Как доставляются обновления авионики?

Различные виды программного обеспечения

Нам необходимо различать несколько категорий программного обеспечения.

• Загружаемое в полевых условиях программное обеспечение (FLS) — это любое программное обеспечение, которое может быть реконфигурировано, обновлено или загружено техническими специалистами и производителями, например, программное обеспечение для авионики.

• Авиационные базы данных не классифицируются как загружаемое в полевых условиях программное обеспечение и рассматриваются в правилах отдельно. Эти аэронавигационные базы данных могут быть базой данных о местности, навигационной базой данных, базой данных о препятствиях или базой данных карт аэропорта.

• Загружаемое на заводе программное обеспечение, которое, как предполагается, не будет изменяться без замены устройства, на котором оно установлено. Чтобы изменить заводское программное обеспечение, часто приходится вскрывать пломбу и прошивать память. Он также может находиться в постоянной памяти, такой как EEPROM.

Благодаря достижениям в практике FLS загружаемое на месте программное обеспечение используется во многих местах, где ранее использовалось программное обеспечение, загружаемое на заводе, и частые обновления программного обеспечения становятся обычным явлением для большинства систем. Программное обеспечение практически любой части может быть загружено в полевых условиях, если оно соответствует мерам безопасности и целостности.

Авиационные базы данных обрабатываются по-разному отчасти из-за разницы в частоте обновления. Авиационная база данных должна меняться часто (часто чаще, чем раз в месяц), в то время как обновления авионики происходят реже и могут быть реже одного раза в год (особенно потому, что вся конфигурация самолета, включая программное обеспечение, должна быть сертифицирована).

Какие шаги предпринимаются для обновления программного обеспечения?

Патент Airbus превосходно объясняет процесс, даже с диаграммами на французском языке:

Первым этапом управляет производитель самолета. Последний принимает решение о необходимой модификации построенного им самолета. Разрабатывает модификацию найденного решения и сертифицирует ее в органах сертификации. Таким образом, производитель показывает, что предлагаемая новая конфигурация совместима с окружающей средой и с конфигурацией самолета, для которого предназначена модификация. После того, как решение было разработано и проверено, производитель готовит пакет, называемый сервисным бюллетенем, содержащий описание операций, которые необходимо выполнить для выполнения модификации самолета, а также физический элемент, содержащий программное обеспечение для изменения и, кроме того, содержащий соответствующие документация. Физический элемент, содержащий программное обеспечение, зависит от размера программного обеспечения и может быть, например, USB-ключом (USB означает «универсальная последовательная шина»), CD/DVD и т. д. Этот пакет доставляется физически заинтересованной компании, которая управляет самолетом. Эта доставка также может осуществляться в электронном виде.

Второй этап выполняется под ответственность эксплуатанта воздушного судна, например авиакомпании, или, когда воздушное судно находится на капитальном техническом обслуживании, под ответственность уполномоченной на это организации по техническому обслуживанию. Точно так же этот шаг может быть выполнен уполномоченным MRO (расшифровывается как организация технического обслуживания и ремонта), когда самолет трансформируется для смены оператора. Это типично для компании по аренде самолетов. Эксплуатант получает служебный бюллетень и передает его в технический центр (фиг. 1), чтобы эксплуатант мог выделить и проверить совместимость полученного служебного бюллетеня с окружающей средой воздушных судов своего парка. После выполнения проверок и утверждения сервисного бюллетеня, заявка на выполнение работ направляется в отдел управления техническим обслуживанием автопарка оператора. Затем этот отдел определяет время (остановка, серьезное техническое обслуживание и т. д.), когда воздушное судно может пройти это обновление, и предоставляет мастерской программный элемент для установки на воздушное судно (ключ USB, DVD и т. д.).

Мастерская по техническому обслуживанию авиакомпании или организации по техническому обслуживанию и ремонту выполняет требуемую задачу и загружает программное обеспечение, которое находится на DVD-диске или USB-накопителе (или другом носителе). Действие записывается, и хранилище конфигурации самолета обновляется. Разумеется, технический центр (и, возможно, другие заинтересованные отделы) информируется о только что проведенной модернизации.

Обновления навигационной базы данных традиционно обновлялись с использованием аналогичного процесса в соответствии с этим патентом Honeywell :

... информация, содержащаяся в навигационной базе данных, очень часто меняется по мере создания новых навигационных средств, вывода из эксплуатации старых навигационных средств, добавления или удаления взлетно-посадочных полос в аэропортах и ​​т.п. Соответственно, правительственные учреждения, такие как Федеральное авиационное управление США (FAA), обычно требуют, чтобы навигационные базы данных воздушных судов обновлялись на регулярной основе, например, каждые двадцать восемь дней. Другие компоненты (например, системы глобального позиционирования (GPS)) также могут использовать периодическое обновление данных.

Обычные методы обновления баз данных были громоздкими и отнимали много времени. Как правило, клиент (например, авиакомпания) получает дискету, содержащую обновление для конкретного типа самолета, из базы данных или поставщика компонентов. Затем клиент дублирует дискету и распределяет скопированные дискеты среди специалистов по обслуживанию, которые затем отправляются к отдельным самолетам и вручную загружают обновление данных с помощью специального загрузчика данных...

См. также https://www.google.com/patents/US20030208579 пример традиционного обновления бортовых развлекательных систем.

Какие носители используются?

Со временем использовались различные носители, поскольку носители информации быстро меняются. Физические носители, такие как компакт-диски, быстро заменяются сетевыми обновлениями с высокой целостностью из-за связанных с этим преимуществ по стоимости.

Патент на «Метод контроля обновлений данных, реализуемых клиентами» объясняет, как этот процесс выполнялся исторически:

Первоначально обслуживающий персонал авиакомпаний модернизировал компьютеры управления полетами с помощью портативного устройства загрузки на ленту стандарта ARINC 603, но такие загрузчики ленты были неуклюжими и медленными. Затем производители перешли к компьютерам для загрузки данных, основанным на стандарте ARINC 615 (стандарт загрузчика данных), который, по сути, представляет собой программный протокол, наложенный на шину данных стандарта ARINC 429. Загрузчики данных ARINC 615 отказались от ленточного формата ARINC 603 в пользу 3,5-дюймовых гибких дисков для передачи данных и программного обеспечения... Программное обеспечение или данные для этих обновлений становятся все более сложными, поскольку системы в самолетах предоставляют больше функциональных возможностей для кабина экипажа и управление движением.

В более поздней истории: «Носители, используемые для загрузки FLS, со временем меняются. В начале 1990-х годов использовались 3,5-дюймовые дискеты. Например, оригинальный Boeing 777 возил папки, полные гибких дисков. Технология перешла на компакт-диски. (CD), цифровые видеодиски (DVD), флэш-накопители, запоминающие устройства и даже локальные сети (LAN)» .

В другом патенте подробно обсуждается способ загрузки программного обеспечения по локальной сети. Изображение ниже взято из патента. Принципы почти такие же:

• Программное обеспечение должно быть частью сертифицированной конфигурации самолета.
• Самолеты в парке проверяются по сети на предмет устаревшей или неправильной конфигурации.
• Воздушные суда обновляются до новой конфигурации тогда и только тогда, когда оператор инициирует обновление.
• Надежная проверка целостности, такая как CRC, позволяет убедиться, что обновление по локальной сети прошло успешно.

Какие меры безопасности и целостности принимаются?

Забавный факт: программное обеспечение, загружаемое на месте, считается частью , поэтому управление конфигурацией, применимое к частям, также применяется к обновлениям программного обеспечения. Обновленное программное обеспечение должно быть сертифицировано для конфигурации самолета, на котором оно установлено, должно иметь номер детали, который можно проверить, и должно быть указано в ведомости материалов для нового самолета. Иногда все устройство будет иметь новый номер детали при обновлении его программного обеспечения, а иногда программное обеспечение имеет отдельный обновленный номер детали, в то время как аппаратное обеспечение сохраняет свой собственный номер детали. Любые модификации программного обеспечения должны пройти анализ влияния изменений и повторную сертификацию.

Программное обеспечение, загружаемое на месте, должно быть сертифицировано для устройства и воздушного судна, на которое оно загружается, и должны быть проверены процесс загрузки программного обеспечения, само программное обеспечение, номер части программного обеспечения. DO-178C конкретно указывает, что:

• должна быть защита от непреднамеренной загрузки (что также означает, что в отличие от Windows она не заставит вас обновляться в самый неподходящий момент)
• должно быть обнаружение неудачных, частичных или поврежденных загрузок
• вы должны быть в состоянии надежно определить, что загруженное в данный момент программное обеспечение и все его файлы верны (например, с помощью CRC)
• если для отображения загрузки программного обеспечения используется механизм отображения, отображение должно быть точным и надежным.

Проверки целостности должны иметь уровень надежности, аналогичный другим проверкам надежности в самолетах. Это часто означает, что загрузка программного обеспечения должна иметь 10 ^ -9 шансов повредить программное обеспечение или неправильно указать, что загрузка программного обеспечения является правильной. Вместо этого вы можете квалифицировать инструмент, используемый для загрузки программного обеспечения, но это менее распространено, чем демонстрация надежности проверок целостности.

Цепочка доверия для авиационных баз данных

Для аэронавигационных баз данных также серьезно рассматриваются уровни безопасности и проверка ошибок. Каждый участник создания и передачи авиационных баз данных должен иметь план соответствия, управление конфигурацией, проверку ошибок, метод предотвращения несанкционированных изменений и управление качеством. Как указано в AC 20-153 , FAA предоставит письмо о принятии (LOA) каждому участнику этого процесса, в котором будет указано, что они соблюдают такие правила, как DO-200A. Аэронавигационные данные должны соответствовать различным применимым стандартам, таким как ARINC 424 и DO-291B, но их обсуждение выходит за рамки темы.

За дополнительной информацией:

В главе 5 приказа FAA 8110.49 конкретно рассматривается утверждение программного обеспечения, загружаемого в полевых условиях. DO-200A RTCA является стандартом для подготовки и передачи авиационных баз данных от регулируемого поставщика данных оператору воздушного судна. См. также FAA AC 20-153 для подтверждения соответствия и выдачи писем о принятии DO-200A. Я неоднократно ссылался на «Разработку критически важного для безопасности программного обеспечения» Леанны Риерсон. Я предлагаю вам сослаться на эту или другую книгу.

Отказ от ответственности: я не являюсь DER или инженером по процессу загрузки данных, поэтому эта информация предназначена только для справки. Для технической работы, пожалуйста, обращайтесь к исходным документам и DER вместо того, чтобы полагаться на эту информацию.

Обновление навигации А380 с помощью флешек

Блоки Rockwell Collins FMS , установленные на многих крупных авиалайнерах, обновляются через USB-накопитель. Вы можете найти хорошее видео здесь о том, как это делается. В настоящее время большинство самолетов GA используют SD-карты (или карты других подобных форматов). Некоторые люди решили использовать такие приложения, как ForeFlight, на своем iPad, который обновляется через Интернет.

Что касается «цепочки доверия», Rockwell Collins требует подписки на загрузку базы данных FMS, однако они загружаются прямо из Интернета. Есть список дополнений и изменений , которые, по-видимому, есть у некоторых авиакомпаний. На самом деле среда не является «безопасной», как вы упомянули, но вмешательство в нее было бы нарушением некоторых FAR (я попытаюсь найти тот), поскольку вы потенциально могли бы создать опасную ситуацию. Я уверен, что авиакомпании и магазины A&P усердно относятся к этим обновлениям так же, как и к любому техническому обслуживанию. Я не уверен, есть ли шифрование данных на программном уровне.

Для таких приложений, как ForeFlight и некоторых других рынков, ориентированных на GA (которые не используют полные системы FMS), FAA предоставляет все свои карты в цифровом виде бесплатно . Я предполагаю, что именно здесь такие места, как ForeFlight, получают свои данные, а затем, как пользователь, вы загружаете их с серверов ForeFlight. Опять же, вы оплачиваете подписку на ForeFlight, чтобы гарантировать, что эти вещи будут в сети и обновлены. Опять же, все это не очень безопасно (в некотором роде), и вы полагаетесь на ForeFlight, чтобы не вмешиваться в карты. Говоря об обновлении карт в самолете GA, скорее всего, это ваш самолет, и вы несете ответственность за обеспечение его безопасной эксплуатации . Кажется, что Garmin делает свои загрузки доступными прямо на своем сайте .

В авиационных приложениях общего назначения навигационная база данных и обновления программного обеспечения загружаются через Интернет от производителя авионики и сохраняются на SD-карте, которая позже вставляется в слот для SD-карты на лицевой панели авионики в самолете.

Загрузка ограничена зарегистрированными подписчиками.