正在进行的无人驾驶飞机系统认证举措

在国家空域系统（NAS）中运行的无人驾驶飞机系统（UAS）继续激增。作为回应，美国联邦航空管理局（FAA）正在发布监管变更，这将影响有关在NAS中飞行的无人驾驶飞机（军用和商用）的安全认证政策。这些政策变化正在进行中，软件和硬件设计人员需要跟上这些变化。

根据美国联邦航空管理局（FAA）的估计，到2020年，基于模型的sUAV（归类为小型无人机）的注册量将超过200万架，而非模型sUAV的注册量将接近50万辆。目前美国联邦航空局根据FAR 107对小型无人机（55磅以下）的规定，如果在白天和400英尺以下的不受控制的空域运行，则不需要任何特殊的预授权。美国联邦航空局最近的数据还显示，人们越来越希望在FAR第107部分规定的限制之外运营。2017年，美国联邦航空局批准了1，600多项豁免，这些豁免影响了一个或多个第107部分标准（例如白天或视线操作），以及近13，000项针对受控空域操作的豁免。

虽然豁免程序可能很繁琐，但很明显，继续使用豁免将抑制创新和增长。摆在面前的挑战：监管要求和创新愿望如何与安全的UAS流量增长共存？

［编者注：术语UAV是指实际的飞机，而术语UAS是指飞机，其有效载荷，其地面站 - 基本上是与平台相关的任何东西。

无人机监管变化

2012年，美国联邦航空局被国会授权简化飞机认证流程。美国联邦航空局已经根据FAR Part 23（针对小于12，000磅的飞机）重写了法规，使飞机和设备制造商能够提高效率。该机构还与外国监管机构就提高相互批准的效率达成协议。此外，美国联邦航空局去年将自己从地理领域重组为功能领域。这些变化带来了更高效的审批流程，并允许更多的创新，同时保持或改善对安全的关注。

现在，美国联邦航空局正在采取更大胆的步骤，简化软件和复杂硬件认证的过程（目前正在进行中）。这项最新举措涉及摆脱RTCA/DO-178和DO-254中的规范性指南，而是使用称为总体属性（OP）的更一般的指南。根据美国联邦航空局的说法，总体属性计划旨在为飞机系统设计和学科的多个级别的认证过程提供灵活性和效率。美国联邦航空局的理由是，认证政策一直落后于技术和创新。通过为软件和复杂的硬件审批提供更通用的框架，设计人员可以自由选择如何显示合规性。在无人驾驶飞机系统的设计和批准中，这一点最为重要。

美国联邦航空局于2018年3月举办了无人驾驶飞机系统研讨会，吸引了900多名与会者。“整个会议的信息是：美国联邦航空局对商业开放，”美国交通部政策副部长德里克·坎说。研讨会由政府、行业和创新者组成，讨论法规和研究，目标是将UAS安全地集成到NAS中。美国联邦航空局的主要目标：促进UAS与NAS的集成（称为UAS交通管理），并确保安全，安保和隐私。

研讨会的焦点表明，美国联邦航空局正在从其规范标准转向基于性能的无人机合规方法;新方法侧重于飞行器，飞行员和空域。最紧迫的问题是领空。今天，私人和商业空中交通主要由人类在计算机和雷达的帮助下管理。然而，鉴于无人机数量的预期增长，在人类参与的情况下管理这些飞机是不切实际的。相反，UAS 交通管理 （UTM） 将为所有无人机启用自动识别、路由批准、日志、冲突解决等。美国联邦航空局的重点似乎是首先解决空域整合问题，目标是在未来两年内通过法规。

无人机设计特点

如今，几乎每个UAS开发人员都受益于敏捷开发、低进入门槛、新设计方法和较短的上市时间，但他们在设计安全关键系统方面的经验有限。相比之下，大多数传统的军事和商业设备设计人员都受到有条不紊（例如DO-178驱动）的开发过程，高进入门槛，传统工具，长交货时间以及遵守法规的丰富经验的驱动。由于许多经济和技术因素，包括时间、成本、代码大小、基于模型设计的使用、代码生成和使用开源软件等因素，试图在UAS上“改造”DO-178或DO-254的规定方法是不切实际的。

UAS设计人员更倾向于使用仿真平台和飞行测试来测试和验证他们的系统。传统的基于需求或基于单元的测试可能无法完成，尤其是在原型阶段。如今，这些车辆中的大多数要么在受控 NAS 之外运行，要么获得豁免。但是，一旦这些车辆希望在夜间、人口稠密地区或视线之外飞行，就需要额外的验证方法。（图 1。美国联邦航空局认识到，创建独立于技术的保证技术可能是在NAS中实现UAS设备认证的最佳方式。如果人们认为自动驾驶汽车（空中和陆地）将很快成为学习系统，那么不久之后将需要DO-178或ISO 26262中未涉及的新技术和方法来验证这些能力。

其他可接受的软件合规性方式

迄今为止生产的大多数UAS内部运行的软件没有正式的认证谱系。用DO-178的说法，它都是“E级”软件，这意味着任何故障条件都不会对安全产生影响。当然，在UAS的用例中，只要采取适当的措施，软件故障不会对安全产生影响。但是，如果用例扩展到包括更重的车辆、在人口稠密地区上空飞行或超出视线的操作，则所有软件都不能再被视为 E 级。安全分析可以确定在UAS计算平台上运行的某些软件可能需要获得设计保证级别（DAL）B或A的认证，具体取决于给定故障条件的结果。

由于UAS设计人员可能使用敏捷开发方法，采用基于模型的设计来生成控制软件，或使用新颖的工具或技术，因此DO-178逆向工程方法的应用可能不切实际。此外，UAS设计人员更多地依赖开源软件（例如Linux）并拥有庞大的代码库。在这种情况下，FAA基于风险的认证合规方法可以提供帮助。

总体属性倡议

美国联邦航空局吹捧的总体财产计划仍在建设中，这种方法的正式政策可能要到2020年或更晚才会发生，具体取决于试点项目的结果和外国监管机构的意见。该方法是所有安全关键系统都具有三个固有属性：

意向：定义的预期行为相对于所需行为是正确的和完整的

正确性：在可预见的操作条件下，实现相对于其定义的预期行为是正确的

可接受性：定义的预期行为不需要的实现的任何部分都没有不可接受的安全影响

在这三个属性中，人们可以看到FAA基于风险的认证方法，以及没有提到DO-178或DO-254的细节。每个属性都有定义的评估标准，因此审核员有办法批准设计，并且这些标准以类似的方式为每个属性构建。每个都有计划活动、覆盖范围标准、生成的证据和整体流程保证。可以将属性和评估标准视为 DO-178 和 DO-254 要求的抽象，而无需对目标、输入、输出或结果文档进行任何规范性描述。每个供应商决定其流程、工具和技术如何满足属性和评估标准。

对于 Intent 属性，当前定义的评估标准为：

规划活动

定义所需的预期行为 （DIB）

识别输入空间、可观察行为、故障条件

在适用的输入和故障条件下的DIB覆盖范围

证据 – 计划活动所需的数据

过程保证 – 独立评估，数据受配置管理 （CM） 控制，保留评估证据

与安全评估过程的交互 – 分配 DAL，确认 DIB 与安全评估过程假设一致，并解决故障条件

对于“正确性”属性，当前定义的评估标准为：

规划活动

评估可能的错误源，解决错误预防/检测问题

描述每个（开发）层如何针对更高层或 DIB 显示正确

描述如何针对每个较高层或 DIB 显示实现的正确性

覆盖范围 – DIB 及其在适用输入和故障条件下的实施

证据 – 计划活动所需的数据

过程保证 – 独立评估，数据受CM控制，保留评估证据

与安全评估过程的交互 – 分配 DAL，确认 DIB 与安全评估过程假设一致，并解决故障条件

验证环境

除最终环境外使用的验证环境的差异和理由

对正在验证的方面（即时间、堆栈使用等）的适用性是合理的

制造、维修、运营和持续适航

确保设计数据允许一致地复制实施

确保设计数据允许生成适当的持续适航说明 （ICA）

确定影响操作或安装的支持说明或限制

对于“可接受性”属性，当前定义的评估标准为：

规划活动

定义识别实现中的添加的方法

如何获得实施中增加内容的信心，包括与安全评估过程的交互

覆盖

识别实现中的所有添加项（无论是否使用）

实施中添加的影响（对安全没有不可接受的影响）

用于限制实施和证据的缓解手段

证据 – 计划活动所需的数据

过程保证 – 独立评估，数据处于配置管理控制之下，评估证据保留

与安全评估过程的互动

确保实现中不需要满足 DIB 的任何功能都没有不可接受的安全影响

确保任何剩余的问题或缺陷没有不可接受的安全影响

前进的道路

很明显，OP的方法是避免DO-178或DO-254中使用的规范性验证目标和技术。没有提到工具鉴定、“代码覆盖率”或删除死代码或停用代码的指南等主题。但是，需求和分解的概念在评估标准中贯穿始终，因此验证将侧重于预期行为并达到所需的安全级别。目的不是要使其与传统的验证软件方式完全不同，而是在验证方式上允许更大的灵活性。

审核编辑：郭婷