オンボードソフトウェアの航空機

規制文書および基準の主な目的は、航空機の耐空性の要件を満たすレベルの安全性の信頼性で適切な機能を実行する必要がある航空機搭載システムのソフトウェアを作成するプロセスで使用するガイダンス資料を提供することです。

178と演技、DO-I1978A、78市で働く、およびDO-I1985B：最初の現在使用され、その改良されたバージョンでは78で製剤化の最も重要な文書DO-1993、あるATソフトウェア要件を含む国際文書のうち、 、これでかなりの注意がソフトウェアツールの資格の問題に支払われます。

それぞれ178市とCT 1998AとCT 178V 2004と、これらの資格要件に加えて文書やRM-RM-178A 178Vはされていますウクライナとロシアでは、これらの文書の類似体があります。

DSTU ISO 9000-3-98とDSTU 3918-1999（ISO / IEC 12207：：1995）のISOウクライナの力の一連の標準および関連ソフトウェアのうち2によって支配されています。 第一は、第二のソフトウェアライフサイクルプロセスは、ソフトウェアに関連して品質システムの組織と活動に捧げられています。 認証手続き日と認証プロセスのソフトウェアを含むそのコンポーネントに直接関連ISO規格の要求事項。

また、航空機産業企業の認定のために、この場合には、作成とアプリケーションソフトウェアの生産プロセス、すなわちセクション「要素21.2 APMAK文書」ガイド3S」を、使用していました。 ソフトウェアオンボードパートA」と「パートB：「2つの部分に分かれて、 "：ソフトウェアの品質の保証。製品の受け入れのためのソフトウェア"

ソフトウェアは、特定のタイプの軍隊の認証基盤の不可欠な部分で、太陽の機能の動作のために実装するボード上に設置しなければならない軍の電子システムのオンボードソフトウェアを指します。 設計されたソフトウェアシステムは、例えば、太陽の試験のため、基板上にインストールも航空機が空中ではなく、ATツールを作成するプロセスを指します。

オンボードのデジタルシステムの機能は、ソフトウェアによって実現されているので、後者が原因航空機運航の安全性への直接的な影響で特に注目の認証機関の主題です。

機能オンボードシステムとソフトウェアレベルの重要度。 死亡、負傷、病気の予防、財産の損失： - 認証手続きの主な目的は、セキュリティの一定の保証を得るために、上記のすべて、です。 任意の複雑な技術システムのための認証の開始は、その操作の安全上のシステム機能の損失（減損）の可能性のある影響を分析したり、人と財産のために使用することです。 ユーザーエラー、ハードウェア障害、またはソフトウェアの設計ミス - そして機能障害を起こしたかは重要ではありません。 深さ制御システム、識別システムや階層、冗長性の必要性、再構成のより高いレベルのシステムのバウンス手段を受け流すする能力が重要です。 重症度の分類の正しい定義は、ソフトウェアの剛性要件に依存するシステムの機能の違反の結果を分析するには、原則として、あなたは、次の手順の後に数回戻って行かなければなりません。

文書CT 178Vは、機能システムの重症度の5つのカテゴリー、したがって、ソフトウェアの5レベルを定義しています。 定義により、カテゴリおよびシステムソフトウェアの重要度のレベルが堅く接続されている、という事実にもかかわらず、どちらか一方の方法で許容偏差のレベルを確立する手順。

分類レベルのソフトウェアの重要度カテゴリは次のように：

• ソフトウェアレベルは、 - 太陽と人の死を防ぐために、事実上不可能であるときに、ソフトウェアの誤りに起因し発生した状態の免除、このような機能のシステム上で、日のために悲惨な状況につながることができます。 ;このような状況の可能性は、1時間のフライトは、すなわち10未満〜9 ..、ほとんど信じられないことにします

• ソフトウェア内のエラーに起因して生じた状態免除ソフトウェアこのような機能、システム、中のレベルは、太陽の緊急事態につながる可能性が それが正確かつ完全にその機能を実行することができない乗務員の太陽またはその限界の制限を超える特性の著しい劣化、ならびに物理的ストレスによって特徴付け緊急事態。 緊急事態は日に著しい損害、または個々の被災者への怪我につながることができます。 非常に低いことにするような状況、1時間のフライトの可能性、すなわち、10 M0〜9の範囲内であること...。

• その状態免除、ソフトウェア内のエラーに起因生じたような機能システムに、太陽のために困難な状況につながる可能性が - からレベルON 著しい劣化太陽の特性によって特徴づけられる複雑な状況、運転制限のが、リミット制約とこのような状況に対処する乗組員の能力の減少に達することなくので、負荷の増加のと理由乗組員の行動の効率を低下させる不利な条件の1つの以上のパラメータの出力。 困難な状況では、おそらく損傷を含む、乗客に不快感を引き起こす可能性があります。 フライトの1時間の困難な状況の可能性が10 5-10-7の範囲内であること、つまり、そうなるように...。

• レベルD ON - 状態免除、ソフトウェアのエラーが原因で生じたこの機能するシステムでは、軍のための飛行条件の合併症につながることができます。 この状況は、日の特性のわずかな劣化や乗組員の作業負荷のわずかな増加によって特徴付けられます。 この状況は、飛行計画を変更することにより、例えば、回避することができ、乗客のために、それ以上のいくつかの不便をもたらすべきではありません。

• Eでの - ソフトウェアでエラーのために生じたソフトウェア、その状態が免除に機能するシステムは、軍の運用能力には影響しないと乗組員の負荷を増加させません。 ソフトウェアは、レベルEに属していることを確認するために離れて認証機関から取得、それは文書CT 178Vの規定がない彼に適用されることを意味します。

文書CT 178Aは、航空機システムのオンボードの重要な機能の3カテゴリに分類します。

• 壊滅的または緊急として特徴づけシステムの国軍の機能のうち少なくとも1の実施の違反に発生する可能性のある特殊な状況の場合に必須。

• 複雑に関係するシステムの国軍の機能のうち少なくとも1の違反の実装で発生する可能性のある特殊な状況の場合に重要。

• 重要でないが、システムの国軍の機能のうち少なくとも1の違反の実装で発生する可能性のある特殊な状況は、飛行条件の合併症に関連するか、なんら影響を与えません。

したがって、ソフトウェアの3つのレベルがあります。

• 最も要求の厳しいソフトウェアと認定要件の遵守を証明するため、および付随するドキュメントの最大数で満たされなければならない仕事の最大量を持つ「クリティカル」カテゴリに1レベル。

• 2レベル - 低い要件に「実質的な」カテゴリの。

• 3レベル - 最小要件と「非必須」カテゴリの。

レベルのソフトウェアは、重要な機能のカテゴリにだけでなく、依存しています。 システムのアーキテクチャとそのソフトウェアの構造が果たした重要な役割。 例えば、システム全体のデジタルチャネル機能を複製スタンバイアナログチャンネルを分析することができます。 特定の状況下では、このレベルを減少させるのに十分であり得ます。 逆に、単一のSunのシステム上で分析した場合に、その拒否は、1つの重要なカテゴリに回答するような方法で使用され、同じシステム障害の他の武装勢力が、より重要な動作条件につながり、システム設計者は、より高いレベルを決定することができます。 ソフトウェアのレベルを決定する上で重要な影響力も、そのデザインの方法です。 例えば測定、連続関数、またはマルチバージョン方式の正当性をチェックすることにより、特定の障害状態から保護する方法として単離または制御する方法であって、実装は、それらの異なる方法及び異なるソフトウェア内の1つの機能を実行する複数のソフトウェアコンポーネントの作成を想定して、機能的に独立して分離することができますソフトウェアコンポーネントは、障害を分離します。

特殊な状況の発生確率の上記数値はソフトウェアで未検出誤り確率に関係しません。 ソフトウェアは、特定の状況の発生確率との間に直接のリンクが存在しないため、イベントの確率を計算することが可能吠える統計の理論の開発数学的な装置に適用することもないし、ソフトウェアのエラーを検出しにくいことができます。 従って、ONインジケータまたは信頼性のレベルは、ソフトウェア・レベルに基づいて、使用されるハードウェア故障率として、例えば、システムの安全性の評価に使用することができません。

しかし、規制はソフトウェアの品質を評価する、または一定の品質を達成するために、アカウントにソフトウェア業界では、ソフトウェアの異なる特性を評価することを可能にするモデルとメトリクスの大規模なコレクションを蓄積してきたという事実を取るため、これらまたは他の定量的な基準を使用することをお勧めします。 また、ソフトウェアの開発および検証中に、非常にソフトウェアの識別されたエラーや欠点の記録だけでなく、それらに対処するための措置を維持することをお勧めします。

開発プロセス、検証・認証ソフトウェア

任意の技術的な製品の創出の主なステップは、最終的には、その保守の承認を要件への準拠を検証するために、それをテストし、プロトタイピングを含め、そのデザインです。 ソフトウェア製品を作成すると、完全にこれらのプロセスに準拠しています。

特定のセキュリティ保証を得る観点から、関心のソフトウェア製品を作成するプロセスを示します。 ここで、（P）の開発に関連したすべてのイベントは、対応する検証イベント（B）を有しています。 そして、彼らの両方が関連文書（D）を生成します。

ソフトウェア開発プロセスを開始するための最初の資料は、システムの宣言された要件です。これは、適切なドキュメント（DF <"zero">）の形式で形式化する必要があり、実装が正確に行われるという事実のために、ソフトウェア要件（D1）に変換する必要があります。すでに述べたように、デジタル電子システムの機能はソフトウェアによって実行されます。 ソフトウェア要件開発プロセス（P1）は、システム要件をソフトウェア要件に変換するプロセスです。

高レベルの設計要件および低レベルの要件の後続の開発：開発中に、その検証手順は、少なくとも二つの部分に分割することが推奨され、両方の変換手順の理解を容易にします。

高レベルの要件は、直接その構造の特徴を考慮してシステム要件の分析に由来します。 以下の条件を遵守する必要がある：システムの各要件、ソフトウェアのハイレベルに対してそれぞれ、ハイレベルの要件、およびその逆の1つまたは複数に転送されるべきである - システム要件の1つ以上において、直接的に発生されていない誘導体の特許請求の範囲を除きシステム要件（例えば、要求は、選択されたターゲット計算機の特性に応じて、処理を中断する）。 ハイレベルの要件の誘導体は、システムの安全性評価プロセスに送信されます。 ハイレベルな要件については、機能および技術的要件、相互運用性とセキュリティ要件の需要があります。

低レベルの要件は、ソフトウェア工学の用語で記述されており、高レベルの要件を分析し、詳述することにより得られます。 低レベルの要件は直接トン。電子、手順、および集計ソフトウェアをコーディングに関連している。それは、使用されるプログラミング言語およびコンパイラー、アーキテクチャおよびミドルウェアの要件である、その構成部品の構造に、オペレータごとにソフトウェアオブジェクトの分類に、開発環境と検証へ同様のプログラミングスタイルなど。

関連文書は、設計、コーディング、支援のための技術仕様に関する基準やその他の規範文書（D2）です。 開発の第一段階を完了し、検証運動、 - ハードウェアとソフトウェアとのインターフェース、完全またはソフトウェアの要件の妥当性との間の機能の配分の互換性を検証するためにソフトウェアのシステム要件のための要件の比較。 ドキュメントの推奨形 - クロスリファレンスのテーブル、別の文書の検証として発行され、またはすべての検証手順とその結果の段階だけでなく、新たな課題とそれらに対処するための措置を説明し、一般的な文書の一部とすることができます。

開発の次の段階 - その品質のソフトウェアの開発と管理のプロセスを計画します。 計画の主な目的 - 資源や行動配列の同定、目標の達成を確実にします。 組織（関係）プロセスによって決まるが、まだあります。 その結果、彼らは（合理的な組み合わせを許可されている）5つの文書発行する必要があります。認証のための計画（DZ）、ソフトウェア開発計画、計画の検証および構成管理計画（D6を）し、その品質を保証します。 検証活動（V2、VZ）は、計画の承認、並びにその補正操作の後の段階で生じたコメントによって、さらにはソフトウェアのステージ上での手順の調整に主に関連しています。 文書の内容をさらに検討しました。

開発プロセスの継続は、ソフトウェアの設計プロセスです。 ここでは、高レベルのソフトウェア要件を考慮に彼らにソースコードを作成することが可能であった程度に要件の低レベルを取って、機能アルゴリズムのソフトウェア・アーキテクチャを形成するために、設計プロセスの繰り返し回数に指定されています。 安全要件を満たすためには、「拒否」状態に対応する反応で自然に一貫性と比較クロスフローの確認、ウォッチドッグタイマを提供するために、例えば、制御およびデータ・フローの制御を提供する必要があります。 設計結果は、プロジェクトを記述した文書に記録されています。

検証エクササイズV4 - システム動作アルゴリズムの検証を含む設計のためのソフトウェアや規格のコンプライアンス要件、上のプロジェクトをチェック。 プロジェクトの検証の主な目的は、その「検証可能性」を提供することです。 これは、考慮されるべき少なくとも以下の要素：プログラムの実行、データフローとハードウェアの単離および完全性機能に対するそれらの潜在的な影響の可能性のある歪みの配列。 検証文書D13断面分析の形でソフトウェアの要求に応じてプロジェクトのコンプライアンスのテーブルであるべきです。 基準や要件からのリトリートは注意して正当化されなければなりません。

ステージのすべては、これまで、ラガーステージ設計ソフトウェアは、予備として説明することができます。 唯一のソフトウェアコンポーネント（R5）およびハードウェアとソフトウェアの統合相互接続するプログラミングプロセス（R6）、の結果として（R7）は、その最終的な形で実際のソフトウェア製品を表示されます。

低レベルの要件を実装するプロセスの最初の結果は、常にプロジェクトにソースコード（D9）を、形質転換されるべきです。 設計プロセスの会計ソフトウェアアーキテクチャは、ターゲットコンピュータに、マルチコンポーネント・ソフトウェアと統合ソフトウェアの手順で実現されるであろう最終的に実行可能なオブジェクトコード（DOJ）と適切なディレクトリ構成ソフトウェア（D11）。 これらの方法で同定された不正または不十分な入力データは、修正又は透明度を製造するための前処理に戻す必要があります。 また、ソフトウェア開発の環境（それはほとんどの場合、であり、その支援の環境は）明確にし、徹底的に定義され、（D12）を固定しなければなりません。

言うまでもなく、開発のこの段階ではタイトルの下、ほとんどの膨大なコンテンツの中で最も複雑かつ最も重要な検証措置（V5、V6、V7）を行っている - ソフトウェアに含まれるエラーを検出するためのテスト（テスト）ソフトウェアを。 ここでの問題はあっても予測できない検出されず、検出されたエラーは、通常は排除されるということです。

すべての3つの検証措置の内容。

このプロセスは、多くの反復で構成され、各反復において、各イベントのこれらの位置の全てを含みます。 プロセスの結果は、文書D13に記録されています。

ソフトウェア開発のプロセスの見直しは計画とUKPO GKPOの言及なしで不完全であろう。 構成ステータスの内部および外部監査のほか、適切な組織や技術の手順で実装されると、レコードとD14 D15に反映されています。

固定ドキュメントD16の認定制度の実施。

ソフトウェア開発のサイクルは、テストは、オンボードのデジタル機能するシステム（V9）の保守性を確認終了します。 これらの試験は、規定の動作条件では、この日で、システムが正常に機能していることを公式認定（認定）の一環として行われています。

ソフトウェア認証のためのドキュメント。 米国では、1987が正式にソフトウェアを開発し、開発プロセスを改善するために、企業の技術的成熟度のレベルを決定することを可能にする技術SEI（ソフトウェア工学研究所）を制定したがあります。 もともと能力成熟度

モデル（CMM）、以降 - 能力成熟度モデル統合（CMMI）。 第五の - - 技術的成熟度の最も高い（「最適化」）レベルのモデルに応じて、パラメトリックおよび構造最適化の方法を用いて、数学的モデルに基づいて、生産に完全に自動化されたプロセスを応答し、組織がプロセス改善に焦点を当てています。 最初の（「一次」）レベルの下の徴候の一つは、個々のプログラマの依存組織であり、第3（「定義」）への第2（「リピート」）レベルから遷移するための条件のいずれか - 責任者が率いる適切なサービス制御下の文書処理組織の上級管理職から。

ソフトウェアのライフサイクルのすべてのフェーズが始まりであり、同じドキュメントの終わりは永遠に存在することができます。 したがって、ドキュメントの要件を策定する - ソフトウェアを作成するためのすべての上記の処理の要件を策定することを意味します。 ドキュメントが認定するソフトウェアで、非常に重要な要素です。 文書はまた、慎重に事故や緊急事態の前提条件の調査で分析の主な要素です。

これは、フォームや文書の内容は、製品の定量的および定性的な特性、その深さの監視および分析、記録および保管、文書に署名した人の責任のレベルの可能性の存在を含めることが重要です。 ドキュメントの最も弱いリンク - 彼女の要件への声明の完全なビュー。

ソフトウェアの認定に必要な書類の特定のリストには、（システムの重要度に）ソフトウェアに依存しており、認証機関に認証制度を調和させる過程で決定されます。 以下簡単には本質とすでに述べた文書を示しています。

• D1「ソフトウェア要件」 - 高レベルと低レベルのリリース要件を持つソフトウェア要件へのシステム要件の変換の記述が含まれており、安全性の問題と可能な障害状況に特に注意を払って。 基準が定義されなければならないなど、機能や可能性の制限を実行します。相互作用のために、メモリ、時間、周波数。 特に注意は、ソフトウェアコンポーネントの分離に支払われます。

• D2 - 「ソフトウェア開発の基準」 - 複数のリスト。 少なくとも - これは、規格開発、設計、コーディング、テストソフトウェアの正式な要件のリストです。 いくつかのドキュメント - 基準に沿って。

• その内容 - 、作成ルールを構造化するための方法、プロジェクトの制限（例えば、再帰、動的オブジェクト、代替データシンボルの排除）、言語やコンパイラ、環境やツールの（たとえば、コール入れ子、ホップの使用など）の複雑さの制約。

• DZ - 」の認定制度は、「国家の証明機関への承認のために務め、行動方針を決定し、日およびこれに必要な資料を、システムに、彼に製品の要件の遵守を証明する方法。

• D4 "に計画を策定するには、" - 、出演者と開発環境の相互作用を、ソフトウェア開発のライフサイクルを定義します。

• D5 - 「検証計画ソフトウェア」 - （検証手順への移行のための開発プロセスの位置及び基準）の手順を定義し、技術、手順、環境および検証ツール、ソフトウェア・ツール、必要な品質パラメータ（安全性）の達成の指示、およびフォローアップ検査に関するガイダンスを含みますそして検出されたエラーの排除を保証するソフトウェアに変更を加えた後のテスト。

• D6は - 「ソフトウェア構成管理計画は、「 - ソフトウェアユニットおよび装置、派生バージョン、変更管理ルールの基本的なバージョンとトレーサビリティ、順序および構成ステータス会計、アーカイブ、監視、およびデータ処理ユニットの保護のルールを識別するためのルールを設定します。

• D7は - 「ソフトウェア品質保証計画は、「検査、監査および追跡し、是正措置の問題の報告を含め、保証を得るためのプロセスに関連するその他の活動の責任と権限の分布の範囲を確立します。

• D8 - 「プロジェクトソフトウェア」 - ソフトウェアはアルゴリズム、データ構造、およびどのようにソフトウェアの要件タスクとプロセスに割り当てられているなど、ハイレベルの要件の要件を満たしているかの詳細な説明が含まれています。 また、ソフトウェア・アーキテクチャー、ライブラリ、I / O、データ及び制御フローの説明、リソース割り当て及び関連制限、スケジューリング手順、プロセス、アプリケーション間の共有間の方式、割込み、ソフトウェア構成要素、それらの単離のための方法。

• D9「ソースコード」とは - ソースコード、コード生成のためのコンパイラ命令、データ編集リンクとダウンロードが含まれています。

• D10 - 「実行可能コードをオブジェクトは、 " - 電卓のターゲットプロセッサの直接実装に適したコード、すなわち、システムのアビオニクス機器にロードされている1が含まれています...

• D11 - 「製品構成ソフトウェアは、「 - ユニットとして納入品の構成を定義します。 これは、各コンポーネントが文書やメディアに対応し、全体としてソフトウェアを識別しなければなりません。

• D12 - 「Directory環境ソフトウェア」 - 要件を指定し、操作の製品償却の位相を仕上げの段階から、ソフトウェアのライフサイクル環境の記述が含まれています。 開発ツール、検証、追跡ソフトウェアによって識別されたカタログでは、これらのツールは、比較的スキルです。

• D13 - 「手順と結果の検証は、「開発、アプリケーションのテストケースとソフトウェアの同定された成分を用いた治療の結果のすべての段階で検討、分析、試験のための手順を説明しなければならない2または3つの文書に分割することができます。 すべての問題と対処について詳細に説明する必要があります。

• D14 - 「プロトコルUKPO」。

• D15 - 「プロトコルGKPO」。

• D16 - 「ソフトウェアに関する最終的な結論は、 " - "ソフトウェア認証の計画」と「ソフトウェア要件」程度の実施を確保する主要な文書です。 これは、ソフトウェアのリストについては、システムとソフトウェア、認定条件（契約）、特性、同定およびソフトウェアのマニュアルの状態の簡単な説明と、どのソフトウェア要件へのエクステントの文が含まれている必要があります。