什麼是 DO-178C?
DO-178C / ED-12C 標準,全名為《飛行系統與設備認證中的軟體考量》,是用於開發民航飛機中安全關鍵軟體的參考標準。像是美國聯邦航空總署 (FAA)、歐洲航空安全局 (EASA)、加拿大交通部以及中國民用航空局 (CAAC) 等航空認證機構,都將該文件作為符合商用航空軟體系統法規的可接受依據。製造商可依據 DO-178C 標準開發安全關鍵軟體,確保其程式碼符合相關航空法規要求。
軍用的安全法規尚未達到民用法規的成熟度與一致性。然而,開發團隊仍可將 DO-178C 作為參考標準,用於國防應用中的安全關鍵軟體開發。儘管每個軍事單位都有自己的法規,但越來越多機構已開始要求用於軍機關鍵系統的軟體需符合 DO-178C 標準。
DO-178C 標準是由 RTCA 特別委員會第 205 號 (SC-205) 與 EUROCAE 工作小組第 71 號 (WG-17) 共同制定,目的是為了更新、釐清並修正前一版標準 DO-178B 的內容。RTCA 原名無線電技術航空委員會,將該標準命名為 DO-178C,而 EUROCAE 則使用 ED-12C 的編號表示。DO-178C 明確規範了涵蓋整個軟體開發生命週期的流程標準,包含軟體開發、驗證、組態管理以及品質保證。
該標準以目標導向為核心,而非指定實作的方法或工具。這種目標導向的方式讓每個團隊能夠針對其負責的系統,彈性地規劃與實施適合的開發方式。舉例來說,航電軟體與引擎控制軟體在本質上就有所不同,因此在開發與驗證方法上也必須採取不同策略,而 DO-178C 標準允許這種差異化的實作方式。
該標準提供以下指引內容:
- 明訂軟體生命週期各階段的目標
- 說明為達成這些目標所需執行的活動
- 說明為證明達成各項目標所需產出的工作成果物
DO-178C 的流程分為三個相互關聯的區塊:規劃流程、開發流程與整合流程。其中,整合流程包含驗證與確認、品質保證、組態管理,以及與認證機構溝通的相關程序。
開發保證等級 (DAL) 與目標設定
與軟體所屬系統相關的標準 ARP4754A,以及更新版的 ARP4754B《民航機與系統開發指南》提供了判斷適用開發保證等級的準則,用以決定軟體需達成的對應目標。DAL 也可稱為 項目開發保證等級 (IDAL)、設計保證等級,或簡稱為軟體等級。
DO-178C 會針對每個 DAL 指定相對應的目標,並說明哪些目標必須具備獨立性來完成驗證。具備獨立性的目標,必須由未參與該項目製作的人員進行驗證,以避免利益衝突或偏誤。E 級沒有任何目標需求,A 級則擁有最多的目標,因為它所對應的故障條件會導致飛機失控甚至人員傷亡。
開發保證等級 (DAL) | 故障條件說明 | 需達成的目標數量 | 需具備獨立性的目標數量 |
A | 災難性的飛機故障條件──可能造成人員傷亡並導致飛機喪失適航性 | 71 | 30 |
B | 危險或嚴重的故障條件──可能造成多人傷亡,並對機組人員或飛機性能產生重大影響 | 69 | 18 |
c | 重大故障條件──可能導致乘客不適或輕微受傷,機組人員需採取重要應對措施,且飛行安全裕度降低 | 62 | 5 |
D | 次要故障條件──稍微降低安全裕度、略微增加機組人員工作負荷,並對乘客造成輕微不便,例如需變更飛行計畫 | 26 | 2 |
E | 無安全影響──對飛機操作、安全性或機組人員工作負荷沒有任何影響 | 0 | 0 |
DO-178C 文件架構
DO-178C 文件中與軟體開發相關的部分由一份核心文件、三份補充文件,以及兩項相關標準所構成,如下圖所示。這三份補充文件提供了針對特定軟體開發技術的額外指引,方便各開發團隊依照所採用的方法進行應用。
DO-178C 文件架構
DO-331:模型導向開發與驗證 (MBDV) 補充文件
DO-331 補充文件提供了額外的指引,供採用模型導向技術進行軟體開發與驗證的團隊參考。
DO-332:物件導向技術與相關方法 (OOT/RT) 補充文件
DO-332 補充文件適用於在軟體開發生命週期中採用物件導向技術進行程式設計的團隊。
DO-333:形式方法 (FM) 補充文件
DO-333 補充文件適用於在軟體開發生命週期中採用形式方法的團隊。形式方法是一種以數學技術為基礎,用於軟體的規格定義、開發與驗證的技術。
每份補充文件的結構與核心文件相同 (即章節標題一致)。對於未變動的章節,補充文件會明確註明無變更,並不會重複核心文件的內容。另一方面,每份補充文件都會清楚標示針對特定技術所對 DO-178C 所做的新增、修改或替代內容。
還有另外兩份文件在 DO-178C 軟體開發的範疇中也具有參考價值:
DO-330:軟體工具資格考量
DO-330 是一份獨立文件,用於定義工具使用者與工具開發者所需遵循的工具認證流程。它不被視為 DO-178C 的補充文件。
DO-248C:DO-178C 的輔助說明文件
DO-248C 是用來回應業界與監管機構問題的輔助資料。其中包含常見問答、討論文件 (DPs) 與標準的制訂原則說明。
DO-178C 軟體生命週期流程
DO-178C 採用分層式的「流程」架構,如下圖所示。DO-178C 定義了三大類最高層級的流程:
- 軟體規劃流程負責定義並協調軟體開發與整合流程在專案中的各項活動。
- 軟體開發流程負責產出最終的軟體產品。
- 整合流程確保軟體生命週期流程與其產出具備正確性、可控性與可信度。整合流程包括:
- 軟體驗證
- 軟體組態管理
- 軟體品質保證
- 軟體協調
整合流程會在整個軟體生命週期中,與軟體開發流程與規劃流程同時執行。
DO-178C 軟體生命週期流程架構
透過模型導向開發與模擬技術,提升開發與驗證流程
模型導向技術在關鍵系統軟體的開發與驗證中越來越受歡迎,因為它提供了一種更高效且具生產力的方式,用於進行軟體的規格定義、建立、驗證與確認。在補充文件 DO-331 中,所定義的模型需具備以下特徵:
- 模型須完全以明確定義的圖形化或文字化建模語法描述
- 模型中包含軟體需求或軟體架構定義
- 模型可直接用於分析或行為評估,並支援軟體開發流程或軟體驗證流程的應用
像 Ansys SCADE 產品系列這類的模型導向開發與驗證工具,能大幅提升軟體開發的效率與品質,不僅可產出符合 DO-178C / DO-331 標準目標的軟體,還能自動生成有助於加速認證流程的完整文件。
工程師可透過以下 SCADE 產品,協助其關鍵嵌入式軟體達成 DO-178C 認證目標:
- Ansys SCADE Architect 軟體用於設計軟體架構,並與軟體設計流程同步整合
- Ansys SCADE Suite 軟體是一套模型導向的設計編輯器,用於開發嵌入式軟體應用,並可自動產生安全且可靠的程式碼
- Ansys SCADE Display 軟體用於設計嵌入式顯示介面,特別適用於航電系統的圖形化顯示設計,並可自動產生安全且可靠的程式碼
- Ansys SCADE Test 軟體 (包含 SCADE Model Coverage) 用於對 SCADE 模型進行動態驗證,並分析模型的覆蓋率
- Ansys SCADE LifeCycle 軟體用於需求與設計的可追溯性管理,並支援自動生成開發與認證所需的文件