20090113 02 - Les outils de qualimétrie dans la certification des logiciels avionique

1. 0 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Jean-Pierre Legras Auditeur technique / Qualité en développement HISPANO SUIZA Site de REAU B.P 42 77551 MOISSY-CRAMAYEL Tel : 01 60 59 89 85 / Fax 01 60 59 89 25 E_mail : jean-pierre.legras@hispano-suiza-sa.com

2. 1 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Plan de l ’exposé • Brève présentation du Groupe Safran • Les autorités de régulation pour l’aéronautique • Le contexte réglementaire du logiciel aéronautique embarqué : DO178B • Les outils dans le Processus de certification • Exemples

3. 2 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». SAFRAN EN BREF Un groupe international de haute technologie Plus de 12 milliards d’euros de chiffre d’affaires en 2007 56 700 personnes dans plus de 30 pays branches d’activité : • Propulsion aéronautique et spatiale • Equipements aéronautiques • Défense Sécurité

4. 3 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». AVIONS COMMERCIAUX : PRODUITS ET SERVICES Nacelles Nacelles et composants (inverseurs de poussée,…) Equipements et pièces moteurs • Systèmes de commande intégrés • Transmissions de puissance • Modules et composants moteurs • Pièces moteurs composite Moteurs • Famille CFM56 (50/50 avec General Electric) • Moteur SAM146 pour le Russian Regional Jet (50/50 avec NPO Saturn) • Participations aux programmes : CF6, GE90, GE90-115B, GP7000, PW4000, AS900, CF34 Systèmes d’atterrissage et freinage • Trains d’atterrissage pour tous types d’avions • Systèmes de surveillance pour atterrissage / freinage • Roues et freins carbone • Systèmes de commande et hydrauliques • Maintenance et réparation Equipements avions • Système serveur de réseau • Commandes de vol de secours • Systèmes de sécurisation des télécommunications • Systèmes de commande du poste de pilotage • Systèmes de câblages électriques Services moteurs • Maintenance et réparation • Essais et installations d’essais • Systèmes d’aide à la maintenance avion • Aérostructures en matériaux composites • Groupes auxiliaires de puissance • Systèmes hydrauliques • Capteurs et actionneurs • Ventilation / filtration • Références inertielles

5. 4 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». AVIONS MILITAIRES : PRODUITS ET SERVICES Systèmes d’atterrissage et de freinage • Trains d’atterrissage pour tous types d’avions : combat, entraînement, transport • Roues et freins carbone et acier • Systèmes hydrauliques • Maintenance et réparation Systèmes et équipements avion • Navigation et guidage inertiel • Optronique d’observation • Alerte missile • Liaisons électriques • Démarrage Equipements et pièces moteurs • Systèmes de commande intégrés • Transmissions de puissance • Modules et composants de moteurs • Pièces moteurs composites Moteurs • M88, M53, Larzac® • Adour (avec Rolls-Royce) • TP400-D6 (coopération européenne au sein d’EPI) • Modules et composants P&W F100 et GE F110 Services moteurs • Maintenance et réparation • Soutien logistique intégré • Essais et installations d’essais • Structures composites • Groupes auxiliaires de puissance • Ventilation / filtration • Capteurs et actionneurs • Sièges éjectables • Viseurs de casque Modernisation d’avions Systèmes sol • Planification de mission • Groupes mobiles

6. 5 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». HÉLICOPTÈRES : PRODUITS ET SERVICES Equipements et pièces moteurs • Systèmes de régulation • Transmissions de puissance • Boîtiers d’engrenages Systèmes d’atterrissage et de freinage • Trains d’atterrissage pour tous types d’hélicoptères • Roues et freins acier • Systèmes de commande • Maintenance et réparation Systèmes et équipements hélicoptères • Pilotage automatique • Navigation • Surveillance • Transmissions de données • Liaisons électriques • Hydraulique Moteurs • Hélicoptères légers : Arrius®, Arriel® • Hélicoptères de 5 à 7 tonnes : TM333, Ardiden® • Hélicoptères lourds : famille Makila® • RTM322 (50/50 avec Rolls-Royce) • MTR390 (avec MTU Aeroengines et Rolls- Royce) Services moteurs • Maintenance et réparation • Capteurs et actionneurs • Aérostructures composites • Groupes auxiliaires de puissance • Ventilation • Filtration • Viseurs infrarouges

7. 6 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». LANCEURS SPATIAUX ET SATELLITES Moteurs à propergol solide • MPS d’Ariane 5 (Europropulsion : 50/50 avec Avio) Moteurs d’étages principaux • Vulcain® : Ariane 5 G • Vulcain® 2 : Ariane 5 ECA Composites thermostructuraux • Divergents déployables pour les moteurs Vinci® et Pratt & Whitney RL10B-2 • Tuyères, cols de tuyères et divergents Moteurs d’étages supérieurs cryotechniques • HM7B: Ariane 4 et Ariane 5 ECA • Vinci® : Ariane 5 ECB Equipements moteurs • Turbomachines, générateurs de gaz • Vannes cryogéniques • Liaisons pneumatiques et fluides Propulsion satellites et véhicules spatiaux • Propulseurs 200 N (ATV) • Propulseurs plasma PPS®1350 Miroirs spatiaux

8. 7 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». PRODUITS ET ACTIVITÉS DE DÉFENSE Propulsion de missiles • Moteurs à propergol solide pour missiles stratégiques (M51) et tactiques (Mistral) • Turboréacteurs pour missiles de croisière et anti-navires (Apache/Storm Shadow) • Systèmes de vannage gaz chauds • Gouvernes de jet Drones tactiques et longue endurance (Sperwer B) Equipement du fantassin du futur (Félin) Simulation nucléaire (laser mégajoule) Salle de commandement et de contrôle centralisé Systèmes de navigation ou de guidage pour missiles stratégiques et tactiques (M51, AASM, ASMP, Apache, Aster, Mistral, MICA …) Périscopes et navigation sous-marine Viseurs de chars (Leclerc, Challenger …)

9. 8 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». PRODUITS ET ACTIVITÉS DE SECURITÉ Systèmes d’identification multi-biométriques (reconnaissance d’empreintes digitales, de l’iris et du visage) Systèmes d’identité Cartes et certification (banque, santé, etc…) Systèmes de lutte contre la criminalité Terminaux sécurisés de paiement, de prise de jeux et de carte de santé (Vitale)

10. 9 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Convention DE CHICAGO 1944 entre les États et les Usagers des transports OACI Standards ( Normes ) et Règles internationaux OACI Pour un développement sûr et coordonné de l’Aviation Civile Internationale : un Concert bien orchestré !

11. 10 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». L’Agence Européenne de la Sécurité Aérienne est la clé de voûte de la stratégie de sécurité aérienne de l’Union européenne. Sa mission est de promouvoir le plus haut niveau possible de sécurité et de protection environnementale de l’aviation civile EASA FAA Federal Aviation Authority ( USA ) Notre mission est de fournir le système aérospatial le plus sûr et le plus efficace du monde Notre vision est d’améliorer la sécurité et le bon fonctionnement de l’aviation, tout en étant réceptif à nos clients et responsable envers le public Les bras armés de l’OACI …

12. 11 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». < 10-9Décès ou incapacité à faire face Décès multiplesPerte de la celluleCatastrophique < 10-7Souffrance physique ou augmentation excessive de la charge de travail Blessures graves ou mortelles pour un petit nombre de passagers ou de PNC Réduction importanteDangereux TauxL’équipageLes passagersL’avion (Capacités fonctionnelles ou marges de sécurité) Risque sur Gravité < 10-5Gêne physique ou augmentation significative de la charge de travail Souffrance physique et éventuellement des blessures Réduction significativeMajeur < 10-3Légère augmentation de la charge de travail Gêne physiqueLégère réductionMineur La réglementation, c’est la Prévention… ceinture bretelles harnais parachute

13. 12 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». OACI – La convention de CHICAGO en 1944 Organisation de l’Aéronautique Civile Internationale: institution spécialisée de l’ONU créée par la convention de Chicago relative à l’Aviation Civile Internationale signée le 7 décembre 1944. Les gouvernements soussignés ont convenu de certains principes et arrangements pour que l’aviation civile puisse se développer de manière sûre et ordonnée. Mis en œuvre au travers d’annexes techniques à la convention (18 annexes) Le siège de cette organisation est à MONTREAL(Canada) et est composée de 188 états. www.icao.int

14. 13 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». LA STRUCTURE EN EUROPE ORGANISATION DE L’AERONAUTIQUE CIVILE INTERNATIONALE OACI COMMISSION EUROPEENNE DE L’AVIATION CIVILE CEAC JOINT AVIATION AUTHORITIES JAA AGENCE EUROPEENNE DE LA SECURITE AERIENNE AESA (EASA) Définition d’un système réglementaire commun et repris par chaque pays Initiation AESA et relations entre les pays membres *Minimum de règles communes pour la sécurité aérienne *Avions déclarés navigables par l’autorité du pays d’immatriculation *Les autres pays acceptent survol, atterrissage et décollage Liée à la commission européenne Comprend tous le pays membres de la CE

15. 14 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». AGENCE EUROPEENNE POUR LA SECURITE AERIENNE – AESA (EASA) – HISTORIQUE 15/07/2002 - Règlement (CE) n°1592/2002 du Parlement européen et du Conseil: règlement de création de l’Agence + exigences « haut niveau ». 24/09/2003 - Règlement (CE) n°1702/2003 de la Commission: règles applicables pour la certification de navigabilité et environnementale des aéronefs et produits, pièces et équipements associés, ainsi que pour la certification des organismes de conception et de production. 28/09/2003 - AESA opérationnelle pour les aspects certification.

16. 15 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». HISTORIQUE Loi votée par le congrès en 1958 FEDERAL AVIATION ACT Qui stipule entre autre Le ministre des transports est en charge de : Promouvoir le développement de l’aviation commerciale et sa sécurité Prescrire une réglementation raisonnable et des standards minimum dans l’intérêt de la sécurité

17. 16 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Les produits à certifier • Aéronefs • Moteurs • Hélices La certification

18. 17 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». CSE : Certification Specifications for Engines CS-E European Aviation Safety Agency Certification Specifications for Engines CS-E DECISION NO. 2003/9/RM OF THE EXECUTIVE DIRECTOR OF THE AGENCY of 24 October 03 This CS-E provide the rules for engine certification and also Acceptable Means of Compliance for demonstrate the compliance with it (AMC-20) For ECU the section CS-E 50 (Engine Control System) is applicable

19. 18 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». AMC-20 GENERAL ACCEPTABLE MEANS OF COMPLIANCE FOR AIRWORTHINESS OF PRODUCTS , PARTS AND APPLIANCES AMC 20-115B RECOGNITION OF EUROCAE ED-12B / RTCA DO-178B AMC 20-128A DESIGN CONSIDERATIONS FOR MINIMIZING HAZARDS CAUSED BY UNCONTAINED TURBINE ENGINE AND AUXILIARY POWER UNIT ROTOR FAILURE AMC 20-1 CERTIFICATION OF AIRCRAFT PROPULSION SYSTEMS EQUIPPED WITH ELECTRONIC CONTROLS AMC 20-2 CERTIFICATION OF ESSENTIAL APU EQUIPPED WITH ELECTRONIC CONTROLS AMC 20-4 AIRWORTHINESS APPROVAL AND OPERATIONAL CRITERIA FOR THE USE OF NAVIGATION SYSTEMS IN EUROPEAN AIRSPACE DESIGNATED FOR BASIC RNAV OPERATIONS AMC 20-5 AIRWORTHINESS APPROVAL AND OPERATIONAL CRITERIA FOR THE USE OF THE NAVSTAR GLOBAL POSITIONING SYSTEM (GPS) AMC 20-6 EXTENDED RANGE OPERATION WITH TWO-ENGINE AEROPLANES ETOPS CERTIFICATION AND OPERATION AMC 20-8 OCCURRENCE REPORTING

20. 19 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Aperçu de la DO178B DO-178B (RTCA : American) / ED-12B (EUROCAE : European) “SOFTWARE CONSIDERATIONS IN AIRBONE SYSTEMS AND EQUIPMENT CERTIFICATION” Recommandations rendues obligatoires ( législatif ) exprimées en termes d ’objectifs à atteindre (le «QUOI » et pas le « COMMENT ») Interprétation qui peut être variable selon l ’autorité (EASA, FAA) .. et dans le temps (apparition de CRIs (Certification Review Items)) Exigences en terme de données à produire et de preuves à fournir (lors des revues associées (SOI1 à SOI4)) Selon le niveau, certains objectifs peuvent être applicables ou non, et leur satisfaction le cas échéant doit pouvoir être démontrée avec indépendance ou non. La vérification consiste à s ’assurer que toutes les exigences ont été implémentées, et pas plus (pas de code mort en logiciel, p. ex.)

21. 20 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Les différents niveaux logiciel possibles Matériel dont le dysfonctionnement, mis en évidence par l'analyse de sécurité du système, provoquerait ou contribuerait à une défaillance d'une fonction du système entraînant une condition de défaillance sans effet sur la capacité opérationnelle de l'aéronef ni sur la charge de travail du pilot. Une fois que l'Autorité de certification a confirmé qu'un matériel était de niveau E, aucune autre recommandation de ce document n'est applicable. Niveau E : Matériel dont le dysfonctionnement, mis en évidence par l'analyse de sécurité du système, provoquerait ou contribuerait à une défaillance d'une fonction du système entraînant une condition de défaillance " mineure " pour l'aéronef. Niveau D : Matériel dont le dysfonctionnement, mis en évidence par l'analyse de sécurité du système, provoquerait ou contribuerait à une défaillance d'une fonction du système entraînant une condition de défaillance "majeure" pour l'aéronef. Niveau C : Matériel dont le dysfonctionnement, mis en évidence par l'analyse de sécurité du système, provoquerait ou contribuerait à une défaillance d'une fonction du système entraînant une condition de défaillance "dangereuse" pour l'aéronef. Niveau B : Matériel dont le dysfonctionnement, mis en évidence par l'analyse de sécurité du système, provoquerait ou contribuerait à une défaillance d'une fonction du système entraînant une condition de défaillance "catastrophique" pour l'aéronef. Niveau A :

22. 21 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». PLANNING REQUIREMENTS DESIGN CODING INTEGRATION CONFIGURATION MANAGEMENT VERIFICATION QUALITY ASSURANCE CERTIFICATION LIAISON PROCESSES PLANNING DEVELOPMENT INTEGRAL Les types de processus de la DO178B

23. 22 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». SOFTWARE LIFE CYCLE DATA 11.1 PSAC : Plan for Software Aspects of Certification 11.2 SDP : Software Development Plan 11.3 SVP : Software Verification Plan 11.4 SCMP : Software Configuration Management Plan 11.5 SQAP : Software Quality Assurance Plan 11.6 SRS : Software Requirements Standards 11.7 SDS : Software Design Standards 11.8 SCS : Software Code Standards 11.9 SRD : Software Requirements Data 11.10 SDD : Design Description 11.11 Source Code 11.12 Executable Object Code 11.13 SVCP : Software Verification Cases and Procedures 11.14 SVR : Software Verification Results 11.15 SECI : Software life cycle Environment Configuration Index 11.16 SCI : Software Configuration Index 11.17 PR : Problem Reports 11.18 SCMR : Software Configuration Management Records 11.19 SQAR : Software Quality Assurance Records 11.20 SAS : Software Accomplishment Summary Les « Life Cycle data »

24. 23 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». • Unambiguous single interpretation • Complete includes necessary, relevant requirements and/or descriptive material • Verifiable can be checked by a person or tool • Consistent no conflict within it • Modifiable structured and has a style such that changes can be made completely, consistently, and correctly • Traceable origin of its components can be determined Caractéristiques des Life Cycle data

25. 24 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». LEGEND : The objective should be satisfied with independence The objective should be satisfied Blank Satisfaction of objective is at applicant's discretion Data satisfies the objectives of SCM Control Category 1 (CC1) Data satisfies the objectives of SCM Control Category 2 (CC2) Les Tables d’objectifs A-1 à A-10

26. 25 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Objective Applicability by SW Level Output Control Category By SW level Description Ref. A B C D Description Ref. A B C D 1 Software development and integral processes activities are defined 4.1a 4.3 2 Transition criteria, inter- relationships and sequencing among processes are defined 4.1b 4.3 3 Software life cycle environment is defined 4.1c 4 Additional considerations are addressed 4.1d Plan for Software Aspects of Certification Software Development Plan Software Verification Plan SCM Plan SQA Plan 11.1 11.2 11.3 11.4 11.5 5 Software development standards are defined 4.1e SW Requirements Standards SW Design Standards SW Code Standards 11.6 11.7 11.8 6 Software plans comply with this document 4.1f 4.6 SQA Records Software Verification Results 11.19 11.14 7 Software plans are coordinated 4.1g 4.6 SQA Records Software Verification Results 11.19 11.14 Table A-1 : Software Planning Process

27. 26 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Objective Applicability by SW Level Output Control Category By SW level Description Ref. A B C D Description Ref. A B C D 1 High-level requirements are developed 5.1.1a Software Requirements Data 11.9 2 Derived high-level requirements are defined 5.1.1b Software Requirements Data 11.9 3 Software architecture is developed 5.2.1a Design Description 11.10 4 Low-level requirements are developed 5.2.1a Design Description 11.10 5 Derived low-level requirements are defined 5.2.1b Design Description 11.10 6 Source Code is developed 5.3.1a Source Code 11.11 7 Executable Object Code is produced and integrated in the target computer 5.4.1a Executable Object Code 11.12 Table A-2 : Software Development Processes

28. 27 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Objective Applicability by SW Level Output Control Category By SW level Description Ref. A B C D Description Ref. A B C D 1 Software high-level requirements comply with system requirements 6.3.1a λ λ µ µ Software Verification Results 11.14 ↑ ↑ ↑ ↑ 2 High-level requirements are accurate and consistent 6.3.1b λ λ µ µ Software Verification Results 11.14 ↑ ↑ ↑ ↑ 3 High-level requirements are compatible with target computer 6.3.1c µ µ Software Verification Results 11.14 ↑ ↑ 4 High-level requirements are verifiable 6.3.1d µ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 5 High-level requirements conform to standards 6.3.1e µ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 6 High-level requirements are traceable to system requirements 6.3.1f µ µ µ µ Software Verification Results 11.14 ↑ ↑ ↑ ↑ 7 Algorithms are accurate 6.3.1g λ λ µ Software Verification Results 11.14 ↑ ↑ ↑ Table A-3 : Verification of Outputs of Software Requirements Process

29. 28 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Objective Applicability By SW Level Output Control Category By SW level Description Ref. A B C D Description Ref. A B C D 1 Low-level requirements complies with high-level requirements 6.3.2a λ λ µ Software Verification Results 11.14 ↑ ↑ ↑ 2 Low-level requirements are accurate and consistent 6.3.2b λ λ µ Software Verification Results 11.14 ↑ ↑ ↑ 3 Low-level requirements are compatible with target computer 6.3.2c µ µ Software Verification Results 11.14 ↑ ↑ 4 Low-level requirements are verifiable 6.3.2d µ µ Software Verification Results 11.14 ↑ ↑ 5 Low-level requirements conforms to standards 6.3.2e µ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 6 Low-level requirements are traceable to high- level requirements 6.3.2f µ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 7 Algorithms are accurate 6.3.2g λ λ µ Software Verification Results 11.14 ↑ ↑ ↑ 8 Software architecture is compatible with high- level requirements 6.3.3a λ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 9 Software architecture is consistent 6.3.3b λ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 10 Software architecture is compatible with target computer 6.3.3c µ µ Software Verification Results 11.14 ↑ ↑ 11 Software architecture is verifiable 6.3.3d µ µ Software Verification Results 11.14 ↑ ↑ 12 Software architecture conforms to standards 6.3.3e µ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 13 Software partitioning integrity is confirmed 6.3.3f λ µ µ µ Software Verification Results 11.14 ↑ ↑ ↑ ↑ Table A-4 : Verification of Outputs of Software Design Process

30. 29 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Objective Applicability by SW Level Output Control Category By SW level Description Ref. A B C D Description Ref. A B C D 1 Source Code complies with low-level requirements 6.3.4a λ λ µ Software Verification Results 11.14 ↑ ↑ ↑ 2 Source Code complies with software architecture 6.3.4b λ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 3 Source Code is verifiable 6.3.4c µ µ Software Verification Results 11.14 ↑ ↑ 4 Source Code conforms to standards 6.3.4d µ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 5 Source Code is traceable to low-level requirements 6.3.4e µ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 6 Source Code is accurate 6.3.4f λ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 7 Output of software integration is complete and correct 6.3.5 µ µ µ Software Verification Results 11.14 ↑ ↑ ↑ Table A-5 : Verification of Outputs of Software Coding & Integration Processes

31. 30 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Objective Applicability by SW Level Output Control Category By SW level Description Ref. A B C D Description Ref. A B C D 1 Executable Object Code complies with high-level requirements 6.4.2.1 6.4.3 µ µ µ µ Software Verification Cases and Procedures Software Verification Results 11.13 11.14 ← ↑ ← ↑ ↑ ↑ ↑ ↑ 2 Executable Object Code is robust with high-level requirements 6.4.2.2 6.4.3 µ µ µ µ Software Verification Cases and Procedures Software Verification Results 11.13 11.14 ← ↑ ← ↑ ↑ ↑ ↑ ↑ 3 Executable Object Code complies with low-level requirements 6.4.2.1 6.4.3 λ λ µ Software Verification Cases and Procedures Software Verification Results 11.13 11.14 ← ↑ ← ↑ ↑ ↑ 4 Executable Object Code is robust with low-level requirements 6.4.2.2 6.4.3 λ µ µ Software Verification Cases and Procedures Software Verification Results 11.13 11.14 ← ↑ ← ↑ ↑ ↑ 5 Executable Object Code is compatible with target computer 6.4.3a µ µ µ µ Software Verification Cases and Procedures Software Verification Results 11.13 11.14 ← ↑ ← ↑ ↑ ↑ ↑ ↑ Table A-6 : Testing of Outputs of Integration Process

32. 31 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Objective Applicability by SW Level Output Control Category By SW level Description Ref. A B C D Description Ref. A B C D 1 Test procedures are correct 6.3.6b λ µ µ Software Verification Cases and Procedures 11.13 ↑ ↑ ↑ 2 Test results are correct and discrepancies explained 6.3.6c λ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 3 Test coverage of high- level requirements is achieved 6.4.4.1 λ µ µ µ Software Verification Results 11.14 ↑ ↑ ↑ ↑ 4 Test coverage of low- level requirements is achieved 6.4.4.1 λ µ µ Software Verification Results 11.14 ↑ ↑ ↑ 5 Test coverage of software structure (MC/DC)is achieved 6.4.4.2 λ Software Verification Results 11.14 ↑ 6 Test coverage of software structure (DC)is achieved 6.4.4.2a 6.4.4.2b λ λ Software Verification Results 11.14 ↑ ↑ 7 Test coverage of software structure (SC)is achieved 6.4.4.2a 6.4.4.2b λ λ µ Software Verification Results 11.14 ↑ ↑ ↑ 8 Test coverage of software structure (data coupling and control coupling)is achieved 6.4.4.2c λ λ µ Software Verification Results 11.14 ↑ ↑ ↑ Table A-7 : Verification of Verification Process Results

33. 32 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Objective Applicability by SW Level Output Control Category By SW level Description Ref. A B C D Description Ref. A B C D 1 Configuration items are identified 7.2.1 SCM Records 11.18 2 Baselines and traceability are established 7.2.2 Software Configuration Index SCM Records 11.16 11.18 3 Problem reporting, change control, change review, and configuration status accounting are established 7.2.3 7.2.4 7.2.5 7.2.6 Problem Reports SCM Records 11.17 11.18 4 Archive, retrieval, and release are established 7.2.7 SCM Records 11.18 5 Software load control is established 7.2.8 SCM Records 11.18 6 Software life cycle environment control is established 7.2.9 Software Life Cycle Environment Configuration Index SCM Records 11.15 11.18 Table A-8: Software Configuration Management Process

34. 33 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Objective Applicability by SW Level Output Control Category by SW level Description Ref. A B C D Description Ref. A B C D 1 Assurance is obtained that software development and integral processes comply with approved software plans and standards 8.1a SQA Records 11.19 2 Assurance is obtained that transition criteria for the software life cycle processes are satisfied 8.1b SQA Records 11.19 3 Software conformity review is conducted 8.1c 8.3 SQA Records 11.19 Table A-9: Software Quality Assurance Process

35. 34 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Objective Applicability by SW Level Output Control Category by SW level Description Ref. A B C D Description Ref. A B C D 1 Communication and understanding between the applicant and the certification authority is establish 9 Plan for Software Aspects of Certification 11.1 2 The means of compliance is proposed and agreement with the Plan for Software Aspects of Certification is obtained 9.1 Plan for Software Aspects of Certification 11.1 3 Compliance substantiation is provided 9.2 Software accomplishment Summary Software Configuration Index 11.20 11.16 Table A-10 : Certification Liaison Process

36. 35 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Résumé des besoins d’outils Outil de vérification de standards (Exigences , Conception ,code) Outils de tracabilité Outils de mesures de couverture de tests ( unitaire , intégration) Outils de gestion de configuration Outils « cachés » • Editeurs Compilateurs , éditeurs de liens Générateurs de code • Vérificateurs de performances (analyse du cas pire) • Scripts

37. 36 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Le Processus de certification L ’autorité de certification : EASA ou FAA Le processus de certification implique des audits à des moments différents Le principe est que « l ’applicant » négocie avec l ’autorité de certification les plans qui régiront son développement (et en particulier le PSAC (Plan for Software Aspects of Certification)) Puis, au final, démontrera, sur la base du SAS (Software Accomplishment Summary), que ceux-ci ont bien été respectés NB : Les preuves apportées à l ’autorité de certification reposent pour l ’essentiel sur des données produites par le processus de vérification (qui englobe, mais ne se limite pas au test) Il est bien évident que le coût de développement d ’un logiciel au niveau A de la DO178B est sans commune mesure avec celui d ’un développement « normal »

38. 37 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Software Review Software Planning Review • A software planning review should be conducted when the initial software planning process is complete (i.e., when most of the plans and standards are completed and reviewed Software Development Review • A software development review should be conducted when most of the software development data (i.e., requirements, design, and code) are complete and reviewed Software Verification Review • A software verification review should be conducted when most of the software verification and testing data are complete and reviewed. Final Certification Software Review • A final certification software review should be conducted after the final software build is completed, the software verification is completed, a (preliminary) software conformity review has been conducted, and the software product is ready for formal system certification approval.

39. 38 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Tool Qualification Qualification of a tool is needed when processes of this document are eliminated, reduced or automated by the use of a software tool without its output being verified as specified in section 6. The use of software tools to automate activities of the software life cycle processes can help satisfy system safety objectives insofar as they can enforce conformance with software development standards and use automatic checks.The objective of the tool qualification process is to ensure that the tool provides confidence at least equivalent to that of the process(es) eliminated, reduced or automated. If partitioning of tool functions can be demonstrated, only those functions that are used to eliminate, reduce, or automate software life cycle process activities, and whose outputs are not verified, need be qualified.

40. 39 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Software tools can be classified as one of two types: 1 Software development tools: Tools whose output is part of airborne software and thus can introduce errors. For example, a tool which generates Source Code directly from low-level requirements would have to be qualified if the generated Source Code is not verified as specified in section 6. 2 Software verification tools: Tools that cannot introduce errors, but may fail to detect them. For example, a static analyzer, that automates a software verification process activity, should be qualified if the function that it performs is not verified by another activity. Type checkers, analysis tools and test tools are other examples.

41. 40 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Qualification Criteria for Software Development Tools The qualification criteria for software development tools includes: • a. If a software development tool is to be qualified, the software development processes for the tool. should satisfy the same objectives as the software development processes of airborne software. • b. The software level assigned to the tool should be the same as that for the airborne software it produces, unless the applicant can justify a reduction in software level of the tool to the certification authority. c. The applicant should demonstrate that the tool complies with its Tool Operational Requirements (subparagraph 12.2.3.2). This demonstration may involve a trial period during which a verification of the tool output is performed and tool-related problems are analyzed, recorded and corrected.

42. 41 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Qualification Criteria for Software Development Tools d. Software development tools should be verified to check the correctness, consistency, and completeness of the Tool Operational Requirements and to verify the tool against those requirements. The objectives of the tool's software verification process are different from those of the airborne software since the tool's high-level requirements correspond to its Tool Operational Requirements instead of system requirements. Verification of software development tools may be achieved by: (1) Review of the Tool Operational Requirements as described in paragraph 6.3.1, items a and b. (2) Demonstration that the tool complies with its Tool Operational Requirements under normal operating conditions. (3) Demonstration that the tool complies with its Tool Operational Requirements while executing in abnormal operating conditions, including external disturbances and selected failures applied to the tool and its environment. (4) Requirements-based coverage analysis and additional tests to complete the coverage of the requirements. (5) Structural coverage analysis appropriate for the tool's software level. (6) Robustness testing for tools with a complex data flow or control flow, as specified in subparagraph 6.4.2.2, appropriate to the tool's software level. (7) Analysis of potential errors produced by the tool, to confirm the validity of the Tool Qualification Plan.

43. 42 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Qualification Criteria for Software Verification Tools The qualification criteria for software verification tools should be achieved by demonstration that the tool complies with its Tool Operational Requirements under normal operational conditions.

44. 43 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Tool Qualification Data (1) A Tool Qualification Plan satisfies the same objectives as the Plan for Software Aspects of Certification of the airborne software (2) Tool Operational Requirements satisfies the same objectives as the Software Requirements Data of the airborne software. (3) A Tool Accomplishment Summary satisfies the same objectives as the Software Accomplishment Summary of the airborne software.

45. 44 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Tool Qualification Plan This plan should include: • a. Configuration identification of the tool. • b. Details of the certification credit sought, that is, the software verification process activities to be eliminated, reduced or automated. • c. The software level proposed for the tool. • d. A description of the tool's architecture. • e. The tool qualification activities to be performed. • f. The tool qualification data to be produced.

46. 45 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Tool Operational Requirements Tool Operational Requirements describe the tool's operational functionality. This data should include: • a. A description of the tool's functions and technical features. For software development tools, it includes the software development process activities performed by the tool. • b. User information, such as installation guides and user manuals. • c. A description of the tool's operational environment. • d. For software development tools, the expected responses of the tool under abnormal operating conditions.

47. 46 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Tool Qualification Agreement The certification authority gives its agreement to the use of a tool in two steps: First step (Software Planning Review) • For software development tools, agreement with the Tool Qualification Plan. • For software verification tools, agreement with the Plan for Software Aspects of Certification of the airborne software. Second step (Final Certification Software Review ) • For software development tools, agreement with the Tool Accomplishment Summary. • For software verification tools, agreement with the Software Accomplishment Summary of the airborne software.

48. 47 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». EXEMPLES

49. 48 Hispano-Suiza - « Ce document et les informations qu’il contient sont la propriété de Hispano-Suiza. Ils ne doivent pas être copiés ni communiqués à un tiers sans l’autorisation préalable et écrite de Hispano-Suiza. ». Merci de votre attention

20090113 02 - Les outils de qualimétrie dans la certification des logiciels avionique

20090113 02 - Les outils de qualimétrie dans la certification des logiciels avionique

Recommended

More Related Content

More from LeClubQualiteLogicielle

More from LeClubQualiteLogicielle(20)

20090113 02 - Les outils de qualimétrie dans la certification des logiciels avionique