下一代航空系統(tǒng)在認(rèn)證過(guò)程中推動(dòng)自動(dòng)化、多核處理器

隨著航空系統(tǒng)復(fù)雜性的提高，對(duì)有人駕駛和無(wú)人駕駛飛機(jī)的安全關(guān)鍵系統(tǒng)進(jìn)行認(rèn)證已促使工程師走向自動(dòng)化并并行工作以提高流程效率。多核處理器在這一推動(dòng)中發(fā)揮著重要作用，并增加了簡(jiǎn)化流程的工具。然而，隨著美國(guó)聯(lián)邦航空管理局（FAA）和歐洲航空安全局（EASA）努力簡(jiǎn)化流程，挑戰(zhàn)仍然存在。

多年來(lái)，系統(tǒng)的復(fù)雜性呈指數(shù)級(jí)增長(zhǎng)，促使行業(yè)尋找提高流程效率的方法。

事實(shí)上，“下一代系統(tǒng)的絕對(duì)復(fù)雜性要求供應(yīng)商需要向系統(tǒng)集成商提供的不僅僅是原始硬件和軟件 - 他們還需要提供安全認(rèn)證工件，以實(shí)現(xiàn)系統(tǒng)的快速集成和認(rèn)證測(cè)試，”舊金山灣區(qū)風(fēng)河航空航天和國(guó)防部門高級(jí)總監(jiān)Chip Downing說(shuō)。

作為回應(yīng)，設(shè)計(jì)人員正在使用自動(dòng)化工具來(lái)簡(jiǎn)化無(wú)人駕駛和有人駕駛飛機(jī)的認(rèn)證過(guò)程?！霸谙到y(tǒng)的生命周期中使用自動(dòng)化工具是一個(gè)巨大的變化，”位于馬薩諸塞州韋斯特福德的Verocel，Inc.總裁兼首席執(zhí)行官George Romanski說(shuō)。這是因?yàn)椤皹?biāo)準(zhǔn)要求非常嚴(yán)格的認(rèn)證方法。您必須生成需求并查看這些需求、生成設(shè)計(jì)、查看設(shè)計(jì)、生成代碼、查看代碼等。在一個(gè)典型的系統(tǒng)中，我們將有成千上萬(wàn)的工件，這些工件必須被開發(fā)，必須對(duì)其進(jìn)行審查，我們必須確保這些要求是合理的，并且彼此契合。

這個(gè)過(guò)程變得非常不現(xiàn)實(shí)?！氨Ａ舸罅啃枨蠛团缮枨蟮腅xcel電子表格非常繁瑣和乏味，”加拿大渥太華Curtiss-Wright Defense Solutions的產(chǎn)品經(jīng)理Rick Hearn說(shuō)。“你可以通過(guò)軟件工具實(shí)施任何自動(dòng)化，以便能夠在整個(gè)生命周期中跟蹤所有這些需求，你就越好。

設(shè)計(jì)人員正在分階段認(rèn)證安全關(guān)鍵系統(tǒng)：“大多數(shù)人試圖做的是開始并行工作，這樣你就可以有需求，你可能有五千個(gè)需求，其中一千個(gè)可能已經(jīng)準(zhǔn)備好了，所以你可以開始實(shí)施這些需求，但另外四千個(gè)仍在開發(fā)中，當(dāng)你開發(fā)設(shè)計(jì)時(shí)， 現(xiàn)在你可以開始實(shí)施了，“羅曼斯基解釋道?！皳Q句話說(shuō)，你開始重疊這些流程，如果你非常嚴(yán)格地管理信息，那么就有可能使這個(gè)過(guò)程更有效率。為此，它需要使用數(shù)據(jù)庫(kù)，需要將該數(shù)據(jù)庫(kù)鏈接到配置控制系統(tǒng)，并且需要非常嚴(yán)格的基線。

他補(bǔ)充說(shuō)，該過(guò)程還需要自動(dòng)身份驗(yàn)證?！叭藗儸F(xiàn)在可以在數(shù)據(jù)庫(kù)中進(jìn)行審查，你可以維護(hù)整個(gè)項(xiàng)目的整個(gè)開發(fā)過(guò)程，你可以讓分布式團(tuán)隊(duì)同時(shí)處理這個(gè)問(wèn)題。

“由于復(fù)雜性，必須在這些系統(tǒng)上進(jìn)行的測(cè)試量呈指數(shù)級(jí)增長(zhǎng)，并且必須實(shí)現(xiàn)測(cè)試的自動(dòng)化，”位于亞利桑那州圖森的水星任務(wù)系統(tǒng)業(yè)務(wù)發(fā)展總監(jiān)Scott Engle說(shuō)。“不可能手動(dòng)完成此操作。

Romanski解釋說(shuō)，Verocel的VeroTrace管理和控制所有生命周期數(shù)據(jù)，包括需求，設(shè)計(jì)，源代碼，測(cè)試用例，結(jié)果，文檔等。更重要的是，VeroTrace管理每個(gè)生命周期數(shù)據(jù)項(xiàng)的狀態(tài)，并提供每個(gè)項(xiàng)之間的可追溯性鏈接，以滿足包括DO-178C，IEC61508和ISO26262在內(nèi)的許多標(biāo)準(zhǔn)。（見圖1）。

圖1：Verocel的VeroTrace數(shù)據(jù)庫(kù)可以導(dǎo)出到DVD ROM，允許超鏈接瀏覽所有數(shù)據(jù)和文檔。由維羅塞爾提供。

多核處理器的興起

促成因素將是使用多核處理器。多年來(lái)，從單核處理器轉(zhuǎn)向并行工作的轉(zhuǎn)變已經(jīng)發(fā)展到“有興趣為安全應(yīng)用認(rèn)證多核處理器，”紐約市Mercury Systems任務(wù)系統(tǒng)集團(tuán)PLM和BD總監(jiān)Greg Tiedemann說(shuō)?！皬陌踩嵌葋?lái)看，當(dāng)你只有一個(gè)處理器時(shí)，認(rèn)證更容易。當(dāng)您有多個(gè)處理器在同一應(yīng)用程序上工作時(shí)，這更具挑戰(zhàn)性。對(duì)此的需求確實(shí)非常簡(jiǎn)單。你可以在其他市場(chǎng)和水星的其他地方看到它。我們之所以采用多核，是因?yàn)槟梢栽谔幚砗凸姆矫嫣岣咝?，并且只是一般?SWaP ［尺寸、重量和功耗］ 要求。你可以在更小的空間里做更多的事情。

“趨勢(shì)是多核，但這也是系統(tǒng)復(fù)雜性更高的趨勢(shì)，”Engle澄清道?！爱?dāng)我們進(jìn)行聯(lián)合飛機(jī)設(shè)計(jì)時(shí)，航空電子設(shè)備是位于整個(gè)飛機(jī)上的單一用途，特殊用途的盒子，現(xiàn)在將整合和集成模塊化航空電子設(shè)備（IMA）整合到更少數(shù)量或件數(shù)或件的設(shè)備上，現(xiàn)在在此基礎(chǔ)上添加多核，這些系統(tǒng)變得非常復(fù)雜。這種復(fù)雜性只會(huì)增加出錯(cuò)的可能性。

在過(guò)去的十年中，該行業(yè)一直在努力創(chuàng)建可行的多核安全解決方案?！拔覀円恢痹趻暝?，因?yàn)槲覀冊(cè)噲D將單核處理器中使用的相同測(cè)試和檢查流程應(yīng)用于多核設(shè)計(jì)，”風(fēng)河的唐寧解釋說(shuō)?！爱?dāng)使用單核處理器時(shí)，該內(nèi)存管理單元 （MMU） 非常擅長(zhǎng)創(chuàng)建受內(nèi)存保護(hù)的分區(qū);當(dāng)與強(qiáng)大的調(diào)度基礎(chǔ)相結(jié)合時(shí)，這是一條低風(fēng)險(xiǎn)的認(rèn)證途徑。

“在多核環(huán)境中，在一對(duì)多核上使用MMU根本無(wú)法管理需要在安全關(guān)鍵型解決方案中控制的所有資源，”他補(bǔ)充道?！拔磥?lái)，多核安全解決方案必須使用一種稱為‘硬件虛擬化輔助’的功能。此功能為虛擬化分區(qū)/容器/虛擬機(jī) （VM） 創(chuàng)建和管理僅靠軟件無(wú)法可靠地完成的所有資源。硬件輔助虛擬化創(chuàng)造了另一個(gè)更強(qiáng)大、更可靠、更全面的分離環(huán)境，解決了嘗試使用基于MMU的分離和單核系統(tǒng)的處理器/驅(qū)動(dòng)程序控制的許多問(wèn)題。

盡管取得了這一進(jìn)展，但由于許多挑戰(zhàn)，多核處理器的使用還沒有完全準(zhǔn)備好部署，“Tiedemann說(shuō)?！暗?，通常人們對(duì)它很感興趣。我認(rèn)為這是市場(chǎng)上的一個(gè)重要趨勢(shì)，我們正在密切關(guān)注，以確保當(dāng)解決方案支持它時(shí)，我們已經(jīng)準(zhǔn)備好利用它。

“硬件輔助虛擬化創(chuàng)造了做更多事情的機(jī)會(huì)，”唐寧指出?！笆紫龋黾恿艘粋€(gè)控制處理器和主板資源的執(zhí)行信封，因此在這些虛擬機(jī)中運(yùn)行的操作系統(tǒng)（OS）可以像控制整個(gè)處理器一樣運(yùn)行。此虛擬機(jī)還可以在一到多個(gè)內(nèi)核上分配，從而提供另一個(gè)級(jí)別的分離和抽象。

“此外，每個(gè)內(nèi)核都可以使用 MMU 在每個(gè)內(nèi)核上分離任務(wù)/線程，從而創(chuàng)建多個(gè)級(jí)別的分離，”他補(bǔ)充道?！疤摂M機(jī)還支持使用未經(jīng)修改的來(lái)賓操作系統(tǒng)執(zhí)行環(huán)境，從而可以在共享計(jì)算平臺(tái)上插入嵌入式和企業(yè)操作系統(tǒng)，如Linux。最后，通過(guò)虛擬機(jī)控制和分離計(jì)算機(jī)/板資源，該技術(shù)為支持混合安全關(guān)鍵性環(huán)境創(chuàng)造了非常好的封裝，提供了對(duì)共享板/設(shè)備的硬件控制訪問(wèn)。

簡(jiǎn)化流程的整體方法

對(duì)使用自動(dòng)化工具和多核處理器的興趣日益濃厚之際，越來(lái)越多的無(wú)人駕駛飛機(jī)正在進(jìn)入國(guó)家領(lǐng)空。

為了應(yīng)對(duì)這些挑戰(zhàn)，美國(guó)聯(lián)邦航空管理局（FAA）和歐洲航空安全局（EASA）正在努力簡(jiǎn)化流程?！癋AA和EASA的一致性有增加的趨勢(shì)，”赫恩說(shuō)?！八麄兎Q之為‘協(xié)調(diào)’。我們過(guò)去看到的是，EASA和FAA的認(rèn)證規(guī)則大致相同，但它們?cè)趯?shí)施上往往有所不同。然而，我們?cè)絹?lái)越多地看到規(guī)則通過(guò)標(biāo)準(zhǔn)機(jī)構(gòu)以及兩個(gè)認(rèn)證機(jī)構(gòu)之間的一些會(huì)議得到協(xié)調(diào)。

美國(guó)聯(lián)邦航空局有“一套他們一直在討論的總體原則，以簡(jiǎn)化整個(gè)認(rèn)證過(guò)程，”羅曼斯基說(shuō)?！八麄儚母娴慕嵌葋?lái)看待它，更多的是從系統(tǒng)的角度來(lái)看待它，而不是他們?cè)贒O-178B和DO-254中制定的非常規(guī)范的規(guī)則。

這個(gè)過(guò)程大約在一年半前開始，一群人為FAA，EASA和其他認(rèn)證機(jī)構(gòu)工作?！拔覀冋陂_發(fā)一種新的簡(jiǎn)化認(rèn)證方法，”他補(bǔ)充道?！斑@只是一個(gè)開始，當(dāng)前版本已于9月發(fā)布，我們正在繼續(xù)完善它，但這是一個(gè)我們?cè)噲D將系統(tǒng)標(biāo)準(zhǔn)ARP4754A融合在一起的過(guò)程;DO-178C 的軟件標(biāo)準(zhǔn);以及 DO-254 的復(fù)雜硬件標(biāo)準(zhǔn)。

“總體屬性將試圖融合其他標(biāo)準(zhǔn)的本質(zhì)，以便您可以使用這些總體屬性來(lái)開發(fā)認(rèn)證證據(jù)，而不是像DO-178C這樣的傳統(tǒng)屬性。它仍處于早期階段，但這種方式為用戶提供了更大的靈活性，可以進(jìn)行認(rèn)證，“Romanski說(shuō)。“美國(guó)聯(lián)邦航空局正在采取的另一種方法是試圖制定一個(gè)基于風(fēng)險(xiǎn)的軟件認(rèn)證流程，特別是對(duì)于小型飛機(jī)，通用航空飛機(jī)。美國(guó)聯(lián)邦航空局發(fā)現(xiàn)，在這些通用航空飛行器中，有新的設(shè)備進(jìn)入機(jī)載，應(yīng)該經(jīng)過(guò)認(rèn)證，因?yàn)樗鼈儗?duì)安全至關(guān)重要;現(xiàn)在的問(wèn)題是，你可以不用這些設(shè)備飛行，或者你可以把這些設(shè)備放在飛機(jī)上，使小型飛機(jī)更安全。

審核編輯：郭婷