民用飛機(jī)先前開發(fā)軟件適航符合性技術(shù)

文/王少龍 李清娥

1 引言

隨著我國民用飛機(jī)事業(yè)的迅猛發(fā)展，在民用飛機(jī)機(jī)載系統(tǒng)和設(shè)備中廣泛采用先前開發(fā)的軟件，用來保證飛機(jī)高安全高可靠性要求。但在新的民用飛機(jī)型號(hào)合格審定中，由于采用的合格審定基礎(chǔ)和軟件符合性方法的不同，要確保先前開發(fā)軟件在新型號(hào)應(yīng)用中符合性采用適航規(guī)章及相關(guān)要求，獲得適航當(dāng)局的批準(zhǔn)/認(rèn)可成為一個(gè)比較復(fù)雜的問題。

2 適航規(guī)章和指南性文件的要求

2011年9月13日，航空無線電技術(shù)委員會(huì)（RTCA）發(fā)布了DO-178C，為機(jī)載系統(tǒng)和設(shè)備中軟件是否符合適航要求提供了一個(gè)過程指南。在它的第12.1節(jié)中對(duì)以前開發(fā)軟件的使用專門提出了指導(dǎo)意見和活動(dòng)目標(biāo)。

2017年7月21日，美國聯(lián)邦航空管理局（FAA）發(fā)布了AC 20-115D，正式接受了現(xiàn)行有效的DO-178（）為可接受的的符合性方法。在AC 20-115D第9章中專門給出了修改和復(fù)用DO-178C以前版本批準(zhǔn)的軟件的工作指南。

2017年10月4日，F(xiàn)AA發(fā)布了ORDER8110.49 Chg 2，對(duì)如何在機(jī)載系統(tǒng)和設(shè)備批準(zhǔn)中使用DO-178B、DO-178C作為可接受的符合性方法給出了指導(dǎo)建議。

通過上述分析和研究發(fā)現(xiàn)，不管是RTCA發(fā)布的指導(dǎo)文件，還是FAA發(fā)布的AC或ORDER，這些文件都從不同的角度給出的先前開發(fā)軟件復(fù)用的工作指南和指導(dǎo)意見，但是并沒有給出一個(gè)完整的指導(dǎo)意見，解決申請(qǐng)人如果在新的型號(hào)應(yīng)用中要基于DO-178C為軟件符合性方法獲得型號(hào)批準(zhǔn)/認(rèn)可時(shí)，如何復(fù)用先前基于DO-178（）開發(fā)的軟件。這個(gè)問題給TC申請(qǐng)人和軟件供應(yīng)商在新型號(hào)合格審定中選擇使用先前開發(fā)軟件并滿足適航符合性要求造成了許多難題。

3 解決方案

3.1 進(jìn)入條件

通過對(duì)民用飛機(jī)軟件有關(guān)的符合性方法、AC、Order的分析研究，如果在一個(gè)新型號(hào)應(yīng)用中計(jì)劃采用已在其他型號(hào)上獲得批準(zhǔn)的軟件，必須具備如下進(jìn)入條件，方可開展先前開發(fā)軟件的使用分析與評(píng)估工作。

（1）在新型號(hào)應(yīng)用中，包含軟件的系統(tǒng)或設(shè)備的功能、性能、接口、運(yùn)行環(huán)境、應(yīng)用環(huán)境、安裝方式等技術(shù)要求已經(jīng)確定；

（2）通過初步系統(tǒng)安全性分析（PSSA）分配給軟件的研制保證等級(jí)（DAL）已經(jīng)確定。

3.2 評(píng)估活動(dòng)和符合性方法

3.2.1 服務(wù)歷史評(píng)估和符合性方法

如果先前開發(fā)軟件已在其他型號(hào)中獲得批準(zhǔn)認(rèn)可，首先要從先前開發(fā)軟件的服務(wù)困難（SDs）、開口問題報(bào)告（OPRs）、適航指令（ADs）等方面進(jìn)行全面的安全性影響評(píng)估，判定軟件服務(wù)歷史的可接受程度。

表1：DO-178C以前版本軟件等級(jí)可接受原則

通過分析評(píng)估：如果服務(wù)歷史數(shù)據(jù)滿足新型號(hào)的應(yīng)用要求，這些歷史數(shù)據(jù)即被可接受，并作為新型號(hào)審定的有效數(shù)據(jù)，供應(yīng)商應(yīng)將這些分析過程及結(jié)果、以及可接受的使用歷史信息在相關(guān)系統(tǒng)的合格審定計(jì)劃（CP）或軟件合格審定計(jì)劃（PSAC）、軟件完成綜述（SAS）、軟件配置索引（SCI）中文檔化說明；如果使用歷史數(shù)據(jù)不可接受，則需要根據(jù)分析結(jié)果，完成軟件更改和開發(fā)基線升級(jí)，糾正或補(bǔ)充有關(guān)數(shù)據(jù)，并在PSAC、軟件開發(fā)計(jì)劃（SDP）、軟件驗(yàn)證計(jì)劃（SVP）、軟件質(zhì)量保證計(jì)劃（SQAP）、軟件配置管理計(jì)劃（SCMP）中明確說明需要補(bǔ)充開展的軟件開發(fā)、驗(yàn)證、配置管理、質(zhì)量保證等活動(dòng)，也要明確需要完善的軟件生存周期資料，并完成開發(fā)基線的升級(jí)工作。

3.2.2 軟件等級(jí)評(píng)估和符合性方法

通過PSSA過程分配的軟件DAL是基于給定功能失效條件的重要度分類確定的最小開發(fā)等級(jí)。根據(jù)AC 20-115D中關(guān)于在新型號(hào)應(yīng)用中對(duì)DO-178C以前版本以及相應(yīng)軟件等級(jí)的可接受原則，在評(píng)估先前開發(fā)軟件能否在新型號(hào)應(yīng)用中接受時(shí)，要確定基于DO-178C以前版本軟件開發(fā)等級(jí)的可接受程度。軟件等級(jí)可接受原則見表1。

不管先前開發(fā)軟件是基于DO-178、DO-178A還是DO-178B的過程開發(fā)的，只要軟件開發(fā)的級(jí)別等同于或高于在新型號(hào)應(yīng)用中由PSSA分配的軟件DAL并符合表1的可接受原則，那么軟件等級(jí)和符合性方法都可以接受；否則就要更改升級(jí)軟件基線包括軟件所有過程和程序文件（也包括工具鑒定過程）到新的軟件等級(jí)，并滿足DO-178C第12.1.4軟件開發(fā)基線升級(jí)的目標(biāo)要求和DO-330軟件工具鑒定的目標(biāo)要求。

3.2.3 軟件功能特性評(píng)估和符合性方法

如果在新型號(hào)的應(yīng)用上，軟件的使用歷史、軟件的等級(jí)和符合性方法經(jīng)評(píng)估分析都可接受，那么要分析評(píng)估軟件的功能性能等內(nèi)容是否滿足新型號(hào)的應(yīng)用要求并被完全接受。

如果評(píng)估結(jié)果全部滿足，并且軟件的服務(wù)歷史，包括SDs，OPRs、AD等可以被接受，所有問題關(guān)閉記錄、發(fā)現(xiàn)問題的解決方案都可提供或者軟件等級(jí)都可接受，那么軟件供應(yīng)商就不需作額外的工作，原始批準(zhǔn)的所有數(shù)據(jù)可以作為該軟件在新型號(hào)應(yīng)用安裝批準(zhǔn)的基礎(chǔ)數(shù)據(jù)。

如果評(píng)估結(jié)果為部分滿足，則應(yīng)開展軟件更改影響分析（CIA）,并編制CIA報(bào)告，確定軟件的更改內(nèi)容和更改范圍，以及要補(bǔ)充開展的工作。

3.2.4 軟件環(huán)境更改評(píng)估和符合性方法

由于先前開發(fā)軟件的使用和修改可能超過最初的使用環(huán)境。其中可能包括一個(gè)新的開發(fā)環(huán)境、新的目標(biāo)處理器或其它硬件、或與其他軟件的集成。新的開發(fā)環(huán)境會(huì)引起一些軟件生命周期活動(dòng)的增加或減少。新的應(yīng)用環(huán)境也可能針對(duì)變化內(nèi)容引起在軟件生命周期活動(dòng)之外增加一些必要的活動(dòng)。

如果軟件環(huán)境更改后,軟件不能滿足新型號(hào)的應(yīng)用，需要開展以下幾個(gè)方面的更改影響分析活動(dòng)：

（1）開發(fā)工具更改影響分析；

（2）應(yīng)用或開發(fā)環(huán)境更改的影響分析。

以上更改影響分析的結(jié)果要文檔化記錄在軟件影響分析報(bào)告中，對(duì)需要開展的工作活動(dòng)要在PSAC、SDP、SVP、SQAP、SCMP中明確說明。

3.2.5 基于模型開發(fā)、面向?qū)ο蠛托问交椒ǖ确椒ㄔu(píng)估和符合性方法

如果在軟件基線升級(jí)過程用到了基于模型開發(fā)（MBD）或/和面向?qū)ο螅∣O）和/或形式化方法（FM），那么要首先分析是否已經(jīng)維護(hù)升級(jí)了軟件開發(fā)過程的程序文件（也包括工具鑒定過程）并在以前型號(hào)的審定過程中獲得批準(zhǔn)，并確保在軟件過程審查中不可能存在軟件開發(fā)過程的程序文件的不足而引發(fā)不符合問題。否則要完成軟件開發(fā)過程的程序文件（也包括工具鑒定過程）的升級(jí)，并滿足DO-178C和DO-330的目標(biāo)要求以及DO-331和/或DO-332和/或DO-333的相關(guān)目標(biāo)要求。

4 結(jié)束語

本文通過實(shí)際型號(hào)應(yīng)用中的經(jīng)驗(yàn)，總結(jié)出一個(gè)具體的解決方案，幫助申請(qǐng)人在新型號(hào)使用先前開發(fā)軟件時(shí)滿足適航要求。在民用飛機(jī)的型號(hào)合格審定中，針對(duì)具體軟件項(xiàng)目，可以在解決方案中選取適用的部分，支持單個(gè)軟件項(xiàng)目在型號(hào)合格審定中的符合性審查工作。這個(gè)方法的符合性分析過程對(duì)軍用飛機(jī)先前開發(fā)的軟件產(chǎn)品同樣適用，如果按照此方案嚴(yán)格執(zhí)行，將會(huì)大大提高軍用飛機(jī)的產(chǎn)品質(zhì)量。