機載系統微控制器審查研究

侯小宇 周紅 單曉明

摘要：隨著民用航空產業的發展，以及電子控制技術的廣泛應用，越來越多的機載系統被開發應用于微控制器上。由于微控制器的高度集成化，其確定性難以準確預估，可能造成的危害也難以預測，使得適航審查形式日益嚴峻。本文通過對微控制器配置相關問題進行研究，針對由微控制器配置問題導致的機載系統失效問題提出限制措施，以緩解產品失效影響并提升產品安全性和可靠性。

關鍵詞：微控制器；適航審查；限制措施；安全性

Keywords：microcontroller；airworthiness certification；mitigation method；safety

0 引言

自20世紀80年代空客公司在研制A320機型時首次采用電傳操控技術以來，電子控制技術在民用飛機中獲得了大規模的應用。隨著民用航空產業的發展，民用飛機功能規模日益擴大和復雜化，越來越多的微控制器被廣泛應用于機載系統的開發過程中。這些微控制器可能集成多個內核、輸入輸出接口器件、存儲控制器及其他功能器件，集成度和復雜度越來越高，尺寸越來越小，確定性預估越來越難，可能造成的系統失效更加難以預測。現行有效的適航規章及程序要求難以覆蓋由于技術進步而引發的新問題，迫切需要通過對新問題進行研究，對現有規章要求進行針對性的補充，以實現對可能發生的失效條件的限制，確保民用飛機的安全性。

1 微控制器使用風險

通過對國內外廣泛使用的微控制器產品進行了解和分析，發現在民用飛機機載系統中使用微控制器可能存在如下安全風險：

1）信息不能夠清晰和完整地說明器件的所有特性；

2）信息存在功能和性能描述不可信；

3）工作行為和工作時間不可預測；

4）器件制造商未對使用的新技術和新特性進行充分驗證；

5）功能可見性和可調試性差；

6）配置寄存器易被影響或篡改；

7）器件內部存在共享資源競爭等相關問題。

2 國外局方的相關要求

2.1 美國聯邦航空管理局（FAA）要求

FAA未針對微控制器的使用發布任何專門的規章或要求。但是，FAA在發布的咨詢通告（AC 20-152）第3章中指出，可獲取的微控制器生命周期數據可能不能滿足DO-254的目標要求。因此，FAA不強制要求微控制器采用DO-254的方法來表明其符合性，可以采用等效方法來確保微控制器能夠實現預期功能，并滿足適航要求。

FAA可接受的表明微控制器適航符合性的方法包括：

1）在目標硬件平臺上開展操作系統和駐留軟件的測試；

2）器件制造商建立針對微控制器的構型管理過程，并針對微控制器的任何變更進行信息發布；

3）器件使用者建立針對微控制器的技術通知、勘誤表、新發現問題和使用限制的監視過程，并按需進行安全性影響分析；

4）對于可能造成災難性或危害性影響的微控制器，需要器件使用者提供充分的器件服務數據，證明微控制器是成熟的，且設計缺陷是已知的；

5）微控制器必須在器件制造商指定的限制條件下工作；對于超出限制范圍工作的器件，器件使用者應通過測試表明器件滿足使用要求。

2.2 歐洲航空安全局（EASA）要求

EASA在發布的適航審查備忘錄（CM-SWCEH-001 Issue 01 Revision 02）第9章中指出，機載系統中使用的微控制器可能對民用飛機造成安全性影響，因此對于研制保證等級為A/B/C級的器件，除DO-254目標要求之外，又提出了額外的要求。

2018年9月，EASA在發布的建議修正案通知第3章第6節中指出，微控制器在飛機/發動機/螺旋槳/機載系統中的使用規模日益擴大，隨著微控制器復雜度和集成度的增加，其功能和性能的驗證更加難以實現，其使用者很難確保器件能夠在指定的工作條件下實現預期的功能。因此，需要采取有效手段來對微控制器進行管理，保證其使用的安全性和可靠性。

3 風險研究及限制措施

以下僅對微控制器使用風險中的第6項描述——微控制器配置寄存器易被影響或篡改的風險進行深入研究。

3.1 風險原因及影響

隨著復雜度和集成度的提高，每種類型微控制器的功能規模和配置寄存器數量都在顯著增加，如Freescale MPC8572E芯片中就包含多達數百個軟件可訪問的配置寄存器。在機載系統開發中，使用軟件進行系統配置的比例也越來越高。如果微控制器未正確配置，則可能造成錯誤的行為，包括錯誤的數據處理、棧溢出、錯誤中斷、數據丟失、數據損壞和不正常的數據吞吐率等，從而對飛機的安全性造成影響。因此，配置寄存器意外更改已成為微控制器使用的重點關注問題之一。

3.2 風險研究規劃

針對上述風險，本文擬選擇典型的微控制器開展風險研究，分析其配置寄存器意外更改可能造成的影響，并提出一種有效的限制措施。

計劃的試驗實施流程如圖1所示。

3.3 風險研究實施

1）器件選擇及試驗平臺構建

以Freescale 8572E微控制器中配置寄存器發生更改為例，分析其更改可能對系統功能實現造成的影響。為達到試驗研究的目的，本文構建了基于Freescale MPC8572DS的試驗平臺。試驗平臺由MPC8572E微控制器、板級支持包及其他外圍電路組成，詳細信息如圖2所示。

2）試驗項選擇及實施

本文計劃通過對Freescale 8572E微控制器中管理通用異步收發器（UART）的配置寄存器的更改情況進行研究，分析配置寄存器發生更改可能造成的影響。

MPC8572E微控制器中配置控制和狀態基地址寄存器負責保存器件中所有內存映射配置寄存器的基地址。UART配置寄存器地址與基地址之間的偏移量為0×4500。其中，UART0的配置寄存器信息如表1所示。

在試驗過程中，通過使用Freescale CodeWarrior集成開發工具，將測試程序加載到器件中。測試程序不僅用于改變UART0配置寄存器，還用于測試UART0的功能，并且能夠打印出發生變化的寄存器名稱和變化位編號。在打印出寄存器名稱和變化位編號后，測試程序會在執行下一次位更改前，將變化位復位到變化前的原值。

3）失效影響分析

試驗對存在異常執行結果的寄存器編號、寄存器位和寄存器名稱進行了記錄，如表2所示。

對表2中試驗結果進行分析，得出結論如下：

a.第1～7測試項造成微控制器輸出數據發生變化；

b.第8和第9測試項造成微控制器程序運行出現問題；

c.無測試項造成微控制器損壞。

4）限制措施實施

通過上述試驗發現，對配置寄存器位進行更改會影響微控制器的正確運行，并產生非預期的結果。針對配置寄存器位更改的失效狀態，筆者計劃采用安全網的方法對失效狀態進行限制，即將正確配置值周期性地寫入到寄存器中，并觀察這種方法是否能夠確保微控制器正確執行預期的功能。

具體方法：通過程序更改UART0線路控制寄存器的最低位，使UART0通道中的發送數據發生變化。通過程序向UART0線路寄存器寫入正確值0×03，實現對寄存器的修復。在試驗中，將微控制器內核的計時器設置為1ms，每設置一個修復周期值，程序運行時長為10s。當程序運行時，計時器中斷處理器將調用timerInt功能，其偽代碼如圖3所示。

5）措施效果分析

通過設置3種寄存器位的更改周期，獲得的試驗結果如圖4～圖6所示。

通過對試驗結果分析發現，不采取任何措施前，故障一直存在且數量為固定值；采取修復措施后，故障很大程度地減少，故障數量與修復周期和更改周期密切相關。即修復周期一定時，更改周期越長，故障越少；更改周期一定時，修復周期越短，故障越少；如更改周期和修復周期設置恰當，則可能在不影響產品性能的情況下，實現對故障的完全限制。

6）試驗總結

試驗結果表明，配置寄存器的位變化會導致微控制器的功能失效，且不同位發生變化會導致不同的失效狀態。試驗采用的安全網方法對寄存器位變化導致的故障有明顯限制作用。除限制寄存器位變化故障外，安全網方法還可廣泛應用于其他類型的數據位或控制位變化故障。

4 審查要求

試驗表明，配置寄存器的更改會對微控制器預期功能的實現造成影響，并可能影響飛機安全。同時，在某發動機型號認可項目中發現，由于控制系統所屬微控制器中某數據位發生翻轉引起發動機故障的真實案例。另外，微控制器中包含大量寄存器和存儲器，且寄存器和存儲器的位變化僅僅是部分失效狀態，微控制器還存在大量其他類型的失效狀態，器件使用者很難對所有的失效狀態進行識別。因此，有必要加強對民用航空產品中使用微控制器（A/B/C級）的審查，確保航空安全。審查重點是確保器件使用者完成如下內容（包括但不限于）：

1）針對微控制器開展合理的電子元器件管理活動；

2）針對微控制器的技術更改、升級和勘誤進行追蹤，并按需開展安全影響分析；

3）針對微控制器配置寄存器的工作階段和預期設置進行考慮，識別可能引起寄存器位變化的因素（包括單粒子效應、軟件意外寫入、硬件故障或電磁干擾等），并制定相應的緩解措施；

4）針對微控制器中其他可能發生位變化的情況進行分析，并制定相應的緩解措施；

5）如不能充分識別失效狀態，則采用相對保守的安全網方法，對可能的失效進行限制等。

5 結束語

本文主要分析了微控制器在機載系統中可能存在的應用風險，對比了國外主流局方對于微控制器使用的立場，總結歸納了微控制器審查的重要性，并通過開展對特定型號微控制器配置寄存器非預期更改的試驗研究，提出了針對器件配置寄存器位變化及其他可能發生位變化情況的限制措施，提出了民用飛機型號適航審查過程中開展微控制器審查關鍵內容的建議。目前，本文僅針對微控制器中配置寄存器位變化的失效狀態進行了研究，其他失效狀態暫未考慮。下一階段將考慮開展共享資源競爭及其他方面風險的研究工作。

參考文獻

[1] EASA.CM-SWCEH-001 Certification Memorandum Development Assurance of Airborne Electronic Hardware [S]. Revision 2，2018.

[2] FAA.Notice of Proposed Amendment Regular update of AMC-20：AMC 20-152 on Airborne Electronic Hardware and AMC 20-189 on Management of Open Problem Reports [S]. 2018.

[3] FAA.AC 33.28-3 Guidance Material For 14 CFR 33.28，Engine Control Systems[S]. 2014.

[4] FAA.AC 20-152 RTCA， INC.， Document RTCA/DO-254， Design Assurance Guidance For Airborne Electronic Hardware [S]. 2005.

[5] FAA.Order8110.105A Simple and Complex Electronic Hardware Approval Guidance [S]. 2017.

[6] DO-254 Design Assurance Guidance for Airborne Electronic Hardware[S]. 2000.

3386500338238