在國家空域系統(tǒng)（NAS）中運行的無人駕駛飛機系統(tǒng)（UAS）繼續(xù)激增。作為回應(yīng)，美國聯(lián)邦航空管理局（FAA）正在發(fā)布監(jiān)管變更，這將影響有關(guān)在NAS中飛行的無人駕駛飛機（軍用和商用）的安全認證政策。這些政策變化正在進行中，軟件和硬件設(shè)計人員需要跟上這些變化。

根據(jù)美國聯(lián)邦航空管理局（FAA）的估計，到2020年，基于模型的sUAV（歸類為小型無人機）的注冊量將超過200萬架，而非模型sUAV的注冊量將接近50萬輛。目前美國聯(lián)邦航空局根據(jù)FAR 107對小型無人機（55磅以下）的規(guī)定，如果在白天和400英尺以下的不受控制的空域運行，則不需要任何特殊的預(yù)授權(quán)。美國聯(lián)邦航空局最近的數(shù)據(jù)還顯示，人們越來越希望在FAR第107部分規(guī)定的限制之外運營。2017年，美國聯(lián)邦航空局批準了1，600多項豁免，這些豁免影響了一個或多個第107部分標準（例如白天或視線操作），以及近13，000項針對受控空域操作的豁免。

雖然豁免程序可能很繁瑣，但很明顯，繼續(xù)使用豁免將抑制創(chuàng)新和增長。擺在面前的挑戰(zhàn)：監(jiān)管要求和創(chuàng)新愿望如何與安全的UAS流量增長共存？

［編者注：術(shù)語UAV是指實際的飛機，而術(shù)語UAS是指飛機，其有效載荷，其地面站 - 基本上是與平臺相關(guān)的任何東西。

無人機監(jiān)管變化

2012年，美國聯(lián)邦航空局被國會授權(quán)簡化飛機認證流程。美國聯(lián)邦航空局已經(jīng)根據(jù)FAR Part 23（針對小于12，000磅的飛機）重寫了法規(guī)，使飛機和設(shè)備制造商能夠提高效率。該機構(gòu)還與外國監(jiān)管機構(gòu)就提高相互批準的效率達成協(xié)議。此外，美國聯(lián)邦航空局去年將自己從地理領(lǐng)域重組為功能領(lǐng)域。這些變化帶來了更高效的審批流程，并允許更多的創(chuàng)新，同時保持或改善對安全的關(guān)注。

現(xiàn)在，美國聯(lián)邦航空局正在采取更大膽的步驟，簡化軟件和復(fù)雜硬件認證的過程（目前正在進行中）。這項最新舉措涉及擺脫RTCA/DO-178和DO-254中的規(guī)范性指南，而是使用稱為總體屬性（OP）的更一般的指南。根據(jù)美國聯(lián)邦航空局的說法，總體屬性計劃旨在為飛機系統(tǒng)設(shè)計和學(xué)科的多個級別的認證過程提供靈活性和效率。美國聯(lián)邦航空局的理由是，認證政策一直落后于技術(shù)和創(chuàng)新。通過為軟件和復(fù)雜的硬件審批提供更通用的框架，設(shè)計人員可以自由選擇如何顯示合規(guī)性。在無人駕駛飛機系統(tǒng)的設(shè)計和批準中，這一點最為重要。

美國聯(lián)邦航空局于2018年3月舉辦了無人駕駛飛機系統(tǒng)研討會，吸引了900多名與會者。“整個會議的信息是：美國聯(lián)邦航空局對商業(yè)開放，”美國交通部政策副部長德里克·坎說。研討會由政府、行業(yè)和創(chuàng)新者組成，討論法規(guī)和研究，目標是將UAS安全地集成到NAS中。美國聯(lián)邦航空局的主要目標：促進UAS與NAS的集成（稱為UAS交通管理），并確保安全，安保和隱私。

研討會的焦點表明，美國聯(lián)邦航空局正在從其規(guī)范標準轉(zhuǎn)向基于性能的無人機合規(guī)方法;新方法側(cè)重于飛行器，飛行員和空域。最緊迫的問題是領(lǐng)空。今天，私人和商業(yè)空中交通主要由人類在計算機和雷達的幫助下管理。然而，鑒于無人機數(shù)量的預(yù)期增長，在人類參與的情況下管理這些飛機是不切實際的。相反，UAS 交通管理 （UTM） 將為所有無人機啟用自動識別、路由批準、日志、沖突解決等。美國聯(lián)邦航空局的重點似乎是首先解決空域整合問題，目標是在未來兩年內(nèi)通過法規(guī)。

無人機設(shè)計特點

如今，幾乎每個UAS開發(fā)人員都受益于敏捷開發(fā)、低進入門檻、新設(shè)計方法和較短的上市時間，但他們在設(shè)計安全關(guān)鍵系統(tǒng)方面的經(jīng)驗有限。相比之下，大多數(shù)傳統(tǒng)的軍事和商業(yè)設(shè)備設(shè)計人員都受到有條不紊（例如DO-178驅(qū)動）的開發(fā)過程，高進入門檻，傳統(tǒng)工具，長交貨時間以及遵守法規(guī)的豐富經(jīng)驗的驅(qū)動。由于許多經(jīng)濟和技術(shù)因素，包括時間、成本、代碼大小、基于模型設(shè)計的使用、代碼生成和使用開源軟件等因素，試圖在UAS上“改造”DO-178或DO-254的規(guī)定方法是不切實際的。

UAS設(shè)計人員更傾向于使用仿真平臺和飛行測試來測試和驗證他們的系統(tǒng)。傳統(tǒng)的基于需求或基于單元的測試可能無法完成，尤其是在原型階段。如今，這些車輛中的大多數(shù)要么在受控 NAS 之外運行，要么獲得豁免。但是，一旦這些車輛希望在夜間、人口稠密地區(qū)或視線之外飛行，就需要額外的驗證方法。（圖 1。美國聯(lián)邦航空局認識到，創(chuàng)建獨立于技術(shù)的保證技術(shù)可能是在NAS中實現(xiàn)UAS設(shè)備認證的最佳方式。如果人們認為自動駕駛汽車（空中和陸地）將很快成為學(xué)習(xí)系統(tǒng)，那么不久之后將需要DO-178或ISO 26262中未涉及的新技術(shù)和方法來驗證這些能力。

其他可接受的軟件合規(guī)性方式

迄今為止生產(chǎn)的大多數(shù)UAS內(nèi)部運行的軟件沒有正式的認證譜系。用DO-178的說法，它都是“E級”軟件，這意味著任何故障條件都不會對安全產(chǎn)生影響。當(dāng)然，在UAS的用例中，只要采取適當(dāng)?shù)拇胧浖收喜粫Π踩a(chǎn)生影響。但是，如果用例擴展到包括更重的車輛、在人口稠密地區(qū)上空飛行或超出視線的操作，則所有軟件都不能再被視為 E 級。安全分析可以確定在UAS計算平臺上運行的某些軟件可能需要獲得設(shè)計保證級別（DAL）B或A的認證，具體取決于給定故障條件的結(jié)果。

由于UAS設(shè)計人員可能使用敏捷開發(fā)方法，采用基于模型的設(shè)計來生成控制軟件，或使用新穎的工具或技術(shù)，因此DO-178逆向工程方法的應(yīng)用可能不切實際。此外，UAS設(shè)計人員更多地依賴開源軟件（例如Linux）并擁有龐大的代碼庫。在這種情況下，F(xiàn)AA基于風(fēng)險的認證合規(guī)方法可以提供幫助。

總體屬性倡議

美國聯(lián)邦航空局吹捧的總體財產(chǎn)計劃仍在建設(shè)中，這種方法的正式政策可能要到2020年或更晚才會發(fā)生，具體取決于試點項目的結(jié)果和外國監(jiān)管機構(gòu)的意見。該方法是所有安全關(guān)鍵系統(tǒng)都具有三個固有屬性：

意向：定義的預(yù)期行為相對于所需行為是正確的和完整的

正確性：在可預(yù)見的操作條件下，實現(xiàn)相對于其定義的預(yù)期行為是正確的

可接受性：定義的預(yù)期行為不需要的實現(xiàn)的任何部分都沒有不可接受的安全影響

在這三個屬性中，人們可以看到FAA基于風(fēng)險的認證方法，以及沒有提到DO-178或DO-254的細節(jié)。每個屬性都有定義的評估標準，因此審核員有辦法批準設(shè)計，并且這些標準以類似的方式為每個屬性構(gòu)建。每個都有計劃活動、覆蓋范圍標準、生成的證據(jù)和整體流程保證。可以將屬性和評估標準視為 DO-178 和 DO-254 要求的抽象，而無需對目標、輸入、輸出或結(jié)果文檔進行任何規(guī)范性描述。每個供應(yīng)商決定其流程、工具和技術(shù)如何滿足屬性和評估標準。

對于 Intent 屬性，當(dāng)前定義的評估標準為：

規(guī)劃活動

定義所需的預(yù)期行為 （DIB）

識別輸入空間、可觀察行為、故障條件

在適用的輸入和故障條件下的DIB覆蓋范圍

證據(jù) – 計劃活動所需的數(shù)據(jù)

過程保證 – 獨立評估，數(shù)據(jù)受配置管理 （CM） 控制，保留評估證據(jù)

與安全評估過程的交互 – 分配 DAL，確認 DIB 與安全評估過程假設(shè)一致，并解決故障條件

對于“正確性”屬性，當(dāng)前定義的評估標準為：

規(guī)劃活動

評估可能的錯誤源，解決錯誤預(yù)防/檢測問題

描述每個（開發(fā)）層如何針對更高層或 DIB 顯示正確

描述如何針對每個較高層或 DIB 顯示實現(xiàn)的正確性

覆蓋范圍 – DIB 及其在適用輸入和故障條件下的實施

證據(jù) – 計劃活動所需的數(shù)據(jù)

過程保證 – 獨立評估，數(shù)據(jù)受CM控制，保留評估證據(jù)

與安全評估過程的交互 – 分配 DAL，確認 DIB 與安全評估過程假設(shè)一致，并解決故障條件

驗證環(huán)境

除最終環(huán)境外使用的驗證環(huán)境的差異和理由

對正在驗證的方面（即時間、堆棧使用等）的適用性是合理的

制造、維修、運營和持續(xù)適航

確保設(shè)計數(shù)據(jù)允許一致地復(fù)制實施

確保設(shè)計數(shù)據(jù)允許生成適當(dāng)?shù)某掷m(xù)適航說明 （ICA）

確定影響操作或安裝的支持說明或限制

對于“可接受性”屬性，當(dāng)前定義的評估標準為：

規(guī)劃活動

定義識別實現(xiàn)中的添加的方法

如何獲得實施中增加內(nèi)容的信心，包括與安全評估過程的交互

覆蓋

識別實現(xiàn)中的所有添加項（無論是否使用）

實施中添加的影響（對安全沒有不可接受的影響）

用于限制實施和證據(jù)的緩解手段

證據(jù) – 計劃活動所需的數(shù)據(jù)

過程保證 – 獨立評估，數(shù)據(jù)處于配置管理控制之下，評估證據(jù)保留

與安全評估過程的互動

確保實現(xiàn)中不需要滿足 DIB 的任何功能都沒有不可接受的安全影響

確保任何剩余的問題或缺陷沒有不可接受的安全影響

前進的道路

很明顯，OP的方法是避免DO-178或DO-254中使用的規(guī)范性驗證目標和技術(shù)。沒有提到工具鑒定、“代碼覆蓋率”或刪除死代碼或停用代碼的指南等主題。但是，需求和分解的概念在評估標準中貫穿始終，因此驗證將側(cè)重于預(yù)期行為并達到所需的安全級別。目的不是要使其與傳統(tǒng)的驗證軟件方式完全不同，而是在驗證方式上允許更大的靈活性。

審核編輯：郭婷