侯小宇 周紅 單曉明

摘要：隨著民用航空產(chǎn)業(yè)的發(fā)展，以及電子控制技術(shù)的廣泛應(yīng)用，越來越多的機(jī)載系統(tǒng)被開發(fā)應(yīng)用于微控制器上。由于微控制器的高度集成化，其確定性難以準(zhǔn)確預(yù)估，可能造成的危害也難以預(yù)測(cè)，使得適航審查形式日益嚴(yán)峻。本文通過對(duì)微控制器配置相關(guān)問題進(jìn)行研究，針對(duì)由微控制器配置問題導(dǎo)致的機(jī)載系統(tǒng)失效問題提出限制措施，以緩解產(chǎn)品失效影響并提升產(chǎn)品安全性和可靠性。

關(guān)鍵詞：微控制器；適航審查；限制措施；安全性

Keywords：microcontroller；airworthiness certification；mitigation method；safety

0 引言

自20世紀(jì)80年代空客公司在研制A320機(jī)型時(shí)首次采用電傳操控技術(shù)以來，電子控制技術(shù)在民用飛機(jī)中獲得了大規(guī)模的應(yīng)用。隨著民用航空產(chǎn)業(yè)的發(fā)展，民用飛機(jī)功能規(guī)模日益擴(kuò)大和復(fù)雜化，越來越多的微控制器被廣泛應(yīng)用于機(jī)載系統(tǒng)的開發(fā)過程中。這些微控制器可能集成多個(gè)內(nèi)核、輸入輸出接口器件、存儲(chǔ)控制器及其他功能器件，集成度和復(fù)雜度越來越高，尺寸越來越小，確定性預(yù)估越來越難，可能造成的系統(tǒng)失效更加難以預(yù)測(cè)?，F(xiàn)行有效的適航規(guī)章及程序要求難以覆蓋由于技術(shù)進(jìn)步而引發(fā)的新問題，迫切需要通過對(duì)新問題進(jìn)行研究，對(duì)現(xiàn)有規(guī)章要求進(jìn)行針對(duì)性的補(bǔ)充，以實(shí)現(xiàn)對(duì)可能發(fā)生的失效條件的限制，確保民用飛機(jī)的安全性。

1 微控制器使用風(fēng)險(xiǎn)

通過對(duì)國內(nèi)外廣泛使用的微控制器產(chǎn)品進(jìn)行了解和分析，發(fā)現(xiàn)在民用飛機(jī)機(jī)載系統(tǒng)中使用微控制器可能存在如下安全風(fēng)險(xiǎn)：

1）信息不能夠清晰和完整地說明器件的所有特性；

2）信息存在功能和性能描述不可信；

3）工作行為和工作時(shí)間不可預(yù)測(cè)；

4）器件制造商未對(duì)使用的新技術(shù)和新特性進(jìn)行充分驗(yàn)證；

5）功能可見性和可調(diào)試性差；

6）配置寄存器易被影響或篡改；

7）器件內(nèi)部存在共享資源競爭等相關(guān)問題。

2 國外局方的相關(guān)要求

2.1 美國聯(lián)邦航空管理局（FAA）要求

FAA未針對(duì)微控制器的使用發(fā)布任何專門的規(guī)章或要求。但是，F(xiàn)AA在發(fā)布的咨詢通告（AC 20-152）第3章中指出，可獲取的微控制器生命周期數(shù)據(jù)可能不能滿足DO-254的目標(biāo)要求。因此，F(xiàn)AA不強(qiáng)制要求微控制器采用DO-254的方法來表明其符合性，可以采用等效方法來確保微控制器能夠?qū)崿F(xiàn)預(yù)期功能，并滿足適航要求。

FAA可接受的表明微控制器適航符合性的方法包括：

1）在目標(biāo)硬件平臺(tái)上開展操作系統(tǒng)和駐留軟件的測(cè)試；

2）器件制造商建立針對(duì)微控制器的構(gòu)型管理過程，并針對(duì)微控制器的任何變更進(jìn)行信息發(fā)布；

3）器件使用者建立針對(duì)微控制器的技術(shù)通知、勘誤表、新發(fā)現(xiàn)問題和使用限制的監(jiān)視過程，并按需進(jìn)行安全性影響分析；

4）對(duì)于可能造成災(zāi)難性或危害性影響的微控制器，需要器件使用者提供充分的器件服務(wù)數(shù)據(jù)，證明微控制器是成熟的，且設(shè)計(jì)缺陷是已知的；

5）微控制器必須在器件制造商指定的限制條件下工作；對(duì)于超出限制范圍工作的器件，器件使用者應(yīng)通過測(cè)試表明器件滿足使用要求。

2.2 歐洲航空安全局（EASA）要求

EASA在發(fā)布的適航審查備忘錄（CM-SWCEH-001 Issue 01 Revision 02）第9章中指出，機(jī)載系統(tǒng)中使用的微控制器可能對(duì)民用飛機(jī)造成安全性影響，因此對(duì)于研制保證等級(jí)為A/B/C級(jí)的器件，除DO-254目標(biāo)要求之外，又提出了額外的要求。

2018年9月，EASA在發(fā)布的建議修正案通知第3章第6節(jié)中指出，微控制器在飛機(jī)/發(fā)動(dòng)機(jī)/螺旋槳/機(jī)載系統(tǒng)中的使用規(guī)模日益擴(kuò)大，隨著微控制器復(fù)雜度和集成度的增加，其功能和性能的驗(yàn)證更加難以實(shí)現(xiàn)，其使用者很難確保器件能夠在指定的工作條件下實(shí)現(xiàn)預(yù)期的功能。因此，需要采取有效手段來對(duì)微控制器進(jìn)行管理，保證其使用的安全性和可靠性。

3 風(fēng)險(xiǎn)研究及限制措施

以下僅對(duì)微控制器使用風(fēng)險(xiǎn)中的第6項(xiàng)描述——微控制器配置寄存器易被影響或篡改的風(fēng)險(xiǎn)進(jìn)行深入研究。

3.1 風(fēng)險(xiǎn)原因及影響

隨著復(fù)雜度和集成度的提高，每種類型微控制器的功能規(guī)模和配置寄存器數(shù)量都在顯著增加，如Freescale MPC8572E芯片中就包含多達(dá)數(shù)百個(gè)軟件可訪問的配置寄存器。在機(jī)載系統(tǒng)開發(fā)中，使用軟件進(jìn)行系統(tǒng)配置的比例也越來越高。如果微控制器未正確配置，則可能造成錯(cuò)誤的行為，包括錯(cuò)誤的數(shù)據(jù)處理、棧溢出、錯(cuò)誤中斷、數(shù)據(jù)丟失、數(shù)據(jù)損壞和不正常的數(shù)據(jù)吞吐率等，從而對(duì)飛機(jī)的安全性造成影響。因此，配置寄存器意外更改已成為微控制器使用的重點(diǎn)關(guān)注問題之一。

3.2 風(fēng)險(xiǎn)研究規(guī)劃

針對(duì)上述風(fēng)險(xiǎn)，本文擬選擇典型的微控制器開展風(fēng)險(xiǎn)研究，分析其配置寄存器意外更改可能造成的影響，并提出一種有效的限制措施。

計(jì)劃的試驗(yàn)實(shí)施流程如圖1所示。

3.3 風(fēng)險(xiǎn)研究實(shí)施

1）器件選擇及試驗(yàn)平臺(tái)構(gòu)建

以Freescale 8572E微控制器中配置寄存器發(fā)生更改為例，分析其更改可能對(duì)系統(tǒng)功能實(shí)現(xiàn)造成的影響。為達(dá)到試驗(yàn)研究的目的，本文構(gòu)建了基于Freescale MPC8572DS的試驗(yàn)平臺(tái)。試驗(yàn)平臺(tái)由MPC8572E微控制器、板級(jí)支持包及其他外圍電路組成，詳細(xì)信息如圖2所示。

2）試驗(yàn)項(xiàng)選擇及實(shí)施

本文計(jì)劃通過對(duì)Freescale 8572E微控制器中管理通用異步收發(fā)器（UART）的配置寄存器的更改情況進(jìn)行研究，分析配置寄存器發(fā)生更改可能造成的影響。

MPC8572E微控制器中配置控制和狀態(tài)基地址寄存器負(fù)責(zé)保存器件中所有內(nèi)存映射配置寄存器的基地址。UART配置寄存器地址與基地址之間的偏移量為0×4500。其中，UART0的配置寄存器信息如表1所示。

在試驗(yàn)過程中，通過使用Freescale CodeWarrior集成開發(fā)工具，將測(cè)試程序加載到器件中。測(cè)試程序不僅用于改變UART0配置寄存器，還用于測(cè)試UART0的功能，并且能夠打印出發(fā)生變化的寄存器名稱和變化位編號(hào)。在打印出寄存器名稱和變化位編號(hào)后，測(cè)試程序會(huì)在執(zhí)行下一次位更改前，將變化位復(fù)位到變化前的原值。

3）失效影響分析

試驗(yàn)對(duì)存在異常執(zhí)行結(jié)果的寄存器編號(hào)、寄存器位和寄存器名稱進(jìn)行了記錄，如表2所示。

對(duì)表2中試驗(yàn)結(jié)果進(jìn)行分析，得出結(jié)論如下：

a.第1～7測(cè)試項(xiàng)造成微控制器輸出數(shù)據(jù)發(fā)生變化；

b.第8和第9測(cè)試項(xiàng)造成微控制器程序運(yùn)行出現(xiàn)問題；

c.無測(cè)試項(xiàng)造成微控制器損壞。

4）限制措施實(shí)施

通過上述試驗(yàn)發(fā)現(xiàn)，對(duì)配置寄存器位進(jìn)行更改會(huì)影響微控制器的正確運(yùn)行，并產(chǎn)生非預(yù)期的結(jié)果。針對(duì)配置寄存器位更改的失效狀態(tài)，筆者計(jì)劃采用安全網(wǎng)的方法對(duì)失效狀態(tài)進(jìn)行限制，即將正確配置值周期性地寫入到寄存器中，并觀察這種方法是否能夠確保微控制器正確執(zhí)行預(yù)期的功能。

具體方法：通過程序更改UART0線路控制寄存器的最低位，使UART0通道中的發(fā)送數(shù)據(jù)發(fā)生變化。通過程序向UART0線路寄存器寫入正確值0×03，實(shí)現(xiàn)對(duì)寄存器的修復(fù)。在試驗(yàn)中，將微控制器內(nèi)核的計(jì)時(shí)器設(shè)置為1ms，每設(shè)置一個(gè)修復(fù)周期值，程序運(yùn)行時(shí)長為10s。當(dāng)程序運(yùn)行時(shí)，計(jì)時(shí)器中斷處理器將調(diào)用timerInt功能，其偽代碼如圖3所示。

5）措施效果分析

通過設(shè)置3種寄存器位的更改周期，獲得的試驗(yàn)結(jié)果如圖4～圖6所示。

通過對(duì)試驗(yàn)結(jié)果分析發(fā)現(xiàn)，不采取任何措施前，故障一直存在且數(shù)量為固定值；采取修復(fù)措施后，故障很大程度地減少，故障數(shù)量與修復(fù)周期和更改周期密切相關(guān)。即修復(fù)周期一定時(shí)，更改周期越長，故障越少；更改周期一定時(shí)，修復(fù)周期越短，故障越少；如更改周期和修復(fù)周期設(shè)置恰當(dāng)，則可能在不影響產(chǎn)品性能的情況下，實(shí)現(xiàn)對(duì)故障的完全限制。

6）試驗(yàn)總結(jié)

試驗(yàn)結(jié)果表明，配置寄存器的位變化會(huì)導(dǎo)致微控制器的功能失效，且不同位發(fā)生變化會(huì)導(dǎo)致不同的失效狀態(tài)。試驗(yàn)采用的安全網(wǎng)方法對(duì)寄存器位變化導(dǎo)致的故障有明顯限制作用。除限制寄存器位變化故障外，安全網(wǎng)方法還可廣泛應(yīng)用于其他類型的數(shù)據(jù)位或控制位變化故障。

4 審查要求

試驗(yàn)表明，配置寄存器的更改會(huì)對(duì)微控制器預(yù)期功能的實(shí)現(xiàn)造成影響，并可能影響飛機(jī)安全。同時(shí)，在某發(fā)動(dòng)機(jī)型號(hào)認(rèn)可項(xiàng)目中發(fā)現(xiàn)，由于控制系統(tǒng)所屬微控制器中某數(shù)據(jù)位發(fā)生翻轉(zhuǎn)引起發(fā)動(dòng)機(jī)故障的真實(shí)案例。另外，微控制器中包含大量寄存器和存儲(chǔ)器，且寄存器和存儲(chǔ)器的位變化僅僅是部分失效狀態(tài)，微控制器還存在大量其他類型的失效狀態(tài)，器件使用者很難對(duì)所有的失效狀態(tài)進(jìn)行識(shí)別。因此，有必要加強(qiáng)對(duì)民用航空產(chǎn)品中使用微控制器（A/B/C級(jí)）的審查，確保航空安全。審查重點(diǎn)是確保器件使用者完成如下內(nèi)容（包括但不限于）：

1）針對(duì)微控制器開展合理的電子元器件管理活動(dòng)；

2）針對(duì)微控制器的技術(shù)更改、升級(jí)和勘誤進(jìn)行追蹤，并按需開展安全影響分析；

3）針對(duì)微控制器配置寄存器的工作階段和預(yù)期設(shè)置進(jìn)行考慮，識(shí)別可能引起寄存器位變化的因素（包括單粒子效應(yīng)、軟件意外寫入、硬件故障或電磁干擾等），并制定相應(yīng)的緩解措施；

4）針對(duì)微控制器中其他可能發(fā)生位變化的情況進(jìn)行分析，并制定相應(yīng)的緩解措施；

5）如不能充分識(shí)別失效狀態(tài)，則采用相對(duì)保守的安全網(wǎng)方法，對(duì)可能的失效進(jìn)行限制等。

5 結(jié)束語

本文主要分析了微控制器在機(jī)載系統(tǒng)中可能存在的應(yīng)用風(fēng)險(xiǎn)，對(duì)比了國外主流局方對(duì)于微控制器使用的立場，總結(jié)歸納了微控制器審查的重要性，并通過開展對(duì)特定型號(hào)微控制器配置寄存器非預(yù)期更改的試驗(yàn)研究，提出了針對(duì)器件配置寄存器位變化及其他可能發(fā)生位變化情況的限制措施，提出了民用飛機(jī)型號(hào)適航審查過程中開展微控制器審查關(guān)鍵內(nèi)容的建議。目前，本文僅針對(duì)微控制器中配置寄存器位變化的失效狀態(tài)進(jìn)行了研究，其他失效狀態(tài)暫未考慮。下一階段將考慮開展共享資源競爭及其他方面風(fēng)險(xiǎn)的研究工作。

參考文獻(xiàn)

[1] EASA.CM-SWCEH-001 Certification Memorandum Development Assurance of Airborne Electronic Hardware [S]. Revision 2，2018.

[2] FAA.Notice of Proposed Amendment Regular update of AMC-20：AMC 20-152 on Airborne Electronic Hardware and AMC 20-189 on Management of Open Problem Reports [S]. 2018.

[3] FAA.AC 33.28-3 Guidance Material For 14 CFR 33.28，Engine Control Systems[S]. 2014.

[4] FAA.AC 20-152 RTCA， INC.， Document RTCA/DO-254， Design Assurance Guidance For Airborne Electronic Hardware [S]. 2005.

[5] FAA.Order8110.105A Simple and Complex Electronic Hardware Approval Guidance [S]. 2017.

[6] DO-254 Design Assurance Guidance for Airborne Electronic Hardware[S]. 2000.

3386500338238