航空電子系統(tǒng)的潛在后果和可接受的故障概率決定了必須滿足的設(shè)計(jì)保證水平（DAL），以便獲得飛行認(rèn)證。系統(tǒng)的關(guān)鍵計(jì)算元素 - 例如單板計(jì)算機(jī)（SBC），圖形卡和內(nèi)置于飛行控制計(jì)算機(jī)或飛行顯示器中的操作系統(tǒng) - 都必須在設(shè)計(jì)時(shí)考慮到安全性，并經(jīng)過嚴(yán)格的測試，以證明它們可以滿足所需的DAL。ARP4754（民用飛機(jī)和系統(tǒng)開發(fā)指南 - 圖1）被航空電子設(shè)計(jì)人員用于為系統(tǒng)分配功能，并將DAL分配給其安全認(rèn)證系統(tǒng)的硬件和軟件。

航空電子系統(tǒng)的潛在后果和可接受的故障概率決定了必須滿足的設(shè)計(jì)保證水平（DAL），以便獲得飛行認(rèn)證。系統(tǒng)的關(guān)鍵計(jì)算元素（例如內(nèi)置于飛行控制計(jì)算機(jī)或飛行顯示器中的單板計(jì)算機(jī) （SBC）、圖形卡和操作系統(tǒng)）都必須在設(shè)計(jì)時(shí)考慮到安全性，并經(jīng)過嚴(yán)格的測試，以證明它們可以滿足所需的 DAL。ARP4754（民用飛機(jī)和系統(tǒng)開發(fā)指南 - 圖1）被航空電子設(shè)計(jì)人員用于為系統(tǒng)分配功能，并將DAL分配給其安全認(rèn)證系統(tǒng)的硬件和軟件。

圖1：ARP4754 為安全認(rèn)證系統(tǒng)中使用的硬件和軟件分配設(shè)計(jì)保證級(jí)別。

例如，設(shè)計(jì)用于飛行控制計(jì)算機(jī)的SBC必須符合DO-254 / DO-178C DAL A，這要求每飛行小時(shí)故障概率為10-9《1。滿足 DAL A 級(jí)可靠性是一項(xiàng)艱巨的挑戰(zhàn)。此外，無論電子設(shè)備多么可靠，不可預(yù)測的外部因素仍然可能導(dǎo)致系統(tǒng)故障。例如，單通道飛行控制系統(tǒng)容易受到單點(diǎn)故障的影響，從而導(dǎo)致整個(gè)系統(tǒng)出現(xiàn)故障。

考慮無人機(jī)（UAV）在飛行中遭受鳥撞的情況：如果事故阻止了無人機(jī)的一個(gè)探測器，它可能會(huì)完全失效或?qū)е滤鼘⑽ｋU(xiǎn)誤導(dǎo)性信息（HMI）傳輸?shù)斤w行控制計(jì)算機(jī)。這兩種情況都可能阻止飛行控制計(jì)算機(jī)正確計(jì)算其控制下的組件的所需數(shù)據(jù)，這最終可能導(dǎo)致災(zāi)難。

出于安全認(rèn)證的目的，航空電子系統(tǒng)設(shè)計(jì)師負(fù)責(zé)證明飛機(jī)能夠承受主主動(dòng)系統(tǒng)的完全損失。由于單點(diǎn)故障會(huì)導(dǎo)致嚴(yán)重后果，因此硬件冗余在 DAL A 系統(tǒng)中至關(guān)重要。但是，如果飛機(jī)使用具有類似通道構(gòu)建的冗余架構(gòu)，則該系統(tǒng)仍然容易受到共模故障的影響，從而導(dǎo)致所有通道以相同的方式發(fā)生故障。共模故障可能是不可預(yù)測和不可預(yù)防的，例如雷擊、電磁干擾、火災(zāi)或爆炸。軟件錯(cuò)誤是另一種形式的共模故障，很難防止;由于復(fù)雜的航空應(yīng)用程序是由數(shù)萬行代碼構(gòu)建的，因此幾乎不可能測試和防止每個(gè)可能的軟件錯(cuò)誤或事件組合。

不同冗余提供了一種更復(fù)雜的方案，可以通過使用兩種或多種不同的處理器類型和不同的軟件來緩解共模故障，和/或使用來自主活動(dòng)系統(tǒng)的不同傳感器和控制的備份系統(tǒng)。通過在不同的硬件上運(yùn)行不同的操作系統(tǒng)和應(yīng)用程序，系統(tǒng)設(shè)計(jì)人員可以增加一層額外的保護(hù)，防止軟件錯(cuò)誤，這些錯(cuò)誤會(huì)以類似的方式影響不同的硬件架構(gòu)。

在NASA的航天飛機(jī)艦隊(duì)中可以找到高度冗余系統(tǒng)的一個(gè)例子。航天飛機(jī)中的計(jì)算機(jī)控制飛行和任務(wù)功能，并且旨在處理多個(gè)級(jí)別的組件故障，而不會(huì)影響任務(wù)的成功。這種高水平的容錯(cuò)是通過五臺(tái)計(jì)算機(jī)實(shí)現(xiàn)的，其中四臺(tái)運(yùn)行相同的軟件。第五臺(tái)計(jì)算機(jī)是運(yùn)行不同軟件的獨(dú)立備份，以防止可能影響四冗余集的通用軟件問題。在其他例子中，空中客車A320飛機(jī)使用五臺(tái)不同的計(jì)算機(jī)運(yùn)行四個(gè)不同的軟件包，波音777的設(shè)計(jì)具有高水平的冗余，具有三臺(tái)具有不同處理器的主要飛行計(jì)算機(jī)，每臺(tái)計(jì)算機(jī)通過獨(dú)立的通道傳輸數(shù)據(jù)，從而產(chǎn)生三個(gè)獨(dú)特的控制路徑。

構(gòu)建容錯(cuò)冗余架構(gòu)

近年來，嵌入式硬件供應(yīng)商通過提供 DO-254 安全認(rèn)證的 OpenVPX SBC 和其他模塊，將商業(yè)設(shè)計(jì)解決方案的優(yōu)勢帶到航空電子設(shè)計(jì)中，每個(gè)模塊都支持所需的一組數(shù)據(jù)工件。與以前需要昂貴的定制模塊相比，這種方法有助于減少設(shè)計(jì) DO-254 系統(tǒng)所需的時(shí)間、精力和成本。Curtiss-Wright 最近推出了由英特爾、電源架構(gòu)和 Arm 這三種領(lǐng)先架構(gòu)提供支持的 DO-254 可認(rèn)證 SBC。隨著基于恩智浦Layerscape LS1043A Arm四核的VPX3-1703（業(yè)界首款安全認(rèn)證的3U OpenVPX Arm SBC）的推出，航空電子系統(tǒng)設(shè)計(jì)人員現(xiàn)在有了一條可行的前進(jìn)道路來開發(fā)不同的冗余解決方案。

審核編輯：郭婷