机载软件合格审定中的产品服务历史方法研究

张磊

摘要 根据RTCA D0-178C中可替代方法的描述，分析了采用产品服务历史方法替代D0-17 8C的可行性及适用性，研究了局方在审查过程中对于该方法的主要关注点，并最终研究给出了使用产品服务历史如何能够满足与D0-17 8C相关目标同等安全性的方法和指导意见。

【关键词】机载软件 产品服务历史 可替代方法D0-17 8C

1 引言

产品服务历史是RTCA D0-178C在可替代方法一章中描述的一种能够替代D0-178C来证明机载软件符合性的方法。D0-178C中对它的定义是“软件在己知环境下持续运行的一段时间，在该段时间内的失效或问题均有所记录”。由该定义可以看出，产品服务历史主要关注软件的运行环境、运行时间及问题报告过程。它是一种通过长时间在可控环境下无严重故障运行的历史性证据来间接证明软件安全性的方法。

由于货架产品（如商用操作系统）本身并不是专门针对航空运输系统开发，因此在一开始设计时并未考虑合格审定的相关因素，很难完全满足D0-178C的要求。产品服务历史则对于大多数已经开发完毕的货架产品或其它并未使用D0-178系列标准的先前开发软件产品来说，是一种有效的符合性举证方法。

D0-178C中就如何通过产品服务历史这种方法来满足相应的安全性要求，以及如果申请使用产品服务历史，具体需要满足哪些要求并没有详细说明。本文通过对D0-178C、DO-248A、FAA其他相关文档，结合型号适航审定经验，对产品服务历史的使用方法进行了深入研究，希望能够给先前开发软件适航审定申请人提供一定的参考价值。

2 产品服务历史在使用中的困难

IEEE对软件可靠性的定义是“软件产品在规定的条件下和规定的时间区间内完成规定功能的能力”，其中包含时间、操作环境及功能执行等各方面的概念，可以看出与产品服务历史的定义非常相似。D0-178C第12.3.3节明确表明了对软件可靠性测量的方法并不认可，因此局方在接受产品服务历史作为软件符合性方法时，也很少能够完全接受。

另外，货架产品或其它类似软件由于设计之初并未考虑产品服务历史的相关要求，因此往往无法按要求提供全部的资料，其配置管理、问题报告过程也不能证明能够完成软件运行期间的所有问题数据的收集。

以FAA机载软件合格审定的历史情况来看，几乎不存在完全使用产品服务历史作为符合性方法的先例。但是，将软件的现有生命周期数据作为D0-178系列的符合性证据先满足其部分目标，再使用产品服务历史来表明对其它目标的符合性则是一种非常常见，也更容易获得局方信任的方法。因此，在无法证明全部D0-178C目标满足性的前提下，作为软件合格审定的补充符合性方法，产品服务历史对先前开发软件来说仍然具有很高的实践价值。

3 产品服务历史的符合性方法研究

D0-178C中对产品服务历史的要求主要考虑以下几个方面：

（1）软件配置管理过程;

（2）问题报告过程的有效性;

（3）软件的成熟度及稳定性;

（4）软件运行环境的相关性;

（5）产品服务历史的时间长度;

（6）产品服务历史区间内的软件失效率;

（7）软件更改的影响。

针对以上各方面的因素，要满足产品服务历史的要求，具体应完成如下活动：

（1）证明产品服务历史的相关性，具体包括：

1.产品服务历史的时间区间有明确的记录，并且能够满足局方要求;

2.产品运行环境必须与本次新的使用或安装环境相关，且与软件配置项一起实施了相应的配置管理活动;

3.与本次新的使用相比，产品的使用方式不变;

4.如软件使用过程中发生过更改，更改后的软件不影响相关性（即不影响以上两条要求的判断）;

5.产品服務历史区间内的软件环境如与本次要求的环境有所差异，应对差异进行分析，并证明差异对此次符合性举证不产生影响;

6.对于非激活代码等与本次需求无关的功能或组件，应证明其不会影响其它软件功能的执行，并不会被意外调用。且对于该部分，无需提供产品服务历史数据。

（2）证明产品服务历史的充足性。由于产品服务历史经常被作为补充方法，因此应证明服务历史数据能够满足D0-178C中的未满足目标。同时还应考虑系统安全性目标及软件等级。

（3）对服务期间产生的问题进行了收集和分析，并保证所有的问题经分析后，表明其安全性影响是可以接受的。这通常对企业的问题报告过程有较高的要求。

对于D0-178C中产品服务历史方法的符合性研究一直都未停止，FAA曾出资对产品服务历史的应用做过一定程度的研究，研究成果是《软件服务历史手册》，其中包含87个对TC申请人提出的问题。因此，是否能够完全回答这87个问题，也可以作为是否能够成功申请产品服务历史方法符合性的一个依据。问题总共包括四类，总结如下：

（1）问题报告过程相关问题（45个）;

（2）操作或运行过程相关问题（11个）;

（3）环境相关问题（12个）;

（4）时间区间长度及失效率相关问题（19个）。

另外，作为D0-178C的解读和常见问题说明，RTCA D0-248C也针对产品服务历史的要求进行了一定程度的讨论，内容涵盖了DO-1780中所关注的这几个方面。

4 结论

产品服务历史自从2011年D0-178C出版以来便作为一种可替代方法适用于所有设计时未考虑适航性的先前开发软件产品。虽然时至今日，选择使用该方法仍具有一定的困难，但是作为对D0-178C未满足目标的补充举证来说仍然非常有效。本文广泛参考D0-178C、D0-248C及FAA前期研究成果，对该方法进行了进一步研究，并提供了符合该方法所需执行的举证活动，对TC申请人具有一定的参考价值和应用意义。

参考文献

[1] Software Considerations in AirborneSystems and Equipment Certification.RTCA Document D0-178C， 2011.

[2] IEEE Standard Dictionary ofMeasures of the Software Aspects ofDependability. IEEE Std 982. 1-2005.

[3] Software Service History Handbook.U.D. Ferrell and T.K.Ferrell， FAA AR-01/116，2002.

[4] Supporting Information for DO-178C and D0-278A. RTCA Document DO-248C.2011.