我来说说DO-178B标准
引言
最近的几个月里,由于工作上的需要,我开始关注一些DO-178B的事情:和同事们一起编制了一套DO-178的培训教材(见http://www.yunmingwang.cn/blog/article.asp?id=23 ),做了几场DO-178B的培训,与行业的精英们交流了一些DO-178B的思想。与此同时,也做了一些行业最新动态的调研。诸如此类的一些工作,总结起来,体会还挺多的。今天,我把一些体会写出来和大家分享一下。
由于本人才疏学浅,下面的观点或许会有些偏颇。欢迎有不同意见的人士提出您的观点以便讨论和学习……
什么是DO-178B标准
首先,我很简要地说说什么是DO-178B标准。
飞机和汽车都是重要的交通工具,但从它们的安全性要求来说,有着很大的不同。汽车发生碰撞和故障时,人存活的概率比较大;一旦飞机发生碰撞和故障,存活的概率则几乎是零。因此,飞机的研制过程中对安全性的要求比汽车高得多。
我们可以简单地把飞机分成二类:军用飞机与民用飞机。每个国家对军用飞机的研制都有自己的标准和质量监督体系;但对于民用飞机说,由于一个国家研制的飞机会飞到其它国家去,这就要求有一个能够被国际普遍认可的标准和质量体系来保证飞机的安全。具体地说,飞机通常需要通过四个认证以后才可真正投入运营:也即定型认证(Type Certificate)、生产认证(Production Certificate)、适航认证(Airworthiness Certificate)、运营认证(Operational Certificate)。这四个质量认证涉及的标准有很多,构成一整套标准体系,而DO-178B标准则是对机载软件进行适航认证时适用的标准,是整个民航标准体系的比较重要的一个标准。
执行DO-178B标准质量认证的权威机构在不同的国家和地区不尽相同。在欧洲,该质量认证由EASA(European Aviation Safety Agency)来执行;在美国由FAA(Federal Aviation Administration)执行;在加拿大则由Transport Canada来执行。通常,被一个机构认证通过的飞机在一定条件下也会被另外一个机构默认通过。
DO-178B的发展历史
1982年,RTCA和EUROCAE正式发布了DO-178。这是民用航空机载软件开发中安全保证的一个里程碑。这个标准有二个称谓,在美国(RTCA)被称为DO-178,在欧洲(EUROCAE)被称为ED-12。其实,这完全是同一个标准。
在接下来的几年里,依据DO-178进行开发和认证的经验表明,DO-178还不太完善,需要修订。1985年,新的版本DO-178A就问世了,与之等价的欧洲版本为ED-12A。
DO-178A有一个很大的特点,它是面向软件的开发技术和开发方法的。但是,软件的开发技术更新很快,新的技术和方法层出不穷,日新月异。这样,DO-178A很快就显得跟不上步伐了。为了解决这个问题,RTCA决定再次修订这个标准。为了避免重蹈覆辙,RTCA和EUROCAE的专家们改变了制订这个标准的原则,从原来的“面向开发技术和方法”改成“面向目标”和“面向进程”。这样,他们决定完全重写这个标准。终于,一个相对稳定的版本:DO-178B在1992年问世了,至今还在应用中。
现在,DO-178B早就成了国际公认的民用航空机载软件的开发标准。一架民用飞机(相对军用飞机而言)不经过“民航标准体系”的适航认证,是不可以飞行的。而这个“民航标准体系”中,针对机载软件适航认证的,就是DO-178B标准。由此可见DO-178B的重要性。
DO-178B在中国的快速传播
可以说,DO-178B问世以后比较长的一段时间里,在中国的推广和传播是非常缓慢的。
DO-178B标准发布后,有人把它翻译成了中文。这可能是中国第一批接触DO-178B标准的人士做出的贡献了。我有幸拜读过这个翻译稿,对这些DO-178B的先驱工作者们深表敬仰,同时也对他们做的工作表示高度肯定。但本人窃以为当时的翻译人员缺乏对标准的深刻认识,仅从字面上和语法上把英文翻译成了中文,导致歧义、纰漏和谬误颇多。有些章节经过翻译后显得更加含混晦涩,对英文基础好的人来说,还不如直接看原文省事。这或许也是这个中文版本没有很广泛地流传开来的原因之一吧……
2003年,公司把我从法国派到中国的时候,DO-178B问世已经十年有余了。此后,我接触到大量的中国航空业的研究单位。在交流过程中,我每每讲到DO-178B标准,发现多数人对此闻所未闻。由此可见,当时DO-178B标准在中国航空业还远没有普及。
然而,从2005年以后, DO-178B标准在中国飞速地传播开来。短短的几年时间里,出现的结果是,只要和航空业沾点边的人员,包括飞机的制造商,研究所,设备及工具的供应商,人人都开始谈论DO-178B。这不,现在你只要在百度或者中文的google上搜一下“DO-178B” 这个关键词,可以得到看不完的网页,琳琅满目,足以可见一斑了。之所以在这么短的时间里,DO-178B标准能这么快地在中国传播开来,我认为主要有二个方面的原因:
一、 第一个原因是中国航空业对DO-178B标准认识和消化的要求。前面说到,民用飞机要销售出去、要运营起来,必须要通过适航认证;而机载软件适航认证时适用的标准就是DO-178B。随着ARJ-21飞机研制的进展以及适航取证工作的开展,再加上大飞机项目的立项,要求中国航空业去学习和研究DO-178B标准。
二、 嗅觉敏感的商家很快就从这里意识到了相关的市场,争先恐后地开始在DO-178B上做文章,要么宣称自己的产品能支持DO-178B标准的流程,要么宣称自己的产品能达成DO-178B标准。不得不承认的是,我本人也属于这样的商家之一,而且是最早在中国航空研究单位宣传DO-178B的商家。
本人以为,中国人有二种特别擅长的能力,一是学习能力(在和某专家讨论中,他称之为“模仿”能力),二是炒作能力。不论是哪一种,都会让某件物品或某个概念在很短的时间里很快地传播起来。前面所述的二个原因中,第一个原因会借中国人的学习能力让DO-178B流传起来,第二个原因会借中国人的炒作能力让DO-178B流传起来。
令人遗憾的是,这些年来DO-178B在中国的快速传播,主要依靠的是中国人的炒作能力而不是学习能力。在百度或者中文的google上搜一下“DO-178B” 这个关键词,足以证明这一点:少有文章和网页是对DO-178B标准作技术研究和技术讨论的,多见各个商家把DO-178B当成“标签”往自己产品上贴的。当然,有一些产品贴得当之无愧,相得益彰的;但有一些贴得十分勉强,如同西装上衣配上了牛仔裤,很不得体,却勉强也达到了遮丑和保暖的功能;可惜的是,有些商家搞得牛头不对马嘴,根本就不知道DO-178B为何物,却也拿它往自己的产品上贴,真是贻笑大方了。
中国航空业对DO-178B的认识
关于中国人对DO-178B标准的认识,本人有一些看法,但不敢公开地妄加评论。这里,我借用二位专家对这个方面的评价,都很经典:
中国有句话,“没吃过猪肉,还没有见过猪跑吗?”我与某位专家谈到中国航空业界对DO-178B的认识时,该专家如此表示:中国人之于DO-178B,没有吃过猪肉,也没有见过猪跑,只听说过有猪这样东西,而且听说吃起来还挺香,如此而已……
中国还有一句话,“知其然而不知其所以然”。有另外一位专家如此评价中国人对DO-178B的认识:不知其所以然,也尚未知其然,仅知其存在而已……
这是本人和二位专家在二个不同的场合的谈话,他们说了二句不同的话,一样地精辟,也表达了一样的观点。其实,中国人对DO-178B的认识相对来说落后于美国和欧洲国家,这很自然,承认这个事实并不让人觉得羞愧,因为这个标准就是由美国的RTCA和欧洲的EUROCAE制订的。
当然,这里所讲的是中国整个航空工业对DO-178B的总体认识水平,横向地与美国欧洲的总体水平相对比,处于落后的状态。这并不排除中国有一些DO-178B的先驱们在这方面的领先水平;也不排除有一些从国外回来的藏龙卧虎型的专家存在。据悉,中国有些单位开始尝试地做了一些适航取证的工作;而我本人也算是一个留学归国的DO-178B的专家吧:我公司的软件产品是依据DO-178B开发的,我参与过该软件的开发,也参与过该软件的听证会,至少也算是“见过猪跑也吃过猪肉”的人了。
DO-178B在中国的未来
我认为,对DO-178B标准(对其它民航标准也一样)的认识可以分成如下几个阶段:
- 第一阶段:了解。首先,我们要知道有这么个标准,在什么地方可以拿到这个标准,在哪些地方已经接受了这个标准,在哪些地方已经使用了这个标准……这个阶段在中国已经做到了。
- 第二阶段:引进。通过了解以后,考虑到我国的ARJ、大飞机项目等国情,考虑到国际对民航飞机的适航认证要求等等,我们必须决策要引进这个标准。这个阶段在中国也已经做到了。据了解,中国不仅仅在民用航空业已经开始引进DO-178B标准,甚至在某些非民航的项目中,为了保证飞行器的安全性,也已经决定引进DO-178B标准了。
- 第三阶段:学习。经过培训和学习DO-178B标准,能准确地解读这个标准,能准确地懂得标准中每个段落所表达的意思。这是“知其然”的阶段。
- 第四阶段:理解。能准确地解读这个标准以后,经过研究、分析、消化、吸收,结合以往的工程经验,充分理解标准的精髓和意义,不仅仅要知道标准所表述的意思,还要理解为什么会做这样的要求。这是“知其所以然”的阶段。
- 第五阶段:应用。可以说,这是最难的一个阶段。标准的应用包括二部份内容:一是实施该标准,也即根据标准的要求来进行机载软件的开发,这主要是研制单位的职责;二是根据标准做适航认证,也即审核研制单位对机载软件的开发是否符合DO-178B标准,这主要是认证机构的职责。DO-178B标准的应用是“吃猪肉”的阶段。
- 第六阶段:发展。经过对标准的学习、理解和应用(第三,四,五阶段),我们有了自己的经验和体会以后,应该用我们的经验和体会去影响这个标准:我们不应该永远是这个标准的应用者,我们也应该加入到该标准的修正和制订的行列中去。这应该是“养猪”的过程了吧。
我给中国航空工业现在的定位是:已经完成了第一阶段和第二阶段,正在筹备进行第三阶段。随着ARJ支线飞机适航认证的开展,随着商用大飞机项目的启动,无论是中国的适航认证机构,还是飞机的研制单位,都需要深入地学习、理解、应用整个民用航空的标准体系。一方面,认证机构要学习如何进行适航认证,另一方面,研制单位要学习如何研制飞机以满足适航要求。
值得欣喜的是,中国航空业的高层领导当然也认识到了这个问题。他们采取了多方面的措施来提高国人对标准和认识、理解和实施应用的水平。据悉,相关单位已经多次邀请了国外的专家来做培训,并规划着如何引进外国专家、如何派人到国外学习等等多种手段,以期快速地提高中国人对整个民航标准体系的认知水平。
可以肯定地说,通过中国人的“学习”能力让DO-178B在中国传播的时代即将到来。
DO-178B标准的未来
从前面所述的DO-178B的发展历史可以看出,DO-178B相对前面二个版本来说是非常稳定的。第一个版本DO-178只生存了三年就被DO-178A替代,DO-178A也只生存了7年就被DO-178B替代了,而DO-178B则迄今还是现行的标准,已经生存了17年了……
使得DO-178B标准长期稳定的主要原因是它改变了对机载软件开发做安全性保证的指导原则,从原来的“面向开发技术和方法”变成了“面向目标”。开发技术和开发方法随着机载软件的不同特性会有比较大的差异,也会随着不同的企业而不尽相同,还会随着新技术新方法的出现而发生变革。因此,“面向开发技术和方法”是不稳定的。但是,不论开发技术和开发方法怎么改变,为了保证机载软件的安全,所要达到的目标是“相对稳定”的,这就是DO-178B标准能长期生存的最重要的原因。
但是,历史的车轮在飞转,软件的技术在发展,由于以下二个方面的原因,我们还需要对DO-178B做修订:
一、 目标仅仅是“相对稳定”的,它不可能是“永恒稳定”的。软件开发的新技术层出不穷,有些技术的出现使得实现这些目标变得更加容易,这保证了目标的“相对稳定”;而有些技术的出现则使得某些目标不再适用,这使得目标不可能“永恒稳定”。
二、 DO-178B对“面向目标”的原则还贯彻得不够彻底。DO-178B中所定义的66个目标中,有少量的目标其实不是真正的“目标”,而是“技术”。最明显的例子就是“验证的验证”的目标中关于MC/DC覆盖、判定覆盖、语句覆盖等。这些“技术”以“目标”的形式出现在标准里,使得DO-178B标准的稳定性大打折扣。
目前,DO-178B的下一个版本:DO-178C也正在孕育中,有望在2010年出炉。那么,DO-178C将会对DO-178B做哪些修订呢?
首先,各方专家对DO-178B“面向目标”的原则及其“相对稳定”的现状表示满意。因此DO-178C将继续保持这条原则并力求维持稳定状态。可以说,DO-178C的核心内容与DO-178B相差不大,所以我只用了“修订”这个词。
那么如何来应对新兴的软件开发技术导致某些目标不适用的现象呢?专家们决定为DO-178C标准配备一套“补遗”(英文原文叫“supplements”,我在翻译的时候用了“补遗”这个词,与标准中的“附件”(Annex)和“附录”(Appendix)区分开来。)补遗的主要作用是针对一些新兴的软件开发技术来修改、替换不适用的目标,或者补充一些新的目标。从目前看来,将会列入DO-178C补遗的主题有:基于模型的开发、形式化方法、面向对象技术、工具的认证等。
后记
虽然中国的商家已经把DO-178B的概念炒热了,但中国航空业对DO-178B的认知和应用却刚刚开始。可以预测,借助中国人的“学习能力”传播DO-178B的时代即将到来。之所以写这篇文章,乃斗胆抛砖引玉,把自己的一些观点晒出来,希望与同行的专家和DO-178B先驱们一起讨论并共同成长。
扫一扫
2569
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
