RTCA DO-178B机载系统和设备合格审定中的软件考虑(5)

机载系统和设备合格审定中的软件考虑

（2） 可能需要的对这些输入起作用的任何综合过程的活动； （3） 工具、方法、计划和规程的可用性。

c. 在合格审定的航空器或发动机上使用之前，软件计划要表明用于实施软件更改的规程。这种更改可能是由于其它过程的反馈的结果，且可能引起软件计划的更改。

4．4 软件生存周期环境计划

对软件生存周期环境，计划的目标将用于定义开发、验证、控制和编制软件生存周期资料（第11章）和软件产品所使用的方法、工具、规程、程序设计语言和硬件。选择的软件环境如何对机载软件产生有利的影响的例子包括强化标准、检测错误、实施错误防护和故障容错方法。软件生存周期环境是一个可能引起失效状态的潜在的错误源。这个软件生存周期环境的构成可能受在系统安全性评估过程中确定的与安全性有关的要求的影响，例如非相似的使用，冗余部件。

错误防止方法的目标是在软件开发过程期间避免可能引起失效状态的错误。基本原则是选择需求开发和限制引入错误机会的设计方法、工具和程序设计语言以及保证能检测到引入错误的验证方法。故障容错方法的目标要包括软件设计或源代码中的安全特性，以保证软件正确地响应输入数据错误，并防止输出和控制错误。用系统需求和系统安全性评估过程确定对错误防护或故障容错方法的要求。

上述考虑可能影响到：

·软件需求过程和软件设计过程中所用的方法和表示法 ·软件编码过程使用的程序设计语言和方法 ·软件开发环境工具

·软件验证和软件配置管理工具 ·工具鉴定要求（12.2条）

4.4.1 软件开发环境

软件开发环境是生产高质量软件的主要因素。软件开发环境可以几种方式对机载软件的生产产生不利影响。例如，编译程序可通过产生一个错误输出而引入错误，或者连接器不能暴露出表现出来的存储器分配错误。选择软件开发环境方法和工具的指南包括：

a. 在软件计划过程期间，选择的软件开发环境要把最终机载软件的潜在风险减至最小。

b. 要选择有资格的工具或工具的组合以及软件开发环境的部件的使用，以便由另一个部件检测到的某个部件引入的错误能达到必要的置信度水平。当两个部件同时一起使用时，能产生一个可接受的环境。

c. 定义的软件验证过程活动或软件开发标准，包括对软件等级的考虑，要使与软件开发环境有关的潜在错误减至最少。

d. 对组合工具的使用，如果寻求合格审定置信度，那么工具操作的顺序要在有关计划中规定。

e. 如果在项目使用中选择了软件开发工具的可选择特性，那么选项的效果要加以检查并在有关计划中规定。

注：工具直接产生软件产品的一部分是特别重要的。在本文中，编译程序可能是考虑的最重要的工具。

4.4.2 语言和编译程序考虑

21

机载系统和设备合格审定中的软件考虑

在成功地完成软件产品的验证时，要考虑编译程序对那个产品的可接受性。为了确认这一点，软件验证过程活动要考虑编程语言和编译程序的特殊特征。当选择编程语言和计划验证时，软件计划过程要考虑这些特征。指南包括：

a. 一些编译程序具有优化目标代码性能的特征。如果测试用例给出的覆盖范围与软件等级一致，那么不需要验证优化的正确性，否则这些特征对结构覆盖范围分析的影响要按6.4.4.2条的指南来确定。

b. 为了实施某些特征，对一些语言的编译程序可能产生不能直接追踪到源代码的目标代码，例如初始化、机内错误检测或异常处理(6.4.4.2条b 项)。软件计划过程要提供检测这个目标代码的方法，以保证验证的覆盖范围并在有关计划中定义了这些方法。

c. 如果引入了一个新的编译程序、连接编辑程序或加载程序版本或者在软件生存周期间更改了编译程序的选项，那么以前的测试和覆盖范围分析可能不再是有效的。验证计划要提供与第6章和12.1.3条的指南相符的重新验证的方法。

4.4.3 软件测试环境

软件测试环境计划的目标是定义将用于测试综合过程输出的方法、工具、规程和硬件。测试可使用目标计算机、目标计算机的模拟器或宿主机仿真器来完成。指南包括：

a. 模拟器或仿真器可能需要按12.2条规定进行鉴定。

b. 要考虑在目标机和模拟器或仿真器之间的差异以及这些差异对检测错误和验证功能的能力的影响。那些错误的检测要由其它的软件验证过程活动提供并在软件验证计划中规定。

4．5 软件开发标准

软件开发标准的目标是为软件开发过程定义规则和限制。软件开发标准软件需求标准、软件设计标准和软件编码标准。软件验证过程使用这些标准作为评估过程实际输出与预定输出符合性的基础。对软件开发标准的指南包括：

a. 软件开发标准要符合第11章；

b.软件开发标准要保证某给定的软件产品或相关的一套产品的软件部件的设计和实施是一致的；

c.软件开发标准不允许使用产生不能验证或与安全性有关的需求不相符的输出的结构或方法。

注：在开发标准中，要考虑以前的经验。要包括在开发、设计和编码方法中的限制和规则，以控制复杂性。要考虑保护程序的方法以改进耐用性。

4．6软件计划过程的评审和保证

要改进软件计划过程的评审和保证，以确保软件计划和软件开发标准符合本文件的指南，并提供执行它们的方法。指南包括：

a. 选择的方法将能够满足本文件的目标； b. 软件生存周期过程一直适用；

c. 每一过程产生其输出能追溯到它们活动和输入的证据，并表明活动、环境和使用方法的独立程度；

d. 软件计划过程的输出是一致的，且符合第11章要求。

5．0 软件开发过程

22

机载系统和设备合格审定中的软件考虑

这一章讨论软件开发过程的目标和活动。应用的软件开发过程由软件计划过程（第4章）和软件开发计划（第11.2章）来定义。附件A的表A－2是按软件等级划分的软件开发过程的目标和输出的总结。软件开发过程是：

·软件需求过程 ·软件设计过程 ·软件编码过程 ·综合过程

软件开发过程产生一个或多个等级的软件需求。高级需求直接通过系统需求和系统结构的分析来产生。通常，这些高级需求在软件设计过程中进一步开发，这样产生一个或多个成功的较低级需求。然而，如果源代码直接从高级需求产生，高级需求也要考虑低级需求，并且对低级需求的指南也适用。

软件开发过程产生一个或多个等级的软件需求。高级需求直接通过系统需求和系统结构的分析来产生。通常，这些高级需求在软件设计过程中进一步开发，这样产生一个或多个成功的较低级需求。然而，如果源代码直接从高级需求产生，高级需求也要考虑低级需求，并且对低级需求的指南也适用。

软件结构的开发涉及到关于该软件结构所做的决策。在软件设计过程期间，要定义软件结构并开发低级需求。低级需求是不用进一步信息而直接实现源代码的软件需求。

每一个软件开发过程可能产生派生需求。派生需求是不能直接追溯到更高级需求的需求。这样，一个派生需求的例子是为选择的目标主计算机而开发中断处理软件的需求。高级需求可包括派生需求，低级需求也可包括派生需求。派生需求对与安全性有关的需求的影响由系统安全性评估过程确定。

5．1 软件需求过程

软件需求过程使用系统生存周期的输出来开发软件高级需求。这些高级需求包括功能、性能、接口和与安全性有关的需求。

5.1.1 软件需求过程目标

软件需求过程目标： a. 开发高级需求

b. 系统安全性评估过程要表明派生的高级需求。

5.1.2 软件需求过程活动

软件需求过程的输入包括来自系统生存周期过程的系统需求、硬件接口和系统结构（在需求中并未包括）以及来自软件计划过程的软件开发计划和软件需求标准。当计划的转换准则已被满足时，这些输入用于开发软件高级需求。

这个过程的主要输出是软件需求资料（11.9条）。

当它的目标和与它有关的综合过程的目标被满足时，软件需求过程就完成了。对这个过程的指南包括：

a. 对不明确的、不一致的和未定义的状态，要分析分配给软件的系统功能和接口要求；

b. 要报告软件需求过程检测到的不合适的或不正确的输入，并反馈到输入的源过程以澄清或纠正；

c. 要在高级需求中规定分配给软件的每一个系统需求；

23

机载系统和设备合格审定中的软件考虑

d. 表明分配给软件以减小系统危害性的系统需求的高级需求要加以定义； e. 高级需求要符合软件需求标准，并且是可验证的和一致的； f. 若适用，高级需求要用容差的定量术语来说明；

g. 除了规定的和合理的设计限制外，高级需求不应详细描述设计和验证细节； h. 分配给软件的每一个系统需求要追溯到一个或多个软件高级需求； i. 除派生的需求外，每一个高级需求要追溯到一个或多个系统需求； j. 要为系统安全性评估过程提供派生的高级需求。

5．2 软件设计过程

在软件设计过程中，通过一次或多次迭代，逐步完善出软件高级需求，以开发软件结构和能用于实现源代码的低级需求。

5.2.1 软件设计过程目标：

软件设计过程目标是：

a. 根据高级需求开发软件结构和低级需求；

b. 要为系统安全性评估过程提供派生的低级需求。

5.2.2 软件设计过程活动

软件设计过程输入是软件需求资料、软件开发计划和软件设计标准。当预定的转换准则已被满足是，在设计过程中使用高级需求来开发软件结构和低级需求。这可能涉及到一个或多个较低级的需求。

这个过程的主要输入是包括软件结构和低级需求的设计说明（11.10条）。 当其目标和与其有关的综合过程的目标被满足是，软件设计过程就完成了。对这个过程的指南包括：

a. 在软件设计过程期间，开发的低级需求和软件结构要符合软件设计标准，并且是可追踪、可验证和一致的。

b. 要定义和分析派生的需求，以保证不损害高级需求。

c. 软件设计过程的活动能引入可能的失效模式到软件中或相反地，干扰其他的软件。在软件设计中采用划分或其他结构方法对软件的某些部件可改变软件等级的分配。在这些情况下，将定义附加资料作为派生需求，并把这些资料提供给系统安全性评估过程。

d. 当规定与安全有关的需求时，要监控控制流和数据流，如看门狗定时器、合理的检查和交叉通道比较。

e. 对失效状态的响应要与安全性有关的要求一致。

f. 在软件设计过程中检测到的不合适的或不正确的输入将提供给系统的生存周期过程、软件需求过程或软件测试过程，作为澄清或纠正的反馈。

注：软件工程目前的状态不允许在复杂性和达到安全性目标之间进行定量对比。当不能提供目标指南时，软件设计过程要避免引入复杂性，因为当软件复杂性增加时，验证设计和表明软件的安全性目标得以满足均是更困难的。

5.2.3 用户可更改软件的设计

下列指南涉及到设计可由其用户更改的软件开发。更改的部件是准备由用户更改的软件的那一部件，而非更改部件是不准备由用户更改的那个部件。用户可更改软件在复杂程度上是可以变化的。例如为了航空器的维护功能，用来选择两设备选项中之一的单个存储位、信息表或能够编程、编译和连接的存储区域。任何

24

机载系统和设备合格审定中的软件考虑

等级的软件能包括一个可更改的部件。

对设计用户可更改软件的指南包括：

a． 非更改部件要预计保护，以防止非更改部件在安全运行中受到更改部件的干扰。这种保护可用硬件、软件、用于更改的工具或三者的组合来实现。

b． 要表明申请人提供的方法是更改可更改部分的唯一方法。

5．3 软件编码过程

在软件编码过程中，由软件结构和低级需求实现源代码。

5.3.1 软件编码过程目标

软件编码过程目标是：

a. 开发的源代码是可追踪的、可验证的、合理的且正确的实现了低级需求。

5.3.2 软件编码过程活动

软件编码过程的输入是来自软件设计过程的低级需求和软件结构、软件开发计划。当预定的转换准则被满足时，软件编码过程可以进入或重新进入。由这个过程产生的源代码取决与软件结构和低级需求。

这个过程的主要结果是源代码（11.11条）和目标代码。

当其目标和与其有关的综合过程的目标被满足时，软件编码过程也就完成了。对这个过程的指南包括：

a. 源代码要实现低级需求并符合软件结构； b. 源代码要符合软件编码标准；

c. 源代码对设计说明来说将是可追踪的；

d. 在软件编码过程中检测到的不合适的或不正确的输入要提供给软件需求过程、软件设计过程和软件计划过程，以作为澄清或纠正的反馈。

5．4 综合过程

目标计算机和来自软件编码过程的源代码和目标代码被用来在综合过程中连接和加载数据，以开发综合的机载系统或设备。

5.4.1 综合过程目标

综合过程目标是：

a. 把可执行目标代码加载到软件/硬件综合的目标硬件中。

5.4.2 综合过程活动

综合过程由软件综合和硬件/软件综合组成。

当预定的转换准则被满足是，综合过程可以进入或重新进入。综合过程的输入是来自软件设计过程的软件结构和来自软件编码过程的源代码和目标代码。

综合过程的输出是可执行目标代码（正象11.12条定义的那样）及连接和加载数据。当其目标和与之有关的综合过程的目标被满足是，就完成了综合过程。这个过程的指南包括：

a. 可执行目标码要从源代码对和连接加载数据产生。 b. 把软件加载到硬件/软件综合的目标计算机中。

c. 在综合过程中检测到的不合格的或不正确的输入将提供给软件需求过程、

25

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库RTCA DO-178B机载系统和设备合格审定中的软件考虑(5)在线全文阅读。