INFORMATIONS SUR LE SUJET
Qu'est-ce que la norme DO-178C ?
La norme DO-178C/ED-12C, « Software Considerations in Airborne Systems and Equipment certification », est la norme de référence encadrant le développement de logiciels critiques pour la sécurité utilisés dans les avions commerciaux. Les autorités de certification aéronautique comme la Federal Aviation Administration (FAA) des États-Unis, l'Agence de la sécurité aérienne de l'Union européenne (AESA), Transports Canada et l'Administration de l'aviation civile de Chine (CAAC) l'utilisent comme un moyen acceptable de se conformer à la réglementation pour les systèmes aérospatiaux commerciaux basés sur des logiciels. Lorsqu'ils développent des logiciels critiques pour la sécurité, les fabricants peuvent s'appuyer sur DO-178C, en ayant la certitude que le code qui en résultera sera conforme aux réglementations aéronautiques appropriées.
Les règlements de sécurité militaires n'ont pas encore atteint la cohérence et la maturité des règlements civils. Cependant, les équipes peuvent utiliser DO-178C comme norme de référence dans le développement de logiciels critiques pour la sécurité destinés à des applications de défense. Bien que chaque agence militaire détermine sa propre réglementation, un nombre croissant d'entre elles exigent la conformité à DO-178C pour les systèmes critiques utilisés dans les avions militaires.
Cette norme a été élaborée conjointement par le Comité spécial #205 (SC-205) de la RTCA et le Groupe de travail #71 (WG-17) de l'EUROCAE avec plusieurs objectifs, notamment la mise à jour, la clarification et la correction de la norme précédente, DO-178B. La RTCA, anciennement appelée « Radio Technical Commission for Aeronautics », l'identifie sous le nom de DO-178C, tandis que l'EUROCAE utilise la désignation ED-12C. DO-178C énonce les normes de processus qui couvrent le cycle de vie complet du développement logiciel – développement logiciel, vérification, gestion de la configuration et assurance qualité.
La norme est axée sur des objectifs. Elle ne conseille pas de méthodes spécifiques pour les atteindre. Cette approche permet à chaque équipe de créer une mise en œuvre flexible pour chaque système dont elle est responsable. Par exemple, le logiciel d'avionique est fondamentalement différent de celui de commande du moteur, nécessitant une approche différente pour leur développement et leur vérification respectifs, ce que DO-178C autorise.
La norme fournit les orientations suivantes :
- Spécifie les objectifs des processus du cycle de vie des logiciels
- Décrit les activités à effectuer pour atteindre ces objectifs
- Décrit les produits de travail nécessaires pour prouver qu'un objectif est atteint
Le processus de DO178C comprend trois domaines interconnectés : la planification, le développement et les processus intégraux. Le processus intégral regroupe les processus de vérification et de validation, d'assurance qualité, de gestion de la configuration et de liaison avec les autorités de certification.
Niveaux d'assurance du développement (DAL) et objectifs
Les normes couvrant les systèmes fondés sur des logiciels, ARP4754A, et plus récemment ARP4754B, « Guidelines for Development of Civil Aircraft and Systems », fournissent des lignes directrices pour déterminer quel niveau d'assurance du développement s'applique au logiciel. Les DAL peuvent également être appelés niveaux d'assurance du développement d'éléments (item development assurance levels, IDAL), niveaux d'assurance de la conception ou simplement niveau logiciel.
DO-178C précise ensuite les objectifs de chaque DAL et ceux qui doivent être satisfaits en toute indépendance. Les objectifs « avec indépendance » sont des vérifications qui doivent être effectuées par une personne qui n'a pas produit l'élément vérifié. Le niveau E ne comporte aucun objectif, tandis que le niveau A est celui qui en a le plus, portant sur les conditions de défaillance qui entraînent des pertes d'aéronefs et des décès.
Niveau d'assurance du développement (DAL) | Condition de défaillance | Nombre d'objectifs | Nombre d'objectifs « avec indépendance » |
A | Défaillance catastrophique de l'aéronef – blessures potentiellement mortelles et perte de navigabilité de l'aéronef | 71 | 30 |
B | Défaillance dangereuse ou grave – blessures multiples ou décès possibles, qui ont un impact significatif sur l'équipage ou les performances de l'aéronef | 69 | 18 |
C | Défaillance majeure – gêne des passagers ou blessures mineures, des mesures importantes doivent être prises par l'équipage et les marges de sécurité sont réduites | 62 | 5 |
D | Condition de défaillance mineure – réduit légèrement les marges de sécurité, augmente légèrement la charge de travail de l'équipage et cause des inconvénients mineurs aux passagers, tels qu'un changement de plan de vol | 26 | 2 |
E | Aucun effet sur la sécurité – aucun impact sur l'exploitation de l'aéronef, la sécurité ou la charge de travail de l'équipage | 0 | 0 |
Structure du document DO-178C
La partie de la norme DO-178C consacrée au développement de logiciels est composée d'un document de base, de trois documents supplémentaires et de deux normes connexes, comme le montre la figure ci-dessous. Les trois suppléments fournissent des lignes directrices supplémentaires adaptées aux techniques spécifiques utilisées par les équipes développant leurs logiciels.
Structure du document DO-178C
DO-331 : Supplément MBDV (Model-Based Development and Verification)
Le supplément DO-331 fournit des conseils supplémentaires aux équipes qui utilisent une technique basée sur des modèles pour le développement et la vérification de logiciels.
DO-332 : Supplément OOT/RT (Object-oriented Technology and Related Techniques)
Le supplément DO-332 est applicable si l'équipe utilise des techniques orientées objet pour la programmation dans son cycle de vie de développement logiciel.
DO-333 : Supplément FM (Formal Methods)
Le supplément DO-333 s'applique lorsqu'une équipe utilise des méthodes formelles dans son cycle de vie de développement logiciel. Les méthodes formelles sont des techniques utilisées pour la spécification, le développement et la vérification de logiciels qui reposent sur des techniques mathématiques.
Chaque supplément a la même structure que le document de base (les titres des sections sont les mêmes). Pour toute section inchangée, le supplément indique explicitement qu'il n'y a pas de changement et ne reprend pas le document de base. Il identifie par ailleurs les ajouts, modifications et substitutions à DO-178C pour une technique donnée.
Deux autres documents peuvent également être considérés dans le contexte de DO-178C pour le développement de logiciels :
DO-330 : Considérations relatives à la qualification des outils logiciels
DO-330 est un document autonome qui définit les processus de qualification des outils pour les utilisateurs et les développeurs d'outils. Il n'est pas considéré comme un supplément à la norme DO-178C.
DO-248C : Informations complémentaires pour DO-178C
Le document DO-248C répond aux questions de l'industrie et des autorités réglementaires. Il contient des FAQ, des documents de travail (DPS) et des justifications.
Processus du cycle de vie de DO-178C
DO-178C est structuré en une hiérarchie de « processus », comme le montre la figure ci-dessous. Il définit trois groupes de processus de niveau supérieur :
- Le processus de planification du logiciel définit et coordonne les activités de développement du logiciel et les processus intégraux d'un projet.
- Les processus de développement logiciel produisent le produit logiciel.
- Les processus intégraux assurent l'exactitude, le contrôle et la confiance des processus du cycle de vie du logiciel et de leurs résultats. Les processus intégraux sont les suivants :
- Vérification du logiciel
- Gestion de la configuration logicielle
- Assurance qualité des logiciels
- Liaison avec les autorités concernant le logiciel
Les processus intégraux sont exécutés simultanément avec les processus de développement du logiciel et le processus de planification tout au long du cycle de vie du logiciel.
Structure des processus du cycle de vie de DO-178C
Amélioration du processus de développement et de vérification grâce au développement et à la simulation basés sur des modèles
Les techniques basées sur des modèles pour le développement et la vérification ont gagné en popularité pour les logiciels critiques, car elles offrent un moyen efficace et productif de spécifier, créer, valider et vérifier des logiciels. Dans le document supplémentaire DO-331, les modèles couverts se caractérisent comme suit :
- Modèle intégralement décrit à l'aide d'une notation de modélisation graphique ou textuelle explicitement définie
- Modèle contenant des exigences logicielles ou des définitions d'architecture logicielle
- Modèle utilisé pour l'analyse directe ou l'évaluation comportementale, tel que pris en charge par le processus de développement logiciel ou le processus de vérification du logiciel
Les outils de développement et de vérification basés sur des modèles comme la famille de produits Ansys SCADE peuvent considérablement améliorer l'efficacité et la qualité des logiciels : ils les rendent conformes aux objectifs de DO-178C/DO-331 et fournissent une documentation qui accélère le processus de certification.
Les ingénieurs peuvent faciliter la certification DO-178C de leurs logiciels embarqués critiques avec les produits SCADE suivants :
- Logiciel Ansys SCADE Architect pour la conception d'architecture logicielle en synchronisation avec la conception logicielle
- Logiciel Ansys SCADE Suite, un éditeur de conception basé sur des modèles pour la conception d'applications logicielles embarquées et la génération automatique de code sûr et sécurisé
- Logiciel Ansys SCADE Display pour la conception d'écrans embarqués, en particulier d'écrans pour systèmes avioniques, et la génération automatique de code sûr et sécurisé
- Logiciel Ansys SCADE Test (incluant SCADE Model Coverage) pour la vérification dynamique des modèles SCADE et l'analyse de la couverture des modèles
- Logiciel Ansys SCADE LifeCycle pour la gestion de la traçabilité et la génération automatique de documentation