DETTAGLI DELL'ARGOMENTO
Che cos'è DO-178C?
Lo standard DO-178C/ED-12C, Considerazioni sul software nella certificazione dei sistemi e delle apparecchiature aeree, è lo standard di riferimento per lo sviluppo di software critico per la sicurezza utilizzato in aeromobili commerciali. Le autorità di certificazione per l'aviazione, come la Federal Aviation Administration (FAA), l'Agenzia europea per la sicurezza aerea (EASA), Transport Canada e la Civil Aviation Administration of China (CAAC), utilizzano il documento come mezzo accettabile di conformità alle normative per sistemi aerospaziali commerciali basati su software. I produttori possono sviluppare software di importanza critica per la sicurezza utilizzando lo standard DO-178C, sapendo che il codice risultante è conforme alle normative appropriate per l'aviazione.
Le normative sulla sicurezza nel settore militare non hanno raggiunto la coerenza e la maturità delle normative civili. Tuttavia, i team possono utilizzare lo standard DO-178C come standard di riferimento per lo sviluppo di software critico per la sicurezza per le applicazioni di difesa. Sebbene ogni agenzia militare definisca una propria normativa, un numero sempre più crescente richiede la conformità allo standard DO-178C per sistemi critici utilizzati su aeromobili militari.
Lo standard DO-178C è stato sviluppato congiuntamente da RTCA Special Committee #205 (SC-205) ed EUROCAE Working Group #71 (WG-17) con diversi obiettivi, tra cui l'aggiornamento, la chiarificazione e la correzione dello standard precedente, DO-178B. RTCA, precedentemente nota come Radio Technical Commission for Aeronautics, identifica lo standard come DO-178C, mentre EUROCAE utilizza la designazione ED-12C. DO-178C definisce chiaramente standard di processo che coprono l'intero ciclo di vita dello sviluppo del software: sviluppo, verifica, gestione della configurazione e controllo di qualità del software.
Lo standard è orientato agli obiettivi e non consiglia metodi specifici per raggiungere gli obiettivi. Questo approccio basato su obiettivi consente a ogni team di creare un'implementazione flessibile per ciascun sistema di cui è responsabile. Ad esempio, il software avionico è fondamentalmente diverso dal software di controllo del motore, e richiede un approccio diverso a sviluppo e verifica del software, consentito dallo standard DO-178C.
Lo standard fornisce le seguenti indicazioni:
- Specifica gli obiettivi per i processi del ciclo di vita del software
- Descrive le attività da svolgere per raggiungere tali obiettivi
- Descrive i prodotti di lavoro necessari per dimostrare che un obiettivo è soddisfatto
Il processo DO178C è costituito da tre aree interconnesse: pianificazione, sviluppo e processi integrali. Il processo integrale include processi per verifica e convalida, controllo di qualità, gestione della configurazione e liaison per la certificazione.
Livelli di garanzia dello sviluppo (DAL, Development Assurance Levels) e obiettivi
Lo standard che copre i sistemi a cui il software contribuisce, ARP4754A, e più recentemente ARP4754B, Linee guida per lo sviluppo di aeromobili e sistemi civili, fornisce linee guida per determinare quale livello di garanzia dello sviluppo si applica al software. I livelli di garanzia dello sviluppo possono anche essere indicati come livelli di garanzia dello sviluppo degli articoli (IDAL, Item Development Assurance Levels), livelli di garanzia della progettazione o semplicemente livello del software.
Lo standard DO-178C specifica quindi gli obiettivi per ogni DAL e quali obiettivi devono essere soddisfatti con indipendenza. Gli obiettivi con indipendenza sono verifiche che devono essere condotte da qualcuno che non ha prodotto l'articolo oggetto da verificare. Il Livello E non ha obiettivi e il Livello A ha il maggior numero di obiettivi perché si occupa di condizioni di guasto che determinano perdita di aeromobili e incidenti mortali.
Livello di garanzia dello sviluppo (DAL) | Condizione di guasto | Numero di obiettivi | Numero di obiettivi con indipendenza |
A | Condizione di guasto catastrofico per l'aeromobile: lesioni potenzialmente letali e perdita dell'aeronavigabilità dell'aeromobile | 71 | 30 |
B | Condizione di guasto pericoloso o grave: possibilità di lesioni multiple o incidenti mortali, che hanno un impatto significativo sull'equipaggio o sulle prestazioni dell'aeromobile | 69 | 18 |
C | Condizione di guasto grave: disagio del passeggero o lesioni di lieve entità, è richiesta un'azione significativa da parte dell'equipaggio e i margini di sicurezza sono ridotti | 62 | 5 |
D | Condizione di guasto minore: margini di sicurezza leggermente ridotti, lieve aumento del carico di lavoro dell'equipaggio e piccoli inconvenienti per i passeggeri, tra cui la modifica del piano di volo | 26 | 2 |
E | Nessun effetto sulla sicurezza: nessun impatto sul funzionamento dell'aeromobile, sulla sicurezza o sul carico di lavoro dell'equipaggio | 0 | 0 |
Struttura del documento DO-178C
La parte del documento DO-178C che tratta lo sviluppo del software è composta da un documento principale, tre documenti supplementari e due standard correlati, come mostrato nella figura seguente. I tre documenti supplementari forniscono ulteriori linee guida personalizzate per tecniche specifiche utilizzate dai team che sviluppano il software.
Struttura del documento DO-178C
DO-331: Supplemento per lo sviluppo e la verifica basati su modello (MBDV, Model-based Development and Verification)
Il supplemento DO-331 fornisce ulteriori indicazioni ai team che utilizzano una tecnica basata su modello per lo sviluppo e la verifica del software.
DO-332: Supplemento per tecnologia orientata agli oggetti e tecniche correlate (OOT/RT, Object-Oriented Technology and Related Techniques)
Il supplemento DO-332 è applicabile se il team utilizza tecniche orientate agli oggetti per la programmazione nel ciclo di vita dello sviluppo del software.
DO-333: Supplemento per metodi formali (FM, Formal Methods)
Il supplemento DO-333 si applica quando un team utilizza metodi formali nel ciclo di vita dello sviluppo del software. I metodi formali sono tecniche utilizzate per la specifica, lo sviluppo e la verifica di software basati su tecniche matematiche.
Ogni supplemento ha la stessa struttura del documento principale (ovvero i titoli delle sezioni sono uguali). Per eventuali sezioni non modificate, il supplemento dichiara esplicitamente che non vi sono modifiche e non ripete il documento principale. Dall'altro lato, ogni supplemento identifica le aggiunte, le modifiche e le sostituzioni apportate allo standard DO-178C per una data tecnica.
È possibile prendere in considerazione altri due documenti nel contesto dello standard DO-178C per lo sviluppo del software:
DO-330: Considerazioni sulla qualificazione degli strumenti software
DO-330 è un documento autonomo che definisce i processi di qualificazione degli strumenti sia per gli utenti che per gli sviluppatori degli strumenti. Non è considerato un supplemento allo standard DO-178C.
DO-248C: Informazioni di supporto per DO-178C
Il DO-248C risponde alle domande del settore e delle autorità normative. Contiene domande frequenti (FAQ), documenti di discussione (DP) e fondamenti logici.
Processi del ciclo di vita DO-178C
Lo standard DO-178C è strutturato in una gerarchia di "processi", come mostrato nella figura seguente. Il DO-178C definisce tre gruppi di processi di primo livello:
- Il processo di pianificazione del software definisce e coordina le attività dello sviluppo del software e i processi integrali per un progetto.
- I processi di sviluppo del software producono il prodotto software.
- I processi integrali garantiscono la correttezza, il controllo e la sicurezza dei processi del ciclo di vita del software e dei relativi risultati. I processi integrali sono:
- Verifica del software
- Gestione della configurazione del software
- Controllo di qualità del software
- Liaison software
I processi integrali vengono eseguiti contemporaneamente ai processi di sviluppo del software e al processo di pianificazione per l'intero ciclo di vita del software.
Struttura dei processi del ciclo di vita DO-178C
Miglioramento del processo di sviluppo e verifica con sviluppo e simulazione basati su modello
Le tecniche basate su modello per lo sviluppo e la verifica sono diventate sempre più comuni per software di importanza critica poiché offrono un modo efficiente e produttivo per specificare, creare, convalidare e verificare il software. Nel documento supplementare, DO-331, i modelli coperti sono definiti come modelli con le seguenti caratteristiche:
- Un modello completamente descritto utilizzando una notazione di modellazione grafica o testuale definita in modo esplicito
- Un modello contenente i requisiti software o le definizioni dell'architettura del software
- Un modello utilizzato per l'analisi diretta o la valutazione comportamentale, supportato dal processo di sviluppo del software o dal processo di verifica del software
Gli strumenti di sviluppo e verifica basati su modello come la famiglia di prodotti Ansys SCADE possono migliorare notevolmente l'efficienza e la qualità del software, producendo software che soddisfa gli obiettivi DO-178C/DO-331 e fornendo al contempo documentazione che accelera il processo di certificazione.
Gli ingegneri possono contribuire alla certificazione DO-178C del software integrato di importanza critica con i seguenti prodotti SCADE:
- Software Ansys SCADE Architect per la progettazione dell'architettura del software in sincronizzazione con la progettazione software
- Software Ansys SCADE Suite, un editor di progettazione basato su modello per la progettazione di applicazioni software integrate e la generazione automatica di codice sicuro e protetto
- Software Ansys SCADE Display per la progettazione di display integrati, in particolare display per sistemi avionici e generazione automatica di codice sicuro e protetto
- Software Ansys SCADE Test (inclusa la copertura del modello SCADE) per la verifica dinamica dei modelli SCADE e l'analisi della copertura del modello
- Software Ansys SCADE Lifecycle per la gestione della tracciabilità e la generazione automatica della documentazione