在國家空域系統（NAS）中運行的無人駕駛飛機系統（UAS）繼續激增。作為回應，美國聯邦航空管理局（FAA）正在發布監管變更，這將影響有關在NAS中飛行的無人駕駛飛機（軍用和商用）的安全認證政策。這些政策變化正在進行中，軟件和硬件設計人員需要跟上這些變化。

根據美國聯邦航空管理局（FAA）的估計，到2020年，基于模型的sUAV（歸類為小型無人機）的注冊量將超過200萬架，而非模型sUAV的注冊量將接近50萬輛。目前美國聯邦航空局根據FAR 107對小型無人機（55磅以下）的規定，如果在白天和400英尺以下的不受控制的空域運行，則不需要任何特殊的預授權。美國聯邦航空局最近的數據還顯示，人們越來越希望在FAR第107部分規定的限制之外運營。2017年，美國聯邦航空局批準了1，600多項豁免，這些豁免影響了一個或多個第107部分標準（例如白天或視線操作），以及近13，000項針對受控空域操作的豁免。

雖然豁免程序可能很繁瑣，但很明顯，繼續使用豁免將抑制創新和增長。擺在面前的挑戰：監管要求和創新愿望如何與安全的UAS流量增長共存？

［編者注：術語UAV是指實際的飛機，而術語UAS是指飛機，其有效載荷，其地面站 - 基本上是與平臺相關的任何東西。

無人機監管變化

2012年，美國聯邦航空局被國會授權簡化飛機認證流程。美國聯邦航空局已經根據FAR Part 23（針對小于12，000磅的飛機）重寫了法規，使飛機和設備制造商能夠提高效率。該機構還與外國監管機構就提高相互批準的效率達成協議。此外，美國聯邦航空局去年將自己從地理領域重組為功能領域。這些變化帶來了更高效的審批流程，并允許更多的創新，同時保持或改善對安全的關注。

現在，美國聯邦航空局正在采取更大膽的步驟，簡化軟件和復雜硬件認證的過程（目前正在進行中）。這項最新舉措涉及擺脫RTCA/DO-178和DO-254中的規范性指南，而是使用稱為總體屬性（OP）的更一般的指南。根據美國聯邦航空局的說法，總體屬性計劃旨在為飛機系統設計和學科的多個級別的認證過程提供靈活性和效率。美國聯邦航空局的理由是，認證政策一直落后于技術和創新。通過為軟件和復雜的硬件審批提供更通用的框架，設計人員可以自由選擇如何顯示合規性。在無人駕駛飛機系統的設計和批準中，這一點最為重要。

美國聯邦航空局于2018年3月舉辦了無人駕駛飛機系統研討會，吸引了900多名與會者。“整個會議的信息是：美國聯邦航空局對商業開放，”美國交通部政策副部長德里克·坎說。研討會由政府、行業和創新者組成，討論法規和研究，目標是將UAS安全地集成到NAS中。美國聯邦航空局的主要目標：促進UAS與NAS的集成（稱為UAS交通管理），并確保安全，安保和隱私。

研討會的焦點表明，美國聯邦航空局正在從其規范標準轉向基于性能的無人機合規方法;新方法側重于飛行器，飛行員和空域。最緊迫的問題是領空。今天，私人和商業空中交通主要由人類在計算機和雷達的幫助下管理。然而，鑒于無人機數量的預期增長，在人類參與的情況下管理這些飛機是不切實際的。相反，UAS 交通管理 （UTM） 將為所有無人機啟用自動識別、路由批準、日志、沖突解決等。美國聯邦航空局的重點似乎是首先解決空域整合問題，目標是在未來兩年內通過法規。

無人機設計特點

如今，幾乎每個UAS開發人員都受益于敏捷開發、低進入門檻、新設計方法和較短的上市時間，但他們在設計安全關鍵系統方面的經驗有限。相比之下，大多數傳統的軍事和商業設備設計人員都受到有條不紊（例如DO-178驅動）的開發過程，高進入門檻，傳統工具，長交貨時間以及遵守法規的豐富經驗的驅動。由于許多經濟和技術因素，包括時間、成本、代碼大小、基于模型設計的使用、代碼生成和使用開源軟件等因素，試圖在UAS上“改造”DO-178或DO-254的規定方法是不切實際的。

UAS設計人員更傾向于使用仿真平臺和飛行測試來測試和驗證他們的系統。傳統的基于需求或基于單元的測試可能無法完成，尤其是在原型階段。如今，這些車輛中的大多數要么在受控 NAS 之外運行，要么獲得豁免。但是，一旦這些車輛希望在夜間、人口稠密地區或視線之外飛行，就需要額外的驗證方法。（圖 1。美國聯邦航空局認識到，創建獨立于技術的保證技術可能是在NAS中實現UAS設備認證的最佳方式。如果人們認為自動駕駛汽車（空中和陸地）將很快成為學習系統，那么不久之后將需要DO-178或ISO 26262中未涉及的新技術和方法來驗證這些能力。

其他可接受的軟件合規性方式

迄今為止生產的大多數UAS內部運行的軟件沒有正式的認證譜系。用DO-178的說法，它都是“E級”軟件，這意味著任何故障條件都不會對安全產生影響。當然，在UAS的用例中，只要采取適當的措施，軟件故障不會對安全產生影響。但是，如果用例擴展到包括更重的車輛、在人口稠密地區上空飛行或超出視線的操作，則所有軟件都不能再被視為 E 級。安全分析可以確定在UAS計算平臺上運行的某些軟件可能需要獲得設計保證級別（DAL）B或A的認證，具體取決于給定故障條件的結果。

由于UAS設計人員可能使用敏捷開發方法，采用基于模型的設計來生成控制軟件，或使用新穎的工具或技術，因此DO-178逆向工程方法的應用可能不切實際。此外，UAS設計人員更多地依賴開源軟件（例如Linux）并擁有龐大的代碼庫。在這種情況下，FAA基于風險的認證合規方法可以提供幫助。

總體屬性倡議

美國聯邦航空局吹捧的總體財產計劃仍在建設中，這種方法的正式政策可能要到2020年或更晚才會發生，具體取決于試點項目的結果和外國監管機構的意見。該方法是所有安全關鍵系統都具有三個固有屬性：

意向：定義的預期行為相對于所需行為是正確的和完整的

正確性：在可預見的操作條件下，實現相對于其定義的預期行為是正確的

可接受性：定義的預期行為不需要的實現的任何部分都沒有不可接受的安全影響

在這三個屬性中，人們可以看到FAA基于風險的認證方法，以及沒有提到DO-178或DO-254的細節。每個屬性都有定義的評估標準，因此審核員有辦法批準設計，并且這些標準以類似的方式為每個屬性構建。每個都有計劃活動、覆蓋范圍標準、生成的證據和整體流程保證。可以將屬性和評估標準視為 DO-178 和 DO-254 要求的抽象，而無需對目標、輸入、輸出或結果文檔進行任何規范性描述。每個供應商決定其流程、工具和技術如何滿足屬性和評估標準。

對于 Intent 屬性，當前定義的評估標準為：

規劃活動

定義所需的預期行為 （DIB）

識別輸入空間、可觀察行為、故障條件

在適用的輸入和故障條件下的DIB覆蓋范圍

證據 – 計劃活動所需的數據

過程保證 – 獨立評估，數據受配置管理 （CM） 控制，保留評估證據

與安全評估過程的交互 – 分配 DAL，確認 DIB 與安全評估過程假設一致，并解決故障條件

對于“正確性”屬性，當前定義的評估標準為：

規劃活動

評估可能的錯誤源，解決錯誤預防/檢測問題

描述每個（開發）層如何針對更高層或 DIB 顯示正確

描述如何針對每個較高層或 DIB 顯示實現的正確性

覆蓋范圍 – DIB 及其在適用輸入和故障條件下的實施

證據 – 計劃活動所需的數據

過程保證 – 獨立評估，數據受CM控制，保留評估證據

與安全評估過程的交互 – 分配 DAL，確認 DIB 與安全評估過程假設一致，并解決故障條件

驗證環境

除最終環境外使用的驗證環境的差異和理由

對正在驗證的方面（即時間、堆棧使用等）的適用性是合理的

制造、維修、運營和持續適航

確保設計數據允許一致地復制實施

確保設計數據允許生成適當的持續適航說明 （ICA）

確定影響操作或安裝的支持說明或限制

對于“可接受性”屬性，當前定義的評估標準為：

規劃活動

定義識別實現中的添加的方法

如何獲得實施中增加內容的信心，包括與安全評估過程的交互

覆蓋

識別實現中的所有添加項（無論是否使用）

實施中添加的影響（對安全沒有不可接受的影響）

用于限制實施和證據的緩解手段

證據 – 計劃活動所需的數據

過程保證 – 獨立評估，數據處于配置管理控制之下，評估證據保留

與安全評估過程的互動

確保實現中不需要滿足 DIB 的任何功能都沒有不可接受的安全影響

確保任何剩余的問題或缺陷沒有不可接受的安全影響

前進的道路

很明顯，OP的方法是避免DO-178或DO-254中使用的規范性驗證目標和技術。沒有提到工具鑒定、“代碼覆蓋率”或刪除死代碼或停用代碼的指南等主題。但是，需求和分解的概念在評估標準中貫穿始終，因此驗證將側重于預期行為并達到所需的安全級別。目的不是要使其與傳統的驗證軟件方式完全不同，而是在驗證方式上允許更大的靈活性。

審核編輯：郭婷