机载电子产品设计

下一代航空运输系统(NextGen),一个美国FAA-led现代化的航空运输系统旨在提高飞行效率、可预测的和安全的,目前正在为美国历史上最雄心勃勃的基础设施项目。

这不仅仅是一个小升级老化的基础设施。美国联邦航空局和合作伙伴正在实施新技术和能力塑造一个现代的、弹性和安全国家空域系统服务每天超过270万名乘客和44000个航班。

航空电子设备oem像空客、波音和麦道公司,随着半导体供应商BAE系统公司、L3Harris,和贝蒂·格,熟悉次世代。他们也精通RTCA / - 254标准,这是合规的方式包含fpga的机载电子硬件的发展,器件和asic。

做- 254要求的航空电子设备包含硬件和软件(必须坚持DO178C),并且每个飞机安全运行至关重要。有五个层次的一致性,通过E,这取决于硬件故障的影响会对飞机的操作。水平是最严格的,定义为“灾难性”效应(如飞机的损失),而E级硬件的失败不会影响飞机的安全。会议级别合规复杂电子硬件需要更高水平的验证和确认比E合规水平。

“fpga主要是用于做- 254电子今天,”观察到路易De Luna Aldec营销主管。“但是现在我们有了SoC fpga,所以他们在航空电子设备变得受欢迎。认证时对这些类型的设备,硬在soc主要是基于arm的嵌入式处理器,并被当作床与一个单独的指导。在处理器上运行的软件应用程序需要遵守- 178 c,而FPGA的硬件ip - 254面料需要遵守。当我们谈论为SoC FPGA做- 254,我们真的谈硬件IP,外围设备,和自定义在FPGA硬件逻辑结构必须与处理器验证整个系统的一部分。”

254年——基于需求的物理测试是首选的验证方法,而不是模拟。虽然模拟是一个重要组成部分,物理测试为王,和航空电子设备的短语,“硬件苍蝇,而不是模拟”仍然适用。“模拟是基于模型,所以它不是真正的100%表示系统在安全方面,”De Luna说。“物理测试的结果仍然是首选的方法。这是最主要的挑战来自哪里。”

很多很多的文书工作
航空航天和国防的解决方案主管史蒂夫•卡尔森节奏、强调需求本身,是最大的头痛。“做- 254游戏是所有的文书工作,与设计。并不影响设计。它只是影响你保持工件。最后他们想要一个可再生的路径,所以你必须拥有所有的脚本,等等,重新设计。同时,你必须有你的自顶向下的需求之间的可追溯性,和自底向上测试你证明已达到要求。除此之外,这是一个渐进的常规设计工作的步骤可能与安全机制,自动防故障装置的操作,和不同的硬件安全措施可能付诸实施。”

尽管如此,还是有差距的工具。“有很多需要改进的地方在验证,”卡尔森说。“当我们谈论指标验证,你仍然得到一些人谈论行覆盖率。一个人在一个太空计划不是谈论行覆盖率,但是测试的数量。所以你有超过100000个测试。他们测试什么?尽可能使用形式验证的想法,以及模拟仿真和早期软件带来的硬件/软件集成问题,跟左移位的概念,国外大多数人在实践中,如果没有概念。”

这只是问题的一部分。做- 254,没有做这种东西- 254认证工具,De Luna说。“不过,有一个工具评估资格,另一个为工具,可用于指导设计和验证。如果一个工具将用于设计目的,设计意味着它可能引入错误的设计——或验证工具可能无法在验证检测错误,然后设计和验证工具必须通过一个工具评估和资格。”

尽管如此,这只是属于工具,而不是最终产品。最终的产品通常是PCB的SoC FPGA。- 254是申请什么硬件,特别是如果有复杂的硬件,包括一个处理器,如FPGA或SoC FPGA。

“航空公司传统上使用的方法包括PCB,他们有真正的系统驱动电路板的输入,”De Luna说。“然后他们捕捉PCB上的输出输出。- 254,做的是应用在芯片级,这意味着他们没有进入FPGA所以他们无法探测。所以他们不能做的基于需求的测试FPGA芯片,做- 254的主要概念,和大多数的设计和验证的挑战来自。”

选择你的方法
航空电子设备电子工程师不断挑战和决定哪些方法是适合声称信贷在基于需求的测试。

“在完美的世界里,一个客户会测试所有要求机载目标——换句话说,最后的硬件,”Wiltgen雅各说,功能安全解决方案经理导师,西门子业务。“这包括确保所有行代码执行,所有功能行为证明,硬件和软件接口之间的假设是这样的例子不胜枚举。事实上,这是非常困难的来完成当考虑可用的技术和进度和预算压力。现在也就与当前技术,它很少是可行的,以满足所有的做- 254验证目标与目标测试。因此,客户必须在定义的方法和创新平台为每个需求提供足够的测试。”

许多平台存在包括模拟、仿真和原型设备有或没有目标骑士等等,他提醒,每个平台都有优点和缺点,可接受性测试的要求。

“权衡在可控性,可见性时,必须评估和调试存在决定测试方法,”Wiltgen说。“例如,模拟可以部署到收集代码和功能覆盖率,和一个参数可以使用模拟基于需求的测试在FPGA内部逻辑。然而,一些硬件水平目标执行验证来验证接口,并确保合成和place-and-route翻译正确RTL设计编程文件。模拟提供了一个高度的可见性、可控制性和加快调试失败的。”

然而,基于硬件的测试接口需求,或涉及外部组件,工作最好当匹配的空中目标,因为接口和电气信号必须占。所以即使行使骑士形象,可见性设计行为往往是有限的。

“总的来说,客户成功地按时完成基于需求的测试,使用多种方法和平台,识别验证使用非目标验证平台的需求和要求必须测试机载目标,”Wiltgen说道。

剩下的未知数
- 254是一个非常严格的功能安全标准与规范审计和认证的过程。

”的一个关键挑战是独立验证设计的转换,如合成,”塞吉奥Marchese说,技术营销经理OneSpin解决方案。“降低风险的一种方式是使用旧的,“证明”版本的实现工具和关闭优化。这将导致额外的设计工作,作为硬件工程师不能充分利用可用的技术。但更糟糕的是,没有人真正可以衡量这种方法降低风险。门电路级仿真可以提供额外的信心,但是很慢,effort-intensive,并提供了很少的报道。实验室测试快速运行,但调试是很棘手和迭代循环非常缓慢。”

因此,许多公司现在搬到正式的等价性检验得到客观、详尽的验证,合成和place-and-route设计转换并没有引入bug。“这是标准的方法在ASIC流很长一段时间,“Marchese说。“但现在有商业工具专门针对FPGA流,占据航空航天应用。工具能提供巨大努力储蓄和提供全面的验证,这是至关重要的实现- 254认证可以预见。”

每个人都希望安全飞行结构我们可以依赖,和做- 254是一个拼图的整体提供安全的空中旅行,”节奏的卡尔森说。“做- 254适合较大的认证过程由联邦航空局,看着电子元件,和那些你需要做更严重的报告更高水平的保证。做- 254主要是跟踪发生了什么。你读过的所有废话是预防错误,但它确实没有。有人类参与其中,他们犯错误。- 254的过程真的带来的一定程度的可追溯性。这包括可追溯性要求,但也可追溯性过程中,如果出现错误诊断故障,然后他们有可追溯性回犯了一个错误的人。这是指责将来使用的机制,但并不阻止问题。”

做- 254的过程是这样的,有一个指定的工程代表(DER) FAA认证过程的一部分,是谁和你一起工作的人。

“在这里,重要的是得到一个计划,因为它真的混乱和昂贵的如果你试图改造- 254事后追踪,”卡尔森说。“你真的想计划- 254,有认证官的规划,然后它变成了一个自动化的过程。前期应该会见DER和同意验证方法,自验证是这整个事情的关键,然后建立一个详细的验证计划。这很像一个功能验证计划,你将做一个商业项目。还有其他方面与功能性安全建成的,像在汽车。但是有需要验证的功能。如果你把这些计划,你可以在规划和管理制度化工具。”

所有的前期规划工作可以从Aldec嵌入商业工具,抑扬顿挫,导师,OneSpin和其他跟踪和报告生成是自动的。合规官可以生成定制的报告。

电子战要求
要做的另一个方面- 254是利息国会有兴趣国防部(DoD)的电子战(EW)的投资组合。这是一个关键组成部分美国国防战略应对沉重的投资,中国和俄罗斯在电子warfare-related系统在过去的二十年里。公共领域的一份报告称,国会研究服务中心估计,美国国防部正寻求投资约102亿美元的FY2020电子战计划基于非机密资金来源。

在过去的二十年里,中国和俄罗斯已经考虑美军指挥控制、情报监视和侦察(C2ISR)网络作为一个至关重要的能力,他们正在开发的功能有效地竞争。

节奏的卡尔森说这里有一个文艺复兴时期的政府利益的实现,他们真的是在后面。“有趣的是我们已经能够工作上下链影响政策,进入法律和改变人们的方式设计。”

其中一些来自IBM的时间表在一些铸造业务卖给GlobalFoundries,包括委托铸造业务供应到美国政府的一部分。因为GlobalFoundries沙特业务,引发了一些最初的红旗,这促使美国电子产品政策的广泛审查。调查研究活动的潜在敌人的威胁,促使许多国家计划围绕信任和保证,以及谁将作为可信赖的铸造伙伴advanced-node关键部件的生产和这些芯片。

“有一个整体的信任,保证计划资助,试图找出我们可以用台积电以可信的方式,所以我们不必担心,”卡尔森说。”还有其他竞争提议建立一个工厂作为国家资产。美国国防部、商务部和国土安全都有自己的工厂的建议。”

展望未来,希望这将有助于避免问题困扰的发展洛克希德·马丁公司的f - 35闪电II隐形战斗机,这是十年过期和十亿美元的预算。

“有很多事情错了f - 35,”他说。“左移位的想法是发生了什么事。他们会做一个软件更新,将其应用到飞机,使飞机在空中,然后看死亡的蓝色屏幕出现。他们称之为fly-fix-fly。好像是10000美元一分钟飞f - 35战斗机。它非常昂贵。最后,海军少将爱德华g .冬天III说不要浪费燃料调试软件的另一个下降。我们能够做的就是进入政策模拟在你制造的概念。基本上是一个左移位的想法,得到硬件和软件和集成之前的原型——或者上天不容,生产的文章。可以真正产生影响的及时交付,也降低了成本。 There are a whole bunch of folks out there who want to do the right thing, but they haven’t done an SoC for 20 years. It wasn’t even called SoC the last time they did one, so they need help. This is a real opportunity for the entire semiconductor ecosystem to help the U.S. get more efficient and make sure that we’re competitive.”

图1:F35战斗机。资料来源:美国国防部

更多SoC-based资金预计美国政府认为其电子资源的缺口。“当你开始谈论edge-based AI的要求,自主权,视觉,连同所有的传感器融合新技术,你不能通过空气发送所有数据,”他说。“你必须在本地处理,这意味着它将是SoC的系统。这些将在关键任务系统会- 254像遵从。”