使用不同的冗余架构优化航空电子设备的可靠性

航空电子系统的潜在后果和可接受的故障概率决定了必须满足的设计保证水平（DAL），以便获得飞行认证。系统的关键计算元素 - 例如单板计算机（SBC），图形卡和内置于飞行控制计算机或飞行显示器中的操作系统 - 都必须在设计时考虑到安全性，并经过严格的测试，以证明它们可以满足所需的DAL。ARP4754（民用飞机和系统开发指南 - 图1）被航空电子设计人员用于为系统分配功能，并将DAL分配给其安全认证系统的硬件和软件。

航空电子系统的潜在后果和可接受的故障概率决定了必须满足的设计保证水平（DAL），以便获得飞行认证。系统的关键计算元素（例如内置于飞行控制计算机或飞行显示器中的单板计算机 （SBC）、图形卡和操作系统）都必须在设计时考虑到安全性，并经过严格的测试，以证明它们可以满足所需的 DAL。ARP4754（民用飞机和系统开发指南 - 图1）被航空电子设计人员用于为系统分配功能，并将DAL分配给其安全认证系统的硬件和软件。

图1：ARP4754 为安全认证系统中使用的硬件和软件分配设计保证级别。

例如，设计用于飞行控制计算机的SBC必须符合DO-254 / DO-178C DAL A，这要求每飞行小时故障概率为10-9《1。满足 DAL A 级可靠性是一项艰巨的挑战。此外，无论电子设备多么可靠，不可预测的外部因素仍然可能导致系统故障。例如，单通道飞行控制系统容易受到单点故障的影响，从而导致整个系统出现故障。

考虑无人机（UAV）在飞行中遭受鸟撞的情况：如果事故阻止了无人机的一个探测器，它可能会完全失效或导致它将危险误导性信息（HMI）传输到飞行控制计算机。这两种情况都可能阻止飞行控制计算机正确计算其控制下的组件的所需数据，这最终可能导致灾难。

出于安全认证的目的，航空电子系统设计师负责证明飞机能够承受主主动系统的完全损失。由于单点故障会导致严重后果，因此硬件冗余在 DAL A 系统中至关重要。但是，如果飞机使用具有类似通道构建的冗余架构，则该系统仍然容易受到共模故障的影响，从而导致所有通道以相同的方式发生故障。共模故障可能是不可预测和不可预防的，例如雷击、电磁干扰、火灾或爆炸。软件错误是另一种形式的共模故障，很难防止;由于复杂的航空应用程序是由数万行代码构建的，因此几乎不可能测试和防止每个可能的软件错误或事件组合。

不同冗余提供了一种更复杂的方案，可以通过使用两种或多种不同的处理器类型和不同的软件来缓解共模故障，和/或使用来自主活动系统的不同传感器和控制的备份系统。通过在不同的硬件上运行不同的操作系统和应用程序，系统设计人员可以增加一层额外的保护，防止软件错误，这些错误会以类似的方式影响不同的硬件架构。

在NASA的航天飞机舰队中可以找到高度冗余系统的一个例子。航天飞机中的计算机控制飞行和任务功能，并且旨在处理多个级别的组件故障，而不会影响任务的成功。这种高水平的容错是通过五台计算机实现的，其中四台运行相同的软件。第五台计算机是运行不同软件的独立备份，以防止可能影响四冗余集的通用软件问题。在其他例子中，空中客车A320飞机使用五台不同的计算机运行四个不同的软件包，波音777的设计具有高水平的冗余，具有三台具有不同处理器的主要飞行计算机，每台计算机通过独立的通道传输数据，从而产生三个独特的控制路径。

构建容错冗余架构

近年来，嵌入式硬件供应商通过提供 DO-254 安全认证的 OpenVPX SBC 和其他模块，将商业设计解决方案的优势带到航空电子设计中，每个模块都支持所需的一组数据工件。与以前需要昂贵的定制模块相比，这种方法有助于减少设计 DO-254 系统所需的时间、精力和成本。Curtiss-Wright 最近推出了由英特尔、电源架构和 Arm 这三种领先架构提供支持的 DO-254 可认证 SBC。随着基于恩智浦Layerscape LS1043A Arm四核的VPX3-1703（业界首款安全认证的3U OpenVPX Arm SBC）的推出，航空电子系统设计人员现在有了一条可行的前进道路来开发不同的冗余解决方案。

审核编辑：郭婷