作者：BENJAMIN BROSGOL，GREG GICCA

新的航空電子軟件安全標準DO-178C及其補充軟件工具認證注意事項（DO-330）澄清并擴展了DO-178B中提供的工具認證指南。通過基于敏捷開發(fā)原則的方法，可以加快在整個系統(tǒng)演變過程中維護資格就緒工具的挑戰(zhàn)。

如果航空電子軟件認證所需的手動活動被自動化工具減少或取代，并且未經(jīng)驗證就使用該活動的輸出，則開發(fā)人員需要限定該工具：證明該工具至少與它所取代的活動一樣值得信賴。新的航空電子安全標準DO-178C及其配套的軟件工具資格考慮因素DO-330澄清并擴展了DO-178B中定義的工具認證指南。以下討論總結(jié)了新指南，并介紹了在存在系統(tǒng)維護和更改的情況下維護資格就緒工具的敏捷方法。

DO-178B 中的工具認證

DO-178B［1］是一種商業(yè)航空電子軟件安全標準，在軍用飛機開發(fā)中越來越多地使用，通常被稱為“基于過程”：它指定了軟件生命周期過程的相互關(guān)聯(lián)的集合，每個過程都包含一組活動和相關(guān)目標。這些活動產(chǎn)生的輸出（“項目”）由證書頒發(fā)機構(gòu)人員進行評估，以查看它們是否符合 DO-178B 中指定的目標。適用的目標（以及適用的活動和工件）取決于軟件級別：軟件在確保飛機和乘員安全方面的關(guān)鍵程度。級別范圍從E（無效）到A（軟件故障可能直接導致飛機損失，從而導致生命損失）。

一些 DO-178B 活動是可自動化的，該標準描述了如果在未經(jīng)驗證的情況下使用工具的輸出，如何信任工具來替換或減少手動活動。它定義了兩個類別：開發(fā)工具和驗證工具。開發(fā)工具生成的輸出是機載軟件的一部分，因此有可能引入錯誤。例如，從基于模型的設(shè)計生成源代碼的代碼生成器。驗證工具不能引入任何錯誤，但可能無法檢測到錯誤，例如，靜態(tài)分析工具標識在初始化之前讀取的變量。

除其他數(shù)據(jù)項外，工具認證還需要準備工具操作要求 （TOR）。TOR 定義了工具的各種屬性，包括其功能、安裝、使用和操作環(huán)境。

當且僅當該工具生成的軟件不受與其他機載軟件相同的適用認證目標時，開發(fā)工具才需要合格。開發(fā)工具認證需要滿足與機載軟件認證相同的目標。（盡管編譯器和鏈接器是開發(fā)工具，但不需要資格認證，因為它們的輸出是通過其他 DO-178B 活動驗證的。事實上，資格認證將是昂貴的，并且不會簡化實現(xiàn)其他目標（如可追溯性分析）的工作。

鑒定驗證工具比鑒定開發(fā)工具要簡單得多，部分原因是DO-178B的理念是鼓勵使用此類工具來自動化涉及重復性和基于規(guī)則的任務的活動，自動化工具比人工更好地執(zhí)行這些活動。驗證工具的資格基本上包括證明該工具符合其 TOR。

DO-178C 中的工具認證

工具認證一直是DO-178B認證的重要組成部分，但在實踐中出現(xiàn)了幾個問題：

驗證工具和開發(fā)工具之間的區(qū)別并不總是直截了當?shù)?。此外，驗證工具可能不是簡單地自動化特定活動;它的輸出也可用于消除或減少一些其他活動。

要求開發(fā)工具滿足與機載軟件相同的目標是不必要的限制，因為操作環(huán)境不同。例如，航空電子軟件中的無限遞歸可能會耗盡堆棧存儲并導致系統(tǒng)故障;開發(fā)工具中的相同行為不會帶來安全隱患。

雖然工具鑒定本質(zhì)上是在特定系統(tǒng)背景下進行的，但如果資格認證要求加快在現(xiàn)有系統(tǒng)的修改版本上重復使用合格的工具，那將是有益的。

所有這些問題都在DO-178C或其隨附的補充DO-330，軟件工具資格考慮中得到解決。

“開發(fā)工具”和“核查工具”已被三個標準所取代。標準 1 對應于開發(fā)工具（即，該工具可以將錯誤插入機載軟件）。標準 2 對應于可能無法檢測到錯誤的驗證工具，用于減少其他開發(fā)或驗證活動。標準 3 對應于可能無法檢測到錯誤但不用于減少其他開發(fā)或驗證活動的驗證工具。

工具所需的資格 - 其工具資格級別（TQL） - 取決于其標準和工具所用軟件的軟件級別，如表1所示。TQL 的范圍從 5（相當于 DO-178B 驗證工具）到 1（類似于軟件級別 A）。與每個 TQL 關(guān)聯(lián)的活動和數(shù)據(jù)項在單獨的文檔 DO-330 中定義，其結(jié)構(gòu)與 DO-178C 相同。DO-330 為工具鑒定提供全面的指導，并識別機載軟件和工具的執(zhí)行環(huán)境之間的差異。

DO-330 明確涵蓋了以前合格的工具的使用。簡而言之，只要開發(fā)人員能夠通過更改影響分析證明該工具仍符合其 TQL 要求，即使操作環(huán)境或工具本身發(fā)生任何變化，就可以重復使用以前合格的工具。

表 1：工具所需的資格 - 其工具資格級別（TQL） - 取決于其標準和使用該工具的軟件的軟件級別。

重復使用以前合格的工具

重用或輕松調(diào)整先前合格工具的認證工件的能力尤為重要。DO-178B在這里沒有提供明確的指導。對于任何新系統(tǒng)，或者如果工具或環(huán)境的任何方面發(fā)生更改，則需要對一個系統(tǒng)執(zhí)行的工具鑒定重復。因此，項目經(jīng)理通常會在早期階段選擇操作環(huán)境和工具，然后提交這些版本，以便在最終系統(tǒng)認證期間可以使用工具認證工件。這有時被稱為“大凍結(jié)”，即環(huán)境和工具被提前鎖定。

DO-330 解決了這些問題。針對以前限定的工具的特定指南允許重用限定項目，只要沒有任何更改會影響限定。它考慮三種情況：

無需更改即可重用以前合格的工具 – 例如，當工具用于相關(guān)項目或現(xiàn)有項目的多個階段時。開發(fā)人員需要確定計劃中的方法和基本原理。

對工具操作環(huán)境的更改 – 開發(fā)人員需要更新一個或多個計劃，但大部分原始資格項目可以按原樣重復使用。只有與操作環(huán)境相關(guān)的更新項目需要由證書頒發(fā)機構(gòu)進行評審。

對工具本身的更改 – 必須提供更改影響分析，但工具重新認證的成本仍然較低，基本上只需要與已更改或受更改影響的方面相關(guān)的活動。關(guān)鍵是能夠準確地確定和指定發(fā)生了什么變化，這些變化會影響什么，或者更重要的是，它們不會影響什么。

敏捷重新認證

根據(jù) DO-178B 或 DO-178C 和 DO-330 中的刀具認證指南，可以定義一個框架來跟蹤刀具或其操作環(huán)境的更改，并自動啟動由更改觸發(fā)的工具認證活動。

例如，可以根據(jù) DO-178C 和 DO-330 中定義的目標初步開發(fā)和鑒定工具?？梢栽谂渲霉芾?（CM） 系統(tǒng)中捕獲和維護完整的工具開發(fā)生命周期過程及其關(guān)聯(lián)的鑒定工件，包括所有依賴關(guān)系（參見圖 1）。核心 CM 系統(tǒng)允許對重現(xiàn)刀具鑒定所需的所有鑒定數(shù)據(jù)和工件進行基本重新生成。完整的結(jié)構(gòu)允許影響和變化分析。通過這種方式，可以跟蹤工具操作環(huán)境或工具本身的任何變化。最重要的是，該結(jié)構(gòu)將清楚地顯示工具的哪些部分及其工件不受影響，因此可以保持不變并保持其先前的審查和資格準備。

圖1：可以在配置管理 （CM） 系統(tǒng)中捕獲和維護完整的工具開發(fā)生命周期過程及其關(guān)聯(lián)的認證工件，包括所有依賴關(guān)系。

過渡到新的資格指南

DO-178B實際上是DO-178C的一個子集。因此，項目可以繼續(xù)為 DO-178B 制定的開發(fā)和認證計劃，同時將所選部分遷移到 DO-178C，例如，利用 DO-330 中的工具認證目標。因此，現(xiàn)有的DO-178B項目和新的DO-178C項目都可以利用DO-330在工具鑒定和重新認證方面的具有成本效益的指導。

AdaCore 資格計算機框架是上一節(jié)中描述的敏捷技術(shù)的正在進行中實現(xiàn)，支持這種方法。它可以幫助項目避免“大凍結(jié)”，以便工具和開發(fā)環(huán)境能夠順利發(fā)展。當更新可用時，工具可能會升級到較新版本，而不會丟失系統(tǒng)認證所需的工具資格。

審核編輯：郭婷