DO-254標(biāo)準(zhǔn)編譯稿

1、 RTCA/DO-254 機(jī)載電子設(shè)備硬件的設(shè)計(jì)保證指南 RTCA/DO254標(biāo)準(zhǔn)機(jī)載電子設(shè)備硬件的設(shè)計(jì)保證指南二00八年四月目 錄I前 言本文件由航空無(wú)線電委員會(huì)（RTCA）180專委會(huì)（SC-180）制訂，并于2000年4月19日由RTCA項(xiàng)目管理委員會(huì)批準(zhǔn)通過(guò)。本指南是RTCA SC-180和EUROCAE（歐洲民用航空設(shè)備組織）WG-46在協(xié)商一致的基礎(chǔ)上共同編寫完成的。RTCA公司是一家非營(yíng)利性的組織，其宗旨是推進(jìn)航空和航空電子系統(tǒng)科學(xué)與技術(shù)的發(fā)展，為公眾的福祉服務(wù)。本組織起到了聯(lián)邦顧問(wèn)委員會(huì)的作用，并就當(dāng)前航空方面的議題提出一致通過(guò)的建議。RTCA的目標(biāo)包括但并不僅限于：l 結(jié)合航

2、空系統(tǒng)用戶和供應(yīng)商的技術(shù)要求，幫助政府和企業(yè)實(shí)現(xiàn)和履行彼此的目標(biāo)及職責(zé)；l 對(duì)航空業(yè)界在追求更高安全、系統(tǒng)性能和效能時(shí)所面臨的系統(tǒng)技術(shù)問(wèn)題進(jìn)行分析，并提供解決方案；l 推進(jìn)相關(guān)技術(shù)應(yīng)用的通過(guò)，以滿足用戶和供應(yīng)商的要求，包括支持飛行的電子系統(tǒng)和設(shè)備的最低工作性能標(biāo)準(zhǔn)的制定；l 幫助制定相關(guān)技術(shù)資料，以此確定國(guó)際民航組織、國(guó)際電信聯(lián)盟以及其它感興趣的國(guó)際組織的地位。本組織的建議通常被政府和民間組織作為決策的依據(jù)，并且還是眾多聯(lián)邦航空管理技術(shù)標(biāo)準(zhǔn)規(guī)程的基礎(chǔ)。由于RTCA并不是美國(guó)政府的官方代理機(jī)構(gòu)，本組織的建議未經(jīng)美國(guó)政府或在這些建議所涉及到的任何問(wèn)題上擁有法定權(quán)限的組織公布，不能被認(rèn)定為官方政策。

3、執(zhí)行概要航空業(yè)界中復(fù)雜電子設(shè)備的使用和研發(fā)引起了新的安全和驗(yàn)證問(wèn)題。為解決此問(wèn)題，成立了RTCA SC-180和EUROCAE WG-46。RTCA SC-180和EUROCAE WG-46早在制訂本文件時(shí)就已同意并組成了聯(lián)合委員會(huì)。該聯(lián)合委員會(huì)經(jīng)特許為機(jī)載電子設(shè)備制定清晰和一致的設(shè)計(jì)保證指南，從而使機(jī)載電子設(shè)備可安全地發(fā)揮其既定功能。機(jī)載電子設(shè)備包括線可替代單元、電路板組件、專用集成電路、可編程邏輯器件等。本指南適用于現(xiàn)有的、新的以及剛出現(xiàn)的技術(shù)。前 言本文件由航空無(wú)線電委員會(huì)（RTCA）180專委會(huì)（SC-180）制訂，并于2000年4月19日由RTCA項(xiàng)目管理委員會(huì)批準(zhǔn)通過(guò)。本指南是RT

4、CA SC-180和EUROCAE（歐洲民用航空設(shè)備組織）WG-46在協(xié)商一致的基礎(chǔ)上共同編寫完成的。RTCA公司是一家非營(yíng)利性的組織，其宗旨是推進(jìn)航空和航空電子系統(tǒng)科學(xué)與技術(shù)的發(fā)展，為公眾的福祉服務(wù)。本組織起到了聯(lián)邦顧問(wèn)委員會(huì)的作用，并就當(dāng)前航空方面的議題提出一致通過(guò)的建議。RTCA的目標(biāo)包括但并不僅限于：結(jié)合航空系統(tǒng)用戶和供應(yīng)商的技術(shù)要求，幫助政府和企業(yè)實(shí)現(xiàn)和履行彼此的目標(biāo)及職責(zé)；對(duì)航空業(yè)界在追求更高安全、系統(tǒng)性能和效能時(shí)所面臨的系統(tǒng)技術(shù)問(wèn)題進(jìn)行分析，并提供解決方案；推進(jìn)相關(guān)技術(shù)應(yīng)用的通過(guò)，以滿足用戶和供應(yīng)商的要求，包括支持飛行的電子系統(tǒng)和設(shè)備的最低工作性能標(biāo)準(zhǔn)的制定；幫助制定相關(guān)技術(shù)資料

5、，以此確定國(guó)際民航組織、國(guó)際電信聯(lián)盟以及其它感興趣的國(guó)際組織的地位。本組織的建議通常被政府和民間組織作為決策的依據(jù)，并且還是眾多聯(lián)邦航空管理技術(shù)標(biāo)準(zhǔn)規(guī)程的基礎(chǔ)。由于RTCA并不是美國(guó)政府的官方代理機(jī)構(gòu)，本組織的建議未經(jīng)美國(guó)政府或在這些建議所涉及到的任何問(wèn)題上擁有法定權(quán)限的組織公布，不能被認(rèn)定為官方政策。86執(zhí)行概要航空業(yè)界中復(fù)雜電子設(shè)備的使用和研發(fā)引起了新的安全和驗(yàn)證問(wèn)題。為解決此問(wèn)題，成立了RTCA SC-180和EUROCAE WG-46。RTCA SC-180和EUROCAE WG-46早在制訂本文件時(shí)就已同意并組成了聯(lián)合委員會(huì)。該聯(lián)合委員會(huì)經(jīng)特許為機(jī)載電子設(shè)備制定清晰和一致的設(shè)計(jì)保證指

6、南，從而使機(jī)載電子設(shè)備可安全地發(fā)揮其既定功能。機(jī)載電子設(shè)備包括線可替代單元、電路板組件、專用集成電路、可編程邏輯器件等。本指南適用于現(xiàn)有的、新的以及剛出現(xiàn)的技術(shù)。本文件中的指導(dǎo)措施將供飛機(jī)系統(tǒng)所用的電子硬件項(xiàng)的供應(yīng)商和飛機(jī)生產(chǎn)商使用。文件中確定了硬件設(shè)計(jì)生命周期進(jìn)程，并對(duì)每一進(jìn)程的目標(biāo)和活動(dòng)進(jìn)行了描述。本指南適用于所有的硬件保證等級(jí)（由系統(tǒng)安全評(píng)估確定）。在本文件的制定進(jìn)程中，委員會(huì)參考了其它的業(yè)內(nèi)文件，包括美國(guó)動(dòng)力機(jī)械工程師協(xié)會(huì)（SAE）航空推薦準(zhǔn)則(ARP)文件ARP4754/EUROCAE ED-79、高度集成或復(fù)雜飛機(jī)系統(tǒng)的驗(yàn)證準(zhǔn)則、民航系統(tǒng)及設(shè)備的安全評(píng)估進(jìn)程實(shí)施方針及方法以及RTC

7、A DO-178/EUROCAE ED-12機(jī)載系統(tǒng)及設(shè)備驗(yàn)證的軟件考慮因素。目 錄1 導(dǎo)言11.1 目的11.2 范圍11.3 與其它文件的關(guān)系21.4 相關(guān)文件31.5 如何使用本文件31.6 復(fù)雜性考慮41.7 其它方法或進(jìn)程51.8 文件概覽52 系統(tǒng)方面的硬件設(shè)計(jì)保證72.1 信息流82.1.1 從系統(tǒng)開(kāi)發(fā)進(jìn)程到硬件設(shè)計(jì)生命周期進(jìn)程的信息流82.1.2 從硬件設(shè)計(jì)生命周期進(jìn)程到系統(tǒng)開(kāi)發(fā)進(jìn)程的信息流92.1.3 硬件設(shè)計(jì)生命周期進(jìn)程與軟件生命周期進(jìn)程之間的信息流92.2 系統(tǒng)安全評(píng)估進(jìn)程92.3 硬件安全評(píng)估132.3.1 硬件安全評(píng)估考慮事項(xiàng)132.3.2 隨機(jī)硬件故障的定量分析14

8、2.3.3 硬件設(shè)計(jì)失誤及推翻的定性評(píng)估142.3.4 關(guān)于硬件故障情況分類的設(shè)計(jì)保證考慮事項(xiàng)153 硬件設(shè)計(jì)生命周期183.1 硬件設(shè)計(jì)生命周期進(jìn)程183.2 過(guò)渡標(biāo)準(zhǔn)184 計(jì)劃進(jìn)程194.1 計(jì)劃進(jìn)程目標(biāo)194.2 計(jì)劃進(jìn)程活動(dòng)195 硬件設(shè)計(jì)進(jìn)程215.1 要求捕獲進(jìn)程235.1.1 要求捕獲目標(biāo)235.1.2 要求捕獲活動(dòng)235.2 概念設(shè)計(jì)進(jìn)程245.2.1 概念設(shè)計(jì)目標(biāo)255.2.2 概念設(shè)計(jì)活動(dòng)255.3 詳細(xì)設(shè)計(jì)進(jìn)程255.3.1 詳細(xì)設(shè)計(jì)目標(biāo)255.3.2 詳細(xì)的設(shè)計(jì)進(jìn)程活動(dòng)265.4 實(shí)施進(jìn)程265.4.1 實(shí)施目標(biāo)275.4.2 實(shí)施活動(dòng)275.5 生產(chǎn)轉(zhuǎn)換進(jìn)程275.

9、5.1 生產(chǎn)轉(zhuǎn)換目標(biāo)275.5.2 生產(chǎn)轉(zhuǎn)換活動(dòng)285.6 驗(yàn)收測(cè)試285.7 連續(xù)生產(chǎn)296 鑒定與驗(yàn)證進(jìn)程306.1 鑒定進(jìn)程306.1.1 鑒定進(jìn)程目標(biāo)306.1.2 鑒定進(jìn)程活動(dòng)316.2 驗(yàn)證進(jìn)程316.2.1 驗(yàn)證進(jìn)程目標(biāo)326.2.2 驗(yàn)證進(jìn)程活動(dòng)326.3 鑒定和驗(yàn)證方法336.3.1 測(cè)試336.3.2 分析346.3.3 審核356.3.3.1 要求審核356.3.3.2 設(shè)計(jì)審核377 配置管理進(jìn)程397.1 配置管理目標(biāo)397.2 配置管理活動(dòng)397.2.1 配置識(shí)別397.2.2 原始資料的建立407.2.3 問(wèn)題報(bào)告、跟蹤和糾正行為407.2.4 更改控制417.2

10、.5 發(fā)布、歸檔以及檢索427.3 數(shù)據(jù)控制類別428 進(jìn)程保證448.1 進(jìn)程保證目標(biāo)448.2 進(jìn)程保證活動(dòng)449 認(rèn)證聯(lián)絡(luò)進(jìn)程459.1 符合方法與規(guī)劃459.2 符合證明4510 硬件設(shè)計(jì)生命周期數(shù)據(jù)4710.1 硬件計(jì)劃4710.1.1 硬件方面認(rèn)證計(jì)劃4810.1.2 硬件設(shè)計(jì)計(jì)劃4910.1.3 硬件鑒定計(jì)劃4910.1.4 硬件驗(yàn)證計(jì)劃5010.1.5 硬件配置管理計(jì)劃5010.1.6 硬件進(jìn)程保證計(jì)劃5110.2 硬件設(shè)計(jì)標(biāo)準(zhǔn)和指南5110.2.1 要求標(biāo)準(zhǔn)5110.2.2 硬件設(shè)計(jì)標(biāo)準(zhǔn)5110.2.3 鑒定和驗(yàn)證標(biāo)準(zhǔn)5210.2.4 硬件存檔標(biāo)準(zhǔn)5210.3 硬件設(shè)計(jì)數(shù)據(jù)5

11、210.3.1 硬件要求5210.3.2 硬件設(shè)計(jì)表示數(shù)據(jù)5310.3.2.1 概念設(shè)計(jì)數(shù)據(jù)5310.3.2.2 詳細(xì)設(shè)計(jì)數(shù)據(jù)5410.3.2.2.1 頂級(jí)圖5410.3.2.2.2 組裝圖5410.3.2.2.3 安裝控制圖5410.3.2.2.4 硬件/軟件接口數(shù)據(jù)5510.4 鑒定和驗(yàn)證數(shù)據(jù)5510.4.1 可追溯性數(shù)據(jù)5510.4.2 審核和分析程序5610.4.3 審核或分析結(jié)果5610.4.4 測(cè)試程序5710.4.5 測(cè)試結(jié)果5710.5 硬件驗(yàn)收測(cè)試標(biāo)準(zhǔn)5710.6 問(wèn)題報(bào)告5810.7 硬件配置管理記錄5810.8 硬件進(jìn)程保證記錄5810.9 硬件完成概要5811 附加考慮

12、事項(xiàng)6011.1 先前開(kāi)發(fā)硬件的使用6011.1.1 對(duì)先前開(kāi)發(fā)硬件的變更6011.1.2 飛機(jī)設(shè)備的更改6011.1.3 應(yīng)用或設(shè)計(jì)環(huán)境的改變6111.1.4 設(shè)計(jì)原始資料的升級(jí)6111.1.5 配置管理的附加考慮事項(xiàng)6211.2 商業(yè)化成品（COTS）元件的使用6211.2.1 對(duì)COTS元件的電子元件管理6211.2.2 COTS元件的采購(gòu)6311.3 產(chǎn)品服務(wù)經(jīng)驗(yàn)6311.3.1 產(chǎn)品服務(wù)經(jīng)驗(yàn)數(shù)據(jù)可接受性標(biāo)準(zhǔn)6311.3.2 對(duì)產(chǎn)品服務(wù)經(jīng)驗(yàn)數(shù)據(jù)的評(píng)估6311.3.3 產(chǎn)品服務(wù)經(jīng)驗(yàn)評(píng)估數(shù)據(jù)6411.4 工具評(píng)估和鑒定6411.4.1 工具評(píng)估和鑒定進(jìn)程6511.4.2 工具評(píng)估和鑒定數(shù)據(jù)

13、68A.1 簡(jiǎn)介72A.2 功能故障路徑分析72A.2.1 功能故障路徑分析方法73A.2.2 功能故障路徑分析數(shù)據(jù)73A.3 A級(jí)與B級(jí)功能的設(shè)計(jì)保證方法74A.3.1 架構(gòu)緩解74A.3.1.1 架構(gòu)緩解方法74A.3.1.2 架構(gòu)緩解的解決74A.3.1.3 架構(gòu)緩解數(shù)據(jù)75A.3.2 產(chǎn)品服務(wù)經(jīng)驗(yàn)75A.3.2.1 產(chǎn)品服務(wù)經(jīng)驗(yàn)方法75A.3.2.2 產(chǎn)品服務(wù)經(jīng)驗(yàn)的解決75A.3.2.3 產(chǎn)品服務(wù)經(jīng)驗(yàn)數(shù)據(jù)75A.3.3 先進(jìn)驗(yàn)證方法76A.3.3.1 元素分析77A.3.3.1.1 元素分析法77A.3.3.1.1.1 選擇元素分析標(biāo)準(zhǔn)77A.3.3.1.1.2 執(zhí)行元素分析78A.3

14、.3.1.2 元素分析結(jié)果的解決79A.3.3.1.3 元素分析生命周期數(shù)據(jù)輸出79A.3.3.2 特定安全分析80A.3.3.2.1 特定安全分析法81A.3.3.2.2 特定安全分析的解決81A.3.3.2.3 特定安全分析數(shù)據(jù)82A.3.3.3 形式法82A.3.3.3.1 形式法的方法論83A.3.3.3.2 形式法的解決84A.3.3.3.3 形式法數(shù)據(jù)841 導(dǎo)言使用日益復(fù)雜的電子設(shè)備可獲得更好的安全關(guān)鍵飛機(jī)功能，但這也會(huì)帶來(lái)關(guān)于安全和驗(yàn)證的新的挑戰(zhàn)。產(chǎn)生這些挑戰(zhàn)是由于擔(dān)心上述飛機(jī)功能會(huì)由于硬件設(shè)計(jì)失誤的相反效應(yīng)而變得更加脆弱，并且這些失誤會(huì)由于硬件的日趨復(fù)雜化而更加難以把握。為抵

15、消此風(fēng)險(xiǎn)的擴(kuò)大，在設(shè)計(jì)和驗(yàn)證進(jìn)程中，有必要的采用更一致的和可驗(yàn)證的方式來(lái)確保潛在的硬件設(shè)計(jì)錯(cuò)誤的定位。由于機(jī)載電子設(shè)備的日趨復(fù)雜化、技術(shù)的進(jìn)步以及在實(shí)際應(yīng)用中和采用本文件所述程序的進(jìn)程中獲得的經(jīng)驗(yàn)，必須根據(jù)已通過(guò)的RTCA/EUROCAE程序?qū)Ρ疚募M(jìn)行修訂和審核。1.1 目的本文件幫助研發(fā)組織為機(jī)載電子設(shè)備的開(kāi)發(fā)提供了設(shè)計(jì)保證指南，從而使機(jī)載電子設(shè)備可在規(guī)定的環(huán)境中安全地發(fā)揮其預(yù)定的功能。本指南同樣適用于現(xiàn)有的、新的以及正在開(kāi)發(fā)的技術(shù)。本文件的目的是：1 確定硬件設(shè)計(jì)保證目標(biāo)；2 描述這些目標(biāo)的基本原則以確保對(duì)本指南的正確闡述；3 提供目標(biāo)描述，以允許根據(jù)本指南和其它指南所作的各種改進(jìn)；4

16、提供設(shè)計(jì)保證活動(dòng)指南以滿足設(shè)計(jì)保證目標(biāo)；5 只要有合適的新技術(shù)，允許靈活選擇滿足本文件目標(biāo)（包括對(duì)其的改進(jìn)）必需的進(jìn)程。本文件介紹的是為滿足設(shè)計(jì)保證目標(biāo)所應(yīng)采取的活動(dòng)，而并未詳細(xì)介紹怎樣進(jìn)行某項(xiàng)設(shè)計(jì)。本指導(dǎo)文件所用的基本原理是基于電子設(shè)備所體現(xiàn)出來(lái)的系統(tǒng)功能的一種自上而下的透視法，而不是一種自下而上的透視法，或者僅基于用于實(shí)現(xiàn)某功能的一些特定設(shè)備元件的透視法。通過(guò)推進(jìn)已知系統(tǒng)和硬件設(shè)計(jì)的決定，以及高效且有效的驗(yàn)證進(jìn)程，自上而下的方法在處理安全設(shè)計(jì)失誤時(shí)會(huì)更有效。例如，應(yīng)在系統(tǒng)、組件、子組件、元件或硬件項(xiàng)的最高等級(jí)上進(jìn)行驗(yàn)證；并且在此等級(jí)上，硬件項(xiàng)可滿足其要求，驗(yàn)證目標(biāo)也可實(shí)現(xiàn)。1.2 范圍本文

17、件為機(jī)載電子設(shè)備（源自初始驗(yàn)證和后續(xù)驗(yàn)證后產(chǎn)品改進(jìn)進(jìn)程的概念）提供設(shè)計(jì)保證指南，以便確保連續(xù)的適航性。本文件基于與運(yùn)輸類飛機(jī)和設(shè)備所需的驗(yàn)證要求一致的陳述制定，但本文件的一部分并不適用于其它設(shè)備。本文件描述了系統(tǒng)生命周期和硬件設(shè)計(jì)生命周期間的關(guān)系，以幫助理解系統(tǒng)和硬件設(shè)計(jì)保證進(jìn)程的相互關(guān)系。文件中并未包括對(duì)系統(tǒng)生命周期（包括系統(tǒng)安全評(píng)估（SSA）和有效性）以及飛機(jī)驗(yàn)證進(jìn)程的完整描述。只有與硬件設(shè)計(jì)生命周期有關(guān)時(shí)，才會(huì)討論驗(yàn)證問(wèn)題。而只有與硬件設(shè)計(jì)的適航性有關(guān)時(shí)，才會(huì)處理與生產(chǎn)、檢測(cè)和維護(hù)硬件項(xiàng)的能力相關(guān)的方面。本文件指南適用于但不僅限于以下硬件項(xiàng):1 線路可替代單元（LRU）；2 電路板組件；

18、3 定制微碼元件，如專用集成電路(ASIC)和可編程邏輯器件（PLD），還包括任何相關(guān)的宏功能；4 集成技術(shù)元件：如混合電路和多芯模塊；5 商業(yè)成品元件（COTS）。由于COTS元件供應(yīng)商可能不會(huì)遵從本文件所述的設(shè)計(jì)進(jìn)程，或提供必要的設(shè)計(jì)生命周期數(shù)據(jù)，因此其它的情形，尤其是針對(duì)COTS的考慮，會(huì)在第11節(jié)中進(jìn)行討論。本文件并未試圖定義固件。固件應(yīng)歸類為硬件或軟件，并且應(yīng)采用適當(dāng)?shù)倪M(jìn)程對(duì)其進(jìn)行處理。本文件假設(shè)，在系統(tǒng)定義時(shí)，功能已分配給了硬件或軟件。RTCA DO-178/EUROCAE ED-12提供了針對(duì)分配給軟件執(zhí)行程序的功能的指南。本文件提供的是針對(duì)分配給硬件的功能的指南。注：在系統(tǒng)確定

19、和功能指定后，就可確定執(zhí)行程序和設(shè)計(jì)保證的有效方法。在進(jìn)行指定時(shí)，所有團(tuán)體都應(yīng)同意此系統(tǒng)決定。硬件項(xiàng)設(shè)計(jì)和驗(yàn)證所用工具的評(píng)估和規(guī)格見(jiàn)第11.4節(jié)。本文件并未提供關(guān)于組織結(jié)構(gòu)或在這些結(jié)構(gòu)中如何劃分職責(zé)的指南。環(huán)境條件標(biāo)準(zhǔn)也不在本文件所涉及的范圍之內(nèi)。1.3 與其它文件的關(guān)系除了飛行性能要求外，各種關(guān)于硬件的國(guó)家和國(guó)際標(biāo)準(zhǔn)也是適用的。在有些團(tuán)體中，可能會(huì)要求遵從這些標(biāo)準(zhǔn)。但是，本文件并未援引具體的國(guó)家或國(guó)際標(biāo)準(zhǔn)，也未提供某種方法使得這些標(biāo)準(zhǔn)可用作本文件的選項(xiàng)或補(bǔ)充。當(dāng)本文件使用“標(biāo)準(zhǔn)”這一術(shù)語(yǔ)時(shí)，意指機(jī)載系統(tǒng)、機(jī)載設(shè)備、發(fā)動(dòng)機(jī)或飛機(jī)制造商所用的工程特定標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)可能來(lái)自于制造商制定或采用的通用

20、標(biāo)準(zhǔn)。標(biāo)準(zhǔn)指南見(jiàn)第10.2節(jié)。1.4 相關(guān)文件SAE ARP4754/EUROCAE ED-79，即高度集成或復(fù)雜飛行系統(tǒng)驗(yàn)證準(zhǔn)則，是關(guān)于高度集成或復(fù)雜飛行系統(tǒng)的開(kāi)發(fā)指南的源文件。SAE ARP4761，即民航系統(tǒng)及設(shè)備的安全評(píng)估進(jìn)程實(shí)施方針及方法，是用于硬件設(shè)計(jì)保證進(jìn)程的安全評(píng)估方法的源文件。RTCA DO-178/EUROCAE ED-12，即關(guān)于機(jī)載系統(tǒng)及設(shè)備驗(yàn)證的軟件考慮因素，是軟件開(kāi)發(fā)保證的補(bǔ)充文件。RTCA DO-160/EUROCAE ED-14，即機(jī)載設(shè)備的環(huán)境條件及測(cè)試進(jìn)程，可為設(shè)備設(shè)計(jì)者用作硬件項(xiàng)規(guī)格的初級(jí)環(huán)境測(cè)試標(biāo)準(zhǔn)。1.5 如何使用本文件本文件供國(guó)際航空?qǐng)F(tuán)體使用。為便于

21、使用，盡可能少地參考了具體的國(guó)家規(guī)定和程序；相反，使用更多的還是通用術(shù)語(yǔ)。例如，術(shù)語(yǔ)“認(rèn)證機(jī)構(gòu)”用來(lái)指代表有權(quán)認(rèn)證的國(guó)家進(jìn)行審核的組織或個(gè)人。當(dāng)另外一個(gè)國(guó)家或國(guó)家集團(tuán)批準(zhǔn)或參加此認(rèn)證時(shí)，本文件就可使用，并且會(huì)在所涉及到的國(guó)家間的雙邊協(xié)議或諒解備忘錄中相應(yīng)地體現(xiàn)出來(lái)。本文件指南代表了航空?qǐng)F(tuán)體的一致意見(jiàn)，囊括了機(jī)載電子設(shè)備設(shè)計(jì)保證方面最好的行業(yè)實(shí)踐經(jīng)驗(yàn)。對(duì)于本文件中提出的進(jìn)程，其目的是提供可用于完成新硬件設(shè)計(jì)和后續(xù)改造的指南。先前為其它進(jìn)程提供的硬件指南見(jiàn)第11.1節(jié)?？梢岳斫猓嗽诖私榻B的方法外，其它方法也可能為申請(qǐng)人獲取并采用。在使用實(shí)例說(shuō)明如何使用本指南時(shí)，不管是用圖表形式還是敘述方式，不

22、能認(rèn)為這些實(shí)例是首選的方法。第11節(jié)討論了關(guān)于特定已知情況（在這些已知情況下，第2節(jié)至第9節(jié)的一些目標(biāo)可能不會(huì)實(shí)現(xiàn)）的其它情形。這些情形包括：已開(kāi)發(fā)出的硬件的使用指南、COTS元件使用指南、產(chǎn)品服務(wù)經(jīng)驗(yàn)指導(dǎo)、工具評(píng)估及規(guī)格指南。在附錄A中，基于執(zhí)行中的硬件設(shè)計(jì)保證等級(jí)，提供了關(guān)于必需的硬件設(shè)計(jì)生命周期數(shù)據(jù)的指南。附錄B包括了執(zhí)行A級(jí)和B級(jí)功能（除了第2節(jié)至第11節(jié)的指南外，也應(yīng)使用這些功能）所用硬件的設(shè)計(jì)保證技術(shù)指南；根據(jù)申請(qǐng)人的意愿，附錄B也可應(yīng)用于硬件的C級(jí)和D級(jí)設(shè)計(jì)保證。本文件中所用的術(shù)語(yǔ)表見(jiàn)附錄C。附錄D是本文件所用的縮略詞匯表，列出了這些縮略詞的全稱。對(duì)于列出的表單，并不意味著其下的

23、子項(xiàng)在任何情況下都是全面的，也不是說(shuō)所有的子項(xiàng)都對(duì)應(yīng)于任何特定的產(chǎn)品。本文件中的注釋用于提供說(shuō)明性材料、強(qiáng)調(diào)某一點(diǎn)或者引起對(duì)相關(guān)主題的注意。當(dāng)然，這些注釋并不僅限于上下文范圍之內(nèi)。注釋并不包含指南。當(dāng)提供指南時(shí)會(huì)用“應(yīng)該”一詞。“可能”則用于選擇性文本。本文件所用的術(shù)語(yǔ)“硬件項(xiàng)”則是用來(lái)描述作為本文件主題的電子設(shè)備。除非特意說(shuō)明，在本文件中都會(huì)采用限定詞“硬件”。使用術(shù)語(yǔ)“要求”時(shí)是指“硬件要求”。系統(tǒng)或軟件限定詞通常會(huì)特意說(shuō)明，如“系統(tǒng)要求”。注：各種行業(yè)咨詢文件和航空要求文件并不總是使用一致的術(shù)語(yǔ)。例如，聯(lián)邦航空規(guī)程（FAR）21和聯(lián)合航空要求（JAR）21中使用“產(chǎn)品”來(lái)指代飛機(jī)、飛機(jī)發(fā)

24、動(dòng)機(jī)、或螺旋槳。文件SAE ARP4754/EUROCAE ED-79使用“產(chǎn)品”這一術(shù)語(yǔ)來(lái)指代硬件、軟件、部件或根據(jù)確定的一組要求形成的系統(tǒng)。請(qǐng)讀者注意在使用術(shù)語(yǔ)時(shí)的這些以及其它差異。本文件使用的是詞匯表中的定義。1.6 復(fù)雜性考慮盡管有各種關(guān)于術(shù)語(yǔ)“復(fù)雜性”的分類被用于描述電子器件，比如簡(jiǎn)單、復(fù)雜和高度復(fù)雜，但這些分類之間的區(qū)別并未嚴(yán)格確定。要在此確定復(fù)雜性間的區(qū)別，需要根據(jù)使用確定性方法達(dá)到可行性驗(yàn)證范圍所必需的可行性和困難程度而進(jìn)行。應(yīng)分等級(jí)，按照集成電路、電路板和LRU的順序?qū)τ布膹?fù)雜性進(jìn)行檢查；其中，復(fù)雜性包括可能不可測(cè)的尋址功能，如多用途設(shè)備中未用的模式和時(shí)序機(jī)中可選的隱藏狀態(tài)

25、。在不存在異?，F(xiàn)象的所有可預(yù)見(jiàn)的操作條件下，只有當(dāng)符合設(shè)計(jì)保證等級(jí)的確定性測(cè)試和分析可確保正確的操作性能時(shí)，硬件項(xiàng)才可定義為簡(jiǎn)單。若某硬件項(xiàng)不能歸入簡(jiǎn)單一類，它就應(yīng)歸入復(fù)雜一類。全部由簡(jiǎn)單部件構(gòu)成的部件可能是復(fù)雜部件。對(duì)于含有器件（如ASIC或PLD）的部件，若其符合本節(jié)描述的簡(jiǎn)單標(biāo)準(zhǔn)，就可認(rèn)為是簡(jiǎn)單的。對(duì)于復(fù)雜部件，推薦的提供設(shè)計(jì)保證方式應(yīng)該早已在硬件設(shè)計(jì)生命周期中經(jīng)認(rèn)證機(jī)構(gòu)同意使用，以減小進(jìn)程風(fēng)險(xiǎn)。對(duì)于簡(jiǎn)單硬件項(xiàng)，設(shè)計(jì)進(jìn)程不需要提供大量文件。對(duì)于簡(jiǎn)單硬件項(xiàng)，需要執(zhí)行并證明驗(yàn)證和配置管理支持進(jìn)程，但并不需要提供大量文件。因此，為遵從本文件，在設(shè)計(jì)簡(jiǎn)單硬件項(xiàng)時(shí)削減了費(fèi)用。本文件的主要影響將體現(xiàn)

26、在復(fù)雜硬件項(xiàng)的設(shè)計(jì)上。1.7 其它方法或進(jìn)程除了本文件所述的以外，其它方法或進(jìn)程也可能被用于提供硬件設(shè)計(jì)保證。對(duì)于這些方法和進(jìn)程，應(yīng)根據(jù)其滿足可用準(zhǔn)則的能力來(lái)進(jìn)行評(píng)估?？蛇x方法或進(jìn)程應(yīng)在執(zhí)行前由認(rèn)證機(jī)構(gòu)批準(zhǔn)。當(dāng)通過(guò)比較本文件來(lái)評(píng)估可選方法或進(jìn)程時(shí)，除了直接與可用準(zhǔn)則比較外，申請(qǐng)人還可使用以下的指南來(lái)降低進(jìn)程風(fēng)險(xiǎn)。評(píng)估可選方法或進(jìn)程應(yīng)考慮的因素包括：1 在代替本文件介紹的進(jìn)程使用時(shí)，滿足第2節(jié)至第9節(jié)中一個(gè)或多個(gè)目標(biāo)的進(jìn)程應(yīng)體現(xiàn)出同等的設(shè)計(jì)保證等級(jí)；2 應(yīng)該評(píng)估所推薦的其它方法或進(jìn)程在滿足硬件設(shè)計(jì)保證目標(biāo)時(shí)產(chǎn)生的影響；3 應(yīng)該評(píng)估所推薦的其它方法或進(jìn)程對(duì)生命周期數(shù)據(jù)產(chǎn)生的影響；4 使用推薦方法或

27、進(jìn)程的合理性應(yīng)該用這樣的證據(jù)來(lái)證明：使用這些方法或進(jìn)程可產(chǎn)生預(yù)期結(jié)果。1.8 文件概覽圖1-1是本文件所有章節(jié)的概圖，表明了這些章節(jié)彼此之間的關(guān)系，以及與其它相關(guān)進(jìn)程的關(guān)系。這并不是為了描述數(shù)據(jù)流，而是為了表明哪些章節(jié)及外部進(jìn)程是相關(guān)的。系統(tǒng)要求FAR/JAR及咨詢材料安全評(píng)估指南系統(tǒng)開(kāi)發(fā)指南環(huán)境條件測(cè)試指南開(kāi)發(fā)限制l 系統(tǒng)方面的硬件設(shè)計(jì)保證（2節(jié)）l 硬件設(shè)計(jì)生命周期（第3節(jié)）l 計(jì)劃進(jìn)程（第4節(jié)）l 附加考慮（第11節(jié)）l 關(guān)于A級(jí)和B級(jí)功能的設(shè)計(jì)保證考慮（附錄B）衍生要求（所要求的）要求的變化設(shè)計(jì)進(jìn)程（第5節(jié)）生產(chǎn) 使用中進(jìn)程支持進(jìn)程：l 審批及驗(yàn)證進(jìn)程（6節(jié)）l 配置管理進(jìn)程（第7節(jié)）

28、l 進(jìn)程保證（第8節(jié)）l 驗(yàn)證聯(lián)絡(luò)進(jìn)程（第9節(jié)）l 硬件設(shè)計(jì)生命周期數(shù)據(jù)（第11節(jié)）l 硬件設(shè)計(jì)保證等級(jí)和配置控制碼的硬件設(shè)計(jì)生命周期數(shù)據(jù)（附錄A）軟件開(kāi)發(fā)指南圖1-1 文件概覽2 系統(tǒng)方面的硬件設(shè)計(jì)保證硬件設(shè)計(jì)保證從系統(tǒng)等級(jí)開(kāi)始，系統(tǒng)功能會(huì)分配給硬件，而同時(shí)也會(huì)指定其相應(yīng)的系統(tǒng)開(kāi)發(fā)保證等級(jí)。單個(gè)的系統(tǒng)功能可以分配給硬件項(xiàng)、軟件元件或軟硬件組。與功能相關(guān)的安全要求來(lái)自于系統(tǒng)透視、軟件透視和硬件透視，從而就可確定滿足這些要求所必需的可靠性等級(jí)和保證等級(jí)。圖2-1闡示了機(jī)載電子系統(tǒng)和設(shè)備的系統(tǒng)開(kāi)發(fā)進(jìn)程與安全評(píng)估、硬件開(kāi)發(fā)以及軟件開(kāi)發(fā)進(jìn)程的關(guān)系。系統(tǒng)FAR/JAR和咨詢材料安全評(píng)估硬件軟件硬件/軟件

29、安全/硬件安全/軟件安全/硬件/軟件圖2-1 機(jī)載系統(tǒng)、安全評(píng)估、硬件和軟件進(jìn)程間的關(guān)系在圖中有四處重疊區(qū)域，分別為：安全/硬件，安全/軟件，硬件/軟件和安全/硬件/軟件。這些重疊表明了這些進(jìn)程間的關(guān)系和相互作用；而在這些進(jìn)程中，系統(tǒng)要求可能會(huì)產(chǎn)生一些在多進(jìn)程范圍及設(shè)計(jì)保證指南之內(nèi)的要求。例如，包含安全要求的硬件功能會(huì)包括安全評(píng)估進(jìn)程和硬件設(shè)計(jì)生命周期進(jìn)程。這些重疊表明，需要用進(jìn)程間的相互作用來(lái)確保系統(tǒng)功能保證要求的滿足。本文件并未探討系統(tǒng)或軟件保證進(jìn)程。但是，在協(xié)調(diào)硬件功能的設(shè)計(jì)保證時(shí)，申請(qǐng)人也可能想利用系統(tǒng)或軟件進(jìn)程中的活動(dòng)提供的保證。這些關(guān)系和相互作用在第2.1.1節(jié)至第2.1.3節(jié)中會(huì)

30、進(jìn)一步探討。2.1 信息流生命周期進(jìn)程間的信息流如圖2-2所示。以下部分所述的是從系統(tǒng)開(kāi)發(fā)進(jìn)程到硬件設(shè)計(jì)生命周期進(jìn)程間的信息流、從硬件設(shè)計(jì)生命周期進(jìn)程到系統(tǒng)開(kāi)發(fā)進(jìn)程間的信息流以及硬件設(shè)計(jì)生命周期進(jìn)程與軟件生命周期進(jìn)程間的信息流。注：這些都被認(rèn)為是反復(fù)的進(jìn)程，并且在硬件設(shè)計(jì)生命周期中還會(huì)產(chǎn)生變化。系統(tǒng)開(kāi)發(fā)進(jìn)程軟件設(shè)計(jì)生命周期進(jìn)程硬件設(shè)計(jì)生命周期進(jìn)程第2.1.3節(jié)第2.1.1節(jié)第2.1.2節(jié)圖2-2 系統(tǒng)開(kāi)發(fā)進(jìn)程2.1.1 從系統(tǒng)開(kāi)發(fā)進(jìn)程到硬件設(shè)計(jì)生命周期進(jìn)程的信息流此信息流可能包括：1 分配給硬件的設(shè)計(jì)和安全要求；2 每種功能的設(shè)計(jì)保證等級(jí)，還有其相關(guān)要求和故障條件，但前提是此功能可用；3 分配

31、的可能性，以及風(fēng)險(xiǎn)出現(xiàn)時(shí)，硬件功能故障出現(xiàn)的可能性；4 硬件/軟件接口描述5 關(guān)于安全策略及設(shè)計(jì)限制的要求，如可測(cè)試性、設(shè)計(jì)方法以及硬件結(jié)構(gòu)；6 將通過(guò)硬件等級(jí)驗(yàn)證來(lái)執(zhí)行的系統(tǒng)驗(yàn)證活動(dòng)的要求；7 分配給硬件的安裝要求、人體工程學(xué)要求以及環(huán)境要求；8 可能會(huì)對(duì)要求產(chǎn)生影響的綜合問(wèn)題報(bào)告。之所以會(huì)這樣，是由于一些活動(dòng)的緣故，如：系統(tǒng)驗(yàn)證、系統(tǒng)要求的產(chǎn)生或SSA。2.1.2 從硬件設(shè)計(jì)生命周期進(jìn)程到系統(tǒng)開(kāi)發(fā)進(jìn)程的信息流此信息流可能包括：1 要求的執(zhí)行進(jìn)程，如：機(jī)械制圖、簡(jiǎn)圖和零件列表；2 可能會(huì)影響任何分配的要求的硬件衍生要求；3 裝置結(jié)構(gòu)，包括故障限度；4 在硬件設(shè)計(jì)生命周期中進(jìn)行的任何必需的系統(tǒng)

32、驗(yàn)證和審核活動(dòng)的證明；5 產(chǎn)品安全分析數(shù)據(jù)，如：a. 與SSA進(jìn)程有關(guān)的特定硬件功能故障的可能性及故障率；b. 常見(jiàn)故障分析；c. 隔離范圍及普通故障緩解策略；d. 與系統(tǒng)要求相關(guān)的潛在分析數(shù)據(jù)。例如：故障監(jiān)視、故障檢測(cè)周期和不可測(cè)故障的硬件準(zhǔn)備。6 將通過(guò)系統(tǒng)等級(jí)驗(yàn)證來(lái)實(shí)施的硬件驗(yàn)證活動(dòng)的要求；7 關(guān)于安裝要求和環(huán)境條件（是將要進(jìn)行的分析所必需的）的假設(shè)和分析方法；8 可能會(huì)影響系統(tǒng)、軟件或分配的硬件要求的問(wèn)題或變化報(bào)告。2.1.3 硬件設(shè)計(jì)生命周期進(jìn)程與軟件生命周期進(jìn)程之間的信息流此信息流可能包括:1 硬件/軟件集成所需的衍生要求，如：草案的確定、定時(shí)限制以及軟硬件間接口的尋址方案；2 需

33、要協(xié)調(diào)硬件和軟件驗(yàn)證活動(dòng)的情況；3 硬件和軟件之間所確定的不兼容性，這可能也是報(bào)告和校正行動(dòng)系統(tǒng)的一部分；4 也可應(yīng)用的系統(tǒng)進(jìn)程的安全評(píng)估數(shù)據(jù)。2.2 系統(tǒng)安全評(píng)估進(jìn)程現(xiàn)有三個(gè)系統(tǒng)安全評(píng)估進(jìn)程，它們分別是：功能危險(xiǎn)性評(píng)估（FHA）,初步系統(tǒng)安全評(píng)估（PSSA）和SSA。這些進(jìn)程被用于建立可應(yīng)用于系統(tǒng)開(kāi)發(fā)保證進(jìn)程的系統(tǒng)安全目標(biāo)，還用于確定系統(tǒng)功能是否達(dá)到了安全目標(biāo)。SSA進(jìn)程應(yīng)該把安全目標(biāo)轉(zhuǎn)化成系統(tǒng)和設(shè)備安全要求。這些要求應(yīng)包括系統(tǒng)及設(shè)備的功能及結(jié)構(gòu)的基本安全目標(biāo)和安全特征。SSA進(jìn)程和系統(tǒng)開(kāi)發(fā)進(jìn)程把這些安全要求分配給了硬件。系統(tǒng)開(kāi)發(fā)保證等級(jí)現(xiàn)有五個(gè)等級(jí)，A級(jí)至E級(jí)，對(duì)應(yīng)五類故障情況：災(zāi)難性的、

34、危險(xiǎn)的/極嚴(yán)重的、嚴(yán)重的、輕微的和無(wú)影響的。表2-1把硬件設(shè)計(jì)保證等級(jí)和五類故障情況聯(lián)系了起來(lái)，并確定了硬件故障條件和它們對(duì)應(yīng)的設(shè)計(jì)保證等級(jí)。首先，各個(gè)硬件功能的硬件設(shè)計(jì)保證等級(jí)是通過(guò)SSA進(jìn)程、使用FHA辨別可能的危險(xiǎn)來(lái)確定的；然后，PSSA進(jìn)程把安全要求和相關(guān)的故障情況分配給硬件執(zhí)行的功能。在硬件設(shè)計(jì)生命周期中，安全、系統(tǒng)和硬件進(jìn)程間可能存在循環(huán)反饋，以確保設(shè)計(jì)制造的硬件會(huì)滿足分配給硬件的系統(tǒng)安全、功能和性能要求。表2-1 硬件設(shè)計(jì)保證等級(jí)的定義及其與系統(tǒng)保證等級(jí)的關(guān)系系統(tǒng)開(kāi)發(fā)保證等級(jí)故障情況分類故障情況描述硬件設(shè)計(jì)保證等級(jí)定義A級(jí)災(zāi)難性的故障情況會(huì)妨礙持續(xù)安全飛行和著陸。對(duì)于硬件功能，通

35、過(guò)如硬件安全評(píng)估可以看到，硬件功能故障或異常行為會(huì)引起能導(dǎo)致飛機(jī)發(fā)生災(zāi)難性故障情況的系統(tǒng)功能故障。B級(jí)危險(xiǎn)的/極嚴(yán)重的故障情況會(huì)降低飛機(jī)的性能或空勤組處理異常運(yùn)行情況的能力，從而極大地降低安全系數(shù)或功能，導(dǎo)致身體痛苦或增加工作量；這樣，就不能依靠空勤組精確地或完全地執(zhí)行其任務(wù)；并且還會(huì)對(duì)乘員產(chǎn)生不利影響，包括對(duì)這些成員中的一小部分造成嚴(yán)重傷害或潛在的嚴(yán)重傷害。對(duì)于硬件功能，通過(guò)如硬件安全評(píng)估可以看到，硬件功能故障或異常行為會(huì)引起能導(dǎo)致飛機(jī)發(fā)生危險(xiǎn)的/極嚴(yán)重的故障情況的系統(tǒng)功能故障。C級(jí)嚴(yán)重的故障情況會(huì)降低飛機(jī)的性能或空勤組處理異常運(yùn)行情況的能力，從而極大地降低安全系數(shù)或功能，并極大地加重空勤組

36、的工作量或降低空勤組的效率，使乘員產(chǎn)生不適，包括對(duì)其造成傷害對(duì)于硬件功能，通過(guò)如硬件安全評(píng)估可以看到，硬件功能故障或異常行為會(huì)引起能導(dǎo)致飛機(jī)發(fā)生嚴(yán)重故障情況的系統(tǒng)功能故障。D級(jí)輕微的故障情況不會(huì)極大地降低飛機(jī)安全，并且空勤組的活動(dòng)也控制在其能力范圍之內(nèi)。輕微故障情況可能包括：安全系數(shù)或功能的輕微降低、空勤組的工作量的輕微增加（如，例行飛行計(jì)劃的改變）或給乘員造成的一些不便。對(duì)于硬件功能，通過(guò)如硬件安全評(píng)估可以看到，硬件功能故障或異常行為會(huì)引起能導(dǎo)致飛機(jī)發(fā)生輕微故障情況的系統(tǒng)功能故障。E級(jí)無(wú)影響的故障情況不會(huì)影響飛機(jī)的運(yùn)行能力，也不會(huì)增加空勤組的工作量。對(duì)于硬件功能，通過(guò)如硬件安全評(píng)估可以看到，

37、硬件功能故障或異常行為會(huì)引起系統(tǒng)功能故障，但不會(huì)對(duì)飛機(jī)的運(yùn)行能力或空勤組的工作量產(chǎn)生影響。對(duì)于確定為E級(jí)的功能，不需要本文件的進(jìn)一步指導(dǎo)，但本文件的指南可用做參考。2.3 硬件安全評(píng)估硬件安全評(píng)估與SSA進(jìn)程一起執(zhí)行，并用于支持SSA進(jìn)程。該安全進(jìn)程是為了證明可應(yīng)用的系統(tǒng)和設(shè)備（包括硬件）滿足了可應(yīng)用的飛機(jī)驗(yàn)證要求的安全要求。若系統(tǒng)進(jìn)程把安全、功能和性能要求分配給硬件，硬件安全評(píng)估就可確定各種功能的硬件設(shè)計(jì)保證等級(jí)，并有助于確定將要用到的合適的設(shè)計(jì)保證策略。2.3.1 硬件安全評(píng)估考慮事項(xiàng)硬件項(xiàng)設(shè)計(jì)者可能會(huì)采取適當(dāng)?shù)脑O(shè)計(jì)保證策略，遵從分配給硬件的安全要求和硬件設(shè)計(jì)保證等級(jí)。單獨(dú)的設(shè)計(jì)保證等級(jí)和

38、策略可以應(yīng)用于整個(gè)硬件項(xiàng)，而也可認(rèn)為硬件項(xiàng)擁有獨(dú)立的功能故障路徑（FFP），這樣就可提供混合設(shè)計(jì)保證等級(jí)或設(shè)計(jì)保證策略。功能故障路徑分析（FFPA）可以用來(lái)判斷硬件項(xiàng)部件較低的設(shè)計(jì)保證等級(jí)，或提供由不同方法或不同的產(chǎn)品服務(wù)歷史來(lái)執(zhí)行的不同功能。注：FFPA將在附錄B的第2部分介紹。此分析方法盡管在書(shū)面上規(guī)定用于處理附錄B中的問(wèn)題，但它也適用于任何設(shè)計(jì)保證等級(jí)。若硬件項(xiàng)所含功能單獨(dú)擁有不同的設(shè)計(jì)保證等級(jí)，這種情形可用下列方法之一處理：l 可以保證整個(gè)硬件項(xiàng)為最高設(shè)計(jì)保證等級(jí)。l 若硬件的功能、接口和共享資源可免受較低保證等級(jí)的功能的不利影響，就可根據(jù)硬件安全評(píng)估確定的那樣，單獨(dú)地確保單個(gè)硬件功能

39、為各自的硬件設(shè)計(jì)保證等級(jí)。共享資源的設(shè)計(jì)保證應(yīng)該就是最高級(jí)功能的設(shè)計(jì)保證等級(jí)。針對(duì)硬件安全評(píng)估的建議包括：1 反復(fù)的硬件安全評(píng)估和設(shè)計(jì)應(yīng)該確定衍生硬件安全要求，并保證滿足分配給硬件的系統(tǒng)安全要求，還要保證滿足衍生要求；2 這些衍生要求應(yīng)包括硬件結(jié)構(gòu)安全要求、電路及元件的安全要求、以及防止異常行為的安全要求（包括結(jié)合特定硬件結(jié)構(gòu)及功能的安全特征），例如：a. 電路和元件冗余；b. 電路或元件間的分離或電隔離；c. 電路或元件間的差異；d. 電路或元件的監(jiān)視；e. 保護(hù)或重新配置機(jī)器；f. 電路和元件的隨機(jī)故障和潛在故障的容許故障率和可能性；g. 使用或安裝的限制；h. 干擾的防止、管理以及恢復(fù)。

40、3 硬件設(shè)計(jì)保證進(jìn)程和硬件安全評(píng)估應(yīng)共同確定具體的遵從方式及每種功能的設(shè)計(jì)保證等級(jí)，還應(yīng)確定已達(dá)到了可以接受的設(shè)計(jì)保證等級(jí)。注：異常行為可能由硬件項(xiàng)中的隨機(jī)故障或設(shè)計(jì)失誤引起，或者對(duì)硬件的干擾引起。硬件設(shè)計(jì)者可能會(huì)為硬件項(xiàng)功能選擇較高的硬件設(shè)計(jì)保證等級(jí)。例如，在進(jìn)行需要較高等級(jí)設(shè)計(jì)保證的安裝時(shí)，會(huì)預(yù)料到硬件項(xiàng)功能的重新利用。硬件安全評(píng)估可能會(huì)運(yùn)用各種定性和定量的評(píng)估方法。這可能包括：故障樹(shù)分析（FTA）、常規(guī)分析、故障形式和后果分析、以及可用于隨機(jī)故障的定量評(píng)估所用的統(tǒng)計(jì)可靠性分析法。2.3.2 隨機(jī)硬件故障的定量分析基于硬件故障率、冗余、分離與隔離、故障形式統(tǒng)計(jì)、可能性分析、元件減少、壓力分

41、析和制造進(jìn)程控制的統(tǒng)計(jì)故障評(píng)估和預(yù)測(cè)方法已經(jīng)證明，這些都是對(duì)隨機(jī)硬件故障進(jìn)行定量風(fēng)險(xiǎn)因素評(píng)估可以接受的方法。2.3.3 硬件設(shè)計(jì)失誤及推翻的定性評(píng)估不像硬件隨機(jī)故障那樣，設(shè)計(jì)失誤和一些類型的“推到重來(lái)”在統(tǒng)計(jì)學(xué)上都是不可預(yù)測(cè)的，并且它們都可能以普通故障的形式越過(guò)冗余界限。應(yīng)該對(duì)將要使用的冗余管理方法和定量分析方法進(jìn)行選擇，以便在必要時(shí)可以排除或減輕潛在的普通故障以及“推到重來(lái)”的影響。盡管定量評(píng)估很困難，但仍可利用定性安全評(píng)估方法有效地評(píng)估由設(shè)計(jì)失誤和“推到重來(lái)”帶來(lái)的安全風(fēng)險(xiǎn)。像故障樹(shù)分析、普通分析和功能故障形式及影響分析（F-FMEA）這樣的分析方法基本是定性的方法，可以用來(lái)處理硬件設(shè)計(jì)失

42、誤和“推到重來(lái)”。更具體地說(shuō)，這些方法可以確定硬件設(shè)計(jì)失誤和“推到重來(lái)”的潛在影響，還有助于確定通過(guò)何種方式可以排除或減輕這些影響。使用這些方法后，硬件安全評(píng)估就有助于確定將要使用的硬件設(shè)計(jì)保證策略，并且在硬件設(shè)計(jì)進(jìn)程中可反復(fù)使用，從而就可定性地確定所選策略達(dá)到的保證等級(jí)。2.3.4 關(guān)于硬件故障情況分類的設(shè)計(jì)保證考慮事項(xiàng)由于系統(tǒng)故障情況越來(lái)越嚴(yán)重，為確保相關(guān)故障情況的減輕而必需的硬件設(shè)計(jì)保證量也隨之增長(zhǎng)。對(duì)于所有的設(shè)計(jì)保證等級(jí)，應(yīng)該研究出一種方法或策略來(lái)確保合適的設(shè)計(jì)保證等級(jí)。圖2-3列出了研究適當(dāng)設(shè)計(jì)保證策略的決定生成流程。建議包括：1 對(duì)于在硬件中執(zhí)行的A級(jí)或B級(jí)功能，設(shè)計(jì)保證考慮事項(xiàng)應(yīng)

43、處理硬件功能潛在的異常行為和潛在的設(shè)計(jì)失誤；2 當(dāng)研究每個(gè)執(zhí)行中的功能的設(shè)計(jì)保證策略時(shí)，應(yīng)該使用圖2-3中列出的決定生成流程；3 除了在第3節(jié)至第1節(jié)中提供的建議外，附錄B中所述的策略也應(yīng)該用于A級(jí)和B級(jí)功能；4 設(shè)計(jì)保證策略應(yīng)選擇為硬件結(jié)構(gòu)和用途的功能，以及已選的硬件執(zhí)行技術(shù)的功能。不同的技術(shù)、元件選擇和元件用途提供了各種程度的硬件設(shè)計(jì)生命周期信息和各種程度的防止相關(guān)設(shè)計(jì)失誤及其影響的措施。在相同的硬件項(xiàng)之內(nèi)，對(duì)于不同的功能路徑，最適合的設(shè)計(jì)保證方法也會(huì)有所不同。在圖2-3中，決策和活動(dòng)塊中的數(shù)字指的是根據(jù)進(jìn)一步說(shuō)明決定或活動(dòng)的圖表得出的編號(hào)項(xiàng)。1 啟動(dòng)評(píng)估進(jìn)程。對(duì)于所有的設(shè)計(jì)保證等級(jí)，都應(yīng)

44、該研究出相應(yīng)的方法或策略來(lái)保證合適的設(shè)計(jì)保證等級(jí)。2 確定FFP設(shè)計(jì)保證等級(jí)。對(duì)于每個(gè)確定的硬件項(xiàng)，確定并證明與部件和設(shè)計(jì)保證等級(jí)相關(guān)的FFP。啟動(dòng)評(píng)估進(jìn)程確定FFP設(shè)計(jì)保證等級(jí)硬件執(zhí)行是簡(jiǎn)單還是復(fù)雜？研究A級(jí)或B級(jí)復(fù)雜FFP的設(shè)計(jì)保證策略策略合適嗎？證明可應(yīng)用的故障安全情況證明設(shè)計(jì)保證方法及策略應(yīng)用此方法修改策略A級(jí)或B級(jí)D級(jí)或E級(jí)C級(jí)簡(jiǎn)單復(fù)雜是否圖2-3 硬件設(shè)計(jì)保證策略的決定進(jìn)程3 FFP的硬件執(zhí)行是簡(jiǎn)單的還是復(fù)雜的？對(duì)于硬件設(shè)計(jì)保證的A級(jí)或B級(jí)FFP，按1.6所述來(lái)確定硬件是簡(jiǎn)單還是復(fù)雜。4 研究A級(jí)或B級(jí)復(fù)雜FFP的設(shè)計(jì)保證策略。若FFP是復(fù)雜的并且為A級(jí)或B級(jí)，就可使用附錄B中所述

45、的附加策略來(lái)確定合適的設(shè)計(jì)保證策略、相應(yīng)的執(zhí)行概念以及失誤緩解方法。對(duì)于每個(gè)A級(jí)或B級(jí)FFP，應(yīng)使用深層分析、產(chǎn)品服務(wù)經(jīng)驗(yàn)或結(jié)構(gòu)緩解來(lái)確定設(shè)計(jì)保證策略。若所選方法不能完全緩解潛在的故障和異常行為，裝置中的A級(jí)FFP就可能需要不止一種方法。5 策略合適嗎？確定設(shè)計(jì)保證策略中是否有不足之處；若策略中存在不足或希望獲取的數(shù)據(jù)中可能會(huì)存在不足，請(qǐng)?zhí)岢鰟e的設(shè)計(jì)保證、執(zhí)行或結(jié)構(gòu)策略來(lái)修改該策略以便彌補(bǔ)不足之處。當(dāng)設(shè)計(jì)保證策略可接受時(shí)，請(qǐng)為每個(gè)FFP的設(shè)計(jì)保證進(jìn)程提供文件證明。該策略還應(yīng)該用來(lái)處理認(rèn)證機(jī)構(gòu)參與的項(xiàng)目，如計(jì)劃中的重大事件、項(xiàng)目審核和監(jiān)督活動(dòng)。6 證明可應(yīng)用的故障安全情況。確定合適的故障安全設(shè)計(jì)

46、結(jié)構(gòu)和硬件項(xiàng)特征，然后進(jìn)行分析，以滿足系統(tǒng)的有效性和完整性。證明故障安全設(shè)計(jì)情況和相關(guān)的普通分析、可能性分析、結(jié)構(gòu)或其它特征。7 證明設(shè)計(jì)保證方法及策略。對(duì)于系統(tǒng)驗(yàn)證計(jì)劃或硬件驗(yàn)證方面的計(jì)劃（PHAC）中可應(yīng)用的設(shè)計(jì)保證方法和策略，應(yīng)進(jìn)行證明并獲取認(rèn)證機(jī)構(gòu)的審批。8 應(yīng)用此方法。根據(jù)已通過(guò)的計(jì)劃和文件（明顯遵從了已通過(guò)的計(jì)劃和策略）中確定的適當(dāng)設(shè)計(jì)保證方法進(jìn)行硬件設(shè)計(jì)。3 硬件設(shè)計(jì)生命周期本節(jié)列出了第4節(jié)至第9節(jié)中討論的硬件設(shè)計(jì)生命周期。本文件既未規(guī)定首選的生命周期模型，也未為執(zhí)行組織暗示一種結(jié)構(gòu)。硬件設(shè)計(jì)生命周期同樣適用于新系統(tǒng)或設(shè)備以及現(xiàn)有系統(tǒng)或設(shè)備的改進(jìn)型的開(kāi)發(fā)。每項(xiàng)工程的生命周期都應(yīng)基

47、于進(jìn)程和活動(dòng)的選擇和安排，并且這些進(jìn)程和活動(dòng)應(yīng)由工程特性決定，如：要求穩(wěn)定性、已開(kāi)發(fā)硬件的使用以及硬件設(shè)計(jì)保證等級(jí)。硬件設(shè)計(jì)生命周期可以是反復(fù)的，也就是說(shuō)，根據(jù)逐漸的發(fā)展和進(jìn)程間的反饋，可以進(jìn)入、重新進(jìn)入以及修改生命周期。3.1 硬件設(shè)計(jì)生命周期進(jìn)程硬件設(shè)計(jì)生命周期進(jìn)程是：1 如第4節(jié)所述，硬件計(jì)劃進(jìn)程可以對(duì)一項(xiàng)工程的硬件設(shè)計(jì)和支持進(jìn)程進(jìn)行確定和調(diào)整；2 如第5節(jié)所述，硬件設(shè)計(jì)進(jìn)程可產(chǎn)生設(shè)計(jì)數(shù)據(jù)和最終的硬件項(xiàng)。這些進(jìn)程是要求捕獲、概念設(shè)計(jì)、詳細(xì)設(shè)計(jì)、執(zhí)行以及產(chǎn)品過(guò)渡；3 如第6節(jié)至第9節(jié)所述，支持進(jìn)程產(chǎn)生的硬件設(shè)計(jì)生命周期數(shù)據(jù)可以保證硬件設(shè)計(jì)生命周期及其輸出的正確性以及對(duì)其的控制，這包括：計(jì)劃

48、、設(shè)計(jì)、硬件安全評(píng)估和支持進(jìn)程。這些進(jìn)程特別與計(jì)劃和設(shè)計(jì)進(jìn)程同時(shí)執(zhí)行。這些進(jìn)程是：鑒定、驗(yàn)證、配置管理、進(jìn)程保證以及認(rèn)證聯(lián)絡(luò)。3.2 過(guò)渡標(biāo)準(zhǔn)在不同開(kāi)發(fā)平臺(tái)上用不同的子項(xiàng)來(lái)開(kāi)發(fā)硬件項(xiàng)是一個(gè)挑戰(zhàn)，因而需要一種方法來(lái)適度地控制設(shè)計(jì)進(jìn)程，以便在先前進(jìn)程所有的項(xiàng)目都完成前不會(huì)啟動(dòng)下一個(gè)進(jìn)程。過(guò)渡標(biāo)準(zhǔn)，即用來(lái)評(píng)估從一個(gè)進(jìn)程到另一個(gè)進(jìn)程的運(yùn)動(dòng)進(jìn)程的最小數(shù)據(jù)，可以用在關(guān)鍵的進(jìn)程點(diǎn)上。在計(jì)劃進(jìn)程中進(jìn)行的分析應(yīng)該確定了過(guò)渡標(biāo)準(zhǔn)的使用。沒(méi)有必要在計(jì)劃中確定的每對(duì)進(jìn)程步驟間建立過(guò)渡標(biāo)準(zhǔn)。過(guò)渡標(biāo)準(zhǔn)的選擇應(yīng)該可以處理對(duì)安全的影響。例如，在為獲得某項(xiàng)功能的認(rèn)證證書(shū)而進(jìn)行的驗(yàn)證前，該功能的要求需要用文件證明，并且應(yīng)在配置管

49、理下執(zhí)行該功能。應(yīng)在硬件計(jì)劃中對(duì)過(guò)渡標(biāo)準(zhǔn)進(jìn)行證明。使用過(guò)渡標(biāo)準(zhǔn)并不暗指任何特殊的生命周期模型，也不會(huì)阻止像快速原型設(shè)計(jì)和并行工程這樣的開(kāi)發(fā)策略的實(shí)施。4 計(jì)劃進(jìn)程本節(jié)講述的是用來(lái)控制硬件項(xiàng)開(kāi)發(fā)的硬件計(jì)劃進(jìn)程。本進(jìn)程提出了可能包含于一個(gè)或多個(gè)文件中的硬件計(jì)劃。若使用了多個(gè)文件，主計(jì)劃應(yīng)該包含有關(guān)于支持文件的適當(dāng)參考書(shū)目。對(duì)于涵蓋特定的設(shè)計(jì)生命周期進(jìn)程（如：配置管理或進(jìn)程保證）的標(biāo)準(zhǔn)文件，若其滿足可應(yīng)用的計(jì)劃目標(biāo)，就是可接受的。4.1 計(jì)劃進(jìn)程目標(biāo)硬件計(jì)劃進(jìn)程的目的是確定功能和適航性要求轉(zhuǎn)換成硬件項(xiàng)的方式，并且硬件項(xiàng)還要有適度的保證使其可以安全地執(zhí)行預(yù)定功能。硬件計(jì)劃進(jìn)程的目標(biāo)是：1 硬件設(shè)計(jì)生命

50、周期已確定；注：活動(dòng)、重大事件、輸入、輸出和組織職責(zé)都可能包含于計(jì)劃之中。2 標(biāo)準(zhǔn)已選擇和確定；3 硬件開(kāi)發(fā)及驗(yàn)證環(huán)境已選擇或確定；4 遵從硬件設(shè)計(jì)保證目標(biāo)的方式（包括用2.3.4中的方法確定的策略）已上報(bào)認(rèn)證機(jī)構(gòu)。5注：新的和正在開(kāi)發(fā)的技術(shù)、工具和進(jìn)程可能需要改變計(jì)劃進(jìn)程的細(xì)節(jié)。因此，靈活性是本計(jì)劃進(jìn)程的一個(gè)關(guān)鍵因素。4.2 計(jì)劃進(jìn)程活動(dòng)計(jì)劃進(jìn)程指南包括：1 應(yīng)該確定硬件設(shè)計(jì)生命周期進(jìn)程（如果可以應(yīng)用，還包括過(guò)渡標(biāo)準(zhǔn)）和單個(gè)進(jìn)程間的相互關(guān)系，比如其時(shí)序和反饋機(jī)制；2 應(yīng)確定并說(shuō)明推薦的設(shè)計(jì)方法。這包括對(duì)預(yù)計(jì)硬件設(shè)計(jì)的考慮和推薦的驗(yàn)證方法的合理性；3 硬件設(shè)計(jì)標(biāo)準(zhǔn)（包括標(biāo)準(zhǔn)的衍生標(biāo)準(zhǔn)）若要用于

51、工程中，應(yīng)對(duì)其進(jìn)行定義。這包括從通用標(biāo)準(zhǔn)到公司或項(xiàng)目的具體標(biāo)準(zhǔn)；注：通過(guò)提供從以前開(kāi)發(fā)中得到且已證明的工程慣例，標(biāo)準(zhǔn)就有助于減小不可測(cè)設(shè)計(jì)失誤出現(xiàn)的可能性。當(dāng)把標(biāo)準(zhǔn)應(yīng)用到新設(shè)計(jì)和新技術(shù)上時(shí)，申請(qǐng)人和開(kāi)發(fā)者應(yīng)注意：可適用性可能已經(jīng)失效。由于設(shè)計(jì)限制、與系統(tǒng)要求的矛盾或與新技術(shù)的不兼容性，這些標(biāo)準(zhǔn)的衍生標(biāo)準(zhǔn)可能也是必需的。若使用了標(biāo)準(zhǔn)，計(jì)劃進(jìn)程就是審核合適的衍生標(biāo)準(zhǔn)的機(jī)會(huì)。4 應(yīng)該確定協(xié)調(diào)硬件設(shè)計(jì)進(jìn)程和支持進(jìn)程所用的方法；對(duì)于上述進(jìn)程，特別要注意與系統(tǒng)、軟件和飛行認(rèn)證相關(guān)的活動(dòng)。注：協(xié)調(diào)可能是以表明事件（用于達(dá)成本文件所述的進(jìn)程目標(biāo)）轉(zhuǎn)折點(diǎn)的進(jìn)度表的形式出現(xiàn)。5 應(yīng)定義各個(gè)硬件設(shè)計(jì)進(jìn)程和相關(guān)支持進(jìn)

52、程的活動(dòng)。此定義應(yīng)處于一個(gè)可使硬件設(shè)計(jì)進(jìn)程和相關(guān)支持進(jìn)程受到控制的等級(jí)上。6 應(yīng)選擇設(shè)計(jì)環(huán)境，包括用來(lái)開(kāi)發(fā)、驗(yàn)證和控制硬件項(xiàng)和生命周期數(shù)據(jù)的工具、程序、軟件和硬件。a. 若認(rèn)證證書(shū)要求聯(lián)合使用工具，就應(yīng)在相應(yīng)的計(jì)劃中詳細(xì)說(shuō)明工具使用順序；b. 設(shè)計(jì)環(huán)境會(huì)影響產(chǎn)品的設(shè)計(jì)。第11.4節(jié)所提供的建議可用于工具評(píng)估并確定何時(shí)工具規(guī)格是必需的。7 若衍生物是必需的并且還會(huì)影響驗(yàn)證，就應(yīng)確定從已定計(jì)劃進(jìn)行衍生所需的進(jìn)程。8 應(yīng)該描述用來(lái)確定、管理和控制硬件、相關(guān)原始資料和硬件設(shè)計(jì)生命周期數(shù)據(jù)的方針、進(jìn)程、標(biāo)準(zhǔn)和方法。9 當(dāng)申請(qǐng)人希望讓轉(zhuǎn)包商來(lái)負(fù)責(zé)整個(gè)或部分硬件設(shè)計(jì)生命周期時(shí)，硬件計(jì)劃應(yīng)能確定方法來(lái)保證滿足

53、設(shè)計(jì)保證目標(biāo)。10 應(yīng)該描述用于執(zhí)行硬件設(shè)計(jì)進(jìn)程的進(jìn)程保證方針和進(jìn)程。11 應(yīng)在PHAC中描述驗(yàn)證進(jìn)程獨(dú)立性、進(jìn)程保證獨(dú)立性和相關(guān)的組織職責(zé)。12 應(yīng)在進(jìn)程早期記錄滿足此建議的目標(biāo)所用的方法，并把其通報(bào)給認(rèn)證機(jī)構(gòu)。這些方法應(yīng)記錄在PHAC中。注：應(yīng)鼓勵(lì)針對(duì)這些方法的任何變化所作的及時(shí)調(diào)整，以便盡可能地接受最終驗(yàn)證結(jié)果，并把其作為滿足設(shè)計(jì)保證要求的適當(dāng)證據(jù)。5 硬件設(shè)計(jì)進(jìn)程硬件設(shè)計(jì)進(jìn)程產(chǎn)生的硬件項(xiàng)可以滿足從系統(tǒng)要求分配到硬件的要求。如圖5-1所述，本節(jié)描述了五個(gè)主要的進(jìn)程。它們是：要求捕獲、概念設(shè)計(jì)、詳細(xì)設(shè)計(jì)、執(zhí)行及產(chǎn)品過(guò)渡。這些設(shè)計(jì)進(jìn)程可應(yīng)用于任何等級(jí)的硬件項(xiàng)上，比如：LRU、電路板組以及AS

54、IC/PLD。以下介紹的是每個(gè)進(jìn)程、其目標(biāo)以及應(yīng)該用來(lái)減少可影響安全的設(shè)計(jì)和執(zhí)行失誤可能性的相關(guān)活動(dòng)。重要的是，所有的進(jìn)程都做了計(jì)劃，并且細(xì)節(jié)都記錄在硬件設(shè)計(jì)計(jì)劃中。每個(gè)進(jìn)程以及進(jìn)程之間的相互作用都可以是反復(fù)的。對(duì)于每個(gè)反復(fù)操作，應(yīng)處理所發(fā)生的變化對(duì)每個(gè)進(jìn)程產(chǎn)生的影響，還應(yīng)評(píng)估對(duì)先前的反復(fù)操作的結(jié)果產(chǎn)生的影響。注1：在設(shè)計(jì)進(jìn)程中，證明像設(shè)計(jì)記錄、設(shè)計(jì)審核記錄和問(wèn)題報(bào)告這樣的進(jìn)程產(chǎn)物是一個(gè)好的工程慣例?，F(xiàn)有慣例提供了許多不同的方法（圖表式的、數(shù)學(xué)的、基于數(shù)據(jù)庫(kù)或文本的）來(lái)表示要求和設(shè)計(jì)執(zhí)行進(jìn)程，例如，示意圖、硬件描述語(yǔ)言（HDL）、狀態(tài)圖、布爾表示法和圖表法。注2：有些表示法適用于特定的進(jìn)程或進(jìn)程組，如：要求捕獲、概