航空電子系統的潛在后果和可接受的故障概率決定了必須滿足的設計保證水平（DAL），以便獲得飛行認證。系統的關鍵計算元素 - 例如單板計算機（SBC），圖形卡和內置于飛行控制計算機或飛行顯示器中的操作系統 - 都必須在設計時考慮到安全性，并經過嚴格的測試，以證明它們可以滿足所需的DAL。ARP4754（民用飛機和系統開發指南 - 圖1）被航空電子設計人員用于為系統分配功能，并將DAL分配給其安全認證系統的硬件和軟件。

航空電子系統的潛在后果和可接受的故障概率決定了必須滿足的設計保證水平（DAL），以便獲得飛行認證。系統的關鍵計算元素（例如內置于飛行控制計算機或飛行顯示器中的單板計算機 （SBC）、圖形卡和操作系統）都必須在設計時考慮到安全性，并經過嚴格的測試，以證明它們可以滿足所需的 DAL。ARP4754（民用飛機和系統開發指南 - 圖1）被航空電子設計人員用于為系統分配功能，并將DAL分配給其安全認證系統的硬件和軟件。

圖1：ARP4754 為安全認證系統中使用的硬件和軟件分配設計保證級別。

例如，設計用于飛行控制計算機的SBC必須符合DO-254 / DO-178C DAL A，這要求每飛行小時故障概率為10-9《1。滿足 DAL A 級可靠性是一項艱巨的挑戰。此外，無論電子設備多么可靠，不可預測的外部因素仍然可能導致系統故障。例如，單通道飛行控制系統容易受到單點故障的影響，從而導致整個系統出現故障。

考慮無人機（UAV）在飛行中遭受鳥撞的情況：如果事故阻止了無人機的一個探測器，它可能會完全失效或導致它將危險誤導性信息（HMI）傳輸到飛行控制計算機。這兩種情況都可能阻止飛行控制計算機正確計算其控制下的組件的所需數據，這最終可能導致災難。

出于安全認證的目的，航空電子系統設計師負責證明飛機能夠承受主主動系統的完全損失。由于單點故障會導致嚴重后果，因此硬件冗余在 DAL A 系統中至關重要。但是，如果飛機使用具有類似通道構建的冗余架構，則該系統仍然容易受到共模故障的影響，從而導致所有通道以相同的方式發生故障。共模故障可能是不可預測和不可預防的，例如雷擊、電磁干擾、火災或爆炸。軟件錯誤是另一種形式的共模故障，很難防止;由于復雜的航空應用程序是由數萬行代碼構建的，因此幾乎不可能測試和防止每個可能的軟件錯誤或事件組合。

不同冗余提供了一種更復雜的方案，可以通過使用兩種或多種不同的處理器類型和不同的軟件來緩解共模故障，和/或使用來自主活動系統的不同傳感器和控制的備份系統。通過在不同的硬件上運行不同的操作系統和應用程序，系統設計人員可以增加一層額外的保護，防止軟件錯誤，這些錯誤會以類似的方式影響不同的硬件架構。

在NASA的航天飛機艦隊中可以找到高度冗余系統的一個例子。航天飛機中的計算機控制飛行和任務功能，并且旨在處理多個級別的組件故障，而不會影響任務的成功。這種高水平的容錯是通過五臺計算機實現的，其中四臺運行相同的軟件。第五臺計算機是運行不同軟件的獨立備份，以防止可能影響四冗余集的通用軟件問題。在其他例子中，空中客車A320飛機使用五臺不同的計算機運行四個不同的軟件包，波音777的設計具有高水平的冗余，具有三臺具有不同處理器的主要飛行計算機，每臺計算機通過獨立的通道傳輸數據，從而產生三個獨特的控制路徑。

構建容錯冗余架構

近年來，嵌入式硬件供應商通過提供 DO-254 安全認證的 OpenVPX SBC 和其他模塊，將商業設計解決方案的優勢帶到航空電子設計中，每個模塊都支持所需的一組數據工件。與以前需要昂貴的定制模塊相比，這種方法有助于減少設計 DO-254 系統所需的時間、精力和成本。Curtiss-Wright 最近推出了由英特爾、電源架構和 Arm 這三種領先架構提供支持的 DO-254 可認證 SBC。隨著基于恩智浦Layerscape LS1043A Arm四核的VPX3-1703（業界首款安全認證的3U OpenVPX Arm SBC）的推出，航空電子系統設計人員現在有了一條可行的前進道路來開發不同的冗余解決方案。

審核編輯：郭婷