1、第 14 卷 第 4 期2023 年 8 月Vol.14 No.4Aug.2023航空工程进展ADVANCES IN AERONAUTICAL SCIENCE AND ENGINEERING基于 DO-330的机载软件工具鉴定分析及应用周培1,陈晓强2,张啸晨3(1.中航雷华柯林斯(无锡)航空电子设备有限公司 质量适航部,无锡 214063)(2.中航雷华柯林斯(无锡)航空电子设备有限公司 工程部,无锡 214063)(3.航空工业雷华电子技术研究所 民机中心,无锡 214063)摘要:随着软件工具在满足 DO-178C 的机载软件开发和验证过程中的使用日益增多,为了保证其适航性和安全性,将
2、DO-330作为 DO-178C软件工具鉴定过程指南,存在商用货架(COTS)工具无法满足特定项目开发和验证要求的问题。以 DO-330的工具鉴定等级、工具鉴定的生命周期过程及目标为指导依据,分析 DO-330工程实践中的主要关注点及疑难点,结合实际项目给出自主研发工具满足 DO-330 的工具鉴定过程。结果表明:本文提出的工具鉴定 5 级(TQL-5)的自研工具鉴定过程具备工程可行性且已取得实质性进展,针对COTS,需要按照 DO-330要求进行自研工具鉴定的组织提供了参考与指导。关键词:机载软件;DO-330;工具鉴定;工具生命周期;适航中图分类号:V24;V328.3;TP311.5 文
3、献标识码:ADOI:10.16615/ki.1674-8190.2023.04.20Airborne software tool qualification analysis and application based on DO-330ZHOU Pei1,CHEN Xiaoqiang2,ZHANG Xiaochen3(1.Quality,Lean&Certificate Department,AVIC Leihua Rockwell Collins Avionics Company,Wuxi 214063,China)(2.Engineering Department,AVIC Leihua
4、 Rockwell Collins Avionics Company,Wuxi 214063,China)(3.Civil Aviation Center,AVIC Leihua Electronic Technology Research Institute,Wuxi 214063,China)Abstract:With the increase of software tools used in the airborne software development and verification process to meet DO-178C,in order to ensure its
5、airworthiness and safety,DO-330 is taken as a guide for software tool qualification process of DO-178C.At present,the commercial off-the-shelf(COTS)tools cannot meet the requirements of specific project development and verification.The evaluation tool qualification level,life cycle process and objec
6、tive of tool qualification in DO-330 are used as the guidance basis.The main concerns and difficulties in the process of DO-330 engineering practice are analyzed.Combined with the actual project,the qualification process of self-developed tool to meet the requirements of DO-330 is given.The results
7、show that the self-developed tool qualification of tool qualification level 5(TQL-5)proposed in this paper has engineering feasibility,and has made substantial progress,which provides reference and guidance to meet specific project requirements and perform software tool qualification according to DO
8、-330 requirements.Key words:airborne software;DO-330;tool qualification;tool life cycle;airworthiness文章编号:1674-8190(2023)04-189-06收稿日期:20220801;修回日期:20220926通信作者:周培,引用格式:周培,陈晓强,张啸晨.基于 DO-330的机载软件工具鉴定分析及应用J.航空工程进展,2023,14(4):189-194.ZHOU Pei,CHEN Xiaoqiang,ZHANG Xiaochen.Airborne software tool qualif
9、ication analysis and application based on DO-330J.Advances in Aeronautical Science and Engineering,2023,14(4):189-194.(in Chinese)第 14 卷航空工程进展0引 言机载软件适航符合性标准 DO-178C 机载系统和设备合格审定中的软件考虑 在第 12 章节补充了对工具鉴定的要求1,并以 DO-330 软件工具鉴定考虑 的形式提供了软件工具鉴定指南2。美国联邦航空管理局(FAA)在 ORDER 8110.49 中指出:若使用工具的结果是判断一个或多个目标被满足的唯一证据
10、,则该工具必须鉴定3-4。目前在国内的机载软件合格审定过程中,大多采用由工具供应商提供的商用货架(COTS)工具及其工具鉴定包4来满足 DO-330 的要求5-7,COTS是独立于特定项目、供多类使用者使用的工具,以购买工具鉴定包支撑工具鉴定材料4,而自研工具、准备工具鉴定数据以满足 DO-330要求进行适航审定的经验非常少。对自研工具进行鉴定时,首先需识别工具的预期用途及其取消、减少和自动化的软件过程;其次需判定工具是否需要进行鉴定和工具鉴定等级(Tool Qualification Level,简称 TQL),并基于 TQL 确定工具生命周期过程中所需满足的目标8。本 文 首 先 对 DO
11、-330 标 准 进 行 解 读,给 出TQL的判定准则、工具生命周期过程和数据、不同鉴定等级的工具所需满足的目标;其次从三大准则的区别与工具鉴定等级的确定,工具操作需求和工具需求的区别,工具鉴定 5级(TQL-5)的可操作性三个方面对 DO-330 软件工具鉴定实践进行阐述;最后结合项目验证,给出 DO-330 软件工具鉴定的建议和结论。1软件工具鉴定标准分析1.1工具鉴定等级工具鉴定活动是依据其预期用途开展的,鉴定过程始于工具对软件生命周期影响的评估。为确定使用的工具对软件过程的影响,DO-178C 定义了以下准则1:准则 1:工具的输出是机载软件的一部分,因此可能引入错误。准则 2:工具
12、使验证过程自动化,因此可能检测不出错误,其输出用来证明省略或减少如下过程的合理性:1)被 工 具 自 动 化 的 验 证 过 程 之 外 的 验 证过程;2)可能对机载软件产生影响的开发过程。准则 3:工具在其预期使用范围内可能无法检测到错误。工具鉴定的必要性可以基于以上三个准则进行判断。当工具符合任一准则时则需对工具进行鉴定,根据软件等级及工具符合的准则来确定TQL,确定 TQL的矩阵如表 1所示。1.2工具生命周期过程DO-330 作为 DO-178C 对软件工具鉴定要求的指南,保持了与 DO-178C 相同的文档架构9-10。DO-330定义的工具生命周期过程2,4包括:1)工具计划过程
13、(Tool Planning Process)。2)工 具 开 发 过 程(Tool Development Process)。3)工具综合过程(Tool Integral Process)。该过程细分为工具验证过程,工具配置管理过程,工具质量保证过程和工具鉴定审定联络过程2。工具生命周期过程的内部关系和接口如图 1所示。表 1工具鉴定等级确定矩阵Table 1TQL determination matrix软件等级ABCD准则1TQL-1TQL-2TQL-3TQL-42TQL-4TQL-4TQL-5TQL-53TQL-5TQL-5TQL-5TQL-5图 1 工具生命周期过程11Fig.1To
14、ol life cycle processes11190第 4 期周培等:基于 DO-330的机载软件工具鉴定分析及应用1.3工具生命周期数据工具生命周期过程会产生工具生命周期数据,这些数据是过程的记录,也是工具鉴定的依据。工具生命周期数据如表 2所示,各过程的输出数据可根据 TQL进行裁剪。从表 2 可以看出:工具验证过程包含两部分,工具需求的验证过程和工具操作的验证与确认过程。前者要求根据工具的预期功能验证工具开发者的活动;后者要求根据工具的预期用途验证工具使用者的活动12。1.4工具鉴定目标DO-330附录中共包含 11张过程目标表格(从Table T-0 到 Table T-10)。其
15、中,Table T-0 用来识别工具操作过程应满足的目标。不同 TQL对应的目标数8,13/目标独立性要求如表 3所示。从表 3 可以看出:对于 TQL1TQL3 工具而言,其生命周期过程所需满足的目标远多于 TQL-4 与 TQL-5 工具,但所有 TQL 工具的质量保证过程都应满足独立性要求。2DO-330软件工具鉴定实践2.1三大准则的区别与工具鉴定等级的确定在软件工具鉴定的工程实施中,面临的首要问题是确定 TQL。其中,软件等级由系统安全性评估过程确定,可通过 PSAC 获得,但准则的确定是一大难点。准 则 1 相 当 于 DO-178B 中 定 义 的“开 发 工具”,适用于自动生成
16、软件开发过程输出的一部分的工具。该准则包含的工具用途有:将高层级需求转化成低层级需求(或不同形式的同层级需求表 2工具生命周期数据Table 2Tool life cycle data过程工具计划过程工具开发过程工具综合过程子过程N/A工具操作需求定义过程工具需求过程工具设计过程工具编码过程工具集成过程工具操作集成过程工具验证过程工具配置管理过程工具质量保证过程工具鉴定审定联络过程输出数据软件审定计划工具鉴定计划工具开发计划工具验证计划工具配置管理计划工具质量保证计划工具需求标准工具设计标准工具编码标准工具操作需求工具需求包括高层需求和低层需求工具设计描述源代码可执行代码安装在操作环境的可执行
17、目标码工具用户指南工具测试用例工具测试步骤工具测试结果工具操作验证和确认用例工具操作验证和确认步骤工具操作验证和确认结果工具配置管理记录工具配置索引工具生命周期环境配置索引工具质量保证记录工具研制总结表 3工具鉴定等级对应的过程目标(含独立性要求)Table 3The process objectives of TQL(including independence requirements)过程工具操作过程工具计划过程工具开发过程工具需求过程输出验证工具设计过程输出验证工具编码集成过程输出验证集成过程输出测试工具测试输出验证工具配置管理过程工具质量保证过程工具鉴定审定联络过程总目标数/独立目标
18、数目标数TQL-17/37/08/09/611/77/34/29/95/05/54/076/35TQL-27/37/08/09/611/37/14/17/35/05/54/074/22TQL-37/07/08/09/09/06/04/06/05/05/54/070/5TQL-47/02/05/08/01/00/02/02/05/02/24/038/2TQL-56/00/00/00/00/00/00/00/02/02/24/014/2191第 14 卷航空工程进展转化),转化成源代码、数据文件、配置文件或可执行代码。此外,不产生输出数据但可能在数据中注入错误也属于准则 12。准则 2 和准则 3
19、 相当于DO-178B 中定义的“验证工具”,适用于验证或分析软件生命周期数据、计算软件特性等的工具。但这两类准则根据工具鉴定的审定信用有所区分:若审定信用仅用于工具执行的活动直接满足目标,则属于准则 32(例如验证工具);若其他目标也通过使用该工具得到满足或部分满足,则属于准则 22。例如,一种验证工具若用于自动化某些源代码的验证,属于满足准则 3 的工具;若取证方声称该工具可检测某种特定类型错误,而减少本该进行的针对该类错误的测试活动,则属于满足准则 2的工具。因此,TQL的确定可从以下三个方面考虑:1)确定需要鉴定的工具是开发工具还是验证工具。2)若属于开发工具,适用于准则 1,根据表
20、1结合软件等级得出 TQL。软件等级 AD 对应TQL1TQL4。3)若属于验证工具,明确工具使用范围来判断属于准则 2 或 3。适用于准则 2 的 TQL,若对应的软件等级是 A 或 B,由于要求工具需具备更高级别的严密性以增加可信度,即为 TQL-4,其他均为TQL-5。2.2工具操作需求和工具需求的区别在工具开发过程中,可从以下五个方面区分工具操作需求(TOR)和工具需求(TR)。1)定义:TOR 从软件生命周期过程的角度定义工具的功能和接口,而 TR 定义开发该工具所必须的功能和特性。TOR 关注工具的用途,而 TR关注工具的功能。2)相关方来源:TOR 多来源于工具使用者,而 TR由
21、工具开发者定义。3)过程来源:TOR 来源于工具操作需求定义过程,而 TR来源于工具需求过程。4)需 求 层 级:TOR 一 般 作 为 工 具“系 统 需求”,而 TR 作为工具“高层需求”。TOR 可被细化为一个或多个 TR14。5)验证角度:工具验证过程类似于软件验证过程,而工具操作的验证和确认过程类似于系统生命周期对软件的验证和确认。TOR 的“验证”表明工具的行为符合预期,而“确认”表明 TOR 的正确性。2.3工具鉴定 5级(TQL-5)的可操作性由于航空验证工具的专用性要求,将 TQL 设定为 TQL-5对于工具使用者是操作性最强的。原因如下:1)TQL-5 相当于“验证工具”的
22、鉴定级别,所需满足的目标数及目标独立性要求最低。2)由表 3 可知,与 TQL-5 相关的目标主要集中在 Table T-0 工具操作过程中,而这些目标都是面向工具使用者的。这表明工具鉴定过程不需要来自工具开发过程的任何数据,在工具供应商不提供任何数据的情况下,仍然有可能将工具进行鉴定为 TQL-5。3)在实践中,满足 TQL-4及更高等级的软件工具数量很少,原因是这些工具鉴定所需的花费比鉴定 TQL-5 多 310 倍12。以 TQL-5 为目标,能在工具鉴定项目的早期产生初步结果,这是符合 项 目 可 行 性 分 析 的。如 果 在 未 来 需 要 提 高TQL,在 TQL-5 的工具生命
23、周期数据基础上,增加关于设计、验证和确认以及环境配置等新文档和证明数据,可以很容易地建立新的 TQL。3项目验证在某型号大飞机气象雷达收发机模块的机载软件项目中,项目组自主设计研发了专用自动化测试工具 FPT Tool,在自动化测试环境中控制、监控和配置以太网总线上进出被测软件的光纤协议数据。该工具提供了一组功能函数,可用于验证光纤通讯功能和接口需求。因为该工具用自动化测试的方法取代人工测试且其输出没有被直接验证,所以需要进行工具鉴定。由于该工具在预期使用范围内可能无法检测到错误,属于准则 2,且被测软件需满足 DO-178C设计保证等级为 C 的要求,由表 1 可知,该工具被定义为 TQL-
24、5。192第 4 期周培等:基于 DO-330的机载软件工具鉴定分析及应用根据图 1和表 2,FPT Tool的工具鉴定过程严格按照 DO-330的要求进行。在工具计划过程中,创建了该工具的工具鉴定计划(TQP),以计划中的特定章节描述满足单独的 TCMP和 TQAP的要求。在被测软件计划过程中,将工具鉴定相关内容写入收发机模块 PSAC 的“工具评估和鉴定”章节中。TQP 作为 SOI 1 审核的一部分递交给客户和局方。TQP 的结构包括:简介(Introduction),鉴定 相 关(Qualification Aspects),工 具 综 述(Tool Overview),鉴定活动项(Q
25、ualification Activities),工具鉴定数据(Tool Qualification Data),额外考虑(Additional Considerations),工 具 配 置 管 理 计 划(Tool Configuration Management Plan),工具质量保证计划(Tool Quality Assurance Plan),附录(Appendix,包括但不限于评审检查单,鉴定考虑,DO-330目标符合性)。在工具开发过程中,基于 TOR 开发了工具架构,如图 2 所示,该工具由功能模组和人机交互模组两部分组成。功能模组提供了一组可以被自动化测试环境调用的功能函数
26、,通过数据发送模块调用其软件接口库中的函数将测试数据发送至被测软件,通过数据接收模块调用其软件接口库中的函数捕获被测软件发出的数据。人机交互模组提供图形用户界面,通过 Microsoft 基础类(MFC)库显示特定光纤协议信息数据值。在 被 测 软 件 所 属 系 统 的 系 统 需 求 文 档(SyRD)、软件需求文档(SRD)和相应接口控制文件(ICD)输入后,从系统和用户的角度开发 TOR。TOR 不仅反映该工具的功能和技术特征,也包括操作环境、安装、操作模式(包括故障模式)和异常输 入 条 件 等 方 面 的 需 求。使 用 Jama 工 具 开 发TOR,需 求 基 本 属 性 包
27、含 需 求 名(Name)、描 述(Description)、是否为需求(_Req?)并生成相应的工具操作需求文档,TOR顶层架构如图 3所示。按照计划和详细设计,主要验证工作通过编写测试脚本进行自动化测试,测试结果遵循 DO-178C 的要求采用人工评审。在工具验证过程前,考虑到“未使用库函数验证”的验证策略:一些Windows 操作系统的标准库函数未被该工具使用,这些库函数不应影响工具的输出而产生任何错误。为确保这一点,使用分析的方法验证不正确的信息不会被未使用的库函数直接或间接(通过呈现给用户的显示界面)合并到生成的工具文件中。分析将重点关注可执行文件未使用的,与数据格式相关,或可能对输
28、出产生影响的库函数。在工具配置管理过程方面,目前开发阶段所产生的工具生命周期数据(TQP,TOR 和工具架构等)均受控于 SVN 中,遵循收发机模块的 SCMP要求进行了配置识别、基线和可追溯性、同行评审和变更控制。虽然控制类别 2(CC2)的数据不需要变更控制,但仍选择使用 Jira管理变更并归档至SVN。在工具质量保证过程方面,软件质量工程师遵循收发机模块的 SQAP 要求参与支持了相关工具生命周期数据的同行评审,并生成独立的审查记录,所有质量记录归档至 SVN。在工具鉴定审定联络过程方面,目前完成的TQP已被客户 TCR或取证主体单位作为 SOI 1评审的一部分递交,在软件最终符合性评审
29、第四阶段 SOI 4 将编制工具研制总结(TAS)以表明与表2工具生命周期数据的符合性。图 2 工具架构Fig.2Tool architecture图 3 工具操作需求顶层架构Fig.3TOR top architecture193第 14 卷航空工程进展4结 论1)当使用软件工具取消、减少或自动化 DO-178C 的过程时,需要按照 DO-330 的要求对该工具进行鉴定。作为机载软件适航取证的额外考虑因素,工具鉴定是向局方展示计划和证据的重要组成部分。2)由于工具鉴定过程的复杂性,如果无法使用商用货架工具满足 DO-178C项目的开发和验证要求,应尽早策划并开始自研工具鉴定。本文提出的工具用
30、于鉴定 5 级(TQL-5)的自研工具鉴定过程具备工程可行性,对组织开展自研工具鉴定工作具有切实可行的参考与指导。参 考 文 献1RTCA Inc.Software considerations in airborne systems and equipment certifications:DO-178CS.Washington:RTCA Inc.,2011.2RTCA Inc.Software tool qualification considerations:DO-330 S.Washington:RTCA Inc.,2011.3Federal Aviation Administrati
31、on.Software approval guidelines:ORDER 8110.49 S.US:Federal Aviation Admi-nistration,2003.4倪红英,崔明明.民机适航软件工具鉴定考虑 J.航空电子技术,2018,49(2):36-42.NI Hongying,CUI Mingming.Software tool qualification consideration in civil aviation certificationJ.Avionics Technology,2018,49(2):36-42.(in Chinese)5夏小凤,向柯.基于 DO-
32、330 的商业成品软件的工具鉴定方法及应用 J.计算机应用与软件,2018,35(4):329-333.XIA Xiaofeng,XIANG Ke.Tool qualification method and application of cots tool based on DO-330 J.Computer Applications and Software,2018,35(4):329-333.(in Chinese)6崔亮,杨漫.综合测试设备中的软件工具鉴定方法研究J.航空科学技术,2017,28(7):52-55.CUI Liang,YANG Man.Research on softw
33、are tool qualification method in comprehensive testing equipment J.Aeronautical Science&Technology,2017,28(7):52-55.(in Chinese)7闫雪奎,邓素英,杨凯.商用货架类软件验证工具的鉴定实践 C 2020(第九届)民用飞机航电国际论坛.北京:中国航空学会,2020:1-5.YAN Xuekui,DENG Suying,YANG Kai.Practice of COTS tool C 2020(the Ninth)Civil Aircraft Avionics Interna
34、tional Forum.Beijing:Chinese Society of Aeronautics,2020:1-5.(in Chinese)8吴绿原.DO-330 标准对机载软件开发过程的考虑 J.电子技术与软件工程,2019(15):21-24.WU Lyuyuan.Considerations of the DO-330 standard for airborne software development process J.Electronic Technology&Software Engineering,2019(15):21-24.(in Chinese)9LIU Jianf
35、ang,ZHANG Xinai,ZHAO Yi.Tool qualification requirements comparison and analyses between RTCA/DO-178B and RTCA/DO-178C+DO-330J.Journal of Physics:Conference Series,2021(1):012191.10 周培.基于 DO-178C 的机载软件质量保证与管理 J.航空工程进展,2021,12(6):161-166.ZHOU Pei.Airborne software quality assurance and management base
36、d on DO-178CJ.Advances in Aeronautical Science and Engineering,2021,12(6):161-166.(in Chinese)11 MARQUES J,CUNHA A M.COTS tool qualification using RTCA DO-330:common pitfallsC 2017 IEEE/AIAA 36th Digital Avionics Systems Conference.US:IEEE,2017:1-6.12 IBRAHIM M,DURAK U.State of the art in software t
37、ool qualification with DO-330:a surveyC 2021 Software Engineering(Satellite Events)Conference.US:s.n.,2021:1-5.13 王小波,湛文韬,袁迹,等.基于 DO-330的民用飞机机载设 备 工 具 鉴 定 方 法 研 究J.长 江 信 息 通 信,2021,34(12):83-85.WANG Xiaobo,ZHAN Wentao,YUAN Ji,et al.Research on tool qualification method of civil aircraft airborne equ
38、ipment based on DO-330 J.Changjiang Information&Communications,2021,34(12):83-85.(in Chinese)14 POTHON F,POMIES L,COMAR C,et al.Do-330/ed-215 benefits of the new tool qualification documentR.US:ACG Solutions,2013.作者简介:周培(1990-),女,硕士,高级质量工程师。主要研究方向:民用机载软件的测试验证、设计过程保证、工具鉴定。陈晓强(1985-),男,学士,高级系统工程师。主要研究方向:民用航空电子系统的开发、测试和集成。张啸晨(1994-),男,硕士,助理工程师。主要研究方向:机载软件质量保证。(编辑:丛艳娟)194
浙ICP备2021020529号-1 | 浙B2-20240490 
