Skip to Main Content

DO-178Cとは何か

航空機搭載システムおよび機器の認証におけるソフトウェアの考慮事項を規定するDO-178C/ED-12Cは、民間航空機で使用されるセーフティクリティカルなソフトウェアの開発に適用される規格です。アメリカ連邦航空局(FAA)、欧州航空安全機関(EASA)、カナダ運輸省、中国民用航空局(CAAC)などの航空認証機関は、ソフトウェアベースの商用航空宇宙システムの各種規制に準拠するための受け入れ可能な手段としてこのドキュメントを使用しています。各メーカーは、DO-178C規格に準拠して開発されたセーフティクリティカルなソフトウェアを活用することで、適切な航空規制に準拠したコードを使用することができます。

軍事安全規制は、民間の安全規制が有する一貫性と成熟度にはまだ達していませんが、開発チームは防衛分野のセーフティクリティカルなソフトウェアを開発するための参照規格としてDO-178Cを使用することができます。軍事機関ごとに独自の規制を決定してはいるものの、軍用機に使用される重要なシステムに対してDO-178Cへの準拠を要求するケースが増えています。

DO-178C規格は、RTCA Special Committee #205(SC-205)およびEUROCAE Working Group #71(WG-17)によって、それまでの規格であったDO-178Bの更新、明確化、修正を含むいくつかの目標をもって共同で開発されました。RTCA(旧名: Radio Technical Commission for Aeronautics)はこの規格をDO-178Cとして認識し、EUROCAEはED-12Cという名称を使用しています。DO-178Cは、ソフトウェア開発ライフサイクル全体(ソフトウェアの開発、検証、構成管理、品質保証)をカバーするプロセス標準を規定しています。

この規格は目的ベースで構成されており、目的を達成するための具体的な方法を助言するものではありません。この目的ベースのアプローチにより、各チームは担当するシステムごとに柔軟な実装が可能になります。たとえば、アビオニクスソフトウェアはエンジン制御ソフトウェアとは根本的に異なり、DO-178Cで許可されているソフトウェア開発と検証のために異なるアプローチが必要です。

この規格では、以下のガイダンスが提供されます。

  • ソフトウェアライフサイクルプロセスの目標を指定する。
  • 目的を達成するために実行するアクティビティについて説明する。
  • 目的が満たされていることを証明するために必要な作業成果物を説明する。

DO178Cプロセスは、計画、開発、および重要プロセスという相互に関連する3つの領域で構成されています。重要プロセスには、検証と妥当性確認、品質保証、構成管理、認証調整のプロセスが含まれています。 

開発保証レベル(DAL)と目標

ソフトウェアが寄与するシステムをカバーする規格であるARP4754Aと、より最新のARP4754B(民間航空機およびシステムの開発に関するガイドライン)では、どの開発保証レベルがソフトウェアに適用されるかを決定するためのガイドラインが示されています。DALは、アイテム開発保証レベル(IDAL)、設計保証レベル、または単にソフトウェアレベルとも呼ばれます。

DO-178Cでは、各DALの目的と、どの目的が独立性をもって満たされるのかが指定されます。独立性のある目的は、検証されるアイテムを作成した人以外が実施しなければならない検証です。レベルEでは目的は設定されておらず、レベルAでは航空機の損失や死亡につながる故障状態を扱うため、最も多くの目的が設定されています。 

開発保証レベル(DAL)

故障状態

目的の数

独立性のある目的の数

A

航空機の壊滅的な故障状態 — 致命的な傷害や航空機の耐空性の喪失の可能性

71

30

B

危険または重大な故障状態 — 複数の怪我や死亡事故が発生する可能性があり、乗務員や航空機の性能に重大な影響を与える

69

18

C

重大な故障状態 — 乗客の不快感や軽傷が発生する可能性があり、乗務員が相当な行動をとる必要があり、安全マージンが減少

62

5

D

軽微な故障状態 — 安全マージンがわずかに減少し、乗務員の作業負荷はわずかに増加して、フライトプランの変更など、乗客に軽微な不便をもたらす

26

2

E

安全への影響なし — 航空機の運用、安全性、または乗務員の作業負荷への影響はない

0

0

DO-178Cのドキュメント構造

DO-178Cのドキュメントでソフトウェア開発に関する部分は、次の図に示すように、1つのコアドキュメント、3つの補足規定ドキュメント、そして2つの関連規格で構成されています。3つの補足規定は、ソフトウェアを開発するチームが採用する具体的な手法に合わせて調整された追加のガイドラインとなります。

DO 178C document structure

DO-178Cのドキュメント構造

DO-331: モデルベースの開発および検証(MBDV)の補足規定

DO-331補足規定は、ソフトウェア開発と検証のためにモデルベース手法を採用する開発チームに追加のガイダンスを提供します。

DO-332: オブジェクト指向技術および関連技術(OOT/RT)の補足規定

DO-332補足規定は、開発チームがソフトウェア開発ライフサイクルでオブジェクト指向のプログラミング手法を採用する場合に適用されます。

DO-333: 形式的手法(FM)の補足規定

DO-333補足規定は、開発チームがソフトウェア開発ライフサイクルで形式的手法を採用する場合に適用されます。形式的手法とは、数学的手法に基づくソフトウェアの仕様、開発、検証に使用される手法です。

各補足規定は、コアドキュメントと同じ構造で成り立ちます(つまり、セクションタイトルは同じである)。変更されていないセクションについては、補足規定に変更がないこと、そしてコアドキュメントと同じ内容を繰り返さないことが明示的に記載されています。一方、各補足規定には、所定の手法に対するDO-178Cへの追加、変更、置換が示されます。

ソフトウェア開発におけるDO-178Cでは、以下の2つのドキュメントも考慮できます。

DO-330: ソフトウェアツール認定に関する考慮事項

DO-330は、ツールのユーザーと開発者のためのツール認定プロセスを定義するスタンドアロンドキュメントです。これはDO-178Cの補足規定とは見なされません。

DO-248C: DO-178Cの補足情報

DO-248Cは、業界や行政の問題に対応しています。FAQ、ディスカッションペーパー(DP)、および理論的根拠が含まれています。

DO-178Cライフサイクルプロセス

DO-178Cは、以下の図に示すように、階層的なプロセスで構成されています。DO-178Cは、3つのトップレベルプロセスグループを定義します。

  • ソフトウェア計画プロセスは、プロジェクトのソフトウェア開発および重要プロセスの活動を定義し、調整します。
  • ソフトウェア開発プロセスによって、ソフトウェア製品が開発されます。
  • 重要プロセスでは、ソフトウェアライフサイクルプロセスとその出力の正確さ、制御、信頼性が保証されます。重要プロセスは以下で構成されます。
    • ソフトウェア検証
    • ソフトウェア構成管理
    • ソフトウェア品質保証
    • ソフトウェア調整

これらの重要プロセスは、ソフトウェアのライフサイクル全体を通じて、ソフトウェア開発プロセスおよび計画プロセスと同時に実行されます。

DO 178C life cycle processes structure

DO-178Cライフサイクルプロセスの構造

モデルベース開発およびシミュレーションによる開発および検証プロセスの改善

開発および検証のためのモデルベース手法は、ソフトウェアの指定、作成、妥当性確認、検証を行う効率的で生産的な方法を提供するため、システムクリティカルなソフトウェアで採用されることが増えています。補足規定ドキュメントであるDO-331では、対象モデルは以下の特性を有すると定義されています。

  • 明示的に定義されたグラフィカルまたはテキストのモデリング表記を使用して完全に記述されたモデル
  • ソフトウェア要件またはソフトウェアアーキテクチャ定義を含むモデル
  • ソフトウェア開発プロセスまたはソフトウェア検証プロセスによってサポートされる、直接解析または挙動評価に使用されるモデル

Ansys SCADE製品などのモデルベースの開発および検証ツールでは、DO-178C/DO-331の目標を満たすソフトウェアを開発しながら、認証プロセスの高速化につながるドキュメントを提供することで、ソフトウェアの効率と品質を大幅に向上させることができます。

以下のSCADE製品を導入して、重要な組込みソフトウェアのDO-178C認証を実現できるようになります。

  • ソフトウェア設計にあわせてソフトウェアアーキテクチャを設計するためのAnsys SCADE Architect
  • 組込みソフトウェアの設計および安全でセキュアな自動コード生成のためのモデルベース設計エディタであるAnsys SCADE Suite
  • 組込みディスプレイの設計(特にアビオニクスシステムのディスプレイの設計)および安全でセキュアな自動コード生成のためのAnsys SCADE Display
  • SCADEモデルの動的な検証やモデルカバレッジの解析を行うためのAnsys SCADE Test(SCADE Model Coverageを含む)
  • トレーサビリティ管理と自動ドキュメント生成のためのAnsys SCADE LifeCycle

関連リソース

DO-178C検証ワークフローによる生産性の向上

セーフティクリティカルなシステムの検証および妥当性確認(V&V)プロセスで苦労していませんか。Ansysのウェビナーを視聴して、最高レベルの安全規格に準拠しながら作業負荷を削減する画期的なアプローチをご確認ください。

SCADE Suiteを使用した、DO-178C目標を達成する安全なアビオニクスソフトウェアの効率的な開発

このドキュメントでは、DO-178CおよびDO-331ガイドラインに記載されているDO-178C準拠のソフトウェアライフサイクルについて解説しています。

Ansys SCADEを導入したDO-178C準拠のソフトウェア開発

このウェビナーでは、コントロールおよびコックピットディスプレイのモデルベース開発、認証可能な自動コード生成、テストと検証、認証とドキュメント化に、Ansys SCADEがどのように活用されているかをご紹介します。