DO-254为机载电子系统的设计保证定义了5个等级

DO-254为机载电子系统的设计保证定义了5个等级。这5个等级被定义为从A级到E级，A级是最严格的，而E级是最宽松的。这5个等级对应于五个失效情况的分类，定义在管理机载系统和设备认证的监管材料中。

将这五种危害分类并将它们映射到对应的设计保证等级、每个等级的设备所要求的每个飞行小时中失效的可能性、以及对危害的描述。危害分类描述包括飞机上的系统或设备失效的后果、它的乘员、它的安全容限、以及机组成员应付恶劣工作环境的能力。最严重的分类是灾难（A级），表示在任何实际情况中，A级设备的失效会造成灾难性的机体损失。最不严重的是无影响，表示失效不会对飞机的操作性能或机组的工作负荷有影响。

DO-254中，设计保证等级也决定了开发过程的目标和严格程度，必须保留的开发工作产物的类型和数量，开展开发活动时必须保持的独立性等级，以及对设计必须要做的验证的数量和类型。

DO-254主体中的指南（章节1到11）是为电子硬件设计保证等级C所写的。DO-254通过附录B提供更高的设计保证等级（A和B），包括附加的验证相关的活动，用于对于要求每小时失效可能性小于10-7的设备提供保证的额外衡量。设计保证等级C或D的设备必须符合DO-254章节1到11，而等级A和B必须符合章节1到11，以及附录B。

值得一提的是，半导体元件的固有失效率通常不优于10-5到10-6。或者换一句话说，半导体器件固有可靠性的限制阻止了电子硬件达到A级或B级系统要求的失效概率，因此DO-254的开发指南不能自己产生A级或B级可靠性的设计结果。不过，必要的可靠性可以在系统级通过合适的架构技术获得，就像在SAEA RP47543或SAE ARP4754A4所描述的那样，即使硬件自身被限制为类似于C级硬件的失效率。

因为设计过程不能创建能自身满足A级或B级系统失效率要求的硬件，对那些高等级硬件的设计保证只有用额外的验证相关技术来保证每个设计错误都被检测到并修正，从而保证硬件将获得它最大可能的可靠性。DO-254附录B，关注于验证相关技术以保证设计的每个功能都被完全识别和测试，因此被应用于A级和B级硬件，以确保尽可能地检测到和修复所有的设计错误。

责任编辑：lq