Après plus de 10 ans d’existence, les recommandations de la DO-254, qui portent sur les moyens de satisfaire aux exigences de certification édictées par les autorités du monde de l’avionique concernant les équipements électroniques embarqués dans les avions (c’est le pendant de la DO-178 qui traite du logiciel), entre dans l’âge de la maturité. L’occasion de demander à James Bezamat, président et fondateur de la société DMAP, spécialisée dans le développement de circuits SoC et de blocs d’IP dans des contextes de certification, de nous expliquer la situation de la DO-254 et ses enjeux actuels. Pouvez-vous nous décrire rapidement où en est la DO-254 ?
James Bezamat: A l’heure actuelle, le point le plus important à noter est la parution attendue dans les tous prochains mois du premier memorandum public sur la DO-254 publié par l’EASA (l’Agence Européenne de la Sécurité Aérienne). Une première version a été présentée en février dernier, et les revues sont actuellement en cours. Ce document est important car il reprend et met de l’ordre dans les multiples écrits qui ont été publiés depuis plusieurs années autour de la DO-254. De plus, ce texte se cale sur le travail déjà réalisé par la FAA (Federal Aviation Administration, l’équivalent de l’EASA pour les Etats Unis). Il permet notamment de clarifier l’organisation des revues de certification avec un système proche de celui mis en œuvre par les américains et de mieux préciser l’implication de l’EASA dans le suivi des projets de développement hardware.
Au-delà, ce document ouvre les portes de la DO-254 vers le futur en évoquant, d’une part, le problème de la tenue aux radiations des architectures et, d’autre part, le problème de la certification des circuits du commerce (COTS), et des FPGA intégrant des blocs d’IP complexes.
Face aux évolutions rapides de l’électronique, la DO-254 doit-elle s’adapter, comme le suggère le memorandum de l’EASA que vous venez d’évoquer ?
James Bezamat: Si le domaine de l’avionique veut bénéficier des avancées extrêmement rapides de l’électronique, il faudra bien que la DO-254 s’adapte. Il y a plus de dix ans, lorsque ce standard a débuté, le projet était visionnaire. Mais aujourd’hui, il faut que cette démarche de certification soit capable de prendre en compte, par exemple, des méthodes avancées de vérification, avec les langages SystemVerilog et SystemC, et l’utilisation des assertions. Autre difficulté : la DO-254 n’aborde pas pour le moment les problèmes liés aux blocs de propriété intellectuelle ou aux circuits de type SoC. Elle « évacue » aussi les microcontrôleurs qui sont pourtant partie intégrante d’un très grand nombre de solutions à base de FPGA. De même, la DO-254 ne prend pas en compte les difficultés propres aux bus de communications (Ethernet, PCI Express, CAN…), notamment en termes d’assurance vis-à-vis du déterminisme. Enfin, ne parlons pas des architectures de processeurs multicœurs, pour lesquelles on est encore loin d’avoir des solutions de certification, en raison notamment des difficultés à prouver le déterminisme des échanges entre cœurs. Certes, le memorandum que va publier l’EASA et de récentes études ouvrent la porte à ces questions. Cependant, tous ces points mériteraient d’être développés (pas uniquement au travers de la DO-254). Mais, je pense que ce n’est qu’une question de volonté et de temps car les compétences existent et l’aéronautique ne pourra se passer de ces avancées dans les matériels embarqués dans les aéronefs.
Malgré ces difficultés, pensez-vous que la DO-254 offre un cadre structurant au-delà du domaine de l’avionique ?
James Bezamat: Oui, très clairement. Grâce à la DO-254, les préoccupations des équipes de développement de matériel rejoignent celles des développeurs de code. Elle fait faire un pas gigantesque dans la mise en place des notions de planification, de cahiers des charges, de traçabilité, de gestion de configuration, etc. Les méthodes de développement et les organisations d’équipes vont désormais converger entre le soft et le hard. C’est inéluctable. Et la diffusion des pratiques du type DO-254 dans le monde industriel est en marche. Les secteurs de l’automobile, du nucléaire, des transports, bref de tous ceux qui ont des besoins en termes de certification vis-à-vis d’exigences de sécurité, ont tout à gagner à s’inspirer de la DO-254. D’ailleurs, d’ores et déjà, on voit que les ingénieurs de l’aéronautique, familiers des problèmes de certification, sont très demandés dans les secteurs de l’automobile et du nucléaire par exemple. Aujourd’hui, les compétences se croisent et se fertilisent beaucoup plus que par le passé. Dans ce contexte, la DO-254 a un bel avenir devant elle.
Propos recueillis par François Gauthier.
