復(fù)用性等，因此該標(biāo)準(zhǔn)在美國(guó)航空領(lǐng)域的軍工企業(yè)得到普遍采納，如雷神、諾斯洛普?杜魯門(mén)、洛克希德?馬丁等企業(yè)均將該標(biāo)準(zhǔn)作為開(kāi)展機(jī)載電子硬件研制開(kāi)發(fā)工程化管理的指導(dǎo)性文件。目前，該標(biāo)準(zhǔn)也在歐洲被歐空局、瑞典薩博公司等多家機(jī)構(gòu)和企業(yè)采納。

DO-254標(biāo)準(zhǔn)描述了機(jī)載電子硬件全生命周期的目標(biāo)要求，規(guī)定了全生命周期定義和階段的劃分，針對(duì)器件全生命周期提出機(jī)構(gòu)職責(zé)、計(jì)劃、每個(gè)階段的目標(biāo)及技術(shù)要求[2]。確認(rèn)和驗(yàn)證過(guò)程覆蓋于機(jī)載電子硬件設(shè)計(jì)生命的全周期，是復(fù)雜機(jī)載電子硬件設(shè)計(jì)質(zhì)量保證的最重要方式。為此，本文針對(duì)DO-254的確認(rèn)與驗(yàn)證過(guò)程進(jìn)行分析與研究，提出實(shí)施建議，為工程實(shí)踐過(guò)程中的確認(rèn)與驗(yàn)證活動(dòng)提供參考。

1 硬件設(shè)計(jì)生命周期

DO-254描述的機(jī)載電子硬件設(shè)計(jì)生命周期包括：

1）硬件策劃過(guò)程，定義和協(xié)調(diào)一個(gè)項(xiàng)目的硬件設(shè)計(jì)過(guò)程及支持過(guò)程的活動(dòng)。

2）硬件設(shè)計(jì)過(guò)程，生成設(shè)計(jì)數(shù)據(jù)和相應(yīng)的硬件項(xiàng)，包括：需求獲取、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、實(shí)現(xiàn)和生產(chǎn)轉(zhuǎn)化。

3）支持過(guò)程，產(chǎn)生硬件設(shè)計(jì)生命周期數(shù)據(jù)，以保證硬件設(shè)計(jì)生命周期及其輸出的正確性及可控性，包括策劃、設(shè)計(jì)、硬件安全性評(píng)估和支持過(guò)程。這些過(guò)程通常與策劃和設(shè)計(jì)過(guò)程同時(shí)進(jìn)行。

確認(rèn)和驗(yàn)證與配置管理、過(guò)程保證和認(rèn)證驗(yàn)收一起構(gòu)成了支持過(guò)程的主要活動(dòng)，如圖1所示，確認(rèn)和驗(yàn)證過(guò)程覆蓋硬件設(shè)計(jì)過(guò)程的各個(gè)環(huán)節(jié)。

圖1 機(jī)載電子硬件設(shè)計(jì)生命周期

2 確認(rèn)和驗(yàn)證目標(biāo)

根據(jù)DO-254的規(guī)定，確認(rèn)活動(dòng)的目的是通過(guò)主、客觀過(guò)程相結(jié)合的方法，保證派生需求相對(duì)于分配給硬件的系統(tǒng)需求是正確和完整的。確認(rèn)過(guò)程主要針對(duì)的是派生需求，而不是系統(tǒng)分配的需求?；诖_認(rèn)過(guò)程的目標(biāo)，影響系統(tǒng)安全性的設(shè)計(jì)決策或分配給系統(tǒng)其它部件的功能需求均屬于派生需求，均需要確認(rèn)。在確認(rèn)過(guò)程中發(fā)現(xiàn)的需求遺漏和錯(cuò)誤需提供給相應(yīng)的過(guò)程，用于決策。

驗(yàn)證過(guò)程的目的是保證硬件設(shè)計(jì)實(shí)現(xiàn)符合需求。通過(guò)驗(yàn)證過(guò)程建立需求、實(shí)現(xiàn)與驗(yàn)證之間的追溯性，并將驗(yàn)證過(guò)程中發(fā)現(xiàn)的需求遺漏和錯(cuò)誤提供給相應(yīng)的過(guò)程，用于決策。

3 確認(rèn)和驗(yàn)證過(guò)程

3.1 確認(rèn)和驗(yàn)證策劃

DO-254中指出，確認(rèn)和驗(yàn)證過(guò)程貫穿于整個(gè)硬件設(shè)計(jì)生命周期。從實(shí)際實(shí)施層面考慮，確認(rèn)和驗(yàn)證的時(shí)機(jī)可在硬件開(kāi)發(fā)的整個(gè)生命周期中進(jìn)行，但在開(kāi)發(fā)生命周期早期開(kāi)展有效的確認(rèn)和驗(yàn)證，可以有效減少設(shè)計(jì)缺陷以及缺陷修改成本。因此，建議在制定一個(gè)硬件開(kāi)發(fā)計(jì)劃時(shí)，同時(shí)也應(yīng)該制定相應(yīng)的確認(rèn)和驗(yàn)證計(jì)劃。

在項(xiàng)目策劃階段，為確認(rèn)和驗(yàn)證制定計(jì)劃，包括確認(rèn)和驗(yàn)證策略、確認(rèn)和驗(yàn)證內(nèi)容、確認(rèn)和驗(yàn)證的標(biāo)準(zhǔn)、驗(yàn)證環(huán)境、驗(yàn)證級(jí)別、進(jìn)度安排等。對(duì)于項(xiàng)目派生需求的確認(rèn)以及項(xiàng)目的驗(yàn)證，確認(rèn)計(jì)劃和驗(yàn)證計(jì)劃需描述要采用的程序、方法、標(biāo)準(zhǔn)以及要進(jìn)行的過(guò)程和活動(dòng)，才能達(dá)到DO-254的確認(rèn)和驗(yàn)證目標(biāo)。這個(gè)計(jì)劃可包含在硬件方面認(rèn)證計(jì)劃（PHAC）中，也可單獨(dú)編制。

3.1.1 確認(rèn)計(jì)劃內(nèi)容

確認(rèn)計(jì)劃應(yīng)包含：

1）確認(rèn)方法。描述和引用要使用的確認(rèn)程序、標(biāo)準(zhǔn)和方法。方法可以包括分析、評(píng)審和測(cè)試。

2）確認(rèn)數(shù)據(jù)。確定并描述要輸出的作為硬件確認(rèn)過(guò)程結(jié)果的證據(jù)。

3） 確認(rèn)環(huán)境。確定并描述進(jìn)行確認(rèn)過(guò)程活動(dòng)要采用的分析和測(cè)試設(shè)備，以及確認(rèn)工具。

3.1.2 驗(yàn)證計(jì)劃內(nèi)容

驗(yàn)證計(jì)劃應(yīng)包含：

1）驗(yàn)證方法。描述并引用用來(lái)提供項(xiàng)目完整性的目標(biāo)證據(jù)的驗(yàn)證策略、程序、標(biāo)準(zhǔn)和方法。方法可以包括分析、評(píng)審和測(cè)試。

2）驗(yàn)證數(shù)據(jù)。作為硬件驗(yàn)證過(guò)程的結(jié)果，確定并描述要產(chǎn)生的證據(jù)。

3）驗(yàn)證獨(dú)立性。對(duì)要求獨(dú)立驗(yàn)證的目標(biāo)，描述用來(lái)保證驗(yàn)證獨(dú)立性的方法。

4） 驗(yàn)證環(huán)境。確定并描述實(shí)現(xiàn)驗(yàn)證過(guò)程活動(dòng)要使用的分析和測(cè)試設(shè)備，以及驗(yàn)證工具。

5）組織職責(zé)。確定實(shí)現(xiàn)驗(yàn)證過(guò)程的組織職責(zé)。

3.2 確認(rèn)和驗(yàn)證實(shí)施

3.2.1 確認(rèn)過(guò)程的實(shí)施

確認(rèn)過(guò)程可通過(guò)一系列活動(dòng)來(lái)滿(mǎn)足，如評(píng)審、仿真、原型、建模、分析、經(jīng)驗(yàn)、工程評(píng)估或測(cè)試等。如圖2確認(rèn)過(guò)程活動(dòng)所示，建議確認(rèn)過(guò)程應(yīng)按照計(jì)劃的確認(rèn)方法，開(kāi)展以下工作：

圖2 確認(rèn)過(guò)程活動(dòng)

1）評(píng)估機(jī)載電子硬件需求的完整性，即逐項(xiàng)確認(rèn)所有分配給機(jī)載電子硬件的系統(tǒng)需求均已定義，并確認(rèn)所有已定義的機(jī)載電子硬件需求均為實(shí)現(xiàn)需求所必須的；

2）評(píng)估機(jī)載電子硬件需求的正確性，即機(jī)載電子硬件需求被明確定義，且定義的需求屬性沒(méi)有錯(cuò)誤；

3）應(yīng)評(píng)估派生的機(jī)載電子硬件需求對(duì)安全性的影響。

3.2.2 驗(yàn)證過(guò)程的實(shí)施

驗(yàn)證過(guò)程采用評(píng)審、分析或測(cè)試的方法對(duì)項(xiàng)目進(jìn)行設(shè)計(jì)與需求的符合性驗(yàn)證，并對(duì)驗(yàn)證結(jié)果進(jìn)行評(píng)估。硬件安全性方面的設(shè)計(jì)考慮要滿(mǎn)足安全性需求，在設(shè)計(jì)過(guò)程的不同階段應(yīng)進(jìn)行驗(yàn)證，以降低設(shè)計(jì)錯(cuò)誤的概率。

已驗(yàn)證的配置在后續(xù)設(shè)計(jì)中進(jìn)行的更改，可以通過(guò)相似性分析、新設(shè)計(jì)測(cè)試激勵(lì)或重用部分原有的驗(yàn)證手段等方法重新驗(yàn)證。若驗(yàn)證后硬件未達(dá)到所策劃的需求，應(yīng)采取適當(dāng)?shù)募m正措施確保實(shí)現(xiàn)與需求的符合性。如圖3所示，建議驗(yàn)證過(guò)程應(yīng)按照計(jì)劃的驗(yàn)證方法，開(kāi)展以下工作：

圖3 驗(yàn)證過(guò)程活動(dòng)

1）設(shè)計(jì)驗(yàn)證的具體實(shí)施方案，對(duì)于應(yīng)用測(cè)試方法進(jìn)行驗(yàn)證的情況，應(yīng)設(shè)計(jì)測(cè)試用例，測(cè)試用例應(yīng)覆蓋所驗(yàn)證層次化設(shè)計(jì)級(jí)別的所有決策內(nèi)容；

2）按照驗(yàn)證計(jì)劃、測(cè)試用例及相關(guān)規(guī)程執(zhí)行驗(yàn)證過(guò)程；

3）開(kāi)發(fā)方應(yīng)根據(jù)驗(yàn)證結(jié)果對(duì)機(jī)載電子硬件進(jìn)行全部必要的修改，并進(jìn)行所有必要的回歸測(cè)試，并根據(jù)需要更新相關(guān)開(kāi)發(fā)文檔；

4 確認(rèn)與驗(yàn)證方法

為了實(shí)現(xiàn)確認(rèn)與驗(yàn)證過(guò)程的目標(biāo)，通常采用的方法有評(píng)審、分析及測(cè)試或三者的組合等。確認(rèn)和驗(yàn)證活動(dòng)應(yīng)基于需求開(kāi)展，每個(gè)階段的確認(rèn)和驗(yàn)證活動(dòng)應(yīng)首先確定需要進(jìn)行確認(rèn)和驗(yàn)證的機(jī)載電子硬件需求及派生需求；建立確認(rèn)和驗(yàn)證過(guò)程與機(jī)載電子硬件需求之間的可追溯性，確保確認(rèn)和驗(yàn)證的覆蓋率，如果覆蓋率未滿(mǎn)足要求，應(yīng)迭代開(kāi)展[3]。

4.1 測(cè)試

測(cè)試是一種最通用的驗(yàn)證方法。關(guān)于機(jī)載電子硬件的測(cè)試，DO-254指出，測(cè)試是一種確認(rèn)硬件對(duì)一個(gè)激勵(lì)或一系列激勵(lì)正確響應(yīng)的方法，可在不同設(shè)計(jì)過(guò)程中進(jìn)行。測(cè)試的方式包括對(duì)項(xiàng)目進(jìn)行功能測(cè)試、系統(tǒng)平臺(tái)測(cè)試、系統(tǒng)確認(rèn)工具測(cè)試和飛機(jī)測(cè)試?？赏ㄟ^(guò)手工、自動(dòng)或?qū)Ｓ脺y(cè)試設(shè)備進(jìn)行[4]。

在驗(yàn)證過(guò)程中，測(cè)試也可利用硬件內(nèi)部的測(cè)試能力，如BIT測(cè)試。若無(wú)法在預(yù)期工作環(huán)境中使用硬件進(jìn)行具體需求的驗(yàn)證，則應(yīng)采用其他有效方法加以驗(yàn)證。

在實(shí)際項(xiàng)目中，建議對(duì)機(jī)載電子硬件從功能測(cè)試、性能測(cè)試、邊界測(cè)試、邏輯測(cè)試、接口測(cè)試等測(cè)試類(lèi)型分別考慮測(cè)試激勵(lì)的設(shè)計(jì)，并充分考慮測(cè)試環(huán)境對(duì)通過(guò)準(zhǔn)則條件及測(cè)試結(jié)果的影響。

4.2 分析

分析是一個(gè)具體的、可重復(fù)的、解析的方法，用于評(píng)估具體項(xiàng)目的特性，來(lái)證明某一具體需求得到滿(mǎn)足。分析的方式包括應(yīng)力分析、設(shè)計(jì)余量分析、共模故障分析、最壞情況分析和測(cè)試覆蓋率分析。分析方法是對(duì)測(cè)試方法的一個(gè)很好的補(bǔ)充，通常情況下，測(cè)試無(wú)法完成對(duì)一些特殊需求的驗(yàn)證，如精度測(cè)試等，此時(shí)建議采用分析的方法。

分析可以包括對(duì)以下內(nèi)容的詳細(xì)檢查：功能、性能、可追溯性、安全性以及與機(jī)載系統(tǒng)中其它功能的關(guān)系等。

分析可以單獨(dú)使用，也可以與其它驗(yàn)證方法結(jié)合使用以提供需求被正確實(shí)現(xiàn)的證據(jù)。分析應(yīng)基于設(shè)計(jì)過(guò)程、服務(wù)履歷提供的數(shù)據(jù)或其它可用的數(shù)據(jù)庫(kù)進(jìn)行。

隨著硬件設(shè)計(jì)復(fù)雜度的提高，利用計(jì)算機(jī)仿真工具來(lái)驗(yàn)證需求和設(shè)計(jì)的實(shí)現(xiàn)成為一種很重要的設(shè)計(jì)分析手段。仿真可分析出硬件參數(shù)變化給系統(tǒng)帶來(lái)的影響，是其它驗(yàn)證方法難以做到的。在項(xiàng)目實(shí)施過(guò)程中，建議提高仿真分析方法的重視，提高設(shè)計(jì)確認(rèn)的完整性。

4.3 評(píng)審

評(píng)審是對(duì)策劃、需求、設(shè)計(jì)數(shù)據(jù)、設(shè)計(jì)概念或設(shè)計(jì)實(shí)現(xiàn)進(jìn)行的定性評(píng)估，憑借參與評(píng)審的人員具備評(píng)審所必須的知識(shí)，以較高的認(rèn)可度證實(shí)需求已經(jīng)得到滿(mǎn)足或?qū)?huì)得到滿(mǎn)足。應(yīng)按照相應(yīng)計(jì)劃，在整個(gè)硬件設(shè)計(jì)生命周期中進(jìn)行評(píng)審。

需求評(píng)審主要的目的是確保所有需求都是明確的、能夠被驗(yàn)證的。

設(shè)計(jì)評(píng)審是一種確定設(shè)計(jì)數(shù)據(jù)和實(shí)現(xiàn)滿(mǎn)足需求的方法。在硬件設(shè)計(jì)生命周期中，應(yīng)按照計(jì)劃多次進(jìn)行設(shè)計(jì)評(píng)審，例如概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)評(píng)審。對(duì)于跨越多個(gè)項(xiàng)目層次的分層設(shè)計(jì)，如ASIC和電路卡，應(yīng)在最有可能保證設(shè)計(jì)正確的地方考慮設(shè)計(jì)評(píng)審。

通過(guò)對(duì)設(shè)計(jì)進(jìn)行評(píng)審可以最大程度地保證一個(gè)設(shè)計(jì)的正確性。在實(shí)際工作中，建議能夠根據(jù)不同的專(zhuān)業(yè)來(lái)成立專(zhuān)門(mén)的、固定的評(píng)審組，以保證評(píng)審的有效性和上、下級(jí)需求之間的協(xié)調(diào)性。在進(jìn)行設(shè)計(jì)評(píng)審時(shí)，應(yīng)開(kāi)發(fā)相應(yīng)專(zhuān)業(yè)的評(píng)審檢查單，以確保明確的評(píng)審判據(jù)，也便于開(kāi)發(fā)人員在正式評(píng)審前進(jìn)行自我檢查，以提高正式評(píng)審的效率。

5 總結(jié)

DO-254 定義了機(jī)載電子硬件開(kāi)發(fā)的需求、設(shè)計(jì)、驗(yàn)證、確認(rèn)、過(guò)程保證的目標(biāo)及活動(dòng)，對(duì)硬件設(shè)計(jì)全過(guò)程提出了一系列要求，而驗(yàn)證和確認(rèn)過(guò)程活動(dòng)在整個(gè)硬件設(shè)計(jì)生命周期中，對(duì)機(jī)載電子硬件的質(zhì)量提供了可靠有效的保證。

機(jī)載電子硬件項(xiàng)目開(kāi)展過(guò)程中，有效、充分的開(kāi)展基于DO-254的機(jī)載電子硬件驗(yàn)證和確認(rèn)活動(dòng)對(duì)終端產(chǎn)品質(zhì)量的提升具有重要意義，建議在航空裝備電子硬件的設(shè)計(jì)過(guò)程中廣泛推廣和實(shí)施。

[1] RTCA,DO-254.Design Assurance Guidance for Airborne Electronic Hardware[S/OL].2000.http:// www.rtca.org/onlinecart/product.cfm?id=194.

[2] PAUL S MINER, VIVTOR A. A case-study Application of RTCA DO-254[C]. AIAA/IEEE 2000 Digital Avionics System conference, Philadelpha. PA, 2000.

[3] 胡小婷，田澤.基于DO-254的航空集成電路設(shè)計(jì)保障研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012，22(8)：189-191.

[4] 劉子宜，劉暢，鄭軍. 基于軟件測(cè)試技術(shù)的FPGA測(cè)試研究[J]. 電子技術(shù)應(yīng)用, 2011(37), 5:28-30.