DO-178C規格の導入ガイド

連邦航空局（FAA）によると、毎日300万人以上の人々が米国の空港から空路を利用しています。これらのフライトの安全を確保するためには、航空機が使用するソフトウェアコンポーネント（実行・制御プログラムから接続・通信ソフトウェアまで）に関連するものを含め、多くの規制や規格を遵守する必要があります。

年々、航空業界におけるソフトウェア認証の重要性は増しています。最新の航空機は重要な機能を実行するためにソフトウェアにますます依存するようになり、自律テクノロジーの採用の増加に伴って、ソフトウェア自体の複雑さも増しています。同時に、航空業界はコスト削減と開発時間短縮という大きなプレッシャーに直面しており、設計・開発・認証プロセス全体の効率を向上させることが不可欠となっています。しかし、規制を準拠しつつ、精度を損なうことなく効率化を実現することは、容易ではありません。

こうした課題を克服し、重要なソフトウェアの安全性と効率性を確保する道のひとつは、国際連合の専門機関である国際民間航空機関（ICAO）という、世界的なレベルから始まっています。ICAOの規制は世界中で使用され、さらに各国によって精緻化されて国内規制が策定されています。新型機を含めた現行機はすべて、これらの国内規格の下で認証を受ける必要があり、国境を越える際には、他国との相互協定を遵守しなければなりません。

航空当局がこうした相互承認を実現する方法のひとつは、許容可能な遵守手段（AMC）を使用することです。AnsysのSafety ManagerであるAmina Mekki-Mokhtarは、「AMCは規制に遵守する方法を示す、拘束力のない規格」と述べています。AMCは、規制を一律に実施するのに役立ちます。

ここで、ソフトウェア開発の話題に戻ります。航空機業界でソフトウェアを開発する担当者にとって重要なAMCとして位置づけられているものに、「Software Considerations in Airborne Systems and Equipment Certification（航空機搭載システムおよび機器の認証におけるソフトウェアの考慮事項）」を定めたDO-178C規格があります。この規格は、民間航空機用のセーフティクリティカルなソフトウェアの開発ガイドです。また、多くの航空当局がDO-178CをAMCとして認識しているため、開発者はすべての関係国の規制に準拠していることを同時に確認できます。

「DO-178C規格により、申請者は法律を守ることができるようになりますが、ここで最も重要なのは、許容できないリスクのない主要なソフトウェアを開発できるようになることです」と、Mekki-Mokhtarは述べています。Mekki-Mokhtarは例として、この規格の目指す目標を掲げています。

• 不具合（設計不良など）の発生を防止する
• 発生する可能性のある不具合を除去する
• 不具合が存在する場合でも、フォールトトレランスとシステム性能を確保する

DO-178C規格は、航空宇宙業界で使用されているソフトウェアや手法の進化に合わせて、継続的に更新されています。たとえば、最新版では、モデルベース開発、オブジェクト指向技術、ツール認定に関する考慮事項が記載されています。

しかし、DO-178C規格の内容を理解することは、第一歩に過ぎません。この規格を効果的に使用してソフトウェアを規制し、コンプライアンスを達成することは、実際には容易ではありません。

DO-178C規格準拠の普及に向けた道筋

「DO-178Cは目標指向の規格であり、何を達成すべきかについては定義していますが、それをどのように達成するかについては定義していません」と、Mekki-Mokhtarは語っています。このため、DO-178C規格に準拠することは、手法やワークフローの定義と文書化を伴う大きな負担となります。

AnsysのSenior Manager Application EngineerであるRachel Knutsonは、次のように述べています。「開発プロセス全体を通じて、ほぼすべてのものを文書化しなければならないため、膨大な文書化作業が伴います。各ステップを追跡し、それが最初の要件とどのように関連しているかを把握するというトレーサビリティの部分が非常に難しくなる場合があります。」

重要な組込みソフトウェアの検証および妥当性確認をマスターするには、さらなる課題が伴います。Knutsonは次のように語っています。「最終製品のテストだけが重要なのではありません。徹底的な設計レビュー、コードレビュー、すべての要件がカバーされているかの確認、さらにはソフトウェア自体の構造チェックなども行う必要があります。特にモデルベースの手法を使用している場合は特に確認が必要です。」

エンジニアが自動化ツールを使用して時間を節約する場合には、これらのツールがセーフティクリティカルな開発において十分に信頼できることを確認するために、追加の措置を講じる必要があります。

航空業界の関係者は、Ansysのシミュレーションソフトウェアとモデルベース設計（MBD）ツールを活用することで、これらの課題に厳密かつ正確に取り組むことができます。

航空機システムの開発にDO-178Cを導入する方法

Mekki-Mokhtarは、特にモデリング言語が形式的に定義され、コードジェネレータが認定されている場合は、MBDを用いることでセーフティクリティカルなソフトウェアの開発および検証における生産性を向上させることができると述べています。

MBDソリューションの一例として、設計、検証、コード生成（形式的なプロパティ定義や形式的な検証を含む）をサポートする組込みソフトウェア製品コレクションである、Ansys SCADEが挙げられます。

SCADE Suiteを使用してDO-178C規格を導入する利点として、以下の点が挙げられます。

• 設計および開発プロセスの早期に潜在的な問題に対処することができます。Knutsonによれば、これは「家を実際に建ててからではなく、設計図の段階でミスを修正できるようなものです。この早期のフィードバックループにより、膨大な時間と費用のかかる手直しを減らすことができました。」
• 手間がかかりミスを犯しやすい作業を自動化することができます。これには、コードを手動で書いたり、文書を作成したり、要件とコード間のリンクをすべて記録したりすることなどが含まれます。
• セーフティクリティカルなソフトウェアに関する深い専門知識と基礎知識を育成することができます。Knutsonは、SCADE Suiteには、DO-178C規格要件に沿って事前に認定されたコンポーネントが含まれていると述べています。Knutsonは次のように語っています。「この規格で説明されている厳格なチェックの一部をツール自体がすでに実施してクリアしているため、設計者は有利なスタートを切るようなものです。」
• 形式的な同期言語の基盤を採用しています。Knutsonは次のように述べています。「動作が予測可能で信頼性の高い方法で確実に行われるように設計されています。この点はセーフティクリティカルなソフトウェア開発にとって極めて重要です。」
• モデルベース開発ツールと検証・妥当性確認・トレーサビリティツールを統合したオールインワンプラットフォームを利用できます。エンジニアは、これらの特化型ソリューションを組み合わせて使用することで、セーフティクリティカルなソフトウェアシステムの認証を効率的に取得することができます。

SCADE Suiteのこうした利点のおかげで、エンジニアはDO-178C規格の認証プロセスにかかる時間を節約し、効率を向上させることが可能になります。Knutsonは次のように述べています。「これにより、開発チームは認証関連の書類作業に煩わされることなく、ソフトウェアの設計自体に集中できるようになります。」

例として、SCADE Suiteとモデルベースのヒューマンマシンインターフェース（HMI）設計ツールAnsys SCADE Displayについて考えてみましょう。これらのツールは、DO-178C規格の最高安全レベルに適合しており、安全規格の認証取得が可能な、信頼性が高く、信頼できるコードを自動的に生成することができます。

Knutsonは次のように語っています。「つまり、そうした詳細な手動コードレビューや、モデルと実際のコード間でのバックツーバックテストに時間をかける必要がないのです。それだけで膨大な時間を節約でき、検証段階での人為的ミスの可能性を減らすことができます。」

多くのAnsysのユーザーは、SCADE Suiteを使用してDO-178C規格の認証を取得することで、大きな成功を収めています。また、Ansysのチームはこの規格に初めて取り組む顧客向けに、SCADE Suiteを使用するプロセスを容易にするためのプランニングテンプレートを含む、ステップバイステップのマニュアルを提供しています。これらのリソースは「強固な基盤を提供し、必要な要素をすべて確実にカバーしています。」とKnutsonは述べています。

SCADE SuiteとDO-178C規格の進化

航空業界の成熟に伴い、DO-178C規格も進化しています。たとえば、Mekki-Mokhtarは、規格標準化委員会は既存の文書の明確化と、人工知能（AI）などの新しい技術への取り組みの両方に焦点を当てていると述べています。こうした流れは、将来的に新たな規格の登場や既存の規格改訂につながる可能性があります。

こうした進化は、継続的な改善に取り組んでいるSCADE Suiteでも同様です。SCADE Suiteの開発担当者は、業界の動向を考慮するとともに、顧客からのフィードバックを取り入れ、さまざまな分野の規格標準化団体と協力しています。

この進化の具体例としては、以下のものが挙げられます。

1. モデルベースの組込みソフトウェア開発ソリューション、Ansys Scade One。Knutsonは、「モデルベース開発を考慮し、よりユーザーフレンドリーで統合されたソリューションとなるように設計されています」と語っています。
2. テストケースの生成を自動化し、DO-178C認証プロセスを効率化するモデルカバレッジアシスタント機能
3. 多くの検証および妥当性確認（V&V）活動の削減、自動化、または排除を強化し、生産性を向上させることができるSCADE DO-178C検証ワークフロー

SCADE SuiteがDO-178Cの導入にどのように役立つかについての詳細は、以下のリソースをご覧ください。

• 今後開催予定のウェビナー「モデルベース設計および検証ツールを用いたDO-178Cの導入方法」をご視聴ください。
• オンデマンドウェビナー「DO-178C検証ワークフローによる生産性向上」をご視聴ください。
• DO-178Cについての詳細は、こちらのガイド『DO-178Cとは何か』を参照してください。
• ホワイトペーパー「Ansys SCADE Suiteを活用し、DO-178Cの目標に沿った安全なアビオニクスソフトウェアを開発」をご覧ください。
• Ansys Learning Hubコース「DO-178C規格に対応するAnsys SCADEツールおよびソリューションの概要」にご登録ください。