基于DO—178B的民用飞机机载软件适航审定研究

高小龙

【摘 要】DO-178B中提出的指导性材料，已经被民用航空业界和各国适航当局公认为可用以建立特定机载软件达到其预期设计需求的置信度。本文基于DO-178B从机载软件研制全生命周期，概述了机载软件研制过程。

【关键词】DO-178B；机载软件；适航审定

【Abstract】The guidance material presented in DO-178B has been recognized by industry and the various regulatory authorities to establish levels of confidence that a specific item of software respectively performs to its intended design requirements.According to the airborne software life cycle based on DO-178B，summarized the software development process.

【Key words】DO-178B；Airborne Software；Airworthiness Certification

0 引言

2017年5月5日下午，我国首架干线飞机C919在上海浦东国际机场一跃而起，直上云霄，飞行79分钟后，平稳着陆。C919首次飞行成功标志着世界上多了一款属于中国，拥有完全自主知识产权的，依照世界先进标准研制的大型客机如图1。作为我国首款按照最新国际适航标准研制的民用飞机，现代适航标准体系为C919的成功首飞提供了坚实的保证。

图1 C919首飞

适航标准是各国适航当局办法的一系列特殊的航空器产品技术性标准，它规定了民用航空器适航性的设计要求以及设计准则，通常可以认为适航标准规定了民用航空器产品的最低安全标准，因此在适航标准的满足上不允许任何偏离。运输类飞机适航标准（CCAR 25/FAR25/JAR25）是民用飞机进行适航审定的基础，但在其条款中没有直接针对机载软件的规章要求，都是由软件所属的系统和设备的要求衍生而来，而现在各国适航当局都将 DO-178B《机载系统与设备的软件合格审定考虑》（Software Consideration in Airborne Systems and Equipment Certification）作为加载软件适航审定的指导方法。

1 DO-178B介绍

DO-178B就是为机载软件的符合性证明和审查活动提供指导的一套标准，其目的是指导民用飞机机载软件开发，并确保机载软件不仅满足飞机和对应系统对其功能和性能的要求，还要具备达到其预期设计需求的置信度。在民用飞机和系统的整个研制周期中，DO-178并不是单独存在，它与ARP 4754（Guidelines for Development of Civil Aircraft and System）、ARP 4761（Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment）、DO-297（IMA Development Guidance and Certification Consideration）和DO-254（Design Assurance Guidance for Airborne Electronic Hardware）共同构成了现代民用飞机及其高度综合复杂系统安全性设计与评估的一套指导性标准，图2概述了整个民机研制生命周期中安全性评估、电子硬件和软件生命周期之间的关系。

DO-178B在指导机载软件的开发和适航当局适航审查工作时，是面向过程和目标的，主要包括：规定了机载软件生命周期中各个过程要实现的目标；规定了达到这些目标的活动和工程实现考虑；规定了确认这些目标已经实现的证据记录，DO-178B通过这三种形式的要求来考量机载软件能否达到其预期设计需求的置信度。从机载软件研制的过程来分析，具体可以分为：机载软件与机载系统的传递和追溯关系、机载软件的计划过程、机载软件的开发过程、机载软件的开发过程、机载软件的验证过程、机载软件的构型管理过程、机载软件的质量保证过程、适航认证的联络过程和软件生命周期的数据记录。针对每一个过程又定义了以下内容：不同级别软件需要实现的目标、不同级别软件对软件生命周期数据的控制类别和过程的输入与输出。

2 DO-178B中软件生命周期过程

DO-178B中将软件分为A、B、C、D和E，5个等级，软件等级的确定与软件失效可能导致的最严重的安全性影响程度有关，对应分别为灾难级（catastrophic failure）、危险级（hazardous failure）、重要级（major failure）、次要级（minor failure）和无影响（no effect），通过系统的安全性评估来确定。表1所示为软件级别与失效状态影响程度的对应关系及简要说明。

DO-178B对机载软件生命周期的基本活动进行分类和综合，得到了软件生命周期的三个过程，即软件计划过程、软件开发过程和软件综合过程。其中，软甲计划过程用于制定软件开发过程和综合过程中相关活动的计划和标准；软件开发过程是一些列过程，包括了软件需求过程、软件设计过程、软件编码过程和软件集成过程；软件综合过程用于保证软件生命周期及其输出、受控和可信的过程，包括了软件验证过程、软件构型管理过程、软件质量保证过程和审定联络过程，软件的综合过程是贯穿整个软件生命周期的。图3描述了软件过程之前的基本关系，其中双向箭头表示两边的过程是并行的。

在软件的开发过程中，不同阶段阶段之间是需要转换准则的，即用来确定某过程是否可以进入或者退出，退出当前过程和进入下一个过程的转换准则一般是当前阶段设定的目标均已满足并通过评审，比如从软件初步设计阶段转换到软件详细设计阶段，需要满足的一个重要目标就是软件的高级别需求已经确认和软件初步架构已经完成，且通过评审。图4表示了软件开发过程中，不同阶段的传递过程。

3 DO-178B软件生命周期数据

在DO-178B中规定了20中软件研制生命周期中产生的数据，这些数据用来证明软件实现了不同等级软件在不同阶段DO-178B中设定的目标。审定局方就是通过审查这些输出数据来评估申请人软件研制流程中目标的实现情况，软件研制生命周期数据及简要说明见表2所示。

表2

4 总结

DO-178B可以理解為由这三个基本元素组成——过程、目标和软件生命周期数据，整个软件研制过程中，通过过程来实现目标，通过过程来产生软件生命周期数据，同时通过软件生命周期数据来证明实现的目标，其三者关系见图5。本文限于篇幅未对不同等级软件在不同阶段要实现的目标进行概论。

图5 DO-178B基本元素及关系

[责任编辑：田吉捷]