UAS的航空电子安全认证必须应对安全、多核和任务挑战

随着国家空域（NAS）变得更加拥挤，军事和商业航空界正在推动对无人机系统（UAS）进行更严格的认证，俗称无人机。拥挤的NAS意味着不发达，未经认证的无人系统与有人驾驶飞机一起飞行的危险增加。与此同时，多核处理器在有人驾驶和无人驾驶飞机认证中的使用量有所增加，但安全问题继续困扰着航空界。

当涉及到在国家领空飞行的无人驾驶飞机时，精灵已经从瓶子里出来了。政府监管将永远追赶，但监管机构和航空电子设备设计师在认证无人驾驶飞机上的软件和硬件方面保持领先地位至关重要，就像他们对有人驾驶平台所做的那样，特别是在认证多核技术领域。

行业官员正在看到确保有人驾驶和无人驾驶飞机遵循相似（如果不是相同）安全程序的推动力。不幸的是，即使越来越多的UAS飞上天空，无人系统认证仍然滞后。为了解决这种情况，航空界越来越多地考虑使用 DO-178/DO-254 认证。

“我已经足够大了，可以记住第一台个人电脑和人们的反应：‘它很酷，但没有软件，它不会用于实际目的，’”AFuzion Inc.（加利福尼亚州洛杉矶）首席技术官Vance Hilderman说。这种观点持续了几年，直到达到临界点，计算机使用量爆炸式增长。我们现在正处于无人系统的同样转折点。FAA（联邦航空管理局）和EASA（欧盟航空安全局）最近在可行的标准上取得了长足的进步。显然，新的ADS-B任务以及将ADS-B Out应用于更多无人机也有帮助。较大的无人驾驶生产商现在终于应用了与小型有人驾驶飞机类似的安全/可靠性标准（例如，第23部分，其中涵盖了基于性能的安全标准），因此大大提高了飞机和操作的可靠性。

DO-254认证已成为一项要求。Holt Integrated Circuits（加利福尼亚州Mission Viejo）总裁兼首席执行官David Mead表示：“在过去三到五年中，军方对DO-254认证越来越感兴趣，主要是由于需要共享商业空域并提供类似于商用飞机行业的设计保证水平（DAL）。所有安全或关键任务系统通常都通过了DAL A认证，这是最高的保证级别，其中故障条件将是灾难性的，从而阻止继续安全飞行和着陆。

坦率地说，挑战是巨大的：“DO-178和DO-254是在安全系统范围内开发安全软件和固件的指导方针，”水星系统公司（马萨诸塞州安多弗）旗下水星任务系统的乔治格雷夫斯说。这些文件是几十年来与行业和政府合作建立的。

安全认证统计数据不言自明：“目前的安全记录证明了为提供这种指导所付出的远见和努力，”他继续说道。

虽然航空界在飞行、认证和保持天空安全方面拥有数十年的经验，但有些人认为有必要通过DO-254 / DO-178认证无人系统。换句话说，无人系统需要快速有效地进行追赶游戏——所有这些都是为了安全。

当然，挑战仍然存在于“更新安全评估和认证流程，以支持这种安全水平，而无需人工参与，”格雷夫斯补充道。“为了支持向无人系统的转型 - 用我们今天拥有的安全性做我们今天能做的事情 - 将需要几十年的时间，现有的方法和指导。因此，我们面临的另一个重大挑战是加速这些过程，同时仍然允许使用支持自主性所需的更复杂的技术。

自动化将有助于这一过程，但问题仍然存在，“无人系统现在面临着以UAS制造商最初没有考虑的方式认证DO-254和DO-178的需求，”CoreAVI（佛罗里达州坦帕）销售和营销副总裁Dan Joncas说。“从全球鹰等大型系统到手动发射平台，UAS的尺寸差异很大，这意味着由于空间，重量和功率限制的增加，认证要求和可用的硬件都存在巨大差异。这意味着，例如，用于有人驾驶飞机的典型硬件外形对于较小的UAS来说可能是不切实际的，这也可能对可以支持的软件施加限制

自 2018 年 12 月伦敦盖特威克机场事件发生以来，小型无人机绝对是一个令人担忧的问题，其中一架小型无人机在机场拦截了数百个航班。琼卡斯补充说，在这些类型的事件中，“盖特威克机场（欧洲最大的机场之一）的民用空中交通被小型无人机系统中断了数天，对无人机使用的适当认证和控制只会变得更加重要。“同样，新兴的空中出租车市场意味着我们现在正在寻找没有飞行员控制的载人无人机。以色列正在为军事计划开创这项工作。

更糟糕的是，UAS必须具有某些内置功能才能安全运行，包括避免碰撞的能力。“避免碰撞仍然是无人机在没有视线飞行员或根本没有飞行员的情况下在商业空域的主要障碍;信任非视距飞行将是商业需求所必需的，“DDC-I Inc.（亚利桑那州凤凰城）技术营销经理Gary Gilliland说。“这种能力将使商业市场爆炸 - 而不是字面意思 - 因为UAS在商业市场上有很多赚钱的机会。

除了避开天空中的物体外，无人机还需要“识别来袭飞机并采取相应行动。这是一个试点要求，现在必须是软件驱动的，这导致了基于感知和避免技术的新系统，“Petty说。

这些功能中的每一个都必须经过认证。“遵循DO-254和DO-178的实际过程保持不变，”Petty解释说。“现在，随着系统要求下降，对无人驾驶飞机进行类型认证，难度就会上升到更高的水平。这反过来又将硬件和软件需求向向子系统。这种向动将确定后续认证的系统要求和安全级别。

军用和商用无人机的安全难题

安全也是航空界的一个主要问题。Gilliland说，一些担忧尤其包括“你打算在航空电子系统上运行的软件就是系统上运行的全部”。“此功能通常称为安全启动和安全升级。有很多方法可以做到这一点，但我们看到硬件供应商正在硬件中添加功能以协助这项工作。

“军事客户通常有额外的安全要求，例如防篡改和与任务系统的交互，”Petty补充道。“这些额外的要求可能会对整体安全边界产生影响，在某些情况下需要纳入安全认证活动。

公司已开始添加更多功能，以帮助应对任务系统中的恶意威胁;更进一步，AZFuzion还提供DO-326A / ED202A安全生态系统等培训。

希尔德曼说：“通过新的DO-326A/ED-202A文档集实现的航空网络安全正在爆炸式增长，全球认证机构坚持合规性，飞机/航空电子设备开发和运营生态系统迅速试图应对可行的解决方案。“最后，随着航空供应商试图应对越来越快的时间表和不断变化的系统要求，敏捷软件开发正越来越受到欢迎;我们终于看到，在我们以前古板的开发框架中，我称之为‘MA’的‘主要是敏捷’开发被接受。

认证多核

就在您认为安全认证还不够复杂的时候，多核技术出现了。

“在更广泛的航空界中，总是出现的趋势 - 或者说，反复出现的问题 - 是：‘多核处理器的认证何时成为常规？’和‘我们什么时候才能有一种方法来认证更高程度的复杂性，如自主甚至智能系统？’”水星的坟墓说。“业界花费了数千人年来认证在多核安全关键模式下运行的真正多核处理器。

然而，辛勤工作得到了回报，到2019年或2020年，用户将看到商用飞机中多核处理器的影响，Graves补充道。“虽然这可能是未来方向所定义的趋势，但今天和多年来生产的大多数计算机都是多核的。

只需查看历史，用户就可以一窥生产航空安全关键系统需要多长时间。“事实上，自从IBM首次推出POWER4多核处理器以来，已经有18年了，”Graves继续说道。“由于认证多核处理的复杂性花了这么长时间，因此已经有很多工作组讨论来研究替代认证方法，希望加速和增强认证过程。这将减少获得非常复杂系统（包括军事用途）的安全关键认证所需的时间。

此外，“集成模块化航空电子设备（IMA）继续推动安全系统，带来的好处包括将混合临界系统整合到一个通用硬件平台上，并通过标准化模块和通过分区分离来最小化变更成本，”Wind River（加利福尼亚州阿拉米达）航空航天与国防副总裁Ray Petty说。“与固定功能的单一应用系统相比，这具有许多优势。多核为该架构增加了更多的计算能力，甚至可能允许处理器密集型应用程序在混合关键性系统中运行;但是，这增加了平台提供商和应用程序开发人员的安全举证责任。

认证多核处理器不仅可以缩短上市时间，还可以降低与认证飞机相关的成本。随着多核处理器超越传统处理器，认证无人系统仍然是一个挑战。

审核编辑：郭婷