侯小宇 周红 单晓明

摘要：随着民用航空产业的发展，以及电子控制技术的广泛应用，越来越多的机载系统被开发应用于微控制器上。由于微控制器的高度集成化，其确定性难以准确预估，可能造成的危害也难以预测，使得适航审查形式日益严峻。本文通过对微控制器配置相关问题进行研究，针对由微控制器配置问题导致的机载系统失效问题提出限制措施，以缓解产品失效影响并提升产品安全性和可靠性。

关键词：微控制器；适航审查；限制措施；安全性

Keywords：microcontroller；airworthiness certification；mitigation method；safety

0 引言

自20世纪80年代空客公司在研制A320机型时首次采用电传操控技术以来，电子控制技术在民用飞机中获得了大规模的应用。随着民用航空产业的发展，民用飞机功能规模日益扩大和复杂化，越来越多的微控制器被广泛应用于机载系统的开发过程中。这些微控制器可能集成多个内核、输入输出接口器件、存储控制器及其他功能器件，集成度和复杂度越来越高，尺寸越来越小，确定性预估越来越难，可能造成的系统失效更加难以预测。现行有效的适航规章及程序要求难以覆盖由于技术进步而引发的新问题，迫切需要通过对新问题进行研究，对现有规章要求进行针对性的补充，以实现对可能发生的失效条件的限制，确保民用飞机的安全性。

1 微控制器使用风险

通过对国内外广泛使用的微控制器产品进行了解和分析，发现在民用飞机机载系统中使用微控制器可能存在如下安全风险：

1）信息不能够清晰和完整地说明器件的所有特性；

2）信息存在功能和性能描述不可信；

3）工作行为和工作时间不可预测；

4）器件制造商未对使用的新技术和新特性进行充分验证；

5）功能可见性和可调试性差；

6）配置寄存器易被影响或篡改；

7）器件内部存在共享资源竞争等相关问题。

2 国外局方的相关要求

2.1 美国联邦航空管理局（FAA）要求

FAA未针对微控制器的使用发布任何专门的规章或要求。但是，FAA在发布的咨询通告（AC 20-152）第3章中指出，可获取的微控制器生命周期数据可能不能满足DO-254的目标要求。因此，FAA不强制要求微控制器采用DO-254的方法来表明其符合性，可以采用等效方法来确保微控制器能够实现预期功能，并满足适航要求。

FAA可接受的表明微控制器适航符合性的方法包括：

1）在目标硬件平台上开展操作系统和驻留软件的测试；

2）器件制造商建立针对微控制器的构型管理过程，并针对微控制器的任何变更进行信息发布；

3）器件使用者建立针对微控制器的技术通知、勘误表、新发现问题和使用限制的监视过程，并按需进行安全性影响分析；

4）对于可能造成灾难性或危害性影响的微控制器，需要器件使用者提供充分的器件服务数据，证明微控制器是成熟的，且设计缺陷是已知的；

5）微控制器必须在器件制造商指定的限制条件下工作；对于超出限制范围工作的器件，器件使用者应通过测试表明器件满足使用要求。

2.2 歐洲航空安全局（EASA）要求

EASA在发布的适航审查备忘录（CM-SWCEH-001 Issue 01 Revision 02）第9章中指出，机载系统中使用的微控制器可能对民用飞机造成安全性影响，因此对于研制保证等级为A/B/C级的器件，除DO-254目标要求之外，又提出了额外的要求。

2018年9月，EASA在发布的建议修正案通知第3章第6节中指出，微控制器在飞机/发动机/螺旋桨/机载系统中的使用规模日益扩大，随着微控制器复杂度和集成度的增加，其功能和性能的验证更加难以实现，其使用者很难确保器件能够在指定的工作条件下实现预期的功能。因此，需要采取有效手段来对微控制器进行管理，保证其使用的安全性和可靠性。

3 风险研究及限制措施

以下仅对微控制器使用风险中的第6项描述——微控制器配置寄存器易被影响或篡改的风险进行深入研究。

3.1 风险原因及影响

随着复杂度和集成度的提高，每种类型微控制器的功能规模和配置寄存器数量都在显著增加，如Freescale MPC8572E芯片中就包含多达数百个软件可访问的配置寄存器。在机载系统开发中，使用软件进行系统配置的比例也越来越高。如果微控制器未正确配置，则可能造成错误的行为，包括错误的数据处理、栈溢出、错误中断、数据丢失、数据损坏和不正常的数据吞吐率等，从而对飞机的安全性造成影响。因此，配置寄存器意外更改已成为微控制器使用的重点关注问题之一。

3.2 风险研究规划

针对上述风险，本文拟选择典型的微控制器开展风险研究，分析其配置寄存器意外更改可能造成的影响，并提出一种有效的限制措施。

计划的试验实施流程如图1所示。

3.3 风险研究实施

1）器件选择及试验平台构建

以Freescale 8572E微控制器中配置寄存器发生更改为例，分析其更改可能对系统功能实现造成的影响。为达到试验研究的目的，本文构建了基于Freescale MPC8572DS的试验平台。试验平台由MPC8572E微控制器、板级支持包及其他外围电路组成，详细信息如图2所示。

2）试验项选择及实施

本文计划通过对Freescale 8572E微控制器中管理通用异步收发器（UART）的配置寄存器的更改情况进行研究，分析配置寄存器发生更改可能造成的影响。

MPC8572E微控制器中配置控制和状态基地址寄存器负责保存器件中所有内存映射配置寄存器的基地址。UART配置寄存器地址与基地址之间的偏移量为0×4500。其中，UART0的配置寄存器信息如表1所示。

在試验过程中，通过使用Freescale CodeWarrior集成开发工具，将测试程序加载到器件中。测试程序不仅用于改变UART0配置寄存器，还用于测试UART0的功能，并且能够打印出发生变化的寄存器名称和变化位编号。在打印出寄存器名称和变化位编号后，测试程序会在执行下一次位更改前，将变化位复位到变化前的原值。

3）失效影响分析

试验对存在异常执行结果的寄存器编号、寄存器位和寄存器名称进行了记录，如表2所示。

对表2中试验结果进行分析，得出结论如下：

a.第1～7测试项造成微控制器输出数据发生变化；

b.第8和第9测试项造成微控制器程序运行出现问题；

c.无测试项造成微控制器损坏。

4）限制措施实施

通过上述试验发现，对配置寄存器位进行更改会影响微控制器的正确运行，并产生非预期的结果。针对配置寄存器位更改的失效状态，笔者计划采用安全网的方法对失效状态进行限制，即将正确配置值周期性地写入到寄存器中，并观察这种方法是否能够确保微控制器正确执行预期的功能。

具体方法：通过程序更改UART0线路控制寄存器的最低位，使UART0通道中的发送数据发生变化。通过程序向UART0线路寄存器写入正确值0×03，实现对寄存器的修复。在试验中，将微控制器内核的计时器设置为1ms，每设置一个修复周期值，程序运行时长为10s。当程序运行时，计时器中断处理器将调用timerInt功能，其伪代码如图3所示。

5）措施效果分析

通过设置3种寄存器位的更改周期，获得的试验结果如图4～图6所示。

通过对试验结果分析发现，不采取任何措施前，故障一直存在且数量为固定值；采取修复措施后，故障很大程度地减少，故障数量与修复周期和更改周期密切相关。即修复周期一定时，更改周期越长，故障越少；更改周期一定时，修复周期越短，故障越少；如更改周期和修复周期设置恰当，则可能在不影响产品性能的情况下，实现对故障的完全限制。

6）试验总结

试验结果表明，配置寄存器的位变化会导致微控制器的功能失效，且不同位发生变化会导致不同的失效状态。试验采用的安全网方法对寄存器位变化导致的故障有明显限制作用。除限制寄存器位变化故障外，安全网方法还可广泛应用于其他类型的数据位或控制位变化故障。

4 审查要求

试验表明，配置寄存器的更改会对微控制器预期功能的实现造成影响，并可能影响飞机安全。同时，在某发动机型号认可项目中发现，由于控制系统所属微控制器中某数据位发生翻转引起发动机故障的真实案例。另外，微控制器中包含大量寄存器和存储器，且寄存器和存储器的位变化仅仅是部分失效状态，微控制器还存在大量其他类型的失效状态，器件使用者很难对所有的失效状态进行识别。因此，有必要加强对民用航空产品中使用微控制器（A/B/C级）的审查，确保航空安全。审查重点是确保器件使用者完成如下内容（包括但不限于）：

1）针对微控制器开展合理的电子元器件管理活动；

2）针对微控制器的技术更改、升级和勘误进行追踪，并按需开展安全影响分析；

3）针对微控制器配置寄存器的工作阶段和预期设置进行考虑，识别可能引起寄存器位变化的因素（包括单粒子效应、软件意外写入、硬件故障或电磁干扰等），并制定相应的缓解措施；

4）针对微控制器中其他可能发生位变化的情况进行分析，并制定相应的缓解措施；

5）如不能充分识别失效状态，则采用相对保守的安全网方法，对可能的失效进行限制等。

5 结束语

本文主要分析了微控制器在机载系统中可能存在的应用风险，对比了国外主流局方对于微控制器使用的立场，总结归纳了微控制器审查的重要性，并通过开展对特定型号微控制器配置寄存器非预期更改的试验研究，提出了针对器件配置寄存器位变化及其他可能发生位变化情况的限制措施，提出了民用飞机型号适航审查过程中开展微控制器审查关键内容的建议。目前，本文仅针对微控制器中配置寄存器位变化的失效状态进行了研究，其他失效状态暂未考虑。下一阶段将考虑开展共享资源竞争及其他方面风险的研究工作。

参考文献

[1] EASA.CM-SWCEH-001 Certification Memorandum Development Assurance of Airborne Electronic Hardware [S]. Revision 2，2018.

[2] FAA.Notice of Proposed Amendment Regular update of AMC-20：AMC 20-152 on Airborne Electronic Hardware and AMC 20-189 on Management of Open Problem Reports [S]. 2018.

[3] FAA.AC 33.28-3 Guidance Material For 14 CFR 33.28，Engine Control Systems[S]. 2014.

[4] FAA.AC 20-152 RTCA， INC.， Document RTCA/DO-254， Design Assurance Guidance For Airborne Electronic Hardware [S]. 2005.

[5] FAA.Order8110.105A Simple and Complex Electronic Hardware Approval Guidance [S]. 2017.

[6] DO-254 Design Assurance Guidance for Airborne Electronic Hardware[S]. 2000.

3386500338238