RTCA DO-178B机载系统和设备合格审定中的软件考虑(3)

机载系统和设备合格审定中的软件考虑

软件生存周期过程 软件生存周期——第3章 软件计划过程——第4章 软件开发过程——第5章 综合过程 软件验证——第6章 软件配置管理——第7章 软件质量保证——第8章 合格审定联络——第9章 软件生存周期资料——第11章 其它考虑——第12章 图1—1 文件综述

2.1 系统和软件生存周期过程之间的信息流

图2—1是系统生存周期过程和软件生存周期过程之间的安全性方面的信息流综述。由于系统的安全性评估过程和系统设计过程是相互关联的，所以在这些部分描述的信息流是重叠的。

注：在本文件出版的时候，对系统生存周期过程的指南正由一个国际委员会编制。尽管用各种办法力图保持过程之间的信息流和定义的兼容性，但在最终出版的文件间可能还存在一些差异。任何差异将在未来的文件修订中进行协调。

11

机载系统和设备合格审定中的软件考虑

适航性要求 系统运行要求 系统生存周期过程 系统安全性评估过程 分配给软件的系统需求 软件等级 设计限制 硬件定义 故障限制范围 标明的 / 消除的错误源 软件需求和结构 软件生存周期过程 图2—1 在系统和软件生存周期过程之间与系统安全性有关的信息流

2.1.1 从系统过程到软件过程的信息流

系统安全性评估过程要确定系统的失效状态并对之进行分类。在系统安全性评估过程中，系统设计分析要定义希望避免这些失效状态的与安全性有关的要求及系统对这些失效状态的响应。对软件和硬件规定的这些要求要清除或限制故障的影响，并可提供故障检测和故障容差。当在硬件设计过程和软件开发过程中做这些决策时，系统安全性评估过程要分析最终的系统设计以验证它是否满足与安全有关的要求。

与安全有关的要求是系统需求的一部分，作为软件生存周期过程的输入。为了保证在整个软件生存周期中合理地实现与安全性有关的要求，系统需求主要应包括或引用：

·系统说明和硬件定义

·合格审定要求，包括适用的联邦航空条例（FAR—美国）、联合适航要求 （JAR—欧洲）、咨询通报（AC—美国）等

·分配给软件的系统需求，包括功能要求、性能要求和与安全性有关的要求 ·软件等级及确定它们的资料、失效状态及其类别、分配给软件的有关功能 ·安全性策略和设计限制，包括设计方法。如划分、非相似性、冗余或安全性监控

·当该系统是另外一个系统的一部分时，那个系统的与安全性有关的要求和失

12

机载系统和设备合格审定中的软件考虑

效状态

系统生存周期过程可以规定对软件生存周期过程的要求，这样有助于系统的验证活动

2.1.2 从软件过程到系统过程的信息流

利用软件生存周期过程提供的信息，系统安全性评估过程要确定软件设计和实施对系统安全性的影响。这些信息包括故障限制范围、软件需求、软件结构和在软件设计过程中通过使用工具或其它方法检测或消除的软件结构中的错误源。在系统需求和软件设计资料之间的可追踪性对系统安全性评估是重要的。

对软件的更改可能会影响到系统的安全性，所以必须明确用于评估的系统安全性评估过程。

2.2 失效状态和软件等级

下列指南涉及到系统失效状态分类、软件等级的定义、软件等级和失效状态类别之间的关系和如何确定软件等级。

系统失效状态的类别是通过确定失效状态对航空器及其乘客的危害度来确定的。软件错误可能引起导致失效状态的故障，因此，对安全操作是必需的软件等级的完整性关系到系统的失效状态。

2.2.1 失效状态类别

为了全面地定义失效状态的类别，可参考有关的条例和指导性材料、联邦航空局 AC 25—1309—1A和 / 或联合航空管理局AMJ25—1309及其修订内容。列举的失效状态是从这些指南材料中引伸过来的并包括了其中的类别，以利于本文件的使用。这些类别是：

a. 灾难性的 阻止继续安全飞行和着陆的失效状态。

b. 危险的 / 严重的 降低航空器的性能和机组人员克服不利操纵状态的能力的失效状态。这些不利操纵状态达到的程度是： （1）大大降低了安全性余量或功能能力；

（2）身体疲劳或高负荷使飞行机组不能精确或完整地完成他们的任务；或 （3）对乘客的不利影响，包括对少数乘客严重的或潜在的致命伤害。 c. 较重的 可能降低航空器的性能和机组人员克服不利操纵状态的能力的 失效状态。这些不利操纵状态达到的程度如：较大地降低安全余量或功能能力、较大地增加了机组人员的工作量或削弱机组人员工作效率的状态，或造成乘客不舒服，可能包括伤害。

d. 较轻的 不会严重降低航空器安全性及有关机组的活动在他们的能力内 能很好完成的失效状态。较轻的失效状态可能包括：如稍微减少安全余量或功能能力；稍微增加机组人员的工作量，如航线飞行计划更改或乘客的某些不方便。

e. 无影响的 不影响航空器的工作性能或不增加机组工作量的失效状态。

2.2.2 软件等级定义

软件等级是基于在系统安全性评估过程中确定的软件对潜在失效状态的影 响。软件等级意味着用来表明符合合格审定要求的努力程度随失效状态的类别而变化。这些软件等级的定义是：

a. A 级 可能引起或导致系统功能失效进而引起航空器灾难性失效状态的

13

机载系统和设备合格审定中的软件考虑

异常状态的软件，这种异常状态可通过系统安全性评估过程来表明。

b. B 级 可能引起或导致系统功能失效进而引起航空器危险的/严重的失效状态的异常状态的软件，这种异常状态可通过系统安全性评估过程来表明。

c. C 级 可能引起或导致系统功能失效进而引起航空器较重失效状态的异常状态的软件，这种异常状态可通过系统安全性评估过程来表明。

d. D 级 可能引起或导致系统功能失效进而引起航空器较轻失效状态的异常状态的软件，这种异常状态可通过系统安全性评估过程来表明。

e. E 级 可能引起或导致系统功能失效的异常状态的软件。这种异常状态可通过系统安全性评估过程来表明。它不会影响航空器的工作性能或驾驶员工作量。一旦软件由合格审定机构定位E 级，本文件就不再提供进一步的指南。

2.2.3 软件等级确定

系统安全性评估过程首先要确定与特定系统中的软件有关的软件等级，而不考虑系统设计。当做这个决定时，必须表明失效的影响，无论是功能丢失还是故障。

注：（1）在进一步的开发过程中，申请人可能考虑增加的功能能力以及可能导致更严重的失效状态类

别和更高软件等级的分配给软件的系统需求中潜在的更改，可能希望开发的软件能达到高于原申请人在系统安全性评估过程中确定的软件等级，因为为了证实较高的软件等级的应用，软件生存周期资料的后续开发可能是困难的。

( 2）对由运行条例管理的机载系统和设备，只要不影响航空器的适航行性，如事故飞行数据记录仪，软件等级要与预定功能相匹配，在某些场合，可在设备最低性能标准中规定软件等级。

如果软件部分的异常状态引起多个失效状态，那么那个部件的最严重的失效状态类别决定了那个软件部件的软件等级。在系统设计评估过程中，如在2.3中规定的那些，存在可能导致软件等级被更改的结构方法。

系统功能可以分配到一个或多个已划分的软件部件中，并行实施是用多个软件部件来实现一个系统功能。这样，只有多个部件的异常状态才能产生一个失效状态。对并行实施，至少有一个软件部件具有与那个系统功能最严重的失效状态相应的软件等级，其它部件的软件等级使用与那个功能丢失有关的失效状态类别来确定。这种实施的例子在2.3.2条——多版本非相似软件和2.3.3条——安全性监控中预以描述。

一个系统功能亦可用多个软件部件来串行实施。这样，任何部件的异常状态都能产生失效状态。在这种实施中，软件部件将具有与系统功能的最严重的失效状态类别相应的软件等级。

开发某一等级的软件并不意味着对那个软件失效率的分配。这样，软件等级或基于软件等级的软件可靠率（reliability rates）不能象硬件失效率那样在系统安全性评估过程中使用。

不符合2.2.3条指南的方法需要通过系统安全性评估过程来证明是正确的。

2．3 系统结构考虑

如果系统安全性评估过程确定系统结构可消除可能导致系统最严重失效状态的软件的异常状态，那么要根据引起软件异常状态的失效状态的最严重类别来确定软件等级。系统安全性评估过程考虑了结构设计方法，以确定它们是否影响软件等级或软件的功能性。本指南提供了几种结构方法，它们可限制错误的影响或利于检测错误和对某些错误提供可接受的系统响应。

这些结构技术不要理解为是更好的或要求的方法。

14

机载系统和设备合格审定中的软件考虑

2.3.1 划分

划分是在功能上独立的软件部件之间提供隔离的技术，以确定和/或隔离故障，并潜在地减少软件验证过程的工作量。如果通过划分提供了保护，那么对每一个划分的软件等级，可使用与那个部件相关的最严重的失效状态类别来确定。

对划分的指南包括：

a. 当设计了划分保护时，要考虑系统的下列方面，以确定它们是否防碍了那个保护：

（1）硬件资源 处理器、存储器设备、输入 / 输出设备、中断和定时器； （2）控制耦合器 外部存取易损性；

（3）数据耦合器 共享或重复占位数据，包括堆栈和处理器寄存器； （4）与保护机制相关的硬件设备的失效模式。

b. 软件生存周期过程要表明划分的设计考虑，包括划分的部件之间允许的内部连接的程度和范围，无论保护是通过硬件还是通过软件和硬件的组合来实现的。

c. 如果划分保护涉及到软件，那么软件的等级要与划分的软件部件的最高等级相对应。

2.3.2 多版本非相似软件

多版本非相似软件是系统设计技术，它涉及到产生两个或更多的软件部件。这些部件以可在部件间避免某些共同错误源的方式提供同样的功能。多版本非相似软件也称为多版本软件、非相似软件、N版本程序设计或软件多样性。

在非相似性引入到开发之前，完成的或进行的软件生存周期过程保留了潜在的错误源。系统需求规定了执行多版本多版本非相似软件提供的硬件配置。

非相似的程度进而防护的程度通常是不可计量的。系统功能丢失的可能性将增加到这样的程度，即与非相似软件版本相关的安全性监控能检测到实际的错误或超过比较器门限的经验瞬变。所以，通常使用非相似软件版本作为某等级的软件在其验证过程目标（正象第6章规定的那样）被满足之后提供附加保护的手段。对非相似软件验证方法，如果它能表明系统功能的最终潜在失效通过系统安全性评估过程能确定是否可以接受，那么它可以减少验证单一版本软件时所用的那些方法。

多版本非相似软件的验证在12.3.3条中讨论。

2.3.3 安全性监控

安全性监控是通过直接检测可能引起失效状态的功能失效而防止具体失效状态的一种手段。监控功能可通过硬件、软件或硬件和软件的组合来实现。

通过监控技术的使用，所监控的功能的软件等级可以降低到与其相关的系统功能的失效相应的等级。为了允许这个等级的降低，要确定三个重要的属性：

a. 软件等级 安全性监控软件的软件等级要与被监控功能的最严重的失效状态类别相对应。

b. 系统故障范围 监控器的系统故障范围的评估要确保监控器的设计和实施能使想要检测的故障在所有必要的条件下得以检测。

c. 功能和监控器的独立性 监控器和防护措施不会由于引起这种危害的同一失效状态而不予动作。

2．4 系统对用户可更改软件、可选择选项软件和商用成品软件的考虑

15

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库RTCA DO-178B机载系统和设备合格审定中的软件考虑(3)在线全文阅读。