La Qualification des outils dans environnement DO-254
-
Upload
silkan -
Category
Technology
-
view
403 -
download
1
description
Transcript of La Qualification des outils dans environnement DO-254
LA DO-254 ET LES OUTILS
LE CONTEXTE
Dans la continuité de nos articles autour de la mise en œuvre de la DO-254, nous allons
aborder aujourd’hui le sujets des ‘outils’ dans un environnement satisfaisant les exigences
de la DO-254. Je vous informe aussi qu’une compilation des sujets précédemment écrit par
mon prédécesseur peut être téléchargée sur notre site internet (cf.
http://www.silkan.com/download/white-papers/),
Depuis les premiers jours de l’homme, nous n’avons jamais cessé de
chercher des solutions afin de faciliter notre travail, en d’autres mots de compenser nos
limites intrinsèques (force physique ou capacité intellectuelle,…) dans le but de repousser
les limites de notre imagination et donc de créer des systèmes de plus en plus complexes.
Pour la définition de ‘complexe’ vous pouvez vous rapprocher du certification memo de
l’EASA qui stipule : « A hardware device is considered simple … if the logic is simple
enough to comprehend without the aid of analytical tools ». Vous pouvez aussi
télécharger l’article qui traite de l’évaluation Simple ou Complexe sur notre site web. Le
message est donc double :
- Si vous utilisez des outils d’analyses alors votre composant est complexe.
- Des outils d’analyses sont nécessaires lors du développement d’un composant
complexe.
Bref, de nos jours, personne n’envisage de développer un FPGA ou, à plus forte raison
un ASIC sans des outils, que ce soit pour une application critique (notre cas) ou pas.
On peut classer ces outils dans différentes catégories en fonction
de leur valeur ajouté et surtout de l’impact sur la sureté de fonctionnement du système.
Attention, par outil, on entend tous les outils, logiciels comme matériels.
2 Europarc Sainte Victoire
Le Canet – Bât 2
13590 Meyreuil
FRANCE
Parc Burospace
Bâtiment 2bis
Route de Gisy
91571 Bièvres Cedex
FRANCE
Tel : +33 1 69 35 03 03
Campus Teratec
2 rue de la Piquetterie
91680 Bruyères le Châtel
FRANCE
Tel : +33 1 46 01 03 27
Cap Omega
Rd Pt Benjamin Franklin
CS39521 34960
Montpellier Cedex 2
FRANCE
Tel : +33 1 46 01 03
27
Buro Club Toulouse Saint Martin
12, rue Caulet – Bâtiment A08
31300 Toulouse
FRANCE
Tel : +33 5 67 73 18 00
4700 rue de la Savane #216
H4P1T7 Montréal
CANADA
4962 El Camino Real
#201
Los Altos, CA 94022
USA
9 route du Colonel Marcel Moraine
Immeuble le Sirius
92360 Meudon la Forêt- FRANCE
Tel : +33 1 46 01 03 27
www.silkan.com
Dans la première catégorie, clairement la plus critique, se trouvent les outils qui
participent à la conception du système embarqué (les outils de design). Par
exemple un outil d’aide à la conception ou un outil d’automatisation qui peut
insérer des erreurs et donc des défaillances dans l’équipement final.
La seconde catégorie regroupe les outils de vérification, qui peuvent ne pas
détecter les erreurs introduites pendant les différentes activités de conception.
C’est en fait la majorité de nos outils, celle dont l’utilisation est recommandée par
la DO-254/ED-80. Par exemple pour les activités de simulation du code
RTL/gate: « As the complexity of the hardware design increases, it is
advantageous to make use of computerized tools, such as simulation to
verify requirements and implementation of the design ». Et aussi pour
s’assurer du respect des standards: « Tools may be used to enforce
standards ».
C’est aussi dans cette catégorie que l’on classe les outils « matériels ». Ces
outils permettent la réalisation de bancs de test afin de s’assurer de la bonne
implémentation du besoin.
Enfin, la troisième catégorie, c’est celle des outils liés aux activités de support
comme la gestion des faits techniques, des évolutions, de contrôle des révisions
et bien d’autres.
Fidèle à la règle qui stipule que le développement logiciel a toujours quelques années
d’avance, la DO-178C/ED-12C va plus loin dans la définition des catégories et de l’impact
sur la qualification des outils (voir la DO-330/ED-215) là où la DO-254 se limite pour l’instant,
à deux catégories :
- Outils de Design pour les niveaux de DAL A ou B.
- Outils de Design pour les niveaux de DAL C ou de Vérification pour les niveaux
de DAL A ou B.
EVALUATION ET QUALIFICATION DES OUTILS
Depuis le début de notre activité en 2010, régulièrement des fournisseurs d’outils nous
demandent de l’aide pour adapter leur outil aux exigences de la DO-254. Et bien sûr
rapidement ils nous demandent un « dossier de qualification ».
Avant toute chose le but de cette activité est de s’assurer que l’outil est
capable de réaliser la tâche pour laquelle il est destiné. Que l’on peut lui accorder un niveau
de confiance acceptable. La DO-254 nous explique que: « The purpose of tool
2 Europarc Sainte Victoire
Le Canet – Bât 2
13590 Meyreuil
FRANCE
Parc Burospace
Bâtiment 2bis
Route de Gisy
91571 Bièvres Cedex
FRANCE
Tel : +33 1 69 35 03 03
Campus Teratec
2 rue de la Piquetterie
91680 Bruyères le Châtel
FRANCE
Tel : +33 1 46 01 03 27
Cap Omega
Rd Pt Benjamin Franklin
CS39521 34960
Montpellier Cedex 2
FRANCE
Tel : +33 1 46 01 03
27
Buro Club Toulouse Saint Martin
12, rue Caulet – Bâtiment A08
31300 Toulouse
FRANCE
Tel : +33 5 67 73 18 00
4700 rue de la Savane #216
H4P1T7 Montréal
CANADA
4962 El Camino Real
#201
Los Altos, CA 94022
USA
9 route du Colonel Marcel Moraine
Immeuble le Sirius
92360 Meudon la Forêt- FRANCE
Tel : +33 1 46 01 03 27
www.silkan.com
assessment and qualification is to ensure that the tool is capable of performing the
particular design or verification activity to an acceptable level of confidence for which
the tool will be used. ».
Je n’aborderai pas le sujet du niveau acceptable qu’il faut atteindre car il pourrait nous
faire débattre au moins jusqu’à la prochaine révision de notre document de référence : la
DO-254. Dans ce même document une petite note qui pourrait bien être oubliée a toute son
importance : « This assessment activity focuses as much or more on the application of
the tool as the tool itself ». Encore une fois, les notes et annexes font la différence.
La qualification de l’outil doit se faire dans le cadre de son utilisation et de son
environnement, et évidemment avant la mise en œuvre dans un projet DO-254.
Quel outil et pourquoi faire ?
Avant tout il faudra s’assurer de bien définir le périmètre exact de l’utilisation de l’outil.
L’évaluation et la qualification devra être maintenu dans le temps tout au long du projet.
Entre autre, voici des activités à réaliser et les données à fournir afin de donner un maximum
de crédit lors de la certification de votre équipement :
- Les données d’identifications des outils doivent se trouver en configuration.
Dans l’HECI (Hardware Environment Configuration Index) par exemple. Mais
aussi dans le HCMP (Hardware Configuration Management Plan) pour l’outil de
contrôle de révision.
- Des règles concernant l’utilisation des outils peuvent être présentes dans les
standards (HDS : Hardware Design Standard)
- Pour chaque outil, l’environnement matériel et/ou logiciel avec ses procédures
d’utilisation devra être précisé. Ces données seront à placer principalement
dans les plans du projet, HDP (Plan de développement), HVVP (Plan de
Validation et Vérification), PHAC (Plan for Hardware Aspects of Certification),
par exemple.
- Fournir un maximum de preuves concernant l’utilisation de l’outil sur une période
suffisamment longue permettant de s’assurer de son fonctionnement et de sa
bonne utilisation.
- Les limitations (errata list) et les changements de version d’un outil doivent être
enregistrés et suivis afin d’engager des actions correctives si nécessaires.
- Le manuel d’utilisateur de l’outil incluant les procédures à suivre doit aussi faire
partie du dossier à présenter aux autorités de certification.
- La définition d’un responsable des outils et souvent un moyen de garantir la
bonne utilisation d’un outil sur un projet.
2 Europarc Sainte Victoire
Le Canet – Bât 2
13590 Meyreuil
FRANCE
Parc Burospace
Bâtiment 2bis
Route de Gisy
91571 Bièvres Cedex
FRANCE
Tel : +33 1 69 35 03 03
Campus Teratec
2 rue de la Piquetterie
91680 Bruyères le Châtel
FRANCE
Tel : +33 1 46 01 03 27
Cap Omega
Rd Pt Benjamin Franklin
CS39521 34960
Montpellier Cedex 2
FRANCE
Tel : +33 1 46 01 03
27
Buro Club Toulouse Saint Martin
12, rue Caulet – Bâtiment A08
31300 Toulouse
FRANCE
Tel : +33 5 67 73 18 00
4700 rue de la Savane #216
H4P1T7 Montréal
CANADA
4962 El Camino Real
#201
Los Altos, CA 94022
USA
9 route du Colonel Marcel Moraine
Immeuble le Sirius
92360 Meudon la Forêt- FRANCE
Tel : +33 1 46 01 03 27
www.silkan.com
Dans sa grande clairvoyance, la DO-254/ED-80 nous propose
un diagramme permettant de lister les conditions et les activités nécessaires dans
l’évaluation et la qualification d’un outil. Le but du jeu est évidement de trouver le chemin le
plus rapide vers la sortie de ce labyrinthe.
Pour prendre la première porte de sortie, il suffit d’évaluer l’outil de manière
indépendante. L’idée principale est de vérifier les sorties de cet outil par d’autres
moyens ou d’autres outils. Par exemple, la simulation au niveau porte (simulation
gate) permet de s’assurer en partie du bon fonctionnement du synthétiseur. La
preuve formelle entre le RTL et la netlist est un autre moyen.
Pour résumer, dans ces cas, nous avons utilisé un deuxième outil afin de s’assurer
du bon fonctionnement du premier. A vos risques, vous pouvez aussi évaluer les
résultats de votre outil, manuellement, par revue des résultats, et par une personne
différente de l’auteur de l’outil. La DO-254 donne cette information dans une note
« Independent assessment of a verification tool’s output may include a manual
review of the tool outputs… ».
Chose importante à noter dans ce cas : cette activité est obligatoire quel que soit le
niveau d’assurance matérielle de votre système. C’est la porte de sortie recommandée dans
le cas d’un DAL A, mais c’est une activité nécessaire pour un DAL D.
La suite concerne seulement les niveaux plus élevés de DAL, A, B ou C pour les outils
participant à la conception.
La deuxième porte de sortie consiste à montrer suffisamment d’expérience sur l’outil
pour donner le crédit nécessaire à son utilisation dans un environnement DO-254.
Ces preuves de l’expérience passée sur l’outil doivent être remises dans le contexte
du projet, et de préférence en gardant les traces de l’identification de l’outil (sa
version) l’environnement dans lequel il est utilisé (système d’exploitation, matériel,…)
et en fournissant un manuel d’utilisateur. A vous de le justifier dans les plans et
auprès du certificateur.
Si vous n’êtes pas sorti du labyrinthe, la suite du processus sera plus problématique. Il y a
encore une chance pour les outils de vérification et de design en DAL C.
Si vous êtes dans le cas le plus sympa (i.e. outils de vérification), il vous suffit de
réaliser un dossier afin de vérifier le bon fonctionnement de l’outil. Un plan de test
contenant la stratégie, les procédures, les résultats avec une identification précise de
l’outil et les preuves du suivi des problèmes détectés lors de cette activité, le tout,
évidement appliqué au projet.
Dans l’autre cas, i.e. : outils de design en DAL A ou B. Laissez tomber !
2 Europarc Sainte Victoire
Le Canet – Bât 2
13590 Meyreuil
FRANCE
Parc Burospace
Bâtiment 2bis
Route de Gisy
91571 Bièvres Cedex
FRANCE
Tel : +33 1 69 35 03 03
Campus Teratec
2 rue de la Piquetterie
91680 Bruyères le Châtel
FRANCE
Tel : +33 1 46 01 03 27
Cap Omega
Rd Pt Benjamin Franklin
CS39521 34960
Montpellier Cedex 2
FRANCE
Tel : +33 1 46 01 03
27
Buro Club Toulouse Saint Martin
12, rue Caulet – Bâtiment A08
31300 Toulouse
FRANCE
Tel : +33 5 67 73 18 00
4700 rue de la Savane #216
H4P1T7 Montréal
CANADA
4962 El Camino Real
#201
Los Altos, CA 94022
USA
9 route du Colonel Marcel Moraine
Immeuble le Sirius
92360 Meudon la Forêt- FRANCE
Tel : +33 1 46 01 03 27
www.silkan.com
Les auteurs de la DO-254 nous mettent en garde avec un peu d’humour: « Using
such a design tool without independent assessment of the tool’s output or
establishing relevant history is discouraged, as it may prove to be a task as
challenging as the development of the hardware for which the tool is proposed
to be used ».
En conclusion, ces difficultés n’ont qu’un seul but : celui de garantir
notre sécurité, et ne doivent pas être un frein à l’introduction de nouveau outils. De nouveaux
outils sont developpés chaque jour, avec des répercussions sur notre métier autour de la
DO-254.
Les prochains articles traiteront aussi ce sujet passionnant que sont les outils.
Comment traiter le cas d’un outil permettant de faire l’anaylse de code
(elemental analysis), construire un dossier permettant la qualification d’un tel
outil et avec quelles données.
Comment qualifier le simulateur, le synthetiseur, le placeur-routeur et le
générateur de bis-stream en une seule activité et sans développer une série de
tests hardwares consommateur de temps et d’argent.
Enfin, comment s’assurer que l’environnement de vérification est bien capable de
détecter des erreurs.
Tout un programme que nous vous proposons de suivre dans de nos prochains articles.