核心观点与关键数据
- 安全系统的重要性:在航空航天和 defense 行业,即使对于非安全关键系统,实施安全系统也能显著提升操作和安全性,降低风险,提高可靠性,并通过冗余架构和软硬件隔离确保数据完整性。
- 设计保证等级(DAL):安全系统需满足不同的 DAL 要求,从 A(灾难性)到 E(无影响)。DAL B 至 E 要求代码覆盖率分别为 100% 决策 +100% 条件、100% 决策、100% 代码行和 0。例如,飞行控制系统通常要求 DAL C + 100% 决策。对客机而言,系统失效率需低于 1x10^-9/飞行小时。
- 平台灵活性:DAL 认证不仅限于航空领域。例如,一辆自动拖曳飞机的地面系统通过采用 VxWorks,可按照航空指南 DO-178 进行认证,展示了平台在不同安全级别上的适应性。
- 支持自主操作:为支持自主操作引入高性能计算平台(如 Airbus A330 SMART MRTT A3R 系统)增加了系统复杂性。通过合作,实现了 DAL-A 认证及增强型维护系统。
- 新兴技术安全创新:传统雷达和传感器处理需要多处理组件,难以认证。Mercury Systems 致力于开发具有安全背景的传感器,以应对更复杂、低误差率要求的操作。
合作伙伴与解决方案
- 合作伙伴:Wind River、Mercury Systems 与 Intel 合作,共同开发虚拟化安全系统。
- Mercury Systems:作为开放式、模块化安全板和系统领导者,专注于地面和机载系统的安全设计,遵循 RTCA DO 和 EUROCAE 安全目标。其安全开放式计算机平台具有多处理器、专用图形管理器,并通过空间和时间隔离保证数据完整性。
- Intel:与 Mercury Systems 合作开发高端处理能力兼具强大安全背景的解决方案,将操作系统安全性和兼容性纳入产品需求。
- Wind River:嵌入式软件市场领导者,其 VxWorks 操作系统已用于数十亿设备,并在航空航天和国防领域完成超过 550 个基于 DO-178C 的安全认证项目。Wind River Studio 提供 AI 系统的云原生开发、部署、运营和服务。
- Wind River Helix™ 虚拟化平台:作为软件架构的关键部分,允许高性能计算平台有效隔离,使不同安全或安全级别的应用能在同一系统上运行。通过抽象层,该平台可缓解安全风险,控制硬件与应用交互。
- 解决方案优势:结合 Helix 平台和 Mercury Systems/Intel 的高端处理器,可将功能从多个专用资源迁移到更少平台上,支持在同一平台上运行不同操作系统(如 VxWorks、Linux、Android),同时 Helix 平台通过抽象层管理安全风险。
新认证与未来趋势
- AI 驱动系统认证:随着自主系统(如无人机、城市空中交通)的发展,对 AI 系统的安全认证成为关键挑战。FAA 开始发布关于认证依赖大量数据的 AI 算法的指导,提出了“W 型过程”来验证训练好的神经网络在飞机中的执行效率。
- AI 安全性:AI 安全性框架包括学习保证、可解释性、风险缓解等要素。目前处于探索和指导开发阶段,未来将逐步完善各级 AI/ML 的指导方针。
- 未来展望:自主系统(特别是载人飞行器)的安全认证需要 avionics 安全技术和相应认证的进步。AI 在安全领域的应用和认证流程仍在发展中。
结论
对于拥有安全软件和系统经验的公司,将 AI 等创新技术整合并应对新认证要求是主要挑战;对于新进入市场、缺乏安全认证经验的公司,建立满足严格安全标准流程和功能是主要挑战。Mercury Systems 和 Wind River 的合作可帮助验证安全架构、系统需求和操作流程,支持安全创新和复杂系统的开发。
