DO-178C/ED-12C準拠とは?
DO-178C(Software Considerations in Airborne Systems and Equipment Certification:航空機搭載システムと機器の認証におけるソフトウェアの考慮事項)は、連邦航空局(FAA)、欧州連合航空安全機関(EASA)、カナダ運輸省などの認証機関が、承認プロセスのために提出されたすべての商用ソフトウェアベースの航空システムの審査と承認に使用する主要な文書です。民間の航空宇宙システムのソフトウェア認証を指示する規格です。(軍事用航空分野への影響については後述します)
DO-178Cは、DO-178Bの改訂版として、RTCA(Radio Technical Commission for Aeronautics)がEUROCAE(European Organisation for Civil Aviation Equipment)と共同で制定したものです。ED-12Bの改定版であるED-12Cは、DO-178CのEUROCAE版としてリリースされました。2011年11月にDO-178C/ED-12Cが完成し、同年12月にRTCAが承認しました。RTCAとEUROCAEが共同でDO-178C/ED-12Cに貢献した結果、共同指定となっています。
アビオニクス業界におけるDO-178C
DO-178Cは、アビオニクス業界向けに航空機搭載ソフトウェアシステムの開発に重要かつ詳細なガイダンスを提供し、これらのシステムが高い信頼性で意図した機能を実行することを保証しています。
米国では、FAAが航空業界の安全認証プロセスの一環として、ソフトウェアにはDO-178Cを、複雑な電子ハードウェアにはRTCA DO-254を使用しています。
軍事航空業界におけるDO-178C
DO-178C規格は、軍事航空業界においても準拠する必要がありますが、以下のような違いがあります。
DO-178Cは、航空機搭載システムおよび機器のソフトウェアコンポーネントについて、適用される耐空性規則に準拠していることを証明します。
- 安全解析を重視することに変わりはありませんが、軍用版ではミッション成功確率(MSP)に重きを置いています。
- より過酷な運用環境に焦点が当てられています。
- ミッションの成功のために必要な、DO-178Cの飛行安全性に影響を与えるだけの多くのオンボードミッションシステムに焦点が当てられています。
- DO-178C 「認証」に対してDO-178 「軍事的適合性」に重点が置かれています。
- ほとんどの場合、認証の対象はFAAやEASA(欧州連合航空安全局)ではなく、軍事機関です。
- 軍または顧客は、PSAC(Plan for Software Aspects of Certification)、SAS(Safety Assurance System)、CIだけでなく、すべてのドキュメントを受け取り、レビューします。
RTCA/EUROCAE認証機関
RTCAの概要では、「RTCA特別委員会は、航空業界のトップと優秀な専門家により技術文書を作成しています。RTCAは連邦航空局(FAA)と協力し、FAAの規制に準拠する手段として使用できる、業界で検証され承認された包括的な規格を作成しています。」と記述されています。
特別委員会は、安全性能要件(SPR)、操作上のサービス及び環境定義(OSED)、相互運用性要件(INTEROP)、最小航空システム性能基準(MASPS)、最小運用性能基準(MOPS)、その他レポートやガイドラインなどの一連の文書を作成しました。これらの文書は、新しい機器の認証の指針となり、使用有無が競争市場に影響を与えます。
ヨーロッパでは、EUROCAEが世界的に認知された航空業界標準の策定をリードしています。EUROCAEは、メンバーの専門知識を活用し、国際的に採用されるように設計された運用、開発、および規制の標準を作成します。
RTCA/EUROCAE合同委員会の作業は、7つのサブグループに分けられました。
- SG1: SCWGのドキュメントの統合
- SG2: 課題と根拠
- SG3: ツールの認定
- SG4: モデルベースの開発と検証
- SG5: オブジェクト指向のテクノロジー
- SG6: 形式手法
- SG7: 安全に関する考慮すべき事項
DO-178 開発保証レベル
DO-178Cの主要な規定は、開発保証レベル(DAL:Design Assurance Levels)の定義です。これは、潜在的なソフトウェアの機能故障がシステム全体に及ぼす影響度合を示すものです。故障の状態は、航空機、乗務員、乗客に与える影響によって分類されます。DALには5つのレベルがあり、システム安全性評価プロセスとハザード分析から決定されます。
それぞれのDALには満たすべき目標が明示されています。例えば、あるものは「独立性」を満たさなければならず、要件やソースコードを検証する人は、それを書いた人と同じであってはならないのです。この責任の分類は、提供されるエビデンスに明確に文書化されなければなりません。
| DAL | 故障の状況 | 結果 | 目的 | 独立性 |
|---|---|---|---|---|
| レベルA | Catastrophic(壊滅的) | 故障により死亡および航空機の損失につながる可能性がある状態 | 71 | 30 |
| レベルB | Hazardous (危険) |
故障により安全性や性能に大きな悪影響を及ぼすか、乗務員の航空機を操作する能力を低下させたり、乗客に重傷または生命にかかわる負傷を負わせたりしている状態 | 69 | 18 |
| レベルC | Major(重大) | 故障により安全性が著しく低下したり、乗務員の作業量が大幅に増加して乗客の不快感や軽傷を引き起こす可能性がある状態 | 62 | 5 |
| レベルD | Minor(軽微) | 安全性がわずかに減少するか、乗務員の作業量がわずかに増加。その結果、乗客に不便を与えることや、フライトプランの変更などがある状態 | 26 | 2 |
| レベルE | No Effect (影響なし) |
故障しても、安全性、乗務員の作業量、航空機の運航に影響・負荷を与えない状態 | 0 | 0 |
DO-178C/ED-12Cは、DO-178B/ED-12Bの問題点やエラーに対処し、先進のソフトウェア技術を駆使して改善するために作成されました。DO-178C/ED-12CとDO-178B/ED-12Bを比較すると、7つの分野にわたって大きな違いがあることが分かります。
| カテゴリ | 相違点/変更点 |
|---|---|
| エラーと不整合 | DO-178B/ED-12Bの既存のエラーと不整合が解決されました。 |
| 文言の改善 | DO-178Cでは、正確さと矛盾を修正するために文言の変更が行われました。 |
| 用語の統一 | TDO-178Cの用語集は、用語により一貫性をもたらすために更新されました。 |
| 目的および活動 | DO-178Cの目的と活動が改良されました。 |
| 補足事項 | 新しいプログラミングパラダイムや、オブジェクト指向テクノロジーやモデルベースの開発や検証などのソフトウェア開発テクノロジーが追加されました。 |
| 新しいトピック | パラメータデータアイテム(PDI)ファイルとその検証プロセスが含まれました。 |
| DO-178Bの明確化 | MC/DC(Modified Condition/Decision Coverage)の定義が更新されました。 |
DO-178Cプロセスおよびドキュメント
安全性評価プロセスは、DALのレベルAからDに記載されている基本目標をサポートするためのものです(レベルEは同レベルの文書を必要としません)。実際のプロジェクトの計画者は、プロセスの具体的な詳細と活動を定義し、文書化する責任があります。プロジェクト作業では、各プロセスで実際に完了したすべての活動が、どのように目的をサポートしているかの実証と結びつけられなければなりません。
DO-178Cの目的ベースの特徴は、異なるソフトウェアライフサイクルスタイルに従う柔軟性をサポートします。しかし、一旦プロセスの中でアクティビティが定義されると、プロジェクトはその活動を尊重しなければなりません。すべてのプロセスとその具体的な活動は、開始基準と終了基準が明確に定義されてなければならず、プロジェクトがその基準にどのように準拠したかを文書で明らかにする必要があります。
DO-178Cプロジェクト計画プロセス
TDO-178C認証を成功させるためには、開発プロジェクトの計画プロセスを導入することが重要です。主な5つの計画プロセスの概要は以下のとおりです
PSAC: 認証機関に提出するプロジェクト計画書
ソフトウェア認証計画書 (PSAC)は、システムプロジェクトのソフトウェアエンジニアリングチームが、どのようにDO-178Cの要求事項を満たし、FAAおよびEASAが認証するためのプロジェクト計画をまとめたものです。
5つの主要なプロセスプランがDO-178C認証をサポートします。
SDP:ソフトウェア開発計画書
ソフトウェア開発計画書(SDP)は、ソフトウェア開発に関する開発者の計画を詳述したもので、具体的にはソフトウェア要件、設計、コード、統合をどのように実行するかを概説しています。この計画では、DO-178Cの開発プロセスの目的を満たし監視するために使用するツールについての説明をする必要があります。
SVP:ソフトウェア検証計画書
Tソフトウェア検証計画書(SVP)は、必要な検証ツールとともに、レビュー、テスト、分析のための活動の概要を示しています。
SCMP:ソフトウェア形態管理計画書
ソフトウェア形態管理計画書(SCMP)は、DO-178Cにおける変更管理、ベースライン化、データの保管等の目的がプロジェクトでどのように実行されるかを詳細に説明します。
SQAP:ソフトウェア品質保証計画書
ソフトウェア品質保証計画書(SQAP)では、DO-178Cに対するプロジェクトの品質保証の目的をどのように満たすかについて概説されています。
ウインドリバーのアプローチ
ウインドリバーは、40年以上にわたり、世界有数のテクノロジー企業が世界で最も安全かつセキュアなデバイスを次々と開発する支援をしており、フライトセーフティ(DO-178C DAL A)など、数多くの重要な分野のセーフティクリティカルな基準を満たすための豊富な経験を有しています。
機能安全認証取得済みのソフトウェア
VxWorks
世界をリードするリアルタイムオペレーティングシステム(RTOS)であるVxWorks®は、360社を超えるお客様の安全認証プログラムを600件以上サポートしてきました。堅牢な安全性機能を備えた高度な時間と空間のパーティショニング機能により、シングルまたはマルチコアの単一プラットフォーム上で、重要度の異なるアプリケーションを安心して統合できます。POSIX®やFACE™なとの業界標準にも適合しているため、様々な安全規格(DO-178C、 IEC 61508、IEC 62304、ISO 26262)の認証取得が可能です。
VxWorksは、DO-178C、IEC 61508、IEC 62304、およびISO 26262安全規格の認定を受けています。
VxWorks 653 Multi-core Edition
VxWorks 653マルチコアエディションは、安全、セキュア、かつ信頼性の高いRTOSです。最新のハードウェアプラットフォーム上で堅牢なタイムパーティショニングとスペースパーティショニング機能を提供することにより、ARINC 653準拠のシステムを実現します。また、障害の抑制と、最小限のテストと統合の要求によるアプリケーションのアップグレードを可能にします。.
Wind River Helix Virtualization Platform
Wind River Helix™ Virtualization Platformは、DO-178C、IEC 61508、ISO 26262安全規格の厳しい要件に準拠したセーフティクリティカルなアプリケーションの認証を簡素化するために設計されています。
ウインドリバープロフェッショナルサービス
ウインドリバーのプロフェッショナルサービスは、セーフティクリティカルな専門知識を提供し、認証取得の計画、プロセス、実装のサポートにおいて長年の経験を有しています。お客様の認証取得をプロフェッショナルサービスが支援いたします。