ДО-178С

Аспекты программного обеспечения при сертификации бортовых систем и оборудования
Аббревиатура	ДО-178С ; ЭД-12С ;
Последняя версия	5 января 2012 г.
Организация	РТКА СК-205 ; ЕВРОКАЕ РГ-12 ;
Домен	Авиация

DO-178C, «Аспекты программного обеспечения при сертификации бортовых систем и оборудования» — это основной документ, которым сертифицирующие органы, такие как FAA , EASA и Transport Canada, одобряют все коммерческие аэрокосмические системы на базе программного обеспечения. Документ опубликован RTCA, Incorporated совместно с EUROC и заменяет DO-178B . Новый документ называется DO-178C/ED-12C, он был завершен в ноябре 2011 года и одобрен RTCA в декабре 2011 года. Он стал доступен для продажи и использования в январе 2012 года. ^[1]^[2]^[3]

За исключением FAR 33 / JAR E, Федеральные авиационные правила напрямую не ссылаются на летную годность программного обеспечения. ^[4] 19 июля 2013 года ФАУ утвердило AC 20-115C , назначив DO-178C признанным «приемлемым, но не единственным средством демонстрации соответствия применимым правилам летной годности FAR в отношении аспектов программного обеспечения сертификации бортовых систем и оборудования». ^[5]

Фон

С момента выпуска DO-178B ФАУ (DER) настоятельно призывали назначенные технические представители к разъяснению/уточнению определений и границ между ключевыми концепциями DO-178B: требования высокого уровня, требования низкого уровня и производные. требования и лучшее определение критериев выхода/входа между системными требованиями и проектом системы (см. ARP4754 ), а также требованиями к программному обеспечению и проектированием программного обеспечения (что является областью DO-178B). Другие проблемы включали значение проверки в парадигме разработки на основе моделей и соображения о замене некоторых или всех действий по тестированию программного обеспечения моделированием модели или формальными методами. Выпуск DO-178C и сопутствующих документов DO-278A (Наземные системы), DO-248C (Дополнительная информация с обоснованием каждой цели DO-178C), DO-330 (Квалификация инструмента), DO-331 (Моделирование), DO -332 (Объектно-ориентированные) и DO-333 (Формальные методы) были созданы для решения отмеченных проблем. Члены SC-205 работали с комитетом SAE S-18, чтобы гарантировать, что ARP4754A и вышеупомянутые документы DO-xxx представляют собой единый и связанный процесс с дополнительными критериями.

В целом, DO-178C сохраняет большую часть текста DO-178B, что вызывает опасения, что проблемы DO-178B, такие как двусмысленность концепции требований низкого уровня, не могут быть полностью решены. ^[6]

Организация комитета

Работа совместного комитета RTCA/EUROCAE была разделена на семь подгрупп:

ИК1: Интеграция документов SCWG
ИК2: Проблемы и обоснование
SG3: Квалификация инструмента
ИК4: Разработка и проверка на основе моделей
SG5: Объектно-ориентированные технологии
SG6: Формальные методы
ИК7: Вопросы безопасности

Подгруппа разработки и проверки на основе моделей (SG4) была самой крупной из рабочих групп. Вся работа собирается и координируется через веб-сайт, который представляет собой механизм совместного управления работой. ^[7] Рабочие материалы и проекты документов хранились в закрытом помещении, доступном только членам группы.

Работа была сосредоточена на обновлении DO-178B/ED-12B с учетом текущих методов, инструментов и технологий разработки программного обеспечения. ^[8]^[9]

Уровень программного обеспечения

Уровень программного обеспечения , также известный как уровень гарантии разработки (DAL) или уровень гарантии разработки элемента (IDAL), как определено в ARP4754A (DO-178C упоминает IDAL только как синоним уровня программного обеспечения). ^[10]), определяется на основе процесса оценки безопасности и анализа опасностей путем изучения последствий отказа в системе. Условия отказа классифицируются по степени их воздействия на воздушное судно, экипаж и пассажиров.

Катастрофический - отказ может привести к гибели людей, обычно с потерей самолета.
Опасно – отказ оказывает значительное негативное влияние на безопасность или производительность, или снижает способность экипажа управлять воздушным судном из-за физического дискомфорта или более высокой рабочей нагрузки, или приводит к серьезным или смертельным травмам среди пассажиров.
Серьезный — отказ существенно снижает запас безопасности или существенно увеличивает нагрузку на экипаж. Это может привести к дискомфорту пассажира (или даже к легким травмам).
Незначительная – отказ незначительно снижает запас прочности или незначительно увеличивает нагрузку на экипаж. Примерами могут быть причинение неудобств пассажирам или обычное изменение плана полета.
Отсутствие эффекта . Отказ не влияет на безопасность, работу воздушного судна или нагрузку экипажа.

DO-178C сам по себе не предназначен для обеспечения безопасности программного обеспечения. Атрибуты безопасности в проекте и реализованные функции должны получать дополнительные обязательные задачи по обеспечению безопасности системы, чтобы они могли управляться и демонстрировать объективные доказательства соответствия явным требованиям безопасности. Органы сертификации требуют, а DO-178C определяет правильный DAL, который должен быть установлен с использованием этих методов комплексного анализа для установления уровня программного обеспечения AE. «Уровень программного обеспечения устанавливает строгость, необходимую для демонстрации соответствия» DO-178C. ^[10] Любое программное обеспечение, которое управляет, контролирует и контролирует критически важные для безопасности функции, должно получить самый высокий DAL — уровень A.

Количество целей, которые необходимо удовлетворить (некоторые из них независимы), определяется уровнем программного обеспечения AE. Фраза «с независимостью» относится к разделению обязанностей, при котором объективность процессов проверки и валидации обеспечивается за счет их «независимости» от команды разработчиков программного обеспечения. Для целей, которые должны обеспечивать независимость, лицо, проверяющее элемент (например, требование или исходный код), может не быть автором элемента, и это разделение должно быть четко задокументировано. ^[11]

Уровень	Состояние отказа	Цели ^[12]	С независимостью
А	Катастрофический	71	30
Б	Опасный	69	18
С	Главный	62	5
Д	Незначительный	26	2
И	Нет эффекта безопасности	0	0

Процессы и документы

Процессы предназначены для поддержки целей в соответствии с уровнем программного обеспечения (от A до D — уровни E выходят за рамки DO-178C). В DO-178C процессы описываются как абстрактные области работы, и планировщикам реального проекта предстоит определить и задокументировать особенности того, как процесс будет выполняться. В реальном проекте необходимо показать фактические действия, которые будут выполняться в контексте процесса, для достижения целей. Эти действия определяются планировщиками проекта как часть процесса планирования.

Эта целенаправленная природа DO-178C обеспечивает большую гибкость в отношении различных стилей жизненного цикла программного обеспечения . После определения действия внутри процесса обычно ожидается, что проект будет уважать это документированное действие в рамках своего процесса. Кроме того, согласно DO-178C, процессы (и их конкретные действия) должны иметь четко определенные критерии входа и выхода, и проект должен демонстрировать, что он соблюдает эти критерии при выполнении действий в процессе.

Гибкий характер процессов DO-178C и критериев входа/выхода затрудняет реализацию с первого раза, поскольку эти аспекты абстрактны и не существует «базового набора» действий, на основе которого можно было бы работать. Цель DO-178C не заключалась в том, чтобы носить предписывающий характер. Существует множество возможных и приемлемых способов определения этих аспектов в реальном проекте. Это может быть сложно, когда компания впервые пытается разработать систему гражданской авионики в соответствии с этим стандартом и создала нишу рынка для обучения и консультирования по DO-178C.

Для общего процесса, основанного на DO-178C, этапы участия (SOI) представляют собой минимальные этапы, с которыми сертифицирующий орган участвует в проверке системы или подсистемы, как это определено EASA в Меморандуме о сертификации SWCEH - 002: Рекомендации по утверждению ПО и FAA. по заказу 8110.49: Руководство по утверждению ПО .

Прослеживаемость

DO-178 требует документированных двунаправленных связей (так называемых трассировок) между артефактами сертификации. Например, требование низкого уровня (LLR) отслеживается до требования высокого уровня (HLR), которому оно должно удовлетворять, а также прослеживается до строк исходного кода, предназначенных для его реализации, тестовых примеров, предназначенных для проверки правильность исходного кода по отношению к требованию, результатам этих тестов и т. д. Затем используется анализ прослеживаемости, чтобы гарантировать, что каждое требование выполнено исходным кодом, что каждое функциональное требование проверено тестом, что каждая строка кода исходный код имеет цель (связан с требованием) и так далее. Анализ прослеживаемости позволяет оценить полноту системы. Строгость и детализация артефактов сертификации связаны с уровнем программного обеспечения.

Отличия от ДО-178Б

SC-205/WG-12 отвечал за пересмотр DO-178B/ED-12B, чтобы привести его в соответствие с современными технологиями разработки и проверки программного обеспечения. Структура документа от B до C остается практически неизменной. Примеры изменений включают: ^[13]

Обеспечьте более понятный язык и терминологию, обеспечьте большую последовательность
Больше целей (для уровней A, B и C)
Уточнена «скрытая цель», применимая к уровню A, которая подразумевалась DO-178B в разделе 6.4.4.2b, но не указана в таблицах Приложения A. Эта цель теперь явно указана в DO-178C, Приложение A, Таблица A-7, Цель 9: «Достигнута проверка дополнительного кода, который нельзя отследить до исходного кода». ^[14]
Файлы элементов данных параметров — предоставляют отдельную информацию, которая влияет на поведение исполняемого объектного кода (без его изменения). Примером может служить файл конфигурации, который устанавливает расписание и основные временные рамки разделенной операционной системы. Файл элемента данных параметров должен быть проверен вместе с исполняемым объектным кодом, иначе он должен быть протестирован для всех возможных диапазонов элементов данных параметров.
DO-330 «Аспекты квалификации программного инструмента», новый «независимый от предметной области внешний документ», был разработан для обеспечения руководства по приемлемому процессу квалификации инструмента. Хотя DO-178B использовался в качестве основы для разработки этого нового документа, текст был адаптирован для непосредственного и отдельного применения к разработке инструментов и расширен для рассмотрения всех аспектов инструментов. Как независимый от домена, автономный документ, DO-330 предназначен для использования не только для поддержки DO-178C/ED-12C, но и DO-278 /ED-109, DO-254/ED-80 и DO. -200 , даже для неавиационных приложений, например, ISO 26262 или ECSS . ^[15] Следовательно, руководство по квалификации инструмента было удалено из DO-178C и заменено в нем руководством по принятию решения о том, когда применять руководство по квалификации инструмента DO-330 к инструментам, используемым в контексте DO-178C. ^[16]
Технологические дополнения были добавлены, чтобы расширить руководство документа DO-178C на конкретные методы. Вместо того, чтобы расширять предыдущий текст для учета всех текущих и будущих методов разработки программного обеспечения, доступны дополнения, позволяющие явно добавлять, удалять или иным образом изменять рекомендации основного стандарта для применения к конкретным методам или технологиям. Все рекомендации в этих дополнениях написаны в контексте затронутых элементов руководства в DO-178C, и поэтому их следует рассматривать как имеющие тот же уровень полномочий, что и основной документ. ^[17]
- DO-331 «Дополнение к DO-178C и DO-278A к разработке и проверке на основе моделей» — посвящено разработке и проверке на основе моделей (MBD), а также возможности использовать методы моделирования для улучшения разработки и проверки, избегая при этом ошибок, присущих некоторым моделям моделирования. методы
- DO-332 «Объектно-ориентированная технология и связанные с ней методы, дополнение к DO-178C и DO-278A» — адрес объектно-ориентированного программного обеспечения и условий, при которых оно может использоваться.
- DO-333 «Дополнение формальных методов к DO-178C и DO-278A» — рассмотрение формальных методов , дополняющих (но не заменяющих) тестирование.

Пример разницы в тексте между DO-178B и DO-178C

Глава 6.1 определяет цель процесса проверки программного обеспечения. DO-178C добавляет следующее утверждение об исполняемом объектном коде:

«Исполняемый объектный код удовлетворяет требованиям к программному обеспечению (то есть предполагаемой функции) и обеспечивает уверенность в отсутствии непредусмотренной функциональности».
«Исполняемый объектный код устойчив к требованиям программного обеспечения и может правильно реагировать на аномальные входные данные и условия».

Для сравнения, в DO-178B относительно исполняемого объектного кода говорится следующее:

«Исполняемый объектный код удовлетворяет требованиям программного обеспечения».

Дополнительные пояснения к редакции C заполнили пробел, с которым мог столкнуться разработчик программного обеспечения при интерпретации документа редакции B. ^[19]

См. также

ДО-178Б
DO-248C , вспомогательная информация для DO-178C и DO-278A
Измененное покрытие условий/решений

Ссылки

^ Программное обеспечение для участников Timberlake, 703-591-4232. «РТКА, Инк» . Rtca.org . Проверено 7 августа 2016 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
^ Шарлотта Адамс (1 сентября 2010 г.). «DO-178C близок к финишу, благодаря современным инструментам и технологиям» . Авиационная разведка . Проверено 23 октября 2010 г. Промышленность ожидает, что окончательный пакет — DO-178C — будет выпущен в первом квартале 2011 года и вступит в силу через шесть-девять месяцев после ратификации.
^ «Краткое описание разницы между DO-178B и DO-178C» . Консультанты ФАУ.com . Qualtech Consulting, Inc. Архивировано из оригинала 27 августа 2010 года . Проверено 23 октября 2010 г. Выпуск этих долгожданных стандартов произойдет в середине 2011 года и будет признан органами сертификации в 2012 году.
^ Лесли А. (Шад) Джонсон. DO-178B, Вопросы программного обеспечения при сертификации бортовых систем и оборудования (в контексте разработки программного обеспечения для военных самолетов, обсуждение практиками эволюции текущей практики и применения RTCA/DO-178B) . Группа коммерческих самолетов Boeing . п. 11 . Проверено 3 марта 2022 г.
^ «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 3 сентября 2014 года . Проверено 8 августа 2013 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
^ Дейл, Крис; Андерсон, Том, ред. (2010). Достижения в области безопасности систем: материалы девятнадцатого симпозиума по системам, критичным для безопасности, Саутгемптон, Великобритания, 8-10 февраля 2011 г. Лондон: Спрингер. стр. 298–299. ISBN 9780857291325 .
^ «Пленарное заседание SC-205/WG-71» . Архивировано из оригинала 19 июля 2011 года . Проверено 18 сентября 2010 г.
^ Билл Стклер и Тим Кинг (7 марта 2012 г.). «DO-178C привносит современные технологии в разработку критически важного для безопасности программного обеспечения» . Военные встраиваемые системы . Проверено 17 апреля 2012 г.
^ «DO-178C расширяет возможности разработки программного обеспечения для авионики, критически важного для безопасности» . Электронный дизайн . Проверено 17 апреля 2012 г.
^ Jump up to: ^а ^б RTCA/DO-178C «Аспекты программного обеспечения при сертификации бортовых систем и оборудования», стр. 116. «Одним из примеров является термин «уровень обеспечения разработки элемента» (IDAL), который для программного обеспечения является синонимом термина «уровень программного обеспечения».
^ RTCA/DO-178C «Аспекты программного обеспечения при сертификации бортовых систем и оборудования», стр. 41
^ RTCA/DO-178C «Аспекты программного обеспечения при сертификации бортовых систем и оборудования», Приложение A
^ «Краткий обзор национального совещания ФАУ по программному и аппаратному обеспечению HighRely включает статус DO-178C» . 2006 год . Проверено 30 сентября 2009 г. DO-178C будет содержать более подробную информацию о программном моделировании и потенциальной возможности использования моделирования для замены некоторых методов проверки, обычно требуемых в DO-178B. DO-178C также более полно рассматривает ОО (объектно-ориентированное) программное обеспечение и условия, при которых оно может использоваться, а также последствия сертификации ОО в DO-178C.
^ Аспекты программного обеспечения RTCA/DO-178C при сертификации бортовых систем и оборудования . РТКА, Инк. 2011.
^ Потон, Фредерик. «Принципы и преимущества использования DO-330/ED-215» (PDF) . валидас . Проверено 3 октября 2019 г.
^ Потон, Фредерик; и др. (2012). Изменения и улучшения DO-178C/ED-12C по сравнению с DO-178B/ED-12B (PDF) . п. 49 . Проверено 5 января 2015 г.
^ Потон, стр. 43-46
^ Потон, с. 14
^ «Достижение соответствия DO-178C тестированию разработки Parasoft» . Архивировано из оригинала 11 сентября 2014 года . Проверено 7 марта 2013 г.

Внешние ссылки

Глоссарий DO-178C , 2023 г.
Шарлотта Адамс (21 октября 2010 г.). «Критически важное для безопасности программное обеспечение для критически важных приложений получит новый импульс с выпуском DO-178C» . Военная и аэрокосмическая электроника . Проверено 4 февраля 2014 г.
Шарлотта Адамс (1 сентября 2010 г.). «Изменения ядра DO-178C» . Авиационная разведка . Проверено 23 октября 2010 г.
Билл Стклер и Нэт Хиллари (2010). «DO-178C: Улучшенная сертификация экономичных систем авионики» . УМЭ и критические системы . Архивировано из оригинала 17 июля 2011 года . Проверено 23 октября 2010 г.
Джон Макхейл (8 октября 2009 г.). «Обновление до сертификации DO-178B, DO-178C, чтобы соответствовать современным тенденциям в области программного обеспечения авионики» . Авиационная разведка . Проверено 23 октября 2010 г.
Фредерик Потон (2012). «DO-178C/ED-12C против DO-178B/ED-12B: изменения и улучшения» . Откройте ДО . Проверено 23 октября 2010 г.

[1] Программное обеспечение для участников Timberlake, 703-591-4232. «РТКА, Инк» . Rtca.org . Проверено 7 августа 2016 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )

[2] Шарлотта Адамс (1 сентября 2010 г.). «DO-178C близок к финишу, благодаря современным инструментам и технологиям» . Авиационная разведка . Проверено 23 октября 2010 г. Промышленность ожидает, что окончательный пакет — DO-178C — будет выпущен в первом квартале 2011 года и вступит в силу через шесть-девять месяцев после ратификации.

[3] «Краткое описание разницы между DO-178B и DO-178C» . Консультанты ФАУ.com . Qualtech Consulting, Inc. Архивировано из оригинала 27 августа 2010 года . Проверено 23 октября 2010 г. Выпуск этих долгожданных стандартов произойдет в середине 2011 года и будет признан органами сертификации в 2012 году.

[Johnson11-4] Лесли А. (Шад) Джонсон. DO-178B, Вопросы программного обеспечения при сертификации бортовых систем и оборудования (в контексте разработки программного обеспечения для военных самолетов, обсуждение практиками эволюции текущей практики и применения RTCA/DO-178B) . Группа коммерческих самолетов Boeing . п. 11 . Проверено 3 марта 2022 г.

[5] «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 3 сентября 2014 года . Проверено 8 августа 2013 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )

[advances-6] Дейл, Крис; Андерсон, Том, ред. (2010). Достижения в области безопасности систем: материалы девятнадцатого симпозиума по системам, критичным для безопасности, Саутгемптон, Великобритания, 8-10 февраля 2011 г. Лондон: Спрингер. стр. 298–299. ISBN 9780857291325 .

[7] «Пленарное заседание SC-205/WG-71» . Архивировано из оригинала 19 июля 2011 года . Проверено 18 сентября 2010 г.

[8] Билл Стклер и Тим Кинг (7 марта 2012 г.). «DO-178C привносит современные технологии в разработку критически важного для безопасности программного обеспечения» . Военные встраиваемые системы . Проверено 17 апреля 2012 г.

[9] «DO-178C расширяет возможности разработки программного обеспечения для авионики, критически важного для безопасности» . Электронный дизайн . Проверено 17 апреля 2012 г.

[ReferenceA-10] Jump up to: ^а ^б RTCA/DO-178C «Аспекты программного обеспечения при сертификации бортовых систем и оборудования», стр. 116. «Одним из примеров является термин «уровень обеспечения разработки элемента» (IDAL), который для программного обеспечения является синонимом термина «уровень программного обеспечения».

[11] RTCA/DO-178C «Аспекты программного обеспечения при сертификации бортовых систем и оборудования», стр. 41

[12] RTCA/DO-178C «Аспекты программного обеспечения при сертификации бортовых систем и оборудования», Приложение A

[13] «Краткий обзор национального совещания ФАУ по программному и аппаратному обеспечению HighRely включает статус DO-178C» . 2006 год . Проверено 30 сентября 2009 г. DO-178C будет содержать более подробную информацию о программном моделировании и потенциальной возможности использования моделирования для замены некоторых методов проверки, обычно требуемых в DO-178B. DO-178C также более полно рассматривает ОО (объектно-ориентированное) программное обеспечение и условия, при которых оно может использоваться, а также последствия сертификации ОО в DO-178C.

[14] Аспекты программного обеспечения RTCA/DO-178C при сертификации бортовых систем и оборудования . РТКА, Инк. 2011.

[15] Потон, Фредерик. «Принципы и преимущества использования DO-330/ED-215» (PDF) . валидас . Проверено 3 октября 2019 г.

[16] Потон, Фредерик; и др. (2012). Изменения и улучшения DO-178C/ED-12C по сравнению с DO-178B/ED-12B (PDF) . п. 49 . Проверено 5 января 2015 г.

[17] Потон, стр. 43-46

[18] Потон, с. 14

[19] «Достижение соответствия DO-178C тестированию разработки Parasoft» . Архивировано из оригинала 11 сентября 2014 года . Проверено 7 марта 2013 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

Фон