DO-178C

Estándar internacional de software aeronáutico

DO-178C, Consideraciones de software en la certificación de sistemas y equipos aerotransportados es el documento principal mediante el cual las autoridades de certificación como la FAA , la EASA y Transport Canada aprueban todos los sistemas aeroespaciales comerciales basados ​​en software. El documento es publicado por RTCA, Incorporated , en un esfuerzo conjunto con EUROC y reemplaza al DO-178B . El nuevo documento se llama DO-178C/ED-12C y se completó en noviembre de 2011 y fue aprobado por la RTCA en diciembre de 2011. Estuvo disponible para la venta y el uso en enero de 2012. ^{[1] [2] [3]}

A excepción de la FAR 33 / JAR E, las Regulaciones Federales de Aviación no hacen referencia directa a la aeronavegabilidad del software. ^[4] El 19 de julio de 2013, la FAA aprobó la AC 20-115C , designando a DO-178C como un "medio aceptable reconocido, pero no el único medio, para demostrar el cumplimiento de las regulaciones de aeronavegabilidad FAR aplicables para los aspectos de software de los sistemas y equipos de a bordo". ^[5]

Fondo

Desde la publicación de la DO-178B , los representantes de ingeniería designados (DER) de la FAA han pedido enérgicamente que se aclaren o refinen las definiciones y los límites entre los conceptos clave de la DO-178B de requisitos de alto nivel, requisitos de bajo nivel y requisitos derivados, y que se definan mejor los criterios de entrada y salida entre los requisitos de los sistemas y el diseño del sistema (véase ARP4754 ) y los de los requisitos de software y el diseño de software (que es el dominio de la DO-178B). Otras preocupaciones incluían el significado de la verificación en un paradigma de desarrollo basado en modelos y consideraciones para reemplazar algunas o todas las actividades de prueba de software con simulación de modelos o métodos formales. La publicación de la DO-178C y los documentos complementarios DO-278A (Sistemas de tierra), DO-248C (Información adicional con fundamentos para cada objetivo de la DO-178C), DO-330 (Calificación de herramientas), DO-331 (Modelado), DO-332 (Orientado a objetos) y DO-333 (Métodos formales) se crearon para abordar los problemas observados. Los miembros del SC-205 trabajaron con el comité SAE S-18 para garantizar que ARP4754A y los documentos DO-xxx mencionados anteriormente proporcionen un proceso unificado y vinculado con criterios complementarios.

En general, la DO-178C conserva la mayor parte del texto de la DO-178B, lo que ha suscitado inquietudes de que los problemas con la DO-178B, como la ambigüedad sobre el concepto de requisitos de bajo nivel, podrían no resolverse por completo. ^[6]

Organización del comité

El trabajo del comité conjunto RTCA/EUROCAE se dividió en siete subgrupos:

• SG1: Integración de documentos del SCWG
• SG2: Problemas y fundamentos
• SG3: Calificación de herramientas
• SG4: Desarrollo y verificación basados ​​en modelos
• SG5: Tecnología orientada a objetos
• SG6: Métodos formales
• SG7: Consideraciones relacionadas con la seguridad

El subgrupo de Desarrollo y Verificación Basados ​​en Modelos (SG4) fue el más grande de los grupos de trabajo. Todo el trabajo se recopila y coordina a través de un sitio web que es un mecanismo de gestión del trabajo colaborativo. ^[7] Los artefactos de trabajo y los documentos borrador se guardaron en un área restringida disponible solo para los miembros del grupo.

El trabajo se centró en actualizar el DO-178B/ED-12B con respecto a las prácticas, herramientas y tecnologías de desarrollo de software actuales. ^{[8] [9]}

Nivel de software

El nivel de software , también conocido como nivel de garantía de desarrollo (DAL) o nivel de garantía de desarrollo de ítem (IDAL) según se define en ARP4754 (DO-178C solo menciona IDAL como sinónimo de nivel de software ^[10] ), se determina a partir del proceso de evaluación de seguridad y análisis de riesgos mediante el examen de los efectos de una condición de falla en el sistema. Las condiciones de falla se clasifican según sus efectos en la aeronave, la tripulación y los pasajeros.

• Catastrófico : Una falla puede causar muertes, generalmente con pérdida de la aeronave.
• Peligroso : La falla tiene un gran impacto negativo en la seguridad o el rendimiento, o reduce la capacidad de la tripulación para operar la aeronave debido a angustia física o una mayor carga de trabajo, o causa lesiones graves o fatales entre los pasajeros.
• Grave : la falla reduce significativamente el margen de seguridad o aumenta significativamente la carga de trabajo de la tripulación. Puede provocar incomodidad a los pasajeros (o incluso lesiones leves).
• Menor : falla que reduce levemente el margen de seguridad o aumenta levemente la carga de trabajo de la tripulación. Algunos ejemplos pueden incluir causar inconvenientes a los pasajeros o un cambio rutinario en el plan de vuelo.
• Sin efecto : la falla no tiene impacto en la seguridad, la operación de la aeronave o la carga de trabajo de la tripulación.

La DO-178C por sí sola no pretende garantizar los aspectos de seguridad del software. Los atributos de seguridad en el diseño y tal como se implementan como funcionalidad deben recibir tareas de seguridad del sistema obligatorias adicionales para impulsar y mostrar evidencia objetiva de que se cumplen los requisitos de seguridad explícitos. Las autoridades de certificación requieren y la DO-178C especifica que se establezca el DAL correcto utilizando estos métodos de análisis integrales para establecer el AE de nivel de software. "El nivel de software establece el rigor necesario para demostrar el cumplimiento" con la DO-178C. ^[10] Cualquier software que ordene, controle y monitoree funciones críticas para la seguridad debe recibir el DAL más alto: Nivel A.

El número de objetivos que se deben satisfacer (algunos con independencia) está determinado por el AE del nivel de software. La frase "con independencia" se refiere a una separación de responsabilidades donde la objetividad de los procesos de verificación y validación está asegurada en virtud de su "independencia" del equipo de desarrollo de software. Para los objetivos que deben satisfacerse con independencia, la persona que verifica el elemento (como un requisito o código fuente) puede no ser la persona que creó el elemento y esta separación debe estar claramente documentada. ^[11]

Procesos y documentos

Los procesos tienen como objetivo respaldar los objetivos, según el nivel de software (A a D; el nivel E estaba fuera del alcance de DO-178C). Los procesos se describen como áreas abstractas de trabajo en DO-178C, y corresponde a los planificadores de un proyecto real definir y documentar los detalles específicos de cómo se llevará a cabo un proceso. En un proyecto real, se deben demostrar las actividades reales que se realizarán en el contexto de un proceso para respaldar los objetivos. Estas actividades son definidas por los planificadores del proyecto como parte del proceso de Planificación.

Esta naturaleza basada en objetivos de la DO-178C permite una gran flexibilidad en lo que respecta al seguimiento de diferentes estilos de ciclo de vida del software . Una vez que se ha definido una actividad dentro de un proceso, generalmente se espera que el proyecto respete esa actividad documentada dentro de su proceso. Además, los procesos (y sus actividades concretas) deben tener criterios de entrada y salida bien definidos, de acuerdo con la DO-178C, y un proyecto debe demostrar que está respetando esos criterios a medida que realiza las actividades en el proceso.

La naturaleza flexible de los procesos y criterios de entrada y salida de la DO-178C dificulta su implementación la primera vez, porque estos aspectos son abstractos y no existe un "conjunto básico" de actividades a partir del cual trabajar. La intención de la DO-178C no era ser prescriptiva. Existen muchas formas posibles y aceptables para que un proyecto real defina estos aspectos. Esto puede resultar difícil la primera vez que una empresa intenta desarrollar un sistema de aviónica civil bajo esta norma, y ​​ha creado un nicho de mercado para la capacitación y consultoría de la DO-178C.

Para un proceso genérico basado en DO-178C, las Etapas de Participación (SOI) son las puertas mínimas en las que una Autoridad de Certificación se involucra en la revisión de un sistema o subsistema según lo define EASA en el Memorando de Certificación SWCEH – 002: Directrices de Aprobación de SW y la FAA en la Orden 8110.49: Directrices de Aprobación de SW.

Trazabilidad

Diagrama que ilustra el rastreo bidireccional requerido entre los artefactos de certificación, según lo exige la norma RTCA DO-178C. Los trazos finos de color azul y los recuadros rellenos de azul son necesarios solo para el Nivel A. Los trazos de color violeta y los recuadros rellenos de violeta son necesarios para los Niveles A, B y C. Los trazos gruesos de color verde y los recuadros rellenos de verde son para los Niveles A, B, C y D. El Nivel E no requiere ningún rastreo. Las referencias en cada flecha de rastreo representan referencias a la norma para el objetivo, la actividad y la revisión/verificación, respectivamente.

La DO-178 requiere conexiones bidireccionales documentadas (denominadas trazas) entre los artefactos de certificación. Por ejemplo, se traza un Requisito de Bajo Nivel (LLR) hasta un Requisito de Alto Nivel (HLR) que se pretende satisfacer, mientras que también se traza hasta las líneas de código fuente destinadas a implementarlo, los casos de prueba destinados a verificar la corrección del código fuente con respecto al requisito, los resultados de esas pruebas, etc. Luego se utiliza un análisis de trazabilidad para garantizar que cada requisito se cumpla con el código fuente, que cada requisito funcional se verifique mediante una prueba, que cada línea de código fuente tenga un propósito (esté conectada con un requisito), etc. El análisis de trazabilidad accede a la integridad del sistema. El rigor y el detalle de los artefactos de certificación están relacionados con el nivel de software.

Diferencias con DO-178B

El SC-205/WG-12 fue responsable de revisar el DO-178B/ED-12B para actualizarlo con respecto a las tecnologías actuales de desarrollo y verificación de software. La estructura del documento sigue siendo en gran medida la misma de B a C. Algunos ejemplos de cambios incluyen: ^[13]

• Proporcionar un lenguaje y una terminología más claros y brindar mayor coherencia.
• Más objetivos (para los niveles A, B y C)
• Se aclaró el "objetivo oculto", aplicable al Nivel A, que estaba implícito en la DO-178B en la sección 6.4.4.2b pero que no figuraba en las tablas del Anexo A. Este objetivo ahora figura explícitamente en la DO-178C, Anexo A, Tabla A-7, Objetivo 9: "Se logra la verificación del código adicional, que no se puede rastrear hasta el Código fuente". ^[14]
• Archivos de elementos de datos de parámetros: proporcionan información independiente que influye en el comportamiento de un código de objeto ejecutable (sin modificarlo). Un ejemplo sería un archivo de configuración que establece el cronograma y los principales marcos de tiempo de un sistema operativo particionado. El archivo de elementos de datos de parámetros debe verificarse junto con el código de objeto ejecutable o, de lo contrario, debe probarse para todos los rangos posibles de elementos de datos de parámetros.
• DO-330 "Consideraciones de calificación de herramientas de software", un nuevo "documento externo e independiente del dominio", se desarrolló para proporcionar orientación para un proceso de calificación de herramientas aceptable. Si bien DO-178B se utilizó como base para el desarrollo de este nuevo documento, el texto se adaptó para que se aplicara de manera directa e independiente al desarrollo de herramientas y se amplió para abordar todos los aspectos de las herramientas. Como documento independiente del dominio, DO-330 está destinado a usarse no solo en apoyo de DO-178C/ED-12C, sino también de DO-278/ED-109, DO-254/ED-80 y DO-200, incluso para aplicaciones no aeronáuticas, por ejemplo, ISO 26262 o ECSS . ^[15] En consecuencia, la guía de calificación de herramientas se eliminó en DO-178C, y se reemplazó en ella con una guía para decidir cuándo aplicar la guía de calificación de herramientas DO330 a las herramientas utilizadas en un contexto DO-178C. ^[16]
• Se añadieron suplementos tecnológicos para ampliar la orientación del documento DO-178C a técnicas específicas. En lugar de ampliar el texto anterior para dar cabida a todas las técnicas de desarrollo de software actuales y futuras, se han puesto a disposición suplementos para añadir, eliminar o modificar de otro modo de forma explícita la orientación de la norma básica para su aplicación a técnicas o tecnologías específicas. Toda la orientación de estos suplementos está escrita en el contexto de los elementos de orientación afectados en DO-178C y, por tanto, debe considerarse que tiene el mismo nivel de autoridad que ese documento básico. ^[17]
  • DO-331 "Suplemento de desarrollo y verificación basados ​​en modelos para DO-178C y DO-278A": aborda el desarrollo y la verificación basados ​​en modelos (MBD) y la capacidad de utilizar técnicas de modelado para mejorar el desarrollo y la verificación, evitando al mismo tiempo los problemas inherentes a algunos métodos de modelado.
  • DO-332 "Suplemento de tecnología orientada a objetos y técnicas relacionadas a DO-178C y DO-278A": aborda el software orientado a objetos y las condiciones bajo las cuales puede utilizarse
  • DO-333 "Suplemento de métodos formales a DO-178C y DO-278A": aborda los métodos formales para complementar (pero no reemplazar) las pruebas

Pautas vs. orientación

La DO-178B no fue completamente coherente en el uso de los términos directrices y orientación dentro del texto. "Orientación" transmite un sentido de obligación ligeramente más fuerte que "directrices". Por ello, con la DO-178C, el SCWG ha decidido utilizar "orientación" para todas las declaraciones que se consideran "recomendaciones", reemplazando las instancias restantes de "directrices" por "información complementaria" y utilizando esa frase dondequiera que el texto esté más orientado a la "información" que a la "recomendación".

Todo el documento DO-248C /ED-94C, Información complementaria para DO-178C y DO-278A , cae dentro de la categoría de "información complementaria", no de orientación. ^[18]

Diferencia de texto de muestra entre DO-178B y DO-178C

El capítulo 6.1 define el propósito del proceso de verificación de software. DO-178C agrega la siguiente declaración sobre el código de objeto ejecutable:

• "El código objeto ejecutable satisface los requisitos del software (es decir, la función prevista) y proporciona confianza en la ausencia de funcionalidad no deseada".
• "El código objeto ejecutable es robusto con respecto a los requisitos del software de que puede responder correctamente a entradas y condiciones anormales".

A modo de comparación, DO-178B establece lo siguiente con respecto al código de objeto ejecutable:

• "El código objeto ejecutable satisface los requisitos del software".

La aclaración adicional de la Revisión C llenó un vacío que un desarrollador de software podría haber encontrado al interpretar el documento de la Revisión B. ^[19]

Véase también

• DO-178B
• DO-248C , Información complementaria para DO-178C y DO-278A
• Cobertura por condición/decisión modificada

Referencias

1. Software de membresía de Timberlake, 703-591-4232. "Rtca, Inc". Rtca.org . Consultado el 7 de agosto de 2016 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
2. Charlotte Adams (1 de septiembre de 2010). "DO-178C se acerca a su meta, con mérito por las herramientas y tecnologías modernas". Avionics Intelligence . Consultado el 23 de octubre de 2010. La industria espera que el paquete final —DO-178C— se lance en el primer trimestre de 2011 y que se expida entre seis y nueve meses después de la ratificación.
3. "Resumen de la diferencia entre DO-178B y DO-178C". FAA Consultants.com . Qualtech Consulting, Inc. Archivado desde el original el 27 de agosto de 2010 . Consultado el 23 de octubre de 2010 . La publicación de estas normas, que se esperaban desde hace tiempo, se producirá a mediados de 2011 y serán reconocidas por las autoridades de certificación en 2012.
4. Leslie A. (Schad) Johnson. DO-178B, Consideraciones de software en la certificación de sistemas y equipos aerotransportados (en el contexto del desarrollo de software para aeronaves militares, un análisis profesional de la evolución de la práctica actual y la aplicación de RTCA/DO-178B). Boeing Commercial Airplane Group . p. 11 . Consultado el 3 de marzo de 2022 .
5. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 3 de septiembre de 2014. Consultado el 8 de agosto de 2013 .{{cite web}}: CS1 maint: copia archivada como título ( enlace )
6. Dale, Chris; Anderson, Tom, eds. (2010). Avances en seguridad de sistemas: actas del XIX Simposio sobre sistemas críticos para la seguridad, Southampton, Reino Unido, 8-10 de febrero de 2011. Londres: Springer. pp. 298-299. ISBN 9780857291325.
7. "SC-205/WG-71 Plenario". Archivado desde el original el 19 de julio de 2011. Consultado el 18 de septiembre de 2010 .
8. Bill StClair y Tim King (7 de marzo de 2012). "DO-178C aporta tecnología moderna al desarrollo de software crítico para la seguridad". Military Embedded Systems . Consultado el 17 de abril de 2012 .
9. "DO-178C mejora el desarrollo de software de aviónica crítico para la seguridad". Diseño electrónico . Consultado el 17 de abril de 2012 .
10. RTCA/DO-178C "Consideraciones sobre software en la certificación de sistemas y equipos aerotransportados", pág. 116. "Un ejemplo es el término "nivel de garantía de desarrollo de elementos" (IDAL), que en el caso del software es sinónimo del término "nivel de software".
11. RTCA/DO-178C "Consideraciones de software en la certificación de sistemas y equipos aerotransportados", pág. 41
12. RTCA/DO-178C "Consideraciones de software en la certificación de sistemas y equipos aerotransportados", Anexo A
13. "La sinopsis de HighRely de la reunión nacional de software y hardware de la FAA incluye el estado de DO-178C". 2006 . Consultado el 30 de septiembre de 2009 . DO-178C contendrá más detalles sobre el modelado de software y la capacidad potencial de utilizar el modelado para reemplazar algunas de las técnicas de verificación normalmente requeridas en DO-178B. DO-178C también abordará más completamente el software OO (orientado a objetos) y las condiciones bajo las cuales se puede utilizar y las ramificaciones de certificación de OO en DO-178C.
14. RTCA/DO-178C Consideraciones de software en la certificación de sistemas y equipos aerotransportados . RTCA, Inc. 2011.
15. Pothon, Frédéric. "Principios y beneficios del uso de DO-330/ED-215" (PDF) . validas . Consultado el 3 de octubre de 2019 .
16. Pothon, Frédéric; et al. (2012). DO-178C/ED-12C versus DO-178B/ED-12B Cambios y mejoras (PDF) . pag. 49 . Consultado el 5 de enero de 2015 .
17. Pothon, págs. 43-46
18. Pothón, pág. 14
19. "Lograr el cumplimiento de la norma DO-178C con las pruebas de desarrollo de Parasoft". Archivado desde el original el 11 de septiembre de 2014 . Consultado el 7 de marzo de 2013 .

Enlaces externos

• Glosario DO-178C, 2023
• Charlotte Adams (21 de octubre de 2010). "El software de seguridad crítica para aplicaciones de misión crítica recibe un impulso con el lanzamiento del DO-178C". Military & Aerospace Electronics . Consultado el 4 de febrero de 2014 .
• Charlotte Adams (1 de septiembre de 2010). «Cambios en el núcleo del DO-178C». Avionics Intelligence . Consultado el 23 de octubre de 2010 .
• Bill StClair y Nat Hillary (2010). "DO-178C: Certificación mejorada para sistemas de aviónica rentables". VME y sistemas críticos . Archivado desde el original el 17 de julio de 2011. Consultado el 23 de octubre de 2010 .
• John McHale (8 de octubre de 2009). "Actualización a la certificación DO-178B, DO-178C, para abordar las tendencias de software de aviónica moderna". Avionics Intelligence . Consultado el 23 de octubre de 2010 .
• Frederic Pothon (2012). "DO-178C/ED-12C vs DO-178B/ED-12B: Cambios y mejoras". Open DO . Consultado el 23 de octubre de 2010 .