01機(jī)載軟件的基本特征

機(jī)載計(jì)算機(jī)在現(xiàn)代飛機(jī)各組成部分中占有舉足輕重的位置，是現(xiàn)代航空電子系統(tǒng)的基礎(chǔ)和核心，其研制、生產(chǎn)和應(yīng)用水平已成為衡量飛機(jī)先進(jìn)性的重要標(biāo)志。機(jī)載計(jì)算機(jī)通常是飛機(jī)上各種計(jì)算機(jī)的總稱，包括導(dǎo)航計(jì)算機(jī)、大氣數(shù)據(jù)計(jì)算機(jī)、飛行控制計(jì)算機(jī)、任務(wù)計(jì)算機(jī)、雷達(dá)信號(hào)/數(shù)據(jù)處理機(jī)、顯示控制處理機(jī)和通用綜合處理機(jī)等。

機(jī)載計(jì)算機(jī)系統(tǒng)負(fù)責(zé)完成飛行的數(shù)據(jù)采集、信息處理和指揮控制任務(wù)。可以毫不夸張地說，現(xiàn)代飛機(jī)每一個(gè)動(dòng)作的完成都離不開機(jī)載軟件的支持，飛行員的每一個(gè)意圖也必須依靠機(jī)載軟件才能實(shí)現(xiàn)。同時(shí)，機(jī)載軟件還有一個(gè)明顯的發(fā)展趨勢(shì)，那就是它所完成的功能將越來越多。以美國(guó)軍用飛機(jī)的發(fā)展為例，第二代戰(zhàn)斗機(jī)F-111的航電系統(tǒng)，其20%的功能是通過軟件實(shí)現(xiàn)的；第三代戰(zhàn)斗機(jī)F-16，這個(gè)比例達(dá)到40%；到最先進(jìn)的第四代戰(zhàn)斗機(jī)F-22中，航電系統(tǒng)功能中竟有80%是通過軟件實(shí)現(xiàn)的。機(jī)載軟件的規(guī)模呈超幾何級(jí)數(shù)增長(zhǎng)。如美國(guó)F-106戰(zhàn)斗機(jī)的早期型號(hào)僅裝備1臺(tái)計(jì)算機(jī)，其作戰(zhàn)飛行程序?yàn)?K，占據(jù)了計(jì)算機(jī)存儲(chǔ)器容中的絕大部分；F-111D戰(zhàn)斗機(jī)的作戰(zhàn)飛行程序約51K；F-16戰(zhàn)斗機(jī)早期型號(hào)（F-16A）的作戰(zhàn)飛行程序?yàn)?28K；70年代末艦載F/A-18戰(zhàn)斗機(jī)的作戰(zhàn)飛行程序則增加到約700K；F-22戰(zhàn)斗機(jī)機(jī)載軟件的規(guī)模已達(dá)到170多萬條語句。F-35的代碼量是F-22軟件代碼量的4倍多，達(dá)到了驚人的800萬條語句。

安全性設(shè)計(jì)是軟件設(shè)計(jì)的重要環(huán)節(jié)，尤其對(duì)于機(jī)載軟件而言，它的輸出會(huì)直接或間接地影響硬件的運(yùn)行，其重要性不言而喻。但是，在進(jìn)行安全性工作時(shí)卻遇到許多實(shí)際的困難，諸如設(shè)計(jì)手段不規(guī)范、沒有明確的驗(yàn)證方法和有效的評(píng)估數(shù)據(jù)、無法準(zhǔn)確評(píng)估軟件中錯(cuò)誤的數(shù)量等。盡管如此，軟件界還是形成了共識(shí)，即軟件的質(zhì)量更主要依靠過程（包括規(guī)范設(shè)計(jì)、嚴(yán)格管理等）來保障。

02民用飛機(jī)機(jī)載軟件適航標(biāo)準(zhǔn)及其符合性

2.1 適航管理

民用航空器的適航管理以保障民用航空器的安全性為目標(biāo)，是政府適航當(dāng)局在制定的各種最低產(chǎn)品安全標(biāo)準(zhǔn)的基礎(chǔ)上，對(duì)民用航空器的設(shè)計(jì)、制造、使用和維修等環(huán)節(jié)進(jìn)行科學(xué)統(tǒng)一的審查、鑒定、監(jiān)督和管理。可相對(duì)分為兩大類管理，一類是初始適航管理，另一類是持續(xù)適航管理。

適航管理的特點(diǎn)主要反映在以下幾個(gè)方面，即權(quán)威性或法規(guī)性、國(guó)際性、完整性和統(tǒng)一性以及動(dòng)態(tài)發(fā)展性。

2.2 適航技術(shù)和符合性方法

民用航空器產(chǎn)品的安全性實(shí)現(xiàn)需要安全性技術(shù)，這些安全性技術(shù)要求從屬于適航要求才能達(dá)到在產(chǎn)品上的具體應(yīng)用。民用航空器必須在產(chǎn)品生命周期內(nèi)滿足相應(yīng)的適航標(biāo)準(zhǔn)和要求，以確保產(chǎn)品的適航性和安全性，其首要環(huán)節(jié)是產(chǎn)品的型號(hào)設(shè)計(jì)符合規(guī)定的適航標(biāo)準(zhǔn)。民用航空產(chǎn)品設(shè)計(jì)符合適航標(biāo)準(zhǔn)并取證的途徑和方法是：

民用航空產(chǎn)品適航審定過程通?？衫斫鉃楦拍钤O(shè)計(jì)、要求確定、符合性計(jì)劃制定、計(jì)劃實(shí)施以及頒發(fā)型號(hào)合格證后等5個(gè)階段。對(duì)局方從事適航審定的人員，在適航審定中的技術(shù)層面工作主要是適航標(biāo)準(zhǔn)要求確定、評(píng)估和批準(zhǔn)包括驗(yàn)證試驗(yàn)大綱在內(nèi)的技術(shù)文件和做出符合性判定。

因此，無論是民用航空器的適航管理活動(dòng)還是產(chǎn)品開發(fā)活動(dòng)，都存在確定的適航技術(shù)。通常意義上存在三類適航技術(shù)：

1）適航標(biāo)準(zhǔn)確定或安全性指標(biāo)和要求確定的技術(shù)

事故及案例分析及安全特征提取、新穎獨(dú)特設(shè)計(jì)安全（適航）設(shè)計(jì)要求、專項(xiàng)試驗(yàn)（如燃燒、墜撞）設(shè)計(jì)及參數(shù)或指標(biāo)確定、機(jī)隊(duì)運(yùn)行數(shù)據(jù)收集與特征提取、新技術(shù)應(yīng)用，特別是成熟、先進(jìn)工業(yè)標(biāo)準(zhǔn)的引用或裁剪技術(shù)等；

2）滿足適航標(biāo)準(zhǔn)或要求的工程設(shè)計(jì)技術(shù)

適航標(biāo)準(zhǔn)或適航要求的工程定義或工程需求定義設(shè)計(jì)技術(shù)、系統(tǒng)架構(gòu)分析與設(shè)計(jì)技術(shù)、系統(tǒng)安全性分析技術(shù)、備份或冗余設(shè)計(jì)技術(shù)、在線故障診斷及容錯(cuò)設(shè)計(jì)技術(shù)、系統(tǒng)工程技術(shù)、結(jié)構(gòu)設(shè)計(jì)技術(shù)、載荷設(shè)計(jì)技術(shù)、強(qiáng)度設(shè)計(jì)技術(shù)、顫振設(shè)計(jì)技術(shù)、系統(tǒng)生存環(huán)境（空間及區(qū)域）設(shè)計(jì)技術(shù)、隔離與保護(hù)設(shè)計(jì)技術(shù)、特殊風(fēng)險(xiǎn)分析與防范設(shè)計(jì)技術(shù)、維修與保障性設(shè)計(jì)技術(shù)、設(shè)計(jì)過程保證技術(shù)、硬件及軟件設(shè)計(jì)技術(shù)、HMI（人機(jī)環(huán)境）設(shè)計(jì)技術(shù)、噪聲抑制或控制設(shè)計(jì)技術(shù)等；

3）滿足適航標(biāo)準(zhǔn)或要求的驗(yàn)證技術(shù)

系統(tǒng)安全性分析技術(shù)、各種平臺(tái)（臺(tái)架、模擬機(jī)、風(fēng)洞及飛機(jī)）測(cè)試與試驗(yàn)技術(shù)、試驗(yàn)件和試驗(yàn)裝置及試驗(yàn)環(huán)境設(shè)計(jì)技術(shù)、計(jì)算與分析技術(shù)（有限元、流體、運(yùn)動(dòng)軌跡、仿真）、工程檢驗(yàn)技術(shù)等；

表1適航符合性驗(yàn)證方法

03機(jī)載軟件的適航與RTCA DO-178C

3.1 軟件的適航符合性標(biāo)準(zhǔn)

運(yùn)輸類飛機(jī)適航標(biāo)準(zhǔn)（CCAR 25、14 CFR part 25、CS 25）是民用飛機(jī)進(jìn)行適航審定的基本依據(jù)。其中與機(jī)載軟件密切相關(guān)的條目CCAR(14CFR/CS)25.1309規(guī)定了民用飛機(jī)必須滿足的設(shè)備、系統(tǒng)與安裝方面的安全性要求，其中包括：

1）凡航空器適航標(biāo)準(zhǔn)對(duì)其功能有要求的設(shè)備、系統(tǒng)及安裝，其設(shè)計(jì)必須保證在各種可預(yù)期的運(yùn)行條件下能完成預(yù)定功能；

2）飛機(jī)系統(tǒng)與有關(guān)不見的設(shè)計(jì)，在單獨(dú)考慮以及與其它系統(tǒng)一同考慮的情況下，必須符合下列規(guī)定：

·發(fā)生任何妨礙飛機(jī)繼續(xù)安全飛行與著陸的失效狀態(tài)的概率極?。?/p>

·發(fā)生任何降低飛機(jī)能力或機(jī)組處理不利運(yùn)行條件能力的其它失效狀態(tài)的概率很小。

RTCA DO-178C就是為機(jī)載軟件的表明符合性提供指導(dǎo)的一套標(biāo)準(zhǔn)，其目的是指導(dǎo)航空機(jī)載軟件開發(fā)，并確保航空機(jī)載軟件不僅滿足飛機(jī)和機(jī)載系統(tǒng)對(duì)其功能和性能的要求，還要具備不同嚴(yán)苛等級(jí)的安全置信度。需要注意的是，DO-178C不是單獨(dú)存在的，它和ARP 4754A、ARP 4761、DO-254一起構(gòu)成了現(xiàn)代機(jī)載系統(tǒng)（尤其是高度綜合和復(fù)雜系統(tǒng)）安全性設(shè)計(jì)與評(píng)估的一組指南材料。四個(gè)文件之間的關(guān)系如下圖所示。

圖1系統(tǒng)-軟硬件過程保證標(biāo)準(zhǔn)間的關(guān)系

其中，DO-178C對(duì)航空機(jī)載軟件開發(fā)應(yīng)該遵循的基本理念和規(guī)則從以下各個(gè)方面進(jìn)行了說明和規(guī)定：

·機(jī)載系統(tǒng)與機(jī)載軟件之間的內(nèi)在關(guān)系；

·機(jī)載軟件生命周期；

·機(jī)載軟件計(jì)劃過程；

·機(jī)載軟件的開發(fā)過程；

·機(jī)載軟件的驗(yàn)證過程；

·機(jī)載軟件的構(gòu)型管理過程；

·機(jī)載軟件質(zhì)量保證過程；

·適航認(rèn)證聯(lián)絡(luò)過程；

·軟件生命周期數(shù)據(jù)記錄；

·其它考慮。

總之，軟件層面的DO-178C研制過程包含了計(jì)劃過程、開發(fā)過程、綜合過程在內(nèi)的三大類過程，對(duì)軟件研制的嚴(yán)苛程度進(jìn)行了規(guī)定。在減少引入錯(cuò)誤和增強(qiáng)檢出錯(cuò)誤兩個(gè)維度下，保持機(jī)載軟件在不同安全性要求下的適航性。

在DO-178C中，針對(duì)每一個(gè)過程都涵蓋了以下內(nèi)容：

·過程需要滿足的目標(biāo)；

·過程需要產(chǎn)生的數(shù)據(jù)；

·數(shù)據(jù)證明目標(biāo)的滿足；

從以上DO-178C的主要內(nèi)容可以看出，DO-178C是面向過程和目標(biāo)的。簡(jiǎn)單來說，DO-178C主要通過以下三種形式來指導(dǎo)機(jī)載軟件開發(fā)者工作，其中包括：規(guī)定航空機(jī)載軟件生命周期中各個(gè)過程的目標(biāo)；規(guī)定達(dá)到這些目標(biāo)的活動(dòng)和工程實(shí)現(xiàn)考慮；規(guī)定確認(rèn)這些目標(biāo)已經(jīng)實(shí)現(xiàn)的證據(jù)記錄。DO-178C通過這三種形式的要求較全面地反映了航空機(jī)載軟件工程的基本理念和規(guī)則，指導(dǎo)著當(dāng)今國(guó)際航空機(jī)載設(shè)備開發(fā)商的工程開發(fā)。

通過以上提及的四個(gè)標(biāo)準(zhǔn)及提供的符合性證據(jù)，才能完整形成對(duì)于CCAR(14CFR/CS) 25.1309在飛機(jī)、系統(tǒng)、設(shè)備和軟硬件不同層次上的證據(jù)鏈。

圖2軟件生命周期過程之間的基本關(guān)系

3.2失效狀態(tài)和軟件等級(jí)

為達(dá)到系統(tǒng)所需的安全性水平，標(biāo)準(zhǔn)首先對(duì)各類機(jī)載軟件定義了軟件等級(jí)（Software Level）。例如考慮如下兩種機(jī)載軟件情況：

1）飛機(jī)尾部廚房中用來控制煮咖啡器的軟件失效；

結(jié)果：可能會(huì)使一些乘客惱怒，但是不會(huì)影響到機(jī)上乘客的安全。

2）在低可見度情況下用來控制飛機(jī)自主進(jìn)近的軟件程序失效；

結(jié)果：可能會(huì)導(dǎo)致機(jī)毀人亡。

顯然，這兩種軟件不可能開發(fā)成同樣等級(jí)，也無法以同樣的嚴(yán)格程度來控制開發(fā)。需要針對(duì)具體情況，根據(jù)軟件異常行為可能導(dǎo)致的飛機(jī)失效狀態(tài)類別來定義軟件的等級(jí)。

DO-178C中規(guī)定，軟件等級(jí)應(yīng)與軟件失效可能導(dǎo)致的最嚴(yán)重的系統(tǒng)安全性影響程度相對(duì)應(yīng)。也就是說軟件等級(jí)是由其失效狀態(tài)的類別來決定的，而軟件失效狀態(tài)的類別定義則與系統(tǒng)失效狀態(tài)的類別定義完全相同。同時(shí)，軟件失效狀態(tài)的類別與系統(tǒng)失效狀態(tài)的類別一樣，都是通過系統(tǒng)的安全性評(píng)估來確定的，即在確定系統(tǒng)的審定基礎(chǔ)時(shí)確定。表2給出了軟件等級(jí)與失效狀態(tài)類別的對(duì)應(yīng)關(guān)系和簡(jiǎn)要說明。

表2軟件等級(jí)與失效狀態(tài)之間的關(guān)系

軟件等級(jí)由申請(qǐng)人和合格審定局方共同確定，且通常作為軟件審定的基本前提，記錄在相應(yīng)的審定計(jì)劃中。商討確定軟件等級(jí)的基本過程如圖3所示。

圖3軟件等級(jí)的確定過程

對(duì)于軟件等級(jí)的確定問題需要注意以下幾個(gè)問題：

1）無論系統(tǒng)怎樣設(shè)計(jì)，系統(tǒng)安全性評(píng)估過程確定了一個(gè)特定系統(tǒng)的軟件組件應(yīng)有的軟件等級(jí)。失效所造成的功能喪失和故障影響均要在軟件等級(jí)確定中加以考慮處理。從系統(tǒng)功能出發(fā)，評(píng)估系統(tǒng)功能失效的影響等級(jí)，考慮是否可能由軟件的錯(cuò)誤導(dǎo)致這種失效，進(jìn)行確定軟件所造成的最大的系統(tǒng)失效為何種等級(jí)，從而確定軟件自身的等級(jí)。

2）一個(gè)系統(tǒng)功能可能會(huì)被分配給一個(gè)或多個(gè)彼此相互分割的軟件組件來執(zhí)行，并行執(zhí)行過程是指一個(gè)系統(tǒng)的功能要靠多個(gè)軟件組件來實(shí)現(xiàn)，以至于多個(gè)軟件組件的異常行為才會(huì)引起系統(tǒng)的失效。對(duì)于并行執(zhí)行過程而言，至少要有一個(gè)重要或者關(guān)鍵的軟件組件的軟件等級(jí)由該系統(tǒng)的最嚴(yán)重失效狀態(tài)類別來確定，其它軟件組件的軟件等級(jí)將由系統(tǒng)失去上述功能后的剩余失效狀態(tài)類別來確定。

3）串行執(zhí)行過程是指一個(gè)系統(tǒng)的功能要靠多個(gè)軟件組件來共同實(shí)現(xiàn)，以至于任何軟件組件的異常行為都將會(huì)引起系統(tǒng)的失效。對(duì)于串行執(zhí)行過程而言，軟件組件的軟件等級(jí)都將由該系統(tǒng)的最嚴(yán)重失效狀態(tài)類別來確定。

4）如果一個(gè)軟件組件的異常行為導(dǎo)致了多個(gè)失效狀態(tài)的發(fā)生，那么最嚴(yán)重失效狀態(tài)類別就決定了該軟件組件的軟件等級(jí)。隨著系統(tǒng)設(shè)計(jì)技術(shù)的演變，產(chǎn)生了各種架構(gòu)策略，例如在DO-178C標(biāo)準(zhǔn)第2.4節(jié)中詳細(xì)介紹，這些策略的使用可能會(huì)導(dǎo)致軟件等級(jí)的修改。例如：

· 分區(qū)/隔離

如果使用分區(qū)/隔離技術(shù)，每個(gè)被隔離軟件組件的軟件等級(jí)將由該組件所導(dǎo)致的最嚴(yán)重失效狀態(tài)來確定。如果分區(qū)/隔離保護(hù)由軟件來實(shí)現(xiàn)，那么該軟件的軟件等級(jí)將與被隔離軟件中的最高等級(jí)相同。

· 安全性監(jiān)控

如果使用安全性監(jiān)控技術(shù)，被監(jiān)控功能的軟件等級(jí)可以降低至喪失該功能后的對(duì)應(yīng)等級(jí)。執(zhí)行安全性監(jiān)控功能的軟件其軟件等級(jí)則由被監(jiān)控功能中的最嚴(yán)重失效狀態(tài)來確定。

5）開發(fā)某一等級(jí)的軟件并不意味著為軟件分配失效率，因此軟件等級(jí)以及基于軟件等級(jí)的軟件可靠率（Software Reliability Rate）就不能像硬件失效率那樣在系統(tǒng)評(píng)估過程中加以應(yīng)用。軟件的錯(cuò)誤并不呈現(xiàn)概率分布。

審核編輯：湯梓紅