Comment répondre aux exigences de la norme DO-254 pour la certification hardware aéronautique

Temps de lecture : 8 minutes

Dans l'industrie aéronautique, la sûreté de fonctionnement n'est pas négociable. Chaque composant électronique embarqué doit répondre à des standards de fiabilité extrêmes pour garantir la sécurité des passagers et des équipages. C'est précisément là qu'intervient la norme DO-254 (ou ED-80 en Europe), le référentiel incontournable pour le développement et la certification du hardware électronique aéronautique.

Mais concrètement, comment se conformer à cette norme complexe ? Quelles sont ses exigences principales ?
Et surtout, comment automatiser certains processus pour gagner en efficacité tout en respectant les critères de certification ?

Cet article vous guide à travers les fondamentaux de la DO-254 et vous présente les solutions modernes qui facilitent sa mise en œuvre.

La DO-254 / ED-80 (Design Assurance Guidance for Airborne Electronic Hardware) est un standard développé conjointement par la RTCA (États-Unis) et l'EUROCAE (Europe). Publiée pour la première fois en 2000, elle définit les exigences de conception, validation et vérification du matériel électronique utilisé dans les aéronefs.

La DO-254 est une norme d’assurance qualité, au même titre que sa "grande sœur" la DO-178C qui s'applique au logiciel embarqué. Ensemble, ces deux normes forment un cadre cohérent pour garantir le développement des systèmes électroniques critiques dans l'aviation civile et militaire.

Avec l'évolution technologique, les systèmes électroniques aéronautiques sont devenus exponentiellement plus complexes :

• FPGA (Field-Programmable Gate Arrays) capables d'intégrer des millions de portes logiques
• ASIC (Application-Specific Integrated Circuits) personnalisés
• Cartes électroniques multi-couches avec des interactions matériel-logiciel sophistiquées

Face à cette complexité croissante, les méthodes traditionnelles de test ne suffisaient plus. La DO-254 impose donc un processus structuré couvrant tout le cycle de développement, depuis la conception jusqu'à la vérification finale.

La norme a été formellement reconnue comme "moyen acceptable de conformité" par :

• La FAA (Federal Aviation Administration) en 2005 via l'Advisory Circular AC 20-152
• L'EASA (European Union Aviation Safety Agency) pour les marchés européens via l’AMC 20-152A

Sans conformité DO-254, aucun équipement électronique ne peut être autorisé pour voler sur un aéronef commercial.

Le DAL (Design Assurance Level) représente le niveau de rigueur requis pour la certification, déterminé par l'impact potentiel d'une défaillance hardware sur la sécurité de l'aéronef. La DO-254 définit cinq niveaux, de A (le plus critique) à E (sans effet sur la sécurité).

Plus le niveau DAL est critique, plus les exigences de traçabilité, vérification et documentation sont strictes. Un composant DAL-A nécessitera :

• Une traçabilité complète de toutes les exigences
• Des tests exhaustifs (couverture structurelle maximale)
• Des revues indépendantes à chaque étape
• Une documentation détaillée approuvée par les autorités

À l'inverse, un équipement DAL-D ou E pourra suivre un processus simplifié, avec moins de documentation formelle.

Pourquoi qualifier les outils ?

Un principe fondamental de la DO-254 : les outils utilisés pour développer et vérifier le hardware peuvent introduire des erreurs. Si votre simulateur de FPGA contient un bug qui passe inaperçu, votre composant certifié pourrait embarquer une défaillance invisible lors des tests.

L’évaluation des outils et leurs possible qualification garantit que les logiciels de conception, simulation, analyse et test fonctionnent correctement et ne compromettent pas l'intégrité du processus de certification.

Les deux catégories d'outils selon la DO-254

• Outils de Développement : Compilateurs, synthétiseurs logiques, outils de conception HDL (VHDL/Verilog)
• Outils de Vérification : Simulateurs, analyseurs de couverture de code, outils de test formel

Critères de qualification
Un outil doit être qualifié si :

• Il peut introduire ou ne pas détecter une erreur dans le hardware final
• Ses résultats ne sont pas vérifiés par d'autres moyens
• Il élimine, réduit ou automatise un processus de vérification

La qualification basique nécessite :

• Documentation des fonctionnalités de l'outil
• Cas de test démontrant son bon fonctionnement
• Pour une qualification plus complexe, l’usage du DO-330 est demandé

Solutions ISIT pour la qualification d'outils : LDRA, CodeSonar et Absint proposent des kits de qualification pré-validés qui accélèrent ce processus chronophage.

1. Processus de planification

Dès le début du projet, trois documents de planification essentiels doivent être rédigés :

• PHAC (Plan for Hardware Aspects of Certification) : Définit la stratégie globale de certification
• HDP (Hardware Design Plan) : Décrit les méthodes de conception et de développement
• HVVP (Hardware Validation and Verification Plan) : Spécifie les activités de vérification et validation
• HCMP (Hardware Configuration Managment Plan : définit les processus de contrôle des modification et de la mise en configuration des données du projet
• HPAP (Hardware Process Assurance Plan)  : Décrit les activités de suivi des processus de développement

Ces plans établissent le cadre méthodologique et serviront de référence lors des audits de certification.

2. Traçabilité des exigences

Principe clé : 100% des exigences doivent être tracées et vérifiées.

Cela signifie démontrer que :

• Chaque exigence système est déclinée en exigence hardware
• Chaque exigence hardware est implémentée dans la conception
• Chaque élément de conception est testé et validé
• Les résultats de tests prouvent la conformité aux exigences

Des matrices de traçabilité bidirectionnelles relient exigences → conception → tests → résultats à tous les niveaux du cycle en V.

3. Vérification et validation (V&V)

La DO-254 impose des activités de V&V à plusieurs niveaux :

• Revues formelles : Inspection de documents, code HDL, résultats de synthèse
• Analyses : Analyses de sûreté, de performances, de timing Tests : Tests unitaires, tests d'intégration, tests système Analyses de couverture : Couverture, structurelle (pour DAL A/B)
• L'indépendance est cruciale : les personnes qui vérifient ne doivent pas être celles qui ont conçu, pour éviter les erreurs de mode commun.

4. Gestion de configuration

Tous les artefacts de développement (code HDL, netlists, contraintes de placement, rapports de synthèse) doivent être :

• Identifiés de manière unique
• Versionnés et archivés
• Contrôlés pour éviter les modifications non autorisées

5. Gestion des problèmes et des modifications

Tout écart, anomalie ou modification doit être :

• Documenté dans un système de gestion des problèmes
• Analysé pour impact sur la sécurité
• Résolu avec traçabilité complète

La conformité à la norme DO-254 est un prérequis absolu pour commercialiser du matériel électronique aéronautique. Au-delà de l'obligation réglementaire, c'est une démarche qui :

• Sécurise les développements en réduisant drastiquement les risques de défaillance
• Structure les processus de conception et validation
• Différencie les entreprises capables de livrer des équipements certifiés
• Ouvre l'accès aux marchés internationaux (FAA, EASA)