|
航空电子系统可接受的失败概率,以及故障带来的潜在后果决定了必须满足一定的设计保障等级(DAL)才能获得飞行认证。其关键计算要素——例如单板计算机(SBC)、图形卡和内置于飞行控制计算机或飞行显示器中的操作系统必须要在设计时考虑安全性,并经受严格的测试以证明满足所需的设计保障等级。航空电子设计人员使用民用飞机和系统开发指南(ARP4754),为系统分配功能,并将设计保障等级分配给安全可认证系统的硬件和软件。 考虑无人驾驶飞行器(UAV)在飞行中遇到鸟击的情况:如果因为事故阻挡其中一个无人机的探测器,这可能会导致其完全失效或导致其将危险的误导信息(HMI)传输到飞行控制系统电脑。这两种情况都可能阻止飞行控制计算机正确计算其控制下的组件所需数据,这最终可能带来灾难性的后果。例如,设计用于飞行控制计算机的SBC必须能够证明DO-254/DO-178C设计保障等级 A,每个飞行小时的失效概率<1/10-9。满足设计保障等级可靠性是一项艰巨的挑战。此外,无论电子器件可靠性多高,不可预测的外部因素仍然可能导致系统故障。例如,单通道飞行控制系统易受单点故障的影响,可能导致整个系统发生故障。 出于安全认证的目的,航空电子系统设计师负责演示飞机能够承受主要主动系统的完全损失。由于单点故障导致的严重后果,硬件冗余在设计保障等级A系统中至关重要。但是,如果飞机使用采用类似通道构建的冗余架构,则该系统仍然容易受到共模故障的影响,这可能导致所有通道以相同方式发生故障。共模故障可能是不可预测的,也是不可避免的,如雷击、电磁干扰、火灾或爆炸。软件错误是另一种难以防范的共模故障形式;因为复杂的航空应用程序是由数万行代码构建的,所以几乎不可能测试和防止每个可能的软件错误或事件组合。 设计不同的冗余解决方案 不同冗余提供了更复杂的方案,其可以通过使用具有不同软件的两种或更多种不同处理器类型来缓解共模故障,和/或使用来自主活动系统的不同传感器和控制的备用系统。通过在不同的硬件上运行不同的操作系统和应用程序,系统设计人员可以添加额外的保护层,以防止以类似方式影响不同硬件架构的软件错误。 例如,美国国家航空航天局航天飞机中的计算机控制飞行和任务功能,设计用于处理多个级别的组件故障,而不会影响任务成功。这种高级别的容错是通过五台计算机实现的,其中四台运行相同的软件。第五台计算机是运行不同软件的独立备份,以防止可能影响四冗余集的一般软件问题。在其他示例中,空中客车A320飞机使用五台不同的计算机运行四种不同的软件包,波音777设计具有高度冗余,具有三台主要飞行计算机,每台计算机具有不同的处理器,每台计算机通过一个独立的通道传输数据,从而导致 三条独特的控制路径。 构建容错冗余架构 近年来,嵌入式硬件供应商通过提供DO-254安全认证的OpenVPX SBC和其他模块,为航空电子设计提供了商业设计解决方案的优势,每个模块都支持所需的数据工件集。与先前昂贵的定制模块相比,这种方法有助于减少设计DO-254系统所需的时间、精力和成本。Curtiss-Wright最近推出了DO-254可认证的SBC,由三种领先的架构、Intel、Power Architecture和Arm提供支持。随着恩智浦公司Layerscape LS1043A Arm基于四核的VPX3-1703的推出,这是业界首款安全可认证的3U OpenVPX Arm SBC,航空电子系统设计人员现在拥有开发不同冗余解决方案的可行途径。 |
|
|
