Авиационные системы должны соответствовать самым высоким требованиям безопасности и уровням обеспечения качества (DAL) в соответствии со стандартами DO-254 и DO-178C. Благодаря применению функционально безопасных модульных систем и плат, изготовленных в соответствии с самыми высокими требованиями вплоть до DAL-A, на базе стандартной каталожной продукции (COTS) стало возможным создание критически важных аппаратных платформ для авиации. Это делает разработку систем и подготовку к сертификации более быстрой и экономичной, в результате чего OEM-производители и поставщики решений для авиации могут уделить больше внимания своей основной компетенции – разработке специализированных авиационных решений.
Больше интеллектуальности для самолётов и авиакомпаний
Сейчас по всему миру осуществляются пассажирские авиаперевозки по 50 000 маршрутов с суммарным количеством пассажиров более 3 миллиардов. Из-за постоянного роста числа пассажиров авиакомпаниям приходится значительно увеличивать размеры своих флотов. Предполагается, что к 2030 году размер парков воздушных судов будет почти вдвое больше. По мере того как воздушное пространство переполняется, а технология улучшается, автоматизация авиации будет доминирующей задачей для операторов аэропортов и авиакомпаний, а также для производителей авиационной электроники и вычислительных систем. Основная задача состоит в том, чтобы сделать воздушное сообщение более безопасным и эффективным. В следующем поколении бортовых систем люди и компьютеры будут работать в более тесном тандеме: диспетчеры и пилоты воздушного движения, например, будут обмениваться цифровыми текстовыми сообщениями с компьютера на компьютер, вместо того чтобы разговаривать по радио. Это имеет несколько преимуществ, в том числе устранение возможности искажения или подмены радиопередач. Увеличение интеллекта также позволит лучше контролировать и, следовательно, осуществлять более точное планирование взлёта в аэропортах с минимальными интервалами. Это улучшает использование взлётно-посадочной полосы и одновременно повышает надёжность расписания авиакомпаний. Поэтому ожидается, что модернизация существующих систем, как на воздушных, так и на наземных станциях станет основным драйвером роста рынка авионики. С обновлением в кабину войдут несколько новых технологий:
- спутниковая навигация вместо наземной будет установлена для оптимизации трафика в переполненном небе;
- будут всё больше использоваться кабины экипажа с экранной индикацией на базе дисплеев и панельных компьютеров с сенсорными экранами, включая системы технического зрения, для улучшения фокусировки на соответствующей информации;
- для улучшения прогнозирующего обслуживания по требованию будут установлены более сложные системы мониторинга состояния самолётов;
- технология безопасности для бортовых систем потребует ужесточения, поскольку борьба с помощью асимметричных угроз теперь распространяется на кибердомены.
Все эти преобразования в кабинах экипажа и управления воздушным движением требуют существенных инвестиций. По прогнозам, к 2020 году рынок коммерческой авионики достигнет 22,49 млрд долл. США, при этом совокупный среднегодовой темп роста (ССТР) составит 6,10% с 2015 по 2020 год. Ожидается, что рынок решений для информационно-развлекательного сервиса для пассажиров к 2020 году возрастёт до 14,9% ССТР (Research and Markets). Рынок решений для обеспечения связи в самолёте будет расти ещё быстрее – на 23% ССТР к 2025 году (Euroconsult), поскольку авиакомпании переходят к портативным подключённым системам развлечений в самолётах, так как они являются новыми источниками доходов, а также экономичны и технологичны.
Авиационные стандарты обязательны
Новые требования диктуют разработку бортовых систем нового поколения, которые обеспечивают необходимые функциональные возможности по размеру, весу, мощности и стоимости (например, как парадигма проектирования SWaP-C, Size Weight Performance and Cost). Чтобы доказать свою лётную пригодность и надёжность, а также обеспечить максимальную безопасность, помимо этих новых требований системы должны соответствовать тем же критериям, что и ранее установленные. Это означает, что они должны быть максимально защищёнными, чтобы обеспечить надёжную работу в течение многих лет в суровых условиях, характерных для сектора авионики. Эти спецификации собраны в стандарте DO-160. Соответствующие спецификации должны обеспечивать поддержку эксплуатационных характеристик бортового оборудования в экстремальных условиях окружающей среды, даже в случае чрезвычайной ситуации, поэтому бортовые системы и все их компоненты должны быть устойчивыми к воздействию (в зависимости от применения) экстремальных температур, быстрых колебаний температуры, влажности, воздействия жидкостей, песка и пыли, ударов и вибраций, других физических воздействий, таких как космическое излучение. При разработке соответствующих встраиваемых вычислительных систем и их компонентов требуются уникальные атрибуты конструкции, отличающие бортовые вычислительные системы от почти всех решений для других вертикальных рынков.
Функциональная безопасность – ключевой аспект для авиации
Авиационные бортовые системы должны отвечать самым высоким требованиям по функциональной безопасности, поскольку одна ошибка или отказ могут представлять угрозу для жизни человека, или для окружающей среды, или вызывать большие финансовые потери. В результате вычислительные системы для авиации должны соответствовать международным требованиям по функциональной безопасности. Как разрабатывать такие системы, указывается в RTCA/DO-254 «Руководство по обеспечению качества бортового электронного оборудования для коммерческой авиационной промышленности». Стандарт DO-254 относится к аппаратному обеспечению, а для программного обеспечения применяется стандарт RTCA/DO-178C или EUROCAE ED-12C. В DO-254 Федеральное авиационное управление (FAA) указало, что оборудование для авионики содержит как аппаратную часть, так и программное обеспечение, и каждый из компонентов имеет решающее значение для безопасной эксплуатации воздушных судов. Существует пять уровней обеспечения качества, от DAL-A до DAL-E, которые зависят от влияния аппаратного отказа на работу самолёта. DAL-A является самым строгим, где степень воздействия определяется как катастрофический уровень (например, потеря самолёта), в то время как отказ оборудования уровня DAL-E не повлияет на безопасность самолёта. Для соответствия оборудования требованиям DAL-A требуется гораздо более высокий уровень проверки, чем для DAL-E (табл. 1).
О проектировании чёрных ящиков
Из-за высоких требований, определённых спецификацией RTCA/DO-254, критически важные для безопасности системы обычно разрабатываются как полностью заказные решения, в которых аппаратное обеспечение и процессорные платы предназначены только для выполнения конкретных задач.
В компьютерных технологиях такие системы называются чёрными ящиками. Они объединяют программные и аппаратные средства и не должны мешать работе регистраторов данных полёта. Даже малейшее изменение, например, обновление вычислительных алгоритмов, протоколов интерфейсов и т.д., обычно требует нового проектирования системы. Чтобы обойти эту проблему, разработчики часто добавляют новую функциональность в виде новых систем, так что только это дополнение должно быть спроектировано согласно требованиям авионики, сертифицировано и установлено. Хотя такое решение является приемлемым, оно в конце концов приводит к мешанине и нагромождению различных систем.
Необходимы новые инженерные подходы и решения
Хотя решение из набора чёрных ящиков предлагает преимущества в процессе сертификации по функциональной безопасности из-за сравнительно низкой сложности конструкций, в долгосрочной перспективе оно имеет существенные недостатки, с точки зрения производителей самолётов и системных дизайнеров по трём причинам.
- Во-первых, проекты чёрного ящика являются заказными решениями, что заставляет производителей самолётов зависеть от одного поставщика системы, что всегда является фактором риска. Эти системы могут устареть, а поставщик систем может выйти из бизнеса или быть поглощённым другой компанией. При типичном сроке службы самолёта, как правило, не менее 20 лет такие проблемы с устареванием систем могут стать весьма дорогостоящими.
- Во-вторых, из-за нестандартизированной смеси программных и аппаратных функций проекты чёрных ящиков также несут проблемы для разработчиков авиационных систем. Даже малейшие изменения в функциональности, интерфейсах, коммуникационных протоколах или вычислительных алгоритмах могут потребовать разработки новой системы. И эта новая конструкция системы требует больших затрат на разработку, а также сложной и дорогостоящей сертификации.
- В-третьих, набор разных чёрных ящиков требует дополнительного пространства, кабелей, энергии и полезной нагрузки, что приводит к большему размеру, весу, мощности и стоимости, чем это необходимо. В конечном итоге это снижает экономическую эффективность самолёта из-за более высокого расхода топлива, что увеличивает эксплуатационные расходы и снижает рентабельность инвестиций.
Для снижения проектных рисков, а также затрат на разработку и эксплуатационных расходов требуются новые принципы проектирования.
Модульные стандартные компоненты повышают эффективность разработки
Одним из высокоэффективных подходов для разработчиков систем авионики является использование коммерческих готовых компонентов (COTS) от квалифицированных поставщиков оборудования на основе открытых модульных стандартов. Конструкции систем на основе стандартной продукции направлены на обеспечение прозрачной структуры системы. Модульные принципы проектирования очень упрощают настройку систем для различных применений и способствуют эффективному повторному использованию уже существующих конструкций. Например, модульные системы могут быть легко адаптированы для выполнения различных задач, таких как навигация, управление полётом и связь. Применение стандартных модульных систем также сохраняет инвестиции в будущее, потому что новую функциональность и более высокую производительность можно получить, просто добавив дополнительные компоненты или заменив их на функционально идентичные, но более мощные. Это также помогает снизить остроту проблем управления и контроля за устаревающим оборудованием, что является довольно дорогостоящей задачей в течение как минимум 20-летнего срока службы самолёта. Кроме того, они могут помочь обеспечить более быстрое и экономичное обслуживание, поскольку отдельные модули могут быть заменены непосредственно в поле вместо замены целых систем. Модульный подход также позволяет эффективно интегрировать индивидуальные требования, такие как дополнительные интерфейсы и протоколы связи, например, ARINC-429 или ARINC-664 (AFDX). И, кроме того, он обеспечивает среднесрочную и долгосрочную функциональную совместимость на сильно фрагментированном рынке авионики с перспективой максимального повторного использования и масштабируемости архитектур для авиационного оборудования.
Основными стандартами для промышленных систем на основе объединительной платы являются спецификации CompactPCI Serial от консорциума PCI Industrial Computer Manufacturers Group (PICMG), а также VPX и VME от Международной торговой ассоциации VME-шины (VITA). Другим стандартом, представляющим готовые вычислительные ядра для приложений, является спецификация COM Express для компьютеров на модулях, которые используются в комбинации с несущими платами, обслуживающими выделенные интерфейсы.
Необходимо соответствие требованиям по функциональной безопасности
Для функционально безопасных бортовых систем применение модульных систем, соответствующих только общим промышленным стандартам, недостаточно. Разработчикам систем авионики необходимы стандартные компоненты, которые созданы в соответствии со стандартами безопасности авионики. Когда поставщики оборудования могут обеспечить соответствие стандартных продуктов спецификациям DO-178/DO-254 до уровня DAL-A, их продукция может быть успешно использована в качестве компонентов для бортовых систем. В результате системы становятся масштабируемыми без каких-либо усилий по разработке аппаратного обеспечения, с точки зрения производительности и интерфейсов. Любое обновление функциональности может быть выполнено на основе модульных компонентов, так что усилия по созданию аппаратного обеспечения сводятся к минимуму.
При таком подходе производители заказных чёрных ящиков впервые получают стандартизованный фундамент для построения белых ящиков со всеми преимуществами для операторов авиакомпаний, поставщиков бортовых систем и их поставщиков компонентов. Функциональные возможности белого ящика прозрачны и имеют чётко определённую 7-слойную структуру ISO/OSI. Конструкции белых ящиков также позволяют наиболее эффективно идентифицировать ошибки и проблемы в процессе проектирования. Наконец, большая гибкость, с которой могут быть скорректированы уровни связи, облегчает их адаптацию к новым требованиям и скоростям. Кроме того, высокая масштабируемость функциональности системы, которая в настоящее время определяется в большей или меньшей степени программным обеспечением, обеспечивает максимальную гибкость для удовлетворения потребностей клиентов.
Одна платформа для разных задач
Компания MEN Mikro Elektronik приняла вызов в проектировании совместимых с DAL стандартных компонентов с помощью универсального подхода. Одна и та же процессорная плата может соответствовать всем уровням функциональной безопасности, необходимо изменить только конфигурацию платы. Аппаратное обеспечение также отвечает всем требованиям по связи: одна плата может работать в различных протоколах и стандартах, таких как AFDX (ARINC-664), ARINC-429, MIL-STD 1553, CAN, а также в стандартном Ethernet, путём переконфигурирования платы.
Чтобы обеспечить требуемые уровни безопасности, платы используют резервируемую архитектуру. Она может быть настроена по требованиям заказчика для обеспечения необходимой надёжности или функциональной безопасности. В соответствии с общими принципами проектирования для бортовых систем применяется резервирование либо 1oo2 (один из двух), либо 2oo3 (два из трёх), чтобы обеспечить гибкое повышение уровней надёжности и функциональной безопасности. Дополнительные расходы могут быть оправданными, так как MTBF увеличивается примерно в 1,2 раза по сравнению с проектами с одним процессором, что ещё больше подчёркивает высокое качество конструкций.
Тройное резервирование на процессорной плате
Такая процессорная плата соответствует требованиям SWaP-C современных бортовых систем, поскольку двойное или тройное резервирование реализовано на одной плате (рис. 1).
Данное одноплатное решение характеризуется значительно меньшей потребляемой мощностью, оно занимает меньше места, чем три отдельные платы. Эту сложную функциональность можно реализовать на одной процессорной плате с тремя процессорами PowerPC 750, работающими каждый со своим каналом резервируемой памяти, резервируемым локальным источником питания, генератором часов и флэш-памятью. Данный подход также упрощает реализацию программного обеспечения для мажоритарных логических схем с тремя процессорами.
Три процессора PowerPC работают в архитектуре под названием lockstep (жёсткая конфигурация) и полностью синхронизированы (рис. 2).
Для программного обеспечения это один процессор. Таким образом, резервирование становится исключительно аппаратной функцией. Как следствие, программное обеспечение и его сертификация по DO-178B значительно упрощается, что добавляет дополнительные преимущества для OEM-производителей.
Гибко конфигурируемая в ПЛИС мажоритарная логика 1oo2/2oo3
Мажоритарная логика работы с процессорами в архитектурах 2oo3/1oo2 реализована прошивкой ПЛИС (программируемая логическая интегральная схема), созданной разработчиками компании MEN Mikro Elektronik (рис. 3).
Это позволяет переключаться между архитектурами 1oo2 и 2oo3 простой переконфигурацией. Но как можно сделать ПЛИС достаточно функционально безопасной для работы в качестве мажоритарной логики? Эта возможность уже встроена в ПЛИС и следует тем же принципам, которые применяются к самой процедуре мажоритирования. Каждая цепь мажоритарной логики в свою очередь мажоритирована в ПЛИС по архитектуре 2oo3, чтобы обеспечить требуемую устойчивость к одиночным отказам (SEU) и мультибитным сбоям (MBU). Частота отказа архитектуры тройного резервирования составляет около 0,000001 FIT (Failure in Time).
С помощью конфигурирования ПЛИС одна процессорная плата может быть настроена для архитектур 1oo2 и 2oo3, что делает повторное использование сертифицированного по DAL аппаратного обеспечения широко масштабируемым.
Ядра прошивки ПЛИС разработаны в соответствии со стандартом авионики DO-254. Учитывая это, компания MEN Mikro Elektronik смогла использовать стандартный компонент ПЛИС, который так же устойчив к радиации, как компонент, специально разработанный для аэрокосмических применений, но в то же время недорогой и более гибкий.
В дополнение процессорные платы снабжены цепями обратной связи для тестирования интерфейсов ввода-вывода и связи, сторожевым таймером для сброса в случае сбоя программного обеспечения, а также дискретной электроникой для мониторинга уровня питания и температуры, которые сообщают о неисправностях программному супервайзеру BITE (Built in Test Equipment – встроенная система тестирования).
Что касается программного обеспечения, платы поддерживают системы реального времени, такие как VxWorks или PikeOS. Они обеспечивают оптимизированную работу с памятью и управление задачами с минимальными задержками, так что время выполнения цикла программы остаётся детеминированным.
Гибкие межсистемные коммуникации
Для обеспечения полной гибкости в разработке систем нужен ещё один компонент, и этот компонент – внешние интерфейсы связи для подключения к другим подсистемам самолёта (рис. 4). Традиционно общение осуществлялось, например, через ARINC-429 или MIL-STD 1553. Но по мере роста вычислительных потребностей производители самолётов, а также поставщики подсистем авионики всё чаще используют для новых проектов асинхронный полнодуплексный коммутируемый Ethernet (AFDX = ARINC-664). Для этих задач MEN Mikro Elektronik использует функционально-безопасную ПЛИС. Использование ПЛИС для управления уровнем связи повышает гибкость разработки по сравнению с фиксированным дизайном ASIC.
ПЛИС разработана в соответствии с ARINC-664 P7-1 для удовлетворения требований безопасности в авионике. Она совместима с DO-254 и соответствует требованиям от уровней DAL-E до DAL-A. Архитектура с флэш-памятью делает конфигурацию микросхем устойчивой к единичным сбоям (SEU). Функции ПЛИС, поддерживающие работу в реальном времени, настраиваются для реализации коммуникационных шлюзов, включая AFDX-ARINC-429, AFDX-to-CAN или AFDX-to-standard-Ethernet. Это позволяет OEM-производителям разрабатывать свои платы для различных задач в разных средах без какого-либо перепроектирования оборудования, тем самым сохраняя затраты по разработке и сертификации. MEN предлагает коммуникационную ПЛИС как интегрированное решение на своих платах, как отдельную мезонинную карту или как чип для OEM-производителей.
Благодаря соответствию требованиям DAL функционально безопасные процессорные платы компании MEN Mikro Elektronik отвечают всем требованиям, предъявляемым разработчиками систем для авиации. И эти стандартные продукты могут служить основой для построения авиационных вычислительных систем.
Эксперты в системах для ответственных применений
Инженеры компании MEN Mikro Elektronik являются экспертами в области решений для ответственных применений, а также имеют многолетний опыт работы на рынке авионики. С 2008 года компания сертифицирована по авиационно-космическому стандарту EN 9100. Она имеет многолетний опыт в области разработки продукции, соответствующей специальным требованиям этого сектора. Платформы и системные компоненты MEN Mikro Elektronik имеют высокий уровень надёжности, что обусловлено большим опытом как в разработке систем для авионики, так и в разработке платформ для различных других ответственных применений, таких как железнодорожная промышленность, медицинское обслуживание, энергетика и безопасность. Эта компетенция позволяет предлагать клиентам решения, основанные на стандартной продукции, что снижает затраты и оптимизирует эффективность при проектировании систем для ответственных применений, которые должны быть сертифицированы до уровня DAL-A. Благодаря тесному сотрудничеству с поставщиками программного обеспечения компания MEN Mikro получает лицензию EASA части 21 и 145 через своих сертифицированных партнёров. Системы, основанные на стандартных продуктах, уже доказали свою лётную годность в управлении грузовым отсеком самолёта Airbus A400M (рис. 5).
Стандартные продукты, если не нужна сертификация по DAL
Для инженеров, которые ищут стандартные компоненты, предназначенные для работы в бортовых системах без сертификации по DAL, MEN Mikro Elektronik предлагает широкий набор стандартных решений. Все решения для авиации компании MEN на стандартных продуктах выполнены на базе проверенных открытых модульных стандартов встраиваемых систем, включая VME, CompactPCI Serial и Rugged COM Express (VITA 59), и могут использоваться во всех видах различных приложений для авионики. Референтными проектами, которым не нужен уровень обеспечения функциональной безопасности, являются системы предотвращения столкновений на базе CompactPCI Serial с 4 платами ЦП для сбора и передачи данных камеры беспилотных летательных аппаратов (БПЛА), а также серверы развлечений на борту, основанные на CompactPCI Serial (рис. 6).
Платы в стандарте CompactPCI Serial являются экономичным решением для проектирования модульных систем управления в корпусах Евромеханики и корпусах ATR, совместимых с ARINC-600. MEN предлагает различные платы для таких системных платформ, начиная от процессорных плат и мультидисплейных контроллеров до управляемых коммутаторов Ethernet. Они уже используются в совместимом с ARINC-600 развлекательном сервере, а также в многокамерной многопроцессорной системе предотвращения столкновений для БПЛА.
Для жёстких условий эксплуатации и ответственных применений компания MEN предлагает новый стандарт компьютера на модуле Rugged COM Express (рис. 7). Он соответствует спецификации VITA 59, которая расширяет существующий стандарт COM Express группы PICMG, и нацелен на ответственные применения для рынков авионики, транспорта и обороны. Для этих приложений MEN предлагает различные компьютерные модули с многоядерными процессорами QorIQ и Intel Core i7 для максимальной производительности. Модули обеспечивают отказоустойчивую работу в течение 5×10-8 часов, что соответствует требованиям DAL-B. Эти модули уже используются в контроллерах пилотажных дисплеев на небольших и средних коммерческих самолётах.
Компания MEN Mikro Elektronik предлагает контроллер CS1 AFDX, доступный как чип, мезонинная карта или как процессорная плата (рис. 8). Это собственная разработка для ПЛИС от MEN Mikro Elektronik, которая доступна в разных вариантах программных прошивок. Модуль разработан в соответствии с ARINC-664 P7-1 для удовлетворения требований безопасности для авиации, совместимых с DO-254, а также для соответствия требованиям сертификации безопасности до DAL-A и уже сертифицирован по DAL-D. Архитектура с флэш-памятью делает конфигурацию микросхем устойчивой к единичным отказам (SEU). Настраиваемая микросхема ПЛИС обеспечивает гибкие функции шлюза, такие как AFDX-ARINC-429, AFDX-to-standard-Ethernet или AFDX-CAN. MEN сопровождает CS1 комплексной поддержкой сертификации по DAL и индивидуальными прошивками по требованию заказчиков.
Заключение
Компания MEN имеет большой положительный опыт работы в проектах для авиации. Она знает все требования, предъявляемые к аппаратным компонентам, имеет ряд стандартных решений из каталога, сертифицируемых до DAL-A.
Применение таких решений позволит заказчикам снизить затраты на разработку специализированных решений для авиации, а также на их дальнейшую сертификацию. ●
Перевод Алексея Пятницких, сотрудника фирмы ПРОСОФТ
Телефон: (495) 234-0636
E-mail: info@prosoft.ru