下一代航空系统在认证过程中推动自动化、多核处理器

随着航空系统复杂性的提高，对有人驾驶和无人驾驶飞机的安全关键系统进行认证已促使工程师走向自动化并并行工作以提高流程效率。多核处理器在这一推动中发挥着重要作用，并增加了简化流程的工具。然而，随着美国联邦航空管理局（FAA）和欧洲航空安全局（EASA）努力简化流程，挑战仍然存在。

多年来，系统的复杂性呈指数级增长，促使行业寻找提高流程效率的方法。

事实上，“下一代系统的绝对复杂性要求供应商需要向系统集成商提供的不仅仅是原始硬件和软件 - 他们还需要提供安全认证工件，以实现系统的快速集成和认证测试，”旧金山湾区风河航空航天和国防部门高级总监Chip Downing说。

作为回应，设计人员正在使用自动化工具来简化无人驾驶和有人驾驶飞机的认证过程。“在系统的生命周期中使用自动化工具是一个巨大的变化，”位于马萨诸塞州韦斯特福德的Verocel，Inc.总裁兼首席执行官George Romanski说。这是因为“标准要求非常严格的认证方法。您必须生成需求并查看这些需求、生成设计、查看设计、生成代码、查看代码等。在一个典型的系统中，我们将有成千上万的工件，这些工件必须被开发，必须对其进行审查，我们必须确保这些要求是合理的，并且彼此契合。

这个过程变得非常不现实。“保留大量需求和派生需求的Excel电子表格非常繁琐和乏味，”加拿大渥太华Curtiss-Wright Defense Solutions的产品经理Rick Hearn说。“你可以通过软件工具实施任何自动化，以便能够在整个生命周期中跟踪所有这些需求，你就越好。

设计人员正在分阶段认证安全关键系统：“大多数人试图做的是开始并行工作，这样你就可以有需求，你可能有五千个需求，其中一千个可能已经准备好了，所以你可以开始实施这些需求，但另外四千个仍在开发中，当你开发设计时， 现在你可以开始实施了，“罗曼斯基解释道。“换句话说，你开始重叠这些流程，如果你非常严格地管理信息，那么就有可能使这个过程更有效率。为此，它需要使用数据库，需要将该数据库链接到配置控制系统，并且需要非常严格的基线。

他补充说，该过程还需要自动身份验证。“人们现在可以在数据库中进行审查，你可以维护整个项目的整个开发过程，你可以让分布式团队同时处理这个问题。

“由于复杂性，必须在这些系统上进行的测试量呈指数级增长，并且必须实现测试的自动化，”位于亚利桑那州图森的水星任务系统业务发展总监Scott Engle说。“不可能手动完成此操作。

Romanski解释说，Verocel的VeroTrace管理和控制所有生命周期数据，包括需求，设计，源代码，测试用例，结果，文档等。更重要的是，VeroTrace管理每个生命周期数据项的状态，并提供每个项之间的可追溯性链接，以满足包括DO-178C，IEC61508和ISO26262在内的许多标准。（见图1）。

图1：Verocel的VeroTrace数据库可以导出到DVD ROM，允许超链接浏览所有数据和文档。由维罗塞尔提供。

多核处理器的兴起

促成因素将是使用多核处理器。多年来，从单核处理器转向并行工作的转变已经发展到“有兴趣为安全应用认证多核处理器，”纽约市Mercury Systems任务系统集团PLM和BD总监Greg Tiedemann说。“从安全角度来看，当你只有一个处理器时，认证更容易。当您有多个处理器在同一应用程序上工作时，这更具挑战性。对此的需求确实非常简单。你可以在其他市场和水星的其他地方看到它。我们之所以采用多核，是因为您可以在处理和功耗方面提高效率，并且只是一般的 SWaP ［尺寸、重量和功耗］ 要求。你可以在更小的空间里做更多的事情。

“趋势是多核，但这也是系统复杂性更高的趋势，”Engle澄清道。“当我们进行联合飞机设计时，航空电子设备是位于整个飞机上的单一用途，特殊用途的盒子，现在将整合和集成模块化航空电子设备（IMA）整合到更少数量或件数或件的设备上，现在在此基础上添加多核，这些系统变得非常复杂。这种复杂性只会增加出错的可能性。

在过去的十年中，该行业一直在努力创建可行的多核安全解决方案。“我们一直在挣扎，因为我们试图将单核处理器中使用的相同测试和检查流程应用于多核设计，”风河的唐宁解释说。“当使用单核处理器时，该内存管理单元 （MMU） 非常擅长创建受内存保护的分区;当与强大的调度基础相结合时，这是一条低风险的认证途径。

“在多核环境中，在一对多核上使用MMU根本无法管理需要在安全关键型解决方案中控制的所有资源，”他补充道。“未来，多核安全解决方案必须使用一种称为‘硬件虚拟化辅助’的功能。此功能为虚拟化分区/容器/虚拟机 （VM） 创建和管理仅靠软件无法可靠地完成的所有资源。硬件辅助虚拟化创造了另一个更强大、更可靠、更全面的分离环境，解决了尝试使用基于MMU的分离和单核系统的处理器/驱动程序控制的许多问题。

尽管取得了这一进展，但由于许多挑战，多核处理器的使用还没有完全准备好部署，“Tiedemann说。“但是，通常人们对它很感兴趣。我认为这是市场上的一个重要趋势，我们正在密切关注，以确保当解决方案支持它时，我们已经准备好利用它。

“硬件辅助虚拟化创造了做更多事情的机会，”唐宁指出。“首先，它增加了一个控制处理器和主板资源的执行信封，因此在这些虚拟机中运行的操作系统（OS）可以像控制整个处理器一样运行。此虚拟机还可以在一到多个内核上分配，从而提供另一个级别的分离和抽象。

“此外，每个内核都可以使用 MMU 在每个内核上分离任务/线程，从而创建多个级别的分离，”他补充道。“虚拟机还支持使用未经修改的来宾操作系统执行环境，从而可以在共享计算平台上插入嵌入式和企业操作系统，如Linux。最后，通过虚拟机控制和分离计算机/板资源，该技术为支持混合安全关键性环境创造了非常好的封装，提供了对共享板/设备的硬件控制访问。

简化流程的整体方法

对使用自动化工具和多核处理器的兴趣日益浓厚之际，越来越多的无人驾驶飞机正在进入国家领空。

为了应对这些挑战，美国联邦航空管理局（FAA）和欧洲航空安全局（EASA）正在努力简化流程。“FAA和EASA的一致性有增加的趋势，”赫恩说。“他们称之为‘协调’。我们过去看到的是，EASA和FAA的认证规则大致相同，但它们在实施上往往有所不同。然而，我们越来越多地看到规则通过标准机构以及两个认证机构之间的一些会议得到协调。

美国联邦航空局有“一套他们一直在讨论的总体原则，以简化整个认证过程，”罗曼斯基说。“他们从更全面的角度来看待它，更多的是从系统的角度来看待它，而不是他们在DO-178B和DO-254中制定的非常规范的规则。

这个过程大约在一年半前开始，一群人为FAA，EASA和其他认证机构工作。“我们正在开发一种新的简化认证方法，”他补充道。“这只是一个开始，当前版本已于9月发布，我们正在继续完善它，但这是一个我们试图将系统标准ARP4754A融合在一起的过程;DO-178C 的软件标准;以及 DO-254 的复杂硬件标准。

“总体属性将试图融合其他标准的本质，以便您可以使用这些总体属性来开发认证证据，而不是像DO-178C这样的传统属性。它仍处于早期阶段，但这种方式为用户提供了更大的灵活性，可以进行认证，“Romanski说。“美国联邦航空局正在采取的另一种方法是试图制定一个基于风险的软件认证流程，特别是对于小型飞机，通用航空飞机。美国联邦航空局发现，在这些通用航空飞行器中，有新的设备进入机载，应该经过认证，因为它们对安全至关重要;现在的问题是，你可以不用这些设备飞行，或者你可以把这些设备放在飞机上，使小型飞机更安全。

审核编辑：郭婷