DO-178C

Estándar internacional de software aeronáutico

DO-178C, Consideraciones de software en la certificación de equipos y sistemas aerotransportados, es el documento principal mediante el cual las autoridades de certificación como la FAA , EASA y Transport Canada aprueban todos los sistemas aeroespaciales comerciales basados ​​en software. El documento es publicado por RTCA, Incorporated , en un esfuerzo conjunto con EUROC y reemplaza DO-178B . El nuevo documento se llama DO-178C/ED-12C y se completó en noviembre de 2011 y fue aprobado por la RTCA en diciembre de 2011. Estuvo disponible para la venta y uso en enero de 2012. ^{[1] [2] [3]}

A excepción de FAR 33 / JAR E, el Reglamento Federal de Aviación no hace referencia directa a la aeronavegabilidad del software. ^[4] El 19 de julio de 2013, la FAA aprobó el AC 20-115C , designando al DO-178C como un "medio aceptable, pero no el único, reconocido para demostrar el cumplimiento de las regulaciones de aeronavegabilidad FAR aplicables para los aspectos de software de los sistemas y equipos a bordo". Certificación." ^[5]

Fondo

Desde el lanzamiento de DO-178B , ha habido fuertes llamados por parte de los DER ( Representantes de ingeniería designados por la FAA ) para que se aclaren/refinan las definiciones y los límites entre los conceptos clave de DO-178B de requisitos de alto nivel, requisitos de bajo nivel y derivados. requisitos y una mejor definición de los criterios de salida/entrada entre los requisitos de los sistemas y el diseño del sistema (ver ARP4754 ) y el de los requisitos de software y el diseño de software (que es el dominio de DO-178B). Otras preocupaciones incluyeron el significado de verificación en un paradigma de desarrollo basado en modelos y consideraciones para reemplazar algunas o todas las actividades de prueba de software con simulación de modelos o métodos formales. La publicación de DO-178C y los documentos complementarios DO-278A (Sistemas terrestres), DO-248C (Información adicional con fundamento para cada objetivo de DO-178C), DO-330 (Cualificación de herramientas), DO-331 (Modelado), DO -332 (Orientado a objetos) y DO-333 (Métodos formales) se crearon para abordar los problemas observados. Los miembros del SC-205 trabajaron con el comité SAE S-18 para garantizar que ARP4754A y los documentos DO-xxx mencionados anteriormente proporcionen un proceso unificado y vinculado con criterios complementarios.

En general, DO-178C mantiene la mayor parte del texto de DO-178B, lo que ha generado preocupaciones de que los problemas con DO-178B, como la ambigüedad sobre el concepto de requisitos de bajo nivel, puedan no resolverse por completo. ^[6]

organización del comité

El trabajo del comité conjunto RTCA/EUROCAE se dividió en siete Subgrupos:

• SG1: Integración de documentos del SCWG
• SG2: Cuestiones y justificación
• SG3: Cualificación de herramientas
• SG4: Desarrollo y verificación basados ​​en modelos
• CE5: Tecnología orientada a objetos
• SG6: Métodos formales
• SG7: Consideraciones relacionadas con la seguridad

El subgrupo de Verificación y Desarrollo Basado en Modelos (SG4) fue el más grande de los grupos de trabajo. Todo el trabajo se recopila y coordina a través de un sitio web que es un mecanismo colaborativo de gestión del trabajo. ^[7] Los artefactos de trabajo y los borradores de documentos se guardaron en un área restringida disponible únicamente para los miembros del grupo.

El trabajo se centró en actualizar DO-178B/ED-12B con respecto a las prácticas, herramientas y tecnologías de desarrollo de software actuales. ^{[8] [9]}

Nivel de software

El nivel de software , también conocido como nivel de garantía de diseño (DAL) o nivel de garantía de desarrollo de elementos (IDAL) según se define en ARP4754 (DO-178C solo menciona IDAL como sinónimo de nivel de software ^[10] ), se determina a partir del proceso de evaluación de seguridad. y análisis de peligros examinando los efectos de una condición de falla en el sistema. Las condiciones de falla se clasifican según sus efectos en la aeronave, la tripulación y los pasajeros.

• Catastrófico : la falla puede causar muertes, generalmente con pérdida del avión.
• Peligroso : la falla tiene un gran impacto negativo en la seguridad o el desempeño, o reduce la capacidad de la tripulación para operar la aeronave debido a estrés físico o una mayor carga de trabajo, o causa lesiones graves o fatales entre los pasajeros.
• Mayor : la falla reduce significativamente el margen de seguridad o aumenta significativamente la carga de trabajo de la tripulación. Puede provocar molestias al pasajero (o incluso lesiones leves).
• Menor : la falla reduce ligeramente el margen de seguridad o aumenta ligeramente la carga de trabajo de la tripulación. Los ejemplos podrían incluir causar molestias a los pasajeros o un cambio de plan de vuelo de rutina.
• Sin efecto : la falla no tiene impacto en la seguridad, la operación de la aeronave o la carga de trabajo de la tripulación.

DO-178C por sí solo no pretende garantizar los aspectos de seguridad del software. Los atributos de seguridad en el diseño y su implementación como funcionalidad deben recibir tareas obligatorias adicionales de seguridad del sistema para impulsar y mostrar evidencia objetiva de que cumplen con los requisitos de seguridad explícitos. Las autoridades de certificación exigen y DO-178C especifica que se establezca el DAL correcto utilizando estos métodos de análisis integrales para establecer el nivel de software AE. "El nivel de software establece el rigor necesario para demostrar el cumplimiento" de la DO-178C. ^[10] Cualquier software que ordene, controle y supervise funciones críticas para la seguridad debe recibir el DAL más alto: Nivel A.

El número de objetivos a cumplir (algunos con independencia) está determinado por el nivel de software AE. La frase "con independencia" se refiere a una separación de responsabilidades donde se asegura la objetividad de los procesos de verificación y validación en virtud de su "independencia" del equipo de desarrollo de software. Para objetivos que deben satisfacerse con independencia, la persona que verifica el elemento (como un requisito o código fuente) puede no ser la persona que creó el elemento y esta separación debe estar claramente documentada. ^[11]

Procesos y documentos

Los procesos están destinados a respaldar los objetivos, de acuerdo con el nivel de software (A a D; el nivel E estaba fuera del alcance de DO-178C). Los procesos se describen como áreas de trabajo abstractas en DO-178C, y corresponde a los planificadores de un proyecto real definir y documentar los detalles de cómo se llevará a cabo un proceso. En un proyecto real, se deben mostrar las actividades reales que se realizarán en el contexto de un proceso para respaldar los objetivos. Estas actividades son definidas por los planificadores del proyecto como parte del proceso de planificación.

Esta naturaleza basada en objetivos de DO-178C permite una gran flexibilidad con respecto a seguir diferentes estilos de ciclo de vida del software . Una vez que se ha definido una actividad dentro de un proceso, generalmente se espera que el proyecto respete esa actividad documentada dentro de su proceso. Además, los procesos (y sus actividades concretas) deben tener criterios de entrada y salida bien definidos, según DO-178C, y un proyecto debe demostrar que respeta esos criterios mientras realiza las actividades en el proceso.

La naturaleza flexible de los procesos y criterios de entrada/salida del DO-178C hacen que sea difícil implementarlo la primera vez, porque estos aspectos son abstractos y no existe un "conjunto básico" de actividades a partir del cual trabajar. La intención de DO-178C no era ser prescriptiva. Hay muchas formas posibles y aceptables para que un proyecto real defina estos aspectos. Esto puede resultar difícil la primera vez que una empresa intenta desarrollar un sistema de aviónica civil bajo este estándar y ha creado un nicho de mercado para la capacitación y consultoría del DO-178C.

Para un proceso genérico basado en DO-178C, las Etapas de Participación (SOI) son las puertas mínimas en las que una Autoridad de Certificación participa en la revisión de un sistema o subsistema según lo definido por EASA en el Memorando de Certificación SWCEH – 002: Directrices de aprobación de SW y FAA. en la Orden 8110.49: Directrices de Aprobación de SW.

Trazabilidad

Diagrama que ilustra el rastreo bidireccional requerido entre artefactos de certificación, según lo exige el estándar RTCA DO-178C. Los trazos finos de color azul y los cuadros rellenos de azul se requieren solo para el Nivel A. Los trazos de color púrpura y los cuadros rellenos de color púrpura son necesarios para los Niveles A, B y C. Los trazos gruesos de color verde y los cuadros rellenos de verde son para los Niveles A, B, C y D. El nivel E no requiere ningún rastreo. Las referencias en cada flecha de seguimiento representan referencias al estándar para el objetivo, la actividad y la revisión/verificación, respectivamente.

DO-178 requiere conexiones bidireccionales documentadas (llamadas trazas) entre los artefactos de certificación. Por ejemplo, un requisito de bajo nivel (LLR) se rastrea hasta un requisito de alto nivel (HLR) que debe satisfacer, mientras que también se rastrea hasta las líneas de código fuente destinadas a implementarlo, los casos de prueba destinados a verificar el exactitud del código fuente con respecto al requisito, los resultados de esas pruebas, etc. Luego se utiliza un análisis de trazabilidad para garantizar que el código fuente cumpla cada requisito, que cada requisito funcional se verifique mediante pruebas, que cada línea de el código fuente tiene un propósito (está conectado a un requisito), etc. El análisis de trazabilidad accede a la integridad del sistema. El rigor y detalle de los artefactos de certificación está relacionado con el nivel de software.

Diferencias con DO-178B

SC-205/WG-12 fue responsable de revisar DO-178B/ED-12B para actualizarlo con respecto al desarrollo de software y tecnologías de verificación actuales. La estructura del documento sigue siendo prácticamente la misma de B a C. Los cambios de ejemplo incluyen: ^[13]

• Proporcionar un lenguaje y una terminología más claros, proporcionar más coherencia.
• Más objetivos (para los niveles A, B y C)
• Se aclaró el "objetivo oculto", aplicable al Nivel A, que estaba implícito en DO-178B en la sección 6.4.4.2b pero que no figura en las tablas del Anexo A. Este objetivo ahora se enumera explícitamente en DO-178C, Anexo A, Tabla A-7, Objetivo 9: "Se logra la verificación de código adicional que no se puede rastrear hasta el Código Fuente". ^[14]
• Archivos de elementos de datos de parámetros: proporciona información separada que influye en el comportamiento de un código objeto ejecutable (sin cambiarlo). Un ejemplo sería un archivo de configuración que establece la programación y los principales períodos de tiempo de un sistema operativo particionado. El archivo de elementos de datos de parámetros debe verificarse junto con el código objeto ejecutable o, de lo contrario, debe probarse para todos los rangos posibles de elementos de datos de parámetros.
• Se desarrolló DO-330 "Consideraciones de calificación de herramientas de software", un nuevo "documento externo e independiente del dominio" para proporcionar orientación para un proceso de calificación de herramientas aceptable. Si bien se utilizó DO-178B como base para el desarrollo de este nuevo documento, el texto se adaptó para que sea aplicable directa y por separado al desarrollo de herramientas y se amplió para abordar todos los aspectos de las herramientas. Como documento independiente e independiente del dominio, DO-330 está diseñado para usarse no solo como soporte de DO-178C/ED-12C, sino también de DO-278/ED-109, DO-254/ED-80 y DO. -200 también, incluso para aplicaciones no aeronáuticas, por ejemplo, ISO 26262 o ECSS . ^[15] En consecuencia, la guía de calificación de herramientas se eliminó en DO-178C y se reemplazó con una guía para decidir cuándo aplicar la guía de calificación de herramientas DO-330 a las herramientas utilizadas en un contexto DO-178C. ^[dieciséis]
• Se agregaron suplementos tecnológicos para ampliar la orientación del documento DO-178C a técnicas específicas. En lugar de ampliar el texto anterior para dar cuenta de todas las técnicas de desarrollo de software actuales y futuras, se ofrecen suplementos para agregar, eliminar o modificar explícitamente la guía del estándar central para su aplicación a técnicas o tecnologías específicas. Todas las orientaciones contenidas en estos suplementos están escritas en el contexto de los elementos de orientación afectados en DO-178C y, por lo tanto, deben considerarse al mismo nivel de autoridad que ese documento principal. ^[17]
  • DO-331 "Suplemento de verificación y desarrollo basado en modelos para DO-178C y DO-278A": aborda el desarrollo basado en modelos (MBD) y la verificación y la capacidad de utilizar técnicas de modelado para mejorar el desarrollo y la verificación y al mismo tiempo evitar los obstáculos inherentes a algunos modelos. métodos
  • DO-332 "Suplemento de tecnología orientada a objetos y técnicas relacionadas a DO-178C y DO-278A": aborda el software orientado a objetos y las condiciones bajo las cuales se puede utilizar
  • DO-333 "Suplemento de métodos formales de DO-178C y DO-278A": aborda métodos formales para complementar (pero no reemplazar) las pruebas

Pautas versus orientación

DO-178B no fue completamente consistente en el uso de los términos Directrices y Orientaciones dentro del texto. Las "orientaciones" transmiten un sentido de obligación ligeramente más fuerte que las "directrices". Como tal, con el DO-178C, el SCWG ha decidido el uso de "orientaciones" para todas las declaraciones que se consideran "recomendaciones", reemplazando las instancias restantes de "directrices" con "información de respaldo" y utilizando esa frase siempre que el texto está más orientado a la "información" que a las "recomendaciones".

Todo el documento DO-248C /ED-94C, Información de respaldo para DO-178C y DO-278A , se incluye en la categoría de "información de respaldo", no de orientación. ^[18]

Diferencia de texto de muestra entre DO-178B y DO-178C

El Capítulo 6.1 define el propósito del proceso de verificación del software. DO-178C agrega la siguiente declaración sobre el Código de objeto ejecutable:

• "El código objeto ejecutable satisface los requisitos del software (es decir, la función prevista) y proporciona confianza en ausencia de funcionalidad no deseada".
• "El código objeto ejecutable es sólido con respecto a los requisitos del software y puede responder correctamente a entradas y condiciones anormales".

A modo de comparación, DO-178B establece lo siguiente con respecto al Código de objeto ejecutable:

• "El código objeto ejecutable satisface los requisitos del software".

La aclaración adicional de la Revisión C llenó un vacío que un desarrollador de software podría haber encontrado al interpretar el documento de la Revisión B. ^[19]

Ver también

• DO-178B
• DO-248C , Información de soporte para DO-178C y DO-278A
• Cobertura de decisión/condición modificada

Referencias

1. Software de membresía de Timberlake, 703-591-4232. "Rtca, Inc". Rtca.org . Consultado el 7 de agosto de 2016 .{{cite web}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )
2. Charlotte Adams (1 de septiembre de 2010). "DO-178C se acerca a la meta, con crédito por herramientas y tecnologías modernas". Inteligencia de aviónica . Consultado el 23 de octubre de 2010 . La industria espera que el paquete final —DO-178C— se publique en el primer trimestre de 2011 y entre seis a nueve meses después de su ratificación.
3. "Resumen de la diferencia entre DO-178B y DO-178C". FAA Consultants.com . Qualtech Consulting, Inc. Archivado desde el original el 27 de agosto de 2010 . Consultado el 23 de octubre de 2010 . La publicación de estos estándares tan esperados se producirá a mediados de 2011 y serán reconocidos por las autoridades de certificación en 2012.
4. Leslie A. (Schad) Johnson. DO-178B, Consideraciones de software en la certificación de sistemas y equipos aerotransportados (en el contexto del desarrollo de software para aeronaves militares, una discusión de un profesional sobre la evolución de la práctica actual y la aplicación de RTCA/DO-178B). Grupo de aviones comerciales Boeing . pag. 11 . Consultado el 3 de marzo de 2022 .
5. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 3 de septiembre de 2014 . Consultado el 8 de agosto de 2013 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
6. Dale, Chris; Anderson, Tom, eds. (2010). Avances en la seguridad de los sistemas: actas del Decimonoveno Simposio de sistemas críticos para la seguridad, Southampton, Reino Unido, 8 y 10 de febrero de 2011. Londres: Springer. págs. 298–299. ISBN 9780857291325.
7. "Plenaria SC-205/WG-71". Archivado desde el original el 19 de julio de 2011 . Consultado el 18 de septiembre de 2010 .
8. Bill StClair y Tim King (7 de marzo de 2012). "DO-178C aporta tecnología moderna al desarrollo de software crítico para la seguridad". Sistemas militares integrados . Consultado el 17 de abril de 2012 .
9. "DO-178C mejora el desarrollo de software de aviónica fundamental para la seguridad". Diseño Electrónico . Consultado el 17 de abril de 2012 .
10. RTCA/DO-178C "Consideraciones de software en la certificación de equipos y sistemas aerotransportados", p. 116. "Un ejemplo es el término "nivel de garantía de desarrollo de elementos" (IDAL), que para software es sinónimo del término "nivel de software".
11. RTCA/DO-178C "Consideraciones de software en la certificación de equipos y sistemas aerotransportados", p. 41
12. RTCA/DO-178C "Consideraciones de software en la certificación de equipos y sistemas aerotransportados", Anexo A
13. "La sinopsis de HighRely de la reunión nacional de software y hardware de la FAA incluye el estado DO-178C". 2006 . Consultado el 30 de septiembre de 2009 . DO-178C contendrá más detalles sobre el modelado de software y la capacidad potencial de utilizar el modelado para reemplazar algunas de las técnicas de verificación normalmente requeridas en DO-178B. DO-178C también abordará más completamente el software OO (orientado a objetos) y las condiciones bajo las cuales se puede utilizar y las ramificaciones de certificación de OO en DO-178C.
14. Consideraciones de software RTCA/DO-178C en la certificación de equipos y sistemas aerotransportados . RTCA, Inc. 2011.
15. Pothon, Frédéric. «Principios y beneficios del uso de DO-330/ED-215» (PDF) . válidas . Consultado el 3 de octubre de 2019 .
16. Pothon, Frédéric; et al. (2012). DO-178C/ED-12C versus DO-178B/ED-12B Cambios y mejoras (PDF) . pag. 49 . Consultado el 5 de enero de 2015 .
17. Potón, págs. 43-46
18. Potón, pag. 14
19. "Lograr el cumplimiento de DO-178C con las pruebas de desarrollo de Parasoft". Archivado desde el original el 11 de septiembre de 2014 . Consultado el 7 de marzo de 2013 .

enlaces externos

• Glosario DO-178C, 2023
• Charlotte Adams (21 de octubre de 2010). "El software de seguridad crítica para aplicaciones de misión crítica recibirá impulso con el lanzamiento de DO-178C". Electrónica militar y aeroespacial . Consultado el 4 de febrero de 2014 .
• Charlotte Adams (1 de septiembre de 2010). "Cambios en el núcleo DO-178C". Inteligencia de aviónica . Consultado el 23 de octubre de 2010 .
• Bill StClair y Nat Hillary (2010). "DO-178C: Certificación mejorada para sistemas de aviónica rentables". VME y Sistemas Críticos . Archivado desde el original el 17 de julio de 2011 . Consultado el 23 de octubre de 2010 .
• John McHale (8 de octubre de 2009). "Actualice a la certificación DO-178B, DO-178C, para abordar las tendencias modernas del software de aviónica". Inteligencia de aviónica . Consultado el 23 de octubre de 2010 .
• Frédéric Pothon (2012). "DO-178C/ED-12C frente a DO-178B/ED-12B: cambios y mejoras". Abrir DO . Consultado el 23 de octubre de 2010 .