DO178B培训初级篇-体系介绍

3.3，计划过程 Planning
• 软件计划进程的目的是制定5个计划和3个 标准，用以指导软件开发进程和软件综合 进程的工作开展。
3.4，五计划
• 软件合格审定计划(PSAC)—为征得合格审定机构对建议的 开发方法的同意而与其进行联络的主要手段，并且定义了 符合DO178B的方法
• 软件质量保证计划(SQAP)—定义了满足软件质量保证过程 目标的方法
• Planning—Occurs First • Development—Follows Planning • Integral—Continuous Thoughout Project
3. Integral Process
1. Planning Process
2. Development Process
1
DO-178产生的背景及其发展
2
系统失效状态及软件等级划分
3
软件计划过程
4
软件开发过程
5
软件综合过程
6
软件生命周期数据
3.1，DO-178B文档内容分布
• 1. Overview 引言 • 2. System Aspects 与系统开发相关的情况 • 3. Lifecycle • 4. Planning Process • 5. Development Process • 6. Verification • 7. Configuration Management • 8. Quietly Assurance • 9. Certification Liaison 合格审定联络过程 • 10. Overview of Aircraft And Engine Certification
1.5，Safety,System,Software&Hardware
Safety Assessment ARP 4761
Criticality Level
Architectural Input
System Development ARP 4754
SW Rqmts
Tests
HW Rqmts
Tests
• 在美国由联邦航空管理局FAA（Federal Aviation Administration）执行；
➢ 通常，被一个机构认证通过的飞机在一定条件 下也会被另外一个机构默认通过。
➢ 注意：已经经过DO178B认证并且已经成功使 用的案例，到一个新的环境当中，根据不同的 需求必须做新的认证。
目录
1
• C级—可能引起或导致系统功能失效进而引起航空器较重失效状态的 异常状态的软件。
• D级—可能引起或导致系统功能失效进而引起航空器较轻失效状态的 异常状态的软件。
• E级—可能引起或导致系统功能失效的异常状态的软件，它不会影响 航空器的工作性能或驾驶员工作量。
• 说明：E级(如休闲娱乐系统) 虽然不运用安全评级，但必须注意与其 他安全系统之间的隔离。
个布尔表达式。 • 修正条件/判定覆盖方法：要求在一个程序中每一种输入输
的白盒测试； 4) 不同的软件级别，要求不同； 5) 测试是验证的一种手段，但验证不仅仅是测试; 6) 评审通常是一种定性的而且是重复性比较弱的验证方式； 7) 分析则是更加深入地，通常是定量地，而且是重复性比
较强的验证方式。
5.2，验证过程 Verification
软件需求
V&V
过程
验证
验证的验证
变更
【注意】可追踪性： • 系统需求和软件
需求 • 低级需求和高级
需求 • 源代码和低级需
求
软件需
HLR
求过程
软件开发过程 DO-178B
变更
软件设 计过程
LLR&Architecture
变更
软件编 码过程
变更
Source Code
软件集 成过程
目录
1
DO-178产生的背景及其发展
2
系统失效状态及软件等级划分
ARP (Aerospace Recommended Practice) 美国航空推荐准则
Software DO-178B
Hardware do254
1.6，谁来使用DO-178执行审查？
• 执行DO-178标准质量认证的权威机构在不同的 国家和地区不尽相同：
• 在欧洲，该质量认证由欧洲航空安全局EASA （European Aviation Safety Agency）来执行；
件高级需求，以开发软件结构和能用于实现源代码的低级 需求。
• 软件编码过程：由软件结构和低级需求实现源代码。 • 软件集成过程：连接和加载目标计算机以及来自软件
编码过程的源代码和目标代码，用来开发综合的机载系统 或设备。
4.2，软件的开发过程
系统需 求过程
系统需求 分配到软件
系统开发过程 ARP4754
• 这四个质量认证涉及的标准有很多，构成 一整套民航标准体系，DO-178B是整个民航 标准体系的一个重要标准，主要是对机载 软件进行适航认证。
1.2，DO-178与飞机质量认证
【注意】适航性：民用航空器的适航性是 指该航空器包括其部件及子系统整体性能 和操纵特性在预期运行环境和使用限制下 的安全性和物理完整性的一种品质。这种 品质要求航空器应始终处于保持符合其型 号设计和始终处于安全运行状态。
2.3，软件等级的确定
• 系统安全性评估过程首先要确定与特定系 统中的软件有关的软件等级，而不考虑系 统设计。
• 当做这个决定时，必须表明(肯定)失效的影 响，无论是功能丢失还是故障。
• 如果软件部分的异常状态引起多个失效状 态，那么那个部件的最严重的失效状态类 别决定了那个软件部件的软件等级。
目录
正常范围测试用例 鲁棒性测试用例
基于软件需求 的测试生成
注：测试是 验证工作， 代码的覆盖 率分析是验 证的验证工 作。
低级测 试
软件综合测试 软件需求覆盖分析
附加验 证
软件结构覆盖分析
测试结 束
硬件/软件综 合测试
条件路径 直接路径
5.5，修正条件/判定覆盖MC/DC
• 条件：表示不含有布尔操作符号的布尔表达式。 • 判定：表示由条件和零或者很多布尔操作符号所组成的一
定型认证
民 航
….
标 准
DO178B
体
系 ….
生产认证 适航认证 运营认证
1.3，DO-178的发展历史
• 1982年，RTCA和EUROCAE正式发布了DO-178。这是民用航 空机载软件开发中安全保证的一个里程碑。在美国（RTCA） 被称为DO-178，在欧洲（EUROCAE）被称为ED-12。
• 软件配置管理计划(SCMP)—定义了满足软件配置管理过程 目标的方法
• 软件开发计划(SDP)—定义了软件生存周期和软件开发环境 • 软件验证计划(SVP)—定义了满足软件验证过程目标的方法
3.5，三标准
• 软件需求标准(SRS) • 软件设计标准(SDS) • 软件代码标准(SCS)
• 软件验证过程使用这些标准作为评估进程 实际输出与预定输出的符合性的基础。
• 2012年，DO-178C已经发布。
1.4，DO-178的明确定义
• DO-178《机载系统和设备合格审定中的软 件考虑》是为了支持含有数字计算机的机 载系统和设备的研制工作而制定的软件开 发过程中应遵循的准则。
• DO—178B 适用于机载系统和设备中软件的 开发及软件的合格审定。可供机载系统和 设备（含软件）开发者使用，也可供合格 审定机构审查使用。
DO-178产生的背景及其发展
2
系统失效状态及软件等级划分
3
软件计划过程
4
软件开发过程
5
软件综合过程
6
软件生命周期数据
2.1，失效状态分类
• 系统失效状态的类别是通过确定失效状态对航空器 及其乘客的危害度来确定的。
• A 灾难性的—Catastrophic • B 危险的 / 严重的—Hazardous/Severe-Major • C 较重的—Major • D 较轻的—Minor • E 无影响的—No Effect
• 1985年，经过几年的完善修订，新的版本DO-178A问世， 与之等价的欧洲版本为ED-12A。
• 1992年，由于原来的DO178A是“面向软件开发技术和方 法”而制定的，已经不能满足软件的开发技术和方法的日 新月异，层出不穷。所以RTCA和EUROCAE的专家们经过努 力推出了相对稳定的版本——“面向软件目标和进程”(目 标导向)的DO-178B。
• 简单的分类：军用飞机和民用飞机。
1.1，DO-178产生的背景
• 对于军用飞机，每个国家的研制都有自己 的标准和质量监督体系；
• 对于民用飞机，由于一个国家研制的飞机 会飞到其它国家去，这就要求有一个能够 被国际普遍认可的标准和质量体系来保证 飞机的安全。
• 1982年，RTCA和EUROCAE正式发布了DO178《机载系统和设备合格审定中的软件考 虑》。
目录
1
DO-178产生的背景及其发展
2
系统失效状态及软件等级划分
3
软件计划过程
4
软件开发过程
5
软件综合过程
6
软件生命周期数据
4.1，开发过程 Development
• 软件需求过程：使用系统生存周期的输出来开发软件
高级需求，包括功能、性能、接口和与安全性有关的需求。
• 软件设计过程：通过一次或多次迭代，逐步完善出软
• 软件体系结构 与高层需求的符合性
• 源代码 与低层需求的符合性 • 集成过程输出 输出的完整性、正确性，硬件地址，内存
重叠，遗漏软件部件。
• 验证用例、过程和结果
注：由于自然语言描述的HLR和LLR容易产生歧义，所以要求使用具有严格数学语义的 形式化语言来描述HLR 和LLR。
5.4，测试 Testing
DO-178B培训：初级篇 体系介绍
时间：2013年5月
目录
1
DO-178产生的背景及其发展
2
系统失效状态及软件等级划分
3
软件计划过程
4
软件开发过程
5
软件综合过程
6
软件生命周期数据
1.1，DO-178产生的背景
• 飞机是人们日常生活中非常重要的交通工 具。一旦飞机发生故障或者事故就会造成 的灾难，机载人员的存活几率几乎为0。因 此，在飞机的研制过程中对安全性的要求 是远远高于其他交通工具的。
软件设计
V&V
过程
验证
验证的验证
软件编码
V&V
过程
验证
验证的验证
软件集成 V&V 过程
验证
验证的验证
【注意】根据DO-178B标准，整个生命周期的所有进程都需要验证，甚至对于验证进程 本身，还要进行验证，这就是验证的验证进程。
5.3，验证过程中的评审与分析
• 高层需求 • 低层需求
找出需求错误，低层符合高层，与目标机的兼容 性，可追踪性，等等。
5.2，验证过程 Verification
Verification
Test
评审 Reviews
分析 Analysis
测试 Testing
黑盒 测试
白盒 测试
5.2，验证过程 Verification
1) Verification是评审、分析和测试的有效组合； 2) 测试是找错误的，但不能证明软件中不存在错误； 3) 测试包括基于需求的黑盒测试和基于判定覆盖和边界值
3
软件计划过程
4
软件开发过程
5
软件综合过程
6软件生命周期数据 Nhomakorabea5.1，综合过程 Integral
• 验证过程 Verification • 配置管理 Configuration Management • 质量保证 Quality Assurance • 审查联络 Certification Liaison
航空器及发动机的合格审定综述 • 11. Software Life Cycle 软件生命周期数据 • 12. Additional Considerations 其他考虑 • A. Objectives by Cert Level 按软件等级描述的过程目标和输出
3.2，DO-178B 的三大过程
• 举例：黑匣子——重要，但其是否失效不影响飞机安全。
2.2，软件等级定义
• 软件错误可能引起导致失效状态的故障，因此，软件等级的完整性关 系到系统的失效状态。
• A级—可能引起或导致系统功能失效进而引起航空器灾难性失效状态 的异常状态的软件。
• B级—可能引起或导致系统功能失效进而引起航空器危险的/严重的失 效状态的异常状态的软件。
• 美国航空无线电委员会Radio Technical Commission for Aeronautics • 欧洲民用航空设备组织European Organization for Civil Aviation Equipment
1.2，DO-178与飞机质量认证
• 飞机通常需要通过四个认证以后才可真正 投入运营(定型认证、生产认证、适航认证、 运营认证)。