在民用航空领域,简单电子硬件是一类特殊的重要机载电子硬件。如何对其进行符合性验证,从而满足合格审定的要求,当前仍存在着一定困惑和分歧。本文结合某型号飞机的研制经验,提出了一种可行的简单电子硬件符合性验证策略。
0 引言
在民用飞机领域,广泛应用的机载应用电子硬件是指客户化编码器件,如ASIC、PLD或FPGA等。RTCA/DO-254中将其具体分为简单电子硬件(Simple Electronic Hardware,以下简称SEH)和复杂电子硬件。对于复杂电子硬件的开发已有具体的标准和指南;而对于SEH的符合性验证要求,FAA仅仅在其Order 8110.105 CHG1中提出了概要性的要求,并未给出具体的验证策略和指南,从而给实际工程应用带来了一定的困惑。针对该问题,本文提出一种具体的SEH符合性验证策略,以满足SEH(特别是A、B级别SEH)的合格审定要求。
1 SEH的定义和合格审定要求
1.1 SEH的定义
RTCA/DO-254在第1.6章节给出了SEH的定义:对于一个硬件项目,如果用适合于该硬件对应的设计保证等级的确定性测试和分析的完整组合,即可确保其在所有可预见的运行条件下执行正确功能且无异常行为,则其可被定义为SEH。
1.2 SEH的合格审定要求
虽然RTCA/DO-254给出了SEH的定义,但是并未对什么是“适合于硬件对应设计保证的确定性测试和分析”给出进一步说明,因此FAA 在其Order 8110.105 CHG1中对该问题进行了明确,提出了如下SEH合格审定要求。
a)对于A、B级别SEH,其验证需要进行确定性测试和分析的全面结合,要验证该SEH的所有输入、内部元素、节点、寄存器、锁存器、逻辑单元和逻辑门在所有可能的排列组合下都能够正确运行,没有异常行为。即要在门电路层级要进行完整的验证和分析。
b)对于C级别SEH,其验证需要进行确定性测试和分析的全面结合,验证该SEH在其管脚输入条件的所有可能的排列组合下都能够正确运行。即要在管脚层级要进行完整的验证和分析。
c)对于D级别SEH,不需要器件层级的测试,只需要在板卡、设备、或单元级证明其满足器件级需求即可。即完整的功能验证和分析。
2 SEH的符合性验证策略
虽然FAA针对SEH提出了合格审定要求,但是并未对如何满足该要求,给出建议的解决方法或策略。基于先前项目上的经验及相关研究,提出了如下针对不同设计保证等级SEH的符合性验证策略,并给出具体的实例进行说明。
2.1 不同级别SEH的符合性验证策略
2.1.1 A/B级别SEH的符合性验证策略
FAA对于A/B级别的SEH的要求,包含了以下两个方面的要求。
a)全面的确定性测试和分析;
b)门电路层级的元素的全覆盖。
对于a)要求,可以通过对SEH的外部接口进行穷尽测试来满足。对如何完成穷尽测试,本文提出以下公式来计算当前SEH需要的测试案例的数量。
测试案例数=2输入接口数×2状态配置数=2(输入接口数+状态配置数)(1)
对于b)要求,其本质是要求在验证过程中,测试到门电路层级每个元素的所有状态。由于外部接口的穷尽测试不保证能满足该要求,因此需要使用附加的测试和分析方法,具体步骤如下。
首先需要分析在管脚级(即外部接口)的穷尽测试中,每个内部逻辑元素的所有状态是否都已经得到覆盖。若能够得到全覆盖,则b)要求可直接满足;若不能够得到全覆盖,则需增加额外的测试,以保证每个内部逻辑元素的所有状态都能够得到覆盖。由于对外部输入已经进行了完整的验证,在进行额外测试的过程中,仅需要考虑增加额外的测试激励和设备等,从而保证内部逻辑元素的所有状态都能被激活且被观测。
2.1.2 C级别SEH的符合性验证策略
对于C级别SEH,FAA在本质上要求管脚层级的完整验证。因此,仅需验证其在各输入引脚的所有排列组合下能否正常工作即可。
2.1.3 D级别SEH的符合性验证策略
对于D级别的SEH,FAA要求在本质上是一种功能性的验证,因此要保证验证活动对该SEH需求的全覆盖。
2.2 实例说明
如图1所示的逻辑电路,该逻辑电路中包含3个逻辑输入,1个输出,4个逻辑门。由于本电路中不存在触发器(Flip-Flop),所以公式(1)中的状态配置数目为0。
图1 逻辑电路
若该电路设计被定义为A或B级别SEH,依据2.1.1节中提出的验证策略,应进行的计算和分析步骤如下:
a)对本电路外部接口进行全面的确定性测试,根据公式(1),需要的测试案例个数为2(3+0)=8个;
b)分析得出,图中X节点在外部接口穷尽测试的基础上,其值恒定为1,门电路层级的元素未能全覆盖,不满足2.1.1节对A、B级别的要求b);
c)需要通过外部设备对该节点进行专门的测试,验证该节点值为0时其后面“与”门是否能执行正确的功能,因此需要再增加2个测试案例。
d)因此,若该电路设计被定义为A或B级别的SEH,则至少需要2(3+0)+2=10个案例。
若该电路为被定义为C级别SEH,不用考虑是否全面覆盖其内部所有逻辑门。因此只需考虑其A、B、C三个输入的所有组合情况,即需要23=8个案例。
若该电路为被定义为D级别SEH,只需要依据该SEH需求编制测试用例,并最终满足对其需求的全覆盖即可。
3 SEH符合性验证的附加考虑
针对提出的上述符合性验证策略,在实际的工程实践中,还需要另外考虑以下两方面问题。
3.1 SEH的符合性数据编制问题
RTCA/DO-254针对复杂电子硬件,定义了一系列的生命周期过程和符合性数据,但是对于SEH,并未给出明确的要求。在SEH的符合性验证过程中,一定的符合性数据是必须的。参考RTCA/DO-254第十章,建议的要求如下:硬件合格审定计划、硬件验证计划、硬件构型管理计划、硬件需求、硬件构型索引、硬件软件接口数据、硬件可追溯性数据、硬件评审和分析结果、硬件测试程序、硬件测试结果、问题报告、硬件构型管理记录、硬件完成综述。
3.2 SEH完整性测试的可行性问题
理论上,所有的机载电子硬件都可以按照SEH的合格审定要求,进行完整的验证和分析,但是在实际的工程实践中,由于受到测试设备、测试技术以及硬件设计的复杂度等各方面的影响,大部分的机载电子硬件很难满足该要求。因此,在明确为简单还是复杂电子硬件之前,必须要进行充分的可行性研究和判定。
4 小结
SEH(特别是A、B级别)的符合性验证问题是民用飞机机载电子硬件符合性验证工作的一个难点问题。本文在深入理解SEH的合格审定要求的基础上,依据要求制定了一套适用的符合性验证策略,对指导具体的工程实践,具有非常重要的意义。
作者:胡晓莉 邵伟 来源:科技视界 2016年11期