引言：在2024年7月2日“eVTOL博士之杂坛07"中介绍什么是机载软件？为何要适航审查？有几个朋友私信我: 低空飞行器机载软件适航符合性是如何保证的？有没有相关的标准？鉴于此，本文针对机载软件适航审定做进一步分析，以及对DO-178做些简单介绍。

01 机载软件的适航审定

机载软件的适航合格审定分为现场审查和文档审查！

在过去数十年里，随着计算机技术的快速发展和其在航空领域的广泛应用，航空机载电子设备得到了飞速的发展，机载软件在整个电子设备中占的比重越来越大，且发挥了不可替代的作用。机载软件给整个飞行器带来巨大积极作用的同时，也带来了潜在软件风险和漏洞。小小的软件bug，都可能导致整个机毁人亡的灾难性后果（见“eVTOL博士之杂坛07”详细介绍）。机载软件的适航性对于飞行器的飞行安全是至关重要的，也是适航审查的重要部分之一。

机载软件的适航合格审定，是申请人和民航局（以下简称局方）之间进行深入沟通和了解的过程。局方对软件生命周期过程和资料进行抽查性审查，以评估该型号飞行器机载软件产品与DO-178C的符合性，从而获取对软件产品安全性的置信度。
      

飞行器机载软件适航审定的审查形式分为两类: 现场审查及文档审查。

现场审查是在申请人或软件研制单位现场，对软件开发过程的相关阶段进行的详细评审。根据局方的要求，申请人和研制单位的相关人员需参加评审并进行说明。现场审查的优点在于局方审查员可以近距离地接近软件开发人员、开发环境和测试环境，以及相关详细数据、资料，是一种较为深入的审查方式。现场审查会在软件安全性方面更容易获得准确的置信度。现场审查需要审查人员和申请人技术人员投入较多时间，并且由于需要研制单位的资源配合，研制单位需提前规划现场审查时间和周期。

不是所有机载软件产品项目都需要进行现场审查。需要现场审查的机载软件及情况，主要包括以下：

1）安全可靠性、关键程度要求高的系统（如A级和B级系统）

对于eVTOL来说，主要是指飞控系统主要功能、单点失效等应急工况控制策略、飞行模式过渡控制策略等等。特别是针对低空环境气流状态复杂，低空障碍物众多等风险，需要对应的飞控系统功能强大，应急性和鲁棒性满足要求。

 2）新系统或新技术、新方法飞控系统

在低空飞行器中，新系统、新技术和新方法，往往意味着新风险，对应的技术成熟度相对较低，需要经过长期的、多轮迭代才能逐渐成熟。

3）具有多种功能的综合、复杂飞控系统

飞控系统通常包括自动飞行控制系统、导航系统、通信系统、传感器系统等。各系统的协同性、稳定性和可控性要求较高。

4）研制单位经验不足或有不良开发历史

随着低空经济火热和飞控研发需求增加，各背景或行业研发人员涌入，不可避免会出现理解不同、认识不深、开发经验不足等问题，甚至在对飞行器基本原理缺乏认识的情况下开发出的飞控系统，出现炸机或坠机事故就不足为奇了。

 5）试验中发现飞控系统有多种问题

eVTOL是新型低空飞行器，而且不同构型（多旋翼、复合旋翼、倾转旋翼和多涵道构型等）飞控系统千差万别。前期概念、原型机开发验证阶段如出现多种问题（如动力系统转速发散），就应该重点进行现场审核。

 6）所使用的技术或环境出现过重大更改的系统

 7）局方出于其他考虑要求进行现场审查的系统等

文档审查是民航局相关审查人员对申请人提交的相关机载软件，进行适航符合性文件（包括软件生命周期资料等）评审的过程。文档审查可以不在研制单位/申请人处进行。研制单位技术人员通常也很少参与评审过程，甚至不需要参与评审过程。文档审查的优点在于节省时间，且对申请人或研制单位提出很多配合需求。缺点在于，无法直接与记载软件开发人员交流，也无法直接目击开发过程，因此评审深度有限。同时出于知识产权保护需求，相关机载软件往往只有部分文档适用于文档审查，或者需要提供大量的纸质文件提交用于审查。

适用于文档审查的情况，主要包括：

1）对已经经过批准的软件进行的部分更改，而进行的必要审查；

2）安全性关键程度不高（如C级和D级系统），而进行的审查；

 3）研制单位经验丰富，在业内具有公认的技术水平和知名度，成功案例较多和经验丰富。

文档审查的内容包括：在型号研制过程中，系统/设备的适航验证工作所涉及的软件相关适航符合性文件的评审，以及在软件本身的开发过程中相应的适航符合性文档（主要是软件生命周期资料）的评审。

02  机载软件符合性审定文件要求和审查目标

机载软件的适航合格审定分为现场审查和文档审查！

不论现场审查或文档审查，均可以由局方或局方授权委任代表执行，或局方与委托代表共同执行。机载软件的适航符合性文件，具体包括以下内容：

1）软件合格审定计划；
     

2）软件构型索引；
      

3）软件完结综述；
       

4）软件构型评估报告；
       

5）软件阶段成熟度评估报告；
       

6）软件加载程序。
      

由于机载软件是机载系统的一部分。因此，在实际审定过程中，因型号不同，机载软件相关的构型评估和阶段成熟度评估，都有可能包含在系统级评估报告中，这点是需要注意的。      局方可以按照适航审定程序，及其工程经验，对机载软件生命周期过程或相关资料进行审查，以保证作为合格审定申请的一部分提交的软件产品符合相关审定基础，满足DO-178C的目标以及其他相关软件政策、指南、问题纪要等适航要求。

需要重点强调的是：机载软件审查方式，虽然是通过评判软件产品和软件开发过程是否满足审定基础和DO-178C目标来确定机载软件的最终符合性。但是，适航审查过程中重点关注的是对软件工程资料的技术评判，而并非仅仅在于确认软件开发过程对 DO-178C目标的符合性审查。
       

在软件审查过程中，以下几点是顺利开展机载软件审查的前提条件：
      

1）对适航审定基础、DO-178C目标、局方政策、问题纪要和其他适用的审定要求，需要有清楚而准确的理解和认识；
      

2）申请人/研制方必须能够保证机载软件适航符合性数据，对于局方或其委托人员的可见性，这也是适航审查的必要条件；
      

3）申请人能够提供表明软件项目遵循了经批准的软件计划和程序的客观证据，并能够证明按照该计划和程序进行了软件开发；      4）如果局方进行适航审定代表委任，局方对委任代表的活动要进行监督。

局方对机载软件项目的介入程度，应该在项目生命周期中尽早确定和记录。机载软件评审的类型、阶段和数量取决于项目的软件等级、授权委任代表支持的程度和质量、研制单位和／或软件开发商的经验和历史、使用困难历史和其他因素等。

03  eVTOL飞控系统

eVTOL飞控系统对于整机研制意义重大！

低空飞行器飞行控制系统（简称飞控系统）有高度集成、高度复杂的特点，其安全性、可靠性要求非常高，是机载软件系统的核心，其功能失效将产生灾难性影响。飞控系统包括飞行控制软件，主要完成低空飞行器电池-电机和-旋翼和高压配电等控制，飞行传感器数据处理，飞行姿态控制、导航精度的精确调控和余度管理等工作，以及实现低空飞行器不同飞行模态过渡和转换控制，保证飞行稳定性。

对于五座级别的eVTOL来说，飞控系统成本占整机总成本的约20%（例如某型机飞控系统报价约60万人民币）。中国民用航空市场对飞行控制系统的需求持续增长，预计到2030年市场规模将达1944亿元。全球低空飞行器飞控系统的市场规模则高达1000亿元。当然，受整机研制进度、政策支持、基础设施建设和补贴政策影响，可能会有所波动。传统民用飞行器飞控系统的技术壁垒主要体现在整套系统的软硬件生态、可靠性及完整性上。全球范围内，拥有成熟飞控技术的企业屈指可数，且大多集中在美国等西方国家，如霍尼韦尔等。面对技术封锁和eVTOL的兴起，中国企业在飞控系统的国产开发上采取了多元化路径，从无人机飞控迭代、汽车或互联网行业跨界，到航空专业背景的团队介入，为实现国产飞控系统验证提供了可能。涌现出了无人机领域如大疆创新等头部企业，期待未来eVTOL领域也能出现飞控领域的世界强者。

飞控系统对保证飞机安全性和可靠性起着关键作用。针对飞控系统的安全性需求，民用飞行器通常是基于标准ARP4754 和 ARP4761 ，进行飞控系统安全性需求的识别过程和确认流程。

飞控系统多采用冗余架构设计，即在单个或若干个设备发生故障时，飞控功能仍然可用，基本可保证飞机的可操纵性。但仍需考虑共模问题破坏冗余架构，并导致飞控功能丧失等问题。FAA、EASA发布的系统安全性条款25.1309系统、设备及安装的咨询通告/可接受的符合性方法“系统设计和分析”文件中，要求开展包括共模分析在内的共因分析，识别破坏独立性假设从而导致单点失效的问题，并采取相应安全保障措施。工业标准SAE ARP4761《民用飞机机载系统和设备进行安全评估过程的指南和方法》则进一步给出结构化共模分析方法。

飞控系统安全性需求作为飞控系统需求的一个组成部分，参考系统需求确认流程，飞控系统安全性需求的确认流程一般由以下5个步骤组成:

1）为安全性需求选择确认方法

进行系统安全性需求确认之前，确认人员对每条需求进行初步审阅，选择恰当的需求确认方法，并在需求矩阵中明确记录。确认方法包括分析、评审、试验等。

2）进行需求确认工作

安全性需求确认过程中，确认人员对每一条安全性需求按照需求矩阵中明确的确认方法，进行安全性需求的正确性和完整性检查。

3）得到确认的证据

安全性需求确认过程中，确认人员对结果(如评审结果、调查分析结论、会议记录)进行整理记录，形成安全性确认证据。

4）将确认结果纳入确认总结

安全性需求确认人员将确认活动的结果纳入确认工作总结，并进一步修订安全性需求确认矩阵。

5）将确认中发现的问题通告相关方

安全性需求确认人员将需求确认过程中发现的问题反馈给安全性需求编制人员，协助需求编制人员编制问题报告，并将问题反馈至问题相关方。

04  聊聊D0-178/A/B/C

机载软件的适航合格审定分为现场审查和文档审查！

自20世纪80年代开始，机载软件开始在飞行器和发动机等设备上大量使用，对于民用飞行器来说，航空业需要一套能够被国际普遍认可的标准和质量体系，来保证飞行器的安全，特别是来指导各国机载软件的适航审定要求。在这种背景和需求下，DO-178应运而生。

1）DO-178

1982年，RTCA、EUROCAE正式发布了DO-178（欧洲称为ED-12），被称为民用航空机载软件开发中安全保证的一个里程碑。各国依据DO-178进行了系列软件的开发和机载软件认证，经验表明：DO-178还需要修订，在很多方面都不太完善。

2）DO-178A

1985年，DO-178的更新版本-DO-178A问世（欧洲版本ED-12A）。DO-178A的一个很大的特点是：面向已有的软件开发技术和开发方法而做的标准。众所周知，计算机机软件开发技术日新月异，发展很快，特别是各种新技术、新方法层出不穷。导致没过几年，DO-178A就有些落伍，无法跟上时代的步伐。

3）DO-178B

1992年，为了解决DO-178A问题，RTCA决定再次修订标准。吸取已有教训，RTCA、EUROCAE专家们改变了制定标准的原则，从“面向开发技术和方法”→“面向目标”和“面向进程”，几乎重写了该标准。也就是一直沿用至今的版本DO-178B。DO-178B早已成了国际公认的民用航空机载软件的开发标准。DO-178B为制造机载系统和设备机载软件提供指导标准，使其能够提供在满足符合适航要求的安全性水平下完成预期的功能的信心。为了满足该目标，DO-178B给予了以下三方面的指导：

a）软件生命周期过程的目标；

b）为满足上述目标要进行的活动；

c）证明上述目标已经达到的证据，也即软件生命周期数据。

在DO-178B中，目标、过程、数据是软件适航的基本要求。这三方面适航要求是辩证统一的关系，即一旦选择了DO-178B标准作为符合性方法，就必须满足该标准所定义的所有适航目标，而满足这些适航目标的途径则是执行该标准所建议的过程和活动，为证明这些适航目标被满足，应按照该标准所定义的软件生命周期数据来组织相关证据。DO-178B的主要内容也就是介绍过程、数据、目标这三个方面的适航要求。

4）HB 295-96

早在1996年，DO-178B已被“国产化”，即等同转化为我国航空行业标准HB 295-96《机载系统和设备合格审定中的软件考虑》。很多航空研制单位的机载设备均通过了DO-178B认证，ARJ21-700，C919大型飞机等民机型号的研制，更是极大的推动了DO-178B在中国的普及和应用。

5）DO-178C

为了适应技术的发展，特别是满足软件工具验证、基于模型的开发和验证、面向对象编程、形式化方法等方面的新要求。2012年，DO-178B升级为DO-178C。与此同时，还颁布了DO-330，DO-331，DO-332，DO-333等。2013年07月19日，FAA进一步正式颁布了AC-20-115C，把DO-178C等一系列文档确认为“可接受的符合性方法”。目前及未来很长一段时间，DO-178C将会与DO-178B并存，并逐渐由DO-178C取代DO-178B。