航空電子系統(tǒng)的潛在后果和可接受的故障概率決定了必須滿足的設(shè)計保證水平（DAL），以便獲得飛行認證。系統(tǒng)的關(guān)鍵計算元素 - 例如單板計算機（SBC），圖形卡和內(nèi)置于飛行控制計算機或飛行顯示器中的操作系統(tǒng) - 都必須在設(shè)計時考慮到安全性，并經(jīng)過嚴格的測試，以證明它們可以滿足所需的DAL。ARP4754（民用飛機和系統(tǒng)開發(fā)指南 - 圖1）被航空電子設(shè)計人員用于為系統(tǒng)分配功能，并將DAL分配給其安全認證系統(tǒng)的硬件和軟件。

航空電子系統(tǒng)的潛在后果和可接受的故障概率決定了必須滿足的設(shè)計保證水平（DAL），以便獲得飛行認證。系統(tǒng)的關(guān)鍵計算元素（例如內(nèi)置于飛行控制計算機或飛行顯示器中的單板計算機 （SBC）、圖形卡和操作系統(tǒng)）都必須在設(shè)計時考慮到安全性，并經(jīng)過嚴格的測試，以證明它們可以滿足所需的 DAL。ARP4754（民用飛機和系統(tǒng)開發(fā)指南 - 圖1）被航空電子設(shè)計人員用于為系統(tǒng)分配功能，并將DAL分配給其安全認證系統(tǒng)的硬件和軟件。

圖1：ARP4754 為安全認證系統(tǒng)中使用的硬件和軟件分配設(shè)計保證級別。

例如，設(shè)計用于飛行控制計算機的SBC必須符合DO-254 / DO-178C DAL A，這要求每飛行小時故障概率為10-9《1。滿足 DAL A 級可靠性是一項艱巨的挑戰(zhàn)。此外，無論電子設(shè)備多么可靠，不可預(yù)測的外部因素仍然可能導(dǎo)致系統(tǒng)故障。例如，單通道飛行控制系統(tǒng)容易受到單點故障的影響，從而導(dǎo)致整個系統(tǒng)出現(xiàn)故障。

考慮無人機（UAV）在飛行中遭受鳥撞的情況：如果事故阻止了無人機的一個探測器，它可能會完全失效或?qū)е滤鼘⑽ｋU誤導(dǎo)性信息（HMI）傳輸?shù)斤w行控制計算機。這兩種情況都可能阻止飛行控制計算機正確計算其控制下的組件的所需數(shù)據(jù)，這最終可能導(dǎo)致災(zāi)難。

出于安全認證的目的，航空電子系統(tǒng)設(shè)計師負責證明飛機能夠承受主主動系統(tǒng)的完全損失。由于單點故障會導(dǎo)致嚴重后果，因此硬件冗余在 DAL A 系統(tǒng)中至關(guān)重要。但是，如果飛機使用具有類似通道構(gòu)建的冗余架構(gòu)，則該系統(tǒng)仍然容易受到共模故障的影響，從而導(dǎo)致所有通道以相同的方式發(fā)生故障。共模故障可能是不可預(yù)測和不可預(yù)防的，例如雷擊、電磁干擾、火災(zāi)或爆炸。軟件錯誤是另一種形式的共模故障，很難防止;由于復(fù)雜的航空應(yīng)用程序是由數(shù)萬行代碼構(gòu)建的，因此幾乎不可能測試和防止每個可能的軟件錯誤或事件組合。

不同冗余提供了一種更復(fù)雜的方案，可以通過使用兩種或多種不同的處理器類型和不同的軟件來緩解共模故障，和/或使用來自主活動系統(tǒng)的不同傳感器和控制的備份系統(tǒng)。通過在不同的硬件上運行不同的操作系統(tǒng)和應(yīng)用程序，系統(tǒng)設(shè)計人員可以增加一層額外的保護，防止軟件錯誤，這些錯誤會以類似的方式影響不同的硬件架構(gòu)。

在NASA的航天飛機艦隊中可以找到高度冗余系統(tǒng)的一個例子。航天飛機中的計算機控制飛行和任務(wù)功能，并且旨在處理多個級別的組件故障，而不會影響任務(wù)的成功。這種高水平的容錯是通過五臺計算機實現(xiàn)的，其中四臺運行相同的軟件。第五臺計算機是運行不同軟件的獨立備份，以防止可能影響四冗余集的通用軟件問題。在其他例子中，空中客車A320飛機使用五臺不同的計算機運行四個不同的軟件包，波音777的設(shè)計具有高水平的冗余，具有三臺具有不同處理器的主要飛行計算機，每臺計算機通過獨立的通道傳輸數(shù)據(jù)，從而產(chǎn)生三個獨特的控制路徑。

構(gòu)建容錯冗余架構(gòu)

近年來，嵌入式硬件供應(yīng)商通過提供 DO-254 安全認證的 OpenVPX SBC 和其他模塊，將商業(yè)設(shè)計解決方案的優(yōu)勢帶到航空電子設(shè)計中，每個模塊都支持所需的一組數(shù)據(jù)工件。與以前需要昂貴的定制模塊相比，這種方法有助于減少設(shè)計 DO-254 系統(tǒng)所需的時間、精力和成本。Curtiss-Wright 最近推出了由英特爾、電源架構(gòu)和 Arm 這三種領(lǐng)先架構(gòu)提供支持的 DO-254 可認證 SBC。隨著基于恩智浦Layerscape LS1043A Arm四核的VPX3-1703（業(yè)界首款安全認證的3U OpenVPX Arm SBC）的推出，航空電子系統(tǒng)設(shè)計人員現(xiàn)在有了一條可行的前進道路來開發(fā)不同的冗余解決方案。

審核編輯：郭婷