自1992年DO-178B推出以來，航空電子軟件技術(shù)突飛猛進(jìn)。DO-178C將把安全關(guān)鍵型軟件開發(fā)帶入現(xiàn)代，增加對UML和數(shù)學(xué)建模、面向?qū)ο?a target="_blank">編程和形式化方法等先進(jìn)技術(shù)的支持。第三方工具、平臺和認(rèn)證服務(wù)的隨時可用將加速DO-178C的采用和部署。

隨著軟件變得越來越復(fù)雜，很難在代碼級別管理該軟件的設(shè)計(jì)。面向?qū)ο缶幊蹋?a href="http://m.sdkjxy.cn/tags/C++/" target="_blank">C++、Ada 和 Java）和建模（UML、數(shù)學(xué)等）使設(shè)計(jì)人員能夠在更高級別概念化、架構(gòu)和封裝其設(shè)計(jì)，從而簡化了復(fù)雜軟件的開發(fā)。與基于模型的開發(fā)相關(guān)的形式化方法可以更輕松地評估復(fù)雜軟件功能（如控制回路）的正確性。

DO-178C 繼承了 DO-178B 核心文檔、原則和流程，同時增加了對高級建模、面向?qū)ο缶幊毯托问交椒ǖ闹С?，重點(diǎn)是從模型到可執(zhí)行代碼再到返回的雙向可追溯性（側(cè)欄 1）。DO-178C 還提供了工具補(bǔ)充，用于詳細(xì)解決不僅用于建模、面向?qū)ο缶幊毯托问交椒ǖ墓ぞ叩南薅ê凸δ?，還用于其他開發(fā)技術(shù)（如過程軟件和程序集級編程）的工具的資格和功能。

DO-178C 補(bǔ)充

DO-178C工作組已經(jīng)制作了三種開發(fā)技術(shù)補(bǔ)充：面向?qū)ο蠹夹g(shù)和相關(guān)技術(shù)（OOT和RT），基于模型的開發(fā)和驗(yàn)證以及形式化方法。它還大大擴(kuò)展了DO-178B中的工具認(rèn)證指南。這四份增刊已由RTCA出版為：

DO-330，軟件工具認(rèn)證注意事項(xiàng)

DO-331，DO-178C 和 DO-278A 的基于模型的開發(fā)和驗(yàn)證補(bǔ)充

DO-332，面向?qū)ο蠹夹g(shù)和相關(guān)技術(shù) DO-178C 和 DO-278A 的補(bǔ)充

DO-333，DO-178C 和 DO-278A 的形式化方法補(bǔ)充

請注意，DO-278A 相當(dāng)于 DO-178C 的地面系統(tǒng)。

面向?qū)ο蠹夹g(shù)及相關(guān)技術(shù)

面向?qū)ο蠹夹g(shù)和相關(guān)技術(shù)（OOT&RT）是用于手動代碼開發(fā)和驗(yàn)證的綜合安全關(guān)鍵軟件指南。它不僅包括面向?qū)ο蟮能浖_發(fā)，還包括過程語言中使用的技術(shù)。這些相關(guān)技術(shù)包括動態(tài)內(nèi)存管理、重載、參數(shù)化多態(tài)性（例如 C++ 中的模板和 Ada 中的泛型）類型轉(zhuǎn)換和虛擬化。最終結(jié)果是，OOT和RT補(bǔ)充可以在大多數(shù)使用過程語言和OOT的項(xiàng)目上調(diào)用。

OOT和RT最重要的補(bǔ)充是新目標(biāo)的定義。目標(biāo)確定必須生成哪些開發(fā)資產(chǎn)、集成流程和驗(yàn)證工件才能使產(chǎn)品可認(rèn)證。OOT 和 RT 定義了兩個新的驗(yàn)證目標(biāo)：第一個驗(yàn)證本地類型一致性，這使得子類方法能夠安全地重寫父類方法。第二個驗(yàn)證動態(tài)內(nèi)存管理系統(tǒng)的使用是否可靠。特別是，它驗(yàn)證了動態(tài)內(nèi)存管理系統(tǒng)的以下特征：引用歧義、碎片饑餓、釋放匱乏、內(nèi)存耗盡、過早釋放、丟失更新和過時引用以及未綁定分配或解除分配時間。

基于模型的開發(fā)和驗(yàn)證（MBD&V）

在審查和批準(zhǔn)MBD&V補(bǔ)充時，最大和最具爭議的挑戰(zhàn)是確定在目標(biāo)系統(tǒng)上編譯，鏈接和加載的可執(zhí)行目標(biāo)代碼（EOC）上使用的最終驗(yàn)證方法。在所考慮的MBD&V系統(tǒng)的背景下，EOC可以直接追溯到模型自動生成的源代碼。從歷史上看，在驗(yàn)證一些航空電子軟件方面有一個先例，這些軟件在模型本身中都進(jìn)行了測試，而沒有對EOC進(jìn)行目標(biāo)測試，有效地消除了DO-178C“核心文件”中EOC測試的目標(biāo)。相反，DO-178C全體會議同意必須在目標(biāo)系統(tǒng)上對EOC進(jìn)行某種形式的獨(dú)立驗(yàn)證，從而保留DO-178C的EOC目標(biāo)。

盡管就EOC驗(yàn)證達(dá)成了共識，但MBD&V補(bǔ)充確實(shí)增加了許多目標(biāo)，為模型在模型架構(gòu)和模型代碼上執(zhí)行或至少由模型定義的驗(yàn)證活動提供認(rèn)證信用。這些驗(yàn)證活動主要由“模擬用例”執(zhí)行，這些用例代替測試用例和其他形式的驗(yàn)證運(yùn)行。

添加到任何DO-178C技術(shù)補(bǔ)充中的最明確的常見問題解答可能是添加到MBD&V補(bǔ)充中的常見問題解答。新常見問題解答的范圍涵蓋開發(fā)和驗(yàn)證，不僅包括標(biāo)準(zhǔn)的高級和低級軟件要求以及相關(guān)的規(guī)范和設(shè)計(jì)模型，還包括分配給軟件的系統(tǒng)要求。從歷史上看，這些模型類型和需求層次結(jié)構(gòu)之間的差距及其各種來源一直是MBD&V項(xiàng)目中模糊和實(shí)現(xiàn)不佳設(shè)計(jì)的主要原因。

形式化方法補(bǔ)充

形式化方法補(bǔ)充遵循與MBD&V類似的軌跡，因?yàn)樗罱K也同意通過規(guī)定最終通過形式方法或數(shù)學(xué)證明對EOC進(jìn)行獨(dú)立驗(yàn)證來保留核心文件的EOC目標(biāo)。形式化方法或MBD&V補(bǔ)充尚未明確解決的一個關(guān)鍵問題是這些補(bǔ)充之間可能發(fā)生的明顯領(lǐng)域重疊。也就是說，形式化方法（FM）作為一種開發(fā)和驗(yàn)證技術(shù)，本身就利用了一種基于模型的開發(fā)形式。美國聯(lián)邦航空局將在將于今年發(fā)布的通知中解決這一和其他潛在的領(lǐng)域重疊問題。

軟件工具鑒定注意事項(xiàng)

當(dāng)DO-178C的過程通過使用軟件工具被消除，減少或自動化時，需要對工具進(jìn)行認(rèn)證，而其輸出沒有按照標(biāo)準(zhǔn)中的規(guī)定進(jìn)行驗(yàn)證。工具鑒定過程的目的是確保工具提供的信心至少與消除、減少或自動化的過程相同。

軟件工具認(rèn)證注意事項(xiàng)文檔介紹了一種新的工具認(rèn)證結(jié)構(gòu)，該結(jié)構(gòu)由三個標(biāo)準(zhǔn)和五個工具認(rèn)證級別 （TQL） 組成，如表 1 所示。

表 1：軟件工具資格認(rèn)證注意事項(xiàng)文檔引入了新的工具資格認(rèn)證結(jié)構(gòu)，該結(jié)構(gòu)由三個標(biāo)準(zhǔn)和五個工具資格級別 （TQL） 組成。

標(biāo)準(zhǔn) 1 適用的 TQL 是 DO-178B 中開發(fā)工具的替代品。

標(biāo)準(zhǔn) 2 是 DO-178C 的新標(biāo)準(zhǔn)，旨在解決新方法中工具使用的擴(kuò)展問題。標(biāo)準(zhǔn) 2 基本上要求對軟件級別 A 和 B 上使用的工具進(jìn)行比 DO-178B 標(biāo)準(zhǔn)更高的嚴(yán)格性，以增加使用該工具的信心。

標(biāo)準(zhǔn) 3 完全由 TQL-5 級組成，是 DO-178B 中驗(yàn)證工具的替代品。

為了幫助安全關(guān)鍵型開發(fā)人員充分利用 DO-178 的高級功能，自動化和簡化開發(fā)、驗(yàn)證和認(rèn)證流程的工具變得至關(guān)重要。例如，DO-178C 第 11 節(jié)介紹了跟蹤數(shù)據(jù)，它將其描述為生命周期數(shù)據(jù)項(xiàng)（如需求、設(shè)計(jì)、源代碼和測試用例）之間的參考鏈接。自動化生命周期數(shù)據(jù)可追溯性的工具的一個關(guān)鍵方面是用于建立向前和向后可追溯性的工具，從需求向下到分解樹，再到可執(zhí)行代碼，然后再返回，包括驗(yàn)證任務(wù)。

自動化工具大大減少了與開發(fā)符合 DO-178 標(biāo)準(zhǔn)的軟件相關(guān)的時間和成本。然而，DO-178認(rèn)證仍然是一個昂貴、耗時和艱巨的過程。為了幫助航空電子設(shè)備制造商加快這一過程，一些公司，如DDC-I，除了為DO-178B和DO-178C提供交鑰匙開發(fā)和認(rèn)證服務(wù)外，還提供已經(jīng)通過DO-178B A級認(rèn)證的基于Eclipse的開發(fā)工具和RTOS平臺。

DO-178C 簡化航空電子設(shè)備開發(fā)

DO-178C標(biāo)志著復(fù)雜航空電子軟件開發(fā)人員向前邁出了一大步，這些軟件必須經(jīng)過最高級別的安全關(guān)鍵性認(rèn)證。DO-178C 通過采用形式化方法、高級建模和面向?qū)ο蟮募夹g(shù)來簡化開發(fā)過程，使設(shè)計(jì)人員能夠在更高層次上概念化和封裝他們的軟件。它還通過提供從模型和要求到可執(zhí)行代碼并再次返回的雙向可追溯性來簡化驗(yàn)證和認(rèn)證過程。結(jié)合自動化工具、平臺和認(rèn)證服務(wù)，DO-178C極大地闡明了降低與開發(fā)、認(rèn)證和部署復(fù)雜的安全關(guān)鍵航空電子軟件相關(guān)的成本的風(fēng)險和潛在手段。

審核編輯：郭婷