正在進(jìn)行的無(wú)人駕駛飛機(jī)系統(tǒng)認(rèn)證舉措

在國(guó)家空域系統(tǒng)（NAS）中運(yùn)行的無(wú)人駕駛飛機(jī)系統(tǒng)（UAS）繼續(xù)激增。作為回應(yīng)，美國(guó)聯(lián)邦航空管理局（FAA）正在發(fā)布監(jiān)管變更，這將影響有關(guān)在NAS中飛行的無(wú)人駕駛飛機(jī)（軍用和商用）的安全認(rèn)證政策。這些政策變化正在進(jìn)行中，軟件和硬件設(shè)計(jì)人員需要跟上這些變化。

根據(jù)美國(guó)聯(lián)邦航空管理局（FAA）的估計(jì)，到2020年，基于模型的sUAV（歸類為小型無(wú)人機(jī)）的注冊(cè)量將超過200萬(wàn)架，而非模型sUAV的注冊(cè)量將接近50萬(wàn)輛。目前美國(guó)聯(lián)邦航空局根據(jù)FAR 107對(duì)小型無(wú)人機(jī)（55磅以下）的規(guī)定，如果在白天和400英尺以下的不受控制的空域運(yùn)行，則不需要任何特殊的預(yù)授權(quán)。美國(guó)聯(lián)邦航空局最近的數(shù)據(jù)還顯示，人們?cè)絹?lái)越希望在FAR第107部分規(guī)定的限制之外運(yùn)營(yíng)。2017年，美國(guó)聯(lián)邦航空局批準(zhǔn)了1，600多項(xiàng)豁免，這些豁免影響了一個(gè)或多個(gè)第107部分標(biāo)準(zhǔn)（例如白天或視線操作），以及近13，000項(xiàng)針對(duì)受控空域操作的豁免。

雖然豁免程序可能很繁瑣，但很明顯，繼續(xù)使用豁免將抑制創(chuàng)新和增長(zhǎng)。擺在面前的挑戰(zhàn)：監(jiān)管要求和創(chuàng)新愿望如何與安全的UAS流量增長(zhǎng)共存？

［編者注：術(shù)語(yǔ)UAV是指實(shí)際的飛機(jī)，而術(shù)語(yǔ)UAS是指飛機(jī)，其有效載荷，其地面站 - 基本上是與平臺(tái)相關(guān)的任何東西。

無(wú)人機(jī)監(jiān)管變化

2012年，美國(guó)聯(lián)邦航空局被國(guó)會(huì)授權(quán)簡(jiǎn)化飛機(jī)認(rèn)證流程。美國(guó)聯(lián)邦航空局已經(jīng)根據(jù)FAR Part 23（針對(duì)小于12，000磅的飛機(jī)）重寫了法規(guī)，使飛機(jī)和設(shè)備制造商能夠提高效率。該機(jī)構(gòu)還與外國(guó)監(jiān)管機(jī)構(gòu)就提高相互批準(zhǔn)的效率達(dá)成協(xié)議。此外，美國(guó)聯(lián)邦航空局去年將自己從地理領(lǐng)域重組為功能領(lǐng)域。這些變化帶來(lái)了更高效的審批流程，并允許更多的創(chuàng)新，同時(shí)保持或改善對(duì)安全的關(guān)注。

現(xiàn)在，美國(guó)聯(lián)邦航空局正在采取更大膽的步驟，簡(jiǎn)化軟件和復(fù)雜硬件認(rèn)證的過程（目前正在進(jìn)行中）。這項(xiàng)最新舉措涉及擺脫RTCA/DO-178和DO-254中的規(guī)范性指南，而是使用稱為總體屬性（OP）的更一般的指南。根據(jù)美國(guó)聯(lián)邦航空局的說法，總體屬性計(jì)劃旨在為飛機(jī)系統(tǒng)設(shè)計(jì)和學(xué)科的多個(gè)級(jí)別的認(rèn)證過程提供靈活性和效率。美國(guó)聯(lián)邦航空局的理由是，認(rèn)證政策一直落后于技術(shù)和創(chuàng)新。通過為軟件和復(fù)雜的硬件審批提供更通用的框架，設(shè)計(jì)人員可以自由選擇如何顯示合規(guī)性。在無(wú)人駕駛飛機(jī)系統(tǒng)的設(shè)計(jì)和批準(zhǔn)中，這一點(diǎn)最為重要。

美國(guó)聯(lián)邦航空局于2018年3月舉辦了無(wú)人駕駛飛機(jī)系統(tǒng)研討會(huì)，吸引了900多名與會(huì)者。“整個(gè)會(huì)議的信息是：美國(guó)聯(lián)邦航空局對(duì)商業(yè)開放，”美國(guó)交通部政策副部長(zhǎng)德里克·坎說。研討會(huì)由政府、行業(yè)和創(chuàng)新者組成，討論法規(guī)和研究，目標(biāo)是將UAS安全地集成到NAS中。美國(guó)聯(lián)邦航空局的主要目標(biāo)：促進(jìn)UAS與NAS的集成（稱為UAS交通管理），并確保安全，安保和隱私。

研討會(huì)的焦點(diǎn)表明，美國(guó)聯(lián)邦航空局正在從其規(guī)范標(biāo)準(zhǔn)轉(zhuǎn)向基于性能的無(wú)人機(jī)合規(guī)方法;新方法側(cè)重于飛行器，飛行員和空域。最緊迫的問題是領(lǐng)空。今天，私人和商業(yè)空中交通主要由人類在計(jì)算機(jī)和雷達(dá)的幫助下管理。然而，鑒于無(wú)人機(jī)數(shù)量的預(yù)期增長(zhǎng)，在人類參與的情況下管理這些飛機(jī)是不切實(shí)際的。相反，UAS 交通管理 （UTM） 將為所有無(wú)人機(jī)啟用自動(dòng)識(shí)別、路由批準(zhǔn)、日志、沖突解決等。美國(guó)聯(lián)邦航空局的重點(diǎn)似乎是首先解決空域整合問題，目標(biāo)是在未來(lái)兩年內(nèi)通過法規(guī)。

無(wú)人機(jī)設(shè)計(jì)特點(diǎn)

如今，幾乎每個(gè)UAS開發(fā)人員都受益于敏捷開發(fā)、低進(jìn)入門檻、新設(shè)計(jì)方法和較短的上市時(shí)間，但他們?cè)谠O(shè)計(jì)安全關(guān)鍵系統(tǒng)方面的經(jīng)驗(yàn)有限。相比之下，大多數(shù)傳統(tǒng)的軍事和商業(yè)設(shè)備設(shè)計(jì)人員都受到有條不紊（例如DO-178驅(qū)動(dòng)）的開發(fā)過程，高進(jìn)入門檻，傳統(tǒng)工具，長(zhǎng)交貨時(shí)間以及遵守法規(guī)的豐富經(jīng)驗(yàn)的驅(qū)動(dòng)。由于許多經(jīng)濟(jì)和技術(shù)因素，包括時(shí)間、成本、代碼大小、基于模型設(shè)計(jì)的使用、代碼生成和使用開源軟件等因素，試圖在UAS上“改造”DO-178或DO-254的規(guī)定方法是不切實(shí)際的。

UAS設(shè)計(jì)人員更傾向于使用仿真平臺(tái)和飛行測(cè)試來(lái)測(cè)試和驗(yàn)證他們的系統(tǒng)。傳統(tǒng)的基于需求或基于單元的測(cè)試可能無(wú)法完成，尤其是在原型階段。如今，這些車輛中的大多數(shù)要么在受控 NAS 之外運(yùn)行，要么獲得豁免。但是，一旦這些車輛希望在夜間、人口稠密地區(qū)或視線之外飛行，就需要額外的驗(yàn)證方法。（圖 1。美國(guó)聯(lián)邦航空局認(rèn)識(shí)到，創(chuàng)建獨(dú)立于技術(shù)的保證技術(shù)可能是在NAS中實(shí)現(xiàn)UAS設(shè)備認(rèn)證的最佳方式。如果人們認(rèn)為自動(dòng)駕駛汽車（空中和陸地）將很快成為學(xué)習(xí)系統(tǒng)，那么不久之后將需要DO-178或ISO 26262中未涉及的新技術(shù)和方法來(lái)驗(yàn)證這些能力。

其他可接受的軟件合規(guī)性方式

迄今為止生產(chǎn)的大多數(shù)UAS內(nèi)部運(yùn)行的軟件沒有正式的認(rèn)證譜系。用DO-178的說法，它都是“E級(jí)”軟件，這意味著任何故障條件都不會(huì)對(duì)安全產(chǎn)生影響。當(dāng)然，在UAS的用例中，只要采取適當(dāng)?shù)拇胧?，軟件故障不?huì)對(duì)安全產(chǎn)生影響。但是，如果用例擴(kuò)展到包括更重的車輛、在人口稠密地區(qū)上空飛行或超出視線的操作，則所有軟件都不能再被視為 E 級(jí)。安全分析可以確定在UAS計(jì)算平臺(tái)上運(yùn)行的某些軟件可能需要獲得設(shè)計(jì)保證級(jí)別（DAL）B或A的認(rèn)證，具體取決于給定故障條件的結(jié)果。

由于UAS設(shè)計(jì)人員可能使用敏捷開發(fā)方法，采用基于模型的設(shè)計(jì)來(lái)生成控制軟件，或使用新穎的工具或技術(shù)，因此DO-178逆向工程方法的應(yīng)用可能不切實(shí)際。此外，UAS設(shè)計(jì)人員更多地依賴開源軟件（例如Linux）并擁有龐大的代碼庫(kù)。在這種情況下，F(xiàn)AA基于風(fēng)險(xiǎn)的認(rèn)證合規(guī)方法可以提供幫助。

總體屬性倡議

美國(guó)聯(lián)邦航空局吹捧的總體財(cái)產(chǎn)計(jì)劃仍在建設(shè)中，這種方法的正式政策可能要到2020年或更晚才會(huì)發(fā)生，具體取決于試點(diǎn)項(xiàng)目的結(jié)果和外國(guó)監(jiān)管機(jī)構(gòu)的意見。該方法是所有安全關(guān)鍵系統(tǒng)都具有三個(gè)固有屬性：

意向：定義的預(yù)期行為相對(duì)于所需行為是正確的和完整的

正確性：在可預(yù)見的操作條件下，實(shí)現(xiàn)相對(duì)于其定義的預(yù)期行為是正確的

可接受性：定義的預(yù)期行為不需要的實(shí)現(xiàn)的任何部分都沒有不可接受的安全影響

在這三個(gè)屬性中，人們可以看到FAA基于風(fēng)險(xiǎn)的認(rèn)證方法，以及沒有提到DO-178或DO-254的細(xì)節(jié)。每個(gè)屬性都有定義的評(píng)估標(biāo)準(zhǔn)，因此審核員有辦法批準(zhǔn)設(shè)計(jì)，并且這些標(biāo)準(zhǔn)以類似的方式為每個(gè)屬性構(gòu)建。每個(gè)都有計(jì)劃活動(dòng)、覆蓋范圍標(biāo)準(zhǔn)、生成的證據(jù)和整體流程保證?？梢詫傩院驮u(píng)估標(biāo)準(zhǔn)視為 DO-178 和 DO-254 要求的抽象，而無(wú)需對(duì)目標(biāo)、輸入、輸出或結(jié)果文檔進(jìn)行任何規(guī)范性描述。每個(gè)供應(yīng)商決定其流程、工具和技術(shù)如何滿足屬性和評(píng)估標(biāo)準(zhǔn)。

對(duì)于 Intent 屬性，當(dāng)前定義的評(píng)估標(biāo)準(zhǔn)為：

規(guī)劃活動(dòng)

定義所需的預(yù)期行為 （DIB）

識(shí)別輸入空間、可觀察行為、故障條件

在適用的輸入和故障條件下的DIB覆蓋范圍

證據(jù) – 計(jì)劃活動(dòng)所需的數(shù)據(jù)

過程保證 – 獨(dú)立評(píng)估，數(shù)據(jù)受配置管理 （CM） 控制，保留評(píng)估證據(jù)

與安全評(píng)估過程的交互 – 分配 DAL，確認(rèn) DIB 與安全評(píng)估過程假設(shè)一致，并解決故障條件

對(duì)于“正確性”屬性，當(dāng)前定義的評(píng)估標(biāo)準(zhǔn)為：

規(guī)劃活動(dòng)

評(píng)估可能的錯(cuò)誤源，解決錯(cuò)誤預(yù)防/檢測(cè)問題

描述每個(gè)（開發(fā)）層如何針對(duì)更高層或 DIB 顯示正確

描述如何針對(duì)每個(gè)較高層或 DIB 顯示實(shí)現(xiàn)的正確性

覆蓋范圍 – DIB 及其在適用輸入和故障條件下的實(shí)施

證據(jù) – 計(jì)劃活動(dòng)所需的數(shù)據(jù)

過程保證 – 獨(dú)立評(píng)估，數(shù)據(jù)受CM控制，保留評(píng)估證據(jù)

與安全評(píng)估過程的交互 – 分配 DAL，確認(rèn) DIB 與安全評(píng)估過程假設(shè)一致，并解決故障條件

驗(yàn)證環(huán)境

除最終環(huán)境外使用的驗(yàn)證環(huán)境的差異和理由

對(duì)正在驗(yàn)證的方面（即時(shí)間、堆棧使用等）的適用性是合理的

制造、維修、運(yùn)營(yíng)和持續(xù)適航

確保設(shè)計(jì)數(shù)據(jù)允許一致地復(fù)制實(shí)施

確保設(shè)計(jì)數(shù)據(jù)允許生成適當(dāng)?shù)某掷m(xù)適航說明 （ICA）

確定影響操作或安裝的支持說明或限制

對(duì)于“可接受性”屬性，當(dāng)前定義的評(píng)估標(biāo)準(zhǔn)為：

規(guī)劃活動(dòng)

定義識(shí)別實(shí)現(xiàn)中的添加的方法

如何獲得實(shí)施中增加內(nèi)容的信心，包括與安全評(píng)估過程的交互

覆蓋

識(shí)別實(shí)現(xiàn)中的所有添加項(xiàng)（無(wú)論是否使用）

實(shí)施中添加的影響（對(duì)安全沒有不可接受的影響）

用于限制實(shí)施和證據(jù)的緩解手段

證據(jù) – 計(jì)劃活動(dòng)所需的數(shù)據(jù)

過程保證 – 獨(dú)立評(píng)估，數(shù)據(jù)處于配置管理控制之下，評(píng)估證據(jù)保留

與安全評(píng)估過程的互動(dòng)

確保實(shí)現(xiàn)中不需要滿足 DIB 的任何功能都沒有不可接受的安全影響

確保任何剩余的問題或缺陷沒有不可接受的安全影響

前進(jìn)的道路

很明顯，OP的方法是避免DO-178或DO-254中使用的規(guī)范性驗(yàn)證目標(biāo)和技術(shù)。沒有提到工具鑒定、“代碼覆蓋率”或刪除死代碼或停用代碼的指南等主題。但是，需求和分解的概念在評(píng)估標(biāo)準(zhǔn)中貫穿始終，因此驗(yàn)證將側(cè)重于預(yù)期行為并達(dá)到所需的安全級(jí)別。目的不是要使其與傳統(tǒng)的驗(yàn)證軟件方式完全不同，而是在驗(yàn)證方式上允許更大的靈活性。

審核編輯：郭婷