DO-178Cとは何か

航空機搭載システムおよび機器の認証におけるソフトウェアの考慮事項を規定するDO-178C/ED-12Cは、民間航空機で使用されるセーフティクリティカルなソフトウェアの開発に適用される規格です。アメリカ連邦航空局（FAA）、欧州航空安全機関（EASA）、カナダ運輸省、中国民用航空局（CAAC）などの航空認証機関は、ソフトウェアベースの商用航空宇宙システムの各種規制に準拠するための受け入れ可能な手段としてこのドキュメントを使用しています。各メーカーは、DO-178C規格に準拠して開発されたセーフティクリティカルなソフトウェアを活用することで、適切な航空規制に準拠したコードを使用することができます。

軍事安全規制は、民間の安全規制が有する一貫性と成熟度にはまだ達していませんが、開発チームは防衛分野のセーフティクリティカルなソフトウェアを開発するための参照規格としてDO-178Cを使用することができます。軍事機関ごとに独自の規制を決定してはいるものの、軍用機に使用される重要なシステムに対してDO-178Cへの準拠を要求するケースが増えています。

DO-178C規格は、RTCA Special Committee #205（SC-205）およびEUROCAE Working Group #71（WG-17）によって、それまでの規格であったDO-178Bの更新、明確化、修正を含むいくつかの目標をもって共同で開発されました。RTCA（旧名: Radio Technical Commission for Aeronautics）はこの規格をDO-178Cとして認識し、EUROCAEはED-12Cという名称を使用しています。DO-178Cは、ソフトウェア開発ライフサイクル全体（ソフトウェアの開発、検証、構成管理、品質保証）をカバーするプロセス標準を規定しています。

この規格は目的ベースで構成されており、目的を達成するための具体的な方法を助言するものではありません。この目的ベースのアプローチにより、各チームは担当するシステムごとに柔軟な実装が可能になります。たとえば、アビオニクスソフトウェアはエンジン制御ソフトウェアとは根本的に異なり、DO-178Cで許可されているソフトウェア開発と検証のために異なるアプローチが必要です。

この規格では、以下のガイダンスが提供されます。

• ソフトウェアライフサイクルプロセスの目標を指定する。
• 目的を達成するために実行するアクティビティについて説明する。
• 目的が満たされていることを証明するために必要な作業成果物を説明する。

DO178Cプロセスは、計画、開発、および重要プロセスという相互に関連する3つの領域で構成されています。重要プロセスには、検証と妥当性確認、品質保証、構成管理、認証調整のプロセスが含まれています。 

ソフトウェアが寄与するシステムをカバーする規格であるARP4754Aと、より最新のARP4754B（民間航空機およびシステムの開発に関するガイドライン）では、どの開発保証レベルがソフトウェアに適用されるかを決定するためのガイドラインが示されています。DALは、アイテム開発保証レベル（IDAL）、設計保証レベル、または単にソフトウェアレベルとも呼ばれます。

DO-178Cでは、各DALの目的と、どの目的が独立性をもって満たされるのかが指定されます。独立性のある目的は、検証されるアイテムを作成した人以外が実施しなければならない検証です。レベルEでは目的は設定されておらず、レベルAでは航空機の損失や死亡につながる故障状態を扱うため、最も多くの目的が設定されています。 

DO-178Cのドキュメントでソフトウェア開発に関する部分は、次の図に示すように、1つのコアドキュメント、3つの補足規定ドキュメント、そして2つの関連規格で構成されています。3つの補足規定は、ソフトウェアを開発するチームが採用する具体的な手法に合わせて調整された追加のガイドラインとなります。

DO-331: モデルベースの開発および検証（MBDV）の補足規定

DO-331補足規定は、ソフトウェア開発と検証のためにモデルベース手法を採用する開発チームに追加のガイダンスを提供します。

DO-332: オブジェクト指向技術および関連技術（OOT/RT）の補足規定

DO-332補足規定は、開発チームがソフトウェア開発ライフサイクルでオブジェクト指向のプログラミング手法を採用する場合に適用されます。

DO-333: 形式的手法（FM）の補足規定

DO-333補足規定は、開発チームがソフトウェア開発ライフサイクルで形式的手法を採用する場合に適用されます。形式的手法とは、数学的手法に基づくソフトウェアの仕様、開発、検証に使用される手法です。

各補足規定は、コアドキュメントと同じ構造で成り立ちます（つまり、セクションタイトルは同じである）。変更されていないセクションについては、補足規定に変更がないこと、そしてコアドキュメントと同じ内容を繰り返さないことが明示的に記載されています。一方、各補足規定には、所定の手法に対するDO-178Cへの追加、変更、置換が示されます。

ソフトウェア開発におけるDO-178Cでは、以下の2つのドキュメントも考慮できます。

DO-330: ソフトウェアツール認定に関する考慮事項

DO-330は、ツールのユーザーと開発者のためのツール認定プロセスを定義するスタンドアロンドキュメントです。これはDO-178Cの補足規定とは見なされません。

DO-248C: DO-178Cの補足情報

DO-248Cは、業界や行政の問題に対応しています。FAQ、ディスカッションペーパー（DP）、および理論的根拠が含まれています。

DO-178Cは、以下の図に示すように、階層的なプロセスで構成されています。DO-178Cは、3つのトップレベルプロセスグループを定義します。

• ソフトウェア計画プロセスは、プロジェクトのソフトウェア開発および重要プロセスの活動を定義し、調整します。
• ソフトウェア開発プロセスによって、ソフトウェア製品が開発されます。
• 重要プロセスでは、ソフトウェアライフサイクルプロセスとその出力の正確さ、制御、信頼性が保証されます。重要プロセスは以下で構成されます。
  • ソフトウェア検証
  • ソフトウェア構成管理
  • ソフトウェア品質保証
  • ソフトウェア調整

これらの重要プロセスは、ソフトウェアのライフサイクル全体を通じて、ソフトウェア開発プロセスおよび計画プロセスと同時に実行されます。

開発および検証のためのモデルベース手法は、ソフトウェアの指定、作成、妥当性確認、検証を行う効率的で生産的な方法を提供するため、システムクリティカルなソフトウェアで採用されることが増えています。補足規定ドキュメントであるDO-331では、対象モデルは以下の特性を有すると定義されています。

• 明示的に定義されたグラフィカルまたはテキストのモデリング表記を使用して完全に記述されたモデル
• ソフトウェア要件またはソフトウェアアーキテクチャ定義を含むモデル
• ソフトウェア開発プロセスまたはソフトウェア検証プロセスによってサポートされる、直接解析または挙動評価に使用されるモデル

Ansys SCADE製品などのモデルベースの開発および検証ツールでは、DO-178C/DO-331の目標を満たすソフトウェアを開発しながら、認証プロセスの高速化につながるドキュメントを提供することで、ソフトウェアの効率と品質を大幅に向上させることができます。

以下のSCADE製品を導入して、重要な組込みソフトウェアのDO-178C認証を実現できるようになります。

• ソフトウェア設計にあわせてソフトウェアアーキテクチャを設計するためのAnsys SCADE Architect
• 組込みソフトウェアの設計および安全でセキュアな自動コード生成のためのモデルベース設計エディタであるAnsys SCADE Suite
• 組込みディスプレイの設計（特にアビオニクスシステムのディスプレイの設計）および安全でセキュアな自動コード生成のためのAnsys SCADE Display
• SCADEモデルの動的な検証やモデルカバレッジの解析を行うためのAnsys SCADE Test（SCADE Model Coverageを含む）
• トレーサビリティ管理と自動ドキュメント生成のためのAnsys SCADE LifeCycle

関連リソース