DO-178C, Consideraciones de software en la certificación de equipos y sistemas aerotransportados es el documento principal mediante el cual las autoridades de certificación como FAA , EASA y Transport Canada aprueban todos los sistemas aeroespaciales comerciales basados en software. El documento es publicado por RTCA, Incorporated , en un esfuerzo conjunto con EUROCAE , y reemplaza a DO-178B . El nuevo documento se llama DO-178C / ED-12C y se completó en noviembre de 2011 y fue aprobado por la RTCA en diciembre de 2011. Estuvo disponible para la venta y uso en enero de 2012. [1] [2] [3]
Ultima versión | 5 de enero de 2012 |
---|---|
Organización | |
Dominio | Aviación |
Abreviatura |
|
La FAA aprobó AC 20-115C [4] el 19 de julio de 2013, haciendo del DO-178C un medio reconocido "aceptable, pero no el único, para demostrar el cumplimiento de las regulaciones de aeronavegabilidad aplicables para los aspectos de software de los sistemas de a bordo y la certificación de equipos. "
Fondo
Desde el lanzamiento de DO-178B , los DER ( Representantes de ingeniería designados por la FAA ) han hecho fuertes llamamientos para aclarar / perfeccionar las definiciones y los límites entre los conceptos clave DO-178B de requisitos de alto nivel, requisitos de bajo nivel y derivados. requisitos y una mejor definición de los criterios de salida / entrada entre los requisitos del sistema y el diseño del sistema (ver ARP4754 ) y el de los requisitos del software y el diseño del software (que es el dominio de DO-178B). Otras preocupaciones incluyeron el significado de verificación en un paradigma de desarrollo basado en modelos y consideraciones para reemplazar algunas o todas las actividades de prueba de software con simulación de modelos o métodos formales. La publicación de DO-178C y los documentos complementarios DO-278A (Ground Systems), DO-248C (Información adicional con la justificación de cada objetivo DO-178C), DO-330 (Calificación de herramientas), DO-331 (Modelado), DO -332 (Orientado a objetos) y DO-333 (Métodos formales) se crearon para abordar los problemas señalados. Los miembros de SC-205 trabajaron con el comité SAE S-18 para garantizar que ARP4754A y los documentos DO-xxx mencionados anteriormente brinden un proceso unificado y vinculado con criterios complementarios.
En general, DO-178C mantiene la mayor parte del texto DO-178B, lo que ha planteado preocupaciones de que los problemas con DO-178B, como la ambigüedad sobre el concepto de requisitos de bajo nivel, pueden no resolverse por completo. [5]
Organización del comité
El trabajo del comité conjunto RTCA / EUROCAE se dividió en siete subgrupos:
- SG1: Integración de documentos SCWG
- SG2: Problemas y justificación
- SG3: Calificación de herramientas
- SG4: Desarrollo y verificación basados en modelos
- SG5: Tecnología orientada a objetos
- SG6: Métodos formales
- SG7: Consideraciones relacionadas con la seguridad
El subgrupo de Verificación y Desarrollo Basado en Modelos (SG4) fue el más grande de los grupos de trabajo. Todo el trabajo se recopila y coordina a través de un sitio web que es un mecanismo de gestión del trabajo colaborativo. [6] Los artefactos de trabajo y los borradores de documentos se mantuvieron en un área restringida disponible solo para los miembros del grupo.
El trabajo se centró en actualizar DO-178B / ED-12B con respecto a las prácticas, herramientas y tecnologías actuales de desarrollo de software. [7] [8]
Nivel de software
El Nivel de software , también conocido como Nivel de garantía de diseño (DAL) o Nivel de garantía de desarrollo de elementos (IDAL), según se define en ARP4754 (DO-178C solo menciona IDAL como sinónimo de Nivel de software [9] ), se determina a partir del proceso de evaluación de seguridad. y análisis de peligros mediante el examen de los efectos de una condición de falla en el sistema. Las condiciones de falla se clasifican por sus efectos en la aeronave, la tripulación y los pasajeros.
- Catastrófico : la falla puede causar la muerte, generalmente con la pérdida del avión.
- Peligroso : la falla tiene un gran impacto negativo en la seguridad o el rendimiento, o reduce la capacidad de la tripulación para operar la aeronave debido a angustia física o una mayor carga de trabajo, o causa lesiones graves o fatales entre los pasajeros.
- Mayor : la falla reduce significativamente el margen de seguridad o aumenta significativamente la carga de trabajo de la tripulación. Puede provocar molestias a los pasajeros (o incluso lesiones leves).
- Menor : la falla reduce ligeramente el margen de seguridad o aumenta ligeramente la carga de trabajo de la tripulación. Los ejemplos pueden incluir causar molestias a los pasajeros o un cambio de plan de vuelo de rutina.
- Sin efecto : la falla no tiene impacto en la seguridad, la operación de la aeronave o la carga de trabajo de la tripulación.
DO-178C por sí solo no pretende garantizar los aspectos de seguridad del software. Los atributos de seguridad en el diseño y tal como se implementan como funcionalidad deben recibir tareas de seguridad del sistema obligatorias adicionales para conducir y mostrar evidencia objetiva del cumplimiento de requisitos de seguridad explícitos. Las autoridades de certificación requieren y DO-178C especifica que se establezca el DAL correcto utilizando estos métodos de análisis integrales para establecer el nivel de software AE. "El nivel de software establece el rigor necesario para demostrar el cumplimiento" con DO-178C. [9] Cualquier software que ordene, controle y monitoree funciones críticas para la seguridad debe recibir el DAL más alto - Nivel A.
El número de objetivos a cumplir (algunos con independencia) está determinado por el nivel de software AE. La frase "con independencia" se refiere a una separación de responsabilidades donde la objetividad de los procesos de verificación y validación está asegurada en virtud de su "independencia" del equipo de desarrollo de software. Para los objetivos que deben satisfacerse con independencia, la persona que verifica el elemento (como un requisito o un código fuente) puede no ser la persona que creó el elemento y esta separación debe estar claramente documentada. [10]
Nivel | Condición de falla | Objetivos [11] | Con independencia |
---|---|---|---|
A | Catastrófico | 71 | 30 |
B | Peligroso | 69 | 18 |
C | Importante | 62 | 5 |
D | Menor | 26 | 2 |
mi | Sin efecto de seguridad | 0 | 0 |
Trazabilidad
DO-178 requiere una conexión documentada (llamada rastreo) entre los artefactos de certificación. Por ejemplo, un requisito de nivel bajo (LLR) se remonta a un requisito de nivel alto (HLR). A continuación, se utiliza un análisis de trazabilidad para garantizar que el código fuente cumple cada requisito, que se prueba cada requisito, que cada línea de código fuente tiene un propósito (está conectada a un requisito), etc. La trazabilidad garantiza que el sistema esté completo. El rigor y el detalle de los artefactos de certificación están relacionados con el nivel de software.
Diferencias con DO-178B
SC-205 / WG-12 fue responsable de revisar DO-178B / ED-12B para actualizarlo con respecto a las tecnologías actuales de desarrollo y verificación de software. La estructura del documento sigue siendo en gran parte la misma de B a C. Los cambios de ejemplo incluyen: [12]
- Proporcione un lenguaje y una terminología más claros, proporcione más coherencia
- Más objetivos (para los niveles A, B y C)
- Se aclaró el "objetivo oculto", aplicable al Nivel A, que estaba implícito en DO-178B en la sección 6.4.4.2b pero que no figura en las tablas del Anexo A. Este objetivo ahora se enumera explícitamente en DO-178C, Anexo A, Tabla A-7, Objetivo 9: "Se logra la verificación de código adicional, que no se puede rastrear hasta el Código fuente". [13]
- Archivos de elementos de datos de parámetros: proporciona información separada que influye en el comportamiento de un código de objeto ejecutable (sin cambiarlo). Un ejemplo sería un archivo de configuración que establece la programación y los principales períodos de tiempo de un sistema operativo particionado. El archivo de elementos de datos de parámetros debe verificarse junto con el código de objeto ejecutable, o de lo contrario debe probarse para todos los rangos posibles de los elementos de datos de parámetros.
- DO-330 "Consideraciones de calificación de herramientas de software", un nuevo "documento externo independiente del dominio", se desarrolló para proporcionar una guía para un proceso de calificación de herramientas aceptable. Si bien se utilizó DO-178C como base para el desarrollo de este nuevo documento, el texto se adaptó para que sea aplicable directa y por separado al desarrollo de herramientas y para abordar todos los aspectos de las herramientas. Como documento independiente e independiente del dominio, DO-330 está diseñado para usarse no solo como soporte de DO-178C / ED-12C, sino también de DO-278 / ED-109, DO-254 / ED-80 , DO- 278 y DO-200 también, incluso para aplicaciones no relacionadas con la aviación, por ejemplo, ISO 26262 o ECSS . [14] En consecuencia, la guía de calificación de herramientas fue eliminada en DO-178C, reemplazada allí por una guía para decidir cuándo aplicar la guía de calificación de herramientas DO-330 a herramientas utilizadas en un contexto DO-178C. [15]
- Se agregaron suplementos tecnológicos para extender la guía del documento DO-178C a técnicas específicas. En lugar de expandir el texto anterior para dar cuenta de todas las técnicas de desarrollo de software actuales y futuras, se ofrecen suplementos para agregar, eliminar o modificar explícitamente la guía del estándar básico para su aplicación a técnicas o tecnologías específicas. Toda la orientación en estos suplementos está escrita en el contexto de los elementos de orientación afectados en DO-178C y, por lo tanto, debe considerarse al mismo nivel de autoridad que ese documento básico. [dieciséis]
- DO-331 "Suplemento de desarrollo y verificación basado en modelos para DO-178C y DO-278A": aborda el desarrollo basado en modelos (MBD) y la verificación y la capacidad de utilizar técnicas de modelado para mejorar el desarrollo y la verificación, evitando al mismo tiempo las trampas inherentes a algunos modelos. métodos
- DO-332 "Suplemento de tecnología orientada a objetos y técnicas relacionadas a DO-178C y DO-278A": direccionamiento del software orientado a objetos y las condiciones en las que se puede utilizar
- DO-333 "Suplemento de métodos formales para DO-178C y DO-278A": aborda los métodos formales para complementar (pero no reemplazar) las pruebas
Directrices frente a orientación
DO-178B no fue completamente consistente en el uso de los términos Directrices y Orientación dentro del texto. "Orientación" transmite un sentido de obligación un poco más fuerte que "directrices". Como tal, con el DO-178C, el SCWG se ha decidido por el uso de "orientación" para todas las declaraciones que se consideran "recomendaciones", reemplazando las instancias restantes de "directrices" con "información de apoyo" y utilizando esa frase siempre que el texto está más orientado a la "información" que a la "recomendación".
Todo el documento DO-248C / ED-94C, Información complementaria para DO-178C y DO-278A , se incluye en la categoría de "información complementaria", no en una guía. [17]
Diferencia de muestra entre DO-178B y DO-178C
El capítulo 6.1 define el propósito del proceso de verificación del software. DO-178C agrega la siguiente declaración sobre el Código de objeto ejecutable:
- "El código de objeto ejecutable satisface los requisitos de software (es decir, la función prevista) y proporciona confianza en ausencia de una funcionalidad no deseada".
- "El Código de objeto ejecutable es sólido con respecto a los requisitos de software y puede responder correctamente a entradas y condiciones anormales".
A modo de comparación, DO-178B establece lo siguiente con respecto al Código de objeto ejecutable:
- "El código de objeto ejecutable satisface los requisitos de software".
La aclaración adicional llena un vacío que un desarrollador de software puede encontrar al interpretar el documento. [18]
Ver también
- DO-178B
- DO-248C , información complementaria para DO-178C y DO-278A
- Cobertura de decisión / condición modificada
Referencias
- ^ Software de membresía de Timberlake, 703-591-4232. "Rtca, Inc" . Rtca.org . Consultado el 7 de agosto de 2016 .
- ^ Charlotte Adams (1 de septiembre de 2010). "DO-178C se acerca a la línea de meta, con crédito por herramientas y tecnologías modernas" . Inteligencia de aviónica . Consultado el 23 de octubre de 2010 .
La industria espera que el paquete final, DO-178C, se publique en el primer trimestre de 2011 y sea obligatorio entre seis y nueve meses después de la ratificación.
- ^ "Resumen de la diferencia entre DO-178B y DO-178C" . FAA Consultants.com . Qualtech Consulting, Inc . Consultado el 23 de octubre de 2010 .
La publicación de estos estándares tan esperados ocurrirá a mediados de 2011 y serán reconocidos por las Autoridades de Certificación en 2012.
- ^ "Copia archivada" (PDF) . Archivado desde el original (PDF) el 3 de septiembre de 2014 . Consultado el 8 de agosto de 2013 .CS1 maint: copia archivada como título ( enlace )
- ^ Dale, Chris; Anderson, Tom, eds. (2010). Avances en la seguridad de los sistemas: actas del XIX Simposio de sistemas críticos para la seguridad, Southampton, Reino Unido, 8 al 10 de febrero de 2011 . Londres: Springer. págs. 298–299. ISBN 9780857291325.
- ^ "Copia archivada" . Archivado desde el original el 19 de julio de 2011 . Consultado el 18 de septiembre de 2010 .CS1 maint: copia archivada como título ( enlace )
- ^ Bill StClair y Tim King (7 de marzo de 2012). "DO-178C aporta tecnología moderna al desarrollo de software de seguridad crítica" . Sistemas militares integrados . Consultado el 17 de abril de 2012 .
- ^ "DO-178C mejora el desarrollo de software de aviónica de seguridad crítica" . Diseño Electrónico . Diseño Electrónico . Consultado el 17 de abril de 2012 .
- ^ a b RTCA / DO-178C "Consideraciones de software en la certificación de equipos y sistemas aerotransportados", p. 116. "Un ejemplo es el término" nivel de garantía de desarrollo de elementos "(IDAL), que para software es sinónimo del término" nivel de software ".
- ^ RTCA / DO-178C "Consideraciones de software en la certificación de equipos y sistemas aerotransportados", p. 41
- ^ RTCA / DO-178C "Consideraciones de software en la certificación de equipos y sistemas aerotransportados", Anexo A
- ^ "La sinopsis de alta fiabilidad de la reunión nacional de software y hardware de la FAA incluye el estado de DO-178C" . 2006 . Consultado el 30 de septiembre de 2009 .
DO-178C contendrá más detalles sobre el modelado de software y la capacidad potencial de utilizar el modelado para reemplazar algunas de las técnicas de verificación que normalmente se requieren en DO-178B. DO-178C también abordará de manera más completa el software OO (Orientado a Objetos) y las condiciones bajo las cuales se puede usar y las ramificaciones de certificación de OO en DO-178C.
- ^ Consideraciones sobre el software RTCA / DO-178C en la certificación de equipos y sistemas de a bordo . RTCA, Inc. 2011.
- ^ Pothon, Frédéric. "Principios y beneficios del uso de DO-330 / ED-215" (PDF) . validas . Consultado el 3 de octubre de 2019 .
- ^ Pothon, Frédéric; et al. (2012). DO-178C / ED-12C versus DO-178B / ED-12B Cambios y mejoras (PDF) . pag. 49 . Consultado el 5 de enero de 2015 .
- ^ Pothon, págs. 43-46
- ^ Pothon, pág. 14
- ^ "Copia archivada" . Archivado desde el original el 11 de septiembre de 2014 . Consultado el 7 de marzo de 2013 .CS1 maint: copia archivada como título ( enlace )
enlaces externos
- Charlotte Adams (21 de octubre de 2010). "Software de seguridad crítica para aplicaciones de misión crítica que se potenciará con el lanzamiento de DO-178C" . Electrónica militar y aeroespacial . Consultado el 4 de febrero de 2014 .
- Charlotte Adams (1 de septiembre de 2010). "Cambios en el núcleo DO-178C" . Inteligencia de aviónica . Consultado el 23 de octubre de 2010 .
- Bill StClair y Nat Hillary (2010). "DO-178C: certificación mejorada para sistemas de aviónica rentables" . VME y sistemas críticos . Consultado el 23 de octubre de 2010 .
- John McHale (8 de octubre de 2009). "Actualice a la certificación DO-178B, DO-178C, para abordar las tendencias modernas del software de aviónica" . Inteligencia de aviónica . Consultado el 23 de octubre de 2010 .
- Frederic Pothon (2012). "DO-178C / ED-12C vs DO-178B / ED-12B: cambios y mejoras" . Abrir DO . Consultado el 23 de octubre de 2010 .