将安全认证COTS的优势提升到系统级别

航空电子集成商和飞机认证机构现在理解并接受，可以使用一整套支持系统和飞机认证的 DO-254 和 DO-178B 数据工件来设计可认证的商用现货 （COTS） 组件。下一阶段：在为航空电子系统设计人员提供安全认证 COTS 的成本、时间和风险降低优势时，定义这些产品在子系统级别的优势。

如今，COTS 供应商可以提供充满安全认证卡的工具箱，这些卡代表了可以集成到坚固机箱中的各种功能。传统的 COTS 和可认证的 COTS 模块都降低了成本，因为一旦设计完成，模块就可以在许多不同的应用中重复使用。传统的COTS模块通常采用最新和最好的半导体技术设计，旨在非常灵活并适应许多不同的设计情况。这种 COTS 模型有助于加快尖端半导体器件的现场部署，尤其是军事应用。相比之下，对于安全认证的COTS设计，使用新技术可能不如长期的知名设备吸引人。

对于安全认证的 COTS 板，元件选择更加严格，因为选择器件时需要考虑到设计的设计保证级别 （DAL） 要求及其元件的可认证性。由于这些原因，最新的半导体技术通常不会被选中，因为它们不符合国际认证机构（如FAA［联邦航空管理局］，EASA［欧洲航空安全局］和加拿大运输部）指南中规定的服务历史等方面的标准。

例如，与基于 A72 Arm 内核的 SBC 相比，基于较旧的 A53 Arm 处理器架构的单板计算机 （SBC） 更适合可认证应用程序，因为它的使用时间要长得多，这简化了数据工件的收集和认证所需的服务历史记录。服务历史记录包括从设备以前在潜在数千种不同应用中使用中收集的所有知识和经验。如果该设备以前用于航空电子应用并累积了飞行时间，那就更好了。

还需要更严格地定义安全认证模块，以尽量减少和消除任何可能增加认证过程复杂性的无关或不需要的功能的存在，这将使认证所需的已经大量的数据工件的管理和收集更加困难。所有功能都必须被“锁定”，这意味着任何未使用的硬件功能或软件功能都将被丢弃或禁用，以使其不会影响系统本身的性能或安全性。可认证的 COTS 供应商需要能够证明任何禁用的硬件功能将保持关闭状态，并且不会再次意外打开。应完全删除任何不需要或不需要的软件功能。此保护措施还有助于减少需要测试可验证性的软件代码行数。任何不增加价值或应用程序不需要的额外代码行都会给认证过程增加不必要的负担。

虽然可认证的 COTS 数据工件可以在后续设计中重复使用，与定制设计相比可以节省大量成本，但它们需要更新和更改，以符合给定系统的任何要求或功能更改。

积木

坚固耐用的 COTS 供应商现在正在创建可认证的 COTS 构建块 - 每个构建块都由现有的数据工件包提供支持 - 以简化和加速安全关键系统的开发。这些构建模块包括 SBC、航空电子 I/O 卡和显卡的补充，所有这些都可以与可修改的底盘相结合，为机载平台开发开放式架构设计。这些系统预先集成了元件，并符合适当的环境水平，为集成商提供了一个理想的起点，以增加其在应用本身的价值。更好的是，使用经过验证的设计可以消除从头开始开发新设计所涉及的程序风险，包括成本和时间。这些可认证的构建模块使航空电子系统设计人员能够立即开始开发应用软件，而不必等待定制设计的可用性。

单板计算机

业界正在寻找高性能多核处理器，以便将旧的联合系统整合到集成的模块化架构中，该架构可以在分区中容纳多种功能和 DAL。此设置不仅需要多核处理器，还需要支持支持 ARINC 653 的多核操作系统。处理器的选择基于它们是否适合获得相应 DAL（从 A 到 E）的认证，并得到处理器供应商的支持和足够的服务历史记录以适合用途。通常，电源架构处理器已被选用于更高的 DAL，但基于 Arm 的多核处理器也有望在不久的将来占据这一空间。由于资源共享，多核处理器认证仍然存在挑战，但行业和认证机构的指导为克服这些挑战提供了方向。此外，今天还有多核处理器正在获得飞行认证。

航空电子 I/O

当今的飞机中使用了各种各样的传统输入/输出标准。典型接口包括 MIL-STD-1553、ARINC 429、CANbus、以太网、RS-232、RS-422、RS-485 和模拟 I/O。还有一些更新的确定性接口用于互连，例如安全关键以太网 （ARINC 664）、时间触发以太网 （TTE） 和时间触发协议 （TTP）。使用的接口类型多种多样，这意味着每个安全关键系统都可能具有一组独特的 I/O 要求，因此很难定义能够满足大多数需求的单个机箱级产品。

高性能显卡

图形卡提供了输入/捕获和处理来自飞机中各种来源的视频的能力。此视频可以压缩以进行存储或路由以进行显示，并覆盖其他信息，以提高态势感知能力。图形处理器或图形处理器单元 （GPU） 必须根据 DO 规则仔细选择进行认证。此外，GPU 供应商必须有办法通过硬件或软件减少任何危险的误导性信息，以解决 CAST 29 和 EASA 认证备忘录 CM-SWCEH-001 中定义的问题。更重要的是，GPU的软件驱动程序必须支持OpenGL的可认证版本，即OpenGL SC 1.0或2.0。安全关键应用的其他重要 GPU 功能包括压缩和解压缩视频（H.264 和 H.265）并以非常低的延迟显示视频的能力。

坚固的底盘

坚固的安全认证 COTS 机箱构建块应基于标准，并在 DO-160/MIL-STD-810 环境测试合规性方面具有一些可证明的血统。

安全认证系统

使用上述一系列安全认证的构建模块，系统集成商可以设计出能够满足严格安全要求的各种坚固耐用的航空电子系统。以下概述提供了这些类型的解决方案的示例：

视觉环境系统退化

退化视觉环境 （DVE） 系统采用射频 （RF） 或电光 （EO） 传感技术（或两者的组合），使用数据融合算法根据传感环境提供最佳成像解决方案。DVE系统显示具有代表性的高度指示，并突出显示能见度低情况下的障碍物，例如掉电（沙子），恶劣天气或白雪（雪）。DVE系统通常具有一个或多个处理元件（SBC），一个I/O卡（用于从各种传感器和图形卡引入数据）。

图形处理器

用于显示和处理视频信息的图形处理器通常由 SBC 和一个或多个图形卡的组合开发，具体取决于视频流的数量。

任务计算

任务计算机处理视频、传感器和任务导航数据，以提供格式化的显示输出。任务计算机提高了态势感知能力并减轻了飞行员的工作量。任务计算机可能具有多个 SBC、图形卡和 I/O 模块，具体取决于系统的复杂程度以及所需输入和输出的数量。

飞行控制计算机

飞行控制计算机（FCC）计算并传输所有正常模式飞行控制表面执行器命令。通常，飞机上安装三个 FCC。每个FCC都将利用SBC来执行飞行控制算法。FCC 通常还具有大量输入和输出阵列，以便收集传感器数据并控制适当的控制表面。

安全认证航空处理器示例

航空处理器是安全关键型集成系统设计的一个很好的例子。在此示例中，系统最初可向 DAL C 进行认证，并将来具有通往 DAL A 的路径。Curtiss-Wright VPX3-152 电源架构 SBC采用四核 E6500 内核恩智浦 T2080，并与采用 AMD E8860 GPU 的 VPX3-719 显卡相结合，采用 1/2 ATR 坚固耐用的机箱。GPU 提供图形捕获、显示和处理。SBC 支持各种航空电子设备 I/O，例如 MIL-STD 1553、ARINC 429、DIO、串行通道等。

安全认证产品为航空电子系统设计人员提供的一大优势是，他们可以快速进行应用程序开发。任何修改，例如删除或禁用不需要的软件和硬件功能，都可以并行完成，而不会延迟开发过程。

审核编辑：郭婷