文章来源:FPGA技术联盟
——DO‑254 物理测试系列(七):审查员到底想看到什么?
很多团队以为: 物理测试做得越多,越容易通过审查。
但在 DO‑254,尤其是 DAL‑A 项目中,真实情况是: 你做了什么并不重要, 审查员能否“相信”你做的事情,才重要。
这一篇,我们不再讲“怎么做测试”, 而是从审查与取证的角度,回答一个核心问题:
DO‑254 物理测试,究竟是如何支撑审查通过的?
一、先明确一个事实:
审查不是技术评比,而是“证据充分性判断”
在 FAA / EASA 的审查体系中,审查员并不会逐条检查你的 HDL 代码, 他们关注的是:
符合 DO‑254 的验证逻辑
有客观证据支撑
可复现、可追溯、可复查
换句话说:
审查看的是“可信度”,而不是“工作量”。
二、DO‑254 对物理测试的“硬性立场”
DO‑254 并没有把物理测试当作“可选项”。
在 RTCA DO‑254 §6.3.1 中明确要求:“Verify by exercising the hardware item in its intended operational environment.”
并进一步说明:
当无法在目标运行环境中验证时, 才允许使用其他手段,并且需要充分论证。
审查员的解读非常直接:
能在真实 FPGA 上验证的
就不接受“只靠仿真”的结论
这就是为什么,在 DAL‑A 项目中:
物理测试不是补充验证,而是取证核心。
三、那审查员到底“想看到什么样的物理测试”?
答案不是“更多测试”,而是三类证据。
四、第一类证据:
这确实是“物理验证”,不是仿真替代品
审查员会问的第一个问题是:
“你的测试,是真的在 FPGA 器件上跑的吗?”
这不是质疑你,而是 DO‑254 的基本要求。
可接受的物理测试特征
从审查角度,合格的物理测试必须满足:
测试向量作用于真实 FPGA
输出结果来自 FPGA 器件
测试环境是目标运行环境或其合理代表
以 DVS‑254 的实现方式为例(来自《DO‑254物理测试解决方案》):
测试在 HDL 仿真器(如 ModelSim)驱动下进行
但测试实际执行在 FPGA 器件上
输出结果与 RTL 仿真模型进行对比
审查结论:
这属于 DO‑254 定义下的“exercising the hardware item” ✔ 而不是“仿真结果外推”
五、第二类证据:
判定标准是否客观,而非人工判断
在鲁棒性测试、异常测试中, 审查员最警惕的一件事是:
“异常发生时, 你们是怎么判断‘没问题’的?”
审查员不接受什么?
工程师现场观察
示波器截图 + 经验结论
“我们确认系统表现正常”
这些在 DAL‑A 中都属于低可信证据。
审查员愿意接受什么?
自动化、事先定义、与仿真一致的判定逻辑
这正是 DVS‑254 被设计成“统一平台”的原因:
共用同一套 Testbench
判定逻辑在仿真阶段已被验证
物理测试只是让同一判定逻辑运行在异常条件下
审查结论:
判定标准客观
不依赖个人经验
结论可信度高
六、第三类证据:
覆盖率与需求的可追溯性
在 DAL‑A 中,没有覆盖率 = 没有完成验证。
FAA 在 Order 8110.105(6‑2.d) 中明确支持:
“Measure and record the verification coverage of the requirements achieved by test on the component itself in its operational environment.”
审查员真正关心的是:
覆盖了哪些需求?
覆盖率是怎么测的?
覆盖发生在哪里?
为什么 DVS‑254 的物理测试是“可取证的”?
根据《DO‑254物理测试解决方案》:
覆盖率机制来自 HDL 仿真器
但测试执行在 FPGA 器件本身
形成:需求 → 测试 → 覆盖率 → 结果 的完整链路
自动生成记录与报告
审查结论:
覆盖率来源清晰
测量位置符合 FAA 指导
可直接作为取证材料
七、那鲁棒性测试为什么“特别重要”?
因为在 DAL‑A 项目中,真正决定安全性的,往往不是“正常情况”,而是异常情况。
审查员在鲁棒性测试中只关心一句话:
“当条件不再理想时, FPGA 的行为是否仍然是已知、受控、可预测的?”
可接受的鲁棒性测试必须是:
系统化枚举 worst‑case 场景
自动执行
自动判定
自动记录
而不是:
临时想异常
手工调条件
人工下结论
DVS‑254 在设计中明确支持:
对 DUT 的鲁棒性测试
所有 worst‑case 场景都能够被验证覆盖到
高速接口(DDR3 / PCIe)异常测试
审查结论:
不是经验测试
是体系化安全验证
八、从审查视角看:
为什么这种物理测试方式“更容易取证”?
因为它同时满足了 DO‑254 审查的四个底层逻辑:
1. 物理真实性(真实 FPGA)
2. 判定客观性(自动 Testbench)
3. 覆盖充分性(覆盖率 + worst‑case)
4. 结果可复查性(记录、报告、追溯)
审查员不是在“相信你”, 而是在“相信你的体系”。
九、本篇小结(给工程团队的一句话)
DO‑254 物理测试真正的价值, 不在于“测了多少异常”, 而在于: 能否把测试结果, 转换成审查员愿意签字的证据。
而这,正是系统化物理测试平台(如 DVS‑254) 在 DAL‑A 项目中的真正意义。
DVS‑254|面向 DO‑254 的 FPGA 自动化物理测试平台
DVS‑254 是一套面向 DO‑254 / ED‑80 适航项目的 FPGA 自动化物理测试与验证平台,专为 DAL‑A / DAL‑B 等高完整性等级项目设计。平台以“仿真与物理验证等效”为核心理念,将仿真阶段已验证的 Testbench 直接复用到 FPGA 板级物理测试中,帮助工程团队高效形成审查可接受的验证证据。
核心能力包括:
重用 Simulation Testbench 进行 FPGA 物理测试
仿真验证与硬件物理验证采用统一测试平台
支持鲁棒性测试与 worst‑case 场景系统化覆盖
支持高速接口测试(DDR3 / PCIe 等)
自动生成基于需求的测试记录、测量数据与代码覆盖率报告
满足 DO‑254 DAL‑A 等级的验证流程与交付要求
DVS‑254 已在多个 DO‑254 项目中应用,致力于将 FPGA 的真实物理行为,转化为可复查、可追溯、可取证的审查证据。