DO-178C(ディーオーイチナナハチシー)
英語表記: DO-178C
概要
DO-178Cは、航空機に搭載される組み込みソフトウェアの開発プロセスおよび検証の安全性を保証するための国際的なガイドラインです。正式名称は「航空機システム及び装備品の認証におけるソフトウェアの考慮事項」であり、組み込み機器の中でも特に人命に関わる航空宇宙分野のマイコン制御ソフトウェアに適用されます。この規格は、ソフトウェアの故障や意図しない動作が重大な事故を引き起こすリスクを最小限に抑えることを目的としており、極めて厳格な開発・検証のトレーサビリティを要求します。
詳細解説
組み込み機器の安全性を担保する最高峰の基準
DO-178Cは、私たちが日常で触れる多くのIoTデバイスや一般的な組み込み機器の安全規格とは一線を画します。これは、航空機のフライトコントロールシステムやナビゲーションシステムといった、一瞬のバグも許されない「セーフティクリティカル」な組み込みソフトウェアを対象としているためです。この規格の適用範囲は、まさに「組み込み機器(IoTデバイス, マイコン) → セキュリティと安全性 → 安全規格」という文脈において、究極の安全を追求する部分にあたります。
目的と構成要素:なぜ厳しいのか
DO-178Cの最大の目的は、開発された組み込みソフトウェアが、定められた要件を完全に満たし、かつ意図しない機能や動作を含んでいないことを、客観的かつ徹底的に証明することにあります。この証明プロセスは、航空当局(例:米国のFAA、欧州のEASA)による認証を得るために必須となります。
主要な構成要素は以下の通りです。
- 独立性の高い検証: ソフトウェアの設計者と検証者(テスター)は、独立した立場で行うことが求められます。設計者がテストも行う場合、無意識のうちに自分の設計ミスを見逃す可能性があるためです。この独立性の確保は、組み込みシステムにおける第三者検証の重要性を強調しています。
- ライフサイクル管理: ソフトウェア開発の全ライフサイクル(計画、開発、検証、設定管理、品質保証)を通じて、詳細な文書化とレビューが要求されます。特に、組み込み機器のファームウェア更新や変更管理においても、当初の認証レベルを維持するための厳格なプロセスが求められます。
DAL(Design Assurance Level)の概念
DO-178Cの適用にあたり、組み込みソフトウェアが故障した場合に航空機にもたらす影響度に応じて、DAL(Design Assurance Level:設計保証レベル)が設定されます。これは、リスクアセスメントに基づいた非常に重要な分類です。
| DALレベル | 影響度 | 必要な検証の厳格さ |
| :— | :— | :— |
| A (Catastrophic) | 壊滅的。航空機の損失、多数の死傷者につながる。 | 最も厳格。 ほぼ全てのコード行に対して検証が必要。 |
| B (Hazardous) | 危険。乗員の負荷が著しく増大、重傷を負う可能性がある。 | 非常に厳格。 |
| C (Major) | 重大。乗員の負荷が増大、不快感を与える可能性がある。 | 厳格。 |
| D (Minor) | 軽微。乗員の負荷がわずかに増大する。 | 標準的。 |
| E (No Effect) | 影響なし。 | 最小限の文書化で済む。 |
DALレベルAの組み込みソフトウェアは、他の一般的な産業用組み込み機器では考えられないほどの高いレベルのテストカバレッジ(網羅率)と検証の独立性が要求されます。これは、安全規格を語る上で、リスクとコストのバランスをどのように取るかを示す良い例だと言えるでしょう。
組み込みシステム開発への影響
DO-178Cに準拠した組み込みソフトウェア開発は、通常の開発に比べて時間とコストが大幅にかかります。しかし、これは「安全」という価値への投資です。特に、航空機に搭載されるマイコンやFPGAなどの組み込みハードウェアを選定する際も、DO-178Cの要求を満たすための機能(例:自己診断機能、冗長性)が考慮されるため、ハードウェア選定にも大きな影響を与えます。
このように、DO-178Cは単なる文書ではなく、組み込み機器の設計思想そのものを「安全最優先」へと導く、非常に強力な指針なのです。
具体例・活用シーン
航空機のブレーキ制御システム
組み込み機器の安全性という観点から、DO-178Cが最も重要になる例は、航空機のフライトコントロールシステムやブレーキ制御システムです。
例えば、着陸時に機体を安全に停止させるための自動ブレーキシステムを考えてみましょう。このシステムは、機体の速度、車輪の回転数、滑走路の状態などをマイコンでリアルタイムに処理し、最適なブレーキ圧を各車輪に指示する組み込みソフトウェアによって制御されています。
もし、この組み込みソフトウェアにバグがあり、雨天時にブレーキ圧が過剰にかかったり、逆に全く効かなくなったりしたら、大惨事につながります。したがって、このブレーキ制御ソフトウェアは通常、DALレベルAまたはBに分類され、DO-178Cの最も厳しい要件が適用されます。
開発チームは、要求仕様の全ての行が、コードの全ての行、そしてテストケースの全てに紐づいていることを証明しなければなりません。少しでも要件に合致しないコード(デッドコード)や、テストされていないコード(未検証のコード)が存在することは許されないのです。
比喩:命を守る建築基準法
DO-178Cの厳格さを理解するための比喩として、「命を守る建築基準法」を考えてみましょう。
私たちが住む一般的な住宅(DAL D/Eの組み込み機器)を建てる際にも建築基準法は適用されますが、超高層ビルや原子力発電所(DAL A/Bの組み込み機器、すなわち航空機)を建てる際の基準は比べ物にならないほど厳しくなります。
DO-178Cは、まさに「空飛ぶ超高層ビル」である航空機のための建築基準法のようなものです。
- 設計図の徹底検証: 建築士(開発者)が作成した設計図(要件定義、設計書)は、第三者の専門家(検証チーム)によって、構造計算が正しいか、地震や風に耐えられるか、細部にわたってチェックされます。
- 材料のトレーサビリティ: 使用する鉄骨やコンクリート(ソフトウェアコード)は、どこで製造され、どのような強度を持つのか、全て記録され追跡可能です。もし、途中で材料を変更した場合(コード変更)、その影響範囲を詳細に再検証しなければなりません。
- 認証機関の立ち会い: 建築の各フェーズで、国の認証機関が現場に立ち会い、基準が守られていることを確認します。これは、ソフトウェア開発においても、FAAなどの当局が開発プロセスを監査することに対応します。
このように、DO-178Cは、組み込みソフトウェアの「信頼性」を、感覚や経験則ではなく、科学的かつ文書化されたプロセスを通じて「証明」するための枠組みを提供しているのです。この徹底した管理体制があるからこそ、私たちは安心して飛行機に乗ることができる、と考えると、その重要性が身に染みてわかりますね。
資格試験向けチェックポイント
DO-178Cそのものが日本のIT資格試験(ITパスポート、基本情報技術者、応用情報技術者)で直接的に問われることは稀ですが、「安全性」「信頼性」「品質保証」といった上位概念や、その実現手段としての「トレーサビリティ」に関する出題の文脈で、非常に重要な知識となります。
- ITパスポート/基本情報技術者向け:
- 安全規格の代表例: 航空機や自動車といった「セーフティクリティカルシステム」における組み込み機器の安全規格(例:DO-178C、ISO 26262)が存在することを理解しておきましょう。特に「航空機」と結びつけて覚えておくと良いです。
- トレーサビリティの重要性: ソフトウェア開発において、要件と成果物(コード、テスト)が紐づいていること(トレーサビリティ)が品質保証の鍵であることを理解してください。これは、安全規格が最も重視する点です。
- 応用情報技術者向け:
- システム監査と検証: DO-178Cが要求する「独立した検証」や「厳格な文書化」は、プロジェクトマネジメントやシステム監査の分野で問われる「品質保証活動」の究極の形です。検証プロセスの独立性や、第三者認証の重要性について関連付けて学習してください。
- リスクアセスメント(DAL): ソフトウェアの故障がもたらす影響度(リスク)に応じて、必要な開発・検証の厳格さが変わる(DALレベル)という考え方は、応用情報で問われるリスク管理の基本概念そのものです。リスクが高いほど、より厳格なプロセスが必要であることを押さえておきましょう。
関連用語
- 情報不足
- (関連用語として、自動車分野の安全規格であるISO 26262、電子機器の機能安全に関するIEC 61508、あるいはセーフティクリティカルシステム、冗長化システムなどの用語を記載することが考えられますが、現時点では指定された情報がないため、情報不足とします。)
