隨著航空系統(tǒng)復(fù)雜性的提高，對有人駕駛和無人駕駛飛機(jī)的安全關(guān)鍵系統(tǒng)進(jìn)行認(rèn)證已促使工程師走向自動(dòng)化并并行工作以提高流程效率。多核處理器在這一推動(dòng)中發(fā)揮著重要作用，并增加了簡化流程的工具。然而，隨著美國聯(lián)邦航空管理局（FAA）和歐洲航空安全局（EASA）努力簡化流程，挑戰(zhàn)仍然存在。

多年來，系統(tǒng)的復(fù)雜性呈指數(shù)級增長，促使行業(yè)尋找提高流程效率的方法。

事實(shí)上，“下一代系統(tǒng)的絕對復(fù)雜性要求供應(yīng)商需要向系統(tǒng)集成商提供的不僅僅是原始硬件和軟件 - 他們還需要提供安全認(rèn)證工件，以實(shí)現(xiàn)系統(tǒng)的快速集成和認(rèn)證測試，”舊金山灣區(qū)風(fēng)河航空航天和國防部門高級總監(jiān)Chip Downing說。

作為回應(yīng)，設(shè)計(jì)人員正在使用自動(dòng)化工具來簡化無人駕駛和有人駕駛飛機(jī)的認(rèn)證過程。“在系統(tǒng)的生命周期中使用自動(dòng)化工具是一個(gè)巨大的變化，”位于馬薩諸塞州韋斯特福德的Verocel，Inc.總裁兼首席執(zhí)行官George Romanski說。這是因?yàn)椤皹?biāo)準(zhǔn)要求非常嚴(yán)格的認(rèn)證方法。您必須生成需求并查看這些需求、生成設(shè)計(jì)、查看設(shè)計(jì)、生成代碼、查看代碼等。在一個(gè)典型的系統(tǒng)中，我們將有成千上萬的工件，這些工件必須被開發(fā)，必須對其進(jìn)行審查，我們必須確保這些要求是合理的，并且彼此契合。

這個(gè)過程變得非常不現(xiàn)實(shí)。“保留大量需求和派生需求的Excel電子表格非常繁瑣和乏味，”加拿大渥太華Curtiss-Wright Defense Solutions的產(chǎn)品經(jīng)理Rick Hearn說。“你可以通過軟件工具實(shí)施任何自動(dòng)化，以便能夠在整個(gè)生命周期中跟蹤所有這些需求，你就越好。

設(shè)計(jì)人員正在分階段認(rèn)證安全關(guān)鍵系統(tǒng)：“大多數(shù)人試圖做的是開始并行工作，這樣你就可以有需求，你可能有五千個(gè)需求，其中一千個(gè)可能已經(jīng)準(zhǔn)備好了，所以你可以開始實(shí)施這些需求，但另外四千個(gè)仍在開發(fā)中，當(dāng)你開發(fā)設(shè)計(jì)時(shí)， 現(xiàn)在你可以開始實(shí)施了，“羅曼斯基解釋道。“換句話說，你開始重疊這些流程，如果你非常嚴(yán)格地管理信息，那么就有可能使這個(gè)過程更有效率。為此，它需要使用數(shù)據(jù)庫，需要將該數(shù)據(jù)庫鏈接到配置控制系統(tǒng)，并且需要非常嚴(yán)格的基線。

他補(bǔ)充說，該過程還需要自動(dòng)身份驗(yàn)證。“人們現(xiàn)在可以在數(shù)據(jù)庫中進(jìn)行審查，你可以維護(hù)整個(gè)項(xiàng)目的整個(gè)開發(fā)過程，你可以讓分布式團(tuán)隊(duì)同時(shí)處理這個(gè)問題。

“由于復(fù)雜性，必須在這些系統(tǒng)上進(jìn)行的測試量呈指數(shù)級增長，并且必須實(shí)現(xiàn)測試的自動(dòng)化，”位于亞利桑那州圖森的水星任務(wù)系統(tǒng)業(yè)務(wù)發(fā)展總監(jiān)Scott Engle說。“不可能手動(dòng)完成此操作。

Romanski解釋說，Verocel的VeroTrace管理和控制所有生命周期數(shù)據(jù)，包括需求，設(shè)計(jì)，源代碼，測試用例，結(jié)果，文檔等。更重要的是，VeroTrace管理每個(gè)生命周期數(shù)據(jù)項(xiàng)的狀態(tài)，并提供每個(gè)項(xiàng)之間的可追溯性鏈接，以滿足包括DO-178C，IEC61508和ISO26262在內(nèi)的許多標(biāo)準(zhǔn)。（見圖1）。

圖1：Verocel的VeroTrace數(shù)據(jù)庫可以導(dǎo)出到DVD ROM，允許超鏈接瀏覽所有數(shù)據(jù)和文檔。由維羅塞爾提供。

多核處理器的興起

促成因素將是使用多核處理器。多年來，從單核處理器轉(zhuǎn)向并行工作的轉(zhuǎn)變已經(jīng)發(fā)展到“有興趣為安全應(yīng)用認(rèn)證多核處理器，”紐約市Mercury Systems任務(wù)系統(tǒng)集團(tuán)PLM和BD總監(jiān)Greg Tiedemann說。“從安全角度來看，當(dāng)你只有一個(gè)處理器時(shí)，認(rèn)證更容易。當(dāng)您有多個(gè)處理器在同一應(yīng)用程序上工作時(shí)，這更具挑戰(zhàn)性。對此的需求確實(shí)非常簡單。你可以在其他市場和水星的其他地方看到它。我們之所以采用多核，是因?yàn)槟梢栽谔幚砗凸姆矫嫣岣咝剩⑶抑皇且话愕?SWaP ［尺寸、重量和功耗］ 要求。你可以在更小的空間里做更多的事情。

“趨勢是多核，但這也是系統(tǒng)復(fù)雜性更高的趨勢，”Engle澄清道。“當(dāng)我們進(jìn)行聯(lián)合飛機(jī)設(shè)計(jì)時(shí)，航空電子設(shè)備是位于整個(gè)飛機(jī)上的單一用途，特殊用途的盒子，現(xiàn)在將整合和集成模塊化航空電子設(shè)備（IMA）整合到更少數(shù)量或件數(shù)或件的設(shè)備上，現(xiàn)在在此基礎(chǔ)上添加多核，這些系統(tǒng)變得非常復(fù)雜。這種復(fù)雜性只會(huì)增加出錯(cuò)的可能性。

在過去的十年中，該行業(yè)一直在努力創(chuàng)建可行的多核安全解決方案。“我們一直在掙扎，因?yàn)槲覀冊噲D將單核處理器中使用的相同測試和檢查流程應(yīng)用于多核設(shè)計(jì)，”風(fēng)河的唐寧解釋說。“當(dāng)使用單核處理器時(shí)，該內(nèi)存管理單元 （MMU） 非常擅長創(chuàng)建受內(nèi)存保護(hù)的分區(qū);當(dāng)與強(qiáng)大的調(diào)度基礎(chǔ)相結(jié)合時(shí)，這是一條低風(fēng)險(xiǎn)的認(rèn)證途徑。

“在多核環(huán)境中，在一對多核上使用MMU根本無法管理需要在安全關(guān)鍵型解決方案中控制的所有資源，”他補(bǔ)充道。“未來，多核安全解決方案必須使用一種稱為‘硬件虛擬化輔助’的功能。此功能為虛擬化分區(qū)/容器/虛擬機(jī) （VM） 創(chuàng)建和管理僅靠軟件無法可靠地完成的所有資源。硬件輔助虛擬化創(chuàng)造了另一個(gè)更強(qiáng)大、更可靠、更全面的分離環(huán)境，解決了嘗試使用基于MMU的分離和單核系統(tǒng)的處理器/驅(qū)動(dòng)程序控制的許多問題。

盡管取得了這一進(jìn)展，但由于許多挑戰(zhàn)，多核處理器的使用還沒有完全準(zhǔn)備好部署，“Tiedemann說。“但是，通常人們對它很感興趣。我認(rèn)為這是市場上的一個(gè)重要趨勢，我們正在密切關(guān)注，以確保當(dāng)解決方案支持它時(shí)，我們已經(jīng)準(zhǔn)備好利用它。

“硬件輔助虛擬化創(chuàng)造了做更多事情的機(jī)會(huì)，”唐寧指出。“首先，它增加了一個(gè)控制處理器和主板資源的執(zhí)行信封，因此在這些虛擬機(jī)中運(yùn)行的操作系統(tǒng)（OS）可以像控制整個(gè)處理器一樣運(yùn)行。此虛擬機(jī)還可以在一到多個(gè)內(nèi)核上分配，從而提供另一個(gè)級別的分離和抽象。

“此外，每個(gè)內(nèi)核都可以使用 MMU 在每個(gè)內(nèi)核上分離任務(wù)/線程，從而創(chuàng)建多個(gè)級別的分離，”他補(bǔ)充道。“虛擬機(jī)還支持使用未經(jīng)修改的來賓操作系統(tǒng)執(zhí)行環(huán)境，從而可以在共享計(jì)算平臺上插入嵌入式和企業(yè)操作系統(tǒng)，如Linux。最后，通過虛擬機(jī)控制和分離計(jì)算機(jī)/板資源，該技術(shù)為支持混合安全關(guān)鍵性環(huán)境創(chuàng)造了非常好的封裝，提供了對共享板/設(shè)備的硬件控制訪問。

簡化流程的整體方法

對使用自動(dòng)化工具和多核處理器的興趣日益濃厚之際，越來越多的無人駕駛飛機(jī)正在進(jìn)入國家領(lǐng)空。

為了應(yīng)對這些挑戰(zhàn)，美國聯(lián)邦航空管理局（FAA）和歐洲航空安全局（EASA）正在努力簡化流程。“FAA和EASA的一致性有增加的趨勢，”赫恩說。“他們稱之為‘協(xié)調(diào)’。我們過去看到的是，EASA和FAA的認(rèn)證規(guī)則大致相同，但它們在實(shí)施上往往有所不同。然而，我們越來越多地看到規(guī)則通過標(biāo)準(zhǔn)機(jī)構(gòu)以及兩個(gè)認(rèn)證機(jī)構(gòu)之間的一些會(huì)議得到協(xié)調(diào)。

美國聯(lián)邦航空局有“一套他們一直在討論的總體原則，以簡化整個(gè)認(rèn)證過程，”羅曼斯基說。“他們從更全面的角度來看待它，更多的是從系統(tǒng)的角度來看待它，而不是他們在DO-178B和DO-254中制定的非常規(guī)范的規(guī)則。

這個(gè)過程大約在一年半前開始，一群人為FAA，EASA和其他認(rèn)證機(jī)構(gòu)工作。“我們正在開發(fā)一種新的簡化認(rèn)證方法，”他補(bǔ)充道。“這只是一個(gè)開始，當(dāng)前版本已于9月發(fā)布，我們正在繼續(xù)完善它，但這是一個(gè)我們試圖將系統(tǒng)標(biāo)準(zhǔn)ARP4754A融合在一起的過程;DO-178C 的軟件標(biāo)準(zhǔn);以及 DO-254 的復(fù)雜硬件標(biāo)準(zhǔn)。

“總體屬性將試圖融合其他標(biāo)準(zhǔn)的本質(zhì)，以便您可以使用這些總體屬性來開發(fā)認(rèn)證證據(jù)，而不是像DO-178C這樣的傳統(tǒng)屬性。它仍處于早期階段，但這種方式為用戶提供了更大的靈活性，可以進(jìn)行認(rèn)證，“Romanski說。“美國聯(lián)邦航空局正在采取的另一種方法是試圖制定一個(gè)基于風(fēng)險(xiǎn)的軟件認(rèn)證流程，特別是對于小型飛機(jī)，通用航空飛機(jī)。美國聯(lián)邦航空局發(fā)現(xiàn)，在這些通用航空飛行器中，有新的設(shè)備進(jìn)入機(jī)載，應(yīng)該經(jīng)過認(rèn)證，因?yàn)樗鼈儗Π踩陵P(guān)重要;現(xiàn)在的問題是，你可以不用這些設(shè)備飛行，或者你可以把這些設(shè)備放在飛機(jī)上，使小型飛機(jī)更安全。

審核編輯：郭婷