根據美國聯邦航空總署 (FAA) 的資料,每天有超過 3 百萬人經由美國各機場搭乘航班。為了確保這些航班安全無虞,遵循許多規範與標準是必要的,其中包括與飛機運作息息相關的軟體元件,例如執行控制程式、連線系統及通訊軟體。
軟體認證在航空產業中,只會隨著時間變得愈發關鍵。現代飛機逐漸倚賴軟體執行關鍵功能,由於自動化技術日益廣獲採用,這些軟體亦趨於複雜。同時,航空產業面臨到降低成本與縮短開發時間的壓力,所以在設計、發展與認證過程中,有必要提升整體效率。然而,要在不犧牲準確度的前提下達成如此效率,對監管機關而言並非易事。
克服這些障礙且確保關鍵軟體安全又有效的方法之一,就從隸屬聯合國的國際層級的國際民航組織 (ICAO) 開始。ICAO 的規範獲得全球採用,並由各國/地區在細部調整後用於制訂國內法規。所有新型與改裝飛機,都須依據這些國家標準通過認證,並在跨越國界時,遵循其他國家/地區的互惠協議。
航空主管機關達成這種互惠的途徑之一,即是採用可接受的合規方法 (AMC),這是一種「不具約束力的標準,用於說明如何達成法規遵循。」Ansys 安全經理 Amina Mekki-Mokhtar 表示。AMC 有助於確保法規一致執行。
這讓我們回到軟體開發主題:DO-178C 標準《飛行系統與設備認證中的軟體考量》,為航空產業軟體開發的一項關鍵 AMC。此標準為商用飛機安全關鍵軟體的開發指南。而且,由於多個航空主管機關都承認 DO-178C 為 AMC,開發廠商便能確認同時遵循所有相關國家的法規。
DO-178C 標準「讓申請者能依法行事,最重要的是,能開發出毫無不可接受風險的關鍵軟體。」Mekki-Mokhtar 指出。Mekki-Mokhtar 舉例說明該標準提出的目標在於:
- 防止引入錯誤 (例如設計錯誤)
- 移除可能已引入的錯誤
- 確保系統在出現錯誤時,仍具有容錯能力且維持效能
DO-178C 標準亦伴隨著航太產業所用的軟體與方法學持續演進。例如,最新版涵蓋了模型式發展、物件導向技術,以及工具認證的相關考量。
DO-178C 文件結構示意圖
然而,瞭解 DO-178C 標準的內容只是第一步。欲有效運用此標準以規範軟體且符合要求,談何容易。
邁向廣泛採用 DO-178C 標準的道路
「DO-178C 是以目標為導向的標準,換言之,該標準定義的是需要達成的結果,而不是該如何達成。」Mekki-Mokhtar 說道。因此,遵循 DO-178C 是一項龐大工程,必須明確定義且完整記錄各種方法與工作流程。
「整體開發過程涵蓋大量文件,幾乎每個階段都必須有書面文件佐證。」Ansys 應用工程師資深經理 Rachel Knutson 表示。「要追蹤每一個步驟,並回溯與最初需求的關聯,這種可追溯性往往不易達成。」
在處理關鍵嵌入式軟體的驗證與確認作業時,還會面臨到更多挑戰。「這不只是測試最終產品的問題。其中還包括全面審查設計、檢視程式碼、確保所有需求都有納入,甚至檢查軟體本身結構,尤其是使用模型式技術之時。」Knutson 補充。
此外,若採用自動化工具以節省時間,工程師還必須採取額外步驟,確保這些工具在安全關鍵開發流程中,具有充分的可靠性。
為求以嚴謹且準確的態度回應這些挑戰,航空產業可運用 Ansys 的模擬軟體及模型式設計 (MBD) 方法。
如何在飛行系統開發中實施 DO-178C 標準
MBD 讓工程師與開發人員可以「提升安全關鍵軟體的開發與驗證效率,特別是模型語言有正式定義,程式碼產生器通過認證時」,Mekki-Mokhtar 說道。
一項具體的 MBD 解決方案是 Ansys SCADE 嵌入式軟體產品組合,該方案支持設計、驗證與產生程式碼,並涵蓋正式屬性定義與正式驗證。
使用 SCADE Suite 實施 DO-178C 標準的優點包括:
- 在設計與開發初期,便能發現潛在問題。這就像「在繪製藍圖時就發現錯誤,而不是等到施工蓋房時才發現。」Knutson 指出。「這種早期回饋循環,已為工程師省下了大量時間,以及昂貴的返工成本。」
- 將繁瑣又容易出錯的作業自動化。此類作業包括手動撰寫程式碼、建立文件,以及記錄要求與程式碼之間的所有關連性。
- 培養對於安全關鍵軟體的深入理解與扎實知識基礎。Knutson 說,SCADE Suite 涵蓋經過預先核准的模組,已符合 DO-178C 標準的要求。「這就像搶得先機,因為工具本身已通過標準規定的多項嚴格檢查。」她提到。
- 採用正式的同步語言基礎。「這種設計能確保系統運作是可預測且可靠的。」Knutson 表示,「此點對於開發安全關鍵軟體方面極其重要。」
- 提供一體化平台,協助整合模型式開發與驗證、確認及可追溯性工具。這些專為此目的設計的解決方案組合,有助於工程師更有效地通過安全關鍵軟體系統認證。
SCADE Suite 由於具備上述諸多優勢,能協助工程師在 DO-178C 標準認證過程中,省下相當時間又增進效率。「開發團隊得以真正投入軟體核心設計,無須被繁瑣的認證文件作業拖累。」Knutson 指出。
舉例來說,SCADE Suite 與 Ansys SCADE Display 模型式人機介面 (HMI) 設計工具,已通過 DO-178C 標準最高安全等級認證,能自動產生符合安全標準、可靠又值得信賴的可驗證程式碼。
「這表示我們不再需要耗費任何時間,進行繁瑣的人工程式碼審查,並在模型與實際程式碼之間反覆測試。」Knutson 說。「光是這一點,就能節省可觀的時間,並降低驗證階段發生人為錯誤的機率。」
使用 Ansys SCADE Suite 進行軟體編碼流程示意圖
Ansys 的客戶已運用 SCADE Suite,順利通過 DO-178C 標準認證。對於首次接觸到此標準的客戶,Ansys 團隊亦有提供逐步操作手冊與規劃範本,讓使用 SCADE Suite 的過程更加簡單。這些資源「提供您穩固的基礎,並確保掌握到所有必要基礎。」Knutson 表示。
SCADE Suite 與 DO-178C 標準的演進
隨著航空產業趨於成熟,DO-178C 標準亦有同步發展。例如,Mekki-Mokhtar 說,標準化委員會目前著重於釐清現有文字敘述,同時也因應如人工智慧 (AI)的新興技術。這些努力在未來可能化為全新或修訂版標準。
SCADE Suite 亦有類似的進展,其開發團隊專注於持續改進。SCADE Suite 的開發人員會考量產業趨勢、採納客戶反應意見,並與不同領域的標準化機構攜手合作。
以下是這項進展的幾個具體實例:
- Ansys Scade One 模型式嵌入式軟體開發解決方案,「其設計對使用者更友善,並進行整合以利模型式開發。」Knutson 說道。
- Model Coverage Assistant 功能協助自動產生測試個案,提升 DO-178C 認證流程的效率
- SCADE DO-178C 驗證工作流程,可透過促進簡化、自動化或移除多項驗證與確認 (V&V) 活動,藉此提升生產力
若要進一步瞭解 SCADE Suite 如何協助實施 DO-178C,請查看以下資源:
- 報名參加即將舉行的網路研討會「如何運用模型式設計與驗證實施 DO-178C」
- 觀看隨選網路研討會「透過 DO-178C 驗證工作流程提升生產力」
- 若要深入瞭解 DO-178C 相關資訊,請參閱這本指南:「什麼是 DO-178C?」
- 參閱白皮書「使用 Ansys SCADE Suite 開發符合 DO-178C 目標的安全航空電子軟體」
- 參加 Ansys Learning Hub 課程「Ansys SCADE 工具與 DO-178C 標準解決方案簡介」
