COTS DO-254 Sicherheitszertifizierbare Avionik-Hardware senkt Kosten, reduziert das Risiko

COTS PRODUCTS_DO178B, DO254 embedded system in aerospace APPLICATION TAMILMARAN CHOCKALINGAM (Kann 2019).

$config[ads_text] not found
Anonim

Der DO-254-Entwicklungsprozess erfordert detaillierte Sätze von "Datenartefakten"

RICK HÖRT
Produktmanager
Curtiss-Wright Verteidigungslösungen
www.curtisswrightds.com
Heute fordert die FAA, dass Lieferanten von Elektroniksystemhardware, die in kommerziellen bemannten und unbemannten Flugzeugen verwendet werden, ihre Produkte entwickeln, um die strenge DO-254-Sicherheitsrichtlinie für Design Assurance Guidance für luftgestützte elektronische Hardware zu erfüllen. Diese Lufttüchtigkeitsvorschriften wurden ursprünglich für die kommerzielle Luftfahrtindustrie geschaffen. Aufgrund der ausgezeichneten Wiederverwendbarkeit, Kosten und Sicherheitserfolge, die sie im kommerziellen Bereich erzielt haben, wurden sie auch von der Verteidigungsindustrie übernommen, insbesondere für den Einsatz in Militärflugzeugen, die im Luftraum des Landes fliegen. Dieser Trend wird von einer Reihe von Marktfaktoren bestimmt, darunter Cockpit-Digitalisierung, Multi-Core-Verarbeitung (ermöglicht die Reduzierung der Anzahl separater Systeme), der zunehmende Einsatz von allgemeinen Avionik-Subsystemen, die steigende Anzahl von UAVs und anderen Militärflugzeugen über Zivilbevölkerungszentren und die Verwendung von synthetischen Sichtsystemen (SVS) für die Landung (was die für die Missionsrechner erforderlichen Planungssicherheitsniveaus beeinflusst).
Der DO-254-Entwicklungsprozess erfordert die kosten- und zeitintensive Erstellung von detaillierten Sets von "Datenartefakten", um zu beweisen, dass die richtigen Design- und Produktionsprozesse befolgt wurden. Datenartefakte umfassen Pläne, Anforderungen, Design, Integration, Test, Verifizierung und Validierung der spezifischen Module. In den vergangenen Jahren wurden Elektronikmodule, die den Sicherheitszertifizierungsanforderungen der FAA entsprechen, kundenspezifisch entwickelt. Diese kundenspezifischen Systeme waren aufgrund ihrer relativ geringen Komplexität im Vergleich zu heutigen Systemen viel einfacher und leichter zu zertifizieren. Systemdesigner stehen heute vor der Herausforderung, sicherheitskritische Systeme mit wesentlich höherer Komplexität zu einem vernünftigen Preis anzubieten. Die Kosten für die Entwicklung aller Artefakte, die benötigt werden, um die Zertifizierung für ein benutzerdefiniertes Elektronikmodul zu erreichen, liegen typischerweise in Millionenhöhe. Die Kosten, die Zeit und die Komplexität der Erfüllung von DO-254-Datenartefaktanforderungen haben Integratoren in letzter Zeit dazu geführt, dass sie nicht mehr von den kundenspezifischen Systemen der Vergangenheit Gebrauch machen, sondern stattdessen eine neue Klasse von auf offenen Standards basierenden "sicherheitszertifizierbaren" Gewohnheiten in Betracht ziehen -off-the-shelf (COTS) -Module. Diese Module werden bereits mit Datenartefaktpaketen unterstützt. Im Vergleich zu kostenintensiven benutzerdefinierten Alternativen bietet die Verwendung von COTS-Modulen oft erhebliche Technologie-Upgrades und Vorteile für die Obsoleszenzminderung.

Über Sicherheitszertifizierungsstandards

Um mit der Zertifizierung beginnen zu können, müssen die Entwickler zunächst feststellen, welche Aufwandsstufe ihr jeweiliges System benötigt. Diese Anforderungen werden in einer Serie von fünf Design Assurance Levels (DALs) beschrieben, und die Strenge der Sicherheitszertifizierung hängt davon ab, welche DAL benötigt wird. DO-254 definiert fünf verschiedene DAL-Ebenen - A, B, C, D und E -, die sich jeweils auf die Stärke der Auswirkungen eines möglichen Fehlers beziehen. Es wird geschätzt, dass mehr als die Hälfte aller Avioniksysteme in die Kategorien DAL C / D / E passen. Im Falle eines Fehlers hat Hardware, die DAL E, die niedrigste Stufe, erreicht, keinen Einfluss auf die Betriebsfähigkeit des Flugzeuges oder die Arbeitsbelastung des Piloten. DAL D ist für Hardware, die nur eine geringfügige Fehlerbedingung für das Flugzeug verursachen würde. In der Mitte würde ein Ausfall von Hardware, die für den Einsatz von DAL C vorgesehen ist, zu einem schwerwiegenden Fehlerzustand für das Flugzeug führen und typischerweise schwere Verletzungen mit sich bringen. Wenn die Werte höher werden und die möglichen Konsequenzen eines Systemausfalls zunehmen, steigt die Menge und Komplexität der für die Zertifizierung erforderlichen Datenartefakte. Ein DAL-B-Hardwarefehler ist definiert als einer, der einen gefährlichen / schweren Hauptfehlerzustand für das Flugzeug verursachen könnte und einen gewissen Verlust an Leben bedeuten könnte. Die höchste und intensivste Stufe des DO-254-Standards, DAL A, ist für Hardware gedacht, deren Ausfall zu einem katastrophalen Fehlerzustand für das Flugzeug führen würde und wahrscheinlich zu einem Verlust von Leben für alle an Bord führen würde.

Der COTS-Ansatz

Durch das Angebot ausgewählter Standardmodule (z. B. für die gängige VPX-Boardarchitektur), die mit bereits vorhandenen umfassenden Paketen von Design-Zertifizierungsartefakten und Zertifizierungsnachweisen unterstützt werden, können COTS-Hardwareanbieter sicherheitszertifizierbare Produkte entwickeln, die erfolgreich in einem DO-254-zertifiziertes System. Die Verwendung von bereits vorhandenen Datenartefaktpaketen beseitigt effektiv den komplexen und anspruchsvollen Dokumentationsprozess, den ein Kunde sonst unternehmen muss.

Sicherheitszertifizierte Module in Verteidigungssystemen

Da maßgeschneiderte sicherheitszertifizierte Systeme traditionell auf weniger komplexen Technologien basierten, war die Rückverfolgbarkeit während des Zertifizierungsprozesses erheblich einfacher. Dies gilt insbesondere für höhere DAL-Anforderungen, bei denen jeder Aspekt des Moduls sorgfältig geprüft werden muss. Neuere militärische Systeme erfordern eine höhere Leistung und mehr Fähigkeiten mit der Fähigkeit, eine zunehmende Menge an Daten aus unterschiedlichen Quellen zu bewältigen. Je komplexer ein System ist, desto schwieriger wird es, Umgebungs-, Funktions- und Ausfallwahrscheinlichkeitsfaktoren genau zu messen. Zum Beispiel sind Prozessoren mit drei oder mehr Kernen noch nicht für die Zertifizierung zugelassen, da Zertifizierungsstellen befürchten, dass Software auf Mehrkernprozessoren nichtdeterministisches Verhalten verursachen oder die Ausführung sicherheitskritischer Funktionen verzögern könnte. Darüber hinaus gibt es im derzeitigen Zertifizierungsprozess keine formellen Verfahren, um hochintegrierte Module ausreichend zu überprüfen.
Bei der obligatorischen Sicherheitszertifizierung in vielen militärischen Plattformen besteht die Herausforderung darin, den Bedarf an technologischen Fortschritten auszugleichen und komplexe integrierte Lösungen zu zertifizieren. Mit sicherheitszertifizierbaren COTS-Modulen können Anbieter ihren Kunden das erforderliche Dokumentenpaket mit Artefakten zur Verfügung stellen, um die Systemsicherheitsbewertungen zusammen mit Kundenzertifizierungsbemühungen zu unterstützen. COTS-Module sind insgesamt weniger teuer, aber die Artefaktkosten sind aufgrund der Standardproduktverkaufsmengen geringer.

Reduzierung des Design-Risikos

Während herkömmliche kundenspezifische Systeme möglicherweise eine Analyse und Reverse-Engineering von Artefakten zur Unterstützung des Zertifizierungsaufwands erfordern, werden COTS-Artefakte in die Hardwareentwicklung integriert. Durch den Kauf von Standardmodulen können Designer sicher sein, dass ihr Subsystem erfolgreich in die nächsthöhere Montageebene der Plattform integriert werden kann, die einer DO-254-Zertifizierung unterzogen wird.

Abb. 1: Das Cockpit eines Air France Airbus A380.

COTS-Module können den Entwicklungsplan eines Systems stark reduzieren. COTS-Module sind nicht nur eine bewährte Basisprodukttechnologie, sondern die Anwendungsentwicklung kann auch unmittelbar mit der Produktanpassung beginnen. Bei einem maßgeschneiderten System muss der Zertifizierungsprozess jedes Mal, wenn ein neues System installiert wird, von vorne beginnen. Die COTS-Sicherheitszertifizierungsnachweise, die von Anbietern bereitgestellt werden, zusammen mit der Servicehistorie, die für ein bestimmtes Programm gesammelt wird, ermöglicht es dem Kunden, erhebliche Vorteile für sein nächstes Design mit ähnlichen Hardware- und Board-Support-Paketen zu erzielen.
Unternehmen wie Curtiss-Wright haben einen internen DO-254-Prozess entwickelt, mit dem sie von Anfang an sowohl neue Produkte entwerfen als auch Datenartefakte entwickeln können. Dies führt zu einer Familie von sicherheitszertifizierbaren COTS-Modulen. Ein Modul kann einzeln erworben werden, und später, wenn Artefakte benötigt werden, können sie separat erworben werden. Die Kosten für die ansonsten teuren Artefakte werden deutlich reduziert, da das gleiche Datenartefaktpaket in zahlreichen Programmen wiederverwendbar ist.
Ein aktuelles Beispiel für ein sicherheitszertifizierbares COTS-Modul ist das Avionik-E / A-Modul VPX3-611 von Curtiss-Wright Defence Solutions ( Abb. 2 ), ein FPGA-basiertes robustes 3U-VPX-Modul, das mit einer praktisch unbegrenzten Kombination von Sicherheit konfiguriert werden kann -zertifizierbare Schnittstellen. Da DO-254-Zertifizierungsartefakte für die E / A-Schnittstellen des Moduls auf Makroebene des FPGA-Blocks verfügbar sind, können E / A-Konfigurationsvarianten des Moduls leicht erstellt werden. Zu den sicherheitszertifizierbaren I / O-Schnittstellen gehören MIL-STD-1553B, ARINC 429, CAN-Bus, asynchrone UARTS, diskrete, analoge E / A und Serial Peripheral Interface (SPI).

Abb. 2: Das VPX3-611 DO-254-zertifizierbare 3U-VPX-E / A-Modul unterstützt eine Vielzahl von E / A-Modulen für das Embedded-Computing in Militär und Luftfahrt.

Die FPGA-I / O-Blöcke des Moduls können werksseitig auf DO-254-Design-Assurance-Level (DAL) C und DO-178C DAL C konfiguriert werden. Ein "Personality-Modul" auf dem Modul stellt alle erforderlichen Transformatoren, Transceiver und Treiber für I / O bereit. O Signalkonditionierung.