自1992年DO-178B推出以來(lái)，航空電子軟件技術(shù)突飛猛進(jìn)。DO-178C將把安全關(guān)鍵型軟件開(kāi)發(fā)帶入現(xiàn)代，增加對(duì)UML和數(shù)學(xué)建模、面向?qū)ο?a target="_blank">編程和形式化方法等先進(jìn)技術(shù)的支持。第三方工具、平臺(tái)和認(rèn)證服務(wù)的隨時(shí)可用將加速DO-178C的采用和部署。

隨著軟件變得越來(lái)越復(fù)雜，很難在代碼級(jí)別管理該軟件的設(shè)計(jì)。面向?qū)ο缶幊蹋?a href="http://www.asorrir.com/tags/C++/" target="_blank">C++、Ada 和 Java）和建模（UML、數(shù)學(xué)等）使設(shè)計(jì)人員能夠在更高級(jí)別概念化、架構(gòu)和封裝其設(shè)計(jì)，從而簡(jiǎn)化了復(fù)雜軟件的開(kāi)發(fā)。與基于模型的開(kāi)發(fā)相關(guān)的形式化方法可以更輕松地評(píng)估復(fù)雜軟件功能（如控制回路）的正確性。

DO-178C 繼承了 DO-178B 核心文檔、原則和流程，同時(shí)增加了對(duì)高級(jí)建模、面向?qū)ο缶幊毯托问交椒ǖ闹С郑攸c(diǎn)是從模型到可執(zhí)行代碼再到返回的雙向可追溯性（側(cè)欄 1）。DO-178C 還提供了工具補(bǔ)充，用于詳細(xì)解決不僅用于建模、面向?qū)ο缶幊毯托问交椒ǖ墓ぞ叩南薅ê凸δ埽€用于其他開(kāi)發(fā)技術(shù)（如過(guò)程軟件和程序集級(jí)編程）的工具的資格和功能。

DO-178C 補(bǔ)充

DO-178C工作組已經(jīng)制作了三種開(kāi)發(fā)技術(shù)補(bǔ)充：面向?qū)ο蠹夹g(shù)和相關(guān)技術(shù)（OOT和RT），基于模型的開(kāi)發(fā)和驗(yàn)證以及形式化方法。它還大大擴(kuò)展了DO-178B中的工具認(rèn)證指南。這四份增刊已由RTCA出版為：

DO-330，軟件工具認(rèn)證注意事項(xiàng)

DO-331，DO-178C 和 DO-278A 的基于模型的開(kāi)發(fā)和驗(yàn)證補(bǔ)充

DO-332，面向?qū)ο蠹夹g(shù)和相關(guān)技術(shù) DO-178C 和 DO-278A 的補(bǔ)充

DO-333，DO-178C 和 DO-278A 的形式化方法補(bǔ)充

請(qǐng)注意，DO-278A 相當(dāng)于 DO-178C 的地面系統(tǒng)。

面向?qū)ο蠹夹g(shù)及相關(guān)技術(shù)

面向?qū)ο蠹夹g(shù)和相關(guān)技術(shù)（OOT&RT）是用于手動(dòng)代碼開(kāi)發(fā)和驗(yàn)證的綜合安全關(guān)鍵軟件指南。它不僅包括面向?qū)ο蟮能浖_(kāi)發(fā)，還包括過(guò)程語(yǔ)言中使用的技術(shù)。這些相關(guān)技術(shù)包括動(dòng)態(tài)內(nèi)存管理、重載、參數(shù)化多態(tài)性（例如 C++ 中的模板和 Ada 中的泛型）類型轉(zhuǎn)換和虛擬化。最終結(jié)果是，OOT和RT補(bǔ)充可以在大多數(shù)使用過(guò)程語(yǔ)言和OOT的項(xiàng)目上調(diào)用。

OOT和RT最重要的補(bǔ)充是新目標(biāo)的定義。目標(biāo)確定必須生成哪些開(kāi)發(fā)資產(chǎn)、集成流程和驗(yàn)證工件才能使產(chǎn)品可認(rèn)證。OOT 和 RT 定義了兩個(gè)新的驗(yàn)證目標(biāo)：第一個(gè)驗(yàn)證本地類型一致性，這使得子類方法能夠安全地重寫(xiě)父類方法。第二個(gè)驗(yàn)證動(dòng)態(tài)內(nèi)存管理系統(tǒng)的使用是否可靠。特別是，它驗(yàn)證了動(dòng)態(tài)內(nèi)存管理系統(tǒng)的以下特征：引用歧義、碎片饑餓、釋放匱乏、內(nèi)存耗盡、過(guò)早釋放、丟失更新和過(guò)時(shí)引用以及未綁定分配或解除分配時(shí)間。

基于模型的開(kāi)發(fā)和驗(yàn)證（MBD&V）

在審查和批準(zhǔn)MBD&V補(bǔ)充時(shí)，最大和最具爭(zhēng)議的挑戰(zhàn)是確定在目標(biāo)系統(tǒng)上編譯，鏈接和加載的可執(zhí)行目標(biāo)代碼（EOC）上使用的最終驗(yàn)證方法。在所考慮的MBD&V系統(tǒng)的背景下，EOC可以直接追溯到模型自動(dòng)生成的源代碼。從歷史上看，在驗(yàn)證一些航空電子軟件方面有一個(gè)先例，這些軟件在模型本身中都進(jìn)行了測(cè)試，而沒(méi)有對(duì)EOC進(jìn)行目標(biāo)測(cè)試，有效地消除了DO-178C“核心文件”中EOC測(cè)試的目標(biāo)。相反，DO-178C全體會(huì)議同意必須在目標(biāo)系統(tǒng)上對(duì)EOC進(jìn)行某種形式的獨(dú)立驗(yàn)證，從而保留DO-178C的EOC目標(biāo)。

盡管就EOC驗(yàn)證達(dá)成了共識(shí)，但MBD&V補(bǔ)充確實(shí)增加了許多目標(biāo)，為模型在模型架構(gòu)和模型代碼上執(zhí)行或至少由模型定義的驗(yàn)證活動(dòng)提供認(rèn)證信用。這些驗(yàn)證活動(dòng)主要由“模擬用例”執(zhí)行，這些用例代替測(cè)試用例和其他形式的驗(yàn)證運(yùn)行。

添加到任何DO-178C技術(shù)補(bǔ)充中的最明確的常見(jiàn)問(wèn)題解答可能是添加到MBD&V補(bǔ)充中的常見(jiàn)問(wèn)題解答。新常見(jiàn)問(wèn)題解答的范圍涵蓋開(kāi)發(fā)和驗(yàn)證，不僅包括標(biāo)準(zhǔn)的高級(jí)和低級(jí)軟件要求以及相關(guān)的規(guī)范和設(shè)計(jì)模型，還包括分配給軟件的系統(tǒng)要求。從歷史上看，這些模型類型和需求層次結(jié)構(gòu)之間的差距及其各種來(lái)源一直是MBD&V項(xiàng)目中模糊和實(shí)現(xiàn)不佳設(shè)計(jì)的主要原因。

形式化方法補(bǔ)充

形式化方法補(bǔ)充遵循與MBD&V類似的軌跡，因?yàn)樗罱K也同意通過(guò)規(guī)定最終通過(guò)形式方法或數(shù)學(xué)證明對(duì)EOC進(jìn)行獨(dú)立驗(yàn)證來(lái)保留核心文件的EOC目標(biāo)。形式化方法或MBD&V補(bǔ)充尚未明確解決的一個(gè)關(guān)鍵問(wèn)題是這些補(bǔ)充之間可能發(fā)生的明顯領(lǐng)域重疊。也就是說(shuō)，形式化方法（FM）作為一種開(kāi)發(fā)和驗(yàn)證技術(shù)，本身就利用了一種基于模型的開(kāi)發(fā)形式。美國(guó)聯(lián)邦航空局將在將于今年發(fā)布的通知中解決這一和其他潛在的領(lǐng)域重疊問(wèn)題。

軟件工具鑒定注意事項(xiàng)

當(dāng)DO-178C的過(guò)程通過(guò)使用軟件工具被消除，減少或自動(dòng)化時(shí)，需要對(duì)工具進(jìn)行認(rèn)證，而其輸出沒(méi)有按照標(biāo)準(zhǔn)中的規(guī)定進(jìn)行驗(yàn)證。工具鑒定過(guò)程的目的是確保工具提供的信心至少與消除、減少或自動(dòng)化的過(guò)程相同。

軟件工具認(rèn)證注意事項(xiàng)文檔介紹了一種新的工具認(rèn)證結(jié)構(gòu)，該結(jié)構(gòu)由三個(gè)標(biāo)準(zhǔn)和五個(gè)工具認(rèn)證級(jí)別 （TQL） 組成，如表 1 所示。

表 1：軟件工具資格認(rèn)證注意事項(xiàng)文檔引入了新的工具資格認(rèn)證結(jié)構(gòu)，該結(jié)構(gòu)由三個(gè)標(biāo)準(zhǔn)和五個(gè)工具資格級(jí)別 （TQL） 組成。

標(biāo)準(zhǔn) 1 適用的 TQL 是 DO-178B 中開(kāi)發(fā)工具的替代品。

標(biāo)準(zhǔn) 2 是 DO-178C 的新標(biāo)準(zhǔn)，旨在解決新方法中工具使用的擴(kuò)展問(wèn)題。標(biāo)準(zhǔn) 2 基本上要求對(duì)軟件級(jí)別 A 和 B 上使用的工具進(jìn)行比 DO-178B 標(biāo)準(zhǔn)更高的嚴(yán)格性，以增加使用該工具的信心。

標(biāo)準(zhǔn) 3 完全由 TQL-5 級(jí)組成，是 DO-178B 中驗(yàn)證工具的替代品。

為了幫助安全關(guān)鍵型開(kāi)發(fā)人員充分利用 DO-178 的高級(jí)功能，自動(dòng)化和簡(jiǎn)化開(kāi)發(fā)、驗(yàn)證和認(rèn)證流程的工具變得至關(guān)重要。例如，DO-178C 第 11 節(jié)介紹了跟蹤數(shù)據(jù)，它將其描述為生命周期數(shù)據(jù)項(xiàng)（如需求、設(shè)計(jì)、源代碼和測(cè)試用例）之間的參考鏈接。自動(dòng)化生命周期數(shù)據(jù)可追溯性的工具的一個(gè)關(guān)鍵方面是用于建立向前和向后可追溯性的工具，從需求向下到分解樹(shù)，再到可執(zhí)行代碼，然后再返回，包括驗(yàn)證任務(wù)。

自動(dòng)化工具大大減少了與開(kāi)發(fā)符合 DO-178 標(biāo)準(zhǔn)的軟件相關(guān)的時(shí)間和成本。然而，DO-178認(rèn)證仍然是一個(gè)昂貴、耗時(shí)和艱巨的過(guò)程。為了幫助航空電子設(shè)備制造商加快這一過(guò)程，一些公司，如DDC-I，除了為DO-178B和DO-178C提供交鑰匙開(kāi)發(fā)和認(rèn)證服務(wù)外，還提供已經(jīng)通過(guò)DO-178B A級(jí)認(rèn)證的基于Eclipse的開(kāi)發(fā)工具和RTOS平臺(tái)。

DO-178C 簡(jiǎn)化航空電子設(shè)備開(kāi)發(fā)

DO-178C標(biāo)志著復(fù)雜航空電子軟件開(kāi)發(fā)人員向前邁出了一大步，這些軟件必須經(jīng)過(guò)最高級(jí)別的安全關(guān)鍵性認(rèn)證。DO-178C 通過(guò)采用形式化方法、高級(jí)建模和面向?qū)ο蟮募夹g(shù)來(lái)簡(jiǎn)化開(kāi)發(fā)過(guò)程，使設(shè)計(jì)人員能夠在更高層次上概念化和封裝他們的軟件。它還通過(guò)提供從模型和要求到可執(zhí)行代碼并再次返回的雙向可追溯性來(lái)簡(jiǎn)化驗(yàn)證和認(rèn)證過(guò)程。結(jié)合自動(dòng)化工具、平臺(tái)和認(rèn)證服務(wù)，DO-178C極大地闡明了降低與開(kāi)發(fā)、認(rèn)證和部署復(fù)雜的安全關(guān)鍵航空電子軟件相關(guān)的成本的風(fēng)險(xiǎn)和潛在手段。

審核編輯：郭婷