DO-178C - DO-178C

Соображения по поводу программного обеспечения при сертификации бортовых систем и оборудования
Последняя версия5 января 2012 г. (2012-01-05)
Организация
ДоменАвиация
Сокращение
  • DO-178C
  • ED-12C

DO-178C, Рекомендации по программному обеспечению при сертификации бортовых систем и оборудования является основным документом, с помощью которого сертификационные органы, такие как FAA, EASA и Транспорт Канады утверждать все коммерческие программные аэрокосмические системы. Документ опубликован RTCA, Incorporated, совместно с EUROCAE, и заменяет DO-178B. Новый документ называется DO-178C / ED-12C, он был завершен в ноябре 2011 года и одобрен RTCA в декабре 2011 года. Он стал доступен для продажи и использования в январе 2012 года.[1][2][3]

FAA одобрило AC 20-115C[4] 19 июля 2013 года, что делает DO-178C признанным «приемлемым средством, но не единственным, для демонстрации соответствия применимым правилам летной годности для программных аспектов сертификации бортовых систем и оборудования».

Фон

С момента выпуска DO-178B, со стороны DER (FAA Назначенные инженерные представители ) для разъяснения / уточнения определений и границ между ключевыми концепциями DO-178B требований высокого уровня, требований низкого уровня и производных требований, а также лучшего определения критериев выхода / входа между системными требованиями и проектированием системы (см. ARP4754 ), а также требований к программному обеспечению и проектирования программного обеспечения (это область DO-178B). Другие проблемы включали значение проверки в парадигма разработки на основе моделей и соображения по замене некоторых или всех действий по тестированию программного обеспечения на моделирование или формальные методы. Выпуск DO-178C и сопутствующие документы DO-278A (Наземные системы), DO-248C (Дополнительная информация с обоснованием для каждой цели DO-178C), DO-330 (квалификация инструмента), DO-331 (моделирование), DO-332 (объектно-ориентированное) и DO-333 (формальные методы) были созданы для решения проблем. отметил. Члены SC-205 работали с комитетом SAE S-18, чтобы гарантировать, что ARP4754A и упомянутые выше документы DO-xxx обеспечивают единый и связанный процесс с дополнительными критериями.

В целом, DO-178C сохраняет большую часть текста DO-178B, что вызывает опасения, что проблемы с DO-178B, такие как неоднозначность концепции требований низкого уровня, могут быть не полностью решены.[5]

Организация комитета

Работа совместного комитета RTCA / EUROCAE была разделена на семь подгрупп:

  • ИК1: интеграция документов SCWG
  • ИК2: Проблемы и обоснование
  • ИК3: квалификация инструмента
  • ИК4: Разработка и проверка на основе моделей
  • ИК5: Объектно-ориентированные технологии
  • ИК6: Формальные методы
  • ИК7: Соображения, связанные с безопасностью

Подгруппа разработки и проверки на основе моделей (SG4) была самой большой из рабочих групп. Вся работа собирается и координируется через веб-сайт, который представляет собой механизм управления совместной работой.[6] Рабочие артефакты и черновики документов хранились в закрытой зоне, доступной только членам группы.

Работа была сосредоточена на обновлении DO-178B / ED-12B с учетом текущих практик, инструментов и технологий разработки программного обеспечения.[7][8]

Уровень программного обеспечения

В Уровень программного обеспечения, также известный как Уровень гарантии проектирования (DAL) или Уровень гарантии разработки элемента (IDAL) как определено в ARP4754 (DO-178C упоминает IDAL только как синоним Software Level.[9]), определяется из процесс оценки безопасности и анализ опасности путем изучения последствий сбоя в системе. Условия отказа классифицируются по их влиянию на самолет, экипаж и пассажиров.

  • Катастрофический - Отказ может привести к летальному исходу, обычно с потерей самолета.
  • Опасно - Отказ оказывает большое негативное влияние на безопасность или летные характеристики или снижает способность экипажа управлять воздушным судном из-за физического стресса или повышенной рабочей нагрузки, или вызывает серьезные или смертельные травмы среди пассажиров.
  • Основной - Отказ значительно снижает запас прочности или значительно увеличивает загруженность экипажа. Может вызвать дискомфорт у пассажиров (или даже легкие травмы).
  • Незначительный - Отказ несколько снижает запас прочности или немного увеличивает загруженность экипажа. Примеры могут включать причинение неудобств пассажирам или обычное изменение плана полета.
  • Нет эффекта - Отказ не влияет на безопасность, работу самолета или рабочую нагрузку экипажа.

Сам по себе DO-178C не предназначен для гарантии аспектов безопасности программного обеспечения. Атрибуты безопасности в проекте и в том виде, в каком они реализованы как функциональные возможности, должны получать дополнительные обязательные системные задачи безопасности для управления и демонстрации объективных свидетельств соответствия явным требованиям безопасности. Органы сертификации требуют, а DO-178C указывает, что правильный DAL должен быть установлен с использованием этих комплексных методов анализа для определения уровня программного обеспечения A-E. «Уровень программного обеспечения устанавливает строгость, необходимую для демонстрации соответствия» DO-178C.[9] Любое программное обеспечение, которое управляет, контролирует и отслеживает критически важные для безопасности функции, должно получить наивысший DAL - уровень A.

Количество целей, которые должны быть достигнуты (некоторые с независимостью), определяется уровнем программного обеспечения A-E. Фраза «с независимостью» относится к разделению ответственности, когда объективность процессов верификации и валидации обеспечивается за счет их «независимости» от команды разработчиков программного обеспечения. Для целей, которые должны быть удовлетворены с помощью независимости, лицо, проверяющее элемент (например, требование или исходный код), может не быть лицом, создавшим элемент, и это разделение должно быть четко задокументировано.[10]

УровеньСостояние отказаЦели[11]С независимостью
АКатастрофический7130
BОпасно6918
CОсновной625
DНезначительный262
EНет эффекта безопасности00

Прослеживаемость

Схема, показывающая необходимую трассировку между артефактами сертификации, как того требует стандарт RTCA DO-178C. Кривые красного цвета требуются только для уровня A. Кривые красного цвета требуются для уровней A, B и C. Кривые зеленого цвета предназначены для уровней A, B, C и D. Уровень E не требует трассировки. Ссылки на каждой стрелке трассировки представляют собой ссылки на стандарт для цели, действия и обзора / проверки, соответственно.

DO-178 требует документированного соединения (называемого трассировкой) между артефактами сертификации. Например, требование низкого уровня (LLR) прослеживается до требования высокого уровня (HLR). Затем используется анализ прослеживаемости, чтобы гарантировать, что каждое требование выполняется исходным кодом, каждое требование проверено, что каждая строка исходного кода имеет цель (связана с требованием) и т. Д. Прослеживаемость гарантирует завершенность системы. Строгость и детализация артефактов сертификации связаны с уровнем программного обеспечения.

Отличия от DO-178B

SC-205 отвечал за пересмотр DO-178B / ED-12B, чтобы привести его в соответствие с текущими технологиями разработки и проверки программного обеспечения. Структура документа остается в основном той же от B до C. Примеры изменений включают:[12]

  • Обеспечьте более ясный язык и терминологию, обеспечьте больше единообразия
  • Больше целей (для уровней A, B и C)
  • Уточнена «скрытая цель», применимая к уровню А, которая подразумевается DO-178B в разделе 6.4.4.2b, но не перечислены в таблицах Приложения А. Эта цель теперь явно указана в DO-178C, приложение A, таблица A-7, цель 9: «Достигнута проверка дополнительного кода, который не может быть прослежен до исходного кода».[13]
  • Файлы элементов данных параметров - предоставляют отдельную информацию, которая влияет на поведение исполняемого объектного кода (без его изменения). Примером может служить файл конфигурации, который устанавливает расписание и основные временные рамки многораздельной операционной системы. Файл элемента данных параметра должен быть проверен вместе с исполняемым объектным кодом, иначе он должен быть протестирован для всех возможных диапазонов элементов данных параметра.
  • DO-330 «Соображения по квалификации программных средств», новый «независимый от предметной области внешний документ», был разработан для обеспечения руководства по приемлемому процессу квалификации инструментальных средств. Хотя DO-178C использовался в качестве основы для разработки этого нового документа, текст был адаптирован для прямого и раздельного применения к разработке инструментов и для рассмотрения всех аспектов инструментов. Как независимый от домена, автономный документ DO-330 предназначен для использования не только для поддержки DO-178C / ED-12C, но и DO-278 / ED-109, ДО-254 / ЭД-80, DO-278, и DO-200 также, даже для неавиационных приложений, например, ISO 26262 или же ECSS.[14] Следовательно, руководство по квалификации инструмента было удалено из DO-178C, заменено в нем руководством для принятия решения о том, когда применять руководство по квалификации инструмента DO-330 к инструментам, используемым в контексте DO-178C.[15]
  • Добавлены технологические добавки продлевать руководство документа DO-178C по конкретным методам. Вместо того, чтобы расширять предыдущий текст для учета всех текущих и будущих методов разработки программного обеспечения, доступны дополнения для явного добавления, удаления или иного изменения руководящих указаний основного стандарта для применения к конкретным методам или технологиям. Все руководства в этих дополнениях написаны в контексте затронутых элементов руководства в DO-178C, и поэтому их следует рассматривать как на том же уровне полномочий, что и этот базовый документ.[16]
    • DO-331 «Дополнение к DO-178C и DO-278A по модельно-ориентированной разработке и проверке» - касается модельно-ориентированной разработки (MBD) и проверки, а также возможности использования методов моделирования для улучшения разработки и проверки, избегая при этом ошибок, присущих некоторым методам моделирования.
    • DO-332 «Дополнение к DO-178C и DO-278A по объектно-ориентированным технологиям и связанным методам» - адресация объектно-ориентированное программное обеспечение и условия, при которых он может использоваться
    • DO-333 «Дополнение формальных методов к DO-178C и DO-278A» - адресация формальные методы дополнять (но не заменять) тестирование

Рекомендации против руководства

DO-178B не полностью соответствовал использованию терминов «Руководящие принципы» и «Руководство» в тексте. «Руководство» передает чуть более сильное чувство обязательства, чем «руководящие принципы». Таким образом, с DO-178C SCWG решила использовать «руководство» для всех утверждений, которые считаются «рекомендациями», заменив оставшиеся экземпляры «руководящих принципов» на «вспомогательную информацию» и используя эту фразу везде, где текст больше ориентирован на информацию, чем на рекомендации.

Целиком DO-248C / ED-94C документ, Дополнительная информация для DO-178C и DO-278A, попадает в категорию "вспомогательная информация", а не руководство.[17]

Примерная разница между DO-178B и DO-178C

В главе 6.1 определяется цель процесса проверки программного обеспечения. DO-178C добавляет следующее утверждение об исполняемом коде объекта:

  • «Исполняемый объектный код удовлетворяет программным требованиям (то есть предполагаемой функции) и обеспечивает уверенность в отсутствии непредвиденных функций».
  • «Исполняемый объектный код устойчив к требованиям программного обеспечения, так что он может правильно реагировать на аномальные входные данные и условия».

Для сравнения, DO-178B утверждает следующее относительно исполняемого объектного кода:

  • «Исполняемый объектный код удовлетворяет программным требованиям».

Дополнительное пояснение заполняет пробел, с которым может столкнуться разработчик программного обеспечения при интерпретации документа.[18]

Смотрите также

Рекомендации

  1. ^ Программное обеспечение членства Timberlake, 703-591-4232. "РТКА, Инк". Rtca.org. Получено 7 августа 2016.
  2. ^ Шарлотта Адамс (1 сентября 2010 г.). «DO-178C приближается к финишу, с учетом современных инструментов и технологий». Авионика Разведка. Получено 23 октября 2010. Промышленность ожидает, что окончательный пакет - DO-178C - будет выпущен в первом квартале 2011 года и будет утвержден через шесть-девять месяцев после ратификации.
  3. ^ «Краткое описание различий между DO-178B и DO-178C». FAA Consultants.com. Qualtech Consulting, Inc. Получено 23 октября 2010. Выпуск этих долгожданных стандартов состоится в середине 2011 года и будет признан сертификационными органами в 2012 году.
  4. ^ «Архивная копия» (PDF). Архивировано из оригинал (PDF) 3 сентября 2014 г.. Получено 2013-08-08.CS1 maint: заархивированная копия как заголовок (связь)
  5. ^ Дейл, Крис; Андерсон, Том, ред. (2010). Достижения в области безопасности систем: материалы девятнадцатого симпозиума по системам, критически важным для безопасности, Саутгемптон, Великобритания, 8-10 февраля 2011 г.. Лондон: Спрингер. С. 298–299. ISBN  9780857291325.
  6. ^ «Архивная копия». Архивировано из оригинал 19 июля 2011 г.. Получено 2010-09-18.CS1 maint: заархивированная копия как заголовок (связь)
  7. ^ Билл СтКлер и Тим Кинг (7 марта 2012 г.). «DO-178C привносит современные технологии в разработку критически важного программного обеспечения». Военные встроенные системы. Получено 17 апреля 2012.
  8. ^ «DO-178C расширяет возможности разработки программного обеспечения авионики, критически важного для безопасности». Электронный дизайн. Электронный дизайн. Получено 17 апреля 2012.
  9. ^ а б RTCA / DO-178C «Рекомендации по программному обеспечению при сертификации бортовых систем и оборудования», стр. 116. «Одним из примеров является термин« уровень обеспечения разработки элементов »(IDAL), который для программного обеспечения является синонимом термина« уровень программного обеспечения ».
  10. ^ RTCA / DO-178C «Рекомендации по программному обеспечению при сертификации бортовых систем и оборудования», стр. 41 год
  11. ^ RTCA / DO-178C «Рекомендации по программному обеспечению при сертификации бортовых систем и оборудования», Приложение A
  12. ^ «HighRely Synopsis of National FAA Software and Hardware Meeting включает статус DO-178C». 2006. Получено 30 сентября 2009. DO-178C будет содержать более подробную информацию о программном моделировании и потенциальной возможности использования моделирования для замены некоторых методов проверки, обычно требуемых в DO-178B. DO-178C также будет более полно адресовать объектно-ориентированное программное обеспечение (объектно-ориентированное) и условия, при которых оно может использоваться, а также последствия сертификации OO в DO-178C.
  13. ^ Рекомендации по программному обеспечению RTCA / DO-178C при сертификации бортовых систем и оборудования. RTCA, Inc. 2011.
  14. ^ Потон, Фредерик. «Принципы и преимущества использования ДО-330 / ЭД-215» (PDF). валидас. Получено 3 октября 2019.
  15. ^ Потон, Фредерик; и другие. (2012). DO-178C / ED-12C по сравнению с DO-178B / ED-12B Изменения и улучшения (PDF). п. 49. Получено 5 января 2015.
  16. ^ Pothon, стр. 43-46.
  17. ^ Pothon, p. 14
  18. ^ «Архивная копия». Архивировано из оригинал 11 сентября 2014 г.. Получено 2013-03-07.CS1 maint: заархивированная копия как заголовок (связь)

внешняя ссылка