民用飞机机载软件开发阶段适航审查工作研究

-精选财经经济类资料- -最新财经经济资料-感谢阅读- 1 民用飞机机载软件开发阶段适航审 查工作研究 【摘 要】机载软件开发阶段的 审查工作是软件适航审查工作的不可或 缺的组成部分，同时，机载软件适航审 查工作也影响着整个飞机的适航取证置 信度。本文结合了国际上通用的审查要 求及程序，论述了机载软件开发阶段适 航审查工作的目的原则、内容及审查方 法，并对过程中突出问题进行了分析。 中国论文网 /8/view-12933404.htm 【关键词】民用飞机；机载软件； 适航审查 中图分类号： V247 文献标识码： A 文章编号： 2095-2457（2017）32- 0084-002 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 2 【Abstract】The review of airborne software development phase is an indispensable part of airworthiness review of airworthiness software. At the same time， airworthiness review of airborne software also affects the confidence of airworthiness certification. In this paper， the international common review requirements and procedures are discussed in this paper. The principles， contents and examination methods of airworthiness review during airborne software development are discussed. The outstanding problems in the process are analyzed. 【Key words】Civil aircraft； Airborne software； Airworthiness review 1 软件适航审查工作概述 随着电子芯片和编程技术的高速 发展，应用于民用飞机领域的机载软件 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 3 不仅数量越来越多，复杂程度也日趋增 高，而我国民机研制经验和国外相比起 步较晚，这对机载软件的适航审查工作 带来了更大的挑战。 在当前的机载系统及设备的合格 审定中如何保证这些软件满足适航要求， 工业界发布了 RTCA DO-178B1，之后 又更新了部分细节发布了 RTCA DO- 178C2，FAA 通过 AC 20-115C3确认 了 RTCA DO-178C 可以为适航当局所 接受的一种机载软件符合性方法。 在民机的适航审查过程中，机载 软件的审查是对软件研发过程的审查， 是检查或调查软件的生命周期数据、软 件项目进展和记录以及其他证据，以确 定是否符合 DO-178B/C 目标的活动。 民用飞机机载软件阶段性介入审 查（SOI）由美国 FAA 提出，具体适航 审查程序指南的发布于 FAA8110.49 软件批准指南4。SOI 一般由四个 部分组成，SOI#1（软件计划阶段评审） 、 SOI#2（软件开发阶段评审） 、 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 4 SOI#3（软件验证阶段评审）和 SOI#4（软件最终审定评审） 。在实际项 目中，可以根据项目的复杂程度、委任 代表的审查经验或者软件研制商的适航 开发经验来确定实际项目的评审次数， 即适航当局介入的程度。 本文主要研究的 SOI#2，即软件 开发阶段的介入评审。 OI#2 的评审原则是检查申请人 的： 1）软件研制实际过程是否与已 批准的计划和标准一致； 2）计划的过程是否能够产生合 适的输出。 3 开展软件开发阶段审查的前提 软件开发阶段审查的前提是软件 开发过程足够成熟，这要求申请人及软 件供应商已经完成的工作包括： 1）高层需求已形成文档、内部 评审并可追踪到系统需求； 2）软件架构已定义，并已完成 了评审和分析； -精选财经经济类资料- -最新财经经济资料-感谢阅读- 5 3）低层需求已形成文档、已内 部评审并可追踪到高层需求； 4）源代码实现了低层需求和可 追踪到底层需求，并且经过了内部评审。 4 软件开发阶段审查内容 软件开发阶段审查的具体材料及 相对应的 DO-178B 章节如下表： 当申请人确认当前软件开发已开 展的活动能够表现出整个开发阶段生命 周期的面貌，后期潜在的更改已经能够 对当前结果的影响进行充分分析，就可 以开展 SOI#2 的审查活动。从欧美适航 当局的审查来说，FAA 要求至少 50% 的软件开发阶段数据，包括软件需求、 设计、代码，已经完成开发，那么可以 执行 SOI#2 的评审；EASA 则要求至少 75%的软件开发阶段数据已经完成开发 后可执行 SOI#2 的评审。 申请人应当将 SOI#2 阶段的审查 内容在 SOI#2 评审会前提交局方，如果 有相关内容涉及公司机密不可以直接提 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 6 交，那么应当允许或邀请审查代表在审 查现场直接接触这些数据，以进行审查 工作。 5 软件开发阶段的审查方法 SOI#2 开发评审的检查方法包括 但不限于：介绍、阅读、采样、访谈和 目击。 5.1 介绍 主要由申请方进行软件开发阶段 的介绍，包括当前开发阶段执行的开发 活动，生成的数据，审查方应当对照批 准的计划，检查是否一致； 申 人也应当介绍当前已开展的质量保证 过程的活动，审查方检查是否存在缺漏， 是否存在严重的不符合问题，及采取的 措施。 5.2 阅读 审查方通过阅读的方式对质量保 证记录和报告进行监察，检查质量保证 活动中的不符合问题，问题分类情况， 是否有系统性的问题，如有系统性问题， 当前的措施是否得当。 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 7 通过阅读也可以检查： 1）分配的系统需求是否明确； 2）是否所有分配的系统需求都 分解到了高级别需求； 3）是否所有的高级别需求都有 上级需求对应； 4）高级、低级和代码是否都对 应评审记录； 5）识别出的衍生需求，是否都 反馈到系统进行安全性分析。 5.3 采样 采样是选择一组典型的软件生命 周期数据用于检查或分析，是评审中非 常重要的一种方式，主要是对开发过程 一致性、开发过程对标准的符合性以及 验证正确性的检查。 采样前应准备以下相关数据：高 级别需求条目，低级别需求条目，已完 成编码的高/低级别需求，已完成的代码 量，生成的生命周期数据构型项目，产 生的问题报告数目，产生的变更数目。 在实际的评审中，通常采用的采 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 8 样方法有两种： 1）以某一层次的生命周期数据 为采样的开始，比如软件低级别需求， 根据软件功能或其他重要指标选定若干 条需求作为采样对象，然后检查与这些 需求追溯的其他各级生命周期数据。同 时，在检查时，应该保证向上追溯和向 下追溯两种方向都被遍历。 2）选取某一代表性的变更请求， 按照变更原因、分析影响、更改内容、 再评审的变更步骤进行逐步检查。 审查方应当确保最终采样的数据 包括： 1）系统需求-软件高级别需求-软 件低级别需求； 2）软件架构-软件代码-软件目标 代码； 3）上述软件生命周期数据的验 证记录； 4）构型管理记录； 5）质量保证记录 另外，由于一般情况下审查时采 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 9 样能抽取的数据十分有限，无法覆盖全 部 SOI#2 数据，因此无法保证数据的完 整性。 5.4 目击 阅读和采样都是对数据和记录的 静态检查，而目击是对过程的动态检查。 目击可以使审查人员实际感受当 前的软件研制过程设置，了解工具和环 境的使用，体会软件计划和标准的执行 过程，并且了解对方人员操作的严格程 度。 5.5 访谈 和软件研发人员的面对面交谈可 以使检查人员掌握以下情况，对所需过 程及标准的掌握情况；研发人员是否满 足当前过程设置要求这一假设的正确性。 6 审查结果的记录 审查方将所有审查数据、审查情 况及审查中发现的问题记录在评审报告 中。在审查中发现的错误或者问题，如 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 10 果发现不能符合 DO-178B/C 的一个或 多个目标的事项时，会记为不符合项， 要求申请人整改。如果发现软件生命周 期过程中需要改进的潜在事项，则记为 建议修改项，可以要求申请人提供更改 措施，在后续软件研制过程中改进。同 时，对于现阶段发现的可能影响接下来 的阶段审查目标或特别需要接下来阶段 审查注意的事项，可以记为后续关注项， 在后续的审查过程中予以确认。审查方 会根据具体发现的问题来确定是否需要 再启动 SOI#2，或是后续桌面评审后即 可认可所有的问题解释和相关证据。 如果审查方认为通过审查，申请 人软件开发阶段的工作已经足够充分， 能够满足适用的 DO-178B/C 所规定的 所有目标