реклама на сайте
подробности

 
 
2 страниц V   1 2 >  
Reply to this topicStart new topic
> разработка по DO-254/КТ-254, опыт, примеры
AVR
сообщение Apr 19 2017, 09:56
Сообщение #1


фанат Linux'а
*****

Группа: Свой
Сообщений: 1 051
Регистрация: 23-10-05
Из: SPB.RU
Пользователь №: 10 008



Существует такой стандарт DO-254 (и его перевод с комментариями КТ-254), применяется при разработке авионики. Некоторые САПР это поддерживают, некоторые даже софт толкают для разработки под ПЛИС по этому стандарту. Читаю я это чудо, но вызывает отторжение нечеткость формулировок, отсутствие конкретики. Просто много красивых правильных слов. Мне такое не понятно.

Есть ли у кого опыт работы по этому стандарту (процессам)? Есть ли статьи на эту тему, пусть даже англоязычные, где был бы разобран пример разработки какого-либо простого блока, с демонстрацией процесса, верификации, документирование и т.д.?

P.S. Очень трудно было определить в какой раздел поместить тему...


--------------------
Go to the top of the page
 
+Quote Post
Golikov A.
сообщение Apr 19 2017, 10:32
Сообщение #2


Гуру
******

Группа: Свой
Сообщений: 4 204
Регистрация: 17-02-06
Пользователь №: 14 454



Это хитрый стандарт. Он не говорит что если вы по нему сделаете то это будет хорошо летать.
Он говорит что если вы по нему сделаете, то это будет максимально что вы могли сделать на текущий момент.
При этом если оно дрепнется и будет системная ошибка, они обещают добавить контроль за ней в стандарт...

Потом там много политеса, вас в итоге должны аттестовать, то есть это игра ради проверяющего.

к примеру вот есть устройство класса А. А теперь берем 2 таких устройства делаем в разных местах, и ставим работать в параллель, теперь можно им дать класс В, а то и С, потому что ошибка в одном не вызовет катастрофы, а одинаковая ошибка практически невероятное событие. И второй вариант аттестуют гораздо легче.

так что в итоге надо плотно работать с теми кто вам печатьку будет ставить, какие практики им нравятся, как они привыкли видеть результаты и отчеты.
Go to the top of the page
 
+Quote Post
AVR
сообщение Apr 19 2017, 10:44
Сообщение #3


фанат Linux'а
*****

Группа: Свой
Сообщений: 1 051
Регистрация: 23-10-05
Из: SPB.RU
Пользователь №: 10 008



Цитата(Golikov A. @ Apr 19 2017, 13:32) *
к примеру вот есть устройство класса А. А теперь берем 2 таких устройства делаем в разных местах, и ставим работать в параллель, теперь можно им дать класс В, а то и С, потому что ошибка в одном не вызовет катастрофы, а одинаковая ошибка практически невероятное событие. И второй вариант аттестуют гораздо легче

Два одинаковых устройства на одинаковое воздействие могут одинаково ошибочно сработать, дублирование тут не спасает, хотя может с точки зрения кого-то это будет выглядеть надежнее.

Пока я вижу что этот стандарт по большей части бесполезен в качестве каких-то рекомендаций для более надежной продукции. Скорее "делай coverage, тестируй тщательнее, предусмотри последствия отказа" и тому подобные банальности, которые и без них очевидны для разумного разработчика.


--------------------
Go to the top of the page
 
+Quote Post
lembrix
сообщение Apr 19 2017, 12:06
Сообщение #4


Участник
*

Группа: Участник
Сообщений: 17
Регистрация: 13-04-17
Из: Москва
Пользователь №: 96 508



Цитата(AVR @ Apr 19 2017, 13:44) *
Два одинаковых устройства на одинаковое воздействие могут одинаково ошибочно сработать, дублирование тут не спасает, хотя может с точки зрения кого-то это будет выглядеть надежнее.

Имеется в виду, два устройства сделанных по одному ТЗ, но разными людьми и на разной элементной базе.
Go to the top of the page
 
+Quote Post
Golikov A.
сообщение Apr 19 2017, 12:12
Сообщение #5


Гуру
******

Группа: Свой
Сообщений: 4 204
Регистрация: 17-02-06
Пользователь №: 14 454



Цитата
Два одинаковых устройства на одинаковое воздействие могут одинаково ошибочно сработать, дублирование тут не спасает, хотя может с точки зрения кого-то это будет выглядеть надежнее.

Это не ошибка реализации, это ошибка требований или модели, а это уже не ДО-254 для конкретной железки.

Цитата
Пока я вижу что этот стандарт по большей части бесполезен в качестве каких-то рекомендаций для более надежной продукции.

В целом да. Он не имеет рецептов как сделать хорошо. К примеру там написано что должны быть правила кодирования, но какие они должны быть не сказано. То есть можно написать что мы все имена начинаем с большой буквы и это единственное правило и все вы в стандарте по данному пункту.

Когда работаете по ДО254 это означаете что вы прям реально запариваетесь и кто-то это проверяет, но никак не гарантирует что то что получилось будет супер надежным.
Go to the top of the page
 
+Quote Post
AVR
сообщение Apr 19 2017, 12:20
Сообщение #6


фанат Linux'а
*****

Группа: Свой
Сообщений: 1 051
Регистрация: 23-10-05
Из: SPB.RU
Пользователь №: 10 008



Цитата(Golikov A. @ Apr 19 2017, 15:12) *
Когда работаете по ДО254 это означаете что вы прям реально запариваетесь и кто-то это проверяет, но никак не гарантирует что то что получилось будет супер надежным

Это понятно. Еще вопрос: говорят там надо иметь сертифицированные инструменты для верификации модулей. Вот допустим, если я имею лицензионный Modelsim, который имеет бумазейки подтверждающие этот инструмент для DO-254, но использую сторонний фрейморк (который через PLI общается с симулятором), то допустимо ли это? Не для аппаратуры класса А, но допустим класса B или C?


--------------------
Go to the top of the page
 
+Quote Post
lembrix
сообщение Apr 19 2017, 12:52
Сообщение #7


Участник
*

Группа: Участник
Сообщений: 17
Регистрация: 13-04-17
Из: Москва
Пользователь №: 96 508



Цитата(AVR @ Apr 19 2017, 15:20) *
Это понятно. Еще вопрос: говорят там надо иметь сертифицированные инструменты для верификации модулей. Вот допустим, если я имею лицензионный Modelsim, который имеет бумазейки подтверждающие этот инструмент для DO-254

Modelsim как утилита не может быть сертифицирован. Поддержка DO-254 c его стороны выражается в том, что верификация сделанная с помощью его инструментов формально сертифицируема.

Сообщение отредактировал lembrix - Apr 19 2017, 12:53
Go to the top of the page
 
+Quote Post
x736C
сообщение Apr 19 2017, 12:58
Сообщение #8


Профессионал
*****

Группа: Участник
Сообщений: 1 055
Регистрация: 3-03-06
Пользователь №: 14 942



Цитата(AVR @ Apr 19 2017, 13:44) *
Пока я вижу что этот стандарт по большей части бесполезен в качестве каких-то рекомендаций для более надежной продукции. Скорее "делай coverage, тестируй тщательнее, предусмотри последствия отказа" и тому подобные банальности, которые и без них очевидны для разумного разработчика.

Где гарантия, что разработка будет вестись разумным разработчиком или он что-то не упустит?
В общем, стандарт не предписывает тестировать тщательнее. Он предписывает каждое требование подтвердить тестами.
Весь процесс разработки должен быть разбит на этапы, каждый из которых подтверждается надзорными органами.

Цитата(AVR @ Apr 19 2017, 15:20) *
Это понятно. Еще вопрос: говорят там надо иметь сертифицированные инструменты для верификации модулей. Вот допустим, если я имею лицензионный Modelsim, который имеет бумазейки подтверждающие этот инструмент для DO-254, но использую сторонний фрейморк (который через PLI общается с симулятором), то допустимо ли это? Не для аппаратуры класса А, но допустим класса B или C?

Не только для верификации, но и для компиляции основного кода необходимо использовать квалифицированные инструменты.
Сторонний фреймворк, насколько помню, тоже должен быть квалифицирован. То есть подтверждена его безопасность.
Вот насчет классов аппаратуры идет отсылка к DO-178. Точно не скажу.

Когда-то делал документ DO254 для разработчика ПЛИС. Перевод из нескольких источников.
Он немного недоделан. Не хватает списка сокращений, глоссария и, наверное, чего-то еще.
Но возможно кому-то поможет дать общее представление.
Прикрепленный файл  DO_254_for_FPGA_Designer__ru_.pdf ( 952.67 килобайт ) Кол-во скачиваний: 164
Go to the top of the page
 
+Quote Post
AVR
сообщение Apr 19 2017, 13:01
Сообщение #9


фанат Linux'а
*****

Группа: Свой
Сообщений: 1 051
Регистрация: 23-10-05
Из: SPB.RU
Пользователь №: 10 008



Цитата(lembrix @ Apr 19 2017, 15:52) *
Modelsim как утилита не может быть сертифицирован. Поддержка DO-254 c его стороны выражается в том, что верификация сделанная с помощью его инструментов формально сертифицируема

Допустим сертифицируема. Если я буду использовать нечто поверх Modelsim (например cocotb/Python через механизм PLI), прокатит ли такой инструмент для сертификации железа класса B/C? Тут нет ограничений? Просто меня убеждали в обратном, теперь я несколько сомневаюсь в этом.

Цитата(x736C @ Apr 19 2017, 15:58) *
Не только для верификации, но и для компиляции основного кода необходимо использовать квалифицированные инструменты.
Сторонний фреймворк, насколько помню, тоже должен быть квалифицирован. То есть подтверждена его безопасность.

Спасибо, вот этот вопрос меня теребил. Стало бы и для класса B/C/D тоже должен быть подтвержден?
С одной стороны верно и правильно, с другой - немного печально.


--------------------
Go to the top of the page
 
+Quote Post
x736C
сообщение Apr 19 2017, 13:28
Сообщение #10


Профессионал
*****

Группа: Участник
Сообщений: 1 055
Регистрация: 3-03-06
Пользователь №: 14 942



Цитата(AVR @ Apr 19 2017, 16:01) *
Стало бы и для класса B/C/D тоже должен быть подтвержден?

Я уже все позабывал. Больше 5 лет прошло. Мог и напутать что-то.
И самое главное, в реальности я этот процесс никогда не проходил.
Тут важно мнение тех, кто реально на деле проходил этот путь и
знаком с российской спецификой.

Единственное, что я точно помню из общения с ЦЭСАТом, это то, что проектирование
по DO-178/DO-254 нужно начинать после контактов с ними, а не наоборот. Это с их слов.
Люди что-то делают, а потом пытаются выйти на сертификацию, а многое надо переделывать.
Go to the top of the page
 
+Quote Post
Golikov A.
сообщение Apr 19 2017, 13:31
Сообщение #11


Гуру
******

Группа: Свой
Сообщений: 4 204
Регистрация: 17-02-06
Пользователь №: 14 454



Смотрите допустим у вас есть тестовые примеры, набор запросов и ответов.
Вы можете положить ответы в файл, и положить в другой файл ответы ваше системы. После этого запустить скрипт который сравнит эти файлы. В этом случае скрипт и среда должны быть квалифицированы.
С другой стороны вы можете сказать что вы проглядели оба файла глазами и сравнили каждое значение, в этом случае вам ничего квалифицировать не нужно.
И дальше 2 вопроса:
1. кто подпишется что он сравнивал файлы
2. поверять ли ему те кто вас проверяет что он так сделал.

В целом все это ДО это решение задачи по убеждению того кто ставит подпись что проверка проведена и она нормальная.
Go to the top of the page
 
+Quote Post
lembrix
сообщение Apr 19 2017, 13:39
Сообщение #12


Участник
*

Группа: Участник
Сообщений: 17
Регистрация: 13-04-17
Из: Москва
Пользователь №: 96 508



Цитата(AVR @ Apr 19 2017, 16:01) *
Спасибо, вот этот вопрос меня теребил. Стало бы и для класса B/C/D тоже должен быть подтвержден?
С одной стороны верно и правильно, с другой - немного печально.

Вычитал такое, если инструмент предназначен для верификации С и ниже, то его квалификация в полном объеме не требуется.
Go to the top of the page
 
+Quote Post
x736C
сообщение Apr 19 2017, 13:41
Сообщение #13


Профессионал
*****

Группа: Участник
Сообщений: 1 055
Регистрация: 3-03-06
Пользователь №: 14 942



Цитата(Golikov A. @ Apr 19 2017, 16:31) *
В целом все это ДО это решение задачи по убеждению того кто ставит подпись что проверка проведена и она нормальная.

Согласно стандарту, должны быть установлены четкие критерии прохождения тестов.
Если такой подход и проканает, то вопреки DO.
Go to the top of the page
 
+Quote Post
Golikov A.
сообщение Apr 19 2017, 13:58
Сообщение #14


Гуру
******

Группа: Свой
Сообщений: 4 204
Регистрация: 17-02-06
Пользователь №: 14 454



Цитата
Согласно стандарту, должны быть установлены четкие критерии прохождения тестов.
Если такой подход и проканает, то вопреки DO.


должны быть установлены, но сами критерии не обозначены. И вот тут всегда есть субъективная составляющая.
Go to the top of the page
 
+Quote Post
lembrix
сообщение Apr 19 2017, 15:51
Сообщение #15


Участник
*

Группа: Участник
Сообщений: 17
Регистрация: 13-04-17
Из: Москва
Пользователь №: 96 508



Субъективная составляющая может быть такая. Допустим сотрудник сертификационного органа человек ответственный. Посчитает он нормальной проверку глазами миллионов цифр?
Go to the top of the page
 
+Quote Post

2 страниц V   1 2 >
Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 


RSS Текстовая версия Сейчас: 20th September 2017 - 21:48
Рейтинг@Mail.ru


Страница сгенерированна за 0.01476 секунд с 7
ELECTRONIX ©2004-2016