Что мне делать, если я хочу перевести свое программное обеспечение с уровня DAL A на уровень DAL C?

Если я хочу понизить уровень гарантии проектирования моего программного обеспечения (DAL) с уровня A до уровня C, что мне нужно сделать?

Программное обеспечение DAL уровня A - это программное обеспечение, сбой которого может привести к «катастрофическим» результатам, определяемым как «Сбой может привести к гибели нескольких человек, обычно с потерей самолета».

Уровень DAL C: «Отказ значительно снижает запас прочности или значительно увеличивает нагрузку на экипаж. Может привести к дискомфорту пассажиров (или даже к легким травмам)».

Таким образом, чтобы перевести ваше программное обеспечение с уровня DAL A на уровень DAL C, вам придется уменьшить ответственность вашего программного обеспечения. Работа или сбой вашего программного обеспечения не может:

• привести к серьезной травме или смерти пассажира
• оказывать большое негативное влияние на безопасность или летно-технические характеристики самолета
• снизить способность экипажа управлять воздушным судном из-за физического недомогания или повышенной рабочей нагрузки (хотя значительное увеличение рабочей нагрузки допустимо на уровне C)

В лучшем случае работа или сбой вашего программного обеспечения может:

• Значительно снизить запас прочности
• Значительно увеличить нагрузку на экипаж
• Привести к дискомфорту пассажиров или легкой травме

Если вы можете изменить свое программное обеспечение или изменить способ использования программного обеспечения вашим клиентом (т. е. его нельзя использовать или установить как часть системы управления, критически важной для безопасности), то сертифицирующие органы могут разрешить сертификацию вашего программного обеспечения на уровне C.

Каковы преимущества и недостатки этого?

Есть только 62 цели, которые должны быть выполнены, и только 8 из них должны быть проверены кем-то, независимым от человека, который внедрил код, подпадающий под эту цель. Хотя количество целей уменьшилось лишь немного (71 против 62), количество требующих независимой проверки сократилось более чем на 75% с 33 до 8. Это значительно сокращает объем работы, необходимой для выполнения сертификационных требований, в основном в отношении прослеживаемости.

Главный недостаток заключается в том, что ваше программное обеспечение нельзя использовать или включать в системы, требующие более высокого уровня соответствия.

Поэтому, если ваше программное обеспечение предназначено для управления исполнительными механизмами и в настоящее время сертифицировано по уровню А, вы можете обнаружить, что оно используется для управления полетными поверхностями на некоторых самолетах.

В этом случае переход на уровень C может вообще не потребовать каких-либо изменений программного обеспечения. Если вы прекратите выполнять полную прослеживаемость, тесты и достижение целей с независимостью на уровне A и будете выполнять только те действия, которые необходимы для уровня C, то ваш выпуск в соответствии с этой новой системой обязательно будет сертифицирован только на уровне C. Программное обеспечение больше не может быть сертифицировано. используется для управления полетными поверхностями, но если появится новый самолет с электронно-регулируемыми воздушными соплами в пассажирском салоне, он может иметь право на включение туда, где отказ в худшем случае вызовет дискомфорт у пассажиров и увеличит нагрузку на экипаж, рассматривая жалобы на вентиляционные отверстия. неправильно направлен или открыт/закрыт, когда желательно противоположное.

Однако если ваше программное обеспечение является автопилотом, то оно никогда не будет использоваться, если оно не соответствует Уровню А. В этом случае нет никакого способа изменить ваше программное обеспечение или процесс на более низкий уровень и ожидать, что оно будет использоваться. программного обеспечения определяет уровень, которому оно должно соответствовать.

В большинстве случаев использование будет определять, на какой уровень должно быть сертифицировано программное обеспечение, и у вас нет реального способа (или причины) изменить свой уровень. Это перестало бы быть полезным программным обеспечением на неправильном уровне.

Если вы следуете DO-178B или DO-178C , вы не можете назначить своему программному обеспечению уровень гарантии проектирования (DAL). За это отвечает орган по сертификации, например FAA в США, Transport Canada в Канаде или EASA в Европе. Существуют методы анализа, которые используются для определения соответствующего уровня.

Если орган по сертификации понизит ваш уровень гарантии проектирования, вам потребуется выполнить меньшее количество задач и меньшее количество целей, удовлетворяющих требованиям независимости. Цель, удовлетворяющая требованиям независимости, означает, что процессы разработки, а также процессы верификации и валидации выполняются независимо. Более низкие уровни гарантии проектирования всегда имеют меньше целей и меньше целей с независимостью, чем более высокие уровни.

Если у вас есть программное обеспечение, разработанное и сертифицированное на уровне DAL A, его можно использовать вместо программного обеспечения, сертифицированного на любом более низком уровне DAL.