LA DO-254 ET LES OUTILS

LE CONTEXTE

Dans la continuité de nos articles autour de la mise en œuvre de la DO-254, nous allons

aborder aujourd’hui le sujets des ‘outils’ dans un environnement satisfaisant les exigences

de la DO-254. Je vous informe aussi qu’une compilation des sujets précédemment écrit par

mon prédécesseur peut être téléchargée sur notre site internet (cf.

http://www.silkan.com/download/white-papers/),

Depuis les premiers jours de l’homme, nous n’avons jamais cessé de

chercher des solutions afin de faciliter notre travail, en d’autres mots de compenser nos

limites intrinsèques (force physique ou capacité intellectuelle,…) dans le but de repousser

les limites de notre imagination et donc de créer des systèmes de plus en plus complexes.

Pour la définition de ‘complexe’ vous pouvez vous rapprocher du certification memo de

l’EASA qui stipule : « A hardware device is considered simple … if the logic is simple

enough to comprehend without the aid of analytical tools ». Vous pouvez aussi

télécharger l’article qui traite de l’évaluation Simple ou Complexe sur notre site web. Le

message est donc double :

- Si vous utilisez des outils d’analyses alors votre composant est complexe.

- Des outils d’analyses sont nécessaires lors du développement d’un composant

complexe.

Bref, de nos jours, personne n’envisage de développer un FPGA ou, à plus forte raison

un ASIC sans des outils, que ce soit pour une application critique (notre cas) ou pas.

On peut classer ces outils dans différentes catégories en fonction

de leur valeur ajouté et surtout de l’impact sur la sureté de fonctionnement du système.

Attention, par outil, on entend tous les outils, logiciels comme matériels.

2 Europarc Sainte Victoire

Le Canet – Bât 2

13590 Meyreuil

FRANCE

Parc Burospace

Bâtiment 2bis

Route de Gisy

91571 Bièvres Cedex

FRANCE

Tel : +33 1 69 35 03 03

Campus Teratec

2 rue de la Piquetterie

91680 Bruyères le Châtel

FRANCE

Tel : +33 1 46 01 03 27

Cap Omega

Rd Pt Benjamin Franklin

CS39521 34960

Montpellier Cedex 2

FRANCE

Tel : +33 1 46 01 03

27

Buro Club Toulouse Saint Martin

12, rue Caulet – Bâtiment A08

31300 Toulouse

FRANCE

Tel : +33 5 67 73 18 00

4700 rue de la Savane #216

H4P1T7 Montréal

CANADA

4962 El Camino Real

#201

Los Altos, CA 94022

USA

9 route du Colonel Marcel Moraine

Immeuble le Sirius

92360 Meudon la Forêt- FRANCE

Tel : +33 1 46 01 03 27

www.silkan.com

Dans la première catégorie, clairement la plus critique, se trouvent les outils qui

participent à la conception du système embarqué (les outils de design). Par

exemple un outil d’aide à la conception ou un outil d’automatisation qui peut

insérer des erreurs et donc des défaillances dans l’équipement final.

La seconde catégorie regroupe les outils de vérification, qui peuvent ne pas

détecter les erreurs introduites pendant les différentes activités de conception.

C’est en fait la majorité de nos outils, celle dont l’utilisation est recommandée par

la DO-254/ED-80. Par exemple pour les activités de simulation du code

RTL/gate: « As the complexity of the hardware design increases, it is

advantageous to make use of computerized tools, such as simulation to

verify requirements and implementation of the design ». Et aussi pour

s’assurer du respect des standards: « Tools may be used to enforce

standards ».

C’est aussi dans cette catégorie que l’on classe les outils « matériels ». Ces

outils permettent la réalisation de bancs de test afin de s’assurer de la bonne

implémentation du besoin.

Enfin, la troisième catégorie, c’est celle des outils liés aux activités de support

comme la gestion des faits techniques, des évolutions, de contrôle des révisions

et bien d’autres.

Fidèle à la règle qui stipule que le développement logiciel a toujours quelques années

d’avance, la DO-178C/ED-12C va plus loin dans la définition des catégories et de l’impact

sur la qualification des outils (voir la DO-330/ED-215) là où la DO-254 se limite pour l’instant,

à deux catégories :

- Outils de Design pour les niveaux de DAL A ou B.

- Outils de Design pour les niveaux de DAL C ou de Vérification pour les niveaux

de DAL A ou B.

EVALUATION ET QUALIFICATION DES OUTILS

Depuis le début de notre activité en 2010, régulièrement des fournisseurs d’outils nous

demandent de l’aide pour adapter leur outil aux exigences de la DO-254. Et bien sûr

rapidement ils nous demandent un « dossier de qualification ».

Avant toute chose le but de cette activité est de s’assurer que l’outil est

capable de réaliser la tâche pour laquelle il est destiné. Que l’on peut lui accorder un niveau

de confiance acceptable. La DO-254 nous explique que: « The purpose of tool

2 Europarc Sainte Victoire

Le Canet – Bât 2

13590 Meyreuil

FRANCE

Parc Burospace

Bâtiment 2bis

Route de Gisy

91571 Bièvres Cedex

FRANCE

Tel : +33 1 69 35 03 03

Campus Teratec

2 rue de la Piquetterie

91680 Bruyères le Châtel

FRANCE

Tel : +33 1 46 01 03 27

Cap Omega

Rd Pt Benjamin Franklin

CS39521 34960

Montpellier Cedex 2

FRANCE

Tel : +33 1 46 01 03

27

Buro Club Toulouse Saint Martin

12, rue Caulet – Bâtiment A08

31300 Toulouse

FRANCE

Tel : +33 5 67 73 18 00

4700 rue de la Savane #216

H4P1T7 Montréal

CANADA

4962 El Camino Real

#201

Los Altos, CA 94022

USA

9 route du Colonel Marcel Moraine

Immeuble le Sirius

92360 Meudon la Forêt- FRANCE

Tel : +33 1 46 01 03 27

www.silkan.com

assessment and qualification is to ensure that the tool is capable of performing the

particular design or verification activity to an acceptable level of confidence for which

the tool will be used. ».

Je n’aborderai pas le sujet du niveau acceptable qu’il faut atteindre car il pourrait nous

faire débattre au moins jusqu’à la prochaine révision de notre document de référence : la

DO-254. Dans ce même document une petite note qui pourrait bien être oubliée a toute son

importance : « This assessment activity focuses as much or more on the application of

the tool as the tool itself ». Encore une fois, les notes et annexes font la différence.

La qualification de l’outil doit se faire dans le cadre de son utilisation et de son

environnement, et évidemment avant la mise en œuvre dans un projet DO-254.

Quel outil et pourquoi faire ?

Avant tout il faudra s’assurer de bien définir le périmètre exact de l’utilisation de l’outil.

L’évaluation et la qualification devra être maintenu dans le temps tout au long du projet.

Entre autre, voici des activités à réaliser et les données à fournir afin de donner un maximum

de crédit lors de la certification de votre équipement :

- Les données d’identifications des outils doivent se trouver en configuration.

Dans l’HECI (Hardware Environment Configuration Index) par exemple. Mais

aussi dans le HCMP (Hardware Configuration Management Plan) pour l’outil de

contrôle de révision.

- Des règles concernant l’utilisation des outils peuvent être présentes dans les

standards (HDS : Hardware Design Standard)

- Pour chaque outil, l’environnement matériel et/ou logiciel avec ses procédures

d’utilisation devra être précisé. Ces données seront à placer principalement

dans les plans du projet, HDP (Plan de développement), HVVP (Plan de

Validation et Vérification), PHAC (Plan for Hardware Aspects of Certification),

par exemple.

- Fournir un maximum de preuves concernant l’utilisation de l’outil sur une période

suffisamment longue permettant de s’assurer de son fonctionnement et de sa

bonne utilisation.

- Les limitations (errata list) et les changements de version d’un outil doivent être

enregistrés et suivis afin d’engager des actions correctives si nécessaires.

- Le manuel d’utilisateur de l’outil incluant les procédures à suivre doit aussi faire

partie du dossier à présenter aux autorités de certification.

- La définition d’un responsable des outils et souvent un moyen de garantir la

bonne utilisation d’un outil sur un projet.

2 Europarc Sainte Victoire

Le Canet – Bât 2

13590 Meyreuil

FRANCE

Parc Burospace

Bâtiment 2bis

Route de Gisy

91571 Bièvres Cedex

FRANCE

Tel : +33 1 69 35 03 03

Campus Teratec

2 rue de la Piquetterie

91680 Bruyères le Châtel

FRANCE

Tel : +33 1 46 01 03 27

Cap Omega

Rd Pt Benjamin Franklin

CS39521 34960

Montpellier Cedex 2

FRANCE

Tel : +33 1 46 01 03

27

Buro Club Toulouse Saint Martin

12, rue Caulet – Bâtiment A08

31300 Toulouse

FRANCE

Tel : +33 5 67 73 18 00

4700 rue de la Savane #216

H4P1T7 Montréal

CANADA

4962 El Camino Real

#201

Los Altos, CA 94022

USA

9 route du Colonel Marcel Moraine

Immeuble le Sirius

92360 Meudon la Forêt- FRANCE

Tel : +33 1 46 01 03 27

www.silkan.com

Dans sa grande clairvoyance, la DO-254/ED-80 nous propose

un diagramme permettant de lister les conditions et les activités nécessaires dans

l’évaluation et la qualification d’un outil. Le but du jeu est évidement de trouver le chemin le

plus rapide vers la sortie de ce labyrinthe.

Pour prendre la première porte de sortie, il suffit d’évaluer l’outil de manière

indépendante. L’idée principale est de vérifier les sorties de cet outil par d’autres

moyens ou d’autres outils. Par exemple, la simulation au niveau porte (simulation

gate) permet de s’assurer en partie du bon fonctionnement du synthétiseur. La

preuve formelle entre le RTL et la netlist est un autre moyen.

Pour résumer, dans ces cas, nous avons utilisé un deuxième outil afin de s’assurer

du bon fonctionnement du premier. A vos risques, vous pouvez aussi évaluer les

résultats de votre outil, manuellement, par revue des résultats, et par une personne

différente de l’auteur de l’outil. La DO-254 donne cette information dans une note

« Independent assessment of a verification tool’s output may include a manual

review of the tool outputs… ».

Chose importante à noter dans ce cas : cette activité est obligatoire quel que soit le

niveau d’assurance matérielle de votre système. C’est la porte de sortie recommandée dans

le cas d’un DAL A, mais c’est une activité nécessaire pour un DAL D.

La suite concerne seulement les niveaux plus élevés de DAL, A, B ou C pour les outils

participant à la conception.

La deuxième porte de sortie consiste à montrer suffisamment d’expérience sur l’outil

pour donner le crédit nécessaire à son utilisation dans un environnement DO-254.

Ces preuves de l’expérience passée sur l’outil doivent être remises dans le contexte

du projet, et de préférence en gardant les traces de l’identification de l’outil (sa

version) l’environnement dans lequel il est utilisé (système d’exploitation, matériel,…)

et en fournissant un manuel d’utilisateur. A vous de le justifier dans les plans et

auprès du certificateur.

Si vous n’êtes pas sorti du labyrinthe, la suite du processus sera plus problématique. Il y a

encore une chance pour les outils de vérification et de design en DAL C.

Si vous êtes dans le cas le plus sympa (i.e. outils de vérification), il vous suffit de

réaliser un dossier afin de vérifier le bon fonctionnement de l’outil. Un plan de test

contenant la stratégie, les procédures, les résultats avec une identification précise de

l’outil et les preuves du suivi des problèmes détectés lors de cette activité, le tout,

évidement appliqué au projet.

Dans l’autre cas, i.e. : outils de design en DAL A ou B. Laissez tomber !

2 Europarc Sainte Victoire

Le Canet – Bât 2

13590 Meyreuil

FRANCE

Parc Burospace

Bâtiment 2bis

Route de Gisy

91571 Bièvres Cedex

FRANCE

Tel : +33 1 69 35 03 03

Campus Teratec

2 rue de la Piquetterie

91680 Bruyères le Châtel

FRANCE

Tel : +33 1 46 01 03 27

Cap Omega

Rd Pt Benjamin Franklin

CS39521 34960

Montpellier Cedex 2

FRANCE

Tel : +33 1 46 01 03

27

Buro Club Toulouse Saint Martin

12, rue Caulet – Bâtiment A08

31300 Toulouse

FRANCE

Tel : +33 5 67 73 18 00

4700 rue de la Savane #216

H4P1T7 Montréal

CANADA

4962 El Camino Real

#201

Los Altos, CA 94022

USA

9 route du Colonel Marcel Moraine

Immeuble le Sirius

92360 Meudon la Forêt- FRANCE

Tel : +33 1 46 01 03 27

www.silkan.com

Les auteurs de la DO-254 nous mettent en garde avec un peu d’humour: « Using

such a design tool without independent assessment of the tool’s output or

establishing relevant history is discouraged, as it may prove to be a task as

challenging as the development of the hardware for which the tool is proposed

to be used ».

En conclusion, ces difficultés n’ont qu’un seul but : celui de garantir

notre sécurité, et ne doivent pas être un frein à l’introduction de nouveau outils. De nouveaux

outils sont developpés chaque jour, avec des répercussions sur notre métier autour de la

DO-254.

Les prochains articles traiteront aussi ce sujet passionnant que sont les outils.

Comment traiter le cas d’un outil permettant de faire l’anaylse de code

(elemental analysis), construire un dossier permettant la qualification d’un tel

outil et avec quelles données.

Comment qualifier le simulateur, le synthetiseur, le placeur-routeur et le

générateur de bis-stream en une seule activité et sans développer une série de

tests hardwares consommateur de temps et d’argent.

Enfin, comment s’assurer que l’environnement de vérification est bien capable de

détecter des erreurs.

Tout un programme que nous vous proposons de suivre dans de nos prochains articles.