什么是DO-178C标准?
DO-178C/ED-12C标准《机载系统和设备认证中的软件注意事项》(Software Considerations in Airborne Systems and Equipment Certification)是用于开发商用飞机安全关键型软件的参考标准。美国联邦航空管理局(FAA)、欧洲联盟航空安全局(EASA)、加拿大交通部和中国民用航空局(CAAC)等航空认证机构,将该文档视为符合商用航空系统软件相关法规的可接受符合性手段。因此,制造商可以利用DO-178C标准开发安全关键型软件,并确保最终生成的代码符合相应的航空法规。
国防安全法规尚未达到民用法规的一致性和成熟度,不过,设计团队可以使用DO-178C作为国防应用安全关键型软件开发的参考标准。虽然各国防机构都有自己的规定,但是越来越多的机构要求军用飞机上使用的关键系统符合DO-178C标准。
DO-178C标准由RTCA第205特别委员会(SC-205)和EUROCAE第71工作组(WG-17)共同编写,其目标包括更新、阐明和纠正之前的DO-178B标准。RTCA,以前被称为航空无线电技术委员会,将该标准确定为DO-178C,而EUROCAE(欧洲民用航空设备组织)则使用了ED-12C这个名称。DO-178C详细阐述了涵盖整个软件开发生命周期的流程标准,包括软件开发、验证、配置管理和质量保证。
该标准以目标为导向,并未建议实现目标的具体方法。这种基于目标的方法,使每个团队都能够为他们负责的各系统创建灵活的实施方案。例如,航空电子软件与发动机控制软件截然不同,需要采用不同的方法进行软件开发和验证,而这是DO-178C所允许的。
该标准提供了以下指导:
- 指定了软件生命周期流程的目标
- 描述了为实现这些目标而开展的活动
- 描述了为证明满足目标所需的工作成果
DO-178C流程包含三个相互关联的方面:规划、开发和整合过程。整合过程包括验证和确认、质量保证、配置管理和适航取证协调等过程。
研制保障等级(DAL)和目标
该标准涵盖了软件所涉及的系统,ARP4754A(以及最近的ARP4754B)《民用飞机和系统开发指南》,为确定软件适用哪种开发研制保障等级提供了指南。DAL也被称为项目研制保障等级(IDAL)、设计保障等级或被简单称为软件等级。
DO-178C规定了每个DAL的目标,以及哪些目标需要在“独立性”条件下满足。这里的“独立性”目标,是指验证工作须由没有参与被验证项目开发的人员来执行。其中,E级没有目标,A级的目标最多,因为它涉及导致飞机损失和人员死亡的失效情况。
研制保障保证等级(DAL) | 失效情况 | 目标数量 | 独立性目标数量 |
A | 灾难性失效情况——可能致命的伤害和飞机适航性损失 | 71 | 30 |
B | 危险或严重失效情况——可能导致多人受伤或死亡,会显著影响机组人员或飞机性能 | 69 | 18 |
C | 重大失效情况——乘客感到不适或轻微受伤,机组人员需要采取重大措施,安全裕量降低 | 62 | 5 |
D | 轻微失效情况——略微降低安全裕量,略微增加机组人员工作负荷,并对乘客造成轻微的不便,包括飞行计划变更 | 26 | 2 |
E | 无安全影响——对飞机操作、安全性或机组工作负荷没有任何影响 | 0 | 0 |
DO-178C文档结构
DO-178C文档中涵盖软件开发的部分由一份核心文档、三份补充文档和两份相关标准组成,如下图所示。这三份补充文档针对软件开发团队使用的特定技术提供了额外的定制指南。
DO-178C文档结构
DO-331:基于模型的开发和验证(MBDV)补充文档
DO-331补充文档为使用基于模型的技术进行软件开发和验证的团队提供了额外指导。
DO-332:面向对象的技术和相关技术(OOT/RT)补充文档
DO-332补充文档,适用于在软件开发生命周期中使用面向对象的技术进行编程的团队。
DO-333:形式化方法(FM)补充文档
DO-333补充文档,适用于在软件开发生命周期中使用形式化方法的团队。形式化方法,是基于数学技术的用于软件规范、开发和验证的技术。
每份补充文档的结构都与核心文档的相同(即章节标题相同)。对于任何未更改的部分,补充文档明确声明没有任何更改,并且不重复核心文档的内容。另一方面,每份补充文档都明确指出了针对给定技术对DO-178C所作的添加、修改和替换内容。
在使用DO-178C进行软件开发时,还可以考虑使用其他两个文档:
DO-330:软件工具鉴定考虑因素
DO-330是一个独立文档,为工具用户和工具开发人员定义了工具认证流程。需注意,它不是DO-178C的补充文档。
DO-248C:DO-178C的支持信息
DO-248C应答了行业和监管机构的问题,它包含常见问题、讨论文件(DPS)和基本原理。
DO-178C生命周期流程
DO-178C采用“流程”层级结构,如下图所示。DO-178C定义了三组顶级流程:
- 软件计划过程定义和协调了项目软件开发和整合过程的活动。
- 软件开发过程产生了软件产品。
- 整合过程可确保软件生命周期及其输出的正确性、可控性和可靠性。整合过程包括:
- 软件验证
- 软件配置管理
- 软件质量保证
- 软件接口协调
在整个软件生命周期中,整合过程与软件开发过程以及计划过程同时进行。
DO-178C生命周期流程结构
利用基于模型的开发和仿真改进开发和验证过程
基于模型的开发和验证技术在系统关键型软件中越来越受欢迎,因为其提供了一种高效的方法来指定、创建、验证和确认软件。在DO-331补充文档中,受控模型(covered models)被定义为具有以下特征的模型:
- 使用明确定义的图形或文本建模符号完全描述的模型
- 包含软件要求或软件架构定义的模型
- 由软件开发过程或软件验证流程支持的、可用于直接分析或行为评估的模型
基于模型的开发和验证工具,如Ansys SCADE产品系列,可以大幅提高软件的效率和质量,生产符合DO-178C/DO-331目标的软件,同时提供能够加速认证过程的文档。
工程师可以借助以下SCADE产品,支持其关键嵌入式软件的DO-178C认证工作:
- Ansys SCADE Architect软件,支持与软件设计同步进行软件架构设计
- Ansys SCADE Suite软件,这是一款基于模型的设计编辑器,用于嵌入式软件应用设计和安全可靠代码的自动生成
- Ansys SCADE Display软件,用于嵌入式显示器(尤其是航空电子系统的显示器)设计以及安全可靠代码的自动生成
- Ansys SCADE Test软件(包括SCADE Model Coverage),用于SCADE模型的动态验证和模型覆盖率分析
- Ansys SCADE LifeCycle软件 ,用于可追溯性管理和自动文档生成