DO-254

Le standard RTCA DO-254/Eurocae ED-80 "DESIGN ASSURANCE GUIDANCE FOR AIRBORNE ELECTRONIC HARDWARE" a été développé en commun et édité respectivement par RTCA et EUROCAE.

La DO-254/ED-80 est le pendant de la DO-178C / Eurocae ED-12C. Elle a été créée pour suivre l'évolution rapide de la complexité des équipements électroniques. Elle précise notamment les contraintes de développement liées à l'obtention de la certification d'un équipement électronique d'avionique.

La réunion du matériel DO-254/ED-80 et du logiciel DO-178C /ED-12C forment un système embarqué qui est régi par un standard dédié ARP4754B. L'ensemble forme une approche cohérente des méthodes de développement des systèmes embarqués pour les applications aéronautiques.

La DO-254/ED-80 a été formellement reconnue comme un moyen de satisfaire aux exigences de la certification (ou encore "Acceptable Means of Compliance") par les autorités de certification internationales en 2005 (Advisor Circular AC 20-152^[1] de la FAA) et en 2006 (CAST27 pour l'ensemble des autorités de certification mondiales).

Elle fait la distinction entre les équipements électroniques simples et complexes, reconnait cinq niveaux de criticité qui vont de catastrophique à sans effet, et fournit des "recommandations" de développement pour les équipements électroniques pour chaque niveau de criticité.

Comme l'ARP4754B et la DO-178C/ED-12C, la DO-254/ED-80 présente 5 niveaux de criticité (de A à E) définis comme suit :

• Niveau A : Un défaut du système ou sous-système étudié peut provoquer un problème catastrophique : sécurité du vol ou atterrissage compromis, crash de l'avion ;
• Niveau B : Un défaut du système ou sous-système étudié peut provoquer un problème majeur entraînant des dégâts sérieux, voire la mort de quelques occupants ;
• Niveau C : Un défaut du système ou sous-système étudié peut provoquer un problème sérieux entraînant un dysfonctionnement des équipements vitaux de l'appareil ;
• Niveau D : Un défaut du système ou sous-système étudié peut provoquer un problème pouvant perturber la sécurité du vol;
• Niveau E : Un défaut du système ou sous-système étudié, dans toutes les circonstances, ne pourra provoquer que des problèmes sans effet sur la sécurité du vol.

Ces 5 niveaux sont aussi appelés niveaux DAL (Design Assurance Level).

La DO-254/ED-80 classe un équipement électronique dans la catégorie simple seulement si une combinaison complète et déterministe de tests et d'analyses appropriés au niveau de criticité permettent de garantir des performances fonctionnelles correctes dans toutes les conditions d'utilisation prévisibles sans comportement anormal.

Quand un équipement ne peut pas être classifié simple, alors il doit être classifié complexe. Un assemblage d'unités simples peut générer une unité complexe. Avec cette définition ambiguë, la classification simple/complexe d'un équipement électronique n'était pas aisée. Ce point a été clarifié dans le document CAST-30^[2], rédigé en août 2007 par les autorités de certification.

Il faut comprendre que les ASIC et PLD (FPGA, CPLD, etc.) peuvent désormais intégrer des fonctions très complexes comme des fonctions de calcul (traitement de données, algorithmes), de transfert et d'interfaçage (ARINC 429, liaisons séries, 1553B, Ethernet, PCIe, CAN ...) ainsi que des micro-contrôleurs et leurs périphériques. Ces fonctions sont essentiellement codées à l'aide d'un langage de description matériel HDL (VHDL ou Verilog), le VHDL étant parfois préféré pour sa syntaxe plus rigoureuse.

L'accent est tout particulièrement mis sur les aspects Vérification et Validation qui assurent la conformité du résultat (l'objet matériel) avec le cahier des charges initial (les exigences matérielles).

• Liste des Instruments de bord
• Liste des équipements d'avionique militaire
• DO-178
• Avionique modulaire intégrée

• Portail de l’aéronautique