Aé­ro­nau­tique: mieux com­prendre la norme DO-254

Ré­pondre aux exi­gences de la norme DO-254 peut s’avé­rer la­bo­rieux et oné­reux. Mais une fa­mi­lia­ri­sa­tion et une pla­ni­fi­ca­tion adé­quates en amont peuvent fa­ci­li­ter consi­dé­ra­ble­ment le pro­ces­sus condui­sant à l’agré­ment DO-254.

Electronique S - - Sommaire - DA­VID LANDOLL (CA­DENCE) Ba­sé à Aus­tin (Texas), Da­vid Landoll est ar­chi­tecte so­lu­tions chez Ca­dence De­si­gn Sys­tems et membre du Groupe d’uti­li­sa­teurs de la norme DO-254. Il a préa­la­ble­ment oc­cu­pé des fonc­tions de res­pon­sable tech­nique chez Men­tor Gra­phics

Se­lon plu­sieurs sources in­dus­trielles, un pro­jet conforme à la norme DO-254 peut coû­ter 1,5 à 4 fois plus cher que le même pro­jet qui s’en af­fran­chit. Pour­quoi ce sur­coût ? La plu­part du temps, cette mul­ti­pli­ca­tion par quatre est le ré­sul­tat d’un manque d’ex­pé­rience vis-à-vis de cette norme, au­quel peut s’ajou­ter l’in­suf­fi­sance de mé­tho­do­lo­gies et de pro­cé­dures par rap­port à un flux struc­tu­ré conforme à la DO-254. De sur­croît, l’ab­sence de pla­ni­fi­ca­tion adé­quate du pro­jet et des élé­ments ve­nant at­tes­ter la confor­mi­té du pro­ces­sus glo­bal peut se tra­duire par des au­dits né­ga­tifs né­ces­si­tant une re­prise de concep­tion et de nou­velles vé­ri­fi­ca­tions – au­tant de casse-tête nou­veaux en pers­pec­tive. Il est pour­tant pos­sible d’éla­bo­rer des pro­jets conformes à la DO-254 sans dé­pas­ser les ob­jec­tifs ca­len­daires et bud­gé­taires. Un pro­jet conforme, bien planifié et exé­cu­té, coû­te­ra certes da­van­tage et pren­dra plus de temps qu’un pro­jet qui ignore cette norme. Mais il y a des moyens de li­mi­ter les coûts de ma­nière ac­cep­table. En­core faut-il d’abord se fa­mi­lia­ri­ser avec les concepts et élé­ments.

À quoi sert la DO-254?

Pour dire les choses sim­ple­ment, la DO-254 est une norme de sé­cu­ri­té orien­tée pro­ces­sus qui énu­mère dif­fé­rentes exi­gences et s’ap­plique à l’élec­tro­nique ins­tal­lée à bord des aé­ro­nefs. D’un point de vue concep­tuel, elle concerne tous les sys­tèmes élec­tro­niques équi­pant les di­vers ma­té­riels vo­lants sus­cep­tibles de s’écra­ser au sol, avec des risques conco­mi­tants pour le pu­blic. En fonc­tion de leur ni­veau de cri­ti­ci­té pour la sé­cu­ri­té, les dif­fé­rentes par­ties d’un aé­ro­nef se voient at­tri­buer des ni­veaux d’as­su­rance spé­ci­fiques, les DAL (De­si­gn As­su­rance Le­vels). Un sys­tème ex­trê­me­ment cri­tique hé­rite d’un DAL plus éle­vé, la dé­si­gna­tion DAL A étant ré­ser­vée aux sys­tèmes les plus sen­sibles. Cette cri­ti­ci­té est dé­ter­mi­née par une éva­lua­tion de la sé­cu­ri­té de l ’ aé­ro­nef et des sys­tèmes en in­ter­ac­tion, afin d’éta­blir le taux d’échecs ci­blé. Dans le cadre de la DO-254, la dif­fé­rence entre DAL A et B est mi­nime, rai­son pour la­quelle on y fait fré­quem­ment ré­fé­rence sous l’ap­pel­la­tion cou­plée « DAL A/B » dans dif­fé­rents do­cu­ments. La DO-254 étant une norme orien­tée pro­ces­sus, il est im­por­tant de com­prendre le sché­ma gé­né­ral de la fi­gure 1 et le sy­nop­tique de la fi­gure 2, que les au­to­ri­tés de cer­ti­fi­ca­tion sont en droit d’at­tendre. En­ta­mons notre che­mi­ne­ment dans ce pro­ces­sus pour en ex­pli­ci­ter cha­cune des étapes.

Pla­ni­fi­ca­tion

La pla­ni­fi­ca­tion est un vo­let cri­tique de la cer­ti­fi­ca­tion DO-254. Il est im­por­tant de do­cu­men­ter en amont le sché­ma gé­né­ral du pro­jet et de se rap­pro­cher du res­pon­sable de la cer­ti­fi­ca­tion afin d’ob­te­nir son aval dès la phase ini­tiale. Les plans de haut ni­veau sont gé­né­ra­le­ment do­cu­men­tés dans le Plan for Hard­ware As­pects of Cer­ti­fi­ca­tion ou PHAC. Il doit in­clure les dif­fé­rents as­pects du pro­jet, et la ma­nière dont on compte sa­tis­faire aux exi­gences de la DO-254.

Exi­gences et va­li­da­tion

En termes de concep­tion et de vé­ri­fi­ca­tion, la norme DO-254 adopte une ap­proche ba­sée sur les exi­gences. Ce­la si­gni­fie que l’en­semble du pro­jet ma­té­riel s’ar­ti­cule au­tour d’un jeu for­mel d’exi­gences de haut ni­veau. Avant l’éla­bo­ra­tion d’un RTL, cha­cune des exi­gences doit être écrite, se

voir at­tri­buer une ré­fé­rence unique et être exa­mi­née afin de pas­ser en re­vue dif­fé­rents cri­tères, no­tam­ment les as­pects liés à la com­pré­hen­sion glo­bale, aux ca­pa­ci­tés de test et de vé­ri­fi­ca­tion, etc.

Concep­tion

Au stade de la concep­tion, un pro­jet de grande am­pleur se­ra dé­com­po­sé en élé­ments plus pe­tits et donc plus ai­sé­ment gé­rables. Ce­la peut être, par exemple, un sy­nop­tique de haut ni­veau. Pour un sys­tème re­la­ti­ve­ment simple, la phase de concep­tion peut être contour­née ou fu­sion­née avec la phase de concep­tion dé­taillée.

Concep­tion dé­taillée

C’est pen­dant cette phase qu’in­ter­vient le vé­ri­table tra­vail de concep­tion. Pour chaque élé­ment dé­taillé dans la phase pré­cé­dente de concep­tion, la des­crip­tion ma­té­rielle RTL doit im­plé­men­ter cha­cune des exi­gences re­quises et chaque exi­gence de haut ni­veau doit être « tra­cée » jus­qu’au mo­dule RTL qui im­plé­mente cette exi­gence. Cette tra­ça­bi­li­té pou­vant être mise en oeuvre de di­verses ma­nières, il in­combe à l’équipe en charge de l’im­plé­men­ta­tion de dé­ter­mi­ner l’ap­proche sou­hai­tée. L’équipe en charge de la vé­ri­fi­ca­tion doit éla­bo­rer sé­pa­ré­ment des tests per­met­tant de s’as­su­rer que chaque exi­gence a bien été sa­tis­faite par le RTL, y com­pris un mes­sage dans le fi­chier jour­nal mon­trant le ré­sul­tat at­ten­du, le ré­sul­tat ef­fec­tif ap­pa­rais­sant dans la si­mu­la­tion, et le ré­sul­tat fi­nal (réus­site/échec). Chaque test doit éga­le­ment être as­so­cié à l’exi­gence de haut ni­veau, y com­pris les cri­tères de réus­site/échec (tous doivent bien sûr être réus­sis). Des es­sais aléa­toires contraints peuvent éga­le­ment être mis en oeuvre pour les concep­tions plus com­plexes. Il convient tou­te­fois d’être très at­ten­tif à la créa­tion d’élé­ments de cou­ver­ture de vé­ri­fi­ca­tion sup­plé­men­taires as­so­ciés à l’en­semble des exi­gences. Si vous uti­li­sez un ou­til de vé­ri­fi­ca­tion avan­cé comme la pla­te­forme Ca­dence vMa­na­ger Me­tric-Dri­ven Si­gnoff, l’au­to­ma­ti­sa­tion de tra­ça­bi­li­té ad­di­tion­nelle re­quise est alors in­té­grée à l’ou­til.

Im­plé­men­ta­tion

Le pro­ces­sus d’im­plé­men­ta­tion est de toute évi­dence spé­ci­fique à la tech­no­lo­gie uti­li­sée. Pour une concep­tion ba­sée sur du RTL (cir­cuits FPGA ou ASIC), la phase d’im­plé­men­ta­tion in­clut le pro­ces­sus de syn­thèse pour la conver­sion du RTL en portes lo­giques réelles, spé­ci­fiques à la tech­no­lo­gie. Dans le cas d’un cir­cuit FPGA, ce­la in­clut éga­le­ment la créa­tion du fi­chier de pro­gram­ma­tion qui se­ra char­gé dans le FPGA. Pour un cir­cuit ASIC, cette phase in­clut les étapes de concep­tion/vé­ri­fi­ca­tion de back-end (pla­ce­ment, rou­tage, vé­ri­fi­ca­tion phy­sique, etc.). Le point prin­ci­pal consiste ici à suivre le pro­ces­sus dé­taillé en amont dans le PHAC. La norme DO-254 per­met de res­ter à haut ni­veau tout en do­cu­men­tant les ac­ti­vi­tés pen­dant l’im­plé- men­ta­tion (no­tam­ment pour l’ASIC). La rai­son est simple : des tests im­por­tants se­ront ef­fec­tués au ni­veau de la concep­tion fi­nale.

Trans­fert vers la pro­duc­tion

Il s’agit ici de l’étape fi­nale, lorsque la concep­tion est trans­fé­rée à la fa­bri­ca­tion. Cette phase couvre gé­né­ra­le­ment plu­sieurs as­pects, tels que: - s’as­su­rer que l’on uti­lise la ver­sion cor­recte du fi­chier de pro­gram­ma­tion pen­dant le pro­ces­sus de fa­bri­ca­tion (FPGA) - s’as­su­rer que l’on uti­lise le bon com­po­sant (ASIC et FPGA) - s’as­su­rer que tous les er­ra­ta sont trai­tés de ma­nière ap­pro­priée Cette par­tie du pro­ces­sus peut s’avé­rer pas­sa­ble­ment com­plexe et im­pli­quer plu­sieurs sys­tèmes re­mon­tant des in­for­ma­tions aux ou­tils de ges­tion d’exi­gences (tel que IBM DOORS). Il est donc très im­por­tant de veiller à ce que le sys­tème fi­nal re­çoive les ré­sul­tats de tous les pro­ces­sus.

As­su­rance des pro­ces­sus

Outre votre plan qui se­ra conforme à la DO-254, vous de­vez éga­le­ment étayer la ma­nière dont vous al­lez vous y confor­mer, gé­né­ra­le­ment par le biais d’une As­su­rance Pro­ces­sus ou d’une As­su­rance Qua­li­té. Ce plan pré­cise la per­sonne ou l’au­to­ri­té res­pon­sable de l’As­su­rance Pro­ces­sus qui va contre-vé­ri­fier que le PHAC et autres plans sont bien sui­vis, et la ma­nière dont cette vé­ri­fi­ca­tion se­ra réa­li­sée.

Il est im­por­tant de se rap­pe­ler que vous de­vez être en me­sure de prou­ver que cette vé­ri­fi­ca­tion a ef­fec­ti­ve­ment eu lieu, gé­né­ra­le­ment en conser­vant une trace écrite des réunions in­ternes, re­vues, au­dits, etc. Le res­pon­sable de la cer­ti­fi­ca­tion at­tend gé­né­ra­le­ment que cette as­su­rance soit réa­li­sée par une per­sonne ou un or­ga­nisme qua­li­fié et in­dé­pen­dant ( par exemple quel­qu’un dis­po­sant des connais­sances né­ces­saires en ma­tière de concep­tion/vé­ri­fi­ca­tion, mais ex­té­rieur à l’équipe de concep­tion ou de vé­ri­fi­ca­tion). Cette per­sonne ou cet or­ga­nisme doit éga­le­ment avoir le ni­veau d’au­to­ri­té re­quis pour réa­li­ser ce pro­ces­sus, et avoir ac­cès aux in­gé­nieurs et à l’en­vi­ron­ne­ment de concep­tion.

Ges­tion de la confi­gu­ra­tion

Outre le plan d’As­su­rance Pro­ces­sus, vous de­vez éga­le­ment éla­bo­rer un plan de Ges­tion de la Confi­gu­ra­tion dans le­quel vous pré­ci­se­rez la ma­nière dont vous al­lez as­su­rer la ré­pé­ta­bi­li­té du pro­ces­sus de dé­ve­lop­pe­ment et du pro­ces­sus de gé­né­ra­tion des ar­te­facts. Ce­la in­clut gé­né­ra­le­ment des sys­tèmes de contrôle de ré­vi­sion et de sui­vi des bugs pour tous les fi­chiers de concep­tion/vé­ri­fi­ca­tion, ain­si que l’en­semble de la do­cu­men­ta­tion et des do­cu­ments re­la­tifs aux ar­te­facts. La norme DO-254 sou­ligne l’im­por­tance de suivre tous les ar­te­facts de concep­tion pen­dant la to­ta­li­té du pro­ces­sus. Les res­pon­sables de la cer­ti­fi­ca­tion s’at­tendent à ce que les fi­chiers de concep­tion et de vé­ri­fi­ca­tion fassent l’ob­jet de nom­breuses ité­ra­tions. Tou­te­fois, dès lors que leur sta­bi­li­té est as­su­rée, vous de­vrez « ré­fé­ren­cer » (ba­se­line) la concep­tion. Dans les équi­pe­ments élec­tro­niques com­mer­ciaux clas­siques, ce­la cor­res­pond au « gel » de concep­tion – au­tre­ment dit, l’étape du ca­len­drier de dé­ve­lop­pe­ment où tout chan­ge­ment en­core à ve­nir fait l’ob­jet d’un contrôle étroit et d’une do­cu­men­ta­tion adé­quate, comme le montre la fi­gure 3.

Liai­son avec les au­to­ri­tés de cer­ti­fi­ca­tion

Une seule per­sonne est ha­bi­tuel­le­ment choi­sie comme prin­ci­pal re­lais de com­mu­ni­ca­tion avec les res­pon­sables de la cer­ti­fi­ca­tion. Ce point de contact unique per­met de fa­ci­li­ter les échanges et de s’as­su­rer que le res­pon­sable dis­pose d’une vi­sion claire de l’en­semble du pro­ces­sus de concep­tion. La per­sonne qui sert de liai­son doit gé­né­ra­le­ment bé­né­fi­cier d’une ex­pé­rience préa­lable de la norme DO-254 et of­frir les com­pé­tences re­quises pour com­mu­ni­quer les dé­tails de ma­nière à ce que le res­pon­sable de la cer­ti­fi­ca­tion puisse en ap­pré­hen­der ai­sé­ment les dif­fé­rents élé­ments.

Contrôles ci­blés

Bien que ne fi­gu­rant pas dans le sy­nop­tique de la fi­gure 1, les contrôles ci­blés consti­tuent un élé­ment cri­tique de la norme D0-254, et sont à ce titre une par­tie in­dis­pen­sable du sché­ma glo­bal. Dans la pers­pec­tive de la norme, toutes les vé­ri­fi­ca­tions ef­fec­tuées avec si­mu­la­teur re­posent sur un mo­dèle du dis­po­si­tif. Il n’existe tou­te­fois au­cune ga­ran­tie que le mo­dèle uti­li­sé pour la si­mu­la­tion cor­res­ponde ef­fec­ti­ve­ment à l’élec­tro­nique qui se­ra réel­le­ment ins­tal­lée à bord de l’aé­ro­nef. En outre, cette si­mu­la­tion, gé­né­ra­le­ment li­mi­tée, n’in­clut pas la phy­sique réelle du ma­té­riel, comme la ten­sion d’ali­men­ta­tion et les va­ria­tions de tem­pé­ra- ture, la dé­gra­da­tion du si­gnal, la charge ca­pa­ci­tive, etc. Afin de s’as­su­rer que l’élec­tro­nique fi­nale fonc­tionne comme pré­vu, vous de­vez, d’une ma­nière ou d’une autre, dé­mon­trer que le dis­po­si­tif pré­sent sur le sys­tème cible ins­tal­lé à bord de l’aé­ro­nef ré­pond ef­fec­ti­ve­ment aux exi­gences re­quises. Dans un monde idéal, le res­pon­sable de la cer­ti­fi­ca­tion sou­hai­te­rait voir toutes les exi­gences tes­tées sur le dis­po­si­tif fi­nal. Ce­la s’avère tou­te­fois im­pos­sible la plu­part du temps, dans la me­sure où il fau­drait pou­voir dis­po­ser d’une contrô­la­bi­li­té et d’une ca­pa­ci­té d’ob­ser­va­tion in­terne. En consé­quence, il vous est pos­sible de dé­ci­der com­ment vous comp­tez gé­rer cette ul­time pro­cé­dure de test, par rap­port aux exi­gences dé­fi­nies dans votre do­cu­ment PHAC, et en­ga­ger une dis­cus­sion ap­pro­fon­die avec votre res­pon­sable de la cer­ti­fi­ca­tion pour conve­nir d’un ac­cord.

Au­to­ri­tés de cer­ti­fi­ca­tion

Quelles sont ces « au­to­ri­tés de cer­ti­fi­ca­tion » aux­quelles il est ici ré­gu­liè­re­ment fait ré­fé­rence? Il y a de fait plu­sieurs per- sonnes avec les­quelles vous pou­vez être ame­nés à in­ter­agir tout au long de votre pro­jet. Les De­si­gna­ted En­gi­nee­ring Re­pre­sen­ta­tives (DER) et les Au­tho­ri­zed Re­pre­sen­ta­tives (AR) sont ha­bi­li­tés par la FAA à ap­prou­ver une concep­tion. Le DER consta­te­ra la confor­mi­té lorsque le pro­jet glo­bal se­ra ache­vé et que tout se­ra en place. Le DER est gé­né­ra­le­ment un con­sul­tant in­dé­pen­dant ou le col­la­bo­ra­teur d’une en­tre­prise. Quant à l’AR, son rôle est un peu plus ré­cent. C’est gé­né­ra­le­ment un sa­la­rié d’une plus grande en­tre­prise. Lors des au­dits d’agré­ment en vue de l’ob­ten­tion de la DO-254, vous au­rez donc à trai­ter avec un DER ou un AR. Il vous ap­par­tient de re­cru­ter l’un de ces re­pré­sen­tants of­fi­ciels si vous vous char­gez de gé­rer l’agré­ment de cer­ti­fi­ca­tion, mais mieux vaut vous ad­joindre les ser­vices de cette per­sonne au dé­but du pro­ces­sus de pla­ni­fi­ca­tion. La FAA dis­pose éga­le­ment de res­pon­sables de la cer­ti­fi­ca­tion sur aé­ro­nef, les ACO (Air­craft Cer­ti­fi­ca­tion Of­fi­cers) qui ont pour mis­sion de four­nir conseils et di­rec­tives sur les ac­ti­vi­tés as­so­ciées à la cer­ti­fi­ca­tion. Ils in­ter­viennent no­tam­ment lors des étapes sui­vantes: - agré­ment de concep­tion et ges­tion de la cer­ti­fi­ca­tion - agré­ments US pour la pro­duc­tion - ques­tions as­so­ciées à l’in­gé­nie­rie et à l’ana­lyse - en­quête et pu­bli­ca­tion de rap­ports sur les ac­ci­dents, in­ci­dents et pro­blèmes de main­te­nance sur aé­ro­nefs - su­per­vi­sion des DER

« Ce n’est pas en­core très clair… »

Com­prendre toutes les sub­ti­li­tés de la norme DO-254, et sa­voir com­ment ob­te­nir l’agré­ment cor­res­pon­dant, s’avère mal­heu­reu­se­ment plus com­pli­qué que d’avoir sim­ple­ment à té­lé­char­ger et à lire le do­cu­ment. En tout état de cause, la DO-254 ne re­pré­sente qu’une par­tie de l’his­toire. Des do­cu­ments com­plé­men­taires cla­ri­fient, re­streignent et li­mitent les ap­pli­ca­tions de la DO-254. De sur­croît, des do­cu­ments ont été créés ul­té­rieu­re­ment par d’autres or­ga­nismes, comme le CAST (Com­mer­cial Aviation Sa­fe­ty Team) et l’AESA (Agence eu­ro­péenne pour la sé­cu­ri­té aé­rienne), ain­si que des di­rec­tives ad­di­tion­nelles éta­blies par des construc­teurs aé­ro­nau­tiques comme Air­bus et Boeing. Il existe éga­le­ment des pra­tiques in­dus­trielles cou­ram­ment ac­cep­tées que les res­pon­sables de

la cer­ti­fi­ca­tion s’at­tendent à trou­ver. Une com­pré­hen­sion mi­ni­male de cha­cun de ces do­cu­ments, et de l’or­ga­nisme qui est en à l’ori­gine, s’avère donc im­por­tante, dans la me­sure où ces do­cu­ments li­mitent le champ d’ap­pli­ca­tion et cla­ri­fient dif­fé­rents dé­tails né­ces­saires pour me­ner à bien un pro­jet com­plet, conforme à la norme DO-254. La norme DO-254 a été éla­bo­rée dans les an­nées 90 par un co­mi­té RTCA, avec pour ob­jec­tif de s’ap­pli­quer à tous les ni­veaux des ma­té­riels, y com­pris les cir­cuits im­pri­més, les ré­sis­tances et les conden­sa­teurs, ain­si que di­vers cir­cuits comme les FPGA et les ASIC. Si vous con­sul­tez le site RTCA et té­lé­char­gez la norme DO-254, vous al­lez ra­pi­de­ment avoir l’im­pres­sion que le do­cu­ment s’ap­plique à un nombre si­gni­fi­ca­tif de com­po­sants élec­tro­niques in­clus dans votre propre sys­tème. Tou­te­fois, lorsque la FAA a dé­ci­dé en 2005 de rendre la DO-254 obli­ga­toire, elle a choi­si de li­mi­ter son ap­pli­ca­tion aux « com­po­sants mi­cro­co­dés per­son­na­li­sés com­plexes » – cir­cuits lo­giques PAL, PLD, FPGA et cir­cuits ASIC. Ce­la si­gni­fie, par exemple, qu’un cir­cuit ASIC ou FPGA qui équipe votre carte doit ré­pondre à cette norme, mais que la carte elle-même y échappe. Ce­la est ex­pli­qué dans le do­cu­ment FAA Ad­vi­so­ry Cir­cu­lar in­ti­tu­lé « AC 20-152 ». Pour com­pli­quer le tout, la FAA a ul­té­rieu­re­ment pu­blié l’Ordre 8110.105 pour ten­ter de cla­ri­fier les am­bi­guï­tés de la norme DO-254, et a ef­fec­ti­ve­ment re­mé­dié à plu­sieurs la­cunes. D’autres do­cu­ments as­so­ciés, comme l’AEH Job Aid4 qui ré­per­to­rie dif­fé­rents ques­tion­naires et ins­truc­tions, ont pour but d’ai­der les ob­ser­va­teurs au­to­ri­sés par la FAA à au­di­ter votre pro­jet de ma­té­riel élec­tro­nique em­bar­qué. D’autres do­cu­ments et or­ga­nismes de cer­ti­fi­ca­tion jouent éga­le­ment un rôle dans l’en­semble de ce pro­ces­sus, mais ceux que nous ve­nons de dé­crire sont les do­cu­ments les plus cri­tiques pour com­prendre l’idée gé­né­rale de la DO-254. Qui plus est, la norme DO-254 n’est pas une pres­crip­tion – elle énonce uni­que­ment ce qui doit être ob­te­nu, mais ne dit pas com­ment le faire.

Autres consi­dé­ra­tions

Bien que ce­la ne soit pas ex­pli­ci­te­ment dé­taillé dans la norme DO-254, les res­pon­sables de la cer­ti­fi­ca­tion s’at­tendent à ce que vous conce­viez un sys­tème ca­pable de faire face à des condi­tions par­ti­cu­liè­re­ment cri­tiques, telles que les évé­ne­ments sin­gu­liers sur des ma­chines d’états, la pro­tec­tion face à la cor­rup­tion de la mé­moire (ECC), la re­don­dance d’un bloc ou sous-sys­tème lorsque ju­gé né­ces­saire pour ré­duire le taux de panne, l’iso­la­tion élec­trique des dif­fé­rents cir­cuits DAL, de telle ma­nière qu’un DAL de bas ni­veau ne vienne pas per­tur­ber son ho­mo­logue de plus haut ni­veau, et beau­coup d’autres as­pects que re­quièrent des en­vi­ron­ne­ments à haut ni­veau de fia­bi­li­té. Il est im­por­tant de sou­li­gner ces su­jets pour lut­ter contre la per­cep­tion er­ro­née se­lon la­quelle la spé­ci­fi­ca­tion DO-254 est stric­te­ment orien­tée pro­ces­sus à l’ins­tar de l’ISO 90001. Dans vos plans, vous de­vez ar­ti­cu­ler chaque as­pect que vous êtes sus­cep­tible d’ajou­ter à une concep­tion de haut ni­veau et sa vé­ri­fi­ca­tion, pour ré­pondre aux be­soins d’un dis­po­si­tif es­sen­tiel à la sé­cu­ri­té, no­tam­ment si la concep­tion s’ins­crit dans le cadre du ni­veau de sé­cu­ri­té DAL A ou DAL B. Ne soyez pas sur­pris si l’au­to­ri­té de cer­ti­fi­ca­tion sou­lève des pro­blèmes que vous n’aviez pas en­core en­vi­sa­gés et, en toute lo­gique, s’at­tend à ce que vous ajus­tiez vos plans et mé­tho­do­lo­gie en consé­quence. Si c’est la pre­mière fois que vous réa­li­sez un pro­jet de­vant ré­pondre à la DO-254, et que ce­la vous pose quelques sou­cis, vous pou­vez éga­le­ment vous ad­joindre les ser­vices d’un DER qui in­ter­vien­dra comme con­sul­tant pour vous ai­der à éla­bo­rer vos plans ini­tiaux, et la mé­tho­do­lo­gie cor­res­pon­dante. Vous pour­rez ain­si évi­ter des sur­prises et de coû­teux re­tards dans le lan­ce­ment de votre pro­jet.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.