DO-254-机载电子设备硬件设计保证指南

第1页共110页机载电子设备硬件设计保证指南RTCA/DO-2542000年4月19日编制：SC-180第2页共110页前言本标准是由RTCA第180专门委员会（SC-180）编制的。2000年4月19日经RTCA程序管理委员会批准。RTCASC-180和欧洲民用航空设备组织（EUROCAE）WG-46工作组通过一致的过程联合完成了本指南的开发。RTCA股份公司是一个非盈利性机构，旨在推进航空科学技术和航空电子系统发展以便利大众。该组织的职能类似于联邦顾问委员会，致力于为现代航空业务提供协调一致的建议。RTCA的目标包括但不局限于：以适当的方式整合航空系统用户和供应商的技术要求，使其有助于政府和工业部门能满足双方的目标和责任。对不断追求日益增长的安全性、系统容量和效率的航空业务所面对的系统技术问题进行分析并提供解决方案。在相关技术的应用方面开发协调一致的标准来满足用户和供应商的要求，包括用于支持航空的电子系统和设备的最低工作性能标准的开发。协助开发相关的技术材料，使国际民航组织和国际电信联盟和其它感兴趣的国际组织可以在其基础上使用。组织的建议通常用作政府和私人机构决定的基础，以及许多联邦航空管理技术标准指令的基础。因为RTCA不是美国政府的一个官方机构，其建议不能被视为官方政府政策声明，除非在与该建议有关的任何事务方面有法令管辖权的美国政府组织或机构这样宣布。第3页共110页概述航空工业对负载电子硬件的开发和应用已经产生了对新的安全和鉴定方面的问题。作为响应，RTCASC-180和EUROCAEWG-46成立了。在本标准编写的较早阶段，WG-46和SC-180同意成为一个联合委员会。该联合委员会被特许开发清楚一致的电子机载硬件设计保证指南，使其安全地实现其预期的功能。电子机载硬件包括航线替代单元、电路板组件、特定用途的集成电路和可编程逻辑设备等等。本指南适用于当前的、更新的和扩展的技术。本标准中的指南拟为飞机制造商和用于飞机系统的电子硬件项目的供应商所使用。指南中识别了硬件设计生命周期过程。描述了每个过程的目标和活动。本指南适用于通过系统安全评估确定的所有硬件设计保证级别。在本指南开发过程中，委员会考虑到了其他工业文档，包括汽车工程师协会（SAE）航天推荐惯例（ARP）文档ARP4754/EUROCAEED-79，对高度集成的或复杂飞机系统的颁证考虑；SAEARP4761，对民用机载系统和设备进行安全评估过程的指南和方法；以及RTCADO-178/EUROCAEED-12，机载系统和设备颁证中对软件的考虑等等。第4页共110页目录前言概述1.0引言1.1目的1.2范围1.3与其它文档的关系1.4相关的文档1.5如何使用本文档1.6复杂性的考虑1.7可选择的方法和过程1.8文档概述2.0硬件设计保证的系统范围2.1信息流2.1.1从系统开发过程到硬件设计生命周期过程的信息流2.1.2从硬件设计生命周期过程到系统开发过程的信息流2.1.3在硬件设计生命周期过程和软件生命周期过程之间的信息流2.2系统安全性评估过程2.3硬件安全性评估2.3.1硬件安全性评估考虑2.3.2随机硬件故障的量化评估第5页共110页2.3.3硬件设计错误和混乱的量化评估2.3.4硬件故障状态分类的设计保证考虑3.0硬件设计生命周期3.1硬件设计生命周期过程3.2转移条件4.0策划过程4.1策划过程目标4.2策划过程活动5.0硬件设计过程5.1需求分析过程5.1.1需求分析目标5.1.2需求分析活动5.2概念设计过程5.2.1概念设计目标5.2.2概念设计活动5.3详细设计过程5.3.1详细设计目标5.3.2详细设计过程活动5.4实施过程5.4.1实施目标5.4.2实施活动5.5生产转移过程5.5.1生产转移目标第6页共110页5.5.2生产转移活动5.6验收试验5.7系列产品6.0批准和验证过程6.1批准过程6.1.1批准过程目标6.1.2批准过程活动6.2验证过程6.2.1验证过程目标6.2.2验证过程活动6.3批准和验证方法6.3.1试验6.3.2分析6.3.3评审6.3.3.1要求评审6.3.3.2设计评审7.0构型管理过程7.1构型管理目标7.2构型管理活动7.2.1配置识别7.2.2基线建立7.2.3问题报告、跟踪和纠正措施7.2.4更改控制第7页共110页7.2.5发布、归档和调用7.3数据控制类别8.0过程保证8.1过程保证目标8.2过程保证活动9.0鉴定联络过程9.1符合性的手段和策划9.2符合性证实10.0硬件设计生命周期数据10.1硬件计划10.1.1硬件鉴定范围的计划10.1.2硬件设计计划10.1.3硬件批准计划10.1.4硬件验证计划10.1.5硬件构型管理计划10.1.6硬件过程保证计划10.2硬件设计标准和指南10.2.1要求标准10.2.2硬件设计标准10.2.3批准和验证标准10.2.4硬件归档标准10.3硬件设计数据10.3.1硬件要求第8页共110页10.3.2硬件设计演示数据10.3.2.1概念设计数据10.3.2.2详细设计数据10.3.2.2.1顶级图10.3.2.2.2组件图10.3.2.2.3安装控制图10.3.2.2.4硬件/软件接口数据10.4批准和验证数据10.4.1溯源性数据10.4.2评审和分析程序10.4.3评审和分析结果10.4.4试验程序10.4.5试验结果10.5硬件验收试验准则10.6问题报告10.7硬件构型管理记录10.8硬件过程保证记录10.9硬件完成总结11.0其它考虑11.1先前开发的硬件的使用11.1.1对先前设计硬件的更改11.1.2飞机安装的更改11.1.3应用或设计环境的更改第9页共110页11.1.4设计基线的升级11.1.5其它的构型管理考虑11.2商业货架产品（COTS）部件的使用11.2.1用于COTS部件的电子部件管理11.2.2COTS部件采购11.3产品服务经验11.3.1产品服务经验数据可接受性准则11.3.2产品服务经验数据的评估11.3.3产品服务经验评估数据11.4工具评估和鉴定11.4.1工具评估和鉴定过程11.4.2工具评估和鉴定数据成员（略）附录A基于硬件设计保证级别的硬件生命周期数据的调整附录B对A级和B级功能的设计保证考虑附录C术语表（略）附录D缩略语（略）第10页共110页插图图1-1文档概述图2-1在机载系统、安全评估、硬件和软件过程之间的关系图2-2系统开发过程图2-3选择硬件设计保证战略的决策过程图5-1硬件设计生命周期图11-1设计和验证工具评估与鉴定表格表2-1硬件设计保证级别定义及其与系统开发保证级别的关系表5-1典型的ASIC/PLD过程映射表7-1与HC1和HC2相关的构型管理过程活动表A-1硬件设计保证级别和硬件控制种类的硬件生命周期数据第11页共110页1.0引言随着在许多安全要求严格的飞机功能中使用复杂电子硬件的日益增多，对于安全性和鉴定要求形成了新的挑战。这些挑战来源于关于所谓的飞机功能可能越来越容易受到硬件设计错误的不利影响的考虑，因为硬件的复杂性日益增大，这些错误越来越难以处理。为了应对这种逐渐增加的风险，有必要确保在设计和鉴定过程中以更加一致和可检验的方式来识别潜在的硬件设计错误。随着机载电子硬件变得更加复杂，技术不断进步，以及应用经验和本文档所述程序的使用经验的增加，本文档将被修订和评审到与批准的RTCA/EUROCAE程序相互一致。1.1目的编制本文档旨在通过提供设计保证指南来帮助组织进行机载电子硬件的开发，使其能够在特定的环境下安全地实现其预期功能。本指南应被等同地应用于当前的、新的和发展的技术。本文档的目的在于：1.定义硬件设计保证目标。2.描述这些目标的基础以助于确保对该指南的正确解释。3.提供对这些目标的描述，使开发手段符合本指南及其它指南。4.为设计保证活动提供指南，以满足设计保证目标。5.在新工艺技术可获得时，允许灵活选择所需要的工艺来满足本文档中包括改进项目的目标。本文档推荐了实施活动来满足设计保证目标，而不是详细描述如何进行设计。用于生成本指南文档的原理是一种自上而下的透视法，它基于电子硬件所实现的系统功能，而不是自下而上透视法，或仅基于用于实现该功能的特定硬第12页共110页件部件的方法。在通过改进报告的系统和硬件设计决定，以及有效的验证过程来识别安全性设计错误时，自上而下的方法更为有效。例如，应在系统、组件、子组件、部件或硬件项目中既能实现硬件项目与其要求的符合性，又可满足验证目标的最高层级来进行验证。1.2范围本文档提供了机载电子硬件的设计保证指南，其范围从概念设计到初始鉴定和后续的鉴定后产品改进，以确保持续的适航性。它是在显示与运输类飞机和设备鉴定要求的符合性的基础上进行编制的，但本文档的一部分也可以适用于其它设备。文档中对系统生命周期和硬件设计生命周期之间的关系进行了描述，以助于对系统和硬件设计保证过程之间的相关性进行理解。系统生命周期的完整描述，包括系统安全性评估（SSA）和批准，以及飞机鉴定过程并未涉及。鉴定问题只在与硬件设计生命周期相关的方面进行讨论。针对生产、试验和维持硬件项目的能力的问题，只在与硬件设计的适航性相关时才被提及。本文档中的指南适用于，但不局限于下列硬件项目：1.航线可替换装置（LRU）。2.电路板组件。3.客户微编码部件，如特定用途的集成电路（ASIC）和可编程逻辑设备（PLD），包括任何相关的宏功能。4.集成技术部件，如混合电路和多芯片模块。5.商业货架产品（COTS）部件。因为COTS部件供应商或许不一定遵循本文档描述的设计过程或提供必要的硬件设计生命周期数据，特别针对COTS部件的其它考虑包含在第11节中。第13页共110页本文档并不试图定义固件。固件应归类为硬件或软件并由适用的过程来述及。本文档假定在系统定义期间，已经为硬件或软件分派了功能。RTCADO-178/EUROCAEED-12提供了关于在软件执行中被分配的功能的指南。本文档提供了被分配给硬件的功能的指南。注：这就使得在指定了系统时和分配了功能时，可以确定一种有效的实施方法和设计保证。在完成了分配时，所有相关方均应同意该机制的决定。硬件项目设计和验证中使用的工具的评估和鉴定在第11.4节中进行了描述。本文档并不提供关于组织结构或在这些结构中如何划分职责的指南。环境鉴定准则也在本文档所及范围之外。1.3与其它文档的关系除了适航性要求之外，存在着针对硬件的各种国家和国际标准。在一些国家，可能会要求与这些标准一致。然而，援引特定的国家或国际标准，或者推出一项建议使这些标准可用作对本文档的替代或补充，已经超出了本文档的范围。在本文档中使用术语“标准”时，它应被解释为使用机载系统、机载设备、发动机或飞机制造商所使用的特定项目的标准。这些标准可以从制造商制定或引用的一般标准中引申出来。第10.2节中提供了关于标准的指南。1.4相关的文档SAEARP4754/EUROCAEED-79《高度集成或复杂飞机系统的鉴定问题》，可作为高度集成或复杂飞机系统开发指南的来源。SAEARP4761《民用机载系统和设备实施安全性评估过程方法指南》，可作第14页共110页为硬件设计保证过程中使用的安全性评估方法的来源。RTCADO-178/EUROCAEED-14《机载设备的环境条件和测试程序》，可被设备设计者用作硬件项目鉴定的主要的环境测试标准。1.5如何使用本文档本文档预期为国际航空团体所使用。为便于此应用，对特定国家的规程和程序的引用被减少了。代之以使用一般性的术语。例如，使用了术语“鉴定机构”来指以国家的名义给予批准的负责鉴定的机构或人员。在第二个国家或一些国家要进行批准或参与此鉴定时，可以使用本文档，因为在所涉及的国家之间对双边协议或谅解备忘录给予了承认。本文档中的指南代表了航空团体的一致意见，是机载电子硬件设计保证的最佳工业实践的一个集合。纳入本文档中导出的过程，是为了生成能适用于完整的新硬件设计和后续更改的指南。对以前为其它过程开发的硬件的指南参见第11.1节。可以理解为，除了此处描