引言：在2024年7月2日“eVTOL博士之雜壇07"中介紹什么是機(jī)載軟件？為何要適航審查？有幾個(gè)朋友私信我: 低空飛行器機(jī)載軟件適航符合性是如何保證的？有沒(méi)有相關(guān)的標(biāo)準(zhǔn)？鑒于此，本文針對(duì)機(jī)載軟件適航審定做進(jìn)一步分析，以及對(duì)DO-178做些簡(jiǎn)單介紹。

01 機(jī)載軟件的適航審定

機(jī)載軟件的適航合格審定分為現(xiàn)場(chǎng)審查和文檔審查！

在過(guò)去數(shù)十年里，隨著計(jì)算機(jī)技術(shù)的快速發(fā)展和其在航空領(lǐng)域的廣泛應(yīng)用，航空機(jī)載電子設(shè)備得到了飛速的發(fā)展，機(jī)載軟件在整個(gè)電子設(shè)備中占的比重越來(lái)越大，且發(fā)揮了不可替代的作用。機(jī)載軟件給整個(gè)飛行器帶來(lái)巨大積極作用的同時(shí)，也帶來(lái)了潛在軟件風(fēng)險(xiǎn)和漏洞。小小的軟件bug，都可能導(dǎo)致整個(gè)機(jī)毀人亡的災(zāi)難性后果（見“eVTOL博士之雜壇07”詳細(xì)介紹）。機(jī)載軟件的適航性對(duì)于飛行器的飛行安全是至關(guān)重要的，也是適航審查的重要部分之一。

機(jī)載軟件的適航合格審定，是申請(qǐng)人和民航局（以下簡(jiǎn)稱局方）之間進(jìn)行深入溝通和了解的過(guò)程。局方對(duì)軟件生命周期過(guò)程和資料進(jìn)行抽查性審查，以評(píng)估該型號(hào)飛行器機(jī)載軟件產(chǎn)品與DO-178C的符合性，從而獲取對(duì)軟件產(chǎn)品安全性的置信度。
      

飛行器機(jī)載軟件適航審定的審查形式分為兩類: 現(xiàn)場(chǎng)審查及文檔審查。

現(xiàn)場(chǎng)審查是在申請(qǐng)人或軟件研制單位現(xiàn)場(chǎng)，對(duì)軟件開發(fā)過(guò)程的相關(guān)階段進(jìn)行的詳細(xì)評(píng)審。根據(jù)局方的要求，申請(qǐng)人和研制單位的相關(guān)人員需參加評(píng)審并進(jìn)行說(shuō)明。現(xiàn)場(chǎng)審查的優(yōu)點(diǎn)在于局方審查員可以近距離地接近軟件開發(fā)人員、開發(fā)環(huán)境和測(cè)試環(huán)境，以及相關(guān)詳細(xì)數(shù)據(jù)、資料，是一種較為深入的審查方式?，F(xiàn)場(chǎng)審查會(huì)在軟件安全性方面更容易獲得準(zhǔn)確的置信度。現(xiàn)場(chǎng)審查需要審查人員和申請(qǐng)人技術(shù)人員投入較多時(shí)間，并且由于需要研制單位的資源配合，研制單位需提前規(guī)劃現(xiàn)場(chǎng)審查時(shí)間和周期。

不是所有機(jī)載軟件產(chǎn)品項(xiàng)目都需要進(jìn)行現(xiàn)場(chǎng)審查。需要現(xiàn)場(chǎng)審查的機(jī)載軟件及情況，主要包括以下：

1）安全可靠性、關(guān)鍵程度要求高的系統(tǒng)（如A級(jí)和B級(jí)系統(tǒng)）

對(duì)于eVTOL來(lái)說(shuō)，主要是指飛控系統(tǒng)主要功能、單點(diǎn)失效等應(yīng)急工況控制策略、飛行模式過(guò)渡控制策略等等。特別是針對(duì)低空環(huán)境氣流狀態(tài)復(fù)雜，低空障礙物眾多等風(fēng)險(xiǎn)，需要對(duì)應(yīng)的飛控系統(tǒng)功能強(qiáng)大，應(yīng)急性和魯棒性滿足要求。

 2）新系統(tǒng)或新技術(shù)、新方法飛控系統(tǒng)

在低空飛行器中，新系統(tǒng)、新技術(shù)和新方法，往往意味著新風(fēng)險(xiǎn)，對(duì)應(yīng)的技術(shù)成熟度相對(duì)較低，需要經(jīng)過(guò)長(zhǎng)期的、多輪迭代才能逐漸成熟。

3）具有多種功能的綜合、復(fù)雜飛控系統(tǒng)

飛控系統(tǒng)通常包括自動(dòng)飛行控制系統(tǒng)、導(dǎo)航系統(tǒng)、通信系統(tǒng)、傳感器系統(tǒng)等。各系統(tǒng)的協(xié)同性、穩(wěn)定性和可控性要求較高。

4）研制單位經(jīng)驗(yàn)不足或有不良開發(fā)歷史

隨著低空經(jīng)濟(jì)火熱和飛控研發(fā)需求增加，各背景或行業(yè)研發(fā)人員涌入，不可避免會(huì)出現(xiàn)理解不同、認(rèn)識(shí)不深、開發(fā)經(jīng)驗(yàn)不足等問(wèn)題，甚至在對(duì)飛行器基本原理缺乏認(rèn)識(shí)的情況下開發(fā)出的飛控系統(tǒng)，出現(xiàn)炸機(jī)或墜機(jī)事故就不足為奇了。

 5）試驗(yàn)中發(fā)現(xiàn)飛控系統(tǒng)有多種問(wèn)題

eVTOL是新型低空飛行器，而且不同構(gòu)型（多旋翼、復(fù)合旋翼、傾轉(zhuǎn)旋翼和多涵道構(gòu)型等）飛控系統(tǒng)千差萬(wàn)別。前期概念、原型機(jī)開發(fā)驗(yàn)證階段如出現(xiàn)多種問(wèn)題（如動(dòng)力系統(tǒng)轉(zhuǎn)速發(fā)散），就應(yīng)該重點(diǎn)進(jìn)行現(xiàn)場(chǎng)審核。

 6）所使用的技術(shù)或環(huán)境出現(xiàn)過(guò)重大更改的系統(tǒng)

 7）局方出于其他考慮要求進(jìn)行現(xiàn)場(chǎng)審查的系統(tǒng)等

文檔審查是民航局相關(guān)審查人員對(duì)申請(qǐng)人提交的相關(guān)機(jī)載軟件，進(jìn)行適航符合性文件（包括軟件生命周期資料等）評(píng)審的過(guò)程。文檔審查可以不在研制單位/申請(qǐng)人處進(jìn)行。研制單位技術(shù)人員通常也很少參與評(píng)審過(guò)程，甚至不需要參與評(píng)審過(guò)程。文檔審查的優(yōu)點(diǎn)在于節(jié)省時(shí)間，且對(duì)申請(qǐng)人或研制單位提出很多配合需求。缺點(diǎn)在于，無(wú)法直接與記載軟件開發(fā)人員交流，也無(wú)法直接目擊開發(fā)過(guò)程，因此評(píng)審深度有限。同時(shí)出于知識(shí)產(chǎn)權(quán)保護(hù)需求，相關(guān)機(jī)載軟件往往只有部分文檔適用于文檔審查，或者需要提供大量的紙質(zhì)文件提交用于審查。

適用于文檔審查的情況，主要包括：

1）對(duì)已經(jīng)經(jīng)過(guò)批準(zhǔn)的軟件進(jìn)行的部分更改，而進(jìn)行的必要審查；

2）安全性關(guān)鍵程度不高（如C級(jí)和D級(jí)系統(tǒng)），而進(jìn)行的審查；

 3）研制單位經(jīng)驗(yàn)豐富，在業(yè)內(nèi)具有公認(rèn)的技術(shù)水平和知名度，成功案例較多和經(jīng)驗(yàn)豐富。

文檔審查的內(nèi)容包括：在型號(hào)研制過(guò)程中，系統(tǒng)/設(shè)備的適航驗(yàn)證工作所涉及的軟件相關(guān)適航符合性文件的評(píng)審，以及在軟件本身的開發(fā)過(guò)程中相應(yīng)的適航符合性文檔（主要是軟件生命周期資料）的評(píng)審。

02  機(jī)載軟件符合性審定文件要求和審查目標(biāo)

機(jī)載軟件的適航合格審定分為現(xiàn)場(chǎng)審查和文檔審查！

不論現(xiàn)場(chǎng)審查或文檔審查，均可以由局方或局方授權(quán)委任代表執(zhí)行，或局方與委托代表共同執(zhí)行。機(jī)載軟件的適航符合性文件，具體包括以下內(nèi)容：

1）軟件合格審定計(jì)劃；
     

2）軟件構(gòu)型索引；
      

3）軟件完結(jié)綜述；
       

4）軟件構(gòu)型評(píng)估報(bào)告；
       

5）軟件階段成熟度評(píng)估報(bào)告；
       

6）軟件加載程序。
      

由于機(jī)載軟件是機(jī)載系統(tǒng)的一部分。因此，在實(shí)際審定過(guò)程中，因型號(hào)不同，機(jī)載軟件相關(guān)的構(gòu)型評(píng)估和階段成熟度評(píng)估，都有可能包含在系統(tǒng)級(jí)評(píng)估報(bào)告中，這點(diǎn)是需要注意的。      局方可以按照適航審定程序，及其工程經(jīng)驗(yàn)，對(duì)機(jī)載軟件生命周期過(guò)程或相關(guān)資料進(jìn)行審查，以保證作為合格審定申請(qǐng)的一部分提交的軟件產(chǎn)品符合相關(guān)審定基礎(chǔ)，滿足DO-178C的目標(biāo)以及其他相關(guān)軟件政策、指南、問(wèn)題紀(jì)要等適航要求。

需要重點(diǎn)強(qiáng)調(diào)的是：機(jī)載軟件審查方式，雖然是通過(guò)評(píng)判軟件產(chǎn)品和軟件開發(fā)過(guò)程是否滿足審定基礎(chǔ)和DO-178C目標(biāo)來(lái)確定機(jī)載軟件的最終符合性。但是，適航審查過(guò)程中重點(diǎn)關(guān)注的是對(duì)軟件工程資料的技術(shù)評(píng)判，而并非僅僅在于確認(rèn)軟件開發(fā)過(guò)程對(duì) DO-178C目標(biāo)的符合性審查。
       

在軟件審查過(guò)程中，以下幾點(diǎn)是順利開展機(jī)載軟件審查的前提條件：
      

1）對(duì)適航審定基礎(chǔ)、DO-178C目標(biāo)、局方政策、問(wèn)題紀(jì)要和其他適用的審定要求，需要有清楚而準(zhǔn)確的理解和認(rèn)識(shí)；
      

2）申請(qǐng)人/研制方必須能夠保證機(jī)載軟件適航符合性數(shù)據(jù)，對(duì)于局方或其委托人員的可見性，這也是適航審查的必要條件；
      

3）申請(qǐng)人能夠提供表明軟件項(xiàng)目遵循了經(jīng)批準(zhǔn)的軟件計(jì)劃和程序的客觀證據(jù)，并能夠證明按照該計(jì)劃和程序進(jìn)行了軟件開發(fā)；      4）如果局方進(jìn)行適航審定代表委任，局方對(duì)委任代表的活動(dòng)要進(jìn)行監(jiān)督。

局方對(duì)機(jī)載軟件項(xiàng)目的介入程度，應(yīng)該在項(xiàng)目生命周期中盡早確定和記錄。機(jī)載軟件評(píng)審的類型、階段和數(shù)量取決于項(xiàng)目的軟件等級(jí)、授權(quán)委任代表支持的程度和質(zhì)量、研制單位和／或軟件開發(fā)商的經(jīng)驗(yàn)和歷史、使用困難歷史和其他因素等。

03  eVTOL飛控系統(tǒng)

eVTOL飛控系統(tǒng)對(duì)于整機(jī)研制意義重大！

低空飛行器飛行控制系統(tǒng)（簡(jiǎn)稱飛控系統(tǒng)）有高度集成、高度復(fù)雜的特點(diǎn)，其安全性、可靠性要求非常高，是機(jī)載軟件系統(tǒng)的核心，其功能失效將產(chǎn)生災(zāi)難性影響。飛控系統(tǒng)包括飛行控制軟件，主要完成低空飛行器電池-電機(jī)和-旋翼和高壓配電等控制，飛行傳感器數(shù)據(jù)處理，飛行姿態(tài)控制、導(dǎo)航精度的精確調(diào)控和余度管理等工作，以及實(shí)現(xiàn)低空飛行器不同飛行模態(tài)過(guò)渡和轉(zhuǎn)換控制，保證飛行穩(wěn)定性。

對(duì)于五座級(jí)別的eVTOL來(lái)說(shuō)，飛控系統(tǒng)成本占整機(jī)總成本的約20%（例如某型機(jī)飛控系統(tǒng)報(bào)價(jià)約60萬(wàn)人民幣）。中國(guó)民用航空市場(chǎng)對(duì)飛行控制系統(tǒng)的需求持續(xù)增長(zhǎng)，預(yù)計(jì)到2030年市場(chǎng)規(guī)模將達(dá)1944億元。全球低空飛行器飛控系統(tǒng)的市場(chǎng)規(guī)模則高達(dá)1000億元。當(dāng)然，受整機(jī)研制進(jìn)度、政策支持、基礎(chǔ)設(shè)施建設(shè)和補(bǔ)貼政策影響，可能會(huì)有所波動(dòng)。傳統(tǒng)民用飛行器飛控系統(tǒng)的技術(shù)壁壘主要體現(xiàn)在整套系統(tǒng)的軟硬件生態(tài)、可靠性及完整性上。全球范圍內(nèi)，擁有成熟飛控技術(shù)的企業(yè)屈指可數(shù)，且大多集中在美國(guó)等西方國(guó)家，如霍尼韋爾等。面對(duì)技術(shù)封鎖和eVTOL的興起，中國(guó)企業(yè)在飛控系統(tǒng)的國(guó)產(chǎn)開發(fā)上采取了多元化路徑，從無(wú)人機(jī)飛控迭代、汽車或互聯(lián)網(wǎng)行業(yè)跨界，到航空專業(yè)背景的團(tuán)隊(duì)介入，為實(shí)現(xiàn)國(guó)產(chǎn)飛控系統(tǒng)驗(yàn)證提供了可能。涌現(xiàn)出了無(wú)人機(jī)領(lǐng)域如大疆創(chuàng)新等頭部企業(yè)，期待未來(lái)eVTOL領(lǐng)域也能出現(xiàn)飛控領(lǐng)域的世界強(qiáng)者。

飛控系統(tǒng)對(duì)保證飛機(jī)安全性和可靠性起著關(guān)鍵作用。針對(duì)飛控系統(tǒng)的安全性需求，民用飛行器通常是基于標(biāo)準(zhǔn)ARP4754 和 ARP4761 ，進(jìn)行飛控系統(tǒng)安全性需求的識(shí)別過(guò)程和確認(rèn)流程。

飛控系統(tǒng)多采用冗余架構(gòu)設(shè)計(jì)，即在單個(gè)或若干個(gè)設(shè)備發(fā)生故障時(shí)，飛控功能仍然可用，基本可保證飛機(jī)的可操縱性。但仍需考慮共模問(wèn)題破壞冗余架構(gòu)，并導(dǎo)致飛控功能喪失等問(wèn)題。FAA、EASA發(fā)布的系統(tǒng)安全性條款25.1309系統(tǒng)、設(shè)備及安裝的咨詢通告/可接受的符合性方法“系統(tǒng)設(shè)計(jì)和分析”文件中，要求開展包括共模分析在內(nèi)的共因分析，識(shí)別破壞獨(dú)立性假設(shè)從而導(dǎo)致單點(diǎn)失效的問(wèn)題，并采取相應(yīng)安全保障措施。工業(yè)標(biāo)準(zhǔn)SAE ARP4761《民用飛機(jī)機(jī)載系統(tǒng)和設(shè)備進(jìn)行安全評(píng)估過(guò)程的指南和方法》則進(jìn)一步給出結(jié)構(gòu)化共模分析方法。

飛控系統(tǒng)安全性需求作為飛控系統(tǒng)需求的一個(gè)組成部分，參考系統(tǒng)需求確認(rèn)流程，飛控系統(tǒng)安全性需求的確認(rèn)流程一般由以下5個(gè)步驟組成:

1）為安全性需求選擇確認(rèn)方法

進(jìn)行系統(tǒng)安全性需求確認(rèn)之前，確認(rèn)人員對(duì)每條需求進(jìn)行初步審閱，選擇恰當(dāng)?shù)男枨蟠_認(rèn)方法，并在需求矩陣中明確記錄。確認(rèn)方法包括分析、評(píng)審、試驗(yàn)等。

2）進(jìn)行需求確認(rèn)工作

安全性需求確認(rèn)過(guò)程中，確認(rèn)人員對(duì)每一條安全性需求按照需求矩陣中明確的確認(rèn)方法，進(jìn)行安全性需求的正確性和完整性檢查。

3）得到確認(rèn)的證據(jù)

安全性需求確認(rèn)過(guò)程中，確認(rèn)人員對(duì)結(jié)果(如評(píng)審結(jié)果、調(diào)查分析結(jié)論、會(huì)議記錄)進(jìn)行整理記錄，形成安全性確認(rèn)證據(jù)。

4）將確認(rèn)結(jié)果納入確認(rèn)總結(jié)

安全性需求確認(rèn)人員將確認(rèn)活動(dòng)的結(jié)果納入確認(rèn)工作總結(jié)，并進(jìn)一步修訂安全性需求確認(rèn)矩陣。

5）將確認(rèn)中發(fā)現(xiàn)的問(wèn)題通告相關(guān)方

安全性需求確認(rèn)人員將需求確認(rèn)過(guò)程中發(fā)現(xiàn)的問(wèn)題反饋給安全性需求編制人員，協(xié)助需求編制人員編制問(wèn)題報(bào)告，并將問(wèn)題反饋至問(wèn)題相關(guān)方。

04  聊聊D0-178/A/B/C

機(jī)載軟件的適航合格審定分為現(xiàn)場(chǎng)審查和文檔審查！

自20世紀(jì)80年代開始，機(jī)載軟件開始在飛行器和發(fā)動(dòng)機(jī)等設(shè)備上大量使用，對(duì)于民用飛行器來(lái)說(shuō)，航空業(yè)需要一套能夠被國(guó)際普遍認(rèn)可的標(biāo)準(zhǔn)和質(zhì)量體系，來(lái)保證飛行器的安全，特別是來(lái)指導(dǎo)各國(guó)機(jī)載軟件的適航審定要求。在這種背景和需求下，DO-178應(yīng)運(yùn)而生。

1）DO-178

1982年，RTCA、EUROCAE正式發(fā)布了DO-178（歐洲稱為ED-12），被稱為民用航空機(jī)載軟件開發(fā)中安全保證的一個(gè)里程碑。各國(guó)依據(jù)DO-178進(jìn)行了系列軟件的開發(fā)和機(jī)載軟件認(rèn)證，經(jīng)驗(yàn)表明：DO-178還需要修訂，在很多方面都不太完善。

2）DO-178A

1985年，DO-178的更新版本-DO-178A問(wèn)世（歐洲版本ED-12A）。DO-178A的一個(gè)很大的特點(diǎn)是：面向已有的軟件開發(fā)技術(shù)和開發(fā)方法而做的標(biāo)準(zhǔn)。眾所周知，計(jì)算機(jī)機(jī)軟件開發(fā)技術(shù)日新月異，發(fā)展很快，特別是各種新技術(shù)、新方法層出不窮。導(dǎo)致沒(méi)過(guò)幾年，DO-178A就有些落伍，無(wú)法跟上時(shí)代的步伐。

3）DO-178B

1992年，為了解決DO-178A問(wèn)題，RTCA決定再次修訂標(biāo)準(zhǔn)。吸取已有教訓(xùn)，RTCA、EUROCAE專家們改變了制定標(biāo)準(zhǔn)的原則，從“面向開發(fā)技術(shù)和方法”→“面向目標(biāo)”和“面向進(jìn)程”，幾乎重寫了該標(biāo)準(zhǔn)。也就是一直沿用至今的版本DO-178B。DO-178B早已成了國(guó)際公認(rèn)的民用航空機(jī)載軟件的開發(fā)標(biāo)準(zhǔn)。DO-178B為制造機(jī)載系統(tǒng)和設(shè)備機(jī)載軟件提供指導(dǎo)標(biāo)準(zhǔn)，使其能夠提供在滿足符合適航要求的安全性水平下完成預(yù)期的功能的信心。為了滿足該目標(biāo)，DO-178B給予了以下三方面的指導(dǎo)：

a）軟件生命周期過(guò)程的目標(biāo)；

b）為滿足上述目標(biāo)要進(jìn)行的活動(dòng)；

c）證明上述目標(biāo)已經(jīng)達(dá)到的證據(jù)，也即軟件生命周期數(shù)據(jù)。

在DO-178B中，目標(biāo)、過(guò)程、數(shù)據(jù)是軟件適航的基本要求。這三方面適航要求是辯證統(tǒng)一的關(guān)系，即一旦選擇了DO-178B標(biāo)準(zhǔn)作為符合性方法，就必須滿足該標(biāo)準(zhǔn)所定義的所有適航目標(biāo)，而滿足這些適航目標(biāo)的途徑則是執(zhí)行該標(biāo)準(zhǔn)所建議的過(guò)程和活動(dòng)，為證明這些適航目標(biāo)被滿足，應(yīng)按照該標(biāo)準(zhǔn)所定義的軟件生命周期數(shù)據(jù)來(lái)組織相關(guān)證據(jù)。DO-178B的主要內(nèi)容也就是介紹過(guò)程、數(shù)據(jù)、目標(biāo)這三個(gè)方面的適航要求。

4）HB 295-96

早在1996年，DO-178B已被“國(guó)產(chǎn)化”，即等同轉(zhuǎn)化為我國(guó)航空行業(yè)標(biāo)準(zhǔn)HB 295-96《機(jī)載系統(tǒng)和設(shè)備合格審定中的軟件考慮》。很多航空研制單位的機(jī)載設(shè)備均通過(guò)了DO-178B認(rèn)證，ARJ21-700，C919大型飛機(jī)等民機(jī)型號(hào)的研制，更是極大的推動(dòng)了DO-178B在中國(guó)的普及和應(yīng)用。

5）DO-178C

為了適應(yīng)技術(shù)的發(fā)展，特別是滿足軟件工具驗(yàn)證、基于模型的開發(fā)和驗(yàn)證、面向?qū)ο缶幊?、形式化方法等方面的新要求?012年，DO-178B升級(jí)為DO-178C。與此同時(shí)，還頒布了DO-330，DO-331，DO-332，DO-333等。2013年07月19日，F(xiàn)AA進(jìn)一步正式頒布了AC-20-115C，把DO-178C等一系列文檔確認(rèn)為“可接受的符合性方法”。目前及未來(lái)很長(zhǎng)一段時(shí)間，DO-178C將會(huì)與DO-178B并存，并逐漸由DO-178C取代DO-178B。