软件适航加油站

 找回密码
 成为会员
搜索
查看: 22914|回复: 8

[转载]我来说说DO-178B标准

[复制链接]
ywang 发表于 2009-3-28 19:52:59 | 显示全部楼层 |阅读模式
本帖最后由 ywang 于 2009-4-6 11:12 编辑

我来说说DO-178B标准


王云明
[文章来源:http://www.yunmingwang.cn/blog/article.asp?id=166
[欢迎转载,转载时请保留该声明]


阅读这篇文章的PDF版本

一、        引言
几个月前,我很偶然地在网络上搜了一下“DO-178B”这个关键词。得到的结果让我大吃一惊:我发现DO-178B这个蕴涵着很深的技术含量的词,竟然被一些商家炒作成与菜市场里的白菜萝卜相等同。众多商家和个人都在热闹的喧嚣声中叫喊着DO-178B,却有一些甚至连DO-178B是什么东西也没有搞明白。这一现象突然让我想起一个我从来不用的词:“滑天下之大稽”。
接下来的几个月里,由于工作上的需要,我开始关注一些DO-178B的事情:和同事们一起编制了一套DO-178的培训教材(见http://www.yunmingwang.cn/blog/article.asp?id=23 ),做了几场DO-178B的培训,与行业的精英们交流了一些DO-178B的思想。与此同时,也做了一些行业最新动态以及中国民航对DO-178B标准实施需求方面的调研。诸如此类的一些工作,总结起来,体会还挺多的。今天,我把一些体会写出来,也算是第一次公开地表达我的声音吧。或许,一开始我的声音是微弱的,但我相信,很快就会有一天,这个声音会被同行专家及同事放大,至少在鱼目混珠叫嚣声中起到一点矫正视听的作用吧。
由于本人才疏学浅,下面的观点或许会有些偏颇。欢迎有不同意见的人士提出您的观点以便讨论和学习……

二、        什么是DO-178B标准
首先,我很简要地说说什么是DO-178B标准。
飞机和汽车都是重要的交通工具,但从它们的安全性要求来说,有着很大的不同。汽车发生碰撞和故障时,人存活的概率比较大;一旦飞机发生碰撞和故障,存活的概率则几乎是零。因此,飞机的研制过程中对安全性的要求比汽车高得多。
我们可以简单地把飞机分成二类:军用飞机与民用飞机。每个国家对军用飞机的研制都有自己的标准和质量监督体系;但对于民用飞机说,由于一个国家研制的飞机会飞到其它国家去,这就要求有一个能够被国际普遍认可的标准和质量体系来保证飞机的安全。具体地说,飞机通常需要通过四个认证以后才可以真正投入运营:也即定型认证(Type Certificate)、生产认证(Production Certificate)、适航认证(Airworthiness Certificate)、运营认证(Operational Certificate)。这四个质量认证涉及的标准很多,构成一整套标准体系,而DO-178B标准则是对机载软件进行适航认证时适用的标准,是整个民航标准体系的比较重要的一个。
执行DO-178B标准质量认证的权威机构在不同的国家和地区不尽相同。在欧洲,该质量认证由EASA(European Aviation Safety Agency)来执行;在美国由FAA(Federal Aviation Administration)执行;在加拿大则由Transport Canada来执行。通常,被一个机构认证通过的飞机在一定条件下也会被另外一个机构默认通过。

三、        DO-178B标准的发展历史
1982年,RTCA和EUROCAE正式发布了DO-178。这是民用航空机载软件开发中安全保证的一个里程碑。这个标准有二个称谓,在美国(RTCA)被称为DO-178,在欧洲(EUROCAE)被称为ED-12。其实,这完全是同一个标准。
在接下来的几年里,依据DO-178进行开发和认证的经验表明,DO-178还不太完善,需要修订。1985年,新的版本DO-178A就问世了,与之等价的欧洲版本为ED-12A。
DO-178A有一个很大的特点,它是面向软件的开发技术和开发方法的。但是,软件的开发技术更新很快,新的技术和方法层出不穷,日新月异。这样,DO-178A很快就显得跟不上步伐了。为了解决这个问题,RTCA决定再次修订这个标准。为了避免重蹈覆辙,RTCA和EUROCAE的专家们改变了制订这个标准的原则,从原来的“面向开发技术和方法”改成“面向目标”和“面向进程”。这样,他们决定完全重写这个标准。终于,一个相对稳定的版本:DO-178B在1992年问世了,至今还在应用中。
现在,DO-178B早就成了国际公认的民用航空机载软件的开发标准。一架民用飞机(相对军用飞机而言)不经过“民航标准体系”的适航认证,是不可以飞行的。而这个“民航标准体系”中,针对机载软件适航认证的,就是DO-178B标准。由此可见DO-178B的重要性。

四、        DO-178B标准在中国的快速传播
可以说,DO-178B问世以后比较长的一段时间里,在中国的推广和传播是非常缓慢的。
大约在2001年,有人把DO-178B标准翻译成了中文。这可以认为是中国第一批接触DO-178B标准的人士做出的贡献了。我有幸拜读过这个翻译稿,对这些DO-178B的先驱工作者们深表敬仰,同时也对他们做的工作表示高度肯定。但本人窃以为当时的翻译人员缺乏对标准的深刻认识,仅从字面上和语法上把英文翻译成了中文,导致歧义、纰漏和谬误颇多。有些章节经过翻译后显得更加含混晦涩,对英文基础好的人来说,还不如直接看原文省事。这或许也是这个中文版本没有很广泛地流传开来的原因之一吧……
2003年,公司把我从法国派到中国的时候,DO-178B问世已经十年有余了。此后,我接触到大量的中国航空业的研究单位。在交流过程中,我每每讲到DO-178B标准,发现多数人对此闻所未闻。由此可见,当时DO-178B标准在中国航空业还远没有普及。
然而,从2005年以后, DO-178B标准在中国飞速地传播开来。短短的几年时间里,出现的结果是,只要和航空业沾点边的人员,包括飞机的制造商,研究所,设备及工具的供应商,人人都开始谈论DO-178B。这不,你只要在百度或者中文的google上搜一下“DO-178B” 这个关键词,可以得到看不完的网页,琳琅满目,足以可见一斑了。之所以在这么短的时间里,DO-178B标准能这么快地在中国传播开来,我认为主要有二个方面的原因:
1、        第一个原因是中国航空业对DO-178B标准认识和消化的要求。前面说到,民用飞机要销售出去、要运营起来,必须要通过适航认证;而机载软件适航认证时适用的标准就是DO-178B。随着ARJ-21飞机研制的进展以及适航取证工作的开展,再加上大飞机项目的立项,要求中国航空业去学习和研究DO-178B标准。
2、        嗅觉敏感的商家很快就从这里意识到了相关的市场,争先恐后地开始在DO-178B上做文章,要么宣称自己的产品能支持DO-178B标准的流程,要么宣称自己的产品能达到DO-178B标准。不得不承认的是,我本人也属于这样的商家之一,而且是最早在中国航空研究单位宣传DO-178B的商家。
本人以为,中国人有二种特别擅长的能力,一是学习能力(在和某专家讨论中,他称之为“模仿”能力),二是炒作能力。不论是哪一种,都会让某件物品或某个概念在很短的时间里很快地传播起来。前面所述的二个原因中,第一个原因会借中国人的学习能力让DO-178B流传起来,第二个原因会借中国人的炒作能力让DO-178B流传起来。
令人遗憾的是,这些年来DO-178B在中国的快速传播,主要依靠的是中国人的炒作能力而不是学习能力。在百度或者中文的google上搜一下“DO-178B” 这个关键词,足以证明这一点:少有文章和网页是对DO-178B标准作技术研究和技术讨论的,多见各个商家把DO-178B当成“标签”往自己产品上贴的。当然,有一些产品贴得当之无愧,相得益彰的;但有一些贴得十分勉强,如同西装上衣配上了牛仔裤,很不得体,却勉强也达到了遮丑和保暖的功能;可惜的是,有些商家搞得牛头不对马嘴,根本就不知道DO-178B为何物,却也拿它往自己的产品上贴,自以为可以证明有含金量,却不料恰恰说明了没有墨水。
很多次听到企业培训的大师们说到:“中国的企业空前地浮躁”。 浮躁也表现在商家们为了挣钱不择手段不顾道义。黑心棉的被子、致癌牙膏、三聚氰胺的牛奶、苏丹红咸蛋、避孕药喂的黄膳、瘦肉精养的猪、大粪水浸泡的臭豆腐、福尔马林泡的海蜇皮……够了,每一样都是浮躁的佐证。服务在民用航空业的商家们当然比这些要好出很多,二者不可相提并论。但是,我的感觉是,浮躁的心态也同样表现在这些航空作业的商家身上。

五、        中国航空业对DO-178B标准的认识
关于中国人对DO-178B标准的认识,本人有一些看法,但不敢公开地妄加评论。这里,我借用二位专家对这个方面的评价,都很经典:
中国有句话,“没吃过猪肉,还没有见过猪跑吗?”我与某位专家谈到中国航空业界对DO-178B标准的认识时,该专家如此表示:中国人之于DO-178B,没有吃过猪肉,也没有见过猪跑,只听说过有猪这样东西,而且听说吃起来还挺香,如此而已……
中国还有一句话,“知其然而不知其所以然”。另外有位专家如此评价中国人对DO-178B标准的认识:不知其所以然,也尚未知其然,仅知其存在而已……
这是本人和二位专家在二个不同的场合的谈话,他们说了二句不同的话,一样地精辟,也表达了一样的观点。其实,中国人对DO-178B的认识相对来说落后于美国和欧洲国家,这非常自然,承认这个事实并不让人觉得丝毫羞愧,因为这个标准就是由美国的RTCA和欧洲的EUROCAE制订的。
当然,前面表达的观点并不排除中国有一些先驱在DO-178B认知方面的领先水平;也不排除有一些从国外回来的藏龙卧虎型的专家存在。据悉,中国有些单位开始尝试地做了一些适航取证的工作;而我本人也算是一个留学归国的DO-178B的专家吧:我公司的软件产品是依据DO-178B开发的,我参与过该软件的开发,也参与过该软件的听证会,至少也算是“见过猪跑也吃过猪肉”的人了。

六、        DO-178B在中国的未来
我认为,对DO-178B标准(对其它民航标准也一样)的认识可以分成如下几个阶段:
•        第一阶段:了解。首先,我们要知道有这么个标准,在什么地方可以拿到这个标准,在哪些地方已经接受了这个标准,在哪些地方已经使用了这个标准……这个阶段在中国已经做到了。
•        第二阶段:引进。通过了解以后,考虑到我国的ARJ、大飞机项目等国情,考虑到国际对民航飞机的适航认证要求等等,我们必须决策要引进这个标准。这个阶段在中国也已经做到了。据了解,中国不仅仅在民用航空业已经开始引进DO-178B标准,甚至在某些非民航的项目中,为了保证飞行器的安全性,也已经决定引进DO-178B标准了。
•        第三阶段:学习。经过培训和学习DO-178B标准,能准确地解读这个标准,能准确地懂得标准中每个段落所表达的意思。这是“知其然”的阶段。
•        第四阶段:理解。能准确地解读标准以后,经过研究、分析、消化、吸收,结合以往的工程经验,充分理解标准的精髓和意义,不仅仅要知道标准所表述的意思,还要理解标准做出这些要求的原委。这是“知其所以然”的阶段。
•        第五阶段:应用。可以说,这是最难的一个阶段。标准的应用包括二部份内容:一是实施该标准,也即根据标准的要求来进行机载软件的开发,这主要是研制单位的职责;二是根据标准做适航认证,也即审核研制单位对机载软件的开发是否符合DO-178B标准,这主要是认证机构的职责。DO-178B标准的应用是“吃猪肉”的阶段。
•        第六阶段:发展。经过对标准的学习、理解和应用(第三、四、五阶段),我们有了自己的经验和体会以后,应该用我们的经验和体会去影响这个标准:我们不应该永远是这个标准的应用者,我们也应该加入到该标准的修正和制订的行列中去。这应该是“养猪”的过程了吧。
我给中国航空工业的总体定位是:已经完成了第一阶段和第二阶段,正处在第三阶段(当然,肯定存在许多走在更前面的单位和个人)。随着ARJ支线飞机适航认证的开展,随着商用大飞机项目的启动,无论是中国的适航认证机构,还是飞机的研制单位,都需要深入地学习、理解、应用整个民用航空的标准体系。一方面,认证机构要学习如何进行适航认证,另一方面,研制单位要学习如何研制飞机以满足适航要求。
值得欣喜的是,中国航空业的高层领导当然也认识到了这一点。他们采取了多方面的措施来提高国人对标准和认识、理解和应用的水平。据悉,相关单位已经多次邀请了国外的专家来做培训,并规划着如何引进外国专家、如何派人到国外学习等等多种手段,以期快速地提高中国人对整个民航标准体系的认知水平。
可以肯定地说,通过中国人的“学习”能力让DO-178B在中国传播的时代即将到来。

七、        DO-178B标准的未来
从前面所述的DO-178B的发展历史可以看出,DO-178B相对前面二个版本来说是非常稳定的。第一个版本DO-178只生存了三年就被DO-178A替代,DO-178A也只生存了7年就被DO-178B替代了,而DO-178B则迄今还是现行的标准,已经生存了17年了。
使得DO-178B标准长期稳定的主要原因是它改变了对机载软件开发做安全性保证的指导原则,从原来的“面向开发技术和开发方法”变成了“面向目标”。开发技术和开发方法随着机载软件的不同特性会有比较大的差异,也会随着不同的企业而不尽相同,还会随着新技术新方法的出现而发生变革。因此,“面向开发技术和开发方法”是不稳定的。但是,不论开发技术和开发方法怎么改变,为了保证机载软件的安全,所要达到的目标是“相对稳定”的,这就是DO-178B标准能长期生存的最重要的原因。
但是,历史的车轮在飞转,软件的技术在发展,由于以下二个方面的原因,我们还需要对DO-178B做修订:
1、        目标仅仅是“相对稳定”的,它不可能是“永恒稳定”的。软件开发的新技术层出不穷,有些技术的出现使得实现这些目标变得更加容易,这保证了目标的“相对稳定”;而有些技术的出现则使得某些目标不再适用,这使得目标不可能“永恒稳定”。
2、        DO-178B标准对“面向目标”的原则还贯彻得不够彻底。DO-178B中所定义的66个目标中,有少量的目标其实不是真正的“目标”,而是“技术”。最明显的例子就是“验证的验证”的目标中关于MC/DC覆盖、判定覆盖、语句覆盖等。这些“技术”以“目标”的形式出现在标准里,使得DO-178B标准的稳定性大打折扣。
目前,DO-178B的下一个版本:DO-178C也正在孕育中,有望在2010年出炉。那么,DO-178C将会对DO-178B做哪些修订呢?
首先,各方专家对DO-178B“面向目标”的原则及其“相对稳定”的现状表示满意。因此DO-178C将继续保持这条原则并力求维持稳定状态。可以说,DO-178C的核心内容与DO-178B相差不大。
那么如何来应对新兴的软件开发技术导致某些目标不适用的现象呢?专家们经过磋商,决定为DO-178C标准配备一套“补遗”(英文原文叫“supplements”,我在翻译的时候用了“补遗”这个词,与标准中的“附件”(Annex)和“附录”(Appendix)区分开来。)补遗的主要作用是针对一些新兴的软件开发技术来修改、替换不适用的目标,或者补充一些新的目标。从目前看来,将会列入DO-178C补遗的主题有:基于模型的开发方法、形式化方法、面向对象技术、工具认证等等。

八、        后记
中国的航空业对DO-178B的认知和应用才刚刚开始,但中国的商家已经把DO-178B的概念炒热了。之所以写这篇文章,是因为有一些商家对DO-178B认识不清的情况把它炒成了菜市场里的白菜和萝卜,其中的谬误给人很多误导。在百度和中文的google搜一下“DO-178B”,可以看到好大一片森林。俗话说,林子大了……,呃,……林子大了,总该引来几只金凤凰吧。遗憾的是,我穿行林中,竟然还没有发现。所以,今天斗胆抛砖引玉,希望与同行的专家和DO-178B先驱们一起讨论并共同成长。前面说过,借中国人的“学习能力”传播DO-178B的时代即将到来,今天写这篇文章,也算是栽下一棵梧桐树,相信会有一天引得凤凰来。
[文章来源:http://www.yunmingwang.cn/blog/article.asp?id=166
[欢迎转载,转载时请保留该声明]

下载这篇文章最新PDF版
溺水的鱼 发表于 2009-4-5 20:03:10 | 显示全部楼层
虽然回帖没啥技术含量,好歹占了个沙发
qfwind2003 发表于 2009-6-26 08:40:19 | 显示全部楼层
嘿嘿,欢迎常来哈!
rustic010 发表于 2009-9-4 20:01:18 | 显示全部楼层
我们做软件测试时候是在西安电子科技大学做的。他们刚好有一个科研项目是关于软件测试的,在溶入DO178B相关要求以后,利用他们的课题工具进行软件测试。彼此互利。
xfdewo 发表于 2010-4-26 15:51:29 | 显示全部楼层
dddddddddddd
lihui132 发表于 2010-4-30 07:03:45 | 显示全部楼层
目前我对适航的要求还是一头雾水,要加紧时间学习啊。
airworthiness 发表于 2011-8-18 16:25:37 | 显示全部楼层
学习了,谢谢!
powerain 发表于 2013-6-24 14:51:32 | 显示全部楼层
学习。顶顶
wanglei 发表于 2014-9-5 17:51:17 | 显示全部楼层
多多学习
您需要登录后才可以回帖 登录 | 成为会员

本版积分规则

小黑屋|Archiver|手机版|软件适航加油站 ( 沪ICP备13019901号-3 )

GMT+8, 2018-12-17 15:34 , Processed in 0.156000 second(s), 16 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表