SOMMAIRE DEVELOPPEMENT DO 254
CLASSIFICATION NORME DO 254
La F.A.A (Federal Aviation Administration) a définie 5 catégories de conditions de panne sur lesquelles la DO 254 se base :
Niveau A, catastrophique : Fonctions hardware dont la défaillance ou un comportement anormal entraînerait une défaillance du système complet pouvant aboutir à une situation catastrophique pour l’aéronef (impossibilité de poursuivre le vol ou d’atterrir).
Niveau B, dangereuse : Fonctions hardware dont la défaillance ou un comportement anormal entraînerait une défaillance du système complet pouvant aboutir à une situation dangereuse pour l’aéronef (réduction des possibilités de l’appareil, augmentation importante de la charge de travail de l’équipage, éventuelles blessures graves des passagers).
Niveau C, majeure : Fonctions hardware dont la défaillance ou un comportement anormal entraînerait une défaillance du système complet pouvant aboutir à une situation de panne majeure pour l’aéronef (réduction des possibilités de l’appareil, augmentation de la charge de travail de l’équipage, éventuelles blessures des passagers).
Niveau D, mineure : Fonctions hardware dont la défaillance ou un comportement anormal entraînerait une défaillance du système complet pouvant aboutir à une situation de panne mineure pour l’aéronef (réduction sensible des possibilités de l’appareil, augmentation sensible de la charge de travail de l’équipage).
Niveau E, sans effet : Fonctions hardware dont la défaillance ou un comportement anormal n’aurait aucun effet sur les capacités opérationnelles de l’aéronef ou sur la charge de travail de l’équipage.
Tout au long du cycle de vie du design hardware, des feedbacks réguliers entre les processus de sécurité, système et software sont utiles afin de s’assurer que le hardware conçu satisfait bien aux exigences fonctionnelles, de sécurité et de performances.
GARANTIE DU DESIGN
La garantie du développement hardware commence au niveau système avec l’assignation de fonctions à la partie hardware du produit et la définition de leur niveau de garantie.
Une fonction système sera assignée à un élément hardware, un élément software, ou à une combinaison des deux. Ainsi, les exigences de sécurité associées à la fonction seront appliquées au hardware et/ou software pour déterminer le niveau de fiabilité.
Il existe trois processus de contrôle de sécurité du système :
- Le contrôle du risque fonctionnel : FHA (Functional Hazard Assessment)
- Le contrôle initial de sécurité du système : PSSA (Preliminary System Safety Assessment)
- Le contrôle de sécurité du système : SSA (System Safety Assessment).
Ces processus sont utilisés pour établir les objectifs de sécurité applicables au processus de garantie de développement du système et pour démontrer que les fonctions répondent à ces objectifs de sécurité.
CONTROLE DE LA SECURITE DU HARDWARE
A partir des objectifs de sécurité et des exigences fonctionnelles et de performance, le contrôle de la sécurité du hardware permet de fixer les niveaux de garantie du design pour chaque fonction (D à E), et contribue à la détermination des stratégies de garanties du design.
Un dispositif hardware composé de plusieurs fonctions doit être garanti au niveau le plus élevé des fonctions qui le constituent.
Les exigences dérivées produites pendant la phase de développement et le processus de contrôle de la sécurité du hardware doivent également satisfaire aux exigences de sécurité.
CYCLE DE VIE DU DESIGN HARDWARE
Le cycle de vie du design hardware décrit les tâches à accomplir tout au long de la conception de façon à assurer les niveaux de sécurité attendus. Le cycle de vie du hardware s’applique aussi bien pour le développement de nouveaux systèmes que pour des modifications au niveau de systèmes existants.
Les processus du cycle de vie hardware sont les suivants :
- La planification
- Acquisition des exigences
- Conception préliminaire et détaillée
- Implémentation, validation et vérification
- Transition vers la phase de production
- Gestion de la configuration
- Garantie et liaison avec l’organisme de certification
L’enchaînement habituel des processus de développement est le suivant :
PLANIFICATION
La planification du hardware contrôle le développement d’un dispositif et prépare la réalisation du projet en identifiant et définissant les ressources, les méthodes, les compétences et les outils à utiliser pour être en conformité avec les exigences contractuelles.
Les exigences pour le niveau D sont :
- Le plan pour les aspects hardwares de la certification (PAHC). Ce plan est le support initial utilisé par l’autorité de certification pour déterminer si un postulant propose un cycle de vie du hardware en accord avec le niveau de DAL
- Le plan de développement du hardware (PDH). Le plan de développement comprend les objectifs, les règles et les cycles de vie du hardware à utiliser dans les processus de développement. Ce plan peut être inclus dans le plan des aspects hardwares de la certification
- Le plan de validation du hardware (PVH). Le plan de validation du hardware est une description des procédures pour satisfaire les objectifs du processus de vérification.
- Le plan de gestion de configuration) (PGCH). Le plan de gestion de configuration du hardware détermine les méthodes à utiliser pour atteindre les objectifs de gestion de configuration pendant tout le cycle de vie.
- Le plan assurance qualité du hardware (PAQH). Ce plan définit les méthodes à utiliser pour atteindre les objectifs du processus d’assurance qualité du hardware
DEVELOPPEMENT DU HARDWARE
Les processus de développement doivent fournir un hardware qui réponds matériellement aux exigences allouées par le système.
Ces processus sont au nombre de cinq :
- Acquisition des exigences
- Conception préliminaire
- Conception détaillée
- Implémentation, vérification, validation
- Transition vers la phase de production
Le processus d’acquisition des exigences identifie et répertorie les exigences assignées au dispositif hardware. Ceci inclut les exigences dérivées dues au choix de l’architecture hardware, des technologies utilisées, des fonctionnalités de base ou optionnelles, et des exigences environnementales, de sécurité et de performance.
Le processus de conception préliminaire produit une vision de haut niveau du dispositif hardware et vise à déterminer le potentiel qu’aura la réalisation finale de répondre aux exigences. Ceci sera accompli à l’aide de diagrammes fonctionnels, description de l’architecture, croquis etc …
En se basant sur la conception préliminaire, la conception détaillée produit des données comme les schémas électroniques , les nomenclatures, les plans mécaniques, les schémas d’installation et d’assemblage etc.. Tout comme pour le processus de conception préliminaire, il faut veiller à la traçabilité des exigences dérivées introduites par les choix de développement effectués.
Le processus d’implémentation, vérification, validation utilise les données de la conception détaillée pour produire le dispositif hardware qui sera utilisé lors des séquences de test. De plus, ce processus démontre la conformité du produit avec toutes les exigences (fonctionnelles, de sécurité…).
Dans le processus de transition vers la phase de production, les données concernant l’industrialisation, les équipements de test, et les ressources générales doivent être examinées pour assurer que le produit est prêt pour la production.
VALIDATION DU HARDWARE
Le processus de validation a pour but de garantir que les exigences dérivées sont correctes et qu’elles respectent les exigences système allouées au hardware . La validation doit être menée après la réalisation du hardware. Les tests visent à démontrer que le hardware répond correctement à un stimulus ou à une série de stimuli. Les séquences de tests peuvent inclure des tests fonctionnels, des essais sur bancs de test système ou des tests sur aéronef.
VERIFICATION DES SPECIFICATIONS
GESTION DE LA CONFIGURATION
Le processus de gestion permet de répliquer la configuration, régénérer l’information si nécessaire, et modifier la configuration si des changements s’avèrent utiles.
Les éléments de configuration doivent être référencés de manière unique et non ambiguë. Il faut également établir un point de départ servant de référence et de moyen de contrôle à tous les éléments de configuration.
Le processus de gestion de configuration permet également d’assurer la détection et le référencement des problèmes rencontrés et assure leur résolution. Les problèmes peuvent être une non-conformité du produit avec les plans et les normes, des carences au niveau du cycle de vie, des comportements anormaux du produit, ou une insuffisance des outils utilisés.
Le processus de gestion de configuration réalise aussi le référencement, l’évaluation et l’approbation des éventuels changements. Enfin, la gestion de configuration permet l’archivage des données.
ASSURANCE QUALITE
Ce processus s’assure que les objectifs de cycle de vie sont remplis et que les actions ont été effectuées selon les plans.
CERTIFICATION
Ce processus est chargé d’établir la communication et la compréhension entre le demandeur et l’organisme de certification tout au long du cycle de vie du design.
Elle est décrite dans le processus de planification et dans le PHAC (Plan pour la Certification des Aspects Hardware).
Le PHAC décrit les processus, les procédures, les méthodes et les normes qui devront être appliqués pour atteindre les objectifs de la DO 254 et ainsi obtenir l’approbation de l’organisme de certification de la partie hardware du système.
Une fois approuvé, le PHAC constitue un accord entre le demandeur et l’organisme de certification à propos des processus, tâches à accomplir et preuves à fournir pour satisfaire aux aspects hardware de la certification.
Ce document doit contenir les plans suivants :
- Plan de développement
- Plan de validation
- Plan de vérification
- Plan de gestion de configuration