RTCA DO-178B机载系统和设备合格审定中的软件考虑(4)

机载系统和设备合格审定中的软件考虑

用户更改的潜在影响由系统安全性评估过程确定，并用于开发软件需求和软件验证过程的活动。在5.2.3条中，进一步讨论用户可更改软件的设计。影响不可更改的软件、它的保护或可更改软件界限的更改是一种软件更改，并在12.1.1条中讨论。在本文件中，可更改部件是准备由用户更改的软件的那部分，不可更改部件是不准备由用户更改的软件的那一部分。

一些机载系统和设备可包括选择性的功能。它是由软件编程来选项，而不是通过硬件连接器引脚来选择，可选择选项的软件功能用于在目标机中选择特定的配置。对无效码的指南见5.4.3条。

系统对用户可更改软件、可选择选项软件和商用成品软件进行考虑的指南包括：

a. 用户可更改软件 如果系统需求中提供了用户更改，那么用户可在更改限制范围内修改软件，而无需经过合格审定机构的评审。

b. 系统需求将规定防止用户更改影响到系统安全性而没有正确实施更改的方法。为用户更改提供保护的软件将具有与防止更改部件出错的功能软件一样的等级。

c. 如果系统需求不包括用户更改的条款，除非证明更改符合本文件，否则软件不得由用户更改。

d. 在用户更改时，用户要对用户可更改软件的所有方面负责。例如软件配置管理、软件质量保证和软件验证

e. 可选择选项软件 当包括编程选项的软件时，要提供手段确保不会为安装环境中的目标机偶然选择到涉及未经批准的配置。

f. 商用成品软件 包括在机载系统或设备中的商用成品软件要满足本文件的目标。

g. 如果在商用成品软件的软件生存周期资料中存在缺项，那么要增加资料，以满足本文件的目标。12.1.4条－－开发基线升级和12.3.5－－产品服务历史的指南与这种情况有关。

2．5 系统设计对外场可加载软件的考虑

外场可加载机载软件是无需把系统或设备从它安装位置上拆下来即可装入的软件或数据表。与软件数据加载功能相关的有关安全性的需求是系统需求的一部分。如果软件数据加载功能可能偶然会引起系统失效状态，那么对于软件数据的加载功能，与安全性有关的要求要在系统需求中规定。

与外场可加载软件有关的系统安全性考虑包括： ·不可靠的或部分加载的软件的检测 ·加载不合适软件的影响的确定 ·硬件/软件兼容性 ·软件/软件兼容性 ·航空器/软件兼容性

·外场加载功能的偶然使能

·软件配置标识显示的丢失或不可靠 对外场可加载软件的指南包括：

a. 除非由系统安全性评估过程证明是正确的，否则部分或不可靠软件加载的检测机制要有与软件加载功能有关的最严重的失效状态或软件等级一样的失效状态或软件等级。

16

机载系统和设备合格审定中的软件考虑

b. 如果当不合适的软件或数据加载时系统有一个缺省模式，那么在这个模式表明的潜在失效状态中，系统的每一个划分部件要有为运行规定的与安全性有关的需求。

c. 软件加载功能，包括支持系统和过程，要包括检测不正确软件和/或硬件和/或航空器组件的手段，并对功能的失效状态提供合适的保护。

d. 如果软件是确保航空器符合合格审定配置的机载显示方法的一部分，那么该软件要么按最高级软件开发并加载，要么系统安全性评估过程要能够说明软件配置标识的不断检查的完整性。

2．6 系统需求对软件验证的考虑

根据系统运行要求和由系统安全性评估过程产生的与安全性有关的要求来开发系统需求。考虑包括：

a. 机载软件的系统需求要确定软件的两个特性： （1） 软件完成了系统需求中定义的指定功能；

（2） 软件没有呈现出系统安全性评估过程确定的具体的异常状态。为了消除异常状态，要求增加系统需求。

b. 这些系统需求进而发展到由软件验证过程活动验证的软件高级需求。

2．7 系统验证中的软件考虑

系统验证的指南超出了本文件的范围。然而，软件生存周期过程可帮助系统验证过程并与系统验证过程相互作用。与系统功能性相关的软件设计细节也可用于帮助系统验证。

系统验证可提供代码结构的主要覆盖范围。可使用系统验证测试的覆盖范围分析来实现软件验证中说明的各种不同测试活动的覆盖范围的目标。

3．0 软件生存周期

本章讨论软件生存周期过程、软件生存周期定义和软件生存周期过程之间的转换准则。本文件的指南并未描述一个特定的软件生存周期，而是描述了大多数生存周期的分离的过程及其间的相互联系。过程的分离并不打算表明完成他们的组织结构。对每一个软件产品，要构造包括这些过程的软件生存周期。

3．1软件生存周期过程

软件生存周期过程是：

·软件计划过程 定义并协调一个项目的软件开发和综合过程的活动。第4章描述了软件计划过程。

·软件开发过程 这些过程是软件需求过程、软件设计过程、软件编码过程和综合过程。第5章描述了软件开发过程。

·综合过程 保证软件生存周期及其输出正确、受控和可信。综合过程是软件验证过程、软件配置管理过程、软件质量保证过程和合格审定联络过程。在整个软件生存周期中，了解同软件开发过程同时完成的综合过程是重要的。第6～9章描述了综合过程过程。

3．2 软件生存周期定义

通过选择每一个过程的活动、规定活动的顺序和分配给活动的责任，一个项目

17

机载系统和设备合格审定中的软件考虑

可以定义一个或多个软件生存周期。

对一个具体项目，由项目的特性来确定这些过程的顺序，如系统功能性和复杂性，软件大小和复杂性，需求稳定性，以前开发结果的使用，开发策略和硬件可用性。整个软件开发过程的一般顺序是需求、设计、编码和综合。

图3－1对具有不同软件生存周期的单个软件的几个部件的软件开发过程的顺序进行了说明。通过开发软件需求，部件W实施一系列系统需求，使用那些需求来确定软件设计，将设计转化为源代码，并且把软件部分综合到硬件中去。部件X是对在已经合格审定的航空器或发动机中使用的以前开发的软件的使用说明。部件Y说明了利用能从软件需求直接编码的简单的、划分的功能。部件Z说明了使用原型策略。通常，原型的目标是更好理解软件需求并减少开发和技术的冒险。用原始需求作为开发原型机的基础。这个原型机在代表被开发系统的预定的使用环境中进行评估。评估结果被用来改进需求。

软件生存周期过程可反复迭代，即进入和再进入。迭代的时机和程度随系统功能、复杂性、需求开发、硬件可用性、对以前过程的反馈和项目的其它特征的进一步开发而变化。

选择的软件生存周期的各个不同部分与进一步的综合过程和软件验证的活动紧密连在一起。

3．3 过程之间的转换准则

使用转换准则来确定一个过程是否可以进入或再进入。每一个软件生存周期过程完成输入到产生输出的活动。一个过程可对其他过程产生反馈，并从其他过程接受反馈。反馈的定义包括如何通过接受过程识别、控制和处理信息。一个反馈定义的例子是问题报告。

转换准则将取决于软件开发过程和综合过程的预定顺序，并且可能会受到软件等级的影响。可供选择的转换准则的例子是：已完成的软件验证过程评审；输入是一个被标识的配置项；完成了输入的可追踪分析。

如果为过程确定的转换准则是满意的，那么过程的每一个输入不必在过程开始前完成。指南包括：

a. 如果一个过程对部分输入起作用，那么要检查过程的后续输入以确定软件开发和软件验证过程的以前的输出仍然有效。

18

机载系统和设备合格审定中的软件考虑

分配给软件的系统 需求 软件部件： R－D－C－I 部件W?? R－I 部件X?? R－C－I 部件Y?? 部件Z?? R－C－I－C－I－R－D－C－I 代号 软件产品 R = 需求 C = 编码 D = 设计 I = 综合 注：为了简单，并未表明软件计划和综合过程 图3－1 使用四种不同开发顺序的软件项目的例子

4．0 软件计划过程

本章讨论软件计划过程的目标和活动。这个过程产生指导软件开发过程和综合过程的软件计划和标准。附件A的表A－1是各级软件的软件计划过程的目标和输出的总结。

4．1 软件计划过程目标

软件计划过程的目标是定义产生满足系统需求并提供与适航要求相一致的置信度水平的软件方法。软件计划过程的目标是：

a. 定义表明系统需求和软件等级的软件生存周期的软件开发过程和综合过程

19

机载系统和设备合格审定中的软件考虑

的活动（4.2条）

b. 确定软件生存周期，包括过程之间的内部关系、它们的顺序、反馈机理和转换准则（第3章）。

c. 选择软件生存周期环境，包括用于每一个软件生存周期过程活动的方法和工具（4.4条）。

d. 其它考虑。如果必要，可提出如第12章1讨论的那些。 e. 定义与被生产软件的系统安全目标相符的软件开发标准。 f. 编制了符合4.3条和第11章的软件计划。 g. 协调软件计划的开发和修订。

4．2 软件计划过程活动

有效的计划是生产的软件满足本文件指南的决定因素。软件计划过程的指南包括：

a. 软件计划要及时地在软件生存周期的某一点予以开发，以便及时地为完成软件开发过程和综合过程的人员提供指导。也可参见9.1条。

b. 要明确或选择用于项目的软件开发标准

c. 要选择在软件开发过程中提供防止错误的方法和工具。

d. 软件计划过程将在软件开发和综合过程之间提供协调，以保证在软件计划中的策略之间保持一致。

e. 软件计划过程要包括随项目进展修订软件计划的方法。

f. 在系统中使用多版本非相似软件时，软件计划过程要选择满足系统安全性目标所必需的避免错误或进行必要检测的方法和工具。

g. 对将被完成的软件计划过程，软件计划和软件开发标准要在更改控制之下并完成对它们的评审（4.6条）。

h. 如果准备使用无效码（2.4条），软件计划过程将描述怎样定义验证和处理无效码（选择的选项、飞行试验），以达到系统安全性目标。

i. 如果准备使用用户可更改代码，在软件计划和标准中将规定证实5.2.3条指南的过程、工具、环境和数据项。

如果计划和方法对具体的过程活动是可用的，那么其它软件生存周期过程可在软件计划过程完成之前开始。

4．3 软件计划

软件计划的目标是确定满足本文件目标的方法。它们规定了将完成那些活动的组织。软件计划是：

·软件合格审定计划（11.1条）为征得合格审定机构对建议的开发方法的同意而与其进行联络的主要手段，并且定义了符合本文件的方法

·软件开发计划（11.2条）定义了软件生存周期和软件开发环境 ·软件验证计划（11.3条）定义了满足软件验证过程目标的方法

·软件配置管理计划（11.4条）定义了满足软件配置管理过程目标的方法 ·软件质量保证计划（11.5条）定义了满足软件质量保证过程目标的方法 软件计划的指南包括：

a. 软件计划要符合本文件。

b. 软件计划要定义规定的软件生存周期过程之间的转换准则； （1） 过程的输入，包括从其它过程的反馈；

20

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库RTCA DO-178B机载系统和设备合格审定中的软件考虑(4)在线全文阅读。