民用机载软件工具的鉴定

徐 芳

（中国航空无线电电子研究所 上海 200240）

0 引言

民用航空电子系统的机载软件在提高开发效率和保证安全性这两方面有着非常严格的要求。为了解决机载软件开发验证过程中大量重复性、易出错且花费高的问题，各种软件工具不断地被应用于机载软件的开发、验证中。这些工具的应用，大大减少了重复性的劳动。但是，工具本身的错误可能会对软件功能有负面影响，为了避免这种风险，需要对机载软件工具的进行鉴定。

1 DO-178简介

国际航空无线电委员会（Requirements and Technical Concepts for Aviation，RTCA）针对民用航空电子系统的软件开发制定了DO-178标准。旨在确保开发的软件在功能上正确，在安全上可信，并能满足适航要求。DO-178基于在系统安全性评估过程中确定的软件对潜在失效条件的影响将软件划分为A、B、C、D、E五个等级，Level A是最严格的，等级越高所付出的成本越高。DO-178C是针对管理现代航空电子设备所必需的大量扩增的软件而定制的。DO-178C定义了71个目标（即针对每个需求的文档和测试）来满足不同的软件信任等级。软件等级A要满足71个目标（含30个需要独立的目标）。

DO-178C继承了DO-178B的核心文件，原则和过程，同时增加高层次建模的支持，面向对象编程和形式化方法，强调从模型到可执行代码以及反向的双向可追溯性。DO-178C消除一些DO-178B中的二义性，引入补充标准DO-330，以证明用于建模，面向对象编程和形式化方法的工具的资格和能力。DO-178C引入的前向和后向的追踪，对于设计人员来说这会使利用这些先进技术的软件开发的验证过程变得更容易，从而达到所需的安全苛刻软件的水平。

2 DO-178B对软件工具鉴定的要求

按照DO-178B 的要求：“如果过程由工具自动实现或者替代，那么需要对工具进行鉴定”，也就是说软件工具的等级要和所开发的机载软件等级保持一致。

2.1 机载软件工具分类

DO-178B的12.2章节中根据是否在机载软件中引入错误，将机载软件工具分为开发工具和验证工具两类[1]。

（1）开发工具：输出的是机载软件的一部分，创建或修改机载软件的生命周期数据（如需求、设计、代码等）。软件开发工具如编译器、调试器和仿真器；

（2）验证工具：验证工具通常用来表明软件生命周期数据的正确性、一致性和兼容性，不对软件的生命周期数据进行修改，因此不会向机载软件引入错误，但是有可能检测不到软件中已经存在的错误。软件验证工具如源代码分析工具、软件测试工具。

2.2 机载软件工具鉴定的准则

在开发机载软件项目之初，首先要确定的就是软件工具是否需要鉴定。一般需要考虑三方面的问题：

（1）工具是否会在机载软件中引入错误或检测不到存在的错误；

（2）工具的输出是否不再经过进一步验证或人工评审；

（3）工具的输出是否被用来表明满足DO-178B附录A的任一目标。

如果以上三个问题的回答都是肯定的，则该工具需要进行工具鉴定，否则不需要。机载软件项目中所使用的工具列表以及是否需要鉴定的声明（即对以上三个问题的回答）应该包含在机载软件合格审定计划中。

DO-178B规定，开发工具的目标应与使用工具的机载软件的目标相同，即分配给开发工具的软件级别应与其开发的机载软件相同。同时，由于开发工具可能会向机载软件中引入错误，所以必须进行鲁棒测试。验证工具不会向软件引入错误，只可能检测不到存在的错误。因此，只要验证是在正常条件下进行的，工具的输出就符合操作需求。如果要使用先前项目的工具鉴定结论作为其鉴定结论，则必须证明两个项目中工具的使用环境和限制是完全相同的[4]。

2.3 机载软件工具鉴定的数据要求

软件开发工具要满足的目标应与用其开发的机载软件应达到的目标相同，因此产生了DO-178B规定的20类生命周期资料。其中，工具鉴定计划（Tool Qualification Plan，TQP）和工具完结综述（Tool Accomplishment Summary，TAS）提交适航当局批准，其他开发和验证数据供局方审查时检查。同时，机载软件的合格审定计划（PSAC）和完结综述（Software Accomplishment Summary，SAS）应分别索引至TQP和TAS。对于验证工具来说，TQP的内容可以包含在机载软件的合格审定计划中，TAS的内容可以包含在机载软件的完结综述中。工具操作需求、测试用例、规程和结果供局方审查时检查。但是，FAA推荐验证工具也要编制独立的TQP和TAS，便于今后项目复用工具的鉴定结论。开发工具和验证工具的鉴定数据都要纳入软件构型控制体系。其中，开发工具的鉴定数据应按照控制类别1（Control Category 1，CC1）进行控制，验证工具的鉴定数据应按照CC2进行控制。

3 DO-178C对软件工具鉴定的要求

DO-178C中，由于有了独立的补充文档DO-330，所以对第12章的改动比较大。DO-178C 对工具鉴定的指南的变动是最大的。但这些变动其实并不违背原来DO-178B所述的内容。它把工具鉴定的级别分成了五级，即TQL-1到TQL-5。TQL-1是对工具鉴定要求最高的级别，相当于DO-178B中所述的用于A级软件的开发工具的鉴定。而TQL-5则是鉴定级别最低的，相当于DO-178B中所述的用于C级或D级软件的验证工具的鉴定。所以真正的差异在于，当一个验证工具用于A级或B级软件时，如果该验证工具出错带来的危害可能比较严重的时候，需要对验证工具的鉴定提高要求，达到TQL-4。把工具鉴定分成五级后，

DO-178C 的专家组专门为工具的鉴定写了一个补充文档DO-330。

DO-178C标准在修订时专门设立了工具鉴定工作组来研究相关对策。修订的DO-178C标准按照以下三条准则将工具鉴定的软件等级划分为5级[2]（见表1）：

（1）准则1，工具的输出是软件产品的一部分，并且有可能会向软件产品中引入错误；

（2）准则2，工具使验证流程自动化，并有可能漏检错误 其输出用以证明验证流程中没有被自动化的部分的省略以及可能影响最终软件产品的开发流程步骤的省略；

（3）准则3，在其预计的使用范围内可能会漏检错误。

表1 工具鉴定的软件等级

4 DO-330对软件工具的鉴定具体要求

4.1 软件工具生命周期进程

DO-330专门针对软件工具鉴定作了详细的说明和定义，定义了工具生命周期进程。工具生命周期进程包含了三个大进程，也即工具计划进程、工具开发进程、工具综合进程[3]。计划进程先行，其它二个进程并行。工具开发进程又包含了四个小进程，也即工具需求进程、工具设计进程、工具编码进程、工具集成进程。工具综合进程也包含了四个小进程，也即工具验证进程、工具配置管理进程、工具质量保证进程、审定联络进程。此外，工具生命周期进程还包括工具鉴定数据和工具鉴定的其它考虑。

4.2 工具生命周期进程的输出数据

工具计划进程的目的是制定5个计划和3个标准，用以指导工具开发进程和工具综合进程的工作开展。5个计划是工具鉴定计划、工具开发计划、工具验证计划、工具配置管理计划、工具质量保证计划。3个标准是工具需求标准、工具设计标准、工具编码标准。

4.3 对之前鉴定过工具的重新使用

之前鉴定过的工具能否重新使用在新的项目中不需要重新鉴定，有一个评估过程。工具能否被重新使用，需要满足以下：鉴定过的工具在之前项目中使用被局方批准；重新使用的工具的等级等于或低于之前的鉴定等级；被重新使用的工具的生命周期数据没有发生变化；工具的操作环境等同于之前鉴定的；工具的操作需求和之前鉴定的一样；

f.申请者获取批准的工具鉴定数据；

g.申请者保证被鉴定数据支持的工具版本一样。

如果有任何一条没有满足，那么需要对工具操作环境或工具本身的变化作出分析。如果上述都满足，那么对工具重新使用的目的和规则需要在PSAC或TQP中说明并提交给局方。

DO-330对商业成品软件的鉴定也作了详细规定。

5 总结展望

本文简介了DO-178，并介绍了标准中对机载软件工具的鉴定准则和数据要求。从DO-178标准的修订来看，适航审查方对工具鉴定的要求趋于规范并将更加严格。对申请人来说，工具的成本、鉴定工作量以及将来对该工具的复用都必须被考虑到。因此，确定工具的鉴定状态并按型号合格证申请时现行有效的标准完成对工具的鉴定，对申请者将会是一个新的挑战。

[1]DO-178B，Software Considerations in Airborne Systems and Equipment Certification.RTCA/EUROCAE，1992.

[2]DO-178C，Software Considerations in Airborne Systems and Equipment Certification.RTCA December 13，2011.

[3]DO-330，Software Tool Qualification Considerations.RTCA December 13，2011.

[4]O rder 8110.49， Software Approval Guidelines［S］.U.S.Department of Transportation Federal Aviation Adm inistration.June3，2003.