МЕЖГОСУДАРСТВЕННЫЙ АВИАЦИОННЫЙ КОМИТЕТ АВИАЦИОННЫЙ РЕГИСТР

РУКОВОДСТВО

по гарантии конструирования бортовой электронной аппаратуры КТ-254

ОГЛАВЛЕНИЕ

1.    Введение ........................................................................................................................................5

1.1.    Назначение документа ..........................................................................................................5

1.2.    Область применения .............................................................................................................5

1.3.    Связь с другими документами ..............................................................................................6

1.4.    Документы, относящиеся к рассматриваемому вопросу....................................................7

1.5.    Как применять данный документ ..........................................................................................7

1.6.    Определение сложности .......................................................................................................8

1.7.    Альтернативные методы или процессы...............................................................................8

1.8.    Обзор документа ....................................................................................................................9

1.9.    Отличия данного документа от DO-254/ED-80....................................................................9

2.    Системные аспекты гарантии конструирования аппаратуры............................................10

2.1.    Информационный поток .......................................................................................................11

2.1.1.    Информационный поток от процесса разработки системы

к процессу жизненного цикла конструирования аппаратуры ................................11

2.1.2.    Информационный поток от процесса жизненного цикла

конструирования аппаратуры к процессу разработки системы............................11

2.1.3.    Информационный поток между процессом жизненного цикла конструирования аппаратуры и процессом жизненного цикла

программного обеспечения......................................................................................12

2.2.    Процессы оценки безопасности системы ...........................................................................12

2.3.    Оценка безопасности аппаратуры.......................................................................................14

2.3.1.    Обсуждение оценки безопасности аппаратуры......................................................14

2.3.2.    Количественная оценка случайных отказов аппаратуры ......................................15

2.3.3.    Качественная оценка ошибок конструирования аппаратуры и срывов................16

2.3.4.    Обсуждение гарантии конструирования для классификации

отказных состояний аппаратуры..............................................................................16

3.    Жизненный цикл конструирования аппаратуры ..................................................................19

3.1.    Процессы жизненного цикла конструирования аппаратуры .............................................19

3.2.    Критерии перехода ...............................................................................................................19

4.    Процесс планирования ..............................................................................................................20

4.1.    Цели процесса планирования..............................................................................................20

4.2.    Мероприятия процесса планирования................................................................................20

5.    Процессы конструирования аппаратуры ...............................................................................22

5.1.    Процесс определения требований......................................................................................24

5.1.1.    Цели определения требований................................................................................24

5.1.2.    Мероприятия по определению требований ............................................................25

5.2.    Процесс эскизного проектирования ....................................................................................26

5.2.1. Цели эскизного проектирования ..............................................................................26

2. СИСТЕМНЫЕ АСПЕКТЫ ГАРАНТИИ КОНСТРУИРОВАНИЯ АППАРАТУРЫ

Гарантия конструирования аппаратуры начинается на уровне системы с распределения функций системы аппаратным средствам и с назначения им соответствующих системе уровней гарантии конструирования.

Отдельная функция системы может быть назначена компоненту аппаратуры, компоненту программного обеспечения или комбинации аппаратуры и ПО. Требования по безопасности, связанные с функцией, рассматриваются с точки зрения системы, с точки зрения ПО и с точки зрения аппаратуры для определения уровня надежности и уровня гарантии, необходимых для удовлетворения этим требованиям.

На рисунке 2-1 показано взаимоотношение процесса разработки системы для бортовых систем и оборудования с оценкой безопасности, конструированием аппаратуры и процессом разработки ПО.

Рисунок 2-1. Взаимоотношение между бортовыми системами, оценкой безопасности и процессами аппаратных средств и ПО

На рисунке 2-1 представлены четыре области совмещения: Безопасность/Аппаратура, Безопасность/ПО, Аппаратура/ПО и Безопасность/Аппаратура/ПО. Эти совмещения иллюстрируют взаимоотношения и взаимодействия меэду данными процессами, когда требования к системе могут выражаться в относящихся требованиях и указаниях по гарантии конструирования многих процессов. Например, функция аппаратуры, которая содержит требования по безопасности. будет входить как процесс оценки безопасности, так и процесс жизненного цикла конструирования аппаратуры.

Совмещения показывают необходимость в координированном взаимодействии мееду процессами с целью обеспечения удовлетворения требований к функции системы. Обсухщение процессов обеспечения ПО или системы выходит за рамки данного документа. Однако при координации конструирования для функции аппаратуры заявитель может пожелать воспользоваться преимуществом гарантии, обеспечиваемой деятельностью в процессах системы или программного обеспечения.

Эти взаимоотношения и взаимосвязи описываются в подразделах с 2.1.1 по 2.1.3 ниже.

2.1. Информационный поток

Поток информации между процессами жизненного цикла представлен на рисунке 2-2. В следующих подразделах описывается поток информации от процесса разработки системы к процессу жизненного цикла конструирования аппаратуры, от процесса жизненного цикла конструирования аппаратуры к процессу разработки системы и между процессом жизненного цикла конструирования аппаратуры и процессом жизненного цикла программного обеспечения.

Примечание. Считается, что эти процессы итеративные, а изменения могут наблюдаться в пределах всего жизненного цикла конструирования аппаратуры.

Рисунок 2-2. Процессы разработки системы

2.1.1.    Информационный поток от процесса разработки системы

к процессу жизненного цикла конструирования аппаратуры

Эта информация может включать:

1.    Требования к конструкции и по безопасности, предьявляемые к аппаратуре.

2.    Уровень гарантии разработки для каждой функции вместе с соответствующими требованиями и условиями отказа, если применимо.

3.    Распределенные вероятности и время подверженности риску для функциональных отказов аппаратуры.

4.    Описание интерфейса аппаратура/программное обеспечение.

5.    Требования к стратегии безопасности и конструктивные ограничения, такие, как контролепригодность. методы конструирования и архитектура аппаратуры

6.    Требования по верификации системы, которые должны выполняться на уровне верификации аппаратуры.

7.    Требования к размещению, к эргономике и окружающим условиям, относящиеся к аппаратуре.

8.    Отчеты о проблемах интеграции, которые могут оказать влияние на требования. Они могут возникнуть в результате таких видов деятельности, как верификация системы, формирование требований к системе и оценка безопасности системы.

2.1.2.    Информационный поток от процесса жизненного цикла конструирования аппаратуры к процессу разработки системы

Этот информационный поток может включать:

1.    Реализацию требований в виде чертежей, схем и перечней деталей.

2.    Производные требования к аппаратуре, которые могут оказать влияние на любое предписанное требование.

3.    Архитектура реализации, включая пределы парирования неисправностей.

4.    Подтверждающие материалы по любому требуемому мероприятию верификации и обоснования, выполненному во время жизненного цикла конструирования аппаратуры.

5.    Данные анализа безопасности изделия, такие, как:

a.    Вероятности и интенсивности отказов для обозначенных функциональных отказов, относящихся к процессу SSA.

b.    Анализ отказов общего режима.

c.    Границы локализации и общие стратегии ослабления последствий отказов.

d.    Данные анализа скрытых состояний, относящиеся к системным требованиям. Примерами являются аппаратные средства контроля отказов, интервалов обнаружения отказов и необнаруживаемые отказы.

6.    Требования к действиям по верификации аппаратуры, которые должны выполняться при верификации на уровне системы.

7.    Допущения и методы анализа требований по установке и окружающим условиям, необходимым для достоверности результатов исследований.

8.    Отчеты о проблемах или изменениях, которые могут повлиять на требования к системе, к программному обеспечению или к аппаратуре

2.1.3. Информационный поток между процессом жизненного цикла конструирования аппаратуры и процессом жизненного цикла программного обеспечения

Эта информационный поток может содержать:

1.    Производные требования, необходимые для интеграции аппаратуры/ПО, такие, как определение протоколов, временных ограничений и схем адресации интерфейса аппаратуры и ПО.

2.    Ситуации, при которых верификация аппаратуры и ПО требует координации.

3.    Выявленные несовместимости между аппаратурой и ПО, которые могут входить в систему регистрации внесения изменений.

4.    Данные оценки безопасности, которые также должны быть доступны для системных процессов.

2.2. Процессы оценки безопасности системы

Существует три процесса оценки безопасности системы: оценка функциональной опасности. предварительная оценка безопасности системы и собственно оценка безопасности системы. Эти процессы используются для установления целей безопасности системы, применимых к процессу гарантии разработки системы и определения того, что функции системы достигают целей безопасности.

Процесс SSA должен преобразовывать цели безопасности в требования по безопасности к системе и аппаратуре. Эти требования должны включать основные цели безопасности и характеристики безопасности для функций и архитектуры системы и аппаратуры. Процесс SSA и процесс разработки системы распределяет эти требования безопасности к аппаратуре.

Существует пять уровней гарантии разработки системы, с уровня А до уровня Е, соответствующие пяти категориям отказных состояний: катастрофическое, аварийное, сложное, усложнение условий полета и без последствий В таблице 2-1 установлено соотношение уровней гарантии конструирования аппаратуры с пятью категориями отказных состояний, даны определения отказных состояний аппаратуры и соответствующих им уровней гарантии конструирования. Первоначально уровень гарантии конструирования аппаратуры для каждой функции аппаратуры определяется процессом SSA путем использования FHA для определения потенциальных опасностей, а затем в процессе PSSA распределяются требования по безопасности и соответствующие отказные состояния по функциям, реализуемым в аппаратуре.

В течение жизненного цикла конструирования аппаратуры может существовать итеративная обратная связь между процессами оценки безопасности, разработки системы и конструирования аппаратуры для гарантии того, что сконструированная и изготовленная аппаратура удовлетворяет требованиям по безопасности, функциональным требованиям и требованиям к рабочим характеристикам системы, предназначенным аппаратуре.

Таблица 2-1. Определения уровня гарантии конструирования аппаратуры и их взаимоотношения с уровнем гарантии разработки системы

Уровень гарантии разработки системы Классификация отказного состояния Описание отказного состояния Определение уровня гарантии конструирования аппаратуры Уровень А Катастрофическое Отказное состояние, для которого принимается, что при его возникновении предотвращение гибели людей оказывается практически невозможным А: Аппаратура, ненормальное выполнение функций которой, согласно оценке, полученной в процессе анализа безопасности аппаратуры. может вызвать или способствовать отказу функции системы, приводящему к катастрофическому отказному состоянию для воздушного судна Уровень В Аварийное Отказное состояние, которое может привести к значительному ухудшению характеристик воздушного судна и/или физическому утомлению, или такой рабочей нагрузке экипажа, что уже нельзя полагаться на то. что он выполнит свои задачи точно и полностью В: Аппаратура, ненормальное выполнение функций которой, согласно оценке, полученной в процессе анализа безопасности аппаратуры, может вызвать или способствовать отказу функции системы, приводящему к аварийному отказному состоянию для воздушного судна Уровень С Сложное Отказное состояние, которое может привести к заметному ухудшению характеристик воздушного судна и/или выходу одного или нескольких параметров за эксплуатационные ограничения, но без достижения предельных ограничений. и/или уменьшению способности экипажа справиться с неблагоприятными условиями, как из-за увеличения рабочей нагрузки. так и из-за условий, понижающих эффективность действий экипажа С: Аппаратура, ненормальное выполнение функций которой, согласно оценке. полученной в процессе анализа безопасности аппаратуры, может вызвать или способствовать отказу функции системы, приводящему к сложному отказному состоянию для воздушного судна Уровень D Усложнение условий полета Отказное состояние, которое может привести к незначительному ухудшению характеристик воздушного судна, и/или незначительному увеличению рабочей нагрузки на экипаж D: Аппаратура, ненормальное выполнение функций которой, согласно оценке. полученной в процессе анализа безопасности аппаратуры, может вызвать или способствовать

Уровень гарантии разработки системы Классификация отказного состояния Описание отказного состояния Определение уровня гарантии конструирования аппаратуры отказу функции системы, приводящему к отказному состоянию для воздушного судна типа усложнение условий полета Уровень Е Без последствий Отказное состояние, которое не влияет на характеристики воздушного судна и не увеличивает рабочую нагрузку на экипаж Е: Аппаратура, ненормальное выполнение функций которой, согласно оценке, полученной в процессе анализа безопасности аппаратуры. может вызвать или способствовать отказу функции системы без влияния на эксплуатационные возможности воздушного судна или загрузку экипажа. К функциям уровня Е не требуется применение каких-либо положений данного документа. однако они могут использоваться как ориентиры

2.3. Оценка безопасности аппаратуры

Оценка безопасности аппаратуры производится в соответствии и в обеспечение процесса SSA. Назначение этого процесса безопасности заключается в демонстрации того, что применяемые системы и оборудование, включая аппаратуру, удовлетворяют требованиям по безопасности применимых правил сертификации воздушного судна.

Используя требования по безопасности, функциональные требования и требования к характеристикам. которые предъявлены к аппаратуре, оценка безопасности аппаратуры определяет уровень гарантии конструирования аппаратуры для каждой функции и содействует определению используемой стратегии обеспечения гарантии конструирования.

2.3.1. Обсуждение оценки безопасности аппаратуры

Разработчик компонента аппаратуры может показать соответствие требованиям по безопасности. предъявляемым к аппаратуре, и уровню гарантии конструирования аппаратуры по соответствующей стратегии гарантии конструирования.

Один уровень гарантии конструирования и одна стратегия могут быть применимы ко всему элементу аппаратуры, или элемент аппаратуры может быть оценен как имеющий отдельные тракты функционального отказа - для того чтобы включить несколько уровней гарантии конструирования или стратегий гарантии конструирования. Анализ тракта функционального отказа может использоваться для того, чтобы оправдать более низкий уровень гарантии конструирования для части элемента аппаратуры или для реализации различных функций, применяемых с различными технологиями или различным характером эксплуатации изделия.

Примечание. Описание FFPA приведено в разделе 2 Приложения В Хотя он адресован конкретному предмету Приложения В. этот метод анализа может быть применен к любому уровню гарантии конструирования

Если элемент аппаратуры содержит функции, которые сами имеют различные уровни гарантии конструирования, то в подобных ситуациях можно применять любой из следующих методов:

Весь элемент может отвечать самому высокому уровню гарантии конструирования.

Отдельные функции (реализующие их функциональные компоненты) могут отвечать раздельно их соответствующим уровням гарантии конструирования, как это определяется оценкой безопасности аппаратуры, если их функционирование, интерфейсы и разделяемые ресурсы могут быть защищены от неблагоприятных влияний функциональных компонентов с более низкими уровнями гарантии конструирования. Гарантией конструирования разделяемых ресурсов будет служить уровень гарантии конструирования функции с наивысшим уровнем.

Руководство по оценке безопасности аппаратуры включает следующие положения:

1.    Итеративная оценка безопасности аппаратуры и конструирование должны определять производные требования по безопасности аппаратуры и гарантировать выполнение предписанных аппаратуре требований по безопасности и производных требований.

2.    Эти производные требования должны содержать требования по безопасности к архитектуре аппаратуры, схемам и компонентам и защите от аномального поведения, включая применение специальных характерных свойств архитектурной и функциональной безопасности аппаратуры, таких, как:

a.    Резервирование компонентов и схем;

b.    Разделение или электрическая изоляция между схемами и компонентами;

c.    Разнородность схем или компонентов;

d.    Контроль схем или компонентов;

e.    Механизмы защиты или реконфигурации;

f.    Допустимые интенсивности отказов и вероятности случайных отказов и скрытых отказов для схем и компонентов;

д. Ограничения по применению или установке;

h. Предупреждение и контроль срывов в работе и восстановление после срывов.

3.    Процесс гарантии конструирования аппаратуры и оценка безопасности аппаратуры должны вместе определять специальные методы обеспечения соответствия и уровень гарантии конструирования для каждой функции и должны определять, что приемлемый уровень гарантии конструирования достигнут.

Примечание. Аномальное поведение аппаратуры может быть вызвано случайными неисправностями или ошибками конструирования элемента аппаратуры или срывами в работе аппаратуры.

Конструктор аппаратуры может выбрать более высокий уровень гарантии конструирования аппаратуры для реализующего функцию компонента аппаратуры. Примером может служить возможность повторного использования этого компонента аппаратуры в установке, требующей более высокого уровня гарантии конструирования.

В оценке безопасности аппаратуры могут использоваться различные методы количественной и качественной оценки. К ним относятся анализ дерева неисправности, анализ общего режима, анализ видов и последствий отказов, методы статистической оценки надежности для прикладной количественной оценки случайных отказов.

2.3.2. Количественная оценка случайных отказов аппаратуры

Методы прогнозирования и статистической оценки отказов, которые основаны на интенсивностях отказов аппаратуры, резервировании, разделении и изоляции, статистических данных о видах отказов, анализе вероятности, контроле процесса конструирования подтвердили свою пригодность как средства оценки количественных факторов риска для случайных отказов аппаратуры.

2.3.3.    Качественная оценка ошибок конструирования аппаратуры и срывов

В отличие от случайных отказов аппаратуры ни ошибки конструирования, ни некоторые типы срывов статистически непрогнозируемы, и могут пересекать границы резервирования в форме отказов общего режима. Методы, которые должны использоваться для управления резервом, и методы количественной оценки нужно выбирать так. чтобы потенциальные отказы общего режима и влияние срывов могли быть, когда это необходимо, предотвращены или уменьшены.

Несмотря на трудности количественной оценки, угроза безопасности от ошибок конструирования и срывов может быть на практике эффективно оценена методами качественной оценки безопасности. Такие методы анализа, как анализ дерева неисправности, анализ общего режима и функциональный анализ видов и последствий отказа, являются основными качественными методами и могут использоваться для оценки ошибок конструирования и срывов. В частности, эти методы могут определять потенциальные влияния ошибок конструирования и срывов и могут помочь в определении средств, с помощью которых ошибки и срывы могут быть предотвращены или ослаблено их влияние. Применение данных методов позволит включить оценку безопасности аппаратуры в определение стратегий гарантии конструирования аппаратуры, которые используются и могут использоваться итеративно в течение всего процесса конструирования аппаратуры для качественного определения гарантии конструирования, достигнутого с помощью выбранных стратегий.

2.3.4.    Обсуждение гарантии конструирования для классификации отказных состояний аппаратуры

По мере возрастания степени опасности отказного состояния системы увеличивается значимость гарантии конструирования - в обеспечение того, что относящиеся отказные состояния ослаблены. Для всех уровней гарантии конструирования должен быть разработан соответствующий подход или стратегия. На рисунке 2-3 представлен процесс принятия решения для разработки соответствующей стратегии гарантии конструирования.

Устанавливается следующее:

1. Для реализуемых в аппаратуре функций уровня А или В при определении гарантии конструирования следует рассматривать потенциальные аномальные поведения или потенциальные ошибки при конструировании функций аппаратуры.

2.    При разработке стратегий гарантии конструирования каждой реализуемой функции следует использовать процесс принятия решения, представленный на рисунке 2-3.

3.    В дополнении к правилам, данным в разделах с 3 noil, для функций уровней А и В следует применять стратегии, описанные в Приложении В.

4.    Стратегию гарантии конструирования следует выбрать в зависимости от архитектуры аппаратуры и выбранной технологии реализации аппаратуры.

Разные технологии, отличия в подборе компонентов и их использовании дают отличающуюся информацию жизненного цикла конструирования аппаратуры и различные степени внутренней защиты от ошибок конструирования и их последствий. Наиболее подходящий метод гарантии конструирования может варьироваться для различных функций внутри одного и того же элемента аппаратуры.

Цифры в блоках принятия решения и действий на рисунке 2-3 относятся к сопровохздаю-щим рисунок пронумерованным примечаниям, которые поясняют решение или действие.

Рисунок 2-3. Процесс принятия решения для выбора стратегии гарантии конструирования аппаратуры

1.    Начало процесса оценки. Для всех уровней гарантии конструирования должен быть разработан подход или стратегия обеспечения соответствующего уровня гарантии конструирования.

2.    Определение FFP уровня гарантии конструирования. Для кахщого определенного элемента аппаратуры определите и документируйте тракты функционального отказа, связанные с элементом, и уровень гарантии конструирования. Следует использовать общепринятые методы оценки безопасности для определения того, какие аппаратные схемы есть, а каких нет в идентифицированных трактах функционального отказа уровня А или В,

3.    Является ли аппаратура простой или сложной? Для трактов функционального отказа уровня А или В гарантии конструирования аппаратуры определите, является ли аппаратура простой или сложной, как описано в подразделе 1.6.

4.    Разработка стратегии гарантии конструирования сложных FFPs уровня А или В. Если тракт функционального отказа сложный, а уровень А или В. используйте дополнительные стратегии, описанные в Приложении В. для определения стратегии гарантии конструирования. соответствующей концепции применения и методам ослабления влияния ошибок. Для каждого тракта функционального отказа уровня А или В должна быть определена стратегия гарантии конструирования, используя эффективный анализ, опыт эксплуатации изделия или архитектурное ослабление влияния.

При реализации трактов функционального отказа уровня А может потребоваться более одного метода, если выбранный метод не обеспечивает полного снижения потенциальных отказов и аномальных поведений.

5.    Является ли стратегия адекватной? Определите, существуют ли недостатки в стратегиях гарантии конструирования и. если недостатки в стратегии существуют или будут существовать в предлагаемых данных, модифицируйте стратегию, с тем чтобы скорректировать недостатки, предлагая дополнительную гарантию конструирования, реализации или архитектурную стратегию. Когда стратегия гарантии конструирования является приемлемой. документируйте процессы гарантии конструирования для каждого тракта функционального отказа. Стратегия должна быть связана с аспектами участия сертифицирующего органа, такими, как планы, рассмотрение программ и контроль деятельности.

6.    Документирование применяемых аспектов отказобезопасности. Определите соответствующую отказобезопасную архитектуру и характеристики элемента аппаратуры и выполните анализ с целью удовлетворения требований к готовности и целостности системы. Документируйте аспекты отказобезопасной конструкции и соответствующий анализ общего режима, анализ вероятности, архитектурные и другие особенности.

7.    Документирование подхода к гарантии конструирования Документируйте и получите одобрение сертифицирующего органа для соответствующих стратегии и метода в плане сертификации системы или в плане сертификации аппаратуры.

8.    Реализация подхода. Реализуйте конструкцию аппаратуры в соответствии с подходом к обеспечению гарантии конструирования, как определено в одобренном плане, и документируйте материалы, подтверждающие соответствие одобренным планам и стратегии.

3. ЖИЗНЕННЫЙ ЦИКЛ КОНСТРУИРОВАНИЯ АППАРАТУРЫ

В этом разделе описывается жизненный цикл конструирования аппаратуры, обсуждаемый в разделах с 4 по 9. В данном документе не обсуждается ни наиболее предпочтительная модель жизненного цикла, ни подразумеваемая структура реализующей проект организации. Жизненный цикл конструирования аппаратуры равно применим как к разработке новых систем или оборудования, так и к модификациям существующих систем и оборудования. Жизненный цикл для каждого проекта должен основываться на выборе и распределении процессов и действий, определяемых атрибутами проекта, такими, как стабильность требований, применение ранее разработанной аппаратуры и уровни гарантии конструирования аппаратуры. Процессы жизненного цикла конструирования аппаратуры могут быть итеративными, т е. первично выполненными, повторно выполненными и модифицированными вследствие расширяющегося конструирования и обратной связи между процессами.

3.1.    Процессы жизненного цикла конструирования аппаратуры

Процессами жизненного цикла конструирования аппаратуры являются:

1.    Процесс планирования аппаратуры, описываемый в разделе 4, определяет и координирует действия конструирования аппаратуры и процессы поддержки проекта.

2.    Процессы конструирования аппаратуры, описываемые в разделе 5, формируют данные конструирования и результирующее аппаратное изделие. Эти процессы охватывают формирование требований, эскизное проектирование, детальное проектирование, реализацию и переход к производству.

3.    Процессы поддержки, описываемые в разделах с 6 по 9. формируют данные жизненного цикла конструирования аппаратуры, которые обеспечивают правильность и управление жизненным циклом конструирования аппаратуры и его выходными данными, включая планирование, конструирование, оценку безопасности аппаратуры и процессы поддержки. Эти процессы, как правило, выполняются одновременно с процессами планирования и конструирования. К этим процессам относятся обоснование, верификация, управление конфигурацией, процесс гарантии и взаимодействие при сертификации.

3.2.    Критерии перехода

Проблемы разработки изделия с различными элементами на различных этапах разработки требуют методов для обеспечения целесообразного управления процессом конструирования, чтобы справляться с риском запуска следующего процесса до того, как будут завершены все части предыдущего процесса. Критерии перехода, определенные как минимальные данные, используемые для оценки передвижения от одного процесса к другому, могут использоваться в ключевых точках процесса. Анализ, выполняемый в процессе планирования, должен определять применение критериев перехода. Нет необходимости устанавливать критерии перехода между каждой парой этапов процессов, определенных в планах. Выбор критерия перехода должен быть связан с влиянием на безопасность. Например, перед выполнением верификации функции для получения сертификационного зачета требования к этой функции должны быть документированы и ее реализация должна находиться под управлением конфигурацией.

Критерии перехода должны быть документированы в планах аппаратуры. Использование критериев перехода не предполагает никакую конкретную модель жизненного цикла и не препятствует таким стратегиям конструирования, как быстрая разработка прототипа и параллельное конструирование.

5.2.2. Мероприятия эскизного проектирования................................................................ 26

5.3.    Процесс технического проектирования ..............................................................................27

5.3.1.    Цели технического проектирования........................................................................27

5.3.2.    Мероприятия процесса технического    проектирования .........................................27

5.4.    Процесс реализации ............................................................................................................27

5.4.1.    Цели реализации ...................................................................................................... 27

5.4.2.    Мероприятия реализации ........................................................................................ 28

5.5.    Процесс перехода к производству...................................................................................... 28

5.5.1.    Цели перехода к производству................................................................................ 28

5.5.2.    Мероприятия перехода к производству.................................................................. 28

5.6.    Приемочные испытания....................................................................................................... 29

5.7.    Серийное производство....................................................................................................... 29

6.    Процесс обоснования и верификации ................................................................................... 30

6.1.    Процесс обоснования .......................................................................................................... 30

6.1.1.    Цели процесса обоснования.................................................................................... 30

6.1.2.    Мероприятия процесса обоснования...................................................................... 31

6.2.    Процесс верификации.......................................................................................................... 31

6.2.1.    Цели процесса верификации................................................................................... 32

6.2.2.    Мероприятия процесса верификации..................................................................... 32

6.3.    Методы обоснования и верификации................................................................................. 33

6.3.1.    Испытание ................................................................................................................. 33

6.3.2.    Анализ........................................................................................................................ 33

6.3.3.    Рассмотрения............................................................................................................ 34

6.3.3.1.    Рассмотрение требований ........................................................................ 34

6.3.3.2.    Рассмотрение конструкции........................................................................ 36

7.    Процесс управления конфигурацией ..................................................................................... 37

7.1.    Цели управления конфигурацией ....................................................................................... 37

7.2.    Мероприятия управления конфигурацией ......................................................................... 37

7.2.1.    Идентификация конфигурации................................................................................ 37

7.2.2.    Установление базовой версии................................................................................. 38

7.2.3.    Регистрация проблем, отслеживание и корректирующие действия.................... 38

7.2.4.    Управление изменениями........................................................................................ 38

7.2.5.    Выпуск, архивирование и воспроизведение .......................................................... 39

7.3.    Категории контроля данных ................................................................................................ 39

8.    Процесс гарантии ....................................................................................................................... 41

8.1.    Цели процесса гарантии......................................................................................................41

8.2.    Мероприятия процесса гарантии ........................................................................................41

4. ПРОЦЕСС ПЛАНИРОВАНИЯ

В данном разделе описывается процесс планирования аппаратуры, используемый для управления конструированием элемента аппаратуры. В рамках данного процесса формируются планы аппаратуры, которые могут содержаться в одном или более документах. Если используется множество документов, главный план должен содержать соответствующие ссылки на необходимые документы. Стандартные документы, обеспечивающие реализацию специфических процессов жизненного цикла конструирования аппаратуры, таких, как процесс управления конфигурацией или процесс гарантии, допускаются при условии, что они отвечают задачам планирования для соответствующего процесса.

4.1.    Цели процесса планирования

Назначение процесса планирования состоит в определении средств, с помощью которых функциональные требования и требования к летной годности преобразуются в элемент аппаратуры и сопровождаются приемлемым количеством доказательств, гарантирующих, что он будет безопасно выполнять предназначенные ему функции. Цели процесса планирования следующие:

1.    Определение процессов жизненного цикла конструирования аппаратуры.

Примечание. В планы могут быть включены действия, контрольные точки, входные и выходные данные, организационная ответственность.

2.    Определение и выбор стандартов.

3.    Определение или выбор среды конструирования и верификации.

4.    Представление сертифицирующему органу средств подтверждения соответствия целям гарантии конструирования аппаратуры, включая стратегии, определенные на основе положений пункта 2.3.4.

Примечание. Новые и развивающиеся технологии, средства и процессы могут потребовать изменение деталей процесса планирования. Следовательно, ключевым элементом процесса планирования является гибкость.

4.2.    Мероприятия процесса планирования

Рекомендации по процессу планирования:

1.    Следует определить процесс жизненного цикла конструирования аппаратуры, включая критерии перехода, если они применяются, и взаимосвязи между отдельными процессами. такие, как очередность и механизмы обратной связи.

2.    Следует определить и объяснить предлагаемые методы конструирования. Сюда относится рассмотрение предполагаемой конфигурации аппаратуры и предлагаемых методов верификации.

3.    Следует определить стандарты на конструирование аппаратуры, если предполагается их использование в проекте, включая допустимые отклонения от стандартов. Стандарты могут находиться в диапазоне от базовых стандартов качества до специальных стандартов компании или относиться только к конкретной программе.

Примечание. Стандарты помогают уменьшить вероятность необнаруженных ошибок конструирования через применение проверенных технологических методов. определенных в ходе предыдущих разработок.

Пользователь и разработчик аппаратуры должны знать, применяя стандарты к новым конструкциям и технологиям, что такое применение может быть ошибочным. Отклонения от этих стандартов могут быть обусловлены ограничениями конструирования, конфликтами с требованиями системы или несовместимостью с новыми технологиями Процесс планирования - это возможность рассмотрения приемлемых отклонений при использовании стандартов

4.    Следует определить средства достижения координации процесса конструирования аппаратуры и процессы поддержки при особом внимании к деятельности, связанной с сертификацией систем. ПО и самолета.

9.    Процесс взаимодействия при сертификации ..................................................................... 42

9.1.    Средства соответствия и планирование............................................................................42

9.2.    Доказательство соответствия ............................................................................................42

10.    Данные жизненного цикла конструирования аппаратуры ................................................ 43

10.1.    Планы аппаратуры............................................................................................................43

10.1.1.    План сертификации аппаратуры........................................................................43

10.1.2.    План    конструирования аппаратуры .................................................................. 44

10.1.3.    План    обоснования аппаратуры ......................................................................... 45

10.1.4.    План верификации аппаратуры .........................................................................45

10.1.5.    План управления конфигурацией аппаратуры .................................................. 46

10.1.6.    План процесса гарантии аппаратуры ............................................................... 46

10.2.    Стандарты и руководства по конструированию аппаратуры........................................47

10.2.1.    Стандарты на требования ..................................................................................47

10.2.2.    Стандарты на конструирование аппаратуры ....................................................47

10.2.3.    Стандарты на обоснование и верификацию аппаратуры................................47

10.2.4.    Стандарты на архивирование аппаратуры ...................................................... 47

10.3.    Данные конструирования аппаратуры............................................................................47

10.3.1.    Требования к аппаратуре .................................................................................. 48

10.3.2.    Конструкторские документы аппаратуры ......................................................... 48

10.3.2.1.    Данные эскизного проектирования................................................... 48

10.3.2.2.    Данные технического проектирования............................................. 48

10.3.2.2.1.    Чертеж общего вида ........................................................49

10.3.2.2.2.    Сборочные чертежи.......................................................... 49

10.3.2.2.3.    Монтажные чертежи ........................................................49

10.3.2.2.4.    Данные интерфейса аппаратура/ПО............................... 49

10.4.    Данные обоснования и верификации .............................................................................50

10.4.1.    Данные трассируемости......................................................................................50

10.4.2.    Процедуры рассмотрений и анализов...............................................................50

10.4.3.    Результаты рассмотрений и анализов ..............................................................50

10.4.4.    Процедуры испытаний ........................................................................................51

10.4.5.    Результаты испытаний........................................................................................51

10.5.    Критерии приемочных испытаний аппаратуры ..............................................................51

10.6.    Сообщения о проблемах..................................................................................................51

10.7.    Протоколы управления конфигурацией аппаратуры.....................................................52

10.8.    Протоколы процесса гарантии аппаратуры ...................................................................52

10.9.    Итоговое заключение об аппаратуре..............................................................................52

11.    Дополнительные указания......................................................................................................53

11.1.    Применение ранее разработанной аппаратуры ............................................................53

11.1.1.    Модификации ранее разработанной аппаратуры............................................ 53

11.1.2.    Изменение установки на самолете ................................................................... 53

11.1.3.    Изменение среды применения или конструирования ..................................... 53

11.1.4.    Модернизация базовой    версии.......................................................................... 54

11.1.5.    Дополнительные указания по управлению конфигурацией............................ 54

11.2.    Применение коммерческих готовых компонентов ........................................................ 54

11.2.1.    Управление электронными компонентами для коммерческих

готовых компонентов.......................................................................................... 55

11.2.2.    Закупка коммерческих готовых компонентов ................................................... 55

11.3.    Опыт эксплуатации изделия ........................................................................................... 55

11.3.1.    Критерии приемлемости данных опыта эксплуатации изделия..................... 55

11.3.2. Оценка данных опыта эксплуатации изделия.................................................. 56

11.3.3. Данные оценки опыта эксплуатации изделия .................................................. 56

11.4.    Оценка и квалификация инструмента ............................................................................ 57

11.4.1.    Процесс оценки и квалификации инструмента ................................................ 57

11.4.2.    Данные квалификации и оценки инструмента ................................................. 60

ПРИЛОЖЕНИЯ

Приложение А. Изменение данных жизненного цикла аппаратуры в зависимости

от уровня гарантии конструирования аппаратуры ............................................ 61

Приложение В. Указания по гарантии конструирования для функций уровней А и В ............... 63

Приложение С. Словарь терминов ................................................................................................. 77

Приложение D. Сокращения............................................................................................................ 85

1. ВВЕДЕНИЕ

Применение усложняющейся электронной аппаратуры для обеспечения многих самолетных функций, критичных для безопасности полета, выдвигает новые проблемы сертификации и безопасности. Эти проблемы возникают из-за того, что многие самолетные функции все больше подвергаются неблагоприятному влиянию ошибок в конструкции аппаратуры, которые достаточно трудно устранить из-за возрастающей сложности оборудования. Чтобы противостоять этой осознаваемой эскалации риска, стало необходимым обеспечить возможность устранения конструктивных ошибок аппаратуры более регулярным и контролируемым образом во время процессов конструирования и сертификации.

По мере усложнения бортового электронного оборудования, развития технологии и накопления опыта в использовании процедур, описанных в данном документе, этот документ будет пересматриваться.

1.1.    Назначение документа

Данный документ был подготовлен с целью оказания помощи организациям, обеспечивая руководство для конструирования бортового электронного оборудования, которое безопасно выполняет предназначенные функции 8 специально установленных условиях эксплуатации. Это руководство должно быть равно применимо к существующим, новым и перспективным технологиям. Назначение данного документа состоит в следующем:

1.    Определить цели гарантии конструирования аппаратуры.

2.    Описать основу для этих целей - для гарантии правильной интерпретации руководства.

3.    Обеспечить описание задач - для того чтобы разработать средства оценки соответствия данному и другим руководствам.

4.    Предоставить руководство по действиям в обеспечение качества конструирования - для достижения целей гарантии конструирования.

5.    Обеспечить гибкость в выборе процессов, необходимых для достижения целей данного документа, включая усовершенствования процессов по мере появления новых технологий.

Данный документ в большей степени рекомендует действия, которые должны быть выполнены для достижения целей гарантии конструирования, чем дает детальное описание того, как следует выполнять конструирование.

Философия, используемая при создании данного документа - это некоторый нисходящий подход, основанный на функциях системы, выполняемых электронной аппаратурой, а не восходящий подход и не концепция, основанные единственно на специфических компонентах аппаратуры. применяемых для реализации функции. Нисходящий подход более эффективен при рассмотрении ошибок конструирования, влияющих на безопасность, он облегчает конструктивные решения для системы и аппаратных средств и эффективен на этапе верификации. Например, верификация должна выполняться на самом высоком иерархическом уровне системы, устройства и подустройства, компонента или блока аппаратуры, для которого обеспечивается соответствие аппаратного изделия требованиям к нему и выполняются задачи верификации.

1.2.    Область применения

Данный документ представляет собой руководство по конструированию бортовой электронной аппаратуры, начиная от концепции, далее через сертификацию и последующие после-сертификационные усовершенствования изделия в обеспечение поддержания летной годности. Он разработан для демонстрации соответствия сертификационным требованиям к самолетам транспортной категории и их оборудованию, но некоторые разделы данного документа могут быть применимы и к другому оборудованию. В нем описывается взаимосвязь между жизненным циклом системы и жизненным циклом конструирования аппаратуры, чтобы облегчить понимание взаимоотношений мехщу процессами гарантии конструирования системы и аппаратуры. Он не предназначен для полного описания жизненного цикла системы, включая оценку безопасности системы и обоснования, а также процесса сертификации самолета.

Аспекты сертификации обсуждаются только в отношении жизненного цикла конструирования аппаратуры. Аспекты, связанные с возможностью создания, испытания и технического обслуживания аппаратуры, рассматриваются только в контексте летной годности конструкции аппаратуры.

Руководство в данном документе применимо к следующим, но не только, компонентам аппаратуры:

1.    Быстросменные блоки.

2.    Монтажные платы.

3.    Микропрограммируемые пользователем компоненты, такие, как заказные специализированные интегральные схемы и программируемые логические интегральные схемы, включая любые связанные макрофункции.

4.    Интегрированные технологические компоненты, такие, как гибридные и многокристальные модули.

5.    Покупные компоненты.

Дополнительные рассмотрения, относящиеся специально к COTS-компонентам, включены в раздел 11. поскольку поставщики компонентов COTS не обязаны следовать процессу конструирования, описанному в данном документе, или обеспечивать необходимые данные жизненного цикла конструирования аппаратуры.

В данном документе не делается попытка определить программно-аппаратные средства. Программно-аппаратные средства должны быть классифицированы как аппаратные средства или как программное обеспечение и рассматриваться в соответствующих процессах. Данный документ предполагает, что во время определения системы ее функции распределятся между аппаратными средствами и программным обеспечением. Документ КТ-178В обеспечивает руководство для функций, которые назначены для реализации в программном обеспечении. Настоящий документ обеспечивает руководство для функций, которые назначены аппаратным средствам.

Примечание. Такой подход позволяет определить эффективный метод реализации и гарантии конструирования в момент спецификации системы и распределения функций. Все части должны быть согласованы с данным системным решением в момент, когда сделано распределение функций.

Оценка и квалификация инструментов, используемых при конструировании и верификации компонента аппаратуры, описаны в подразделе 11.4.

Данный документ не обеспечивает руководство, касающееся организационных структур или распределения ответственности между этими структурами.

Критерии квалификации в условиях эксплуатации также выходят за рамки содержания данного документа.

1.3. Связь с другими документами

Помимо требований летной годности, имеются различные национальные и международные стандарты на аппаратные средства. В некоторых случаях может потребоваться демонстрация соответствия этим стандартам. Однако в рамках данного документа не предполагается рассматривать специальные национальные и международные стандарты или предлагать средства, с помощью которых эти стандарты могут использоваться как альтернативные или дополнительные к данному документу.

Когда в данном документе используется термин «стандарты», это означает, что применяются стандарты, принятые обязательными для конкретного проекта бортовой системы, бортового оборудования, двигателей, или стандарты разработчика воздушного судна. Подобные стандарты могут быть получены из общих стандартов, созданных или принятых фирмой-изгото-вителем. Описание стандартов дано в подразделе 10.2.

1.4.    Документы, относящиеся к рассматриваемому вопросу

Документ Р-4754 «Руководство по процессам сертификации высокоинтегрированных или сложных бортовых систем воздушных судов гражданской авиации» - как основа для конструирования высокоинтегрированных или сложных авиационных систем.

Документ Р-4761 «Руководство по методам оценки безопасности систем и бортового оборудования воздушных судов гражданской авиации» - как основа методов оценки безопасности, которые должны использоваться в процессе гарантии конструирования аппаратуры.

Документ «Требования к программному обеспечению бортовой аппаратуры и систем при сертификации авиационной техники КТ-178В» - как дополнительный документ по гарантии разработки ПО.

Документ «Условия эксплуатации и окружающей среды для бортового авиационного оборудования КТ-1600» может быть использован разработчиками оборудования как основной стандарт испытаний элементов квалификации аппаратуры на внешние воздействия.

1.5.    Как применять данный документ

Данный документ предназначен для применения международным авиационным сообществом. Чтобы облегчить его применение, ссылки на специальные национальные правила и процедуры сведены к минимуму. Вместо этого используются общие термины. Например, термин «сертифицирующий орган» означает организацию или персону, которому предоставлено право одобрения от имени страны, ответственной за сертификацию. Когда вторая страна или группа стран проводит или участвует в данной сертификации, настоящий документ может использоваться в рамках двухстороннего соглашения или меморандума взаимопонимания между участвующими странами.

Руководящие положения в данном документе представляют собой консенсус авиационного сообщества и являются собранием наилучших практических промышленных данных по гарантии конструирования бортовой электронной аппаратуры. Принимая во внимание процесс, разработанный в данном документе, было намерение создать руководство, которое могло бы быть применимым к совершенно новым разработкам аппаратных средств и последующим изменениям. Руководящие указания для аппаратных средств, ранее разработанные по другим процессам. рассматриваются в подразделе 11.1. Понятно, что средства, отличные от тех, что описаны здесь, могут существовать и могут быть использованы заявителем.

В тех случаях, когда для того чтобы показать, как могут быть применены руководящие указания. примеры используются либо графически, либо повествовательно, они не должны интерпретироваться как предпочтительный метод.

В разделе 11 обсуждаются дополнительные указания для особых известных случаев, для которых задачи разделов с 2 по 9 не могут быть выполнены. К ним относятся описание ранее разработанных аппаратных средств, использование компонентов COTS, опыт эксплуатации изделия, оценка и квалификация инструментальных средств.

В Приложении А представлено руководство по необходимым данным жизненного цикла конструирования аппаратуры, основанным на реализуемом уровне гарантии конструирования.

В Приложении В даны руководящие указания по методам гарантии конструирования для аппаратных средств, используемых для реализации функций уровней А и В. которые должны применяться дополнительно к указаниям разделов с 2 по11. Приложение В можно применять к аппаратуре уровней С и D гарантии конструирования на усмотрение заявителя.

Словарь терминов содержится в Приложении С.

Приложение D содержит перечень сокращений, которые используются в документе, и их полное название. Перечень не предполагает, что дается полное описание или что все элементы значимы для конкретного изделия.

Примечания используются в данном документе для того, чтобы дать объяснения, выделить пункт или привлечь внимание к соответствующим предметам, которые не полно описаны в контексте. Примечания не содержат руководящие указания.

Слово «должен» используется, когда есть намерение обеспечить руководство. Слово «может» относится к необязательной информации.

В данном документе используется термин «элемент аппаратуры» для описания электронной аппаратуры, которая является предметом данного документа.

Определитель «аппаратный» принят в рамках всего документа, если не оговорено особо. Применение термина «требования» означает «требования к аппаратным средствам». Определители «системный» или «программное обеспечение» всегда будет применяться специализировано. например «требование к системе».

Примечание. Различные промышленные рекомендательные документы и авиационные требования не всегда используют адекватную терминологию. Читателю следует знать об этом при использовании того или иного термина. Определения терминов, используемых в документе, даны в Словаре терминов.

1.6.    Определение сложности

Хотя в различных классификациях термин «сложность» используется для описания электроники. как простой, сложной и очень сложной, разница между этими классификациями четко не определена. Определение различий в сложности в данном документе основано на осуществимости и уровне трудности, необходимом для выполнения допустимого покрытия верификации детерминистскими средствами.

Проверка аппаратуры должна проводиться иерархически на уровнях интегральных схем, плат и быстросменных блоков по степени интеграции, включая соответствующие функции, которые не могут быть проверены, такие, как неиспользуемые режимы в устройствах многократного применения и потенциально скрытые состояния в последовательных машинах.

Элемент аппаратуры определяется как простой, только если обширная комбинация детерминистских испытаний и анализов, соответствующих уровню гарантии конструирования, сможет гарантировать правильность функциональной характеристики во всех предполагаемых условиях эксплуатации без аномалий в поведении.

Когда элемент не может быть классифицирован как простой, он должен быть классифицирован как сложный. Элемент, созданный из простых элементов, сам может быть сложным. Элементы, которые содержит схема, такие, как ASIC и PLD. могут считаться простыми, если они соответствуют критерию простоты, описанному в этом подразделе.

Чтобы снизить риск проекта, предлагаемые средства обеспечения гарантии конструирования для сложных элементов должны быть согласованы с сертифицирующим органом на раннем этапе жизненного цикла конструирования аппаратуры.

Для простого элемента аппаратуры нет необходимости в обширной документации на процесс конструирования. Поддерживающие процессы верификации и управления конфигурацией должны выполняться и документироваться и для простого элемента аппаратуры, но обширная документация не требуется. Следовательно, существуют незначительные издержки при конструировании простого элемента аппаратуры, соответствующего данному документу. Основное влияние данного документа должно быть направлено на конструирование сложных элементов аппаратуры.

1.7.    Альтернативные методы или процессы

Для гарантии конструирования аппаратуры могут использоваться методы или процессы, отличные о тех. которые описаны в настоящем документе. Эти методы и процессы должны быть оценены на основе их способности удовлетворять применяемым правилам. Альтернативные методы или процессы должны быть одобрены сертифицирующим органом до их внедрения. Вместо прямого сравнения с применяемыми правилами для уменьшения риска проекта при оценке альтернативных методов или процессов путем сравнения с данным документом заявитель может использовать следующее инструкции.

Внимание при оценке альтернативных методов и процессов может быть обращено на следующее:

1.    Когда вместо процессов, предписанных данным документом, используются иные процессы. то следует показать, что они обеспечивают эквивалентный уровень гарантии конструирования в отношении одной или более целей, указанных в разделах с 2 по 9 данного документа.

2.    Следует оценить влияние предложенных альтернативных методов или процессов на удовлетворение целей гарантии конструирования аппаратуры.

3.    Следует оценить влияние предложенных альтернативных методов или процессов на данные жизненного цикла.

4.    Логическое обоснование использования предложенных альтернативных методов или процессов следует подтвердить доказательствами того, что методы или процессы дадут ожидаемые результаты.

1.8.    Обзор документа

На рисунке 1-1 дан графический обзор разделов данного документа и некоторые их связи с другими разделами или с другими соответствующими процессами. Цель состоит не в том. чтобы показать поток данных, а в том. чтобы показать, как соотносятся разделы и внешние процессы.

1.9.    Отличия данного документа от DO-254/ED-80

Настоящий документ следует рассматривать как технический перевод документа RTCA DO-254/EUROCAE ED-80 «Design Assurance Guidance for Airborne Electronic Hardware».

В документе сохранены все разделы и подразделы документа DO-254/ED-80.

Раздел 1 дополнен настоящим подразделом.

Подраздел 1.4 содержит ссылки на документы, аналогичные указанным в DO-254/ED-80

В раздел 5 добавлено Примечание 3 о рекомендуемом сопоставлении стадий конструирования и документов по Единой системе конструкторской документации с процессами и данными в настоящем документе.

Рисунок 1-1. Обзор документа