Apr 05, 2024
Februar 2017/März 2017
Die Entwicklung von Software, die für kritische Funktionen in heutigen Flugzeugen zertifiziert und verwendet werden kann, ist eine äußerst schwierige Aufgabe, da Ingenieure ständig mit Herausforderungen in Bezug auf Kosten, Zeitplan und Kosten konfrontiert sind.
Die Entwicklung von Software, die für kritische Funktionen in heutigen Flugzeugen zertifiziert und verwendet werden kann, ist eine äußerst schwierige Aufgabe, da Ingenieure ständig mit Herausforderungen in Bezug auf Kosten, Zeitplan, Risiko, Mängel und andere Faktoren konfrontiert sind. Avionics spricht mit Branchenexperten darüber, wie Standards, Dokumente, Ergänzungen sowie Verifizierungs- und Validierungsbemühungen auf der Grundlage sicherheitskritischer Software, die für Avioniksysteme entwickelt wurde, in neue Bereiche expandieren.
Während DO-178C im Jahr 2012 veröffentlicht wurde und 2013 ein Advisory Circular (AC) folgte, haucht es der Softwareentwicklung, der Codierung, der Verifizierung, dem Konfigurationsmanagement, der Qualitätssicherung und dem Verbindungsprozess von Ingenieuren, die Software erstellen, weiterhin Leben ein – und nicht nur für Linien- und Geschäftsflugzeuge.
Sogar Software in autonomen Autos, unbemannten Luftfahrzeugen außerhalb der Sichtlinie und Raumfahrzeugen von 2017 und später nutzt dieses Dokument (basierend auf Software-Grundlagendenken von 1982), hauptsächlich als Best-Practice-Leitfaden. Schließlich ist luftgestützte Software eines der entscheidenden Elemente in der sicherheitskritischen Struktur luftgestützter Technologien und Komponenten, die Passagiere gemäß den Vorschriften der Zivilluftfahrt befördern.
Nachdem das erste Dokument 1982 veröffentlicht wurde, wurde es in den nächsten 12 Jahren zweimal aktualisiert, auf DO-178A und DO-178B. Letzteres legte fünf Ebenen spezifizierter Ziele, Aktivitäten und Nachweise für luftgestützte Software fest. Obwohl sich DO-178C im Kern und im Gesamtrahmen nicht so sehr von -178B unterscheidet, normalisiert sich laut Experten das Verständnis in der Branche immer noch, da das Dokument von einer neuen Generation von Luft- und Raumfahrtingenieuren auf der ganzen Welt aufgegriffen wird.
„DO-178C, das Kerndokument, ist DO-178B sehr ähnlich. Bei allen Änderungen handelt es sich um Klarstellungen, aber wenn man sich an das Kerndokument hält, sind die Änderungen eher minimal. Es ist nicht sehr schwierig, von der Entwicklung von Software unter DO-178B zu DO-178C zu wechseln, wenn man keine der Ergänzungen verwenden muss“, sagt Cyrille Comar.
Als Mitbegründer und Geschäftsführer von AdaCore Europe war Comar am ursprünglichen RTCA-Sonderausschuss 205 beteiligt, der DO-178C definierte. Er sagt, dass das Dokument und seine unterstützenden Ergänzungen in den letzten Jahren in der Branche zunehmend akzeptiert und normalisiert wurden, da Designated Engineering Representatives (DERs) und Experten, die sich mit der Entwicklung von Avionik-Software befassen, mehr Erfahrung mit ihnen gesammelt haben.
„Wenn Sie Code für Avioniksoftware auf neuen Plattformen schreiben, ist DO-178C obligatorisch“, sagt Comar. „Sie können DO-178B nicht mehr verwenden. Neue Programme und Projekte erfordern die Einhaltung von DO-178C.“
Das Entwickeln, Testen, Verifizieren, Validieren und letztendlich die Zertifizierung sicherheitskritischer Bordsoftware gehört zu den teuersten Kosten, die Avionikunternehmen jedes Jahr verursachen. Einer der Hauptfaktoren, die die Kosten erhöhen, ist die traditionelle Verwendung kundenspezifischer Software in Avioniksystemen für die Kommunikation zwischen verschiedenen Anwendungen und Subsystemen wie Radargeräten, Displays, Kommunikations- und Missionscomputern.
Der für die Erstellung der Software und die Zusammenstellung der erforderlichen Zertifizierungsnachweise erforderliche Prozess kann Monate oder Jahre dauern und in einigen Fällen in der Größenordnung von 100 US-Dollar pro Codezeile kosten, so Real-Time Innovations, ein Unternehmen für Konnektivitätsplattformen für das industrielle Internet der Dinge, das dies behauptet haben den ersten Data Distribution Service (DDS)-Standard eingeführt, der ein DO-178C Design Assurance Level (DAL) A-Zertifizierungsnachweispaket abschließt und in einer Produktionsplattform platziert wird.
„Ein kritisches Problem für Softwareentwicklungsteams und -unternehmen in der Luft ist die Verkürzung des Entwicklungszyklus und der Entwicklungskosten für das Hinzufügen von Funktionen zu Software“, sagt Rebecca Morrison, Programmdirektorin von RTCA. Sie ist eine ehemalige Systemingenieurin und technische Projektmanagerin bei Rockwell Collins und verfügt über Branchenerfahrung in der Entwicklung neuer Technologien auf der Grundlage von DO-178B, DO-254 und vielen anderen sicherheitskritischen Standards.
Morrison sagt, ein Schlüssel zur Kostenkontrolle sei die Möglichkeit, Konfigurationsdateien unabhängig von Kernsoftwareprozessen zu ändern und diese Unabhängigkeit zu demonstrieren, sodass nicht die gesamte Software von Anfang an getestet werden muss. Einer der größten Kostenfaktoren ist das erneute Testen der gesamten Software. Wenn Entwickler nachweisen können, dass Service-Bulletin-Änderungen beispielsweise unabhängig voneinander an verschiedenen Softwareteilen vorgenommen werden können, können neue Entwicklungen schneller ins Cockpit gelangen, sagt sie.
„Die Praxis, Softwareteile isoliert zu testen und sich auf Systemtests zu verlassen, um die korrekte beabsichtigte Funktionalität der vollständig integrierten Software zu überprüfen, muss von keiner Zertifizierungsstelle mehr akzeptiert werden“, sagt Tim Stockton, Präsident und CEO von CERTON, einem Unternehmen aus Melbourne , in Florida ansässiger Anbieter von intern entwickelten Tools, Prozessen und exklusiver Technologie zur Optimierung der Genehmigungen sicherheitskritischer Systeme, Software und komplexer Hardware für Luft- und Raumfahrtunternehmen.
Stockton sagt, dass sich viele Kunden in der Vergangenheit darauf verlassen haben, veraltete Anforderungen, Codes, Tools und Testumgebungen wiederzuverwenden, anstatt zu bewerten, wie sie ihren aktuellen Workflow, die Gesamteffizienz, die Qualität und
Letztendlich geht es um die Sicherheit ihrer immer komplexer werdenden Designs, wenn es um die Entwicklung sicherheitskritischer Software für die Luft geht.
„Eine der größten Herausforderungen, die wir bei allen sicherheitskritischen Produktentwicklungsbemühungen sehen, ist das, was ich als ‚große Kluft‘ zwischen Management, Systemen, Software sowie Validierungs- und Verifizierungstechnikteams bezeichne“, sagt Stockton.
Die Nachfrage nach sicherheitszertifizierbarer COTS-Hardware und -Software (Commercial-Off-The-Shelf) steigt in der gesamten Lufttransportbranche, da die meisten fortschrittlichen Cockpits eine höhere Komplexität der Software erfordern, die als sicherheitskritisch gilt. In den USA muss solche Software nach DO-178C DAL A zertifiziert sein (und ED-80 in Europa für EASA-zertifizierte Software und Hardware). Da dies zur neuen Norm geworden ist, beschäftigen sich Entwickler von Avioniksoftware neben anderen kommerziellen Softwaretrends, die in der Branche langsam an Bedeutung gewinnen, zunehmend mit COTS-basierten Echtzeitbetriebssystemen und agilen Methoden.
Eines der größten jüngsten Beispiele für die Einführung von COTS-Elementen, -Komponenten, -Methoden und -Tools in die sicherheitskritische Softwareentwicklung in der Luft war die Ankündigung der Verfügbarkeit der Spezifikation OpenGL SC Application Programming Interface (API) 2.0. Dies gilt für programmierbare Grafiken für Systeme, die eine Systemsicherheitszertifizierung erfordern, wie z. B. kommerzielle und militärische Avionik. OpenGL SC 2.0 wurde letztes Jahr vom Khronos Group-Konsortium während der Aviation Electronics Europe vorgestellt und ist eine Teilmenge von OpenGL ES 2.0, die GLSL-basierte programmierbare Shader enthält, um verbesserte Grafikfunktionen mit erhöhter Leistung und reduziertem Stromverbrauch zu ermöglichen. Die Verwendung dieser Shader kann die Anzeige und Präsentation von Flugwegsymbolen und Informationen für Piloten unterstützen.
Core Avionics & Industrial Inc. (CoreAVI) und Airbus Defence and Space Electronics and Border Security (EBS) verwendeten den OpenGL SC-Grafiktreiber von CoreAVI mit einem DO-178C-Zertifizierungspaket auf dem SFERION Mission System, das Piloten visuelle 3D-Hinweise bietet Starts, Tiefflüge und Landungen in schlechter Sicht.
Schulungen zu Best Practices in DO-178C sind sehr gefragt. Studenten aus der ganzen Welt reisen beispielsweise nach Washington DC, um an dreitägigen Kursen zu DO-178C teilzunehmen, die in der RTCA-Zentrale von erfahrenen Dozenten von Mitre abgehalten werden.
„Einige Studenten sind aus grundlegender Neugier oder Vorbereitung auf die Zukunft zu unserem Kurs gekommen, aber die große Mehrheit beginnt mit einem neuen Projekt, das die Einhaltung des DO-178C-Standards erfordert“, sagt Kent Hollinger. „Diese Konformität kann von der staatlichen Zertifizierungsstelle, zivil oder militärisch, oder vertraglich von einem Kunden verlangt werden, der eine höhere Sicherheit erreichen möchte, dass die Software ihre beabsichtigte Funktion erfüllt.“
Hollinger ist Chefingenieur bei Mitre und verfügt über Erfahrung in leitenden Ingenieurpositionen bei kommerziellen Fluggesellschaften. Er unterrichtet den DO-178C-Kurs seit seiner Einführung im Jahr 2012. Er sagt, dass DO-178C zwar als Überlegungen zu luftgestützter Software entwickelt wurde, also jeder Technologie, die Software enthält kann von einem formal dokumentierten Prozess profitieren, um mehr Sicherheit zu erhalten, dass die Software ihre beabsichtigte Funktion vollständig und nur die beabsichtigten Funktionen erfüllt.
Der Kurs deckt den gesamten Standard ab und ist daher sowohl für Studierende geeignet, die noch nie mit einem solchen Standard gearbeitet haben, als auch für Studierende, die mit früheren Revisionen gearbeitet haben. Es lehrt, was erforderlich ist, um die Einhaltung der Norm durch das Erreichen aller geltenden Ziele durch eine Reihe geplanter Aktivitäten nachzuweisen, die den Nachweis der Fertigstellung erbringen. Zu den Themen gehören laut Hollinger und John Charles Angermayer Systemaspekte im Zusammenhang mit der Softwareentwicklung, Software-Lebenszyklusdaten und Prozesse für Softwareplanung, -entwicklung, -verifizierung, -konfigurationsmanagement, Qualitätssicherung und Zertifizierungsverbindung. Angermayer ist ein führender multidisziplinärer Systementwickler und Softwareentwickler mit 37 Jahren Erfahrung in Softwareentwicklung und Projektmanagement. Seit 1998 arbeitet er am Mitre Center for Advanced Aviation System Development.
„Viele Studenten kommen aus anderen Branchen als der Luftfahrt, weil sie den Vorteil darin sehen, ein dokumentiertes Maß an Sicherheit in der korrekten Softwaregestaltung und -implementierung für ihre eigenen Anwendungen zu erlangen“, sagt Angermayer. Er fügte hinzu, dass frühere Studenten von US-amerikanischen und ausländischen zivilen Zertifizierungsbehörden (für Luft- und Bodensysteme), Militärbüros, die sich mit Luft- und Seesystemen befassen, Flugzeug- und Hubschrauber-OEMs, Avioniklieferanten, Softwarehäusern, Luftfahrtunternehmen, Wartungswerkstätten und unbemannten Flugzeugen kamen OEMs, Hochschulen, die Automobilindustrie, Raumfahrtsystemorganisationen und Kernenergieunternehmen.
Beispiele für Industrieprojekte, an denen RTCA DO-178C-Studenten beteiligt sind, sind: neues ziviles oder militärisches Flugzeugdesign; Wiederaufnahme der Produktion eines früheren Entwurfs eines zivilen Flugzeugtyps unter Einbeziehung neuer moderner Avionik; Modernisierung der Avionik in vorhandenen zivilen oder militärischen Flugzeugen; Entwurf bodengestützter Luftfahrtsysteme; Design von UAS-Systemen; autonome Automobilinitiativen und kommerzielle Raumeinführungen.
„Viele Menschen außerhalb der Luftfahrt sind sich der Genauigkeit nicht bewusst, die bei der Entwicklung, Prüfung und Steuerung von Software in Luftfahrtprodukten angewendet wird“, sagt Angermayer. „In anderen Branchen wie dem Schienenverkehr, selbstfahrenden Autos und medizinischen Geräten.“ , könnten von den im DO-178C-Standard enthaltenen Prozessen profitieren.“
Darüber hinaus werden DO-178C, seine Ergänzungen und Ableger (wie DO-278) auch in Zukunft immer wichtiger.
Der neueste Beschäftigungsaussichtsbericht des US Bureau of Labor Statistics prognostiziert, dass die Beschäftigung von Softwareentwicklern bis 2024 um 17 %, die von Anwendungsentwicklern um 19 % und die von Systementwicklern um 13 % steigen wird.
Der Hauptgrund für die neuen Arbeitsplätze für Software-Anwendungsentwickler und Systementwickler ist ein starker Anstieg der Nachfrage nach Computersoftware. Der Bedarf an neuen Anwendungen auf mobilen Geräten und Tablets wird dazu beitragen, die Nachfrage nach Entwicklern von Anwendungssoftware anzukurbeln, insbesondere nach Anwendungen auf COTS-Tablets wie dem iPad, die mit festverdrahteter, sicherheitskritischer Avioniksoftware, Datenbussen usw. interagieren und Daten direkt von diesen abrufen mehr. Komplexe Algorithmen und Codierung sind auch für Software erforderlich, die Multi-Core-Computing unterstützt, die Sicherheitsrisiken neuer Initiativen für das Internet der Dinge (IoT) in der Luftfahrt angeht, ADSB-In COTS-Komponenten, maßgeschneiderte militärische Missionsoperationen und mehr.
„Jeder möchte in der Nahrungskette aufsteigen“, sagt Vance Hilderman, Mitbegründer von AFuzion, das sich selbst als ein Unternehmen beschreibt, das sich darauf konzentriert, Avionikingenieuren technisches Wissen, Schulungen, Lückenanalysen, Whitepapers und mehr zu vermitteln. „Die Komponentenhersteller wollen Subsysteme herstellen, die Subsystemhersteller möchten vollständige Systeme herstellen, die Systemleute möchten integrierte Systeme herstellen.“ Es ist unglaublich dynamisch.“ Er sagt, dass jedes Jahr ein Viertel der Kunden von AFuzion Leute sind, die vor zwei Jahren noch nicht im Geschäft waren.
AFuzion hat DO-178C und andere software- und hardwarebezogene Best-Trainings, -Praktiken und -Beratung für Tier-1-Integratoren primärer Avioniksysteme auf der ganzen Welt bereitgestellt, so Hilderman, und fügte hinzu, dass Wachstumsbereiche für DOs im Militär liegen. Zu den anderen gehören Länder wie Russland (mit seinem Regionalflugzeug MC-21), China (mit seinem COMAC C919) und die Türkei und Indien (die sich in den frühesten Stadien des Baus inländisch entwickelter ziviler Lufttransportflugzeuge befinden) sowie Japans Das Mitsubishi Regional Jet. Die Ingenieure in den meisten dieser Bereiche konzentrierten sich zuvor auf die Entwicklung militärischer Subsysteme und Komponenten. Jetzt wollen sie selbst umfassende Systemintegratoren werden und gemeinsam Flugzeugzellen zwischen Regierung und Industrie entwickeln. Dabei nutzen sie Software, die von Bürgern geschrieben wurde, die lernen, nach den DO-178C-Prinzipien zu programmieren unter Experten wie den oben genannten.
Auch die Türkei, China und Russland haben Ambitionen, anspruchsvollere Militärflugzeuge zu entwickeln, um mit Flugzeugen der fünften Generation wie der F-35 zu konkurrieren, die Ende 2016 mit mehr als 8 Millionen Codezeilen (mehr als alle USA oder Verbündeten) ihre erste Einsatzfähigkeit erlangte Laut dem Hauptauftragnehmer Lockheed Martin ist es das einzige Militärflugzeug der Geschichte. Diese Software unterstützt die fortschrittlichen elektronischen Kriegsführungs-, Radar-, Kommunikations-/Navigations-/Identifikations-, elektrooptischen Ziel- und verteilten Apertursysteme des Jets. Diese Software ist darauf ausgelegt, das Panorama-Cockpit-Display der F-35 vollständig mit Daten zu füllen, die von Sensoren gesammelt und in integrierter Form auf einem Bildschirm angezeigt werden. AVS
AVS