Havacılık Elektroniğinde Tasarım Güvencesi: DO-254 Standardına Genel Bakış

Havacılık endüstrisinde güvenlik, ödün verilemez bir önceliktir. Uçuş güvenliğini sağlamak adına kullanılan donanımların güvenilirliği, belirli süreç standartlarına uyumla tescillenmektedir. Bu bağlamda RTCA/DO-254 (Avrupa’da ED-80 olarak bilinir), hava araçlarında kullanılan Programlanabilir Mantık Cihazları (PLD), Saha Programlanabilir Kapı Dizileri (FPGA) ve Uygulamaya Özel Entegre Devreler (ASIC) gibi karmaşık elektronik donanımların tasarım güvencesi için temel rehberdir.

Tasarım Güvencesi ve Kritiklik Seviyeleri (DAL)

Havacılık elektroniği donanımlarında Tasarım Güvence Seviyeleri (DAL), bir sistemin olası bir arıza durumunda uçak, mürettebat ve yolcular üzerindeki etkisinin ciddiyetine göre belirlenen bir kritiklik derecelendirmesidir. DO-254 standardı kapsamında tanımlanan bu seviyeler, en kritikten en az kritiğe doğru A'dan E'ye kadar beş kategoride sınıflandırılmaktadır.

Tasarım Güvence Seviyeleri ve Arıza Etkileri

DAL seviyeleri arasındaki temel farklar, sistemin başarısızlık ihtimali ve bu başarısızlığın sonuçları üzerinden şu şekilde tanımlanmaktadır:

• DAL A (Katastrofik): Arızanın uçağın kaybına veya ölümlere yol açabileceği sistemleri kapsar. Bu seviyedeki sistemler için uçuş saati başına 10^-9'dan daha az bir arıza olasılığı hedeflenir ve uçuş kontrolleri bu seviyeye örnektir.

• DAL B (Tehlikeli): Arızanın ciddi yaralanmalara veya uçağın güvenliğinde büyük bir düşüşe neden olabileceği seviyedir. Hedeflenen arıza oranı uçuş saati başına 10^-7'den azdır ve fren sistemleri bu grupta yer alır.

• DAL C (Majör): Arızanın mürettebat üzerinde stres veya yolcularda yaralanmalara yol açabileceği sistemlerdir. Arıza olasılığı 10^-5'ten az olmalıdır; yedekleme sistemleri bu seviyeye örnek gösterilebilir.

• DAL D (Minör): Arızanın yalnızca operasyonel zorluklara veya konfor kaybına neden olduğu, güvenlik üzerinde düşük etkili sistemlerdir. Yer navigasyon sistemleri bu kategoridedir.

• DAL E (Güvenlik Etkisi Yok): Arızanın uçuş güvenliği, mürettebat iş yükü veya yolcular üzerinde hiçbir olumsuz etkisinin olmadığı seviyedir. Yolcu eğlence sistemleri bu gruptadır ve güvenlik metriği aranmaz.

DAL Seviyelerine Göre Değişen Gereksinimler

Kritiklik seviyesi arttıkça, DO-254 sürecinin titizliği ve kanıtlanması gereken dokümantasyon miktarı da artmaktadır.

DAL A ve B İçin Ortak Sıkı Gereksinimler:

• Bağımsızlık (Independence): Doğrulama ve geçerleme faaliyetlerinin, tasarımı yapan kişiden farklı biri tarafından yürütülmesi veya en azından gözden geçirilmesi zorunludur.

• Gelişmiş Metotlar (Advanced Methods): DO-254 Ek B (Appendix B) uyarınca, karmaşık donanımlar için formal doğrulama veya güvenlik odaklı analizler gibi ileri yöntemlerin kullanılması gerekmektedir.

• Elemental Analiz: Tasarımın tüm mantıksal yapısının test edildiğini kanıtlamak amacıyla %100 HDL kod kapsama (statement and decision coverage) analizi yapılmalıdır.

• Dayanıklılık (Robustness) Testleri: Sistemin normal çalışma koşullarının dışındaki (anormal veya sınır koşullar) davranışları gereksinim olarak tanımlanmalı ve doğrulanmalıdır.

• COTS IP Analizi: Eğer tasarımda ticari hazır fikri mülkiyet (COTS IP) kullanılıyorsa, güvenlik açısından hassas kısımları belirlemek için güvenliğe özel analizler yürütülmelidir.

DAL C Gereksinimleri: 

DAL C seviyesindeki donanımlar için DAL A/B'ye kıyasla daha sınırlı bir hedef seti uygulanır. Detaylı tasarım aşamasında, tasarımın gereksinimleri karşılamasının yanı sıra donanım tasarım standartlarına uygunluğunun gösterilmesi yeterli görülmektedir.

DAL D ve E Gereksinimleri: 

DAL D seviyesi için standart DO-254 süreçlerinin tamamı zorunlu değildir; bu seviyedeki donanımların yalnızca temel işlevlerini yerine getirdiğinin doğrulanması genellikle yeterlidir. DAL E için ise genellikle özel bir geliştirme güvencesi süreci talep edilmez.

Özetle, DAL A ve B seviyeleri DO-254 standardının en katı süreçlerine tabi tutulurken, DAL C'den itibaren güvence gereksinimleri kademeli olarak hafifletilmektedir.

Donanım Yaşam Döngüsü Verileri ve Konfigürasyon Endeksleri

RTCA/DO-254 standardı kapsamında Donanım Yaşam Döngüsü Verileri ve Konfigürasyon Endeksleri, bir donanım tasarımının sertifikasyon otoritesi tarafından onaylanabilmesi için gerekli olan teknik kanıtları ve yapılandırma bilgilerini içeren dokümantasyon setidir.

Bu veriler ve endeksler temel olarak şu bileşenlerden oluşur:

1. Donanım Yaşam Döngüsü Verileri (Hardware Life Cycle Data)

Bu veri seti, planlama aşamasından ürünün tamamlanmasına kadar üretilen tüm teknik dokümanları kapsar:

• Planlama Verileri: Projenin ana yol haritasını belirleyen Sertifikasyon için Donanım Yönleri Planı (PHAC) bu grubun en kritik belgesidir. Ayrıca Donanım Geliştirme Planı, Doğrulama Planı ve Konfigürasyon Yönetim Planı gibi belgeleri içerir.

• Tasarım Standartları: Donanım Tasarım Standartları ve HDL Kodlama Standartları, tasarımın tutarlılığını sağlamak için oluşturulan rehberlerdir.

• Tasarım Temsili Verileri (Design Representation Data): Kavramsal tasarım (mimari ve blok diyagramlar) ve Detaylı Tasarım Verileri (RTL kodu ve netlist gibi) bu kategoride yer alır.

• Doğrulama ve Geçerleme (V&V) Verileri: Gereksinimlere dayalı test vakaları, test prosedürleri ve bu testlerin çıktılarını içeren raporlardır.

• Süreç ve Analiz Kayıtları: Donanım Süreç Güvence kayıtları ile tasarımın gözden geçirme ve analiz (Hardware Review and Analysis) sonuçlarını kapsar.

• Donanım Başarı Özeti (HAS): Projenin sonunda, tüm süreçlerin planlara uygunluğunu ve hedeflere ulaşıldığını belgeleyen final dokümanıdır.

2. Konfigürasyon Endeksleri (Configuration Indices)

Konfigürasyon endeksleri, ürünün tam olarak hangi parçalardan ve hangi araç ortamında üretildiğini tanımlayarak tekrarlanabilirliği (repeatability) sağlar.

• Donanım Konfigürasyon Endeksi (HCI - Hardware Configuration Index):

Donanım konfigürasyonunu, gömülü mantığı (embedded logic) ve yaşam döngüsü verilerini tamamen tanımlayan ana dokümandır. Tasarım sürecindeki tüm bileşenlerin (kodlar, belgeler, donanım versiyonları) mevcut durumunu listeler.

• Donanım Ortamı Konfigürasyon Endeksi (HECI - Hardware Environment Configuration Index):

Donanımın geliştirildiği, sentezlendiği ve üretildiği araç ortamını (yazılım araçları, sürümler, işletim sistemleri vb.) tanımlar. HCI dokümanı içinde yer alabilir veya HCI tarafından referans gösterilebilir. Bu dokümanların temel amacı, donanımın her zaman aynı koşullarda yeniden üretilebileceğini garanti altına almak ve tüm tasarımın gereksinimlere olan izlenebilirliğini (traceability) kanıtlamaktır.

Gereksinim Odaklı Tasarım Döngüsü

DO-254, proaktif bir yaklaşım sergileyerek kalitenin tasarımın her aşamasına entegre edilmesini zorunlu kılar. Standart, donanım geliştirme sürecini belirli aşamalara ayırır:

1. Planlama: Projenin nasıl yürütüleceğini belirleyen ana doküman olan Sertifikasyon için Donanım Yönleri Planı (PHAC) bu aşamada oluşturulur.

2. Gereksinim Yakalama: Tüm donanım fonksiyonları yazılı gereksinimlere dökülmeli ve doğrulanabilir olmalıdır.

3. Kavramsal ve Detaylı Tasarım: Gereksinimlerin mimariye ve ardından RTL (Register Transfer Level) koduna dönüştürülmesini kapsar.

4. Uygulama ve Üretime Geçiş: Tasarımın fiziksel bir cihaza aktarılması ve seri üretime hazır hale getirilmesi süreçlerini içerir

Bu sürecin merkezinde izlenebilirlik (traceability) yer alır; her bir gereksinim tasarımın ilgili parçasına ve yapılan doğrulamalara bağlanmalıdır.

Doğrulama ve İleri Metotların Önemi

Karmaşık donanımlarda geleneksel simülasyon yöntemleri, tüm olası durum senaryolarını (corner cases) test etmekte yetersiz kalabilir. Örneğin, 1 milyon kapılı bir tasarımda tüm giriş kombinasyonlarını simüle etmek binlerce yıl sürebilir. Bu riskleri minimize etmek için kaynaklar, formal doğrulama (formal verification) gibi matematiksel analiz yöntemlerinin kullanılmasını tavsiye eder. Bu yöntem, tasarımın her koşulda gereksinimleri karşılayıp karşılamadığını matematiksel olarak ispatlayarak hata riskini en aza indirir.

Dokümantasyon

RTCA/DO-254 standardı kapsamında, bir donanım projesinin sertifikasyon sürecini belgelemek ve tasarım güvencesini kanıtlamak amacıyla geniş kapsamlı bir dokümantasyon seti hazırlanmaktadır. Bu dokümanlar genel olarak planlama, standartlar, yaşam döngüsü verileri ve sonuç özetleri olarak gruplandırılabilir.

1. Ana Planlama Dokümanları

Planlama aşamasında, projenin nasıl yürütüleceğini ve DO-254 hedeflerine nasıl ulaşılacağını belirleyen beş temel plan oluşturulur:

• Sertifikasyon için Donanım Yönleri Planı (PHAC): Projenin tüm yönlerini kapsayan, sertifikasyon otoritesi ile üzerinde mutabık kalınan ana planlama dokümanıdır.

• Donanım Geliştirme Planı (HDP): Tasarım sürecinin teknik detaylarını ve aşamalarını açıklar.

• Donanım Doğrulama Planı (HVP): Gereksinimlerin nasıl test edileceğini ve doğrulanacağını tanımlar.

• Donanım Konfigürasyon Yönetim Planı: Tasarım verilerinin, araçların ve dokümanların nasıl izleneceğini ve kontrol edileceğini belirler.

• Donanım Süreç Güvence Planı (veya Kalite Güvence Planı): PHAC ve diğer planlara uyumun nasıl denetleneceğini dökümante eder.

2. Donanım Tasarım Standartları

Tasarım sürecinde tutarlılığı sağlamak için belirli rehber dokümanlar doldurulur:

• Donanım Tasarım Standartları: Kavramsal ve detaylı tasarım kurallarını içerir.

• HDL Kodlama Standartları: RTL kodunun yazımında uyulacak kuralları belirler ve genellikle donanım tasarım standartlarının bir parçasıdır.

3. Donanım Yaşam Döngüsü Verileri (Life Cycle Data)

Tasarımın her aşamasında üretilen teknik veriler ve sonuç raporlarıdır:

• Gereksinim Dokümanları: Tüm donanım fonksiyonlarının tanımlandığı ve izlenebilirliğin sağlandığı temel veri setidir.

• Donanım Tasarım Temsili Verileri: Kavramsal tasarım blok diyagramlarını ve detaylı tasarım (RTL) verilerini içerir.

• Doğrulama ve Geçerleme Verileri: Test vakaları, test prosedürleri ve bu testlerin sonuçlarını içeren raporlardır.

• Donanım Gözden Geçirme ve Analiz Kayıtları: Yapılan iç denetimlerin ve gözden geçirmelerin (SOI denetimleri gibi) sonuçlarını içerir.

4. Konfigürasyon ve Özet Dokümanlar

Projenin sonunda, nihai ürünün durumunu özetleyen dökümanlar hazırlanır:

• Donanım Konfigürasyon Endeksi (HCI): Gömülü mantık dahil olmak üzere donanım konfigürasyonunu ve yaşam döngüsü verilerini tam olarak tanımlar.

• Donanım Ortamı Konfigürasyon Endeksi (HECI): Donanımın geliştirildiği ve üretildiği araç ortamını tanımlar.

• Donanım Başarı Özeti (HAS): Projenin PHAC'a uygunluğunu kanıtlayan ve varsa sapmaları listeleyen final dokümanıdır.

Ayrıca, kullanılan araçların (simülasyon, sentez vb.) güvenilirliğini kanıtlamak için Araç Değerlendirme ve Kalifikasyon (Tool Assessment and Qualification) dokümanlarının da hazırlanması gerekebilir

 Gereksinim Odaklı Tasarım Döngüsü

DO-254, proaktif bir yaklaşım sergileyerek kalitenin tasarımın her aşamasına entegre edilmesini zorunlu kılar. Standart, donanım geliştirme sürecini belirli aşamalara ayırır:

1. Planlama

Projenin nasıl yürütüleceğini belirleyen ana doküman olan Sertifikasyon için Donanım Yönleri Planı (PHAC) bu aşamada oluşturulur.

2. Gereksinim Yakalama

Tüm donanım fonksiyonları yazılı gereksinimlere dökülmeli ve doğrulanabilir olmalıdır.

3. Kavramsal ve Detaylı Tasarım

Gereksinimlerin mimariye ve ardından RTL (Register Transfer Level) koduna dönüştürülmesini kapsar.

4. Uygulama ve Üretime Geçiş

Tasarımın fiziksel bir cihaza aktarılması ve seri üretime hazır hale getirilmesi süreçlerini içerir. Bu sürecin merkezinde izlenebilirlik (traceability) yer alır; her bir gereksinim tasarımın ilgili parçasına ve yapılan doğrulamalara bağlanmalıdır.

Doğrulama ve İleri Metotların Önemi

Karmaşık donanımlarda geleneksel simülasyon yöntemleri, tüm olası durum senaryolarını (corner cases) test etmekte yetersiz kalabilir. Örneğin, 1 milyon kapılı bir tasarımda tüm giriş kombinasyonlarını simüle etmek binlerce yıl sürebilir. Bu riskleri minimize etmek için kaynaklar, formal doğrulama (formal verification) gibi matematiksel analiz yöntemlerinin kullanılmasını tavsiye eder. Bu yöntem, tasarımın her koşulda gereksinimleri karşılayıp karşılamadığını matematiksel olarak ispatlayarak hata riskini en aza indirir.

KAYNAKÇA

• A CASE-STUDY APPLICATION OF RTCA DO-254: DESIGN ASSURANCE GUIDANCE FOR AIRBORNE ELECTRONIC HARDWARE / Paul S. Miner, Victor A. Carreño, Mahyar Malekpour, and Wilfredo Torres NASA Langley Research Center, Hampton, VA

• Development Assurance for Airborne Electronic Hardware / U.S. Department of Transportation Federal Aviation Admi nistration