UAS的航空電子安全認證必須應(yīng)對安全、多核和任務(wù)挑戰(zhàn)

隨著國家空域（NAS）變得更加擁擠，軍事和商業(yè)航空界正在推動對無人機系統(tǒng)（UAS）進行更嚴格的認證，俗稱無人機。擁擠的NAS意味著不發(fā)達，未經(jīng)認證的無人系統(tǒng)與有人駕駛飛機一起飛行的危險增加。與此同時，多核處理器在有人駕駛和無人駕駛飛機認證中的使用量有所增加，但安全問題繼續(xù)困擾著航空界。

當涉及到在國家領(lǐng)空飛行的無人駕駛飛機時，精靈已經(jīng)從瓶子里出來了。政府監(jiān)管將永遠追趕，但監(jiān)管機構(gòu)和航空電子設(shè)備設(shè)計師在認證無人駕駛飛機上的軟件和硬件方面保持領(lǐng)先地位至關(guān)重要，就像他們對有人駕駛平臺所做的那樣，特別是在認證多核技術(shù)領(lǐng)域。

行業(yè)官員正在看到確保有人駕駛和無人駕駛飛機遵循相似（如果不是相同）安全程序的推動力。不幸的是，即使越來越多的UAS飛上天空，無人系統(tǒng)認證仍然滯后。為了解決這種情況，航空界越來越多地考慮使用 DO-178/DO-254 認證。

“我已經(jīng)足夠大了，可以記住第一臺個人電腦和人們的反應(yīng)：‘它很酷，但沒有軟件，它不會用于實際目的，’”AFuzion Inc.（加利福尼亞州洛杉磯）首席技術(shù)官Vance Hilderman說。這種觀點持續(xù)了幾年，直到達到臨界點，計算機使用量爆炸式增長。我們現(xiàn)在正處于無人系統(tǒng)的同樣轉(zhuǎn)折點。FAA（聯(lián)邦航空管理局）和EASA（歐盟航空安全局）最近在可行的標準上取得了長足的進步。顯然，新的ADS-B任務(wù)以及將ADS-B Out應(yīng)用于更多無人機也有幫助。較大的無人駕駛生產(chǎn)商現(xiàn)在終于應(yīng)用了與小型有人駕駛飛機類似的安全/可靠性標準（例如，第23部分，其中涵蓋了基于性能的安全標準），因此大大提高了飛機和操作的可靠性。

DO-254認證已成為一項要求。Holt Integrated Circuits（加利福尼亞州Mission Viejo）總裁兼首席執(zhí)行官David Mead表示：“在過去三到五年中，軍方對DO-254認證越來越感興趣，主要是由于需要共享商業(yè)空域并提供類似于商用飛機行業(yè)的設(shè)計保證水平（DAL）。所有安全或關(guān)鍵任務(wù)系統(tǒng)通常都通過了DAL A認證，這是最高的保證級別，其中故障條件將是災(zāi)難性的，從而阻止繼續(xù)安全飛行和著陸。

坦率地說，挑戰(zhàn)是巨大的：“DO-178和DO-254是在安全系統(tǒng)范圍內(nèi)開發(fā)安全軟件和固件的指導(dǎo)方針，”水星系統(tǒng)公司（馬薩諸塞州安多弗）旗下水星任務(wù)系統(tǒng)的喬治格雷夫斯說。這些文件是幾十年來與行業(yè)和政府合作建立的。

安全認證統(tǒng)計數(shù)據(jù)不言自明：“目前的安全記錄證明了為提供這種指導(dǎo)所付出的遠見和努力，”他繼續(xù)說道。

雖然航空界在飛行、認證和保持天空安全方面擁有數(shù)十年的經(jīng)驗，但有些人認為有必要通過DO-254 / DO-178認證無人系統(tǒng)。換句話說，無人系統(tǒng)需要快速有效地進行追趕游戲——所有這些都是為了安全。

當然，挑戰(zhàn)仍然存在于“更新安全評估和認證流程，以支持這種安全水平，而無需人工參與，”格雷夫斯補充道。“為了支持向無人系統(tǒng)的轉(zhuǎn)型 - 用我們今天擁有的安全性做我們今天能做的事情 - 將需要幾十年的時間，現(xiàn)有的方法和指導(dǎo)。因此，我們面臨的另一個重大挑戰(zhàn)是加速這些過程，同時仍然允許使用支持自主性所需的更復(fù)雜的技術(shù)。

自動化將有助于這一過程，但問題仍然存在，“無人系統(tǒng)現(xiàn)在面臨著以UAS制造商最初沒有考慮的方式認證DO-254和DO-178的需求，”CoreAVI（佛羅里達州坦帕）銷售和營銷副總裁Dan Joncas說。“從全球鷹等大型系統(tǒng)到手動發(fā)射平臺，UAS的尺寸差異很大，這意味著由于空間，重量和功率限制的增加，認證要求和可用的硬件都存在巨大差異。這意味著，例如，用于有人駕駛飛機的典型硬件外形對于較小的UAS來說可能是不切實際的，這也可能對可以支持的軟件施加限制

自 2018 年 12 月倫敦蓋特威克機場事件發(fā)生以來，小型無人機絕對是一個令人擔(dān)憂的問題，其中一架小型無人機在機場攔截了數(shù)百個航班。瓊卡斯補充說，在這些類型的事件中，“蓋特威克機場（歐洲最大的機場之一）的民用空中交通被小型無人機系統(tǒng)中斷了數(shù)天，對無人機使用的適當認證和控制只會變得更加重要。“同樣，新興的空中出租車市場意味著我們現(xiàn)在正在尋找沒有飛行員控制的載人無人機。以色列正在為軍事計劃開創(chuàng)這項工作。

更糟糕的是，UAS必須具有某些內(nèi)置功能才能安全運行，包括避免碰撞的能力。“避免碰撞仍然是無人機在沒有視線飛行員或根本沒有飛行員的情況下在商業(yè)空域的主要障礙;信任非視距飛行將是商業(yè)需求所必需的，“DDC-I Inc.（亞利桑那州鳳凰城）技術(shù)營銷經(jīng)理Gary Gilliland說?！斑@種能力將使商業(yè)市場爆炸 - 而不是字面意思 - 因為UAS在商業(yè)市場上有很多賺錢的機會。

除了避開天空中的物體外，無人機還需要“識別來襲飛機并采取相應(yīng)行動。這是一個試點要求，現(xiàn)在必須是軟件驅(qū)動的，這導(dǎo)致了基于感知和避免技術(shù)的新系統(tǒng)，“Petty說。

這些功能中的每一個都必須經(jīng)過認證?！白裱璂O-254和DO-178的實際過程保持不變，”Petty解釋說?！艾F(xiàn)在，隨著系統(tǒng)要求下降，對無人駕駛飛機進行類型認證，難度就會上升到更高的水平。這反過來又將硬件和軟件需求向向子系統(tǒng)。這種向動將確定后續(xù)認證的系統(tǒng)要求和安全級別。

軍用和商用無人機的安全難題

安全也是航空界的一個主要問題。Gilliland說，一些擔(dān)憂尤其包括“你打算在航空電子系統(tǒng)上運行的軟件就是系統(tǒng)上運行的全部”?！按斯δ芡ǔ７Q為安全啟動和安全升級。有很多方法可以做到這一點，但我們看到硬件供應(yīng)商正在硬件中添加功能以協(xié)助這項工作。

“軍事客戶通常有額外的安全要求，例如防篡改和與任務(wù)系統(tǒng)的交互，”Petty補充道?！斑@些額外的要求可能會對整體安全邊界產(chǎn)生影響，在某些情況下需要納入安全認證活動。

公司已開始添加更多功能，以幫助應(yīng)對任務(wù)系統(tǒng)中的惡意威脅;更進一步，AZFuzion還提供DO-326A / ED202A安全生態(tài)系統(tǒng)等培訓(xùn)。

希爾德曼說：“通過新的DO-326A/ED-202A文檔集實現(xiàn)的航空網(wǎng)絡(luò)安全正在爆炸式增長，全球認證機構(gòu)堅持合規(guī)性，飛機/航空電子設(shè)備開發(fā)和運營生態(tài)系統(tǒng)迅速試圖應(yīng)對可行的解決方案?！白詈螅S著航空供應(yīng)商試圖應(yīng)對越來越快的時間表和不斷變化的系統(tǒng)要求，敏捷軟件開發(fā)正越來越受到歡迎;我們終于看到，在我們以前古板的開發(fā)框架中，我稱之為‘MA’的‘主要是敏捷’開發(fā)被接受。

認證多核

就在您認為安全認證還不夠復(fù)雜的時候，多核技術(shù)出現(xiàn)了。

“在更廣泛的航空界中，總是出現(xiàn)的趨勢 - 或者說，反復(fù)出現(xiàn)的問題 - 是：‘多核處理器的認證何時成為常規(guī)？’和‘我們什么時候才能有一種方法來認證更高程度的復(fù)雜性，如自主甚至智能系統(tǒng)？’”水星的墳?zāi)拐f?！皹I(yè)界花費了數(shù)千人年來認證在多核安全關(guān)鍵模式下運行的真正多核處理器。

然而，辛勤工作得到了回報，到2019年或2020年，用戶將看到商用飛機中多核處理器的影響，Graves補充道?！半m然這可能是未來方向所定義的趨勢，但今天和多年來生產(chǎn)的大多數(shù)計算機都是多核的。

只需查看歷史，用戶就可以一窺生產(chǎn)航空安全關(guān)鍵系統(tǒng)需要多長時間。“事實上，自從IBM首次推出POWER4多核處理器以來，已經(jīng)有18年了，”Graves繼續(xù)說道?！坝捎谡J證多核處理的復(fù)雜性花了這么長時間，因此已經(jīng)有很多工作組討論來研究替代認證方法，希望加速和增強認證過程。這將減少獲得非常復(fù)雜系統(tǒng)（包括軍事用途）的安全關(guān)鍵認證所需的時間。

此外，“集成模塊化航空電子設(shè)備（IMA）繼續(xù)推動安全系統(tǒng)，帶來的好處包括將混合臨界系統(tǒng)整合到一個通用硬件平臺上，并通過標準化模塊和通過分區(qū)分離來最小化變更成本，”Wind River（加利福尼亞州阿拉米達）航空航天與國防副總裁Ray Petty說?！芭c固定功能的單一應(yīng)用系統(tǒng)相比，這具有許多優(yōu)勢。多核為該架構(gòu)增加了更多的計算能力，甚至可能允許處理器密集型應(yīng)用程序在混合關(guān)鍵性系統(tǒng)中運行;但是，這增加了平臺提供商和應(yīng)用程序開發(fā)人員的安全舉證責(zé)任。

認證多核處理器不僅可以縮短上市時間，還可以降低與認證飛機相關(guān)的成本。隨著多核處理器超越傳統(tǒng)處理器，認證無人系統(tǒng)仍然是一個挑戰(zhàn)。

審核編輯：郭婷