將安全認(rèn)證COTS的優(yōu)勢(shì)提升到系統(tǒng)級(jí)別

航空電子集成商和飛機(jī)認(rèn)證機(jī)構(gòu)現(xiàn)在理解并接受，可以使用一整套支持系統(tǒng)和飛機(jī)認(rèn)證的 DO-254 和 DO-178B 數(shù)據(jù)工件來(lái)設(shè)計(jì)可認(rèn)證的商用現(xiàn)貨 （COTS） 組件。下一階段：在為航空電子系統(tǒng)設(shè)計(jì)人員提供安全認(rèn)證 COTS 的成本、時(shí)間和風(fēng)險(xiǎn)降低優(yōu)勢(shì)時(shí)，定義這些產(chǎn)品在子系統(tǒng)級(jí)別的優(yōu)勢(shì)。

如今，COTS 供應(yīng)商可以提供充滿安全認(rèn)證卡的工具箱，這些卡代表了可以集成到堅(jiān)固機(jī)箱中的各種功能。傳統(tǒng)的 COTS 和可認(rèn)證的 COTS 模塊都降低了成本，因?yàn)橐坏┰O(shè)計(jì)完成，模塊就可以在許多不同的應(yīng)用中重復(fù)使用。傳統(tǒng)的COTS模塊通常采用最新和最好的半導(dǎo)體技術(shù)設(shè)計(jì)，旨在非常靈活并適應(yīng)許多不同的設(shè)計(jì)情況。這種 COTS 模型有助于加快尖端半導(dǎo)體器件的現(xiàn)場(chǎng)部署，尤其是軍事應(yīng)用。相比之下，對(duì)于安全認(rèn)證的COTS設(shè)計(jì)，使用新技術(shù)可能不如長(zhǎng)期的知名設(shè)備吸引人。

對(duì)于安全認(rèn)證的 COTS 板，元件選擇更加嚴(yán)格，因?yàn)檫x擇器件時(shí)需要考慮到設(shè)計(jì)的設(shè)計(jì)保證級(jí)別 （DAL） 要求及其元件的可認(rèn)證性。由于這些原因，最新的半導(dǎo)體技術(shù)通常不會(huì)被選中，因?yàn)樗鼈儾环蠂?guó)際認(rèn)證機(jī)構(gòu)（如FAA［聯(lián)邦航空管理局］，EASA［歐洲航空安全局］和加拿大運(yùn)輸部）指南中規(guī)定的服務(wù)歷史等方面的標(biāo)準(zhǔn)。

例如，與基于 A72 Arm 內(nèi)核的 SBC 相比，基于較舊的 A53 Arm 處理器架構(gòu)的單板計(jì)算機(jī) （SBC） 更適合可認(rèn)證應(yīng)用程序，因?yàn)樗氖褂脮r(shí)間要長(zhǎng)得多，這簡(jiǎn)化了數(shù)據(jù)工件的收集和認(rèn)證所需的服務(wù)歷史記錄。服務(wù)歷史記錄包括從設(shè)備以前在潛在數(shù)千種不同應(yīng)用中使用中收集的所有知識(shí)和經(jīng)驗(yàn)。如果該設(shè)備以前用于航空電子應(yīng)用并累積了飛行時(shí)間，那就更好了。

還需要更嚴(yán)格地定義安全認(rèn)證模塊，以盡量減少和消除任何可能增加認(rèn)證過(guò)程復(fù)雜性的無(wú)關(guān)或不需要的功能的存在，這將使認(rèn)證所需的已經(jīng)大量的數(shù)據(jù)工件的管理和收集更加困難。所有功能都必須被“鎖定”，這意味著任何未使用的硬件功能或軟件功能都將被丟棄或禁用，以使其不會(huì)影響系統(tǒng)本身的性能或安全性。可認(rèn)證的 COTS 供應(yīng)商需要能夠證明任何禁用的硬件功能將保持關(guān)閉狀態(tài)，并且不會(huì)再次意外打開(kāi)。應(yīng)完全刪除任何不需要或不需要的軟件功能。此保護(hù)措施還有助于減少需要測(cè)試可驗(yàn)證性的軟件代碼行數(shù)。任何不增加價(jià)值或應(yīng)用程序不需要的額外代碼行都會(huì)給認(rèn)證過(guò)程增加不必要的負(fù)擔(dān)。

雖然可認(rèn)證的 COTS 數(shù)據(jù)工件可以在后續(xù)設(shè)計(jì)中重復(fù)使用，與定制設(shè)計(jì)相比可以節(jié)省大量成本，但它們需要更新和更改，以符合給定系統(tǒng)的任何要求或功能更改。

積木

堅(jiān)固耐用的 COTS 供應(yīng)商現(xiàn)在正在創(chuàng)建可認(rèn)證的 COTS 構(gòu)建塊 - 每個(gè)構(gòu)建塊都由現(xiàn)有的數(shù)據(jù)工件包提供支持 - 以簡(jiǎn)化和加速安全關(guān)鍵系統(tǒng)的開(kāi)發(fā)。這些構(gòu)建模塊包括 SBC、航空電子 I/O 卡和顯卡的補(bǔ)充，所有這些都可以與可修改的底盤相結(jié)合，為機(jī)載平臺(tái)開(kāi)發(fā)開(kāi)放式架構(gòu)設(shè)計(jì)。這些系統(tǒng)預(yù)先集成了元件，并符合適當(dāng)?shù)沫h(huán)境水平，為集成商提供了一個(gè)理想的起點(diǎn)，以增加其在應(yīng)用本身的價(jià)值。更好的是，使用經(jīng)過(guò)驗(yàn)證的設(shè)計(jì)可以消除從頭開(kāi)始開(kāi)發(fā)新設(shè)計(jì)所涉及的程序風(fēng)險(xiǎn)，包括成本和時(shí)間。這些可認(rèn)證的構(gòu)建模塊使航空電子系統(tǒng)設(shè)計(jì)人員能夠立即開(kāi)始開(kāi)發(fā)應(yīng)用軟件，而不必等待定制設(shè)計(jì)的可用性。

單板計(jì)算機(jī)

業(yè)界正在尋找高性能多核處理器，以便將舊的聯(lián)合系統(tǒng)整合到集成的模塊化架構(gòu)中，該架構(gòu)可以在分區(qū)中容納多種功能和 DAL。此設(shè)置不僅需要多核處理器，還需要支持支持 ARINC 653 的多核操作系統(tǒng)。處理器的選擇基于它們是否適合獲得相應(yīng) DAL（從 A 到 E）的認(rèn)證，并得到處理器供應(yīng)商的支持和足夠的服務(wù)歷史記錄以適合用途。通常，電源架構(gòu)處理器已被選用于更高的 DAL，但基于 Arm 的多核處理器也有望在不久的將來(lái)占據(jù)這一空間。由于資源共享，多核處理器認(rèn)證仍然存在挑戰(zhàn)，但行業(yè)和認(rèn)證機(jī)構(gòu)的指導(dǎo)為克服這些挑戰(zhàn)提供了方向。此外，今天還有多核處理器正在獲得飛行認(rèn)證。

航空電子 I/O

當(dāng)今的飛機(jī)中使用了各種各樣的傳統(tǒng)輸入/輸出標(biāo)準(zhǔn)。典型接口包括 MIL-STD-1553、ARINC 429、CANbus、以太網(wǎng)、RS-232、RS-422、RS-485 和模擬 I/O。還有一些更新的確定性接口用于互連，例如安全關(guān)鍵以太網(wǎng) （ARINC 664）、時(shí)間觸發(fā)以太網(wǎng) （TTE） 和時(shí)間觸發(fā)協(xié)議 （TTP）。使用的接口類型多種多樣，這意味著每個(gè)安全關(guān)鍵系統(tǒng)都可能具有一組獨(dú)特的 I/O 要求，因此很難定義能夠滿足大多數(shù)需求的單個(gè)機(jī)箱級(jí)產(chǎn)品。

高性能顯卡

圖形卡提供了輸入/捕獲和處理來(lái)自飛機(jī)中各種來(lái)源的視頻的能力。此視頻可以壓縮以進(jìn)行存儲(chǔ)或路由以進(jìn)行顯示，并覆蓋其他信息，以提高態(tài)勢(shì)感知能力。圖形處理器或圖形處理器單元 （GPU） 必須根據(jù) DO 規(guī)則仔細(xì)選擇進(jìn)行認(rèn)證。此外，GPU 供應(yīng)商必須有辦法通過(guò)硬件或軟件減少任何危險(xiǎn)的誤導(dǎo)性信息，以解決 CAST 29 和 EASA 認(rèn)證備忘錄 CM-SWCEH-001 中定義的問(wèn)題。更重要的是，GPU的軟件驅(qū)動(dòng)程序必須支持OpenGL的可認(rèn)證版本，即OpenGL SC 1.0或2.0。安全關(guān)鍵應(yīng)用的其他重要 GPU 功能包括壓縮和解壓縮視頻（H.264 和 H.265）并以非常低的延遲顯示視頻的能力。

堅(jiān)固的底盤

堅(jiān)固的安全認(rèn)證 COTS 機(jī)箱構(gòu)建塊應(yīng)基于標(biāo)準(zhǔn)，并在 DO-160/MIL-STD-810 環(huán)境測(cè)試合規(guī)性方面具有一些可證明的血統(tǒng)。

安全認(rèn)證系統(tǒng)

使用上述一系列安全認(rèn)證的構(gòu)建模塊，系統(tǒng)集成商可以設(shè)計(jì)出能夠滿足嚴(yán)格安全要求的各種堅(jiān)固耐用的航空電子系統(tǒng)。以下概述提供了這些類型的解決方案的示例：

視覺(jué)環(huán)境系統(tǒng)退化

退化視覺(jué)環(huán)境 （DVE） 系統(tǒng)采用射頻 （RF） 或電光 （EO） 傳感技術(shù)（或兩者的組合），使用數(shù)據(jù)融合算法根據(jù)傳感環(huán)境提供最佳成像解決方案。DVE系統(tǒng)顯示具有代表性的高度指示，并突出顯示能見(jiàn)度低情況下的障礙物，例如掉電（沙子），惡劣天氣或白雪（雪）。DVE系統(tǒng)通常具有一個(gè)或多個(gè)處理元件（SBC），一個(gè)I/O卡（用于從各種傳感器和圖形卡引入數(shù)據(jù)）。

圖形處理器

用于顯示和處理視頻信息的圖形處理器通常由 SBC 和一個(gè)或多個(gè)圖形卡的組合開(kāi)發(fā)，具體取決于視頻流的數(shù)量。

任務(wù)計(jì)算

任務(wù)計(jì)算機(jī)處理視頻、傳感器和任務(wù)導(dǎo)航數(shù)據(jù)，以提供格式化的顯示輸出。任務(wù)計(jì)算機(jī)提高了態(tài)勢(shì)感知能力并減輕了飛行員的工作量。任務(wù)計(jì)算機(jī)可能具有多個(gè) SBC、圖形卡和 I/O 模塊，具體取決于系統(tǒng)的復(fù)雜程度以及所需輸入和輸出的數(shù)量。

飛行控制計(jì)算機(jī)

飛行控制計(jì)算機(jī)（FCC）計(jì)算并傳輸所有正常模式飛行控制表面執(zhí)行器命令。通常，飛機(jī)上安裝三個(gè) FCC。每個(gè)FCC都將利用SBC來(lái)執(zhí)行飛行控制算法。FCC 通常還具有大量輸入和輸出陣列，以便收集傳感器數(shù)據(jù)并控制適當(dāng)?shù)目刂票砻妗?/p>

安全認(rèn)證航空處理器示例

航空處理器是安全關(guān)鍵型集成系統(tǒng)設(shè)計(jì)的一個(gè)很好的例子。在此示例中，系統(tǒng)最初可向 DAL C 進(jìn)行認(rèn)證，并將來(lái)具有通往 DAL A 的路徑。Curtiss-Wright VPX3-152 電源架構(gòu) SBC采用四核 E6500 內(nèi)核恩智浦 T2080，并與采用 AMD E8860 GPU 的 VPX3-719 顯卡相結(jié)合，采用 1/2 ATR 堅(jiān)固耐用的機(jī)箱。GPU 提供圖形捕獲、顯示和處理。SBC 支持各種航空電子設(shè)備 I/O，例如 MIL-STD 1553、ARINC 429、DIO、串行通道等。

安全認(rèn)證產(chǎn)品為航空電子系統(tǒng)設(shè)計(jì)人員提供的一大優(yōu)勢(shì)是，他們可以快速進(jìn)行應(yīng)用程序開(kāi)發(fā)。任何修改，例如刪除或禁用不需要的軟件和硬件功能，都可以并行完成，而不會(huì)延遲開(kāi)發(fā)過(guò)程。

審核編輯：郭婷