據(jù)mil-embedded網(wǎng)站2017年3月刊文,LDRA公司副總裁兼市場(chǎng)營(yíng)銷部經(jīng)理Jim McElroy談?wù)摿擞嘘P(guān)在航空電子系統(tǒng)認(rèn)證工作中遭遇的苛刻要求,工程師在此工作流程中常犯的錯(cuò)誤,如何遵循未來(lái)機(jī)載能力環(huán)境(FACE)技術(shù)標(biāo)準(zhǔn)以及如何使商業(yè)貨架產(chǎn)品(COTS)硬件取得設(shè)計(jì)可信設(shè)計(jì)等級(jí)(DAL)A級(jí)的航空電子安全性認(rèn)證,此外他還在研究無(wú)人機(jī)如何進(jìn)行于民用空域內(nèi)飛行的認(rèn)證,這可能需要為所有參與者轉(zhuǎn)換至一種全新的思維方式。
(1)DO-178B&C、DO-254航電技術(shù)安全性認(rèn)證中最常見的問(wèn)題
工程師們?cè)诤娇针娮酉到y(tǒng)認(rèn)證過(guò)程中所犯的大多數(shù)錯(cuò)誤是因?yàn)樾枨蟛蛔?,因而增加了軟件重用的成本。軟件重用成本是客戶們追求的一大關(guān)鍵商業(yè)因素,他們因此改進(jìn)了開發(fā)和檢驗(yàn)軟件的方式。在檢驗(yàn)方面,人們未能為測(cè)試性把計(jì)劃做得足夠充分,這源于對(duì)正確的需求定義和功能安全要求缺乏承擔(dān)。在整個(gè)軟件開發(fā)壽命周期中,他們沒有足夠的時(shí)間和精力來(lái)設(shè)置并使用正確的軟件品質(zhì)和測(cè)試應(yīng)用程序,這使得他們難以獲得競(jìng)爭(zhēng)力。
特別是在DO-178認(rèn)證中,許多供應(yīng)商坦率地說(shuō)不了解該標(biāo)準(zhǔn)的要求,這是因?yàn)檫@些要求與目標(biāo)代碼檢驗(yàn)、數(shù)據(jù)與控制配對(duì)有關(guān),最終導(dǎo)致綜合測(cè)試中的問(wèn)題。他們需要利用自動(dòng)化技術(shù)、以高效費(fèi)比方式滿足這些要求。
客戶也需要從行為和安全角度看待這些需求。比如如果客戶需求在功能或安全級(jí)別上進(jìn)行變化,則需要解決因改變?cè)O(shè)計(jì)或代碼而對(duì)壽命周期中下游造成的影響;反之亦然,改編這段代碼會(huì)怎么樣呢?這個(gè)變化造成了什么影響?需要重新做什么測(cè)試?他們需要知道這些需求源于哪里,以及它在長(zhǎng)期的設(shè)計(jì)期中可能處于什么地方。繪制一幅3-D畫面很重要,以便開發(fā)人員可以從不同的角度(如觀眾)來(lái)看它。
McElroy不認(rèn)為截止目前為止眾多的公司已了解了高可靠軟件對(duì)雙向工作流程要求的透明度。這是一個(gè)有關(guān)上述描述的基本概念。在壽命周期中的任一時(shí)刻,開發(fā)人員和審計(jì)人員都應(yīng)該能夠輕松地了解“為什么要改變和改變?cè)从谀睦?rdquo;的決策過(guò)程;該變化是否已經(jīng)適當(dāng)?shù)販y(cè)試?證據(jù)是什么?重要的是能夠在整個(gè)壽命周期中的各個(gè)階段看到這個(gè)流程,提供透明的證據(jù),這對(duì)軟件的品質(zhì)和認(rèn)證流程是很重要的。
(2)引入COTS需注意的問(wèn)題
事實(shí)上到目前為止,這種軟件(和硬件),特別是可重用軟件,一直在向前發(fā)展著。整個(gè)流程不僅定義完全清晰,而且在其中使用的可重復(fù)組件也被更好地界定了概念;下一個(gè)挑戰(zhàn)將是確保這些設(shè)備的安全性?,F(xiàn)實(shí)中許多系統(tǒng)正使用著源于世界各地的零部件,不總是擁有適當(dāng)?shù)目勺匪菪?,這就是安全性應(yīng)該被真正關(guān)切的原因。
(3)軍民用客戶需求的異同
歷史上,防務(wù)用戶沒有提出使某軟件在整個(gè)開發(fā)壽命周期均嚴(yán)格達(dá)到同一水平的要求,因?yàn)樗麄儾魂P(guān)心DO-178C這類的標(biāo)準(zhǔn)。但現(xiàn)在隨著商用和防務(wù)無(wú)人機(jī)進(jìn)入民用空域,對(duì)高可靠軟件的需求也越來(lái)越大,DO-178C正是設(shè)定了這一標(biāo)準(zhǔn)。因此防務(wù)客戶現(xiàn)正對(duì)諸如DO-178C的相關(guān)標(biāo)準(zhǔn)更感興趣。同時(shí),他們正在努力開發(fā)可運(yùn)行于多個(gè)平臺(tái)上的軟件,以節(jié)省時(shí)間、精力和成本。FACE是美國(guó)陸軍、海軍等部隊(duì)致力構(gòu)建未來(lái)高可靠、可重用軟件的一個(gè)完美范例。
從硬件和軟件角度看,安全性是商業(yè)和防務(wù)客戶都真正非常關(guān)心的問(wèn)題。我們的客戶正在通過(guò)構(gòu)建安全軟件和硬件而尋求幫助,這需要從頭開始構(gòu)建到系統(tǒng)。在許多安全方面,商業(yè)和防務(wù)客戶的底線都是正在尋求開發(fā)安全軟件和硬件的最佳實(shí)踐。
(4)軍用FACE標(biāo)準(zhǔn)促成安全性認(rèn)證
McElroy認(rèn)為,從制定軟件組件的可互操作性標(biāo)準(zhǔn)和檢驗(yàn)流程的角度看,F(xiàn)ACE機(jī)構(gòu)正在致力于一項(xiàng)艱苦、巨大工作量的工作。從安全性認(rèn)證的角度來(lái)看,F(xiàn)ACE正被隱隱地納入安全性認(rèn)證流程之中。盡管適航性不在FACE討論之初的范圍內(nèi),但它一直是存在著的。FACE是關(guān)于可互操作性的標(biāo)準(zhǔn),并隨著越來(lái)越多的軟件組件得到認(rèn)證,這些組件將不可避免地被推進(jìn)至更高層面的軟件質(zhì)量和可重用性上。FACE將最終降低開發(fā)高質(zhì)量軟件和機(jī)載認(rèn)證的成本。因此,涉及FACE的許多持股股東也正對(duì)于他們的飛機(jī)中引入這些軟件、解決安全性問(wèn)題很有興趣。
(5)未來(lái)5年內(nèi)安全性認(rèn)證和軟件編碼分析的發(fā)展
McElroy稱,我們尚未看到任何一種特別的游戲改變因素,但其中最突出的因素是于整個(gè)軟件開發(fā)壽命周期中效率和透明度需求的推動(dòng)力。我們看到壽命周期管理正變得越來(lái)越自動(dòng)化。需要的可追溯性、APP壽命周期管理、基于建模的設(shè)計(jì)、軟件開發(fā)、檢驗(yàn)、仿真都正在變得雙向關(guān)聯(lián),因此允許快速確定影響性(分析),并作出快速和適當(dāng)?shù)臎Q策。
McElroy相信防護(hù)性將成為安全性認(rèn)證的一大主要影響因素,因?yàn)槌蔷哂蟹雷o(hù)性,系統(tǒng)才會(huì)是安全的。對(duì)防護(hù)性的要求將需要改變軟件和硬件的開發(fā)流程。在高效且安全、防護(hù)地開發(fā)系統(tǒng)方面,自動(dòng)化和風(fēng)險(xiǎn)分析將發(fā)揮著關(guān)鍵的作用。
因此,我們正看到工具鏈的演變。當(dāng)今航空電子系統(tǒng)的初始設(shè)備制造商(OEM)和供應(yīng)商正要求工具廠商為他們提供更安全、更快速開發(fā)當(dāng)代復(fù)雜系統(tǒng)的更好方法。為了具有競(jìng)爭(zhēng)力,他們必須利用自動(dòng)化和當(dāng)代開發(fā)和檢驗(yàn)技術(shù),以更低的成本更快地開發(fā)高可信的軟件,而那些繼續(xù)使用傳統(tǒng)手工方法的人是根本無(wú)法與之相競(jìng)爭(zhēng)的。