DO-178C - DO-178C

Havadan Sistemler ve Ekipman Sertifikasyonunda Yazılımla İlgili Hususlar
En son sürüm5 Ocak 2012 (2012-01-05)
Organizasyon
Alan adıHavacılık
Kısaltma
  • DO-178C
  • ED-12C

DO-178C, Havadaki Sistemler ve Ekipman Sertifikasyonunda Yazılımla İlgili Hususlar gibi sertifika yetkililerinin kullandığı birincil belgedir. FAA, EASA ve Kanada nakliye tüm ticari yazılım tabanlı havacılık sistemlerini onaylayın. Belge, tarafından yayınlandı RTCA, Incorporated ile ortak bir çaba içinde EUROCAE ve değiştirir DO-178B. DO-178C / ED-12C adlı yeni belge Kasım 2011'de tamamlanarak Aralık 2011'de RTCA tarafından onaylandı. Ocak 2012'de satışa ve kullanıma açıldı.[1][2][3]

FAA onayladı AC 20-115C[4] 19 Temmuz 2013 tarihinde, DO-178C'yi "hava sistemleri ve ekipman sertifikasyonunun yazılım yönleri için geçerli uçuşa elverişlilik düzenlemelerine uygunluğu göstermenin tek yolu değil, kabul edilebilir bir yöntem" haline getirmiştir.

Arka fon

Piyasaya sürüldüğünden beri DO-178B DER'ler tarafından güçlü çağrılar yapıldı (FAA Atanmış Mühendislik Temsilcileri ) yüksek seviye gereksinimler, düşük düzey gereksinimler ve türetilmiş gereksinimlerle ilgili temel DO-178B kavramları arasındaki tanımların ve sınırların açıklığa kavuşturulması / iyileştirilmesi ve sistem gereksinimleri ile sistem tasarımı arasında çıkış / giriş kriterlerinin daha iyi tanımlanması için (bkz. ARP4754 ) ve yazılım gereksinimleri ve yazılım tasarımı (DO-178B'nin alanıdır). Diğer endişeler, bir model tabanlı geliştirme paradigması ve yazılım test faaliyetlerinin bir kısmını veya tamamını model simülasyonu veya resmi yöntemlerle değiştirmeye yönelik hususlar. DO-178C ve eşlik eden belgelerin piyasaya sürülmesi DO-278A (Yer Sistemleri), DO-248C (Her bir DO-178C hedefi için gerekçeli ek bilgiler), DO-330 (Araç Yeterliliği), DO-331 (Modelleme), DO-332 (Nesneye Yönelik) ve DO-333 (Biçimsel Yöntemler) sorunları ele almak için oluşturulmuştur. not alınmış. SC-205 üyeleri, ARP4754A ve yukarıda belirtilen DO-xxx belgelerinin tamamlayıcı kriterlere sahip birleşik ve bağlantılı bir süreç sağladığından emin olmak için SAE S-18 komitesiyle birlikte çalıştı.

Genel olarak DO-178C, DO-178B metninin çoğunu saklamaktadır ve bu durum, düşük seviyeli gereksinimler kavramına ilişkin belirsizlik gibi DO-178B ile ilgili sorunların tam olarak çözülemeyebileceği konusunda endişelere yol açmaktadır.[5]

Komite organizasyonu

RTCA / EUROCAE ortak komite çalışması yedi Alt Gruba bölünmüştür:

  • SG1: SCWG Belge Entegrasyonu
  • SG2: Sorunlar ve Gerekçe
  • SG3: Takım Kalifikasyonu
  • SG4: Model Tabanlı Geliştirme ve Doğrulama
  • SG5: Nesneye Yönelik Teknoloji
  • SG6: Biçimsel Yöntemler
  • SG7: Güvenlikle İlgili Hususlar

Model Tabanlı Geliştirme ve Doğrulama alt grubu (SG4), çalışma gruplarının en büyüğüydü. Tüm işler, işbirliğine dayalı bir iş yönetim mekanizması olan bir web sitesi aracılığıyla toplanır ve koordine edilir.[6] Çalışma eserleri ve taslak belgeler, yalnızca grup üyelerinin erişebildiği sınırlı bir alanda tutuldu.

Çalışma, DO-178B / ED-12B'yi mevcut yazılım geliştirme uygulamaları, araçları ve teknolojileri açısından güncel hale getirmeye odaklanmıştır.[7][8]

Yazılım seviyesi

Yazılım Seviyesiolarak da bilinir Tasarım Güvence Seviyesi (DAL) veya Ürün Geliştirme Güvence Seviyesi (IDAL) tanımlandığı gibi ARP4754 (DO-178C, IDAL'den yalnızca Yazılım Seviyesi ile eşanlamlı olarak bahseder[9]), aşağıdakilerden belirlenir güvenlik değerlendirme süreci ve tehlike analizi sistemdeki bir arıza durumunun etkilerini inceleyerek. Arıza koşulları uçak, mürettebat ve yolcular üzerindeki etkilerine göre kategorize edilir.

  • Felaket - Başarısızlık, genellikle uçağın kaybedilmesiyle ölümlere neden olabilir.
  • Tehlikeli - Başarısızlığın güvenlik veya performans üzerinde büyük bir olumsuz etkisi vardır veya mürettebatın uçağı fiziksel tehlike veya daha yüksek iş yükü nedeniyle kullanma kabiliyetini azaltır veya yolcular arasında ciddi veya ölümcül yaralanmalara neden olur.
  • Majör - Başarısızlık güvenlik marjını önemli ölçüde azaltır veya mürettebatın iş yükünü önemli ölçüde artırır. Yolcu rahatsızlığına (veya hatta küçük yaralanmalara) neden olabilir.
  • Minör - Başarısızlık, güvenlik marjını biraz azaltır veya mürettebatın iş yükünü biraz artırır. Örnekler arasında yolcu rahatsızlığına neden olmak veya rutin bir uçuş planı değişikliği olabilir.
  • Etkisi yok - Başarısızlığın güvenlik, hava taşıtı operasyonu veya mürettebat iş yükü üzerinde hiçbir etkisi yoktur.

DO-178C, tek başına yazılım güvenliği hususlarını garanti etmeye yönelik değildir. Tasarımdaki ve işlevsellik olarak uygulandığı haliyle emniyet nitelikleri, açık emniyet gereksinimlerini karşılamanın nesnel kanıtlarını sağlamak ve göstermek için ek zorunlu sistem emniyet görevlerini almalıdır. Sertifika yetkilileri, A-E yazılım düzeyini oluşturmak için bu kapsamlı analiz yöntemlerini kullanarak doğru DAL'nin belirlenmesini ister ve DO-178C'yi belirtir. "Yazılım seviyesi, DO-178C ile uyumluluğu göstermek için gereken titizliği oluşturur".[9] Güvenlik açısından kritik işlevleri komuta eden, kontrol eden ve izleyen herhangi bir yazılım en yüksek DAL - Düzey A'yı almalıdır.

Karşılanacak hedeflerin sayısı (bazıları bağımsızdır), yazılım seviyesi A-E tarafından belirlenir. "Bağımsız" ifadesi, doğrulama ve onaylama süreçlerinin nesnelliğinin yazılım geliştirme ekibinden "bağımsızlıkları" sayesinde sağlandığı bir sorumluluklar ayrımına atıfta bulunmaktadır. Bağımsızlık ile tatmin edilmesi gereken hedefler için, öğeyi doğrulayan kişi (bir gereksinim veya kaynak kodu gibi) öğeyi yazan kişi olmayabilir ve bu ayrım açıkça belgelenmelidir.[10]

SeviyeBaşarısızlık durumuHedefler[11]Bağımsızlıkla
BirFelaket7130
BTehlikeli6918
CMajör625
DMinör262
EGüvenlik Etkisi Yok00

İzlenebilirlik

RTCA DO-178C standardının gerektirdiği şekilde sertifika eserleri arasındaki gerekli izlemeyi gösteren diyagram. Kırmızı renkli izler yalnızca Düzey A için gereklidir. Düzey A, B ve C için mor renkli izler gereklidir. Yeşil renkli izler Düzey A, B, C ve D içindir. Düzey E herhangi bir izleme gerektirmez. Her bir izleme okundaki referanslar, sırasıyla hedef, aktivite ve inceleme / doğrulama için standarda referansları temsil eder.

DO-178, sertifikasyon eserleri arasında belgelenmiş bir bağlantı (izleme adı verilir) gerektirir. Örneğin, Düşük Seviye Gereksinimi (LLR), bir Yüksek Seviye Gereksinimi (HLR) izler. Daha sonra, her bir gereksinimin kaynak kod tarafından yerine getirildiğinden, her gereksinimin test edildiğinden, her kaynak kod satırının bir amacı olduğundan (bir gereksinime bağlı olduğundan) ve benzerlerinden emin olmak için bir izlenebilirlik analizi kullanılır. İzlenebilirlik, sistemin eksiksiz olmasını sağlar. Sertifikasyon eserlerinin titizliği ve detayı, yazılım seviyesiyle ilgilidir.

DO-178B ile Farklar

SC-205, DO-178B / ED-12B'yi güncel yazılım geliştirme ve doğrulama teknolojileri açısından güncellemek için revize etmekten sorumluydu. Belgenin yapısı B'den C'ye büyük ölçüde aynı kalır. Örnek değişiklikler şunları içerir:[12]

  • Daha net bir dil ve terminoloji sağlayın, daha fazla tutarlılık sağlayın
  • Daha fazla hedef (Düzey A, B ve C için)
  • A Düzeyi için geçerli olan "gizli hedef" açıklığa kavuşturuldu. DO-178B Bölüm 6.4.4.2b'de ancak Ek A tablolarında listelenmemiş. Bu hedef artık DO-178C, Ek A, Tablo A-7, Hedef 9'da açıkça listelenmiştir: "Kaynak Kod ile izlenemeyen ek kodun doğrulanması sağlanmıştır."[13]
  • Parametre Veri Öğesi Dosyaları - Çalıştırılabilir bir nesne kodunun davranışını (değiştirmeden) etkileyen ayrı bilgiler sağlar. Örnek olarak, bölümlenmiş bir işletim sisteminin takvimini ve ana zaman çerçevelerini ayarlayan bir yapılandırma dosyası verilebilir. Parametre verisi öğesi dosyası, çalıştırılabilir nesne koduyla birlikte doğrulanmalıdır veya aksi takdirde, parametre verisi öğelerinin tüm olası aralıkları için test edilmelidir.
  • DO-330 Kabul edilebilir bir araç kalifikasyon sürecine rehberlik etmek için yeni bir "etki alanından bağımsız, harici belge" olan "Yazılım Aracı Yeterliliğine İlişkin Hususlar" geliştirilmiştir. Bu yeni belgenin geliştirilmesinin temeli olarak DO-178C kullanılırken, metin, araç geliştirmeye doğrudan ve ayrı ayrı uygulanacak ve tüm araç yönlerini ele alacak şekilde uyarlandı. Etki alanından bağımsız, bağımsız bir belge olan DO-330, yalnızca DO-178C / ED-12C'yi desteklemek için değil, DO-278 / ED-109'u desteklemek için kullanılmak üzere tasarlanmıştır. DO-254 / ED-80, DO-278, ve DO-200 havacılık dışı uygulamalar için bile, ör. ISO 26262 veya ECSS.[14] Sonuç olarak, araç yeterlilik kılavuzu DO-178C bağlamında kullanılan araçlara DO-330 araç yeterlilik kılavuzunun ne zaman uygulanacağına karar vermek için kılavuz ile değiştirildi.[15]
  • Teknoloji takviyeleri eklendi uzatmak DO-178C belgesinin belirli tekniklere rehberliği. Önceki metni tüm mevcut ve gelecekteki yazılım geliştirme tekniklerini hesaba katacak şekilde genişletmek yerine, belirli tekniklere veya teknolojilere uygulama için temel standardın kılavuzunu açıkça eklemek, silmek veya başka şekilde değiştirmek için ekler mevcuttur. Bu ilavelerdeki tüm rehberlik, DO-178C'deki etkilenen rehber unsurlar bağlamında yazılmıştır ve bu nedenle, bu temel belge ile aynı yetki seviyesinde kabul edilmelidir.[16]
    • DO-331 "DO-178C ve DO-278A için Model Tabanlı Geliştirme ve Doğrulama Eki" - Model Tabanlı Geliştirme (MBD) ve doğrulamayı ele alır ve bazı modelleme yöntemlerinin doğasında bulunan tuzaklardan kaçınırken geliştirme ve doğrulamayı iyileştirmek için modelleme tekniklerini kullanma becerisi
    • DO-332 "DO-178C ve DO-278A'ya Nesneye Yönelik Teknoloji ve İlgili Teknikler Eki" - adresleme nesne yönelimli yazılım ve kullanılabileceği koşullar
    • DO-333 "DO-178C ve DO-278A'ya Biçimsel Yöntemler Eki" - adresleme resmi yöntemler testi tamamlamak (ama değiştirmek değil)

Kılavuzlara Karşı Kılavuz

DO-178B, metin içinde Kılavuz ve Kılavuz terimlerinin kullanımında tam olarak tutarlı değildi. "Rehberlik", "kılavuzlardan" biraz daha güçlü bir yükümlülük duygusu ifade eder. Bu nedenle, DO-178C ile SCWG, "öneri" olarak kabul edilen tüm ifadeler için "rehberlik" kullanımına karar vermiş, "kılavuzların" kalan örneklerini "destekleyici bilgiler" ile değiştirmiş ve bu ifadeyi her yerde kullanmıştır. metin, "tavsiye" odaklı olmaktan çok "bilgi" odaklıdır.

Tüm DO-248C / ED-94C belgesi, DO-178C ve DO-278A için Destekleyici Bilgiler, rehberlik değil, "destekleyici bilgiler" kategorisine girer.[17]

DO-178B ve DO-178C arasındaki örnek farkı

Bölüm 6.1, yazılım doğrulama sürecinin amacını tanımlar. DO-178C, Yürütülebilir Nesne Kodu hakkında aşağıdaki ifadeyi ekler:

  • "Yürütülebilir Nesne Kodu, yazılım gereksinimlerini (yani amaçlanan işlevi) karşılar ve istenmeyen işlevsellik olmadığında güven sağlar."
  • "Yürütülebilir Nesne Kodu, anormal girişlere ve koşullara doğru şekilde yanıt verebilecek yazılım gereksinimleri açısından sağlamdır."

DO-178B, Yürütülebilir Nesne Kodu ile ilgili olarak aşağıdakileri belirtir:

  • "Yürütülebilir Nesne Kodu, yazılım gereksinimlerini karşılar."

Ek açıklama, bir yazılım geliştiricisinin belgeyi yorumlarken karşılaşabileceği bir boşluğu doldurur.[18]

Ayrıca bakınız

Referanslar

  1. ^ Timberlake Üyelik Yazılımı, 703-591-4232. "Rtca, Inc". Rtca.org. Alındı 7 Ağustos 2016.
  2. ^ Charlotte Adams (1 Eylül 2010). "DO-178C, modern araçlar ve teknolojiler için krediyle bitiş çizgisine yaklaştı". Aviyonik Zeka. Alındı 23 Ekim 2010. Endüstri, nihai paketin —DO-178C— 2011'in ilk çeyreğinde piyasaya sürülmesini ve onaylandıktan altı ila dokuz ay sonra zorunlu hale gelmesini bekliyor.
  3. ^ "DO-178B ve DO-178C Arasındaki Farkın Özeti". FAA Consultants.com. Qualtech Consulting, Inc. Alındı 23 Ekim 2010. Uzun süredir beklenen bu standartların piyasaya sürülmesi 2011'in ortalarında gerçekleşecek ve 2012'de Sertifika Yetkilileri tarafından tanınacaktır.
  4. ^ "Arşivlenmiş kopya" (PDF). Arşivlenen orijinal (PDF) 3 Eylül 2014. Alındı 2013-08-08.CS1 Maint: başlık olarak arşivlenmiş kopya (bağlantı)
  5. ^ Dale, Chris; Anderson, Tom, editörler. (2010). Sistem güvenliğindeki gelişmeler: Ondokuzuncu Güvenlik-Kritik Sistemler Sempozyumu bildirisi, Southampton, İngiltere, 8-10 Şubat 2011. Londra: Springer. s. 298–299. ISBN  9780857291325.
  6. ^ "Arşivlenmiş kopya". Arşivlenen orijinal 19 Temmuz 2011'de. Alındı 2010-09-18.CS1 Maint: başlık olarak arşivlenmiş kopya (bağlantı)
  7. ^ Bill StClair ve Tim King (7 Mart 2012). "DO-178C, güvenlik açısından kritik yazılım geliştirmeye modern teknolojiyi getiriyor". Askeri Gömülü Sistemler. Alındı 17 Nisan 2012.
  8. ^ "DO-178C, Güvenlik Açısından Kritik Aviyonik Yazılım Geliştirmeyi Geliştiriyor". Elektronik Tasarım. Elektronik Tasarım. Alındı 17 Nisan 2012.
  9. ^ a b RTCA / DO-178C "Havadaki Sistemler ve Ekipman Sertifikasyonunda Yazılımla İlgili Hususlar", s. 116. "Bir örnek, yazılım için" yazılım seviyesi "terimi ile eşanlamlı olan" öğe geliştirme güvence seviyesi "(IDAL) terimidir.
  10. ^ RTCA / DO-178C "Havadaki Sistemler ve Ekipman Sertifikasyonunda Yazılımla İlgili Hususlar", s. 41
  11. ^ RTCA / DO-178C "Havadaki Sistemler ve Ekipman Sertifikasyonunda Yazılım Hususları", Ek A
  12. ^ "Ulusal FAA Yazılım ve Donanım Toplantısının HighRely Özeti DO-178C Durumunu İçeriyor". 2006. Alındı 30 Eylül 2009. DO-178C, yazılım modelleme ve DO-178B'de normalde gerekli olan bazı doğrulama tekniklerinin yerini almak için potansiyel modelleme kullanma yeteneği hakkında daha fazla ayrıntı içerecektir. DO-178C ayrıca OO (Nesneye Yönelik) yazılımını ve kullanılabileceği koşulları ve OO'nun DO-178C'deki sertifikasyon sonuçlarını tam olarak ele alacaktır.
  13. ^ RTCA / DO-178C Havadaki Sistemler ve Ekipman Sertifikasyonunda Dikkat Edilmesi Gerekenler. RTCA, Inc. 2011.
  14. ^ Pothon, Frédéric. "DO-330 / ED-215 kullanmanın ilkeleri ve faydaları" (PDF). validas. Alındı 3 Ekim 2019.
  15. ^ Pothon, Frédéric; et al. (2012). DO-178C / ED-12C'ye karşı DO-178B / ED-12B Değişiklikler ve İyileştirmeler (PDF). s. 49. Alındı 5 Ocak 2015.
  16. ^ Pothon, s. 43-46
  17. ^ Pothon, s. 14
  18. ^ "Arşivlenmiş kopya". Arşivlenen orijinal 11 Eylül 2014. Alındı 2013-03-07.CS1 Maint: başlık olarak arşivlenmiş kopya (bağlantı)

Dış bağlantılar