DO-178C
Veel mensen - en zeker de meeste ontwikkelaars - zijn gaan accepteren dat er niet zoiets bestaat als software zonder fouten. Maar als we aan boord gaan van een vliegtuig en opstijgen naar een verre plaats, gaan we er allemaal van uit dat het vliegtuig de hele reis in de lucht zal blijven en aan het einde veilig zal landen.
Waarom hebben we zoveel vertrouwen in zulke complexe machines als moderne vliegtuigen, waar duizenden ingewikkelde componenten worden bestuurd door embedded software, waarvan de ontwikkeling een monsterlijke taak is waarbij een enkele fout rampzalige gevolgen kan hebben?
Omdat de ontwikkeling van embedded luchtvaartsystemen voldoet aan strikte luchtvaartnormen, richtlijnen en specificaties zoals DO-178C, waarvan het doel is om te voorkomen dat softwarefouten de veiligheid van passagiers en bemanning in gevaar brengen.
Wat is DO-178C?
DO-178C, ook wel bekend als software-overwegingen bij certificering van luchtsystemen en apparatuur, is een belangrijke standaard die wordt toegepast in de luchtvaartontwikkeling om de luchtwaardigheid te garanderen van softwaresystemen die in burgervliegtuigen worden gebruikt.
De norm wordt gezamenlijk gepubliceerd door Radio Technical Commission for Aeronautics (RTCA), een vrijwilligersorganisatie in de Verenigde Staten die technische richtlijnen ontwikkelt voor gebruik door regelgevende instanties van de overheid en de industrie, en de European Organization for Civil Aviation Equipment (EUROCAE), de Europese leider in de ontwikkeling van wereldwijd erkende industrienormen voor de luchtvaart.
DO-178C vervangt DO-178B, waarvan de laatste versie in 1992 werd gepubliceerd en vaak wordt geassocieerd met: DO-254 die hardwaresystemen reguleren. Net als zijn voorganger classificeert DO-178C veiligheid in vijf niveaus, waarbij elk niveau overeenkomt met het gevolg van een softwarefout:
- Niveau A (catastrofaal) – Een catastrofale storing kan de dood tot gevolg hebben en leidt meestal tot het verlies van het vliegtuig.
- Niveau B (Gevaarlijk) – Een gevaarlijke storing heeft een grote negatieve invloed op de veiligheid of prestaties, of vermindert het vermogen van de bemanning om het vliegtuig te besturen vanwege fysieke ongemakken of een hogere werkbelasting, of veroorzaakt ernstig of dodelijk letsel bij de passagiers.
- Niveau C (majoor) – Een grote storing vermindert de veiligheidsmarge aanzienlijk of verhoogt de werklast van de bemanning aanzienlijk en kan leiden tot ongemak voor passagiers of zelfs lichte verwondingen.
- Niveau D (minor) – Een kleine storing verkleint de veiligheidsmarge enigszins of verhoogt de werklast van de bemanning enigszins. Voorbeelden van kleine storingen zijn onder meer het veroorzaken van ongemak voor passagiers of een routinewijziging van het vluchtplan.
- Niveau E (geen veiligheidseffect) – Deze storing heeft geen invloed op de veiligheid, de werking van het vliegtuig of de werklast van de bemanning. Een voorbeeld kan een bug in het in-flight entertainmentsysteem zijn.
Voor elk van de vijf veiligheidsniveaus moet aan een bepaald aantal doelstellingen worden voldaan om te voldoen aan de luchtwaardigheidsvereisten en om goedkeuring te verkrijgen voor software die wordt gebruikt in burgerluchtvaartproducten:
| Niveau | Foutconditie: | Doelstellingen | Met onafhankelijkheid |
| A | katastrofisch | 71 | 30 |
| B | gevaarlijk | 69 | 18 |
| C | Groot | 62 | 5 |
| D | Minder | 26 | 2 |
| E | Geen veiligheidseffect | 0 | 0 |
De uitdrukking "onafhankelijk" betekent dat het doel niet kan worden bereikt tenzij er een duidelijk gedocumenteerde scheiding van verantwoordelijkheden is.
Sinds DO-178C in januari 2012 beschikbaar kwam voor verkoop en gebruik, is het het primaire document geworden waarmee de certificeringsinstanties zoals FAA (een overheidsinstantie van de Verenigde Staten met bevoegdheden om alle aspecten van de burgerluchtvaart te reguleren), EASA (een agentschap van de Europese Unie dat verantwoordelijk is voor de veiligheid van de burgerluchtvaart), en Transport Canada (de afdeling binnen de regering van Canada die verantwoordelijk is voor het ontwikkelen van regelgeving, beleid en diensten voor weg-, spoor-, zee- en luchtvervoer in Canada) keuren alle commerciële softwaregebaseerde ruimtevaart systemen.
Het is belangrijk op te merken dat DO-178C een niet-voorschrijvende norm is, wat betekent dat het niet beschrijft wat er moet gebeuren om aan de veiligheidsdoelstellingen te voldoen die het biedt. Als zodanig geeft het de ontwikkelaars van softwaresystemen die in burgervliegtuigen worden gebruikt veel flexibiliteit, maar schept het soms ook onduidelijkheid.
Hoe ondersteunt u DO-178C?
De immense complexiteit van de ontwikkeling van luchtvaartelektronicasoftware maakt de automatisering van handmatige processen voor vereistenbeheer noodzakelijk. De ontwikkelaars van avionica-softwaresystemen hebben een gecentraliseerde opslagplaats voor vereisten nodig waarmee ze gemakkelijk terug kunnen gaan naar de oorsprong van elke vereiste en elke wijziging die erin is aangebracht, kunnen zien.
Hoewel Microsoft Word en Excel in bepaalde sectoren geschikte hulpmiddelen voor vereistenbeheer kunnen zijn, laten ze veel te wensen over als het gaat om de ontwikkeling van luchtvaartelektronicasoftware. Daarom omarmen de ontwikkelaars van elektronische softwaresystemen geavanceerde hulpmiddelen voor vereistenbeheer, zoals Visure Requirements ALM-platform.
Ondersteuning van DO-178C met Visuele vereisten
Visure Requirements biedt integrale ondersteuning aan het volledige vereistenproces en is een ultramoderne softwareoplossing voor vereistenbeheer die in staat is om alle vereistengerelateerde informatie (zoals vereisten, tests, wijzigingsverzoeken, risico's, enz.), hun relaties en hun interacties met de gebruikers.
Visure Requirements biedt uitgebreid en flexibel vereistenbeheer voor de ontwikkeling en verificatie van ingebedde elektronische systemen, waardoor de ontwikkelaars van elektronische softwaresystemen hun processen met betrekking tot DO-178C kunnen standaardiseren en stroomlijnen door een enkele gecentraliseerde opslagplaats te bieden voor alle DO-178C-doelstellingen.
Visure-vereisten kunnen veel-op-veel bidirectionele traceerbaarheidskoppelingen creëren, afdwingen en beheren, en het kan automatisch nuttige traceerbaarheidsmatrices en rapporten genereren om effectieve besluitvorming te ondersteunen en te zorgen voor tijdige voltooiing van alle doelstellingen.
Deze en andere kwaliteiten maken Visure Requirements tot een onmisbare tool voor vereistenbeheer die de mogelijkheden van Microsoft Office en Excel ver overtreft, iedereen op één lijn houdt en ervoor zorgt dat klanten precies krijgen waarvoor ze hebben betaald.
Conclusie
Er is geen plaats voor handmatige processen met behulp van Microsoft Word of Excel voor vereistenbeheer in de luchtvaartelektronica-industrie. Moderne vliegtuigen zijn zulke enorm complexe machines dat hun ontwikkeling voldoende complexe methodologieën, standaarden en hulpmiddelen vereist. DO-178C is de de-facto gouden standaard geworden voor certificeringen van luchtvaartsoftware, en om hieraan te voldoen, is traceerbaarheid van alle werkitems vereist, van de vereisten tot aan het vrijgegeven product. Slimme softwareoplossingen zoals Visure Requirements kunnen helpen bij het beheren van luchtvaartspecifieke vereisten en zorgen voor de zichtbaarheid van alle ontwikkelingsprocessen gedurende de gehele softwarelevenscyclus.
