| 编辑推荐: |
本文主要介绍了DO-254 机载电子硬件设计保证指南相关内容。 希望对你的学习有帮助。
本文来自于微信公众号机载软件与适航,由火龙果软件Linda编辑、推荐。 |
|
1. 引言
1.1 目的
本文件的目的是为航空电子硬件的设计保证提供指导,确保该硬件在其预定的环境中安全地执行其指定功能。本文件同样适用于当前技术、新技术及未来可能出现的技术。具体目的包括:
定义硬件设计保证的目标:这些目标旨在确保设计错误不会影响硬件的正常运行,从而避免潜在的飞行安全问题。
描述目标的基础:帮助解释设计保证目标的来源,确保所有相关人员在理解目标时都保持一致。
提供如何实现设计保证目标的手段:这些手段旨在帮助开发人员在设计过程中确保硬件的安全性。
为达到设计保证目标所需的设计活动提供指导:本文件并不详细阐述设计应该如何实施,而是建议设计活动和过程如何满足保证目标。
提供灵活的选择空间:允许开发人员根据硬件设计项目的实际需求,选择满足目标的过程和方法,特别是在新兴的硬件技术上。
本文件并未指定具体的设计实现方法,而是提供了一种高层次的过程指导,以确保电子硬件的安全设计。
1.2 范围
本文件提供了从硬件设计的构思到初始认证,再到后续产品改进,以确保持续适航性的设计保证指导。尽管该文档基于运输类飞机的认证要求,但其中的某些部分同样适用于其他类型的飞机设备。
在航空系统的生命周期中,硬件设计生命周期与系统设计生命周期密切相关。本文件并不涵盖整个系统设计的生命周期,也不详细讨论系统安全评估和验证等系统级问题,而是主要关注与硬件设计相关的部分。
系统的安全评估和验证涉及到硬件、软件及其接口的安全性,但本文件仅讨论这些内容中与硬件设计相关的部分。生产、测试和维护的问题仅在它们与硬件的适航性相关时被讨论。
本文件的适用范围包括但不限于以下类型的硬件项目:
可更换的线路单元(Line Replaceable Units, LRUs)。
电路板组件。
定制的微代码组件,例如应用特定集成电路(ASICs)和可编程逻辑设备(PLDs),以及相关的宏功能。
集成技术组件,例如混合电路和多芯片模块。
商用现货(COTS)组件。
需要注意的是,由于 COTS 组件的供应商可能不按照本文件描述的设计过程进行设计,本文件专门在第
11 章讨论了相关的附加考虑。
1.3 与其他文件的关系
除了适航性要求之外,还有许多国家和国际标准适用于航空硬件。在某些行业中,遵守这些标准是强制性的。然而,本文件不包括具体的国家或国际标准,而是提供了行业内部共识的实践指南。
本文件提到的标准应被理解为项目特定的标准,并可能由飞机系统、设备、发动机或飞机制造商依据项目要求而制定。本文件不与其他国家或国际标准直接关联,而是独立提供硬件设计保证的指导。
1.4 相关文件
在制定本文件时,委员会考虑了以下行业文件,它们与硬件设计保证密切相关:
SAE ARP4754/EUROCAE ED-79: 高度集成或复杂飞机系统的认证考虑。
SAE ARP4761: 民用航空系统和设备的安全评估指南与方法。
RTCA DO-178/EUROCAE ED-12: 软件在航空系统和设备认证中的考虑。
RTCA DO-160/EUROCAE ED-14: 航空设备的环境条件和测试程序,作为硬件项目的主要环境测试标准。
1.5 如何使用本文件
本文件适用于全球航空社区,因此在尽可能避免使用具体国家的术语或规定。本文件中使用“认证机构”这个术语来表示任何负责批准硬件设计的组织或人员。
本文件包含了行业的最佳实践建议,并且对硬件设计的保证要求提供了一个明确的标准。这些建议同样适用于全新硬件设计以及对现有硬件的修改。对已经按照其他过程开发的硬件,可以参照第
11.1 章节中的指导,了解如何在认证过程中使用这些硬件。
需要注意的是,本文件中的示例仅用于说明如何应用该指导,并非推荐的唯一方法。
第 11 章讨论了特定的附加考虑,如使用已开发硬件、COTS 组件的使用、产品服务经验、工具评估和认证等内容。
附录 A 提供了不同硬件设计保证等级所需的硬件生命周期数据指导,附录 B 讨论了适用于 A 级和
B 级功能的设计保证技术。
1.6 复杂性考虑
随着硬件的复杂性增加,它们设计中的潜在风险也会增大。传统上,电子硬件根据其测试和分析的可行性被分为简单、复杂和高度复杂几类。
简单硬件 是指可以通过一系列确定性测试和分析完全验证其功能的硬件。如果一个硬件项目符合这些条件,它可以被归类为简单硬件,否则就应被视为复杂硬件。即使硬件项目中所有的子项目都属于简单硬件,该项目仍可能被视为复杂硬件。
对于复杂硬件,设计保证的手段应该在硬件设计生命周期的早期与认证机构确认,以避免后期出现的设计问题。如果是简单硬件,则不需要详细的设计文档,但需要基本的验证和配置管理记录。
1.7 替代方法或过程
本文件允许使用替代的设计保证方法或过程,只要这些方法能够满足认证的相关规定。这些替代方法和过程应在实施前经过认证机构的批准。
在评估替代方法或过程时,可能需要考虑以下几个方面:
替代方法是否满足了文件第 2 到第 9 章中的设计保证目标。
替代方法对硬件设计保证目标的影响是否合理。
替代方法对生命周期数据的影响如何。
替代方法产生预期结果的证据是否充分。
1.8 文档概述
本文件通过图表和文字说明了各个部分之间的关系。文档中的某些部分直接与系统开发、安全评估、硬件开发和软件开发过程相关联。例如,硬件安全评估应与系统安全评估密切互动,确保所有系统功能的安全要求得到了满足。
2:硬件设计保证的系统方面
2.0 概述
硬件设计保证从系统层级开始,通过将系统功能分配给硬件并为其分配相应的系统开发保证等级。每个系统功能可能会分配给硬件项、软件组件或硬件和软件的组合。安全性需求将从系统、软件和硬件的角度进行处理,以确定满足这些要求所需的可靠性和保证等级。
图 2-1 展示了飞机系统与设备的系统开发过程与安全评估、硬件开发及软件开发过程之间的关系。这张图展示了系统开发与硬件、软件以及安全性之间复杂的交互关系。
2.1 信息流
本节介绍了系统开发过程与硬件设计生命周期过程之间的信息流动。这涉及从系统向硬件传递需求、安全性要求以及设计保证等级。
2.1.1 系统开发过程向硬件设计生命周期过程的信息传递
系统开发过程中向硬件设计生命周期过程传递的信息包括:
分配给硬件的设计和安全要求。
分配给每个功能的设计保证等级及其相关的需求和故障条件(如果适用)。
硬件功能故障的分配概率及风险暴露时间。
硬件/软件接口描述。
与安全策略和设计约束相关的要求,例如可测试性、设计方法和硬件架构。
2.1.2 硬件设计生命周期过程向系统开发过程的信息传递
硬件设计生命周期过程向系统开发过程传递的信息包括:
实现要求的文件,如机械图纸、原理图和部件清单。
可能影响任何已分配需求的硬件派生需求。
实现架构,包括故障隔离边界。
硬件设计生命周期过程中所执行的系统验证与确认活动的证据。
产品安全分析数据,如:
a. 硬件功能故障的概率和故障率,SSA 过程关心的部分。
b. 共模故障分析。
c. 隔离边界和常见故障缓解策略。
d. 与系统需求相关的延迟分析数据,如硬件故障监控、故障检测间隔及不可检测故障的硬件预备机制。
2.1.3 硬件设计生命周期过程与软件生命周期过程之间的信息流
硬件设计生命周期过程与软件生命周期过程之间的信息流包括:
硬件/软件集成所需的派生需求,如接口协议定义、时间约束和寻址方案。
硬件和软件验证活动需要协调的实例。
硬件与软件之间识别出的不兼容性,可能作为报告和纠正行动系统的一部分。
应该提供给系统过程的安全评估数据。
2.2 系统安全评估过程
系统安全评估过程包括三个主要部分:功能危害评估(FHA)、初步系统安全评估(PSSA)和系统安全评估(SSA)。这些过程用于确定适用于系统开发保证过程的系统安全目标,并确保系统功能达到这些安全目标。
SSA 过程应将安全目标转化为系统和设备的安全要求。这些要求应体现系统和设备功能及架构的基本安全目标和安全属性。SSA
过程和系统开发过程将这些安全要求分配到硬件中。
有五个系统开发保证等级(A 级到 E 级),分别对应五类故障条件:灾难性、危险/严重、重大、次要和无影响。表
2-1 将硬件设计保证等级与五类故障条件关联起来,并提供了硬件故障条件及其各自的设计保证等级定义。
硬件设计保证等级最初由 SSA 过程通过 FHA 识别潜在危险,然后 PSSA 过程将安全要求和相关故障条件分配给硬件中实现的功能。
在硬件设计生命周期的整个过程中,安全性、系统和硬件过程之间可能会有迭代反馈,以确保设计和制造的硬件能够满足分配给硬件的系统安全性、功能性和性能要求。
2.3 硬件安全评估
硬件安全评估与 SSA 过程一起进行,以支持该过程的执行。该安全过程的目的是证明适用的系统和设备(包括硬件)满足了适用的飞机认证要求中的安全性要求。
根据系统过程分配给硬件的安全性、功能性和性能要求,硬件安全评估确定每个功能的硬件设计保证等级,并有助于确定应使用的设计保证策略。
2.3.1 硬件安全评估的考虑因素
硬件项的设计人员可以通过适当的设计保证策略证明其硬件设计符合安全性要求并符合硬件设计保证等级。
可以对整个硬件项应用单一设计保证等级和策略,也可以将其评估为具有单独的功能故障路径(FFPs),以适应不同的设计保证等级或设计保证策略。功能故障路径分析(FFPA)可用于证明硬件项的某一部分具有较低的设计保证等级,或适应用不同技术或产品服务历史实现的不同功能。
注:FFPA 在附录 B 第 2 节中进行了描述。尽管它是为附录 B 的主题编写的,但该分析方法可以应用于任何设计保证等级。
如果硬件项包含具有不同设计保证等级的功能,可以通过以下两种方法处理这种情况:
整个硬件项可以按照最高的设计保证等级来保证。
如果硬件安全评估确定每个功能的接口和共享资源能够保护免受低保证等级功能的不利影响,则可以根据各自的硬件设计保证等级分别保证各个硬件功能。共享资源的设计保证应为具有最高等级的功能的设计保证等级。
硬件安全评估的指导包括:
迭代的硬件安全评估和设计应确定派生的硬件安全要求,并确保分配给硬件的系统安全要求得到满足。
这些派生要求应包括硬件架构、电路和组件的安全要求,并针对异常行为的保护措施。
硬件设计保证过程和硬件安全评估应共同确定每个功能的符合性手段和设计保证等级,并确保已达到可接受的设计保证水平。
2.3.2 随机硬件故障的定量评估
DO-254 要求对硬件的随机故障进行定量分析,通常使用失效率模型(如 MIL-HDBK-217 或
IEC TR 62380)来评估硬件的失效概率。这些模型根据硬件组件的类型、工作条件和预期寿命,提供了失效率估算方法。
通过失效率模型,硬件设计团队可以量化硬件在正常工作条件下的失效概率,并确保其符合系统安全评估中设定的目标。例如,如果某个硬件的设计要求其灾难性故障发生概率低于
10⁻⁹,则该硬件的失效率必须足够低,以满足这一要求。
2.3.3 硬件设计错误和异常的定性评估
在某些情况下,硬件设计团队可能难以通过定量方法准确评估硬件的失效概率。这时,可以使用定性评估来分析硬件设计中的潜在错误和异常。
定性评估包括以下方法:
设计审查:通过对设计文档的详细审查,识别出可能的设计错误或缺陷。
故障模式影响分析(FMEA):FMEA 可以识别出硬件组件的可能故障模式,并分析这些故障对系统安全的潜在影响。
硬件测试:通过实际测试,验证硬件在极端操作条件下的性能表现,确保设计能够满足安全要求。
2.3.4 硬件故障条件分类的设计保证考虑
在设计保证过程中,硬件的故障条件分类应与系统安全评估中的故障分类保持一致。硬件的设计保证目标通常根据其在系统中的重要性和故障条件分类而有所不同。DO-254
规定了针对不同故障条件的设计保证活动,确保硬件在各种故障条件下能够安全运行。
1. 开始评估过程对于所有的设计保证等级,应该制定一种方法或策略,以确保达到适当的设计保证水平。
2. 确定 FFP(功能故障路径)的设计保证等级对于每个已识别的硬件项,确定并记录与该硬件项及设计保证等级相关的
FFP。应使用传统的安全评估技术来确定哪些硬件电路属于已识别的 A 级或 B 级 FFP,哪些不属于。
3. FFP 的硬件实现是简单还是复杂?对于 A 级或 B 级 FFP,确定硬件是如 第 1.6
节 所述的简单还是复杂。
4. 为 A 级或 B 级复杂 FFP 制定设计保证策略如果 FFP 复杂且为 A 级或 B 级,请使用
附录 B 中描述的额外策略,制定适当的设计保证策略、相应的实现概念和错误缓解方法。对于每个 A 级或
B 级 FFP,应通过高级分析、产品服务经验或架构缓解措施来确定设计保证策略。
A 级 FFP 在实现中可能需要多个方法,如果所选的方法未能完全缓解潜在故障和异常行为。
5. 策略是否足够?确定设计保证策略中是否存在不足之处,如果有不足或数据中存在缺陷,预期数据将不可用,则修改策略以纠正这些不足,提出额外的设计保证、实现或架构策略。
当设计保证策略是可接受的时,记录每个 FFP 的设计保证过程。策略还应涵盖认证机构参与的方面,例如进度里程碑、计划审查和监督活动。
6. 记录适用的失效保护(Fail-Safe)方面确定硬件项的适当失效保护设计架构和功能,并执行分析以满足系统的可用性和完整性要求。记录失效保护设计方面及其相关的共模分析、概率分析、架构和其他特性。
7. 记录设计保证方法和策略记录并获得适用的设计保证方法和策略的认证机构批准,记录在系统认证计划或硬件认证方面计划(PHAC)中。
8. 实施该方法在符合经批准的计划和策略的情况下,实现硬件设计中适当的设计保证方法,并记录符合已批准计划和策略的证据。
3. 硬件设计生命周期
DO-254 提供了完整的硬件设计生命周期指导,以确保电子硬件设计符合适航要求并满足航空系统的安全需求。硬件设计生命周期过程的每一个阶段都包含了特定的设计保证活动,帮助开发团队有效管理设计、验证和确认。
3.1 硬件设计生命周期过程
硬件设计生命周期通常包括以下几个关键阶段:
需求捕获:在此阶段,硬件设计团队从系统设计和系统安全评估中获取硬件需求。这些需求包括功能需求、安全需求、接口需求以及其他系统需求。硬件需求的准确性和完整性是设计过程成功的基础。
概念设计:在概念设计阶段,硬件设计团队基于需求生成硬件的高层次设计。这通常涉及硬件架构的初步设计和硬件实现方案的选择。概念设计为后续详细设计阶段提供了基础。
详细设计:详细设计是硬件设计生命周期的核心阶段。在此阶段,硬件的逻辑、组件选型、电路设计以及功能设计都被详细定义。设计文档通常包括硬件原理图、逻辑图和物料清单等详细信息。
实现:在实现阶段,硬件设计团队将详细设计转化为实际硬件。这可能包括定制芯片的制造、印刷电路板(PCB)的设计和制造、以及硬件的组装与集成。对于复杂的硬件,可能需要制造多个版本以进行测试和验证。
验证和确认:验证和确认活动确保硬件的设计与实现符合最初的需求。这些活动包括硬件测试、故障注入测试、模拟测试和分析等。验证过程确保硬件满足所有功能和安全要求,而确认过程确保系统级目标得以实现。
生产转换:生产转换是硬件设计生命周期的最后一个阶段。在此阶段,硬件从设计和原型阶段过渡到量产。该阶段包括生成生产标准、测试程序、维护手册和操作指南等。
3.2 过渡标准
硬件设计生命周期的每一个阶段都应有明确的过渡标准,这些标准定义了每个阶段的完成条件。过渡标准通常包括以下几个方面:
设计文档的完成:在每个阶段结束时,硬件设计团队应完成特定的设计文档。这些文档可能包括需求文档、设计规范、验证报告等。
设计评审的通过:设计评审是确保设计符合需求的重要环节。在每个阶段结束前,设计评审委员会应对设计进行评估,确保设计过程没有重大问题或风险。
验证和确认的完成:在硬件设计生命周期的各个阶段,验证和确认活动必须按照规定完成。过渡标准中应包括验证和确认的成功完成情况。
配置管理的执行:过渡标准中还应包括配置管理活动的完成情况,确保硬件设计的每个阶段都遵循严格的配置管理程序。
4. 计划过程
4.1 计划过程目标
硬件设计的成功依赖于详细的计划过程。DO-254 规定,在硬件开发项目开始时,必须制定详细的计划,以指导设计、验证、确认和认证活动。计划过程的主要目标包括:
定义硬件设计项目的范围:硬件设计项目的范围应包括所有功能需求、安全需求和接口需求。计划应明确硬件设计团队的职责和目标。
分解硬件设计目标:硬件设计目标应被分解为可操作的子目标,并明确每个子目标的时间节点和资源需求。
风险管理:计划过程应包括对潜在设计风险的分析,并制定相应的风险缓解措施。
设计保证活动的分配:计划应明确每个设计阶段需要进行的设计保证活动,包括验证、确认、设计评审和配置管理等。
4.2 计划过程活动
计划过程包括以下关键活动:
制定硬件设计计划:硬件设计计划是整个项目的指导文件。该计划应包括项目的总体目标、时间表、资源需求、设计活动安排和风险管理措施。
制定验证和确认计划:验证和确认计划定义了项目中各个阶段的验证和确认活动。该计划应明确每个验证步骤的目的、方法、工具、数据要求以及预期结果。
制定配置管理计划:配置管理计划确保项目的每个阶段都符合适航要求,并提供硬件配置的记录和追踪。配置管理活动包括配置识别、变更控制、版本管理和发布程序。
制定过程保证计划:过程保证计划的目的是确保所有设计活动都符合 DO-254 的规定。过程保证活动通常包括项目评审、设计评审、文档管理和设计标准的符合性检查。
制定认证联络计划:认证联络计划确保设计团队与认证机构之间保持有效的沟通,并及时获取认证机构对设计的反馈。该计划还应包括与认证机构的互动时间表和认证提交材料的要求。
5. 硬件设计过程
5.1 需求捕获过程
需求捕获是硬件设计的第一步,也是最为关键的阶段之一。在需求捕获过程中,硬件设计团队从系统设计和系统安全评估中获取所有相关的硬件需求。
5.1.1 需求捕获目标
需求捕获的目标是确保硬件设计团队能够准确理解并记录硬件必须执行的所有功能和安全要求。具体目标包括:
明确系统功能需求:确保硬件能够执行系统设计中分配给它的功能。
明确安全需求:识别硬件在不同故障条件下的行为,并确保设计符合系统安全评估的要求。
捕获接口需求:明确硬件与其他系统(包括软件和硬件组件)之间的接口需求。
5.1.2 需求捕获活动
需求捕获活动包括以下步骤:
与系统设计团队协作:硬件设计团队应与系统设计团队保持密切合作,确保所有系统级需求被正确分配给硬件。
编写需求文档:需求文档应详细记录硬件的所有功能需求、安全需求和接口需求。这些文档将在设计和验证过程中作为参考和依据。
进行需求评审:需求捕获完成后,应对需求文档进行正式评审,确保所有需求被正确理解和记录,并且没有遗漏或错误。
5.2 概念设计过程
在需求捕获完成并获得系统设计团队的确认后,硬件设计进入 概念设计阶段。此阶段的目的是根据捕获的需求,构思硬件的高层设计方案。概念设计为后续的详细设计提供框架和基础,并确保初步的设计方案可以满足系统需求。
5.2.1 概念设计目标
概念设计的主要目标是生成一个高层次的设计架构,该架构能够满足所有功能和安全需求。具体目标包括:
建立硬件架构:概念设计阶段的关键任务是制定硬件的整体架构,包括逻辑设计、模块划分、功能分配等。
选择技术和组件:设计团队在概念设计阶段需要决定所使用的技术和组件类型,包括是使用现成的商用现货(COTS)组件还是定制设计的硬件。
确保设计的可行性:在选择硬件架构时,设计团队需要评估其技术可行性,并确保设计能够在规定的环境条件下正常运行。
进行初步的安全分析:在此阶段,设计团队需要对初步设计进行安全分析,确保所选择的架构能够满足系统安全评估中的要求,并能够有效应对潜在的故障模式。
5.2.2 概念设计活动
概念设计阶段的主要活动包括:
设计架构定义:根据捕获的需求,设计团队需要定义硬件的高层设计架构。这个架构通常包括逻辑功能的划分、模块之间的接口、数据流和控制流等方面的设计。
组件选型:设计团队需要决定使用何种硬件组件。这包括是选择标准商用现货(COTS)组件,还是开发定制硬件。对于复杂项目,可能需要结合使用
COTS 和定制硬件。
设计可行性评估:在此阶段,设计团队需要对硬件架构进行可行性分析,以确保该架构能够满足需求,同时具有可扩展性和可维护性。
初步安全分析:设计团队还需要对概念设计进行初步的安全评估,分析设计中的潜在故障模式,并确保架构中存在冗余设计或故障检测机制来应对这些故障。
生成设计文档:概念设计阶段的成果应记录在设计文档中。这些文档为后续的详细设计提供指导,并作为验证和确认的基础。
概念设计评审:一旦概念设计完成,设计团队应组织概念设计评审,确保设计架构符合需求并且可行。设计评审应包括系统设计团队、验证团队和配置管理团队的参与。
5.3 详细设计过程
在概念设计通过评审后,硬件设计进入详细设计阶段。详细设计的目的是将高层次的设计架构进一步细化为具体的硬件实现方案。详细设计阶段涉及硬件的逻辑设计、电路设计、物料选择和物理布局等。
5.3.1 详细设计目标
详细设计阶段的主要目标是将概念设计中的高层架构转化为实际的硬件实现方案。具体目标包括:
完成硬件逻辑设计:详细设计需要定义硬件的逻辑功能实现。这包括逻辑电路的设计、硬件模块之间的数据流和控制流的定义等。
完成电路设计:设计团队需要完成硬件的电路设计,这包括组件选择、连接和信号处理等方面。
生成设计文档:详细设计阶段的设计文档应包括硬件原理图、逻辑图、物料清单、印刷电路板(PCB)设计等内容。
确保设计的可制造性:详细设计阶段还需要考虑硬件的可制造性,确保硬件设计能够方便地进行生产和测试。
确保设计的可维护性:详细设计还应考虑硬件的可维护性,确保设计能够方便地进行后续的测试、验证和维护。
5.3.2 详细设计活动
详细设计活动包括以下关键步骤:
逻辑设计:设计团队需要详细设计硬件的逻辑功能。这包括定义每个模块的输入、输出、状态机、时序和控制信号等。
电路设计:设计团队需要设计具体的电路实现方案。这包括组件的选型、连接、信号处理以及功率管理等方面的设计。电路设计通常包括硬件原理图、PCB
布局和布线设计。
功能分配:详细设计还涉及将功能分配到不同的硬件模块中,并定义模块之间的接口。这包括定义信号接口、总线结构以及模块间的控制逻辑。
电磁兼容性(EMC)设计:详细设计还需要考虑硬件的电磁兼容性,确保设计在航空电子设备的环境中不会受到电磁干扰,并且不会对其他系统产生电磁干扰。
生成详细设计文档:详细设计文档包括硬件原理图、逻辑图、电路设计图、物料清单(BOM)、信号表、时序图等。
详细设计评审:一旦详细设计完成,设计团队应组织详细设计评审,确保设计符合所有功能需求和安全需求。设计评审应包括硬件设计团队、系统设计团队、验证团队、测试团队和配置管理团队的参与。
5.4 实现过程
详细设计通过评审后,硬件设计团队进入实现阶段。实现阶段的目的是将详细设计方案转化为实际的硬件产品。这一阶段包括硬件的制造、组装、初步测试以及与其他系统的集成。
5.4.1 实现目标
实现阶段的主要目标是制造并组装硬件产品,并确保其符合设计规格和系统需求。具体目标包括:
制造硬件:根据详细设计文档,制造硬件组件并进行组装。这包括 PCB 的制造、组件的装配和焊接等。
初步硬件测试:在硬件制造完成后,需要进行初步测试,确保硬件的基本功能和性能符合设计要求。
硬件集成:实现阶段还需要将硬件与其他系统(如软件或其他硬件模块)集成,确保硬件能够与系统中的其他组件协同工作。
生成生产文档:在实现阶段,应生成与硬件制造和测试相关的文档。这些文档为硬件的批量生产和后续测试提供指导。
5.4.2 实现活动
实现阶段的主要活动包括:
硬件制造:根据详细设计文档,制造硬件产品。这包括 PCB 的制作、组件采购和装配等。对于定制集成电路(如
ASIC 或 FPGA),还可能需要专门的制造过程。
组件装配和焊接:在 PCB 制造完成后,设计团队需要将组件装配到 PCB 上,并进行焊接和组装。
初步硬件测试:在硬件组装完成后,设计团队需要对硬件进行初步的功能测试。这些测试通常包括基本的电气测试、功能测试和环境测试,以确保硬件能够正常工作。
硬件集成:硬件制造和初步测试完成后,设计团队需要将硬件与其他系统集成。这可能包括与软件的集成、与其他硬件模块的集成等。
生成生产文档:实现阶段应生成详细的生产文档。这些文档包括生产过程说明、测试标准、装配指导以及维护手册等内容。
实现评审:一旦硬件实现完成,设计团队应进行实现评审,确保制造过程符合设计要求,并且初步测试结果符合预期。实现评审应包括硬件制造团队、测试团队、系统设计团队和配置管理团队的参与。
5.5 生产转换过程
在硬件实现完成并通过初步测试后,项目进入 生产转换阶段。生产转换的目的是确保硬件从原型和小批量生产顺利过渡到大规模量产,同时保持设计的一致性和可靠性。
5.5.1 生产转换目标
生产转换阶段的主要目标是确保硬件设计能够稳定地进行批量生产,同时保持设计的一致性和质量。具体目标包括:
制定生产标准:生产转换阶段需要制定详细的生产标准和过程,确保硬件设计能够批量生产,并且在生产过程中保持一致的质量。
制定测试标准:生产转换阶段还需要制定详细的测试标准,确保每一批次生产的硬件都经过严格的测试,符合设计规范。
确保可生产性和可维护性:在生产转换阶段,设计团队需要评估硬件的可生产性和可维护性,确保设计适合大规模生产,并且在维护和修理时具备可操作性。
5.5.2 生产转换活动
生产转换活动包括以下关键步骤:
生产过程优化:在生产转换阶段,设计团队和生产团队需要优化硬件的生产过程,确保能够高效、稳定地进行大规模生产。这包括优化
PCB 制作过程、组件采购过程以及装配和测试过程。
测试过程制定:设计团队需要制定详细的测试过程,确保批量生产的硬件在出厂前经过严格的功能测试和环境测试。这些测试过程通常包括自动化测试设备的使用,以提高测试效率和一致性。
生产文档生成:生产转换阶段应生成与大规模生产相关的详细文档。这些文档包括生产过程说明、测试标准、装配指导、质量控制手册和维护手册等。
培训生产人员:为了确保生产过程的一致性,设计团队需要对生产人员进行培训,确保他们能够正确地操作生产设备、装配硬件并进行测试。
生产转换评审:生产转换阶段的最后一步是进行生产转换评审,确保生产过程和测试过程符合设计要求,并且硬件的批量生产能够满足质量标准。生产转换评审应包括设计团队、生产团队、测试团队和质量控制团队的参与。
5.6 验收测试
验收测试是硬件设计生命周期中一个关键步骤,其目的是在硬件投入批量生产或交付之前,确认硬件是否符合设计要求。验收测试通常包括对硬件的功能性、安全性和环境适应性的全面检查,确保其能够在所有预期条件下正常工作。
5.6.1 验收测试目标
验收测试的主要目标是确认硬件的功能、性能和安全性都符合设计规范,并且硬件能够在实际操作环境中稳定运行。具体目标包括:
验证硬件的功能性:确认硬件是否实现了所有预期的功能,并且这些功能在不同操作条件下能够正常工作。
确认硬件的性能:确保硬件在规定的性能参数范围内工作,例如响应时间、功耗、数据处理能力等。
评估硬件的安全性:通过故障注入测试、压力测试等手段,评估硬件在各种可能的故障条件下是否能够安全恢复或进入安全状态。
验证硬件的环境适应性:硬件在航空电子环境中会经历多种极端条件(如温度、湿度、压力、电磁干扰等)。验收测试的一个重要目标是确保硬件在这些环境条件下依然能够正常工作。
生成验收测试报告:在测试完成后,设计团队应生成详细的验收测试报告,记录测试结果、发现的问题及其对应的解决方案。
5.6.2 验收测试活动
验收测试包括以下几个关键活动:
功能测试:功能测试的目的是验证硬件是否能够正确执行所有设计功能。测试应覆盖硬件的所有功能模块,并检查其在不同操作条件下的表现。
性能测试:性能测试评估硬件的性能参数是否符合设计要求。这包括硬件的处理速度、功耗、响应时间、数据吞吐量等方面的测试。性能测试通常在多个负载条件下进行,以确保硬件能够在极端负载下保持稳定。
安全测试:安全测试的目的是确保硬件能够在故障条件下保持安全状态。这包括故障注入测试和压力测试。例如,可以故意引入硬件故障,测试其是否能够检测并处理故障,或进入安全的降级模式。
环境测试:硬件必须能够在航空电子设备的实际环境条件下正常工作。环境测试包括在极端温度、湿度、振动、压力和电磁干扰条件下测试硬件的性能。这些测试通常遵循
RTCA DO-160 或类似的航空电子环境测试标准。
测试记录与分析:在测试过程中,设计团队应记录每个测试用例的执行结果,并分析是否存在问题。如果测试中发现硬件不符合要求,应记录问题并制定相应的解决方案。
验收测试报告:测试完成后,设计团队应生成验收测试报告,记录所有测试用例的结果和测试过程中发现的问题。验收测试报告是硬件交付和认证的关键文档。
验收测试评审:在验收测试完成后,设计团队应组织验收测试评审,确保所有测试结果符合设计规范,并且硬件没有重大问题。验收测试评审应包括硬件设计团队、系统设计团队、验证团队和认证机构的代表。
5.7 系列生产
在硬件通过验收测试后,设计团队可以进入系列生产阶段。系列生产的目的是大规模生产硬件,同时确保每个批次的硬件产品都符合设计规范和质量标准。DO-254
强调在系列生产过程中,必须严格遵循配置管理和质量控制过程,以确保硬件的一致性和可靠性。
5.7.1 系列生产目标
系列生产的主要目标是确保硬件能够稳定地进行批量生产,并且每个批次的硬件产品都符合设计要求。具体目标包括:
确保生产过程的一致性:在系列生产阶段,必须确保每一批次硬件的生产过程和生产标准保持一致,避免因工艺变动导致硬件质量波动。
保持硬件质量的稳定性:系列生产必须确保每一个硬件产品都符合设计规格和质量标准。这需要通过严格的质量控制和测试过程来实现。
管理生产中的变更:如果在系列生产过程中需要对硬件设计或生产过程进行任何更改,必须通过正式的变更管理过程,并且确保所有变更都经过认证机构的批准。
5.7.2 系列生产活动
系列生产活动包括以下几个关键步骤:
生产标准的建立与维护:在系列生产阶段,设计团队和生产团队应建立并维护生产标准和操作规范。这包括生产过程、设备校准、装配过程和测试过程的标准化。生产标准的建立有助于确保每批次硬件产品的质量一致性。
生产过程优化:在系列生产过程中,设计团队和生产团队应不断优化生产过程,提升生产效率,并减少生产中的浪费和错误。这可能包括自动化生产设备的使用、生产过程的精简和优化等。
批量生产的质量控制:质量控制是系列生产的核心。生产过程中需要实施严格的质量控制措施,确保每一个硬件产品都符合设计规格。这包括生产过程中的质量检查、最终产品的出厂测试、以及随机抽样测试等。
配置管理和变更控制:在系列生产阶段,配置管理依然是关键活动。如果生产过程中需要对硬件设计、组件、生产设备或过程进行任何更改,必须通过正式的变更控制过程。所有的变更必须记录在案,并且需要经过认证机构的审查和批准。
生产测试:每一批次硬件产品都需要经过严格的生产测试,以确保其功能和性能符合设计要求。生产测试通常包括自动化测试、功能测试、性能测试以及环境适应性测试等。这些测试确保硬件在出厂前的质量稳定。
生成生产记录:在系列生产阶段,生产团队应生成详细的生产记录。这些记录包括生产过程、生产设备校准记录、质量控制记录、测试结果等。这些记录有助于追踪每一批次硬件产品的生产情况,确保产品的一致性和可追溯性。
生产评审:在系列生产过程中,设计团队和生产团队应定期组织生产评审,以确保生产过程和质量控制过程保持一致,并及时解决生产中遇到的任何问题。生产评审应包括硬件设计团队、生产团队、质量控制团队和认证机构的代表。
6. 验证与确认过程
验证与确认(V&V)是硬件设计生命周期中的关键环节,旨在确保硬件设计符合初始需求,并且能够在真实环境中安全可靠地运行。DO-254
强调,验证和确认是硬件设计保证的一部分,通过系统化的测试、分析和审查,确保硬件设计的完整性和安全性。
6.1 确认过程
确认的目的是确保硬件设计在系统级别上能够实现预期的功能和安全要求。确认是一个自顶向下的过程,通常由系统工程师主导,确保硬件的设计和实现符合系统需求。
6.1.1 确认过程目标
确认的主要目标是确保硬件设计完全满足其系统级需求,并且硬件在实际应用中能够安全、可靠地运行。具体目标包括:
确认功能需求的实现:确认过程确保硬件的每个功能需求都得到了正确的实现,并且硬件能够按预期的方式运行。
确认安全需求的实现:在确认过程中,还需要确保硬件设计符合系统的安全需求,能够在可能的故障条件下维持系统的安全状态。
评估系统集成:硬件必须与系统的其他组件(包括软件和其他硬件)正确集成。确认过程确保硬件在系统级别能够与其他组件无缝配合,完成整体功能。
6.1.2 确认过程活动
确认过程包括以下几个关键活动:
需求追溯性分析:确认的第一步是进行需求追溯性分析。这一活动旨在确保每个系统级需求都已被硬件需求捕获,并且硬件的设计能够满足这些需求。通过追溯需求,确保硬件设计的每个部分都与系统需求直接相关。
系统级集成测试:确认过程通常包括系统级的集成测试。这些测试模拟硬件在系统中的实际运行环境,确保硬件与系统中的其他组件协同工作。系统级测试包括功能测试、安全测试、接口测试等。
故障树分析(FTA) 和 故障模式影响分析(FMEA):确认过程中,设计团队通常会使用 FTA 和
FMEA 等工具进行分析,确保硬件在故障条件下的行为符合系统安全评估的要求。
确认评审:在确认过程结束时,设计团队应组织确认评审,确保所有需求都已得到满足,系统集成测试结果符合预期。确认评审通常包括硬件设计团队、系统工程团队、测试团队和认证机构的代表。
6.2 验证过程
验证的目的是确保硬件的设计和实现符合初始的需求文档和设计规范。验证与确认不同,验证是一个自底向上的过程,重点在于确保硬件设计的每一个部分都能够满足预期的功能和性能要求。
6.2.1 验证过程目标
验证的主要目标是确保硬件设计的每一个模块和子系统都经过了彻底的测试和分析,满足设计规范,并且能够实现预期的功能。具体目标包括:
验证功能设计的正确性:验证过程的核心目标是确保硬件设计的每个模块都按设计规范正确实现。
验证性能要求的实现:验证过程还评估硬件的性能参数,如速度、功耗、信号处理能力等,确保它们符合设计要求。
验证设计的鲁棒性:通过压力测试、极限条件测试和故障注入测试等手段,验证硬件设计在极端条件下是否能够正常工作。
6.2.2 验证过程活动
验证过程包括以下关键活动:
单元测试:验证的第一步是对硬件的每个独立模块进行单元测试。单元测试的目的是确保每个模块能够按预期执行其功能,并且模块之间的接口能够正确工作。
仿真与分析:对于复杂的硬件设计,设计团队可能需要使用仿真工具来验证硬件的功能和性能。在仿真过程中,可以模拟硬件的运行环境,并对其行为进行详细分析。这些仿真测试有助于发现潜在的设计问题,特别是在硬件无法实际制造之前。
功能验证测试:功能验证测试确保硬件的每个功能都能够按设计规范运行。这些测试通常覆盖硬件的所有功能模块,并验证硬件在不同操作条件下的表现。
环境验证测试:环境验证测试在模拟硬件可能面临的各种环境条件(如高温、低温、电磁干扰等)下进行,确保硬件能够在这些条件下稳定运行。这些测试通常参考
RTCA DO-160 标准进行。
验证文档生成:在每次验证活动结束后,设计团队应生成详细的验证文档,记录每个测试的执行情况和结果。这些文档是后续确认过程和认证过程的重要依据。
验证评审:一旦验证活动完成,设计团队应组织验证评审,确保所有验证活动都已完成,所有测试结果都符合设计要求。验证评审应包括硬件设计团队、测试团队和配置管理团队的参与。
6.3 验证与确认方法
DO-254 提供了多种验证与确认的手段,帮助设计团队确保硬件设计符合需求并且经过严格的测试和分析。主要的验证与确认方法包括
测试、分析 和 评审,每一种方法在硬件设计生命周期的不同阶段都扮演着重要角色。
6.3.1 测试
测试是验证与确认中最常用的手段,通过实际运行硬件并检查其输出,来验证硬件的功能和性能。测试方法可以分为以下几类:
功能测试:功能测试是验证硬件是否实现了所有预期功能的关键手段。测试团队通过运行硬件并检查其行为,确认硬件的功能是否符合设计规范。
压力测试:压力测试旨在评估硬件在极端条件下的行为。测试团队通过向硬件施加超负荷压力(例如过高的负载或极限环境条件),确保硬件能够在这些极端情况下继续运行,或以安全方式降级。
故障注入测试:故障注入测试通过故意引入硬件故障,评估硬件的容错能力和故障处理机制。这些测试能够帮助设计团队发现硬件设计中的潜在弱点,并验证其故障检测和恢复机制。
环境测试:环境测试在模拟硬件的真实工作环境下进行,确保硬件能够在实际运行条件下稳定运行。这包括高温、低温、湿度、电磁干扰和振动等环境因素的测试。
6.3.2 分析
对于某些复杂的硬件设计,直接通过测试可能难以覆盖所有设计场景或条件,因此 分析 是另一种重要的验证与确认手段。分析方法通常包括:
仿真分析:通过仿真工具,设计团队可以模拟硬件在各种工作条件下的行为。这些仿真测试可以用于验证硬件的时序、电气特性、信号完整性等方面的性能。
定量分析:设计团队通过定量分析工具评估硬件的失效概率和可靠性,确保硬件在运行期间的故障概率满足安全要求。常用的工具包括失效率模型和可靠性分析工具。
定性分析:对于难以量化的设计因素,设计团队可以通过定性分析方法来评估硬件的安全性和性能。例如,故障模式影响分析(FMEA)和故障树分析(FTA)是常见的定性分析方法。
6.3.3 评审
评审是确保硬件设计过程符合设计保证要求的另一种关键方法。评审方法包括对设计文档、测试结果和配置管理记录的审查,以确保硬件设计的每一个阶段都遵循了规定的标准和过程。
6.3.3.1 需求评审
需求评审是在需求捕获和定义阶段进行的,目的是确保所有硬件需求都完整、准确,并且与系统需求一致。需求评审的重点是确认设计团队是否正确理解了系统需求,并且在设计中没有遗漏任何功能或安全需求。
6.3.3.2 设计评审
设计评审通常在详细设计和实现阶段进行,目的是确保硬件的设计方案符合需求,并且设计能够在实际操作中稳定、可靠地运行。设计评审的重点是检查硬件的逻辑设计、物理实现和接口设计是否符合预期。
设计评审包括以下几个关键步骤:
审查设计文档:设计团队需要提供详细的设计文档,包括逻辑图、原理图、接口描述等。评审团队应审查这些文档,确保设计符合需求并且没有潜在的缺陷。
验证设计可行性:评审团队应评估设计的可行性,确认设计方案能够满足性能和安全要求,并且具备可制造性和可维护性。
评估设计中的风险:设计评审还需要评估硬件设计中可能存在的风险,并确定这些风险是否可以通过设计修改、冗余设计或其他措施来缓解。
生成设计评审报告:在设计评审结束后,评审团队应生成设计评审报告,记录评审的结论、发现的问题及其对应的解决方案。设计评审报告是设计决策和后续验证活动的基础。
7. 配置管理过程
配置管理是硬件设计生命周期中的一项关键活动,其目的是确保硬件的设计、实现和维护过程中的所有版本变更都得到严格控制和记录,以保证硬件的完整性、一致性和可追溯性。DO-254
规定,配置管理必须贯穿整个硬件设计生命周期,确保每个阶段的设计输出都能够追溯到其对应的需求,并且每次变更都经过严格的评估和批准。
7.1 配置管理目标
配置管理的主要目标是确保硬件设计、实现和维护过程中所有数据、文档和代码的版本管理都严格有序。具体目标包括:
确保设计文档的一致性:确保硬件的所有设计文档和实现数据保持一致,防止由于版本不匹配而导致的设计错误。
控制设计变更:在硬件设计过程中,任何设计变更都必须经过严格的变更控制过程,确保每个变更都经过充分评估,并且不会对硬件的功能和安全性造成负面影响。
确保设计可追溯性:配置管理确保设计过程中的每一个阶段都可以追溯到其对应的需求、设计决策、测试结果和验证活动。
记录所有硬件配置项:配置管理需要记录硬件设计中的所有配置项,包括硬件原理图、逻辑设计、PCB 布局、代码、验证文档等,确保在项目的不同阶段可以轻松定位和管理这些项。
7.2 配置管理活动
配置管理活动贯穿整个硬件设计生命周期,确保每个阶段的配置项都得到正确管理。配置管理活动包括以下几个关键步骤:
7.2.1 配置识别
配置识别是配置管理的第一步,它的目的是确定硬件设计中所有需要进行版本管理的配置项。配置项通常包括:
设计文档:如需求文档、设计规范、原理图、PCB 布局、测试计划等。
设计数据:包括逻辑设计文件、代码(如 FPGA 的 HDL 代码)、验证和测试结果。
物料清单(BOM):硬件实现中使用的所有物料和组件清单。
工具和环境:用于硬件设计和实现的工具(如仿真工具、测试工具等)和软件环境也需要进行版本控制。
在配置识别阶段,设计团队需要建立配置项清单,明确每个配置项的版本管理要求和追溯关系。
7.2.2 基线建立
基线是配置管理中的一个重要概念,指的是某个阶段的设计输出被正式批准并冻结,作为后续设计活动的基础。建立基线意味着这个版本的设计已经被验证和确认,可以作为参考版本使用。配置管理团队应在以下几个关键阶段建立基线:
需求基线:在需求捕获完成并经过确认评审后,需求文档应被作为基线保存。这意味着后续的设计活动都必须依据这个版本的需求文档进行。
设计基线:详细设计完成并通过设计评审后,设计文档和数据应作为基线保存,确保后续的实现活动依据这个版本的设计进行。
验证基线:验证活动完成后,测试结果和验证数据应作为基线保存,确保硬件设计的每一个阶段都经过验证。
7.2.3 问题报告、跟踪与纠正措施
在硬件设计过程中,设计团队可能会发现各种问题(如功能缺陷、性能问题、实现偏差等)。配置管理团队需要建立问题报告和跟踪系统,以记录、跟踪和解决这些问题。具体过程包括:
问题报告:任何团队成员在设计或验证过程中发现问题,都需要提交问题报告,详细描述问题的性质、发生条件、影响范围等信息。
问题跟踪:配置管理团队需要跟踪每个问题的解决进度,确保问题得到及时处理。问题跟踪系统应记录问题的优先级、负责团队、解决方案及其验证结果。
纠正措施:对于每个问题,设计团队需要制定纠正措施,以消除问题根源或减轻其影响。纠正措施应包括设计修改、测试补充或其他控制措施。
7.2.4 变更控制
变更控制是配置管理的核心内容,任何对硬件设计、文档、代码或配置项的更改都必须经过严格的变更控制过程。变更控制通常包括以下步骤:
变更请求:任何变更请求都需要以书面形式提交,明确说明变更的理由、变更内容、对其他部分的潜在影响、预期结果等。
变更评估:配置管理团队需要对每个变更请求进行评估,分析其对硬件设计、功能、安全性和验证活动的影响。评估过程中,应考虑变更是否会引入新的风险,以及是否需要进行额外的验证或测试。
变更批准:经过评估后,变更请求需要经过变更控制委员会(CCB)的批准。CCB 通常包括硬件设计团队、系统设计团队、验证团队和配置管理团队的代表。
变更实施和验证:变更批准后,设计团队应实施变更,并在变更完成后进行相应的验证和确认活动,确保变更不会影响硬件的功能和安全性。
变更记录:配置管理团队应记录所有变更,包括变更的原因、内容、影响分析、验证结果等。这些记录是后续追溯和评估的重要依据。
7.2.5 发布、归档和检索
在硬件设计项目的不同阶段,设计团队可能需要发布硬件配置项的不同版本,以便后续的制造、验证或维护活动。发布、归档和检索过程确保所有的配置项版本能够被正确保存和管理。
发布管理:设计团队应明确每个发布版本的内容和范围。发布版本通常包括设计文档、代码、测试报告等,所有发布版本必须经过配置管理团队的审核和批准。
归档管理:每个发布版本都应进行归档保存,确保在后续的设计活动中可以随时检索到这些版本。归档记录应包括版本号、发布时间、发布内容和批准信息。
检索管理:设计团队和维护团队应能够方便地检索到归档的版本信息,以便在需要时进行设计回溯或版本比较。配置管理系统应具备完善的检索功能,支持版本比对和历史记录查询。
7.3 数据控制类别
DO-254 规定,不同的数据控制类别要求不同级别的配置管理。根据硬件设计的复杂性和功能安全性,配置管理团队应为每一个配置项分配适当的数据控制类别。这些类别反映了该配置项对项目成功的重要性,以及需要施加的控制级别。
7.3.1 类别 A 数据
类别 A 数据 是对硬件功能安全性至关重要的数据,包括所有涉及硬件关键功能、故障检测和处理机制的配置项。类别
A 数据需要严格的配置控制,任何变更都必须经过全面的评估和验证。
7.3.2 类别 B 数据
类别 B 数据 包括支持硬件实现但不直接影响安全性的配置项。类别 B 数据的配置管理要求较为宽松,变更过程相对简化。
7.3.3 类别 C 数据
类别 C 数据 是项目中不直接影响硬件功能和安全性的数据。通常是一些支持性文档,如培训手册或参考资料。类别
C 数据的变更可以通过较为宽松的控制过程进行。
8. 过程保证
过程保证是硬件设计保证的一部分,旨在确保所有设计活动符合预定的计划和标准,并且每个设计步骤都经过适当的监督和审查。DO-254
规定,过程保证通过独立的评估和验证,确保硬件设计生命周期中的所有活动都严格按照既定的过程执行,从而提高设计的可靠性和安全性。
8.1 过程保证目标
过程保证的主要目标是通过独立的监督和验证活动,确保硬件设计的所有过程都遵循既定的标准、计划和政策。具体目标包括:
确保过程的遵守:过程保证确保所有设计和开发活动都遵循硬件设计计划、验证计划和配置管理计划中的规定,防止任何活动偏离预定的轨道。
提高设计的透明度和可追溯性:过程保证通过独立的监督和记录,确保每个设计活动都有据可查,并且每个变更都经过严格的审查和批准。
识别和纠正偏差:过程保证旨在识别设计过程中的偏差或违规操作,并通过适当的纠正措施确保偏差不会影响设计的最终质量。
独立的评审和验证:过程保证活动由与设计团队独立的第三方进行,确保评审和验证结果的公正性和客观性。
8.2 过程保证活动
过程保证活动包括以下几个关键步骤:
8.2.1 硬件设计计划的监督
硬件设计计划是整个设计项目的指导文件,规定了设计的目标、步骤和时间表。过程保证团队的首要任务是确保硬件设计团队严格遵守设计计划中的规定,并且没有任何未授权的变更或延误。
设计活动的监督:过程保证团队需要监督硬件设计的各个活动,确保每个设计步骤都按照计划执行。例如,详细设计、概念设计和实现活动的进展应定期检查,并且所有设计活动都必须记录在案。
设计进度检查:过程保证团队定期检查硬件设计的进度,确保设计活动按计划的时间节点进行,并及时识别任何潜在的延误或偏差。对于任何未达到预期进度的情况,过程保证团队应要求设计团队提交纠正计划。
8.2.2 验证计划的执行监督
验证计划规定了验证活动的步骤、时间表和目标。过程保证团队需要监督验证计划的执行,确保所有验证活动按计划进行,并且测试结果经过适当记录。
验证活动的监督:过程保证团队需要独立检查每个验证活动,确保验证过程的完整性和结果的准确性。例如,硬件功能测试、性能测试和故障注入测试的每个测试步骤都应按验证计划执行,并由过程保证团队审查测试结果。
验证数据的独立审查:过程保证团队应审查并确认所有验证数据的完整性和准确性,确保测试结果符合设计要求,并且验证数据没有被篡改或遗漏。
8.2.3 配置管理的监督
配置管理计划规定了硬件设计中所有配置项的版本管理和变更控制过程。过程保证团队需要监督配置管理活动,确保所有配置项都经过适当的控制,所有变更都经过严格的审查和批准。
配置项的监督:过程保证团队应监督配置项的识别和版本管理活动,确保所有设计文档、代码和测试数据都经过配置管理过程进行追踪和记录。
变更控制的监督:过程保证团队需要审查每个变更请求,确保所有变更都经过评估和批准。未经授权的变更应被拒绝或记录,并要求设计团队提交适当的变更请求。
8.2.4 过程评审
过程评审是过程保证中的一个重要环节,旨在对硬件设计生命周期中的关键阶段进行独立的审查,确保每个阶段的设计成果都符合既定标准,并且没有偏差或错误。
设计阶段评审:在设计的各个阶段结束时(如需求捕获、概念设计、详细设计、实现等),过程保证团队应组织独立的设计评审。这些评审应包括对设计文档、设计结果和验证数据的全面审查,确保设计符合需求并且没有重大问题。
验证阶段评审:在验证活动完成后,过程保证团队应组织验证阶段评审,审查所有的测试结果和验证文档,确保验证活动覆盖了所有预期的功能和性能要求,并且测试结果符合设计规范。
配置管理评审:配置管理评审确保硬件设计的每个阶段都严格遵循配置管理过程。过程保证团队应检查配置项的版本管理记录、变更控制记录和发布管理记录,确保设计的每一个变更都得到适当的控制和记录。
8.2.5 审计
审计是对硬件设计过程和活动的独立检查,旨在确保设计团队遵循了所有规定的标准、计划和政策。审计通常由与设计团队无关的第三方进行,以确保审计结果的公正性和客观性。
内部审计:内部审计通常由公司的内部审计部门或过程保证团队进行,旨在检查硬件设计过程的合规性,确保所有活动都符合公司内部规定的标准和过程。
外部审计:外部审计通常由认证机构或第三方独立审计团队进行,确保硬件设计过程符合行业标准和适航要求。外部审计的结果是硬件设计是否能够通过认证的关键因素之一。
8.2.6 纠正措施
在过程保证活动中,如果发现硬件设计过程中的偏差或违规操作,过程保证团队需要立即采取纠正措施,确保偏差得到及时修正,并防止其对设计质量造成进一步影响。
问题识别和记录:过程保证团队需要记录所有发现的问题,并为每个问题指定优先级和负责人。问题记录应包括问题的详细描述、发生原因、影响范围和可能的解决方案。
制定纠正措施计划:对于每个记录的问题,过程保证团队应与设计团队合作,制定纠正措施计划。该计划应包括具体的纠正步骤、责任人、时间表和预期结果。
跟踪和验证:在纠正措施实施后,过程保证团队应跟踪每个问题的解决情况,确保纠正措施已经实施并且问题得到解决。必要时,过程保证团队还应进行额外的验证活动,以确认纠正措施的有效性。
9. 认证联络过程
认证联络过程是确保硬件设计符合适航要求并通过认证机构批准的关键环节。DO-254 规定了认证联络的过程和活动,旨在确保设计团队与认证机构之间保持有效的沟通,并确保硬件设计的所有数据和文档满足适航认证的标准。
9.1 合规方法与计划
在硬件设计的初期,设计团队必须与认证机构就如何达到设计合规性达成一致。合规方法与计划的目标是确定硬件设计的认证途径,明确需要进行的设计保证活动和所需提交的认证数据。
9.1.1 硬件认证计划
硬件认证计划是认证联络过程中的核心文档,它定义了项目的认证范围、目标和方法。硬件认证计划应包括以下内容:
认证标准和要求:硬件认证计划应明确项目所需遵守的认证标准和适航要求,例如 DO-254 本身以及其他与系统、环境、软件相关的标准(如
DO-178C 和 DO-160)。
认证活动:计划中应列出项目各个阶段的设计保证活动和验证活动,包括验证测试、分析、审查等。每个活动应明确其目标、方法、时间节点以及需提交的认证数据。
认证提交材料:计划应规定设计团队需要向认证机构提交的所有文档和数据,包括需求文档、设计文档、验证报告、配置管理记录等。
认证时间表:硬件认证计划还应包含与认证相关的时间表,明确各个认证活动的完成时间以及认证提交的时间节点。
9.1.2 认证风险评估
在认证计划阶段,设计团队应进行全面的认证风险评估,识别和分析在认证过程中可能面临的挑战和风险。常见的认证风险包括:
设计复杂性:复杂的硬件设计可能会引发更多的验证活动或更严格的安全评估,因此设计团队应提前识别出复杂设计带来的认证风险,并采取相应的缓解措施。
变更控制:项目进行中可能发生设计变更,变更可能对认证产生影响,因此设计团队应制定变更控制过程,确保所有变更都经过认证机构的批准。
验证和确认不充分:如果某些验证和确认活动未能覆盖所有需求,可能导致认证失败。因此,设计团队应在计划阶段确保所有需求都有相应的验证活动,并且验证结果能够满足认证要求。
9.1.3 认证联络策略
为了确保认证过程顺利进行,设计团队需要与认证机构保持紧密的联络。认证联络策略的目标是确保设计团队和认证机构在项目的每个阶段都保持有效沟通,及时解决可能的认证问题。具体策略包括:
定期沟通:设计团队应定期与认证机构举行会议或审查会,讨论项目的进展、设计问题以及认证活动的完成情况。
认证前的预审查:在正式提交认证材料之前,设计团队可以邀请认证机构参与预审查活动,确保设计的每个阶段都符合认证要求,并提前解决潜在问题。
中期审查:在项目的关键里程碑(如需求捕获完成、详细设计完成、验证完成等)后,设计团队应组织中期审查会议,与认证机构确认项目的进展和设计结果。
9.2 合规证实
合规证实是认证过程的最终步骤,旨在确认硬件设计符合所有的认证标准和适航要求,并且经过了全面的验证和确认。合规证实的目的是生成认证所需的最终数据包,并向认证机构提交。
9.2.1 设计符合性声明
在合规证实阶段,设计团队需要生成 设计符合性声明(Statement of Compliance),该声明确认硬件设计符合适航要求,并且已经按照
DO-254 规定的过程完成所有设计保证活动。符合性声明通常包括以下内容:
设计目标:声明中应列出硬件设计的功能需求和安全需求,确认这些需求已经完全实现。
验证活动总结:声明应概述项目中进行的所有验证和确认活动,包括功能测试、性能测试、安全测试、环境测试等,确认这些活动覆盖了所有设计需求,并且验证结果符合预期。
配置管理记录:设计符合性声明还应附带完整的配置管理记录,确认项目中的所有配置项都经过严格的版本管理和变更控制。
测试和验证数据:符合性声明中应包括所有测试和验证活动的结果数据,确保认证机构能够对硬件设计进行全面评估。
9.2.2 认证提交材料
设计团队需要向认证机构提交一整套的认证材料,确保硬件设计符合适航标准。这些材料通常包括:
需求文档:记录硬件的所有功能需求、安全需求和接口需求,确保硬件的设计目标明确、全面。
设计文档:详细记录硬件的概念设计、详细设计、逻辑图、原理图、PCB 布局等信息,确保设计符合需求。
验证和确认报告:列出项目中进行的所有验证和确认活动,并记录其结果。验证报告应包括每个测试的目的、测试方法、执行过程和测试结果。
配置管理记录:配置管理记录应包括所有配置项的版本信息、变更历史以及发布版本的记录,确保设计的可追溯性。
过程保证记录:过程保证记录包括硬件设计生命周期中所有监督、评审和审计活动的记录,确保设计过程符合
DO-254 的规定。
9.2.3 合规评审
在合规证实阶段,设计团队应与认证机构共同组织合规评审,确保认证提交材料的完整性和准确性。合规评审包括对需求、设计、验证和配置管理活动的全面审查,并确保所有提交的认证材料都符合适航标准。
需求评审:认证机构应审查项目的需求文档,确保硬件设计的功能需求和安全需求都已被正确捕获,并且设计符合这些需求。
设计评审:认证机构应审查硬件的设计文档,确保设计符合需求,并且设计实现方案具有可行性和安全性。
验证评审:认证机构应审查所有的验证和确认活动,确保这些活动覆盖了所有设计需求,并且测试结果符合预期。
配置管理评审:认证机构应审查配置管理记录,确保硬件设计过程中的所有配置项都得到了适当的版本控制和变更管理。
合规结论:在合规评审结束后,认证机构将根据评审结果做出合规结论。如果设计满足所有适航要求,认证机构将批准硬件的适航认证。如果发现任何问题,认证机构将要求设计团队进行纠正,并重新提交材料进行评审。
10. 硬件设计生命周期数据
硬件设计生命周期数据是 DO-254 中规定的所有设计、验证、确认、配置管理和过程保证活动的输出,这些数据在整个硬件设计生命周期中产生,作为硬件认证、维护和追溯的重要依据。DO-254
详细规定了硬件设计生命周期中必须生成和维护的各种数据,以确保硬件设计的合规性、可追溯性和适航性。
10.1 硬件计划
硬件计划文件是硬件设计生命周期数据的基础,它为硬件设计的每个阶段提供了详细的指导和计划。硬件计划包括设计计划、验证计划、配置管理计划、过程保证计划等,这些文件确保设计活动有序进行并满足认证要求。
10.1.1 硬件认证方面计划
硬件认证计划 定义了硬件设计的认证路径和认证方法,明确项目需要遵守的标准和法规,以及为满足这些要求所需要进行的设计保证活动。认证计划的内容包括:
认证目标:列出硬件设计的适航目标和适用的认证标准,如 DO-254、DO-178C(对于软件部分)、DO-160(环境测试)等。
认证活动安排:计划中应列出所有认证相关的设计活动、测试活动和评审活动,包括时间节点、负责团队以及预期的输出。
认证提交材料:明确硬件设计生命周期中需要向认证机构提交的文档和数据,如需求文档、设计文档、测试报告、配置管理记录等。
认证进度表:制定认证活动的时间表,确保认证过程不会影响设计进度,并且能够及时完成所有认证提交。
10.1.2 硬件设计计划
硬件设计计划 是整个设计项目的关键文档,它概述了设计活动的步骤、目标和方法。设计计划定义了项目的功能需求、安全需求、性能需求等,并详细描述了硬件设计的各个阶段及其交付物。内容包括:
设计阶段划分:硬件设计计划应划分为多个阶段,如需求捕获、概念设计、详细设计、实现和验证,每个阶段都应有明确的目标和交付物。
设计团队和职责:计划应明确每个设计阶段的团队分工和职责,确保设计过程中的每一个活动都有指定的负责人。
设计标准和指南:硬件设计计划还应引用适用的设计标准和设计指南,以确保设计活动符合行业最佳实践和适航标准。
10.1.3 硬件验证计划
硬件验证计划 详细规定了项目中所有的验证活动,确保硬件设计符合需求文档中的所有功能和安全要求。验证计划通常包括:
验证范围:验证计划应列出项目中所有需要验证的功能、性能和安全性特征,确保设计的每一个方面都经过验证。
验证方法:计划中应详细描述验证的具体方法,如测试、分析、仿真等,并说明何时使用这些方法。
验证工具:如果需要使用专用工具(如仿真工具、自动化测试设备等)来进行验证,验证计划中应列出这些工具,并确保它们经过适当的评估和资格认证。
验证时间表:验证计划应包含详细的时间表,列出每个验证活动的开始和结束时间,确保验证活动与整体项目进度保持一致。
10.1.4 硬件确认计划
硬件确认计划 定义了确认活动的步骤和方法,确保硬件设计符合系统级需求,并且能够在实际操作环境中安全可靠地运行。确认计划的内容包括:
确认活动范围:计划应明确确认活动的范围,确保每个确认活动都能够覆盖硬件的系统级需求。
确认方法:计划中应详细描述确认活动的具体方法,如系统集成测试、接口测试、安全分析等。
确认活动时间表:确认计划应包含确认活动的时间安排,确保确认工作能够按时完成,并且不会影响项目的总体进度。
10.1.5 硬件配置管理计划
硬件配置管理计划 规定了项目中的所有配置管理活动,确保设计数据、文档、代码和其他配置项都经过严格的版本管理和变更控制。内容包括:
配置项识别:计划应列出项目中的所有配置项(如需求文档、设计文档、代码、测试数据等),并规定如何对这些配置项进行版本管理。
变更控制过程:配置管理计划应明确变更控制的过程和责任,确保每个变更都经过适当的评估和批准。
配置管理工具:如果使用了配置管理工具(如版本控制软件),计划中应列出这些工具,并确保它们的使用符合项目的配置管理要求。
10.1.6 硬件过程保证计划
硬件过程保证计划 定义了项目中的所有过程保证活动,确保设计团队按照 DO-254 的规定执行设计、验证和配置管理工作。过程保证计划的内容包括:
过程保证范围:计划应明确过程保证的范围,确保项目中的每一个设计活动都经过适当的监督和评审。
过程保证方法:过程保证计划中应详细描述过程保证的具体方法,如审计、评审、监督等,并规定何时进行这些活动。
过程保证时间表:计划中应列出过程保证活动的时间安排,确保这些活动能够在设计生命周期的各个阶段按时进行。
10.2 硬件设计标准和指南
硬件设计标准和指南是设计生命周期中的关键参考资料,确保设计活动符合行业最佳实践和适航要求。DO-254
规定,设计团队在整个硬件设计过程中应遵循一系列的设计标准和指南,以确保设计的可靠性和安全性。
10.2.1 需求标准
需求标准定义了如何捕获、记录和管理项目中的功能需求和安全需求。标准应确保所有需求都经过适当的审查和批准,并且这些需求在设计的整个生命周期中都能够保持一致和可追溯。
10.2.2 硬件设计标准
硬件设计标准规定了硬件设计过程中使用的方法、工具和规范,确保设计符合适航要求和项目需求。标准可能包括逻辑设计规范、时序设计标准、电路设计指南、功耗设计规范等。
10.2.3 验证与确认标准
验证与确认标准规定了项目中的测试方法和验证策略,确保每个验证活动和确认活动都符合规定的过程和标准。这些标准包括测试覆盖率要求、测试结果记录规范、仿真工具的使用要求等。
10.2.4 硬件归档标准
硬件归档标准规定了如何保存和管理项目中的设计数据、测试数据和配置管理记录,确保这些数据在项目的整个生命周期中能够随时检索,并且在后续的维护和改进活动中具有可追溯性。
10.3 硬件设计数据
硬件设计数据是在设计生命周期中生成的所有具体设计文档和数据,这些数据用于记录硬件的设计细节和实现过程。DO-254
要求项目中的所有设计数据都必须经过配置管理和版本控制,以确保设计的一致性和可追溯性。
10.3.1 硬件需求
硬件需求文档是硬件设计的基础,它记录了硬件的所有功能需求、安全需求和接口需求。这些需求应经过系统设计团队和硬件设计团队的共同确认,确保需求捕获的完整性和准确性。
10.3.2 硬件设计表示数据
硬件设计表示数据是对硬件逻辑、功能和物理实现的具体描述。设计表示数据包括逻辑设计图、原理图、时序图、PCB
布局图等。
10.3.2.1 概念设计数据
概念设计数据是硬件设计的高层描述,概述了硬件的逻辑架构、功能模块划分和设计思路。这些数据通常作为详细设计的基础,指导后续设计活动的开展。
10.3.2.2 详细设计数据
详细设计数据是硬件设计生命周期中最为关键的部分,它详细描述了硬件的逻辑实现、电路设计、组件选型和物理布局等内容。
顶层图:顶层图是对硬件设计的整体描述,展示了硬件的所有主要功能模块及其相互关系。
装配图:装配图详细描述了硬件组件的物理位置和连接关系,确保硬件的物理设计符合功能需求。
安装控制图:安装控制图规定了硬件安装和固定的具体要求,确保硬件能够在系统中正确集成并符合环境要求。
硬件/软件接口数据:硬件/软件接口数据记录了硬件与软件之间的接口协议、信号定义、时序要求等,确保硬件和软件能够正确交互。
10.4 验证与确认数据
验证与确认数据是硬件设计生命周期中至关重要的输出,记录了硬件设计验证和确认活动的所有结果和数据。这些数据用于证明硬件设计符合需求,并且已经经过了全面的测试、分析和评审。DO-254
规定,验证与确认数据必须经过严格的配置管理,确保其完整性和可追溯性。
10.4.1 追溯数据
追溯数据 是设计需求、测试用例、测试结果和验证活动之间的映射,确保设计的每个部分都经过了充分的验证,并且能够追溯到原始的需求。追溯数据在硬件设计的验证与确认过程中起到核心作用,确保所有需求都得到了覆盖,并且每个设计变更都经过了重新验证。
追溯数据通常包括:
需求追溯矩阵(RTM):需求追溯矩阵是需求与验证活动之间的映射表,用于确保所有硬件需求都经过了验证。RTM
显示了每个需求的验证方法(如测试、分析、评审等)和对应的验证结果。
测试用例追溯:追溯数据还包括测试用例与需求的映射,确保每个测试用例都与一个或多个硬件需求相关联,并且测试结果可以追溯到具体的需求。
变更追溯:在硬件设计过程中,任何设计变更都可能影响现有的验证数据。追溯数据应确保每个设计变更都经过了适当的重新验证,并且变更后的设计符合所有需求。
10.4.2 评审与分析过程
评审与分析过程 是验证与确认活动的一个重要组成部分,旨在通过对设计文档、测试结果和验证数据的审查,确保硬件设计符合需求。评审与分析是确保设计正确性的关键方法,特别是在测试无法完全覆盖的情况下。
评审与分析过程包括以下几个关键步骤:
需求评审:需求评审的目的是确保所有硬件需求都已经被正确捕获,并且需求的表述清晰、准确、可验证。需求评审通常在需求捕获阶段进行,设计团队与验证团队应共同参与。
设计评审:设计评审是对硬件设计的详细审查,确保设计符合需求并且具有可行性。设计评审通常包括对逻辑设计、原理图、PCB
布局的审查,验证其是否满足系统级需求和硬件设计规范。
验证数据评审:验证数据评审旨在确认所有的验证活动都已经完成,并且测试结果符合预期。评审团队应对每个验证用例和测试结果进行审查,确保验证的完整性和准确性。
分析过程:在某些情况下,设计团队可能无法通过实际测试验证所有需求,特别是对于某些极端环境或复杂场景。这时,分析方法(如仿真分析、故障模式影响分析等)可以用来评估硬件设计在这些情况下的表现。分析过程应包括对仿真模型的审查、分析结果的评估等。
10.4.3 评审与分析结果
评审与分析结果是硬件验证与确认活动的重要输出,记录了所有评审会议、分析活动的结论,以及任何需要进一步跟踪的事项。评审与分析结果通常包括:
评审结论:评审团队应对每个评审活动的结果做出明确的结论,确认设计是否符合需求,并记录任何发现的问题或改进建议。
问题跟踪:如果在评审过程中发现任何设计问题或验证不足,评审结果应包括这些问题的详细描述、优先级和解决方案。每个问题应有指定的负责人,并且在后续的设计评审中跟踪解决情况。
分析报告:对于使用分析方法(如仿真、故障模式影响分析等)进行验证的活动,分析报告应记录分析的输入数据、分析假设、分析方法和分析结果,并对设计的性能和安全性进行评估。
10.4.4 测试过程
测试过程 是验证硬件设计的主要手段,确保硬件能够实现所有预期功能,并且在各种操作条件下能够正常工作。测试过程通常包括以下几类测试:
功能测试:功能测试的目的是验证硬件的每个功能模块是否能够正确执行预定的功能。功能测试覆盖硬件的所有输入、输出、状态机和控制逻辑,确保硬件的逻辑实现符合设计规范。
性能测试:性能测试旨在评估硬件的性能参数,如响应时间、数据处理能力、功耗等。性能测试通常在不同负载和操作条件下进行,确保硬件的性能符合设计要求。
环境测试:环境测试是在模拟的真实工作环境下进行的测试,确保硬件能够在各种极端条件下(如高温、低温、湿度、振动、电磁干扰等)正常工作。这些测试通常遵循
RTCA DO-160 标准。
故障注入测试:故障注入测试通过模拟硬件的各种故障条件,验证硬件的容错能力和故障处理机制。测试团队可以通过注入硬件故障,测试硬件是否能够正确检测并处理故障,或进入安全模式。
压力测试:压力测试评估硬件在极限负载条件下的行为,确保硬件能够在高负载或长时间运行的情况下保持稳定。
10.4.5 测试结果
测试结果 是每个测试活动的具体输出,记录了测试用例的执行情况和测试结果。测试结果数据应经过严格的配置管理,确保其完整性和可追溯性。测试结果通常包括:
测试用例执行情况:每个测试用例的执行情况应被详细记录,包括测试开始时间、结束时间、执行步骤、预期结果和实际结果。
测试通过/失败报告:测试结果应明确说明每个测试用例是否通过。如果测试用例失败,应记录失败的原因、观察到的症状、以及可能的解决方案。
测试日志:测试日志记录了测试过程中发生的所有事件,包括任何意外的行为、设备故障或其他异常情况。测试日志可以帮助测试团队排查问题,并确保测试环境的一致性。
测试数据和报告:对于自动化测试或性能测试,测试结果通常以数据或图表的形式输出,这些数据应被纳入测试报告中,以便评审和分析。
10.5 硬件验收测试标准
硬件验收测试是硬件从设计阶段转入生产阶段之前的最后一环。DO-254 要求硬件验收测试必须按照标准的测试过程进行,确保硬件设计符合所有需求并且能够投入实际使用。验收测试标准包括:
功能性验收测试:功能性测试确保硬件的每个功能都按预期工作,并且能够满足系统级的功能需求。
环境验收测试:环境测试确保硬件能够在所有预期的操作环境下稳定工作,这些环境条件可能包括温度、湿度、振动、电磁干扰等。
安全性验收测试:安全性测试确保硬件的容错能力、故障检测和处理机制能够正常工作,并且硬件在故障条件下能够进入安全模式。
性能验收测试:性能测试评估硬件的运行效率和负载处理能力,确保硬件在预期的工作负载下能够正常运行。
10.6 问题报告
问题报告是硬件设计和验证过程中发现的任何设计缺陷、验证失败或其他问题的记录。问题报告应包括问题的详细描述、优先级、责任人和解决方案,并在配置管理系统中进行跟踪。
10.7 硬件配置管理记录
配置管理记录是硬件设计生命周期中的重要数据,记录了所有配置项的版本信息、变更历史和发布记录。配置管理记录确保硬件设计的每个部分都可以追溯,并且设计变更不会引入新的问题。
10.8 硬件过程保证记录
过程保证记录是项目中所有过程监督和评审活动的记录,确保设计活动遵循了既定的标准和过程。过程保证记录包括过程审计记录、评审会议记录、监督活动记录等。
10.9 硬件成就总结
硬件成就总结是项目的最终报告,概述了硬件设计的整个生命周期中的主要成就、测试结果、验证活动和认证结果。成就总结通常包括:
需求实现情况:总结硬件设计如何实现所有系统级需求。
验证活动总结:总结项目中进行的所有验证活动和测试结果,确认硬件已经经过了充分的验证和确认。
认证结果:概述硬件设计的认证过程和最终的适航认证结果。
11. 硬件认证考虑
硬件认证的目标是确保设计符合适航标准,并经过严格的验证和确认,证明其能够在航空系统中安全运行。对于复杂电子硬件(CEH),DO-254
详细规定了认证过程中需要考虑的特殊因素。硬件认证的成功取决于设计团队是否遵循了既定的标准和过程,并且生成了完整的生命周期数据,满足认证机构的要求。
11.1 认证使用的硬件
11.1.1 商用现货(COTS)组件
COTS 组件指的是标准商用硬件产品,它们通常在设计时并未特意考虑航空电子设备的适航要求。因此,在使用
COTS 组件时,认证过程中需要考虑其设计、制造和验证是否符合 DO-254 的要求。以下是认证时对于
COTS 组件的主要考虑因素:
验证和确认的充分性:虽然 COTS 组件已经在其他商业领域得到广泛使用,但它们在航空环境下的适应性和安全性仍然需要经过验证和确认。验证活动应确保
COTS 组件能够在预期的航空环境下安全运行,并且其功能和性能满足系统的要求。
供应商数据的使用:COTS 组件供应商通常提供有关产品设计、测试和性能的文档。这些数据可以作为验证的一部分,但设计团队仍需对供应商提供的数据进行审查和评估,确保其符合适航要求。
可靠性分析:COTS 组件的可靠性数据(如失效率、故障模式等)对于系统安全性评估至关重要。设计团队应对
COTS 组件的可靠性数据进行深入分析,确保其能够满足系统的安全需求。
配置管理和生命周期支持:COTS 组件的生命周期可能不完全符合航空系统的预期使用周期。设计团队应与供应商协调,确保
COTS 组件的版本管理和配置控制符合系统的长期维护需求。
11.1.2 重复使用的硬件
重复使用的硬件(Reuse Hardware)指的是已经在其他系统中通过认证并投入使用的硬件组件。在新的系统中重复使用这些硬件时,认证机构可能会要求对其进行重新评估,以确保其仍然符合当前系统的需求和安全标准。
重新认证的必要性:虽然重复使用的硬件已经通过认证,但由于新系统的操作环境、功能需求和接口可能发生变化,因此需要重新评估其适航性。这可能包括对硬件的设计、验证和测试活动进行补充和更新。
适应性评估:设计团队应评估重复使用的硬件是否能够适应新系统的需求。这包括功能适应性、安全适应性、接口兼容性和环境适应性等方面的评估。
维护记录和历史数据:如果重复使用的硬件已经在其他系统中投入使用,其维护记录、故障历史和可靠性数据对于认证过程非常有价值。设计团队应审查这些历史数据,并将其纳入新系统的安全评估中。
11.1.3 已开发的硬件
已开发的硬件 是指在本项目中开发之前已经经过验证和使用的硬件。在使用已开发的硬件时,认证机构要求设计团队提供充分的文档,证明该硬件符合适航要求。
开发数据的使用:已开发的硬件通常已经具备了完整的设计数据和验证数据。这些数据在认证过程中可以作为证明硬件符合适航要求的依据。然而,设计团队应确保这些数据是最新的,并且反映了硬件的当前状态。
适用性评估:设计团队需要评估已开发硬件在新系统中的适用性,确保其能够满足系统的需求。这包括对硬件的功能、性能、安全性和环境适应性的重新评估。
11.2 工具的使用
硬件设计和验证工具在 CEH 项目的开发过程中扮演着重要角色。DO-254 要求对这些工具进行适当的评估和资格认证,确保它们的使用不会引入设计错误或影响验证的完整性。
11.2.1 工具分类
DO-254 将工具分为两类:
开发工具:开发工具用于硬件的设计、实现和生产活动。这类工具的任何错误可能直接影响硬件的功能实现,因此需要进行详细的评估和资格认证。
验证工具:验证工具用于硬件的测试、分析和验证活动。如果这些工具存在错误,可能导致验证结果不准确,因此也需要进行评估和认证。
11.2.2 工具评估和认证
在使用任何工具之前,设计团队必须对其进行评估,确保工具能够按预期执行其功能,并且不会引入错误。工具评估活动包括以下几个步骤:
工具功能评估:设计团队应详细评估工具的功能,确保其能够满足项目的需求,并且所有使用的工具都经过适当的测试和验证。
工具验证:设计团队应对工具的工作结果进行验证,确保其输出的设计数据或测试结果符合预期。
工具资格认证:对于开发工具,特别是那些用于实现关键功能的工具,可能需要通过更严格的资格认证过程。资格认证过程包括工具的功能测试、错误分析以及验证活动。
11.3 使用硬件服务经验
对于已经在其他系统中使用过的硬件,服务经验可以作为认证过程中的有力证据。设计团队可以通过分析硬件的服务历史、故障记录和维护数据,证明该硬件在实际操作中具备可靠性和安全性。
11.3.1 服务数据的使用
服务数据应包括硬件在各种操作条件下的运行记录、故障率分析、维护活动和相关的可靠性数据。设计团队应将这些数据纳入硬件的安全评估和验证活动中。
11.3.2 服务数据分析
在使用服务数据时,设计团队需要对数据进行详细的分析,确保硬件的可靠性和安全性能够满足新系统的需求。如果服务数据中存在任何异常或潜在问题,设计团队应制定相应的改进计划,并重新验证硬件的性能。
11.4 可编程逻辑器件(PLD)设计认证
对于 PLD(可编程逻辑器件)或 FPGA(现场可编程门阵列)等复杂硬件,DO-254 强调了认证过程中对设计和验证的特殊要求。这些器件的设计复杂性较高,设计团队需要确保其在设计、实现和验证过程中使用了正确的过程和工具。
11.4.1 PLD 设计过程
PLD 的设计过程包括需求捕获、逻辑设计、仿真测试和硬件实现。由于 PLD 可以重新编程,因此设计团队需要对每次设计更改进行详细的记录和验证。
11.4.2 PLD 验证活动
PLD 的验证活动包括仿真测试、验证测试和故障注入测试。这些测试的目的是确保 PLD 设计的功能和性能符合需求,并且在实际操作条件下能够稳定运行。
11.4.3 PLD 变更管理
由于 PLD 的可编程性,变更管理在 PLD 设计中尤为重要。设计团队需要确保所有的设计更改都经过严格的评估和验证,并且变更后的设计能够继续满足认证要求。
12. 总结
DO-254 是专门为航空电子设备的复杂电子硬件(CEH)开发制定的适航认证标准。该标准为硬件设计、开发、验证和认证提供了详细的指导,确保复杂电子硬件能够在航空系统中安全可靠地运行。通过执行
DO-254 的规定,设计团队能够确保硬件的功能性、安全性和可维护性,并通过认证机构的严格审查。
12.1 硬件设计生命周期的关键要素
DO-254 强调硬件设计生命周期的每个阶段都需要严格的控制和文档记录,确保硬件设计的每一个步骤都有据可循。以下是
DO-254 规定的硬件设计生命周期中的几个关键要素:
需求捕获:需求捕获是硬件设计的基础,它定义了硬件的所有功能需求和安全需求。准确、详细的需求捕获是成功设计的基础。
详细设计和实现:详细设计阶段包括硬件的逻辑设计、电路设计和实现过程。DO-254 要求设计团队提供详细的设计文档,确保设计符合需求并经过适当的验证和确认。
验证和确认:验证和确认是确保硬件设计符合需求并能够安全运行的关键步骤。通过功能测试、性能测试、环境测试等验证活动,设计团队能够确认硬件在实际操作条件下的表现符合预期。
配置管理和过程保证:配置管理确保硬件设计的每一个版本和配置项都得到适当的控制和管理,防止设计过程中的错误。过程保证通过独立的评估和监督,确保设计活动符合
DO-254 的要求。
12.2 认证联络和文档要求
在硬件设计的整个生命周期中,与认证机构保持紧密的沟通至关重要。DO-254 规定了认证联络的过程,确保设计团队能够及时获取认证机构的反馈,并按照要求提交必要的文档和数据。
硬件认证计划:硬件认证计划定义了项目中的认证活动、时间表和提交材料,确保设计团队和认证机构之间保持一致。
验证与确认数据:验证与确认数据是认证提交的关键内容,包括测试结果、评审报告、配置管理记录等。这些数据证明了硬件设计符合适航要求,并且经过了充分的测试和评估。
合规评审和认证:认证机构通过合规评审来确认硬件设计是否符合适航要求。如果设计符合标准,认证机构将批准其适航认证,允许硬件在航空系统中使用。
12.3 复杂电子硬件的特殊考虑
对于复杂电子硬件(CEH),DO-254 提供了针对其设计、验证和认证的特殊要求。CEH 的复杂性通常体现在其可编程逻辑设计(如
FPGA)和高度集成的电路架构中,设计团队需要使用特殊的工具和方法来保证其安全性和可靠性。
可编程逻辑器件(PLD)设计:PLD 和 FPGA 设计涉及到复杂的逻辑实现和频繁的设计更改。DO-254
要求对这些设计的每一次变更都进行详细记录,并确保每次变更后都重新进行验证。
开发工具的资格认证:由于开发工具直接影响到硬件的功能和性能,DO-254 强调了对这些工具进行资格认证的必要性。通过对开发工具的评估和验证,设计团队能够确保工具不会引入设计错误或影响验证结果。
12.4 硬件认证的最终目标
DO-254 的最终目标是确保航空电子硬件的设计符合适航标准,并且能够在实际操作条件下安全可靠地运行。通过执行
DO-254 的规定,设计团队能够:
实现硬件的功能和安全性:确保硬件的设计、实现和验证活动符合系统的功能需求和安全需求。
提高设计的可追溯性和透明性:通过完整的文档记录和配置管理,确保设计的每一个步骤都有据可查,并且每一次变更都经过充分的评估和验证。
确保硬件的长期维护和更新:DO-254 规定的过程和文档要求确保硬件设计能够在整个生命周期中保持一致性,并且在需要时能够进行更新和维护,而不会影响其适航性。
12.5 实现适航认证
为了成功通过适航认证,设计团队需要在项目的每个阶段都严格遵循 DO-254 的规定。通过良好的计划、严格的验证和有效的配置管理,设计团队能够确保硬件设计符合适航标准,并通过认证机构的评审,最终获得适航认证。
认证过程的关键要素包括:
与认证机构的有效沟通:在整个硬件设计生命周期中,设计团队应与认证机构保持紧密沟通,确保设计活动和验证活动符合适航要求。
提交完整的认证文档:认证提交材料包括需求文档、设计文档、验证数据、配置管理记录等。设计团队应确保所有提交的文档和数据都完整、准确,并且符合认证机构的要求。
持续的变更控制和维护:在硬件设计的后续阶段,如果需要进行任何设计更改或维护活动,设计团队必须遵循
DO-254 的变更控制过程,确保变更后的设计继续符合适航标准。
附录 A:硬件生命周期数据的调制,基于硬件设计保证等级
A.1 概述
本附录的目的是说明在硬件设计保证等级(HDAL,Hardware Design Assurance
Level)基础上如何调整硬件生命周期数据。根据硬件在系统中的安全关键性,HDAL 主要分为 5 个等级:A
级至 E 级。A 级为最高安全级别,适用于可能导致灾难性后果的硬件。随着 HDAL 级别的降低,对硬件生命周期数据的需求和验证活动要求也会相应减少。
A.2 硬件生命周期数据调制的原则
根据 DO-254,硬件生命周期中的数据调制需要考虑硬件在不同设计保证等级下的需求。以下是调制的主要原则:
对高 HDAL(A 级和 B 级)的严格要求:
需求捕获:所有功能性和安全性的需求都必须被详细捕获,并且每个需求都需要被验证和确认。
设计详细程度:每个模块的设计都需要提供详细的逻辑图、原理图、功能描述等,确保设计实现的完整性和正确性。
全面的验证和确认:每个测试用例、每个验证过程都必须经过详细记录,确保硬件在不同操作条件下的正确性。
中等 HDAL(C 级)的调整:
需求简化:对硬件的功能需求和安全需求记录可以适当简化,但仍需确保系统功能性。
验证和确认活动减少:C 级硬件的验证活动可以简化,某些环境测试或极限条件测试可以选择性执行。
对低 HDAL(D 级和 E 级)的最小要求:
最小数据生成:D 级和 E 级硬件对安全性无重大影响,因此在设计、验证和确认中的数据生成需求最小化。
有限的验证活动:仅需要基本的功能测试来确保硬件正常工作,不需要进行复杂的验证测试。
A.3 各生命周期数据的调制
在生命周期的不同阶段,数据调制的具体内容如下:
需求阶段数据:
A 级和 B 级:需要完整的需求追溯矩阵,涵盖功能需求、安全需求、环境需求等。
C 级:仅需基本的功能需求追踪。
D 级和 E 级:需求记录可以简化为基本功能列表。
设计阶段数据:
A 级和 B 级:要求详细的设计文档、逻辑图、时序图、模块接口描述。
C 级:设计文档可以简化,专注于核心功能的描述。
D 级和 E 级:设计文档可以缩减为概述级别。
验证阶段数据:
A 级和 B 级:要求详细的测试计划、测试用例、测试结果和故障分析。
C 级:验证数据可以缩减,但需要确保核心功能通过测试。
D 级和 E 级:仅需记录基本的功能验证和通过情况。
附录 B:A 级和 B 级功能的设计保证考虑
B.1 概述
附录 B 详细描述了对 A 级和 B 级硬件设计中需要特别注意的设计保证考虑。这些硬件通常承担着安全关键性功能,因此在设计、实现和验证中需要采取更严格的设计保证措施。A
级硬件尤其要求最全面的设计保证活动,因为其故障可能会导致灾难性后果。
B.2 设计保证活动
A 级和 B 级的硬件设计必须满足最高的设计保证要求,以下是几个关键的设计保证活动:
需求捕获和管理:
对于 A 级硬件,必须确保所有安全需求被完整捕获,并且这些需求在整个设计和验证过程中保持一致。
B 级硬件的需求管理要求稍微宽松,但仍需确保安全需求得到完整追踪。
设计冗余和容错能力:
A 级硬件必须设计有冗余系统,确保在一个功能模块失效时,系统仍然能够维持安全状态。
对于 B 级硬件,容错设计也至关重要,但在某些情况下,可以允许故障后系统降级运行。
故障模式与影响分析(FMEA):
对 A 级和 B 级硬件的每个功能模块,必须进行全面的故障模式影响分析(FMEA),以确保所有潜在的故障模式都得到了充分考虑和缓解。
B.3 验证与确认
A 级和 B 级硬件的验证和确认活动需要确保功能的完整实现,并满足适航安全要求:
仿真与测试覆盖:
对于 A 级硬件,测试覆盖率必须达到 100%,确保每个功能、接口和操作条件都经过验证。
B 级硬件的测试覆盖率可以适当降低,但核心功能仍需要全面验证。
故障注入测试:
A 级硬件要求通过故障注入测试,验证硬件是否能够在故障情况下保持安全性。
B 级硬件也需要进行故障注入测试,但可以适当减少测试条件。
环境测试:
A 级和 B 级硬件都需要进行环境测试,确保其在极端温度、湿度、振动和电磁干扰下能够正常工作。
附录 C:术语表
该附录定义了 DO-254 文档中使用的关键术语。以下是术语的详细翻译:
验收(Acceptance):由认证机构确认,数据提交、论点或等效性声明满足适用要求的认可。
适航性(Airworthiness):硬件处于安全操作的状态,能够完成其预定的功能。
分析(Analysis):通过数学或其他逻辑推理过程,从陈述的前提得出有关设备或硬件项的特定能力及其适用性的结论。
异常行为(Anomalous Behavior):与指定要求不一致的行为。
申请人(Applicant):寻求认证机构批准的人或组织。
专用集成电路(ASIC, Application Specific Integrated Circuit):为实现特定功能而开发的集成电路,包括门阵列、标准单元和全定制组件。
批准(Approval):表达赞成意见或给予正式批准的行为或实例。
组件(Assembly):组合在一起以执行特定功能的若干组件或其组合。
评估(Assessment):基于工程判断的评估。
假设(Assumptions):无需证明提出的陈述或原则。
保证(Assurance):通过计划和系统的行动所产生的结果,旨在提供充分的信心和证据,证明产品或过程满足给定的要求。
可用性(Availability):项目或功能处于可操作状态的概率。
基线(Baseline):已识别并批准的配置,在进一步设计中作为基础,只有通过变更控制程序才会更改。
认证(Certification):认证机构对产品、服务、组织或个人符合要求的法律承认。认证过程包括技术检查和符合性确认,并根据国家法律和程序签发证书、执照或其他文件。
配置(Configuration):定义功能的配置项列表。
复杂硬件项(Complex Hardware Item):不属于简单硬件的所有硬件项。详情见简单硬件项定义。
符合性(Compliance):成功完成所有强制性活动,预期或指定结果与实际结果一致。
元件(Component):执行系统特定功能的自包含部分、零件组合、子装配或单元。
附录 D:缩略语
该附录提供了 DO-254 文档中使用的所有常见缩略语及其完整形式:
ALU:Arithmetic Logic Unit(算术逻辑单元)
ARP:Aerospace Recommended Practice(航空航天推荐做法)
ASIC:Application Specific Integrated Circuit(专用集成电路)
COTS:Commercial-Off-The-Shelf(商用现货产品)
FAR:Federal Aviation Regulations(联邦航空条例)
FHA:Functional Hazard Assessment(功能危害评估)
FFP:Functional Failure Path(功能故障路径)
FFPA:Functional Failure Path Analysis(功能故障路径分析)
FTA:Fault Tree Analysis(故障树分析)
HDL:Hardware Description Language(硬件描述语言)
JAR:Joint Aviation Requirements(联合航空条例)
LRU:Line Replaceable Unit(线路可更换单元)
PHAC:Plan for Hardware Aspects of Certification(硬件认证方面的计划)
PLD:Programmable Logic Device(可编程逻辑器件)
PSSA:Preliminary System Safety Assessment(初步系统安全评估)
RTCA:Radio Technical Commission for Aeronautics(航空无线电技术委员会)
SSA:System Safety Assessment(系统安全评估)
WG:Working Group(工作组)
|
