주제 세부 정보
DO-178C란?
DO-178C/ED-12C는 상업용 항공기에 사용되는 안전-필수 소프트웨어 개발 시 참고되는 핵심 표준으로, '항공 시스템 및 장비 인증을 위한 소프트웨어 고려사항'을 다룹니다. 미국 연방항공청(FAA, Federal Aviation Administration), EU 항공안전청(EASA, European Union Aviation Safety Agency), 캐나다 교통부(Transports Canada) 및 중국 민간항공국(CAAC, Civil Aviation Administration of China) 같은 항공 인증 기관은 소프트웨어 기반의 민간 항공 우주 시스템에 대한 규정을 준수하기 위한 허용 가능한 수단으로 이 문서를 사용합니다. 제조업체는 DO-178C 표준을 사용하여 안전 필수 소프트웨어를 개발할 수 있으며, 그 결과 생성된 코드가 관련 항공 규정을 준수한다는 것을 확신할 수 있습니다.
군사 안전 규정은 민간 규정의 일관성과 성숙도에 아직 미치지 못했습니다. 그러나 방위 분야에서 안전에 핵심적인 소프트웨어 개발을 위한 참조 표준으로 DO-178C를 사용할 수 있습니다. 각 군 관련 기관마다 자체 규정을 정하고 있지만, 점점 더 많은 기관들이 군용 항공기에 사용되는 핵심 시스템에 대해 DO-178C 준수를 요구하고 있습니다.
DO-178C 표준은 이전 표준인 DO-178B의 업데이트, 명확화 및 수정을 포함한 여러 가지 목표를 가지고 RTCA 특별 위원회 #205(SC-205)와 EUROCAE 실무 분과 #71(WG-17)이 공동으로 개발한 것입니다. RTCA(이전 명칭 Radio Technical Commission for Aeronautics)는 이 표준에 DO-178C라는 명칭을 사용하고, EUROCAE는 ED-12C라는 명칭을 사용합니다. DO-178C는 소프트웨어 개발, 검증, 구성 관리 및 품질 보증 등 전체 소프트웨어 개발 수명 주기를 포괄하는 프로세스 표준을 규정합니다.
이 표준은 목표 지향적이며 구체적인 목표 달성 방법을 제시하지는 않습니다. 이 목표 기반 접근 방식은 각 팀이 자신이 담당하는 시스템에 대해 유연한 구현 방식을 설계할 수 있도록 합니다. 예를 들어, 항공 전자 소프트웨어는 엔진 제어 소프트웨어와 근본적으로 다르기 때문에 DO-178C에서 허용되는 것과 다른 소프트웨어 개발 및 검증 방식이 필요합니다.
이 표준은 다음과 같은 지침을 제공합니다.
- 소프트웨어 수명 주기 프로세스의 목표 명시
- 이러한 목표를 달성하기 위해 수행해야 하는 활동 설명
- 목표가 달성되었음을 입증하는 데 필요한 작업 결과물 설명
DO178C 프로세스는 계획, 개발 및 필수 프로세스라는 세 가지 상호 연결된 영역으로 구성됩니다. 필수 프로세스에는 인증 및 검증, 품질 보증, 구성 관리 및 인증 교섭을 위한 프로세스가 포함됩니다.
개발 보증 수준(Development Assurance 목표Levels, DAL) 및
소프트웨어가 기여하는 시스템을 다루는 표준인 ARP4754A, 그리고 최근 개정된 ARP4754B(‘민간 항공기 및 시스템 개발 지침’)는 소프트웨어에 적용되는 개발 보증 수준(Development Assurance Level, DAL)을 결정하기 위한 지침을 제공합니다. DAL은 항목 개발 보증 수준(Item Development Assurance Levels, IDALs), 설계 보증 수준(Design Assurance Levels), 또는 간단히 소프트웨어 레벨(Software Level)이라고도 불립니다.
그리고 DO-178C는 각 DAL의 목표와 독립적으로 충족해야 하는 목표를 지정합니다. 독립적인 목표는 인증 대상 항목을 생산하지 않은 사람이 수행해야 하는 인증입니다. Level E는 목표가 없으며, Level A는 항공기 손실 및 사망을 초래하는 고장 상태를 다루기 때문에 목표가 가장 많습니다.
개발 보증 수준(DAL) | 고장 상태 | 목표 수 | 독립적인 목표 수 |
A | 항공기의 치명적인 고장 상태 - 잠재적으로 치명적인 부상 및 항공기 감항성 손실 | 71 | 30 |
B | 위험하거나 심각한 고장 상태 - 부상 또는 사망이 여러 건 발생할 수 있으며, 승무원이나 항공기 성능에 상당한 영향을 미침 | 69 | 18 |
C | 중대한 고장 상태 - 승객의 불편 또는 경미한 부상, 승무원의 상당한 조치 필요, 안전 마진 감소 | 62 | 5 |
D | 경미한 고장 상태 - 안전 마진 약간 감소, 승무원의 업무량 약간 증가, 비행 계획 변경을 포함한 경미한 승객 불편 초래 | 26 | 2 |
E | 안전 영향 없음 - 항공기 작동, 안전 또는 승무원 업무량에 영향을 미치지 않음 | 0 | 0 |
DO-178C 문서 구조
DO-178C 문서의 소프트웨어 개발 부분은 다음 그림과 같이 핵심 문서 1개, 보충 문서 3개 및 관련 표준 2개로 구성됩니다. 보충 문서 3개는 소프트웨어를 개발하는 팀이 사용하는 특정 기법에 맞는 추가 지침을 제공합니다.
DO-178C 문서 구조
DO-331: 모델-기반 개발 및 검증(MBDV) 부속서
부속서DO-331 보충 자료는 소프트웨어 개발 및 인증에 모델-기반 기법을 사용하는 팀에게 추가 지침을 제공합니다.
DO-332: OOT/RT(객체 지향 기술 및 관련 기법) 보충 자료
소프트웨어 개발 과정에서 객체 지향 프로그래밍 기법을 사용하는 경우, DO-332 보완 문서를 적용해야 합니다.
DO-333: Fo부속서rmal Methods (FM)
팀이 소프트웨어 개발 생명주기에서 Formal Methods을 사용할 경우, DO-333 보완 문서가 적용됩니다. Formal Methods은 수학적 기법에 기반하여 소프트웨어의 명세, 개발 및 검증에 사용되는 기술입니다.
각 보충 자료는 핵심 문서와 동일한 구조를 가지고 있습니다(즉, 섹션 제목이 동일함). 변경되지 않은 섹션의 경우, 보충 자료에서 변경 사항이 없음을 명시적으로 명시하고 핵심 문서를 반복하지 않습니다. 반면에, 각 보완 문서는 특정 기법에 대해 DO-178C에 추가되거나 수정되거나 대체되는 내용을 명확히 규정합니다.
DO-178C의 맥락에서 소프트웨어 개발에 대한 다음과 같은 다른 두 문서도 고려할 수 있습니다.
DO-330: Software Tools Qualification Considerations
DO-330은 툴 사용자와 툴 개발자 모두를 위한 툴 적합성 평가 프로세스를 정의하는 독립형 문서입니다. DO-178C에 대한 보충 자료로 간주되지 않습니다.
DO-248C: DO-178C에 대한 보충 정보
DO-248C는 업계 및 규제 당국의 궁금증을 다룹니다. 여기에는 FAQ, 토론 문서(DP) 및 이론적 근거가 포함되어 있습니다.
DO-178C 수명 주기 프로세스
DO-178C는 아래 그림과 같이 "프로세스"의 계층 구조로 구성되어 있습니다. DO-178C는 세 가지 최상위 프로세스 그룹을 정의합니다.
- 소프트웨어 계획 프로세스는 소프트웨어 개발 활동과 프로젝트의 필수 프로세스를 정의하고 조정합니다.
- 소프트웨어 개발 프로세스는 소프트웨어 제품을 생산합니다.
- 필수 프로세스는 소프트웨어 수명 주기 프로세스와 그 결과물의 정확성, 제어 및 신뢰성을 보장합니다. 필수 프로세스는 다음과 같습니다.
- 소프트웨어 인증
- 소프트웨어 구성 관리
- 소프트웨어 품질 보증
- 소프트웨어 관련 연락 역할
통합 프로세스는 소프트웨어 개발 프로세스 및 계획 프로세스와 함께 소프트웨어 생명 주기 전반에 걸쳐 동시에 수행됩니다.
DO-178C 수명 주기 프로세스 구조
모델-기반 개발 및 시뮬레이션을 통한 개발 및 검증 프로세스 개선
시스템-중요 소프트웨어 분야에서 개발과 검증 모두에 모델-기반 기법이 널리 사용되고 있는데, 이는 소프트웨어를 효율적이고 효과적으로 명세하고 작성하며 검증할 수 있기 때문입니다. 보충 문서 DO-331에서 다루는 모델은 다음과 같은 특성이 있는 것으로 정의됩니다.
- 명시적으로 정의된 그래픽 또는 텍스트 모델링 표기법을 사용하여 완전히 기술된 모델
- 소프트웨어 요구 사항 또는 소프트웨어 아키텍처 정의를 포함하는 모델
- 소프트웨어 개발 프로세스 또는 소프트웨어 인증 프로세스에서 지원하는 직접 해석 또는 거동 평가에 사용되는 모델
Ansys SCADE 제품군과 같은 모델-기반 개발 및 검증 도구는 소프트웨어의 효율성과 품질을 크게 향상시킬 수 있으며, DO-178C/DO-331 목표를 충족하는 소프트웨어를 생성함과 동시에 인증 절차를 가속화하는 문서도 제공합니다.
엔지니어들은 다음과 같은 SCADE 제품군을 통해 중요한 임베디드 소프트웨어의 DO-178C 인증 작업을 도울 수 있습니다:
- 소프트웨어 설계와 동기화되는 소프트웨어 아키텍처 설계를 위한 Ansys SCADE Architect 소프트웨어
- Ansys SCADE Suite는 임베디드 소프트웨어 애플리케이션 설계를 위한 모델 기반 디자인 편집기로, 안전하고 신뢰할 수 있는 코드를 자동으로 생성해 줍니다.
- Ansys SCADE Display는 임베디드 디스플레이, 특히 항공전자 시스템 디스플레이 설계를 지원하며, 안전하고 신뢰할 수 있는 코드를 자동으로 생성하는 소프트웨어입니다.
- Ansys SCADE Test(및 SCADE Model Coverage 포함)는 SCADE 모델을 동적으로 검증하고 모델 커버리지를 분석하는 소프트웨어입니다.
- Ansys SCADE LifeCycle은 추적성 관리를 지원하고 자동으로 문서를 생성하는 소프트웨어입니다.