民用飞机研制中的先前开发电子硬件适航审查

吴健

【摘 要】本文介绍了民用飞机使用的先前开发电子硬件，从未使用功能产生的来源、DO-254对未使用功能和先前开发硬件更改的指导准则等方面，阐述了使用先前开发电子硬件时应当注意的问题。还讨论了先前开发电子硬件开口问题报告的评估。这些工作的共同目的都是为了保证飞机安全性。

【关键词】民用飞机；先前开发电子硬件；DO-254；适航审查

0 前言

半导体技术的快速发展使可编程逻辑器件在民用飞机领域得到了广泛的应用，包括可编程逻辑器件（PLD）、复杂可编程逻辑器件（CPLD）、现场可编程门阵列（FPGA）、专用集成电路（ASIC）等。可编程器件以其体积小、配置灵活、功耗低、集成密度高等特性受到了航空界的欢迎。对可编程器件，研制企业可以在确定其功能需求后开始新的硬件设计，还可以复用之前项目中使用的器件。DO-254[1]作为航空界普遍接受的电子硬件开发标准文件，专门讨论了对先前开发电子硬件（下称“先研硬件”）使用的指导原则。先研硬件常见的考虑包括：

？誗未使用的功能；

？誗硬件的更改；

？誗开口问题报告。

先研硬件在民机研制中经常出现，得到了越来越多的关注[2]。本文将结合DO-254的要求和以往工作经验，对先研硬件中常见的问题展开论述。

1 先研硬件未使用的功能

1.1 未使用功能的来源

未使用功能的来源有多个方面：一方面，硬件设计者在设计硬件的时候，出于可配置的灵活性，会对某些功能设置使能/禁用开关，通过外部的软件或硬件配置硬件实现的功能。这样，就可以根据不同的应用场合进行具体的配置，增强硬件使用的灵活性。另一方面，有些功能是为了方便外部对硬件进行测试，例如通过测试接口向外发送数据，或者接受外部配置信息。对于这些功能，在实际应用中会被禁用，以免产生不必要的影响。

无论是什么原因导致未使用功能，适航申请人都应当分析其影响，确保未使用功能不会被意外激活，且未使用功能不会影响正常功能，从而保证飞机的安全性。

1.2 DO-254对未使用功能的规定

DO-254规定了在设计的不同阶段对未使用功能的限制。

在需求捕获阶段，应该有衍生需求来施加特别的限制，控制未使用的功能。

在概念设计阶段，应识别硬件的主要组件，确定未使用功能对硬件安全性需求的影响。在概念设计数据中，从适航的观点来看，可能要包括架构特征和分区，以考虑未使用的功能。

在详细设计阶段，应评估未使用的功能，以确认可能的安全性影响。详细设计数据可能包含组件中的未使用功能清单和需要采取的措施，以确保它们不会损害硬件产品的安全性。

在硬件验证计划中，应描述验证活动所遵循的政策、过程、标准和方法，以提供客观证据表明硬件产品的完整性，包括未使用的功能。

元素分析法：由于硬件产品可能包含不在目标应用中使用的功能，例如某个库功能中的子功能，或是仅用于组件级别验收测试的测试结构。应当表明这些功能与其它使用的功能相隔离，或者它们不会产生影响安全性的异常行为。可以说明未使用的元素在硬件中或者安装时被彻底抑制。如果未使用的功能会被用于一些将来的应用，且确认这些功能没有被充分验证，可在将来重新检查元素分析的缺陷。

2 DO-254对先研硬件的指导准则

DO-254对先研硬件的使用给出了一些指导准则，主要包括如下几点。

2.1 对先研硬件的更改

对先研硬件可能的更改主要来自于：需求更改、检测到错误、硬件或技术改进，或者采购困难。申请人和开发者应当对更改所带来的影响进行分析，包括：

？誗对系统安全性评估过程输出的评审。

？誗如果硬件的设计保证等级提高，则需按照DO-254第11.1.4节的指导准则进行评审。

？誗分析更改影响，包括那些可能导致对更改区域之外的其它区域重新验证的影响结果。可以通过信号流、功能分析、时序分析、追溯性分析或其它合适方法来确定该区域。

2.2 飞机安装的更改

当在新的飞机安装上使用先研硬件时，应使用以下的指导准则：

？誗系统安全性评估过程评估了飞机安装，并且确定了硬件研制保证等级和合格审定基础。如果和之前的安装相比，新的安装具有相同或者更低的研制保证等级，则不需要额外的工作。

？誗如果新的安装需要功能更改，则需进行更改影响分析。

2.3 更改应用或设计环境

使用先研硬件可能意味着新的设计环境，或者与先前项目不同的其它软件或硬件的集成。新的设计环境可能增加或减少硬件生命周期过程的一些工作。指导准则包括：

？誗如果新的设计环境使用了硬件设计工具，则应当根据DO-254第11.4节判断是否进行工具评估和鉴定。

？誗如果先研硬件与不同的硬件接口，则需验证硬件接口。

？誗当先研硬件使用不同的软件时，则需考虑重新验证硬件/软件接口。

2.4 升级基线

如果先前项目使用的硬件具有更低的设计保证等级，而当前项目需要提高设计保证等级，则需要考虑以下指导准则：

？誗在利用之前项目的生命周期数据时，必须保证满足DO-254的目标。

？誗硬件合格审定应基于系统安全性评估过程确定的失效条件和硬件设计保证等级。应分析更改的影响，以确定有缺陷的地方。

？誗应评估来自于先前项目的生命周期数据，确保满足硬件设计保证等级对应的验证过程目标。

？誗可以利用逆向工程重新产生不足或者缺失的硬件生命周期数据，以满足DO-254的设计保证目标。

？誗在升级设计基线时，如果计划使用产品的服务经验来满足DO-254规定的设计保证目标，则应考虑DO-254第11.3节的指导准则。申请人应当在硬件合格审定计划中明确表明符合性的策略。

2.5 额外的构型管理考虑

除了DO-254第7章规定的指导准则，还应包括先研硬件在新应用场合的构型管理过程。

？誗从先前应用的硬件产品和生命周期数据至新应用的追溯性。例如，应当建立从先研硬件需求至当前的系统级需求之间的追溯性，确保硬件需求对系统级需求的符合性。

？誗有合适的更改控制过程来管理不同项目对公共产品的更改请求。

从以上DO-254的要求可以看出，DO-254对先研硬件可能产生的更改给出了充分的关注。无论发生什么类型的更改，核心是要产生必要的生命周期数据，符合DO-254目标。此外，过程保证也应当在先研硬件的更改过程中按照DO-254的要求开展工作。

3 先研硬件的开口问题报告

先研硬件在之前项目的开发过程中，可能会由于各种各样的问题而产生问题报告。根据所发现问题的严重程度，有的问题报告会得到及时解决。有的问题报告由于供应商判断其描述的问题不足以对飞机的安全性产生影响，而解决问题报告则意味着投入人力和物力，故决定不予解决，或者在以后统一解决。这些未解决的问题报告就成为了开口问题报告。

供应商通常会就开口问题报告对当前项目的影响进行评估，以确认其不会产生安全性影响。做为适航申请人和主制造商，应当对供应商的评估结论进行复核，保证飞机安全性。

4 结论

本文讨论了民用飞机中使用的先前开发电子硬件，从适航审查的方面阐述了开发者和申请人应当注意的问题。先前开发电子硬件在带来便利性的同时，也给适航审查提出了新的问题。无论采取何种方式，最终目的都是为了向适航审查当局表明飞机设计的安全性，保障乘客的安全。

【参考文献】

[1]DO-254.Design Assurance Guidance for Airborne Electronic Hardware. RTCA， April 2000.

[2]孙景华， 张杨，花卉，李海峰.先前开发电子硬件适航符合性验证技术研究[J]. 航空标准化与质量，2016（1）.