UAS的航空電子安全認(rèn)證必須應(yīng)對(duì)安全、多核和任務(wù)挑戰(zhàn)

隨著國(guó)家空域（NAS）變得更加擁擠，軍事和商業(yè)航空界正在推動(dòng)對(duì)無人機(jī)系統(tǒng)（UAS）進(jìn)行更嚴(yán)格的認(rèn)證，俗稱無人機(jī)。擁擠的NAS意味著不發(fā)達(dá)，未經(jīng)認(rèn)證的無人系統(tǒng)與有人駕駛飛機(jī)一起飛行的危險(xiǎn)增加。與此同時(shí)，多核處理器在有人駕駛和無人駕駛飛機(jī)認(rèn)證中的使用量有所增加，但安全問題繼續(xù)困擾著航空界。

當(dāng)涉及到在國(guó)家領(lǐng)空飛行的無人駕駛飛機(jī)時(shí)，精靈已經(jīng)從瓶子里出來了。政府監(jiān)管將永遠(yuǎn)追趕，但監(jiān)管機(jī)構(gòu)和航空電子設(shè)備設(shè)計(jì)師在認(rèn)證無人駕駛飛機(jī)上的軟件和硬件方面保持領(lǐng)先地位至關(guān)重要，就像他們對(duì)有人駕駛平臺(tái)所做的那樣，特別是在認(rèn)證多核技術(shù)領(lǐng)域。

行業(yè)官員正在看到確保有人駕駛和無人駕駛飛機(jī)遵循相似（如果不是相同）安全程序的推動(dòng)力。不幸的是，即使越來越多的UAS飛上天空，無人系統(tǒng)認(rèn)證仍然滯后。為了解決這種情況，航空界越來越多地考慮使用 DO-178/DO-254 認(rèn)證。

“我已經(jīng)足夠大了，可以記住第一臺(tái)個(gè)人電腦和人們的反應(yīng)：‘它很酷，但沒有軟件，它不會(huì)用于實(shí)際目的，’”AFuzion Inc.（加利福尼亞州洛杉磯）首席技術(shù)官Vance Hilderman說。這種觀點(diǎn)持續(xù)了幾年，直到達(dá)到臨界點(diǎn)，計(jì)算機(jī)使用量爆炸式增長(zhǎng)。我們現(xiàn)在正處于無人系統(tǒng)的同樣轉(zhuǎn)折點(diǎn)。FAA（聯(lián)邦航空管理局）和EASA（歐盟航空安全局）最近在可行的標(biāo)準(zhǔn)上取得了長(zhǎng)足的進(jìn)步。顯然，新的ADS-B任務(wù)以及將ADS-B Out應(yīng)用于更多無人機(jī)也有幫助。較大的無人駕駛生產(chǎn)商現(xiàn)在終于應(yīng)用了與小型有人駕駛飛機(jī)類似的安全/可靠性標(biāo)準(zhǔn)（例如，第23部分，其中涵蓋了基于性能的安全標(biāo)準(zhǔn)），因此大大提高了飛機(jī)和操作的可靠性。

DO-254認(rèn)證已成為一項(xiàng)要求。Holt Integrated Circuits（加利福尼亞州Mission Viejo）總裁兼首席執(zhí)行官David Mead表示：“在過去三到五年中，軍方對(duì)DO-254認(rèn)證越來越感興趣，主要是由于需要共享商業(yè)空域并提供類似于商用飛機(jī)行業(yè)的設(shè)計(jì)保證水平（DAL）。所有安全或關(guān)鍵任務(wù)系統(tǒng)通常都通過了DAL A認(rèn)證，這是最高的保證級(jí)別，其中故障條件將是災(zāi)難性的，從而阻止繼續(xù)安全飛行和著陸。

坦率地說，挑戰(zhàn)是巨大的：“DO-178和DO-254是在安全系統(tǒng)范圍內(nèi)開發(fā)安全軟件和固件的指導(dǎo)方針，”水星系統(tǒng)公司（馬薩諸塞州安多弗）旗下水星任務(wù)系統(tǒng)的喬治格雷夫斯說。這些文件是幾十年來與行業(yè)和政府合作建立的。

安全認(rèn)證統(tǒng)計(jì)數(shù)據(jù)不言自明：“目前的安全記錄證明了為提供這種指導(dǎo)所付出的遠(yuǎn)見和努力，”他繼續(xù)說道。

雖然航空界在飛行、認(rèn)證和保持天空安全方面擁有數(shù)十年的經(jīng)驗(yàn)，但有些人認(rèn)為有必要通過DO-254 / DO-178認(rèn)證無人系統(tǒng)。換句話說，無人系統(tǒng)需要快速有效地進(jìn)行追趕游戲——所有這些都是為了安全。

當(dāng)然，挑戰(zhàn)仍然存在于“更新安全評(píng)估和認(rèn)證流程，以支持這種安全水平，而無需人工參與，”格雷夫斯補(bǔ)充道?！盀榱酥С窒驘o人系統(tǒng)的轉(zhuǎn)型 - 用我們今天擁有的安全性做我們今天能做的事情 - 將需要幾十年的時(shí)間，現(xiàn)有的方法和指導(dǎo)。因此，我們面臨的另一個(gè)重大挑戰(zhàn)是加速這些過程，同時(shí)仍然允許使用支持自主性所需的更復(fù)雜的技術(shù)。

自動(dòng)化將有助于這一過程，但問題仍然存在，“無人系統(tǒng)現(xiàn)在面臨著以UAS制造商最初沒有考慮的方式認(rèn)證DO-254和DO-178的需求，”CoreAVI（佛羅里達(dá)州坦帕）銷售和營(yíng)銷副總裁Dan Joncas說?！皬娜蝥椀却笮拖到y(tǒng)到手動(dòng)發(fā)射平臺(tái)，UAS的尺寸差異很大，這意味著由于空間，重量和功率限制的增加，認(rèn)證要求和可用的硬件都存在巨大差異。這意味著，例如，用于有人駕駛飛機(jī)的典型硬件外形對(duì)于較小的UAS來說可能是不切實(shí)際的，這也可能對(duì)可以支持的軟件施加限制

自 2018 年 12 月倫敦蓋特威克機(jī)場(chǎng)事件發(fā)生以來，小型無人機(jī)絕對(duì)是一個(gè)令人擔(dān)憂的問題，其中一架小型無人機(jī)在機(jī)場(chǎng)攔截了數(shù)百個(gè)航班。瓊卡斯補(bǔ)充說，在這些類型的事件中，“蓋特威克機(jī)場(chǎng)（歐洲最大的機(jī)場(chǎng)之一）的民用空中交通被小型無人機(jī)系統(tǒng)中斷了數(shù)天，對(duì)無人機(jī)使用的適當(dāng)認(rèn)證和控制只會(huì)變得更加重要?！巴瑯?，新興的空中出租車市場(chǎng)意味著我們現(xiàn)在正在尋找沒有飛行員控制的載人無人機(jī)。以色列正在為軍事計(jì)劃開創(chuàng)這項(xiàng)工作。

更糟糕的是，UAS必須具有某些內(nèi)置功能才能安全運(yùn)行，包括避免碰撞的能力。“避免碰撞仍然是無人機(jī)在沒有視線飛行員或根本沒有飛行員的情況下在商業(yè)空域的主要障礙;信任非視距飛行將是商業(yè)需求所必需的，“DDC-I Inc.（亞利桑那州鳳凰城）技術(shù)營(yíng)銷經(jīng)理Gary Gilliland說?！斑@種能力將使商業(yè)市場(chǎng)爆炸 - 而不是字面意思 - 因?yàn)閁AS在商業(yè)市場(chǎng)上有很多賺錢的機(jī)會(huì)。

除了避開天空中的物體外，無人機(jī)還需要“識(shí)別來襲飛機(jī)并采取相應(yīng)行動(dòng)。這是一個(gè)試點(diǎn)要求，現(xiàn)在必須是軟件驅(qū)動(dòng)的，這導(dǎo)致了基于感知和避免技術(shù)的新系統(tǒng)，“Petty說。

這些功能中的每一個(gè)都必須經(jīng)過認(rèn)證。“遵循DO-254和DO-178的實(shí)際過程保持不變，”Petty解釋說?！艾F(xiàn)在，隨著系統(tǒng)要求下降，對(duì)無人駕駛飛機(jī)進(jìn)行類型認(rèn)證，難度就會(huì)上升到更高的水平。這反過來又將硬件和軟件需求向向子系統(tǒng)。這種向動(dòng)將確定后續(xù)認(rèn)證的系統(tǒng)要求和安全級(jí)別。

軍用和商用無人機(jī)的安全難題

安全也是航空界的一個(gè)主要問題。Gilliland說，一些擔(dān)憂尤其包括“你打算在航空電子系統(tǒng)上運(yùn)行的軟件就是系統(tǒng)上運(yùn)行的全部”?！按斯δ芡ǔ７Q為安全啟動(dòng)和安全升級(jí)。有很多方法可以做到這一點(diǎn)，但我們看到硬件供應(yīng)商正在硬件中添加功能以協(xié)助這項(xiàng)工作。

“軍事客戶通常有額外的安全要求，例如防篡改和與任務(wù)系統(tǒng)的交互，”Petty補(bǔ)充道?！斑@些額外的要求可能會(huì)對(duì)整體安全邊界產(chǎn)生影響，在某些情況下需要納入安全認(rèn)證活動(dòng)。

公司已開始添加更多功能，以幫助應(yīng)對(duì)任務(wù)系統(tǒng)中的惡意威脅;更進(jìn)一步，AZFuzion還提供DO-326A / ED202A安全生態(tài)系統(tǒng)等培訓(xùn)。

希爾德曼說：“通過新的DO-326A/ED-202A文檔集實(shí)現(xiàn)的航空網(wǎng)絡(luò)安全正在爆炸式增長(zhǎng)，全球認(rèn)證機(jī)構(gòu)堅(jiān)持合規(guī)性，飛機(jī)/航空電子設(shè)備開發(fā)和運(yùn)營(yíng)生態(tài)系統(tǒng)迅速試圖應(yīng)對(duì)可行的解決方案?！白詈螅S著航空供應(yīng)商試圖應(yīng)對(duì)越來越快的時(shí)間表和不斷變化的系統(tǒng)要求，敏捷軟件開發(fā)正越來越受到歡迎;我們終于看到，在我們以前古板的開發(fā)框架中，我稱之為‘MA’的‘主要是敏捷’開發(fā)被接受。

認(rèn)證多核

就在您認(rèn)為安全認(rèn)證還不夠復(fù)雜的時(shí)候，多核技術(shù)出現(xiàn)了。

“在更廣泛的航空界中，總是出現(xiàn)的趨勢(shì) - 或者說，反復(fù)出現(xiàn)的問題 - 是：‘多核處理器的認(rèn)證何時(shí)成為常規(guī)？’和‘我們什么時(shí)候才能有一種方法來認(rèn)證更高程度的復(fù)雜性，如自主甚至智能系統(tǒng)？’”水星的墳?zāi)拐f?！皹I(yè)界花費(fèi)了數(shù)千人年來認(rèn)證在多核安全關(guān)鍵模式下運(yùn)行的真正多核處理器。

然而，辛勤工作得到了回報(bào)，到2019年或2020年，用戶將看到商用飛機(jī)中多核處理器的影響，Graves補(bǔ)充道?！半m然這可能是未來方向所定義的趨勢(shì)，但今天和多年來生產(chǎn)的大多數(shù)計(jì)算機(jī)都是多核的。

只需查看歷史，用戶就可以一窺生產(chǎn)航空安全關(guān)鍵系統(tǒng)需要多長(zhǎng)時(shí)間。“事實(shí)上，自從IBM首次推出POWER4多核處理器以來，已經(jīng)有18年了，”Graves繼續(xù)說道?！坝捎谡J(rèn)證多核處理的復(fù)雜性花了這么長(zhǎng)時(shí)間，因此已經(jīng)有很多工作組討論來研究替代認(rèn)證方法，希望加速和增強(qiáng)認(rèn)證過程。這將減少獲得非常復(fù)雜系統(tǒng)（包括軍事用途）的安全關(guān)鍵認(rèn)證所需的時(shí)間。

此外，“集成模塊化航空電子設(shè)備（IMA）繼續(xù)推動(dòng)安全系統(tǒng)，帶來的好處包括將混合臨界系統(tǒng)整合到一個(gè)通用硬件平臺(tái)上，并通過標(biāo)準(zhǔn)化模塊和通過分區(qū)分離來最小化變更成本，”Wind River（加利福尼亞州阿拉米達(dá)）航空航天與國(guó)防副總裁Ray Petty說?！芭c固定功能的單一應(yīng)用系統(tǒng)相比，這具有許多優(yōu)勢(shì)。多核為該架構(gòu)增加了更多的計(jì)算能力，甚至可能允許處理器密集型應(yīng)用程序在混合關(guān)鍵性系統(tǒng)中運(yùn)行;但是，這增加了平臺(tái)提供商和應(yīng)用程序開發(fā)人員的安全舉證責(zé)任。

認(rèn)證多核處理器不僅可以縮短上市時(shí)間，還可以降低與認(rèn)證飛機(jī)相關(guān)的成本。隨著多核處理器超越傳統(tǒng)處理器，認(rèn)證無人系統(tǒng)仍然是一個(gè)挑戰(zhàn)。

審核編輯：郭婷