安全关键软件开发与审定——DO-178C标准实践指南

本书以民用航空机载软件适航标准制定者的视角，详细介绍了如何基于目前近期新版的DO-178C标准进行安全关键软件的开发与管理，给出了如何获得成功审定的实用指南。主要内容包括：在系统与安全大视野中的软件，DO-178C标准的深入解读和推荐实践，4个标准技术补充（软件工具鉴定、基于模型的开发、面向对象技术和形式化方法）的讲解说明，以及10个相关特别专题（未覆盖代码、外场可加载软件、用户可修改软件和实时操作系统等）的指导建议。

第一部分引言
第1章引言和概览2
1.1安全关键软件的定义2
1.2安全性问题的重要性2
1.3本书目的和重要提示4
1.4本书概览6
第二部分安全关键软件开发的语境
第2章系统语境中的软件8
2.1系统开发概览8
2.2系统需求10
2.2.1系统需求的重要性10
2.2.2系统需求的类型10
2.2.3良好的需求的特性10
2.2.4系统需求考虑11
2.2.5需求假设14
2.2.6分配到软/硬件项14
2.3系统需求确认与验证15
2.3.1需求确认15
2.3.2实现验证15
2.3.3确认与验证建议15
2.4系统工程师很好实践17
2.5软件与系统的关系19
第3章系统安全性评估语境中的软件20
3.1航空器与系统安全性评估过程概览20
3.1.1安全性工作计划21
3.1.2功能危险评估21
3.1.3系统功能危险评估22
3.1.4初步航空器安全性评估22
3.1.5初步系统安全性评估22
3.1.6共因分析23
3.1.7航空器安全性评估和系统安全性评估24
3.2开发保证24
3.2.1开发保证等级25
3.3软件如何置于安全性过程26
3.3.1软件的独特性26
3.3.2软件开发保证26
3.3.3其他观点28
3.3.4在系统安全性过程关注软件的建议28
第三部分使用DO-178C开发安全关键软件
第4章DO-178C及支持文件概览32
4.1DO-178历史32
4.2DO-178C和DO-278A核心文件34
4.2.1DO-278A与DO-178C的不同39
4.2.2DO-178C附件A的目标表概览39
4.3DO-330：软件工具鉴定考虑43
4.4DO-178C技术补充43
4.4.1DO-331：基于模型的开发补充43
4.4.2DO-332：面向对象技术补充44
4.4.3DO-333：形式化方法补充44
4.5DO-248C：支持材料44
第5章软件策划46
5.1引言46
5.2一般策划建议46
5.35个软件计划49
5.3.1软件合格审定计划49
5.3.2软件开发计划50
5.3.3软件验证计划52
5.3.4软件配置管理计划54
5.3.5软件质量保证计划56
5.43个开发标准57
5.4.1软件需求标准58
5.4.2软件设计标准58
5.4.3软件编码标准59
5.5工具鉴定计划60
5.6其他计划60
5.6.1项目管理计划60
5.6.2需求管理计划60
5.6.3测试计划60
第6章软件需求61
6.1引言61
6.2定义需求61
6.3良好的需求的重要性62
6.3.1原因1：需求是软件开发的基础62
6.3.2原因2：好的需求节省时间和金钱63
6.3.3原因3：好的需求对安全性至关重要64
6.3.4原因4：好的需求对满足客户需要是必需的64
6.3.5原因5：好的需求对测试很重要64
6.4软件需求工程师65
6.5软件需求开发概览66
6.6收集和分析软件需求的输入67
6.6.1需求收集活动67
6.6.2需求分析活动68
6.7编写软件需求69
6.7.1任务1：确定方法69
6.7.2任务2：确定软件需求文档格式70
6.7.3任务3：将软件功能划分为子系统和/或特征70
6.7.4任务4：确定需求优先级71
6.7.5避免滑下的斜坡71
6.7.6任务5：编档需求72
6.7.7任务6：提供系统需求的反馈77
6.8验证（评审）需求77
6.8.1同行评审推荐实践78
6.9管理需求81
6.9.1需求管理基础81
6.9.2需求管理工具81
6.10需求原型83
6.11可追踪性83
6.11.1可追踪性的重要性和好处84
6.11.2双向可追踪性84
6.11.3DO-178C和可追踪性85
6.11.4可追踪性挑战86
第7章软件设计88
7.1软件设计概览88
7.1.1软件体系结构88
7.1.2软件低层需求89
7.1.3设计打包90
7.2设计方法90
7.2.1基于结构的设计（传统）90
7.2.2面向对象的设计91
7.3良好设计的特性92
7.4设计验证95
第8章软件实现：编码与集成97
8.1引言97
8.2编码97
8.2.1DO-178C编码指南概览97
8.2.2安全关键软件中使用的语言98
8.2.3选择一种语言和编译器100
8.2.4编程的一般建议102
8.2.5代码相关的特别话题109
8.3验证源代码110
8.4开发集成111
8.4.1构建过程111
8.4.2加载过程112
8.5验证开发集成112
第9章软件验证113
9.1引言113
9.2验证的重要性113
9.3独立性与验证114
9.4评审115
9.4.1软件计划评审115
9.4.2软件需求、设计和代码评审115
9.4.3测试资料评审115
9.4.4其他资料项评审116
9.5分析116
9.5.1最坏情况执行时间分析117
9.5.2内存余量分析117
9.5.3链接和内存映像分析118
9.5.4加载分析118
9.5.5中断分析118
9.5.6数学分析119
9.5.7错误和警告分析119
9.5.8分区分析119
9.6软件测试119
9.6.1软件测试的目的120
9.6.2DO-178C软件测试指南概览121
9.6.3测试策略综述123
9.6.4测试策划126
9.6.5测试开发128
9.6.6测试执行130
9.6.7测试报告132
9.6.8测试可追踪性132
9.6.9回归测试132
9.6.10易测试性133
9.6.11验证过程中的自动化133
9.7验证的验证134
9.7.1测试规程评审135
9.7.2测试结果的评审135
9.7.3需求覆盖分析136
9.7.4结构覆盖分析136
9.8问题报告142
9.9验证过程建议145
第10章软件配置管理148
10.1引言148
10.1.1什么是软件配置管理148
10.1.2为什么需要软件配置管理148
10.1.3谁负责实现软件配置管理149
10.1.4软件配置管理涉及什么150
10.2软件配置管理活动150
10.2.1配置标识150
10.2.2基线151
10.2.3可追踪性151
10.2.4问题报告151
10.2.5变更控制和评审154
10.2.6配置状态记录155
10.2.7发布156
10.2.8归档和提取156
10.2.9资料控制类别157
10.2.10加载控制158
10.2.11软件生命周期环境控制159
10.3特别的软件配置管理技能159
10.4软件配置管理资料160
10.4.1软件配置管理计划160
10.4.2问题报告160
10.4.3软件生命周期环境配置索引160
10.4.4软件配置索引160
10.4.5软件配置管理记录161
10.5软件配置管理陷阱161
10.6变更影响分析163
第11章软件质量保证166
11.1引言：软件质量和软件质量保证166
11.1.1定义软件质量166
11.1.2高质量软件的特性166
11.1.3软件质量保证167
11.1.4常见质量过程和产品问题的例子168
11.2有效和无效的软件质量保证的特征169
11.2.1有效的软件质量保证169
11.2.2无效的软件质量保证170
11.3软件质量保证活动170
第12章合格审定联络174
12.1什么是合格审定联络174
12.2与合格审定机构的沟通174
12.2.1与合格审定机构协调的很好实践175
12.3软件完成总结177
12.4介入阶段审核178
12.4.1介入阶段审核概览178
12.4.2软件作业辅助概览179
12.4.3使用软件作业辅助181
12.4.4对审核者的一般建议181
12.4.5对被审核者的一般建议186
12.4.6介入阶段审核细节188
12.5合格审定飞行试验之前的软件成熟度195
第四部分工具鉴定和DO-178C补充
第13章DO-330和软件工具鉴定198
13.1引言198
13.2确定工具鉴定需要和等级（DO-178C的12.2节）199
13.3鉴定一个工具（DO-330概览）202
13.3.1DO-330的需要202
13.3.2DO-330工具鉴定过程203
13.4工具鉴定特别话题210
13.4.1FAA规定8110.49210
13.4.2工具确定性211
13.4.3额外的工具鉴定考虑211
13.4.4工具鉴定陷阱212
13.4.5DO-330和DO-178C补充214
13.4.6DO-330用于其他领域214
第14章DO-331和基于模型的开发与验证215
14.1引言215
14.2基于模型开发的潜在好处216
14.3基于模型开发的潜在风险218
14.4DO-331概览221
14.5合格审定机构对DO-331的认识225
第15章DO-332和面向对象技术及相关技术226
15.1面向对象技术介绍226
15.2OOT在航空中的使用226
15.3航空手册中的OOT227
15.4FAA资助的OOT和结构覆盖研究227
15.5DO-332概览228
15.5.1策划228
15.5.2开发228
15.5.3验证228
15.5.4脆弱性229
15.5.5类型安全229
15.5.6相关技术230
15.5.7常见问题230
15.6OOT建议230
15.7结论230
第16章DO-333和形式化方法231
16.1形式化方法介绍231
16.2什么是形式化方法232
16.3形式化方法的潜在好处233
16.4形式化方法的挑战234
16.5DO-333概览235
16.5.1DO-333的目的235
16.5.2DO-333与DO-178C的比较236
16.6其他资源238
第五部分特别专题
第17章未覆盖代码（无关代码、死代码和非激活代码）240
17.1引言240
17.2无关代码和死代码240
17.2.1避免无关代码和死代码的晚发现241
17.2.2评价无关代码或死代码242
17.3非激活代码243
17.3.1策划245
17.3.2开发245
17.3.3验证246
第18章外场可加载软件247
18.1引言247
18.2什么是外场可加载软件247
18.3外场可加载软件的好处247
18.4外场可加载软件的挑战248
18.5开发和加载外场可加载软件248
18.5.1开发支持外场加载的系统248
18.5.2开发外场可加载软件249
18.5.3加载外场可加载软件249
18.5.4修改外场可加载软件250
18.6总结250
第19章用户可修改软件251
19.1引言251
19.2什么是用户可修改软件251
19.3UMS例子252
19.4为UMS设计系统252
19.5修改和维护UMS254
第20章实时操作系统256
20.1引言256
20.2什么是RTOS256
20.3为什么使用RTOS257
20.4RTOS内核及其支持软件258
20.4.1RTOS内核258
20.4.2应用编程接口258
20.4.3主板支持包259
20.4.4设备驱动260
20.4.5支持库260
20.5安全关键系统中使用的RTOS的特性260
20.5.1确定性260
20.5.2可靠的性能260
20.5.3硬件兼容261
20.5.4环境兼容261
20.5.5容错261
20.5.6健康监控261
20.5.7可审定262
20.5.8可维护262
20.5.9可复用262
20.6安全关键系统中使用的RTOS的功能262
20.6.1多任务262
20.6.2有保证和确定性的可调度性263
20.6.3确定性的任务间通信264
20.6.4可靠的内存管理265
20.6.5中断处理265
20.6.6钩子函数265
20.6.7健壮性检查266
20.6.8文件系统266
20.6.9健壮分区266
20.7需考虑的RTOS问题266
20.7.1要考虑的技术问题267
20.7.2要考虑的合格审定问题269
20.8RTOS相关的其他话题271
20.8.1ARINC653概览271
20.8.2工具支持273
20.8.3开源RTOS274
20.8.4多核处理器、虚拟化和虚拟机管理器274
20.8.5保密性275
20.8.6RTOS选择问题275
第21章软件分区276
21.1引言276
21.1.1分区：保护的一个子集276
21.1.2DO-178C和分区277
21.1.3健壮分区277
21.2共享内存（空间分区）279
21.3共享中央处理器（时间分区）279
21.4共享输入/输出280
21.5一些与分区相关的挑战281
21.5.1直接内存访问281
21.5.2高速缓存281
21.5.3中断282
21.5.4分区间通信282
21.6分区的建议282
第22章配置数据287
22.1引言287
22.2术语和例子287
22.3DO-178C关于参数数据项的指南总结289
22.4建议289
第23章航空数据293
23.1引言293
23.2DO-200A：航空数据处理标准293
23.3FAA咨询通告AC20-153A296
23.4用于处理航空数据的工具297
23.5与航空数据相关的其他工业文件298
23.5.1DO-201A：航空信息标准298
23.5.2DO-236B：航空系统性能大力度优惠标准：区域导航要求的导航性能298
23.5.3DO-272C：机场地图信息的用户需求298
23.5.4DO-276A：地形和障碍数据的用户需求298
23.5.5DO-291B：地形、障碍和机场地图数据互换标准298
23.5.6ARINC424：导航系统数据库标准299
23.5.7ARINC816-1：机场地图数据库的嵌入式互换格式299
第24章软件复用300
24.1引言300
24.2设计可复用构件301
24.3复用先前开发的软件304
24.3.1为在民用航空产品中使用而评价PDS305
24.3.2复用未使用DO-178［］开发的PDS308
24.3.3COTS软件的额外考虑310
24.4产品服役历史311
24.4.1产品服役历史的定义311
24.4.2使用产品服役历史寻求置信度的困难311
24.4.3使用产品服役历史声明置信度时考虑的因素312
第25章逆向工程313
25.1引言313
25.2什么是逆向工程313
25.3逆向工程的例子314
25.4逆向工程要考虑的问题314
25.5逆向工程的建议315
第26章外包和离岸外包软件生命周期活动321
26.1引言321
26.2外包的原因322
26.3外包的挑战和风险322
26.4克服挑战和风险的建议325
26.5总结331
附录A活动转换准则举例332
附录B实时操作系统关注点338
附录C为安全关键系统选择实时操作系统时考虑的问题341
附录D软件服役历史问题344
缩略语348
参考文献353
推荐读物365