¿Qué hago si deseo mover mi software de DAL Nivel A a DAL Nivel C?

Si deseo degradar el nivel de garantía de diseño (DAL) de mi software del nivel A al nivel C, ¿qué debo hacer? ¿Cuáles son los beneficios y los inconvenientes de hacer esto?

No estoy exactamente seguro de lo que estás preguntando. ¿Tiene software que está certificado en el nivel A y le gustaría que ese mismo software esté certificado en el nivel C? ¿O tiene un sistema de nivel A pero quiere tener un software de nivel C? ¿O algo completamente diferente?
Mientras estaba dando una entrevista, me preguntó sobre esto. ¿Cuáles son las consideraciones que haría si se degrada el nivel? Y respondí que el esfuerzo (costo) de Certificación/Verificación se reduciría, y no estaba seguro de que eso fuera lo que esperaba.

Respuestas (2)

Si deseo degradar el nivel de garantía de diseño (DAL) de mi software del nivel A al nivel C, ¿qué debo hacer?

El software de nivel DAL A es un software que, si falla, puede tener resultados "catastróficos" , definidos como "La falla puede causar múltiples muertes, generalmente con la pérdida del avión".

DAL nivel C, "La falla reduce significativamente el margen de seguridad o aumenta significativamente la carga de trabajo de la tripulación. Puede provocar molestias a los pasajeros (o incluso lesiones menores)".

Por lo tanto, para mover su software del nivel A de DAL al nivel C de DAL, tendrá que reducir la responsabilidad de su software. La operación o falla de operación de su software no puede:

  • provocar lesiones graves o fatales al pasajero
  • producir un gran impacto negativo en la seguridad o el rendimiento de la aeronave
  • reducir la capacidad de la tripulación para operar la aeronave debido a problemas físicos o una mayor carga de trabajo (aunque se aceptan aumentos significativos en la carga de trabajo en el Nivel C)

A lo sumo, la operación o falla de operación de su software puede:

  • Reducir significativamente los márgenes de seguridad
  • Aumentar significativamente la carga de trabajo de la tripulación
  • Resultar en molestias para los pasajeros o lesiones menores

Si puede cambiar su software, o cambiar el uso del software por parte de su cliente (es decir, no se puede usar o instalar como parte de un sistema de control crítico de seguridad), entonces las autoridades certificadoras pueden permitir que su software se certifique en el Nivel C.

¿Cuáles son los beneficios y los inconvenientes de hacer esto?

Solo hay 62 objetivos que deben cumplirse, y de esos solo 8 deben ser verificados por alguien independiente de la persona que implementó el código que se enmarca en ese objetivo. Si bien el número de objetivos solo se reduce un poco (71 frente a 62), el número que requiere verificación independiente se reduce en más del 75 % de 33 a 8. Esto reduce significativamente la cantidad de trabajo necesario para cumplir con los requisitos de certificación, principalmente en la trazabilidad.

El principal inconveniente es que su software no se puede utilizar ni incorporar en sistemas que requieran un mayor nivel de cumplimiento.

Por lo tanto, si su software está diseñado para controlar actuadores y actualmente está certificado en el Nivel A, es posible que se esté utilizando para controlar superficies de vuelo en algunos aviones.

El paso al Nivel C puede, en ese caso, no requerir ningún cambio de software en absoluto. Si deja de realizar la trazabilidad completa, las pruebas y el cumplimiento de los objetivos con independencia en el Nivel A, y solo realiza los necesarios para el Nivel C, entonces su lanzamiento bajo este nuevo sistema necesariamente solo estará certificado bajo el Nivel C. El software ya no puede ser utilizados para controlar las superficies de vuelo, pero si un nuevo avión sale con boquillas de aire ajustables electrónicamente en el compartimiento de pasajeros, puede ser elegible para su inclusión allí donde la falla, en el peor de los casos, causaría incomodidad a los pasajeros y aumentaría la carga de trabajo de la tripulación. mal dirigido o abierto/cerrado cuando se desea lo contrario.

Sin embargo, si su software es un piloto automático, nunca se usará si no cumple con el Nivel A. En este caso, no hay forma de cambiar su software o proceso a un nivel inferior y esperar que se use: el uso del software define el nivel al que debe cumplir.

En la mayoría de los casos, el uso determinará en qué nivel se debe certificar el software, y no existe una forma (o razón) real para que cambie su nivel. Dejaría de ser un software útil en el nivel equivocado.

Si está siguiendo DO-178B o DO-178C , no puede asignar a su software un nivel de garantía de diseño (DAL). Esa es la responsabilidad de la autoridad de certificación, como la FAA en los EE. UU., Transport Canada en Canadá o EASA en Europa. Existen métodos de análisis que se utilizan para determinar el nivel apropiado.

Si una autoridad de certificación reduce su nivel de garantía de diseño, deberá cumplir menos objetivos y menos objetivos satisfechos con independencia. Un objetivo satisfecho con independencia significa que los procesos de desarrollo y los procesos de verificación y validación se realizan de forma independiente. Los niveles más bajos de garantía de diseño siempre tienen menos objetivos y menos objetivos con independencia que los niveles más altos.

Si tiene un software diseñado y certificado en el nivel A de DAL, puede usarse en lugar del software certificado en cualquier nivel DAL inferior.

El software no está certificado en sí mismo; la certificación es siempre en el contexto de un sistema en una aeronave en proceso de certificación. Si bien es cierto que el software que tiene los artefactos de certificación para usar en una función DAL-A en la aeronave 1 cumplirá con todos los requisitos para una función DAL-C en la aeronave 2, no obstante, se debe presentar el DER (y, en última instancia, la autoridad certificadora). con los artefactos y reconocer que cumple con DAL-C antes de que se pueda certificar la aeronave 2.
¿Qué hago si deseo mover mi software de DAL Nivel A a DAL Nivel C?
RespuestasAquíPolítica de privacidad1y, 0v