Aktuální vydání

celé číslo

03

2024

Automatizační technika v energetice a teplárenství, úspory energie

Snímače teploty

celé číslo

Certifikace hardwaru pro bezpečnostní vestavné systémy

Janusz Zalewski, Andrew J. Kornecki, Brian Butka
 
Článek se zabývá certifikací hardwaru vestavných systémů s velkými požadavky na bezpečnost. Soustřeďuje se na hardware používaný v letadlech, konkrétně na dokument Design Assurance Guidance for Airborne Electronic neboli DO-254, vydaný organizací RTCA, a jeho dopady na práci návrhářů. Článek popisuje, jaké problémy je třeba vyřešit, aby obvody v letecké elektronice i v jiných oborech vyhovovaly normě DO-254 a také zcela identické evropské normě Eurocae ED-80. Přehled literatury obsahuje odkazy na články, které uvádějí aktuální zkušenosti s kvalifikací nástrojů pro vypracovávání návrhu hardwaru. Článek představuje také výsledky vlastní studie autorů článku.
 
This paper discusses issues related to hardware certification for safety-critical embedded systems. It is focused on hardware for avionics and the RTCA document DO-254 Design Assurance Guidance for Airborne Electronic Hardware regarding its consequences for designers. In particular, problems related to circuits’ compliance with DO-254 in avionics and other industries are considered. Literature review of the subject is given, including current views on and experiences with qualification of hardware design tools. Some results of the authors’ own study on tool qualification are presented.
 

1. Úvod

 
Moderní společnost, kde je výpočetní technika využívána téměř ve všech oblastech každodenního života, od dveřních zámků, přes hodinky až po zabezpečovací systémy a semafory, ale také automobily, vlaky, letadla a kosmické prostředky, je zvláště zranitelná nečekaným a nežádoucím chováním systémů založených na počítačích. Protože toto zjištění vyvolává obavy, byly profesními organizacemi vytvořeny normy k zajištění bezpečnosti počítačů. Plnění požadavků těchto norem je vymáháno předpisy jednotlivých států. Normy mohou být zhruba rozděleny na ty, které se vztahují k hardwaru, a ty, které se vztahují k softwaru.
 
Zmíněné normy začaly být zaváděny relativně brzy v letectví, kde je veřejnost velmi zranitelná a je také konfrontována s nehodami letadel, které mohou být způsobeny i chybami počítačů. Z uvedené skutečnosti vyplynula naléhavá nutnost vyvinout v tomto smyslu ochranná opatření. Četné normy a směrnice byly proto vydány jednak vládou USA, jednak mezinárodními orgány, které usměrňují jednotlivé průmyslové obory. Normy se týkají certifikací, popř. jiných aspektů zabezpečení hardwaru a softwaru, jako je posuzování, udělování licencí a validace. Zvláště důležitá je směrnice pro civilní letectví a letadlové systémy RTCA DO-178 (publikována v USA v roce 1992) [1] a její evropský protějšek Eurocae ED-12B, ale také směrnice RTCA DO-254, publikovaná v roce 2000 [2], a identická evropská norma Eurocae ED-80.
 
Tento článek se soustřeďuje na normu DO-254, obsahující požadavky na hardware a související aspekty týkající se hardwaru v problematice certifikace systémů v letadlech. Následující odstavce pojednávají o otázkách spojených se shodou obvodů s DO-254 v letecké elektronice a uvádějí některé pohledy na posuzování softwarových nástrojů podle DO-254 a na zkušenosti s ním.
 

2. Shoda obvodů s normou DO-254

 

2.1 Obecné otázky certifikace podle DO-254

S tím, jak se vyvíjí mikroelektronika, stávají se programovatelné logické systémy běžnou součástí hardwaru určeného pro letadla, většinou vyráběného na zakázku. Jako dvě nejvýznamnější řešení se zde prosazují programovatelná hradlová pole FPGA a obvody ASIC. Stále častěji se v této oblasti objevují součásti obsahující čipy IP (Intellectual Property) s jednoúčelovým algoritmem nebo s řešeními vytvořenými na zakázku, která připomínají univerzální funkce vestavných procesorů. Tyto okolnosti vedly ke vzniku dokumentu RTCA DO-254, který se věnuje zajištění bezpečnosti hardwaru používaného v letecké elektronice a může být použit i v jiných oborech s velkými požadavky na bezpečnost.
 
Ke vzniku DO-254 dále přispělo to, že firmy zabývající se leteckou elektronikou a její návrháři se s přísností normy DO-178B (RTCA 1992) vyrovnávali tím, že při řešení funkcí přecházeli od softwaru k hardwaru. Často využívali situaci, která dovolovala, aby byly funkce leteckého softwaru vestavěny do firmwaru nebo programovatelných zařízení. To jim dovolovalo vyhnout se dodržování normy DO-178B, která stanovuje standardní požadavky na software. Proto byl zaveden nový dokument, který formuluje základ pro certifikaci složitých elektronických systémů tím, že identifikuje proces návrhu životního cyklu, charakterizuje cíle a nabízí prostředky ke splnění požadavků certifikace. Následně byl úřadem FAA (Federal Aviation Administration) vydán informační oběžník, který objasňuje použitelnost DO-254 na zákaznicky programovaných komponentách, jako jsou ASIC, PLC, FPGA apod.
 
Po vydání DO-254 se objevilo mnoho článků, které interpretují tento dokument a uvádějí zkušenosti s jeho použitím. Například v [3] je výrobcům doporučeno, aby porovnali své dosavadní vývojové procesy s těmi, které jsou uvedeny v DO-254. Na strategické úrovni je doporučovaným přístupem „zaměřit se na zajištění korektnosti ve fázi koncepčního návrhu a pak zachovávat integritu návrhu“. Stejně je třeba postupovat při vypracovávání detailního návrhu a při implementaci. Avšak každý jednotlivý výrobce nebo návrhář se při práci na návrhu setkává s mnoha specifickými problémy, které musí být řešeny tak, aby splňovaly cíle DO-254. Jak přitom postupují, to záleží na daném výrobci a na typu problému.
 
Mnoho společností uvedlo, že splnění normy DO-254 pro ně znamená klást větší požadavky na vývoj hardwaru. Často dokonce tvrdí, že musely implementací DO-254 vynaložit nezanedbatelné náklady, které mohou být pokládány za investice. Výrobci jsou nuceni detailně analyzovat své procesy, metody a nástroje a používat strukturované vývojové procesy s důsledným zajištěním kvality. To jim umožňuje upravit své interní procesy tak, aby dosahovaly úrovně zaručující kvalitní návrh při vynaložení optimálního úsilí.
 

2.2 Výrobci čipů a desek

Výrobci čipů a desek jsou zvlášť horliví v tom, aby splnili požadavky normy DO-254, protože mají obavy o svůj podíl na trhu. Protože vyhovění směrnici DO-254 je pokládáno za technickou přednost, většina výrobců začala měnit své vývojové procesy tak, aby požadavky normy splnila. Zdá se, že Mentor Graphics a Aldec/Actel budou prvními společnostmi, které dosáhnou toho, že budou jejich výrobky vyhovovat normě DO-254.
 
Jedna z metod [4] společnosti Mentor Graphics s názvem Advanced Verification Methodology (AVM) spočívá v tom, že jsou generovány omezené náhodné testy, je sestaven celkový model, specifikován záměr návrhu a nakonec model formálně ověřen. Tato metoda byla použita ve firmě Rockwell-Collins při návrhu pole FPGA pro použití v praxi založeného na přímém přístupu do operační paměti (engine DMA), a to v projektu vedeném v souladu s požadavky DO-254.
 
Více světla do plnění požadavků DO-254 vnesl formulář [5], který je vhodný pro auditora a je znám pod názvem Designated Engineering Representative (DER). Ve formuláři jsou explicitně řešeny tyto otázky:
  • požadavky na management a personál při použití nástrojů pro řízení podle požadavků, jako je Reqtify nebo DOORS,
  • validace kódu RTL (popis návrhu integrovaného obvodu) s využitím automatické metody určené k ověření RTL podle standardu společnosti,
  • zajištění verifikačního procesu použitím AVM,
  • pořízení dokumentace návrhu, která popisuje jak požadavky, tak i kód RTL, ale i např. toky bitů nebo formát souboru Graphic Data System (GDS) II.
Společnosti Aldec and Actel, které zřejmě spolupracují, vydaly informaci, že usilují o to, aby jejich produkty mohly být certifikovány podle DO-254. V [5] jsou popsány procesy vedoucí k vypracování návrhu bezpečnostních systémů montovaných do letadel. Procesy jsou založeny na verifikační metodě zvané Hardware Embedded Simulation (HES) a skládají se ze dvou tradičních kroků: simulace RTL a simulace na úrovni hradel. Jde o metodu kombinující hardware a software založenou na softwaru, který umožňuje realizovat návrh za použití rekonfigurovatelného hardwaru, jako je FPGA, a poté funkce návrhu verifikovat.
 
Ve svém posledním článku uvádí J. R. Kenny [6], že splnění DO-254 vyžaduje jakýsi „ekosystém“ partnerů, kteří nabízejí řešení certifikovaná podle DO-254. V té souvislosti upozorňuje na nástrahy normy DO-254 a zdůrazňuje, že je důležité zabývat se vždy několika komponentami tohoto ekosystému, jako je:
  • podpora plánování a vzdělávání,
  • verifikace metod a schvalování nástrojů,
  • certifikační služby,
  • programovatelná logika a dodavatelé IP.
Ačkoliv FAA ve svém informačním oběžníku uvádí, že není záměrem, aby normě DO-254 vyhovovaly komerční hromadně vyráběné procesory, je v odstavci 11.2 dokumentu DO-254 řešeno použití těchto komponent v letadlových systémech s velkými požadavky na bezpečnost. Komerčně vyráběné procesory již byly použity [8] v primárních nebo sekundárních letových displejích, na které jsou kladeny velké požadavky týkající se bezpečnosti. Na výrobce uvedených produktů se zřejmě vztahují následující požadavky DO-254: historie podnikání v oboru, postupy řízení kvality, provozní zkušenosti a charakteristika součástí s ohledem na spolehlivost.
 
Obdobné pokusy byly učiněny i v jiných průmyslových oborech. Nedávno se objevily články zabývající se certifikací elektronického vybavení pro plynový hořák, systémy MEMS a rádiový výškoměr. Bylo uskutečněno několik pokusů [9] posoudit hardware určený pro systémy s požadavky na bezpečnost podle jiných směrnic než DO-254, s uplatněním norem IEC 61508 a 6151.
 

3. Kvalifikace nástrojů podle DO-254

 
Rostoucí složitost hardwaru vyžaduje, aby byly pro vypracovávání jeho návrhu používány automatické softwarové nástroje. Proto dokument DO-254 obsahuje oddíl o tzv. kvalifikaci nástrojů. Kvalifikace nástrojů je zde definována jako proces nutný k získání certifikačního kreditu pro daný nástroj v souvislosti se specifickým letadlovým systémem. Dokument rozlišuje mezi návrhovými nástroji, které mohou vnést do produktu chybu, a verifikačními nástroji, které do produktu chybu vnést nemohou, ale mohou selhat v detekování chyb v produktu. Postup posuzování a kvalifikace nástrojů podle DO-254 je uveden na obr. 1.
 
Několik výrobců začalo jednat o kvalifikaci nástrojů. Již v roce 2003 byl popsán [10] statický formální přístup, který může být použit v kombinaci s funkcemi pro vysledovatelnost požadavků (requirements traceability). Přístup vede k použití formálních metod při navrhování a verifikování hardwaru řídicích jednotek tak, aby tyto jednotky podporovaly např.csběrnice vytvořené společností ARINC (USA): jednosměrnou sběrnici ARINC 429, používanou ve velkých dopravních letadlech, obousměrnou sběrnici ARINC 629, s možností distribuovaného řízení, nebo sběrnici MIL-STD-1553B, určenou pro vojenská letadla, apod.
 
Další strategie zajišťující bezpečnost návrhu jsou uvedeny v DO-254, v doplňku B (Aspekty bezpečného návrhu pro funkce úrovně A a B). V článku [11] je řešeno použití formálních jazyků, jako je PSL (Property Specification Language), v kombinaci s dynamickými (simulačními) a statickými (formální) verifikačními metodami pro programovatelná logická zařízení. Je zde naznačeno použití těchto metod a strategie bezpečného návrhu pro složitou programovatelnou elektroniku do letadel. Pro splnění kritérií DO-254 může být použit software ModelSim společnosti Mentor Graphics [12], který je považován za verifikační nástroj, protože se používá k digitální simulaci řízených zkoušek a poskytuje informační údaje (nástroj tedy negeneruje kód, který by měl být použit v produkčních obvodech).
 
Autoři uskutečnili průzkum, jehož cílem bylo zjistit, jaké problémy vznikají při kvalifikaci nástrojů a certifikaci systémů. Průzkum shromáždil údaje o zkušenostech a názorech na použití programovatelných logických nástrojů při navrhování a verifikování složité elektroniky podle normy DO-254. Bylo třeba zjistit zpětnou vazbu od průmyslových firem a certifikačních institucí na posuzování a kvalifikaci těchto nástrojů a také se seznámit s názory, které by mohly pomoci zlepšit
tento proces.
 
Účastníci měli vyhodnotit důležitost kritérií při výběru nástrojů pro zajištění shody s DO-254 (tab. 1). Za nejdůležitější byla označena tato kritéria:
  • dostupná dokumentace,
  • snadnost kvalifikace,
  • předešlé použití nástroje,
  • hostitelská platforma.
Dále následovala kritéria: kvalita podpory, funkce nástroje, pověst výrobce nástroje a předchozí použití v projektech letecké elektroniky. Při výběru nástroje pro projekt se firma buď obeznámí pouze s demonstrační verzí (50 %), nebo nástroj důkladně prozkoumá a vyzkouší (40 %). Převažující by však měl být přístup založený na prozkoumání a vyzkoušení nástroje. Poté by měl být vyškolen personál a nástroj by měl být nejprve používán ve zkušební době při řešení malého projektu.
 

4. Závěr

 
Je zřejmé, že systémy FPGA jsou v současnosti široce využívány v systémech s velkými požadavky na bezpečnost (safety-critical systems), které jsou vyvinuty za pomoci nástrojů, o nichž pojednává tento článek. Přestože mohou být návrh a verifikace prováděny stejným jednotlivcem, úroveň verifikace může být nedostatečná pro omezený výběr vnějších podnětů, simulace mohou být vynechány a návrh bývá schvalován manažery bez technického vzdělání. Výzkum navíc ukazuje, že se vždy není možné spoléhat na dostatečnou kvalitu dodaného softwarového jádra nebo makroknihoven. Nástroje pro syntézu mohou zase generovat chyby.
 
Vcelku je patrné, že softwarové nástroje používané při navrhování a verifikaci složité elektroniky určené pro projekty s velkými požadavky na bezpečnost musí být pečlivě prozkoumány, neboť jinak mohou vnést do návrhu chyby vedoucí k nehodám. Avšak uskutečněný průzkum naznačil, že při výběru je za nejdůležitější kritérium považována dostupná dokumentace, snadnost procesu kvalifikace a předchozí použití nástroje, tedy kritéria, která se netýkají technického řešení. Proto by se mělo pracovat na vypracování objektivnějších kritérií výběru vhodných nástrojů a také na experimentech s nástroji, přičemž cílem by měla být identifikace nejzranitelnějších funkcí, které mohou být zdrojem následných chyb v návrhu a provozních poruch.
 
Proces posuzování nástroje musí splňovat požadavky směrnic RTCA DO-254. Avšak poměrná vágnost těchto směrnic vede ke značným rozdílům v tom, jak je jednotlivé firmy interpretují, což by mělo být odstraněno. Zřejmě by měl být nalezen společný základ směrnic RTCA DO-254 a DO-178B.
 

5. Poděkování

 
Předložená práce byla částečně podpořena střediskem Aviation Airworthiness Center of Excellence podle smlouvy DTFACT-07-C-00010, sponzorované U.S. Federal Aviation Administration (FAA). Obsažené závěry se nemusí shodovat se závěry FAA.
 
Literatura:
[1] RTCA (1992) DO-178B /EUROCAE ED-12B, Software Considerations in Airborne Systems and Equipment Certification. RTCA Inc., Washington, DC, December 1992.
[2] RTCA (2000) DO-254 (EUROCAE ED-80), Design Assurance Guidance for Airborne Electronic Hardware. RTCA Inc., Washington, DC, April 2000.
[3] HILDERMAN, V. – BAGHAI, T.: Avionics Hardware Must Now Meet Same FAA Requirements as Airborne Software. COTS Journal, September 2003, Vol. 5, No. 9, pp. 32–36.
[4] KEITHAN, J. P. et al.: The Use of Advanced Verification Methods to Address DO-254 Design Assurance. In: Proc. 2008 IEEE Aerospace Conf., Big Sky, Montana, March 1–8, 2008.
[5] LEE, M. – DEWEY, T.: Accelerating DO-254 for ASIC/FPGA Designs. VME and Critical Systems, June 2007, pp. 28–30.
[6] SYSENKO I. – PRAGASAM, R.: Hardware-based Solution Aides: Design Assurance for Airborne Systems, Military Embedded Systems, July 2007, pp. 26–28.
[7] KENNY, J. R.: Team Effort is Central Focus in DO-254 Compliance. COTS Journal, August 2008, Vol. 10, No. 8, pp. 40–44.
[8] FULTON, R.: RTCA/DO-254 Data Package for Commercial-Off-The-Shelf Graphical Processors. In: Proc. 25th DASC, Digital Avionics Systems Conference, Portland, Ore., October 15–19, 2006, pp. 6E6-1/6.
[9] LUNDTEIGEN, M. A. – RAUSAND, M.: Assessment of Hardware Safety Integrity Requirements. In: Proc. 30th ESReDA European Safety, Reliability and Data Association Seminar on Reliability of Safety Critical Systems, Trondheim, Norway, June 7–8, 2006.
[10] DELLACHERIE, S. – BURGAUD, L. – CRESCENZO, P. di: Improve – HDL: A DO-254 Formal Property Checker Used for Design and Verification of Avionics Protocol Controllers. In: Proc. DACS’03, 22nd Digital Avionics Systems Conference, Indianapolis, Ind., October 12–16, 2003, Vol. 1, pp. 1.A.1–1.1-8.
[11] LANGE, M.: Assessing the ModelSim Tool for Use in DO-254 and ED-80 Projects. White Paper, Mentor Graphics Corp., Wilsonville, Ore., May 2007.
[12] KARLSSON, K. – FORSBERG, H. Emerging Verification Methods for Complex Hardware in Avionics. In: Proc. DASC 2005, 24th Digital Avionics Systems Conference, 30 Oct.– 3 Nov. 2005, Vol. 1, pp. 6.B.1– 61-12.
 
Janusz Zalewski, Florida Gulf Coast University,
Andrew J. Kornecki, Brian Butka,
Embry-Riddle Aeronautical University
 
Obr. 1. Proces posuzování a kvalifikace nástrojů podle norem RTCA DO-254 a Eurocae ED-80 (úrovně A, B, C jsou definovány v dokumentech norem)
 
Tab. 1. Důležitost kritérií při posuzování nástroje (od nevýznamnějšího k nejméně významnému)