介绍

未来的空中能力环境（Face™）联盟每年每年举办技术交流会议和展览。下次活动计划于2021年3月。领导面部活动，风河系统公司和Rapita系统正在为面部架构提供一些背景，专注于我们的“一站式购物”生态系统，适用于可移植性（UOP）和测试，集成和认证系统的工具，基于面部技术标准进行测试，集成和认证系统。以前的文章涵盖：

•操作系统部分如何适应FACE架构

•面部组件：可互换但不等于

•FACE系统的保证分区

•确保FACE系统的多核分区

美国国防部有利于开放架构解决方案，作为快速且以较低的成本更加改进的航空电子硬件。这种解决方案的一个来源是未来的空中能力环境（Face™）联盟，它发布了开放式架构技术标准以及用于在航空电子系统中实施标准的商业模式。面部联盟发布的出版物是公开可用和免费下载。

适航标准

本系列的前一篇文章主要讨论多核处理器中的分区。它还研究了基于多核处理器的航空电子系统的安全认证指南，包括分区的多核方面，特别是FAA CAST-32A立场文件。我们还需要考虑其他几个标准，包括:

•RTCA DO-178C“空中系统和设备认证中的软件考虑” - 描述了开发飞行的软件的过程认证

•RTCA DO-254“用于机载电子硬件的设计保证指南” - 描述了开发复杂电子硬件的过程，该硬件将获得认证。由AC 20-152引用。

•RTCA DO-248C“支持DO-178C和DO-278A的信息” - 提供了有关DO-178C概念的额外详细信息，包括使用先前开发的软件，MC / DC覆盖范围，独立和分区

•RTCA DO-297“集成模块化航空电子设备（IMA）开发指导和认证考虑” - 描述了开发IMA系统的角色和流程，以及分区的重要性

•ARINC 653 Part 1, Supplement 5 -增加了对多核的支持，但在分区和保证方面，很明显不能认为符合ARINC 653就保证了健壮的分区。”

•FAA AC 20-193“使用多核处理器” - 基于多核处理器的CAST-32A与CAST-32A的目标正式确定。该咨询通函的草案于2020年10月发布。在评论期后，预计最终版本将在2021年出版。

•美国国防部密谋 - HDBK-516C“适航认证标准” - 提供航空电子系统认证的指导（包括硬件和软件）。更新正在进行以解决多核考虑因素，但这尚未发布。

•美国陆军的“多核处理器(MCP)适航要求”——该指南是草案，尚未正式发布。

面部一致性不是适航性

如本系列的先前文章中所述，面部一致性的认证只保证了一套符合单位（UOC）荣誉面标。它并非旨在作为满足适航要求的解决方案。实际上，面部标准识别出某些系统不需要安全认证，例如使用Linux作为操作系统的面部通用配置文件构建的系统。安全和安全扩展的型材故意限制面部UOC中包含的功能的广度，这可以帮助限制生成认证证据所需的努力范围，但使用此配置文件只是一个起点。

在比较FACE符合性和飞行认证(适航性批准)时，这给我们带来了一些重要的概念差异。FACE标准的一致性是授予组件的，而不是授予整个系统的。FACE Verification Authority (VA)验证UoC的符合性，UoC可能是FACE架构段，也可能是段的一部分。一个UoC不能跨越多个体系结构段，但是一个“UoC包”可以由跨特定FACE段的UoC组成，从而形成一个单一的逻辑实体。因此，即使部分或全部由符合FACE的UoCs组成，也不能授予整个系统FACE一致性。只有个别UoCs可以被声明为符合。

另一方面，适航性被授予整个系统，而不是组件。认证伪像可以与一个组件相关联，例如OS，并且这些伪像可以累积到飞机的整体认证包中。单个组件可以被描述为可证实的，或者也许是指定系统中的认证，但独立组件不能标记为“认证”。

例如，PowerPC上的Wind River VxWorks 653 V2.5的认证伪影（这是对技术标准V2.0的安全底轮廓的脸部符合）包括满足RTCA DO-178C的要求所需的所有文档，包括超过65,000超链接文件。这包括证书（PSAC）和软件成就摘要（SAS）的软件方面计划等项目以及所有的设计评审，代码审查，测试评论，功能测试和覆盖结果。除了支持操作系统的证据之外，还有有资格开发工具的证据，以及更新的发布，证据支持CAST-32A for MOLLICORE。

面部一致性支持适航性

面部UOC供应商的工作是提供软件以及相关的认证伪影。系统集成商的工作包括拉动面部UOC，以形成整体航空电子系统设计。如果作为认证申请人，他们还必须将每种UOC的认证工件整理到系统的整体认证方案中。

脸部联盟有两个委员会，其工作有助于平滑此过程。首先，技术工作组（TWG）软件安全以来一直处于激活，几乎是联盟的开头。目前由Glenn Carter和Joe Wlad领导，该委员会的任务是确保每张版本的脸部技术标准不会干扰随后获得飞行认证的努力。也就是说，该组使用“无伤害”方法，采用预防措施，消除技术标准的潜在适航问题。其次，EA-25适航委员会成立于一年前，授权通过进一步确定如何利用对面对面一致性的努力来增强TWG安全组的预防性维护，以帮助展示适航性。该团队的可交付是一份白皮书，即在追求面向映射到适合支持飞行认证的证据的情况下产生的活动和相关的设计文物。因此，“不伤害”扩展到“做一些好”。来自该委员会的白皮书在2021年的某个时候预计。

在FACE参考体系结构中可以找到一个支持适航性的FACE一致性的高级示例，如下所示。民用和军用适航制导通常都需要定义一个软件体系结构。使用FACE UoCs设计的系统本质上建立在一个经过公开审查和标准化的参考体系结构之上。体系结构的文档、接口和规范都是有助于满足体系结构定义对适航性的期望的工件。系统集成商仍有一些工作要做，以证明体系结构是正确实现的，并确保与体系结构相关的需求得到审查，并通过正常的验证和验证。

可以在安全和安全性配置文件下的时间分区和空间分区的面部技术标准要求中找到适航支持适航性的更具体的例子。通过分区提供的隔离不仅有助于可移植性和可重用性，而且还可以减轻集成模块化航空电子设备（IMA）系统的认证。许多适航标准预计将作为将复杂系统分解成可以独立和逐步保证的单独逻辑组件的手段进行分区。分区不能成为事后的想法。它是计算硬件和RTO的基本机制，因此必须从一开始就成为设计哲学的一部分。因为面部技术标准需要它，这有助于确保在正确的轨道上开始开发程序。OSS供应商提供大部分证据来验证和验证分区环境。然后，系统集成商必须演示分区环境是适当实现和配置的，以便可以接受供应商证据。此外，系统集成器必须将系统资源分配给分区，并演示总资源使用情况在系统容量中。资源分配包括一个或多个处理器内核的一部分时间，主存储器的一部分。

工具

飞行认证系统组成的FACE符合元素可能是一项艰巨的任务。Wind River可以通过提供操作系统部分(OSS)和认证工件(如在FACE库/注册表中列出的)，包括DO-178计划，如PSAC和软件开发计划(SDP)，以及验证证据，如软件验证测试用例和过程，来支持您的努力。和软件测试结果。还包括一个合格的开发工具套件，它允许您独立地、增量地和异步地开发、配置、构建、调试、测试、重新测试和验证每个独立的应用程序。

Rapita Systems可以通过它的一套验证工具来支持您的认证工作，这些工具自动化了许多验证和验证(V&V)过程，包括用于生成单元和系统测试、自动化测试运行和报告、分析结构和决策覆盖，以及测量和报告计时行为的工具。对于多核系统，Rapita还提供了一个CAST-32A符合性解决方案，通过验证多核干扰通道得到适当缓解，解决了航空电子系统的适航性问题。

关于作者

Alex Wilson是Wind River的航空航天和国防行业解决方案总监，他负责EMEA，APAC和日本的A＆D市场。作为Wind River航天和国防行业解决方案团队的一部分，亚历克斯负责商业战略，包括产品要求，销售增长战略和生态系统发展。

Steven H.Vanderleest是Rapita Systems的多核解决方案的主要工程师。他发表了与IEEE航空航天和电子系统杂志（IEEE数字航空电子系统会议（DASC）和SAE Aerotech的AvioNics安全和安全有关的主题。Vanderleest博士也是EA-25适航委员会的主席。

注意：本博客中表达的观点是作者的唯一意见，不代表面部联盟的官方职位。