ДО-178С

Международный стандарт программного обеспечения для аэронавтики

DO-178C, Software Considerations in Airborne Systems and Equipment Certification — основной документ, по которому сертификационные органы, такие как FAA , EASA и Transport Canada, одобряют все коммерческие программные аэрокосмические системы. Документ опубликован RTCA, Incorporated , совместно с EUROC и заменяет DO-178B . Новый документ называется DO-178C/ED-12C, он был завершен в ноябре 2011 года и одобрен RTCA в декабре 2011 года. Он стал доступен для продажи и использования в январе 2012 года. ^{[1] [2] [3]}

За исключением FAR 33 / JAR E, Федеральные авиационные правила напрямую не ссылаются на летную годность программного обеспечения. ^[4] 19 июля 2013 года FAA одобрило AC 20-115C , обозначив DO-178C как признанное «приемлемое средство, но не единственное средство для демонстрации соответствия применимым правилам летной годности FAR для аспектов программного обеспечения бортовых систем и сертификации оборудования». ^[5]

Фон

После выпуска DO-178B были настойчивые призывы со стороны уполномоченных инженерных представителей FAA (DER) прояснить/уточнить определения и границы между ключевыми концепциями DO-178B требований высокого уровня, требований низкого уровня и производных требований, а также более четко определить критерии выхода/входа между системными требованиями и проектированием системы (см. ARP4754 ) и требованиями к программному обеспечению и проектированием программного обеспечения (что является областью DO-178B). Другие опасения включали значение верификации в парадигме разработки на основе моделей и соображения о замене некоторых или всех видов деятельности по тестированию программного обеспечения на имитационное моделирование или формальные методы. Выпуск DO-178C и сопутствующих документов DO-278A (Наземные системы), DO-248C (Дополнительная информация с обоснованием для каждой цели DO-178C), DO-330 (Квалификация инструмента), DO-331 (Моделирование), DO-332 (Объектно-ориентированный) и DO-333 (Формальные методы) были созданы для решения отмеченных проблем. Члены SC-205 работали с комитетом SAE S-18, чтобы гарантировать, что ARP4754A и вышеупомянутые документы DO-xxx предоставляют единый и связанный процесс с дополнительными критериями.

В целом, DO-178C сохраняет большую часть текста DO-178B, что вызывает опасения, что проблемы с DO-178B, такие как неоднозначность концепции требований низкого уровня, могут быть не полностью решены. ^[6]

Организация комитета

Работа совместного комитета RTCA/EUROCAE была разделена на семь подгрупп:

• SG1: Интеграция документов SCWG
• SG2: Проблемы и обоснование
• SG3: Квалификация инструмента
• SG4: Разработка и проверка на основе моделей
• SG5: Объектно-ориентированная технология
• SG6: Формальные методы
• SG7: Вопросы безопасности

Подгруппа Model Based Development and Verification (SG4) была крупнейшей из рабочих групп. Вся работа собирается и координируется через веб-сайт, который является механизмом управления совместной работой. ^[7] Рабочие артефакты и черновики документов хранились в закрытой зоне, доступной только членам группы.

Работа была сосредоточена на обновлении DO-178B/ED-12B с учетом современных методов, инструментов и технологий разработки программного обеспечения. ^{[8] [9]}

Уровень программного обеспечения

Уровень программного обеспечения , также известный как уровень обеспечения разработки (DAL) или уровень обеспечения разработки элемента (IDAL), как определено в ARP4754 (DO-178C упоминает IDAL только как синоним уровня программного обеспечения ^[10] ), определяется из процесса оценки безопасности и анализа опасностей путем изучения последствий состояния отказа в системе. Состояния отказа классифицируются по их влиянию на самолет, экипаж и пассажиров.

• Катастрофический — отказ может привести к гибели людей, обычно с потерей самолета.
• Опасность — отказ оказывает значительное негативное влияние на безопасность или производительность, снижает способность экипажа управлять самолетом из-за физического недомогания или повышенной рабочей нагрузки, либо приводит к серьезным или смертельным травмам среди пассажиров.
• Крупный - Неисправность значительно снижает запас прочности или значительно увеличивает нагрузку на экипаж. Может привести к дискомфорту пассажиров (или даже к незначительным травмам).
• Незначительный — отказ немного снижает запас безопасности или немного увеличивает нагрузку на экипаж. Примерами могут быть создание неудобств для пассажиров или изменение плана полета.
• Отсутствие последствий — отказ не влияет на безопасность, эксплуатацию воздушного судна или нагрузку на экипаж.

DO-178C сам по себе не предназначен для гарантии аспектов безопасности программного обеспечения. Атрибуты безопасности в проекте и реализованные в виде функциональности должны получить дополнительные обязательные задачи безопасности системы для управления и демонстрации объективных доказательств соответствия явным требованиям безопасности. Сертификационные органы требуют, а DO-178C указывает, что правильный DAL должен быть установлен с использованием этих методов комплексного анализа для установления уровня программного обеспечения AE. «Уровень программного обеспечения устанавливает строгость, необходимую для демонстрации соответствия» с DO-178C. ^[10] Любое программное обеспечение, которое управляет, контролирует и отслеживает критически важные для безопасности функции, должно получить самый высокий DAL - уровень A.

Количество целей, которые должны быть удовлетворены (некоторые с независимостью), определяется уровнем программного обеспечения AE. Фраза «с независимостью» относится к разделению обязанностей, при котором объективность процессов верификации и валидации обеспечивается в силу их «независимости» от команды разработчиков программного обеспечения. Для целей, которые должны быть удовлетворены с независимостью, лицо, проверяющее элемент (например, требование или исходный код), может не быть лицом, которое создало элемент, и это разделение должно быть четко задокументировано. ^[11]

Процессы и документы

Процессы предназначены для поддержки целей в соответствии с уровнем программного обеспечения (A–D — уровень E находился вне сферы действия DO-178C). Процессы описываются как абстрактные области работы в DO-178C, и планировщики реального проекта должны определить и задокументировать особенности того, как будет выполняться процесс. В реальном проекте фактические действия, которые будут выполняться в контексте процесса, должны быть показаны для поддержки целей. Эти действия определяются планировщиками проекта как часть процесса планирования.

Эта объективная природа DO-178C допускает большую гибкость в отношении следования различным стилям жизненного цикла программного обеспечения . После того, как действие в рамках процесса определено, обычно ожидается, что проект будет уважать это документированное действие в рамках своего процесса. Кроме того, процессы (и их конкретные действия) должны иметь четко определенные критерии входа и выхода, согласно DO-178C, и проект должен показать, что он уважает эти критерии, выполняя действия в рамках процесса.

Гибкий характер процессов DO-178C и критериев входа/выхода затрудняет внедрение в первый раз, поскольку эти аспекты абстрактны и нет «базового набора» видов деятельности, с которыми можно было бы работать. Целью DO-178C не было предписание. Существует множество возможных и приемлемых способов для определения этих аспектов в реальном проекте. Это может быть сложно, когда компания впервые пытается разработать гражданскую систему авионики в соответствии с этим стандартом, и создало нишевый рынок для обучения и консультирования по DO-178C.

Для общего процесса на основе DO-178C этапы участия (SOI) представляют собой минимальные этапы, в которых орган по сертификации участвует при проверке системы или подсистемы, как определено EASA в Меморандуме о сертификации SWCEH – 002: Руководство по утверждению ПО и FAA в Приказе 8110.49: Руководство по утверждению ПО.

Прослеживаемость

Диаграмма, иллюстрирующая требуемую двунаправленную трассировку между артефактами сертификации, как того требует стандарт RTCA DO-178C. Тонкие синие трассы и синие заполненные квадраты требуются только для уровня A. Фиолетовые трассы и пурпурные заполненные квадраты требуются для уровней A, B и C. Толстые зеленые трассы и зеленые заполненные квадраты требуются для уровней A, B, C и D. Уровень E не требует трассировки. Ссылки на каждой стрелке трассы представляют ссылки на стандарт для цели, действия и обзора/проверки соответственно.

DO-178 требует документированных двунаправленных связей (называемых трассировками) между артефактами сертификации. Например, требование низкого уровня (LLR) прослеживается до требования высокого уровня (HLR), которому оно должно удовлетворять, а также до строк исходного кода, которые должны его реализовать, тестовых случаев, которые должны проверить правильность исходного кода относительно требования, результатов этих тестов и т. д. Затем используется анализ прослеживаемости, чтобы гарантировать, что каждое требование выполняется исходным кодом, что каждое функциональное требование проверено тестом, что каждая строка исходного кода имеет цель (связана с требованием) и т. д. Анализ прослеживаемости оценивает полноту системы. Строгость и детализация артефактов сертификации связаны с уровнем программного обеспечения.

Различия с DO-178B

SC-205/WG-12 отвечал за пересмотр DO-178B/ED-12B с целью приведения его в соответствие с современными технологиями разработки и проверки программного обеспечения. Структура документа в основном остается неизменной от B до C. Примеры изменений включают: ^[13]

• Обеспечить более понятный язык и терминологию, обеспечить большую последовательность
• Больше целей (для уровней A, B и C)
• Уточнена «скрытая цель», применимая к уровню A, которая подразумевалась в DO-178B в разделе 6.4.4.2b, но не указана в таблицах приложения A. Эта цель теперь явно указана в DO-178C, приложении A, таблице A-7, цели 9: «Проверка дополнительного кода, который не может быть прослежен до исходного кода, достигнута». ^[14]
• Файлы элементов данных параметров — предоставляют отдельную информацию, которая влияет на поведение исполняемого объектного кода (без его изменения). Примером может служить файл конфигурации, который устанавливает расписание и основные временные рамки секционированной операционной системы. Файл элементов данных параметров должен быть проверен вместе с исполняемым объектным кодом, или же он должен быть протестирован для всех возможных диапазонов элементов данных параметров.
• DO-330 «Соображения по квалификации программного инструмента», новый «независимый от предметной области, внешний документ», был разработан для предоставления руководства по приемлемому процессу квалификации инструмента. Хотя DO-178B использовался в качестве основы для разработки этого нового документа, текст был адаптирован для непосредственного и отдельного применения к разработке инструмента и расширен для рассмотрения всех аспектов инструмента. Как независимый от предметной области, автономный документ, DO-330 предназначен для использования не только в поддержку DO-178C/ED-12C, но также DO-278/ED-109, DO-254/ED-80 и DO-200, даже для неавиационных приложений, например, ISO 26262 или ECSS . ^[15] Следовательно, руководство по квалификации инструмента было удалено из DO-178C, заменено в нем руководством по принятию решения о том, когда применять руководство по квалификации инструмента DO-330 к инструментам, используемым в контексте DO-178C. ^[16]
• Добавлены технологические дополнения для расширения руководства документа DO-178C на конкретные методы. Вместо того, чтобы расширять предыдущий текст для учета всех текущих и будущих методов разработки программного обеспечения, дополнения доступны для явного добавления, удаления или иного изменения руководства основного стандарта для применения к конкретным методам или технологиям. Все руководства в этих дополнениях написаны в контексте затронутых элементов руководства в DO-178C и поэтому должны рассматриваться как имеющие тот же уровень полномочий, что и основной документ. ^[17]
  • DO-331 «Разработка на основе моделей и верификация. Дополнение к DO-178C и DO-278A» — рассматривает разработку на основе моделей (MBD) и верификацию, а также возможность использования методов моделирования для улучшения разработки и верификации, избегая при этом ловушек, присущих некоторым методам моделирования.
  • DO-332 «Объектно-ориентированная технология и связанные с ней методы. Дополнение к DO-178C и DO-278A» — рассматривает объектно-ориентированное программное обеспечение и условия, при которых оно может использоваться.
  • DO-333 «Дополнение к DO-178C и DO-278A по формальным методам» — рассматривает формальные методы , дополняющие (но не заменяющие) тестирование

Руководства против руководства

DO-178B не был полностью последовательным в использовании терминов «руководящие принципы» и «руководящие указания» в тексте. «Руководящие принципы» передают немного более сильное чувство обязательства, чем «руководящие принципы». Таким образом, с DO-178C SCWG остановилась на использовании «руководящих принципов» для всех утверждений, которые считаются «рекомендациями», заменив оставшиеся случаи «руководящих принципов» на «вспомогательную информацию» и используя эту фразу везде, где текст больше ориентирован на «информацию», чем на «рекомендации».

Весь документ DO-248C /ED-94C, Вспомогательная информация для DO-178C и DO-278A , относится к категории «вспомогательной информации», а не руководства. ^[18]

Пример разницы в тексте между DO-178B и DO-178C

Глава 6.1 определяет цель процесса проверки программного обеспечения. DO-178C добавляет следующее утверждение об исполняемом объектном коде:

• «Исполняемый объектный код удовлетворяет требованиям к программному обеспечению (то есть предполагаемой функции) и обеспечивает уверенность в отсутствии непредусмотренной функциональности».
• «Исполняемый объектный код надежен с точки зрения требований к программному обеспечению и может правильно реагировать на ненормальные входные данные и условия».

Для сравнения, в DO-178B в отношении исполняемого объектного кода указано следующее:

• «Исполняемый объектный код удовлетворяет требованиям к программному обеспечению».

Дополнительное разъяснение редакции C заполнило пробел, с которым разработчик программного обеспечения мог столкнуться при интерпретации документа редакции B. ^[19]

Смотрите также

• ДО-178Б
• DO-248C , Вспомогательная информация для DO-178C и DO-278A
• Измененное покрытие условий/решений

Ссылки

1. Timberlake Membership Software, 703-591-4232. "Rtca, Inc". Rtca.org . Получено 7 августа 2016 г. .{{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
2. Шарлотта Адамс (1 сентября 2010 г.). «DO-178C приближается к финишной черте, с учетом современных инструментов и технологий». Avionics Intelligence . Получено 23 октября 2010 г. Отрасль ожидает, что окончательный пакет —DO-178C— будет выпущен в первом квартале 2011 г. и станет обязательным через шесть-девять месяцев после ратификации.
3. "Summary of Difference Between DO-178B and DO-178C". FAA Consultants.com . Qualtech Consulting, Inc. Архивировано из оригинала 27 августа 2010 г. Получено 23 октября 2010 г. Выпуск этих долгожданных стандартов состоится в середине 2011 г. и будет признан органами сертификации в 2012 г.
4. Лесли А. (Шад) Джонсон. DO-178B, Вопросы программного обеспечения при сертификации бортовых систем и оборудования (в контексте разработки программного обеспечения для военных самолетов, обсуждение практики развития текущей практики и применения RTCA/DO-178B). Boeing Commercial Airplane Group . стр. 11. Получено 3 марта 2022 г.
5. "Архивная копия" (PDF) . Архивировано из оригинала (PDF) 3 сентября 2014 года . Получено 2013-08-08 .{{cite web}}: CS1 maint: архивная копия как заголовок ( ссылка )
6. Дейл, Крис; Андерсон, Том, ред. (2010). Достижения в области безопасности систем: материалы Девятнадцатого симпозиума по критически важным для безопасности системам, Саутгемптон, Великобритания, 8–10 февраля 2011 г. Лондон: Springer. С. 298–299. ISBN 9780857291325.
7. "SC-205/WG-71 Plenary". Архивировано из оригинала 19 июля 2011 года . Получено 2010-09-18 .
8. Билл СентКлер и Тим Кинг (7 марта 2012 г.). «DO-178C привносит современные технологии в разработку программного обеспечения, критически важного для безопасности». Военные встроенные системы . Получено 17 апреля 2012 г.
9. "DO-178C улучшает разработку программного обеспечения для авионики, критически важного для безопасности". Electronic Design . Получено 17 апреля 2012 г.
10. RTCA/DO-178C «Вопросы программного обеспечения при сертификации бортовых систем и оборудования», стр. 116. «Одним из примеров является термин «уровень обеспечения разработки элемента» (IDAL), который для программного обеспечения является синонимом термина «уровень программного обеспечения».
11. RTCA/DO-178C «Вопросы программного обеспечения при сертификации бортовых систем и оборудования», стр. 41
12. RTCA/DO-178C «Вопросы программного обеспечения при сертификации бортовых систем и оборудования», Приложение A
13. "HighRely Synopsis of National FAA Software and Hardware Meeting includes DO-178C Status". 2006. Получено 30 сентября 2009. DO-178C будет содержать больше подробностей о моделировании программного обеспечения и потенциальной возможности использования моделирования для замены некоторых методов проверки, обычно требуемых в DO-178B. DO-178C также будет более полно рассматривать OO (объектно-ориентированное) программное обеспечение и условия, при которых оно может использоваться, а также последствия сертификации OO в DO-178C.
14. RTCA/DO-178C. Вопросы программного обеспечения при сертификации бортовых систем и оборудования . RTCA, Inc. 2011.
15. Потон, Фредерик. "Принципы и преимущества использования DO-330/ED-215" (PDF) . validas . Получено 3 октября 2019 г. .
16. Потон, Фредерик; и др. (2012). Изменения и улучшения DO-178C/ED-12C по сравнению с DO-178B/ED-12B (PDF) . п. 49 . Проверено 5 января 2015 г.
17. Потон, стр. 43-46.
18. Потон, стр. 14
19. "Достижение соответствия DO-178C с помощью Parasoft Development Testing". Архивировано из оригинала 11 сентября 2014 года . Получено 2013-03-07 .

Внешние ссылки

• Глоссарий DO-178C, 2023 г.
• Шарлотта Адамс (21 октября 2010 г.). «Программное обеспечение, критически важное для безопасности, для критически важных приложений получит импульс с выпуском DO-178C». Военная и аэрокосмическая электроника . Получено 4 февраля 2014 г.
• Шарлотта Адамс (1 сентября 2010 г.). "DO-178C Core changes". Avionics Intelligence . Получено 23 октября 2010 г. .
• Билл СентКлер и Нат Хиллари (2010). "DO-178C: Улучшенная сертификация для экономически эффективных систем авионики". VME и критические системы . Архивировано из оригинала 17 июля 2011 г. Получено 23 октября 2010 г.
• Джон Макхейл (8 октября 2009 г.). «Обновление сертификации DO-178B, DO-178C, для соответствия современным тенденциям в области программного обеспечения авионики». Avionics Intelligence . Получено 23 октября 2010 г.
• Frederic Pothon (2012). "DO-178C/ED-12C против DO-178B/ED-12B: Изменения и улучшения". Открыть DO . Получено 23 октября 2010 г. .