張楊　居慧　廖凱

【摘 要】結(jié)合RTCA/DO-254以及機(jī)載電子硬件適航符合性驗(yàn)證過(guò)程中的工程經(jīng)驗(yàn)，提出了一套完整的民用飛機(jī)機(jī)載電子硬件測(cè)試策略。

【關(guān)鍵詞】復(fù)雜電子硬件；簡(jiǎn)單電子硬件；確定性測(cè)試；代碼覆蓋率；功能測(cè)試

0 引言

機(jī)載電子硬件是指安裝在民用飛機(jī)上的客戶化的可編程器件，如ASIC、PLD或FPGA等，在民用航空領(lǐng)域其具有廣泛的應(yīng)用。2005年，美國(guó)聯(lián)邦航空局FAA正式將RTCA/DO-254作為民用航空飛機(jī)機(jī)載電子硬件的符合性方法。

測(cè)試過(guò)程用于發(fā)現(xiàn)設(shè)計(jì)中的錯(cuò)誤或缺陷，因此它是機(jī)載電子硬件生命周期過(guò)程中的一個(gè)重要環(huán)節(jié)。但是該過(guò)程在民用飛機(jī)的合格審定過(guò)程中，卻面臨著兩個(gè)問(wèn)題。一是DO-254針對(duì)測(cè)試過(guò)程的描述過(guò)于寬泛，沒(méi)有將其與具體的硬件測(cè)試活動(dòng)相結(jié)合起來(lái)，對(duì)具體的工程項(xiàng)目沒(méi)有實(shí)際的指導(dǎo)意義。二是當(dāng)前各合格審定當(dāng)局并未制定統(tǒng)一的機(jī)載電子硬件測(cè)試接受準(zhǔn)則。因此，制定一套可操作和可接受的機(jī)載電子硬件測(cè)試策略，是當(dāng)前機(jī)載電子硬件合格審定過(guò)程中一個(gè)亟需解決的問(wèn)題。

1 機(jī)載電子硬件的分類(lèi)

有別于在工業(yè)界通用的定義和分類(lèi)，機(jī)載電子硬件在民用航空領(lǐng)域，分為簡(jiǎn)單電子硬件（以下稱SEH）和復(fù)雜電子硬件（以下稱CEH）。

SEH是指能夠在一個(gè)適當(dāng)硬件層級(jí)，通過(guò)充分組合的確定性測(cè)試和分析，即可確保在所有可預(yù)見(jiàn)的運(yùn)行條件下執(zhí)行正確的功能并無(wú)異常表現(xiàn)的機(jī)載電子硬件。

CEH是指不能被分類(lèi)為SEH的機(jī)載電子硬件。對(duì)于此類(lèi)電子硬件，在其開(kāi)發(fā)和設(shè)計(jì)過(guò)程中要遵循DO-254中所定義的設(shè)計(jì)保證過(guò)程，測(cè)試正是該設(shè)計(jì)保證過(guò)程中的一個(gè)重要環(huán)節(jié)。

2 機(jī)載電子硬件的測(cè)試策略

2.1 機(jī)載電子硬件測(cè)試流程概述

工業(yè)界通用的電子硬件設(shè)計(jì)流程通常包括需求/功能定義、設(shè)計(jì)輸入、功能仿真、綜合優(yōu)化、綜合后仿真、布局布線、時(shí)序仿真、板級(jí)測(cè)試以及最終的調(diào)試。該流程同樣適用于機(jī)載電子硬件，但因民用飛機(jī)存在一定的特殊性，需要在以下幾個(gè)方面額外進(jìn)行考慮。

（1）獨(dú)立性要求：測(cè)試活動(dòng)必須要滿足獨(dú)立性的要求，即測(cè)試人員與開(kāi)發(fā)人員不能為同一人；

（2）測(cè)試用例的編寫(xiě)：所有的測(cè)試用例必須是基于需求的；

（3）工具的使用：對(duì)于在測(cè)試活動(dòng)中用到的工具，如果沒(méi)有對(duì)工具的輸出進(jìn)行獨(dú)立的評(píng)審，則需要對(duì)該工具進(jìn)行鑒定；

（4）數(shù)據(jù)的可追溯性：需求、代碼、測(cè)試程序以及測(cè)試結(jié)果之間要保證可追溯性；

（5）數(shù)據(jù)的有效性：在向合格審定當(dāng)局表明符合性時(shí)，功能性仿真以及綜合后仿真由于不能夠完整的考慮到時(shí)序的問(wèn)題，因此其數(shù)據(jù)不能作為符合性數(shù)據(jù)。只有時(shí)序仿真以及更高層級(jí)的目標(biāo)機(jī)測(cè)試的數(shù)據(jù)才能用來(lái)表明適航符合性。

結(jié)合機(jī)載電子硬件的測(cè)試過(guò)程以及第2章中的分類(lèi)，分別給出不同類(lèi)別機(jī)載電子硬件的測(cè)試策略及要求。

2.2 簡(jiǎn)單電子硬件的測(cè)試策略

根據(jù)SEH的定義主要從兩個(gè)方面考慮對(duì)其進(jìn)行測(cè)試。一是完備的充分組合的確定性測(cè)試和分析，這是一種類(lèi)似于窮盡測(cè)試的方法，需要通過(guò)對(duì)硬件運(yùn)行中各種情況進(jìn)行充分考慮和驗(yàn)證，從而保證硬件設(shè)計(jì)的正確性。二是適合設(shè)計(jì)保證等級(jí)的測(cè)試和分析，這意味著針對(duì)不同設(shè)計(jì)保證等級(jí)的SEH，其測(cè)試和分析的要求會(huì)存在不同（E級(jí)別電子硬件由于不會(huì)對(duì)飛機(jī)安全性產(chǎn)生影響，因此可不做要求）?；谶@兩個(gè)方面，并參考FAA及EASA在此方面的指南，對(duì)SEH測(cè)試策略進(jìn)行以下分析和討論。

2.2.1 D級(jí)別SEH測(cè)試策略

設(shè)計(jì)保證等級(jí)為D級(jí)別的SEH，需要通過(guò)測(cè)試表明其對(duì)需求的符合性。該方法在本質(zhì)上是功能測(cè)試，測(cè)試人員需要通過(guò)實(shí)施基于需求的測(cè)試，來(lái)最終表明SEH所有需求均已得到滿足。

2.2.2 C級(jí)別SEH測(cè)試策略

在滿足D級(jí)別SEH要求的基礎(chǔ)上，對(duì)于設(shè)計(jì)保證等級(jí)為C的SEH，還需在管腳級(jí)做充分的測(cè)試和分析。該方法要求充分考慮輸入管腳狀態(tài)的所有可能情況，也即管腳級(jí)的窮盡測(cè)試。如一個(gè)具有6個(gè)輸入管腳的C級(jí)別SEH，其管腳級(jí)充分測(cè)試的用例數(shù)目為26=64個(gè)。

2.2.3 A/B級(jí)別SEH測(cè)試策略

在滿足C級(jí)別SEH要求的基礎(chǔ)上，對(duì)于設(shè)計(jì)保證等級(jí)為A/B的SEH，還需要深入SEH的內(nèi)部，進(jìn)行基于器件內(nèi)部各邏輯門(mén)的確定性測(cè)試和分析。該方法需要充分考慮機(jī)載電子硬件的特性及內(nèi)部數(shù)據(jù)間的傳輸?shù)葐?wèn)題。具體的需要從以下3個(gè)方面進(jìn)行考慮。

（1）單個(gè)邏輯門(mén)方面：對(duì)于單個(gè)的邏輯運(yùn)算門(mén)，如與門(mén)、或門(mén)等，需要保證在不同排列組合輸入的情況下，其輸出均是正確的。如一個(gè)3輸入單輸出的與門(mén)，需要23=8個(gè)測(cè)試用例，能夠完成該單個(gè)邏輯門(mén)的完整測(cè)試。

（2）狀態(tài)機(jī)方面：對(duì)于包含有一個(gè)或者多個(gè)狀態(tài)機(jī)的SEH，測(cè)試要覆蓋到所有可能的狀態(tài)及狀態(tài)的組合。如圖1所示的狀態(tài)機(jī)，在測(cè)試的時(shí)候，要保證能夠覆蓋到S1-S2-S3-S4-S7以及S1-S2-S5-S6-S7中所有的狀態(tài)。

（3）數(shù)據(jù)的并行處理：在機(jī)載電子硬件中，多個(gè)獨(dú)立的數(shù)據(jù)流可能會(huì)在某個(gè)時(shí)間通過(guò)共享資源、仲裁及相互影響的狀態(tài)機(jī)等方式，產(chǎn)生數(shù)據(jù)的并行處理問(wèn)題。在測(cè)試的過(guò)程中，要保證測(cè)試能夠覆蓋到所有可能的并行條件。

2.2.4 SEH測(cè)試策略總結(jié)

綜上所述，可以得出SEH的測(cè)試策略，具體如下表1所示：

2.3 復(fù)雜電子硬件的測(cè)試策略

在民用飛機(jī)上大量使用的CEH，由于其邏輯的復(fù)雜性，不能像SEH一樣通過(guò)確定性的測(cè)試和分析的方法，來(lái)保證其設(shè)計(jì)正確性。因此對(duì)于CEH的測(cè)試策略，將基于盡可能發(fā)現(xiàn)設(shè)計(jì)中錯(cuò)誤這一原則進(jìn)行考慮。

針對(duì)CEH的測(cè)試，DO-254中提出了要進(jìn)行基于需求的測(cè)試，對(duì)于設(shè)計(jì)保證等級(jí)為A/B級(jí)別的CEH，需要額外考慮高級(jí)的驗(yàn)證方法，如元素分析法、形式化方法等。但是對(duì)于具體的測(cè)試方法和準(zhǔn)則，DO-254中并沒(méi)有給出明確的說(shuō)明。結(jié)合在實(shí)際工程實(shí)踐中的經(jīng)驗(yàn)，從以下幾個(gè)方面對(duì)CEH的測(cè)試進(jìn)行闡述。

2.3.1 復(fù)雜電子硬件的功能測(cè)試

對(duì)于CEH，首先要進(jìn)行基于需求的功能性測(cè)試，從而保證其功能的正確性。

2.3.2 復(fù)雜電子硬件的代碼覆蓋率分析

對(duì)于設(shè)計(jì)保證等級(jí)為A/B/C級(jí)別的CEH，除了進(jìn)行功能性測(cè)試，保證功能的正確性之外，還必須要對(duì)代碼進(jìn)行分析，從而保證代碼的正確性，因此必要的代碼覆蓋率分析是必不可少的。DO-254附錄B中提出的元素分析法，其本質(zhì)就是基于代碼覆蓋率所進(jìn)行的一種分析方法。對(duì)于代碼覆蓋率分析的準(zhǔn)則，當(dāng)前在民用航空領(lǐng)域并沒(méi)有一個(gè)統(tǒng)一的接受準(zhǔn)則，結(jié)合以往項(xiàng)目的經(jīng)驗(yàn)，給出如下表2的建議接受準(zhǔn)則。

表2 CEH代碼覆蓋率接受準(zhǔn)則

2.4 其它考慮

上述對(duì)于SEH和CEH測(cè)試策略的討論，都是基于正常條件范圍內(nèi)的測(cè)試考慮的。在實(shí)際的測(cè)試中，還要考慮到設(shè)計(jì)的健壯性，因此需要對(duì)設(shè)計(jì)進(jìn)行必要的邊界條件測(cè)試，以驗(yàn)證硬件在邊界條件下可否正常工作。

對(duì)于個(gè)別在低層級(jí)不能測(cè)試到的需求，可以放在更高層級(jí)進(jìn)行測(cè)試或分析。但是無(wú)論是在哪個(gè)層級(jí)，最終必須保證對(duì)需求的全覆蓋。

3 結(jié)論

機(jī)載電子硬件的測(cè)試過(guò)程中包含有多種方法和策略，但是當(dāng)前各合格審定當(dāng)局并沒(méi)有統(tǒng)一的機(jī)載電子硬件測(cè)試接受準(zhǔn)則。本文所提出測(cè)試策略，可以有力的推動(dòng)我國(guó)民用飛機(jī)機(jī)載電子硬件的合格審定工作。

【參考文獻(xiàn)】

[1]FAA， Order 8110.105， Simple and Complex Electronic Hardware Approval Guidance[Z]. 2008.

[2]RTCA/DO-254， Design Assurance Guidance for Airborne Electronic Hardware[Z]. 2000.

[3]FAA， Job Aid， Conducting Airborne Electronic Hardware Reviews[Z]. 2008.

[責(zé)任編輯：湯靜]