利用COTS降低安全认证航空电子设备硬件的成本和风险

　　在当今成本受限的竞争环境中，飞机系统设计人员越来越多地向集成商提出新的要求，鼓励他们投资于硬件开发。如今，美国联邦航空局要求商用航空的电子供应商以及越来越多的军用飞机的电子供应商根据严格的安全认证标准认证其系统解决方案进行认证。设计和验证商用现货（COTS）模块的新方法可以降低安全认证飞机电子设备的成本。

　　对于机载应用，例如旋翼平台上的应用或用于无人机 （UAV） 地面站的应用，系统设计人员越来越多地面临对 DO-178（用于软件）和 DO-254（用于硬件）的要求，这是 FAA 的关键安全认证标准。DO-254/DO-178 认证过程需要昂贵且耗时地创建详细的“数据工件”集，以证明遵循了正确的设计和生产流程。

　　通常，为满足安全认证要求而设计的电子设备是定制设计的。然而，在许多情况下，COTS 模块可以显著降低系统开发人员的进度、预算和项目风险。COTS 的好处还包括重大的技术升级和缓解过时挑战。对专门针对商业和军用航空平台需求的坚固耐用的COTS模块有需求。这些安全可认证的 COTS 模块将配备 DO-254 级认证所需的数据工件包，包括特定模块的计划、要求、设计、集成、测试、验证和确认。

　　通过为选定的标准模块提供全面的设计认证流程工件和认证证据包，COTS 硬件供应商可以确保其产品可安全认证，并且可以在必须获得 DO-178/DO-254 认证的系统中成功使用。这种方法可以帮助系统设计人员更快、更经济高效地开始应用程序开发。

　　关于安全认证标准

　　预先存在的数据工件包通过消除用户为了在模块的设计生命周期内提供设计保证证明而必须执行的复杂且苛刻的文档流程，帮助降低成本和开发时间。在软件方面，DO-178B标准建立了航空电子软件指南，并定义了软件生命周期管理，关键级别细节和软件组件测试，以确保高水平的软件可靠性。在许多应用程序中，支持 DO-178B/C 的数据工件可从硬件供应商处获得，而其他工件可能由第三方软件供应商提供。

　　对于模块本身，系统设计人员的一个重要决定因素是硬件需要满足哪个DO-254设计保证级别（DAL）。DO-254 定义了五个不同的 DAL 级别 - A、B、C、D 和 E - 每个级别都与潜在故障导致的影响的严重程度有关。据估计，超过一半的航空电子系统属于DO-254 DAL C/D/E类别。如果发生故障，符合DAL “E”（最低级别）的硬件将不会影响飞机的运行能力或飞行员工作量。DAL “D” 适用于仅导致飞机轻微故障情况的硬件。在中间，用于DAL “C”的硬件故障将导致飞机出现重大故障，并且通常涉及严重伤害。随着级别越来越高，系统故障的潜在后果增加，认证所需的数据工件的数量和复杂性也会增加。DAL “B” 硬件故障被定义为可能导致飞机危险/严重重大故障情况的故障，并可能涉及一些生命损失。DO-254标准的最高和最密集级别DAL “A”适用于硬件，其故障将导致飞机出现灾难性故障，并可能导致机上所有人的全部生命损失。

　　作为设计和验证COTS模块的新方法的一个例子，Curtiss-Wright最近发起了一项计划，设计标准COTS子系统模块，并考虑到安全认证 - 例如单板计算机和图形模块 - 用于军事和商业航空航天应用。从新的 VPX3-150 3U VPX SBC 和 VPX3-718 3U VPX 显卡开始，Curtiss-Wright 的方法产生了 DO-254 DAL C 和 DO-178C DAL C 可认证的产品，其设计工件包从头开始开发，而不是事后进行逆向工程。

　　审核编辑：郭婷