Р 330 руководство по квалификации программных инструментов

Квалификация инструментов для разработки встраиваемого ПО

Привет, Хабр! В этой статье я хочу максимально просто и доступно рассказать про то, как доказывается, что ваши средства разработки и верификации подходят для создания систем повышенной надежности. Это очень важный и далеко не самый простой вопрос, и моя цель — ответить на него как можно более понятным языком. В самой статье я обобщил указания из отраслевых стандартов, таких как КТ-178 или Р-331 (встраиваемое ПО в авиации), ГОСТ Р ИСО 26262-8 (встраиваемое ПО в автомобилестроении). Так что добро пожаловать под кат.

Квалификация – зачем она?

Отраслевые стандарты, такие как КТ-178 или ИСО 26262, описывают процессы создания ПО повышенной надежности. Если следовать этим описаниям, то создание такого ПО превратится в бюрократический ад, который будет длиться вечно. Но существует программное обеспечение, которое позволяет автоматизировать значительную часть этих процессов. Такое ПО называется инструментом. И если вы применяете инструмент, то он должен быть надежным (ИСО 26262 даже вводит термин «уверенность в инструменте»). Для подтверждения надежности инструмента проводится его квалификация.

Квалификация — теория

В отраслевых стандартах есть понятие уровня безопасности. В разных стандартах они называются по-разному: Уровень ПО в КТ-178, Уровни Полноты Безопасности автомобиля в ИСО 26262. А для средств разработки применяются уровни квалификации инструментов (КТ-178) или уровни классификации инструментов (ИСО 26262). Эти уровни назначаются по критичности инструментов – чем больше влияния оказывает инструмент на разработку, тем более высокий уровень квалификации будет ему назначен. При этом одним из главных критериев по определению влияния инструмента является мера его влияния на результирующее ПО.

В качестве примера можно рассмотреть генератор исходного кода и статический анализатор кода. Сгенерированный код попадает в прошивку устройства, которое будет установлено на борт самолета или автомобиля. Таким образом, генератор кода оказывает непосредственное влияние на результирующее ПО. Так как генератор кода – сложная штука, и может генерировать код с ошибками, то к качеству этого генератора кода предъявляются строгие требования и уровень его квалификации будет максимальным. Другое дело – статический анализатор, результат работы которого не попадает в бортовое ПО и степень его влияния минимальна. Поэтому для статического анализатора уровень квалификации будет ниже, чем для генератора кода.

А еще уровень квалификации напрямую влияет на трудозатраты: так, для авиации, для квалификации инструмента по наивысшему уровню КТ-178С, требуется выполнение 76 контрольных мероприятий, а по низшему – только 14.

Еще один важный момент – квалификация инструментов проводится не разработчиком инструмента, а непосредственно разработчиком ПО, причем квалификация должна проводиться для каждого проекта!

Квалификация – заметки по практике

Как было сказано в теоретической части, квалификация инструментов – это затратный процесс, однако он упрощается несколькими способами:

• Поддержка процесса квалификации производителями инструментов (вендоров)
• Указания по квалификации инструментов из стандартов

Рассмотрим их по порядку. В первую очередь, сами вендоры поставляют пакеты поддержки квалификации инструментов. Во вторую – отраслевые стандарты содержат указания по квалификации инструментов, которые могут сократить объем работ.

Хотелось бы остановиться на втором пункте. Опять будем рассматривать генератор кода. Сгенерированный с его помощью код все равно должен тестироваться, будет собираться покрытие кода, проводится его анализ, т. е. верифицироваться.

Отраслевые стандарты говорят нам о том, что если мы будем квалифицировать инструменты, которые отвечают за верификацию кода, то квалификация самого генератора кода будет не нужна. Таким образом, сами стандарты содержат указания, следуя которым вы можете значительно сократить затраты на квалификацию.

Для квалификации инструментов верификации стандарты предписывают демонстрацию их поведения в нормальных условиях. На практике это выглядит следующим образом:

1. Вендор поставляет набор шаблонов документов, нормативных документов и опорных тестов для инструмента и их эталонные результаты.
2. Вы заполняете шаблоны документов и запускаете предоставленные тесты в своем окружении.
3. Результаты тестов, запущенных вами, сравниваются с эталонами, и при расхождении результатов вы устраняете расхождение.

Стоит заметить, что описанный процесс тоже занимает достаточно много времени и, как и вся разработка, выполняется при взаимодействии с сертифицирующими органами.

Инструменты MathWorks и их квалификация

Такие инструменты, как Simulink, DSP Toolbox, Control System Toolbox – это стандарт индустрии для разработки систем управления, цифровой обработки сигналов. Неудивительно, что их применяют в авиации, автомобилестроении и прочих отраслях. Из разработанных моделей генерируется C/C++ код, который ездит и летает. Естественно, что перед разработчиками встает вопрос квалификации инструментов. И квалификация инструментов MathWorks для КТ-178С осуществляется для инструментов верификации моделей и кода:

• Simulink Check
• Simulink Coverage
• Simulink Requirements
• Simulink Design Verifier
• Simulink Test
• Simulink Report Generator
• Polyspace Bug Finder
• Polyspace Code Prover
• Simulink Code Inspector

А для ISO 26262 поставляются сертификаты для:

• Simulink Check
• Simulink Coverage
• Simulink Requirements
• Simulink Design Verifier
• Simulink Test
• Simulink Report Generator
• Polyspace Bug Finder
• Polyspace Code Prover
• Embedded Coder
• HDL Coder
• PLC Coder

В зависимости от отрасли предоставляются пакеты поддержки квалификации инструментов DO Qualification Kit для авиации или IEC Certification Kit для автомобильной, железнодорожной и других отраслей.

Вместо выводов

В данной статье был дан обобщенный обзор процесса квалификации инструментов в соответствии с отраслевыми стандартами. В ходе написания данной статьи я руководствовался следующими источниками:

1. Р-330, «Руководство по квалификации программных инструментов», в частности:

• п. 2.0 Назначение квалификации инструмента
• п. 3.1. Уровни квалификации
• Справочные материалы D, вопрос D7

1. ГОСТ Р ИСО 26262-8, Глава 11, «Уверенность в использовании инструментального программного обеспечения»

Если вам интересно, как создаются системы повышенной надежности, то напишите в комментариях, что требуется рассмотреть в следующих статьях.

Квалификация инструментов

DO Qualification Kit реализует подход к квалификации инструмента, указанный в DO-178C. Чтобы использовать DO Qualification Kit, выполняются следующие действия:

• Сертифицирующему органу предоставляется план квалификации инструмента;

• Документируются эксплуатационные требования инструмента;

• Демонстрируется, что инструмент удовлетворяет эксплуатационным требованиям, определяются ограничения инструмента;

• Сертифицирующему органу предоставляются результаты квалификации инструмента, включая ограничения.

DO Qualification Kit предоставляет руководство и информацию для вышеуказанных шагов и включает шаблоны документов, наборы тестов и процедур тестирования, необходимые для квалификации поддерживаемых продуктов Simulink и Polyspace.

Для поддерживаемых продуктов DO Qualification Kit включает в себя следующие артефакты:

• План квалификации инструмента

• Требования к инструменту

• Тесты, процедуры и результаты (с подтверждающей документацией)

Тесты и процедуры из DO Qualification Kit запускаются в пользовательской среде установки MATLAB или Polyspace. Полученные результаты тестов сравниваются с ожидаемыми результатами из DO Qualification Kit и, по необходимости выполняется устранение любых различий. Simulink Report Generator необходим для квалификации Simulink Check, Simulink Coverage, Simulink Code Inspector и Simulink Test.

Примечание. Использование инструментов, квалифицированных по стандарту DO-178, не обеспечивает безопасность программного обеспечения или рассматриваемой системы.

DO Qualification Kit предоставляет подробное руководство по рабочему процессу, необходимое для разработки и проверки систем с использованием модельно-ориентированного проектирования. Руководство по рабочему процессу описывает процесс, методы и инструменты, используемые для каждого этапа разработки и верификации программного обеспечения, начиная от валидации требований высокого уровня до верификации. Новые концепции для модельно-ориентированного проектирования, представленные в DO-331, объяснены и проиллюстрированы, в том числе роль тестирования на основе симуляций и структурное покрытие модели.

С помощью DO Qualification Kit генерируется матрица трассируемости, в которой указаны пути двунаправленной трассируемости требований к модели и коду и информация о файле. DO Qualification Kit предназначен для создания списка зарегистрированных ошибок, которые возможно сохранить и заархивировать для ключевых инструментов верификации Simulink и Polyspace, используемых в процессе модельно-ориентированного проектирования.

Привет, хабр! В этой статье я хочу максимально просто и доступно рассказать про то, как доказывается, что ваши средства разработки и верификации подходят для создания систем повышенной надежности. Это очень важный и далеко не самый простой вопрос, и моя цель — ответить на него как можно более понятным языком. В самой статье я обобщил указания из отраслевых стандартов, таких как КТ-178 или Р-331 (встраиваемое ПО в авиации), ГОСТ Р ИСО 26262-8 (встраиваемое ПО в автомобилестроении). Так что добро пожаловать под кат

Квалификация – зачем она?

Отраслевые стандарты, такие как КТ-178 или ИСО 26262, описывают процессы создания ПО повышенной надежности. Если следовать этим описаниям, то создание такого ПО превратится в бюрократический ад, который будет длиться вечно. Но существует программное обеспечение, которое позволяет автоматизировать значительную часть этих процессов. Такое ПО называется инструментом. И если вы применяете инструмент, то он должен быть надежным (ИСО 26262 даже вводит термин «уверенность в инструменте»). Для подтверждения надежности инструмента проводится его квалификация.

Квалификация — теория

В отраслевых стандартах есть понятие уровня безопасности. В разных стандартах они называются по-разному: Уровень ПО в КТ-178, Уровни Полноты Безопасности автомобиля в ИСО 26262. А для средств разработки применяются уровни квалификации инструментов (КТ-178) или уровни классификации инструментов (ИСО 26262). Эти уровни назначаются по критичности инструментов – чем больше влияния оказывает инструмент на разработку, тем более высокий уровень квалификации будет ему назначен. При этом одним из главных критериев по определению влияния инструмента является мера его влияния на результирующее ПО.
В качестве примера можно рассмотреть генератор исходного кода и статический анализатор кода. Сгенерированный код попадает в прошивку устройства, которое будет установлено на борт самолета или автомобиля. Таким образом, генератор кода оказывает непосредственное влияние на результирующее ПО. Так как генератор кода – сложная штука, и может генерировать код с ошибками, то к качеству этого генератора кода предъявляются строгие требования и уровень его квалификации будет максимальным. Другое дело – статический анализатор, результат работы которого не попадает в бортовое ПО и степень его влияния минимальна. Поэтому для статического анализатора уровень квалификации будет ниже, чем для генератора кода.
А еще уровень квалификации напрямую влияет на трудозатраты: так, для авиации, для квалификации инструмента по наивысшему уровню КТ-178С, требуется выполнение 76 контрольных мероприятий, а по низшему – только 14.
Еще один важный момент – квалификация инструментов проводится не разработчиком инструмента, а непосредственно разработчиком ПО, причем квалификация должна проводиться для каждого проекта!

Квалификация – заметки по практике

Как было сказано в теоретической части, квалификация инструментов – это затратный процесс, однако он упрощается несколькими способами:

• Поддержка процесса квалификации производителями инструментов (вендоров)
• Указания по квалификации инструментов из стандартов

Рассмотрим их по порядку. В первую очередь, сами вендоры поставляют пакеты поддержки квалификации инструментов. Во вторую – отраслевые стандарты содержат указания по квалификации инструментов, которые могут сократить объем работ.

Хотелось бы остановиться на втором пункте. Опять будем рассматривать генератор кода. Сгенерированный с его помощью код все равно должен тестироваться, будет собираться покрытие кода, проводится его анализ, т. е. верифицироваться.
Отраслевые стандарты говорят нам о том, что если мы будем квалифицировать инструменты, которые отвечают за верификацию кода, то квалификация самого генератора кода будет не нужна. Таким образом, сами стандарты содержат указания, следуя которым вы можете значительно сократить затраты на квалификацию.

Для квалификации инструментов верификации стандарты предписывают демонстрацию их поведения в нормальных условиях. На практике это выглядит следующим образом:

1. Вендор поставляет набор шаблонов документов, нормативных документов и опорных тестов для инструмента и их эталонные результаты.
2. Вы заполняете шаблоны документов и запускаете предоставленные тесты в своем окружении.
3. Результаты тестов, запущенных вами, сравниваются с эталонами, и при расхождении результатов вы устраняете расхождение.

Стоит заметить, что описанный процесс тоже занимает достаточно много времени и, как и вся разработка, выполняется при взаимодействии с сертифицирующими органами.

Инструменты MathWorks и их квалификация

Такие инструменты как Simulink, DSP Toolbox, Control System Toolbox – это стандарт индустрии для разработки систем управления, цифровой обработки сигналов. Неудивительно, что их применяют в авиации, автомобилестроении и прочих отраслях. Из разработанных моделей генерируется C/C++ код, который ездит и летает. Естественно, что перед разработчиками встает вопрос квалификации инструментов. И квалификация инструментов MathWorks для КТ-178С осуществляется для инструментов верификации моделей и кода:

• Simulink Check
• Simulink Coverage
• Simulink Requirements
• Simulink Design Verifier
• Simulink Test
• Simulink Report Generator
• Polyspace Bug Finder
• Polyspace Code Prover
• Simulink Code Inspector

А для ISO 26262 поставляются сертификаты для:

• Simulink Check
• Simulink Coverage
• Simulink Requirements
• Simulink Design Verifier
• Simulink Test
• Simulink Report Generator
• Polyspace Bug Finder
• Polyspace Code Prover
• Embedded Coder
• HDL Coder
• PLC Coder

В зависимости от отрасли предоставляются пакеты поддержки квалификации инструментов DO Qualification Kit для авиации или IEC Certification Kit для автомобильной, железнодорожной и других отраслей.

Вместо выводов

В данной статье был дан обобщенный обзор процесса квалификации инструментов в соответствии с отраслевыми стандартами. В ходе написания данной статьи, я руководствовался следующими источниками:

1. Р-330, «Руководство по квалификации программных инструментов», в частности:

• п. 2.0 Назначение квалификации инструмента
• п. 3.1. Уровни квалификации
• Справочные материалы D, вопрос D7

1. ГОСТ Р ИСО 26262-8, Глава 11, «Уверенность в использовании инструментального программного обеспечения»

Если вам интересно как создаются системы повышенной надежности, то напишите в комментариях, что требуется рассмотреть в следующих статьях.

МЕЖГОСУДАРСТВЕННЫЙ АВИАЦИОННЫЙ КОМИТЕТ АВИАЦИОННЫЙ РЕГИСТР

ДИРЕКТИВНОЕ ПИСЬМО

№ 03-2016

22 ноября 2016г.

О СЕРТИФИКАЦИИ (КВАЛИФИКАЦИИ) АВИАЦИОННОЙ ТЕХНИКИ, СОДЕРЖАЩЕЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

1. Настоящим Директивным письмом вводятся в действие:

1.1.    Квалификационные требования КТ-178С «Требования к программному обеспечению бортовой аппаратуры и систем при сертификации авиационной техники»;

1.2.    Руководство Р-248С «Пояснительные материалы к документам КТ-178С и КТ-278А»;

1.3. Руководство Р-330 «Руководство по квалификации программных инструментов»;

1.4.    Руководство Р-331 «Разработка и верификация на основе модели»;

1.5. Руководство Р-332 «Объектно — ориентированные технологии и связанные методы»;

1.6.    Руководство Р-333 «Дополнение по формальным методам к документам КТ-178С и КТ-278;

1.7.    Рекомендательный материал РМ-178С «Оценка соответствия программного обеспечения бортовой аппаратуры и систем требованиям КТ-

178С».

Требования настоящего Директивного письма распространяются на Разработчиков образцов авиационной техники (Разработчики ОАТ) и Разработчиков комплектующих изделий (Разработчики КИ).

2.    Процедура взаимодействия Разработчиков ОАТ/КИ с Авиарегистром МАК и его рабочими органами в процессе сертификации (квалификации) авиационной техники, содержащей программное обеспечение (ПО), отражена в соответствующем РМ.

3.    Создание ПО авиационной техники по альтернативной КТ-178С процедуре допускается, если Заявитель докажет Авиарегистру МАК её приемлемость.

4.    Издание данных документов поручено АНО ЦС «Статус».

Контакты:

—    Телефоны: 8 499 755 00 46; +7 915 432 57 17.

-Факс:8 499 759 01 81;

—    Адрес: 127083, г. Москва, ул. Масловка Верхняя, д. 28, кор.2, пом. II, коми. 12

Председатель Авиарегистра МАК