安全认证的COTS案例

在商用航空这个目前最具安全意识的行业之一，硬件和软件开发人员必须根据严格的安全标准设计和测试他们的产品。最著名的是用于计算机硬件的DO-254，例如集成电路（IC）和现场可编程门阵列（FPGA），以及用于软件（例如操作系统和应用程序代码）的DO-178。

在商用航空这个目前最具安全意识的行业之一，硬件和软件开发人员必须根据严格的安全标准设计和测试他们的产品。最著名的是用于计算机硬件的DO-254，例如集成电路（IC）和现场可编程门阵列（FPGA），以及用于软件（例如操作系统和应用程序代码）的DO-178。

这些标准的基本原理是尽可能确保数百万行软件代码和与之交互的硬件设备将按照要求在飞机上执行其无数功能，而不是做任何其他事情。换句话说，这些标准试图消除航空电子设备功能中可能损害飞行安全的意外。

尽管DO-178和DO-254监管流程的发明是为了确保民用航空安全，但军事项目在这些安全标准下进行认证的压力越来越大 - 而不仅仅是以更宽松的方式遵守它们。军用飞机经常在民用领空飞行，必须与联邦航空局空中交通管制员通信，并采用民用空中交通管理技术。在日益拥挤的空中，无人机（UAV）的情况甚至更多。

军方及其供应商对系统进行认证也有合理的商业理由。其中一些原因：更高的质量，50%到75%的集成速度，以及更高的模块可重用性。（参见AFuzion，Inc.首席执行官Vance Hilderman，“军用航空电子设备和DO-254的阴阳”。DO-254对设计过程施加了纪律，以确保成品的所有元素都直接且可验证地追溯到要求。

与软件开发人员相比，硬件开发人员具有额外的认证激励措施，其形式是更快的投资回报。商用现货 （COTS） 硬件产品定制较少，商品化程度更高。从最小的组件到坚固的DO-254基础上设计的硬件更容易重新包装和重复使用，尤其是在飞行关键航空电子设备中伴随着安全使用的悠久历史时。

然而，不幸的是，开发可认证的 COTS 硬件并不便宜。芯片和互连等 COTS 组件是为消费市场批量生产的。通常对处理器的内部结构知之甚少，因为这些细节对竞争敏感。军事客户需要大量投资才能拿出证据 - 所谓的“人工制品” - 这些证据将通过DO-254认证。如果认证电路板需要数百万美元，系统成本可能很快就会变得难以承受。

可认证的COTS

这就是供应商提供的、可认证的 COTS 硬件的想法所在。电路板开发人员使用可认证组件设计产品，并收集工件（如有必要，对其进行逆向工程）以创建认证包。该文档包可帮助客户在 DO-254 认证中证明系统安全案例，并降低计划成本和部署时间。然后，电路板供应商通过销售可认证的标准产品组合来收回投资。

这种做法在董事会层面变得越来越普遍，尽管各种投资的范围和各种认证包的范围是保密的。

这种认证趋势的一个例子是Abaco Systems FORCE2坚固耐用的小型航空电子设备盒 - 用于安全关键型显示器，任务和飞行计算机插槽 - 采用高技术就绪级别的软件和硬件组件实施，并由DO-254工件支持，用于需要安全保证的系统，一直到设计保证级别A。

遵守DO-254的另一个优点是它在供应链上受到关注，促进了具有长期安全记录的组件制造商以及那些倾向于共享产品数据并建立适当保护措施的制造商。

零部件制造商加入的另一个原因是无人驾驶车辆和无人机的出现，它们将完成从监视到包裹递送的所有工作。半导体公司开始解决其架构中的安全问题，这一趋势可能会增加嵌入式市场的选择。

DO-254 比 DO-178 更新得多，尚未解决所有问题;例如，DO-254对多核微处理器的要求尚未确定。但工程师们正在努力解决这些问题，并且可能会在短期内找到解决方案，因为单核处理器会迅速从现场消失。

审核编辑：郭婷