Wie werden Avionik-Updates bereitgestellt?

Verschiedene Arten von Software

Wir müssen zwischen mehreren Kategorien von Software unterscheiden.

• Feldladbare Software (FLS) ist, grob definiert, jede Software, die von Technikern und Herstellern neu konfiguriert, aktualisiert oder hochgeladen werden kann, wie die Avioniksoftware.

• Luftfahrtdatenbanken werden nicht als vor Ort ladbare Software kategorisiert und in Vorschriften gesondert behandelt. Diese Luftfahrtdatenbanken können eine Geländedatenbank, eine Navigationsdatenbank, eine Hindernisdatenbank oder eine Flughafenkartendatenbank sein.

• Werkseitig geladene Software, von der angenommen wird, dass sie sich nicht ändert, ohne das Gerät, auf dem sie sich befindet, auszutauschen. Um werkseitig geladene Software zu ändern, muss man oft ein Siegel brechen und den Speicher flashen. Es kann auch ein Nur-Lese-Speicher wie ein EEPROM sein.

Dank der Fortschritte in der FLS-Praxis wird vor Ort ladbare Software an vielen Stellen verwendet, an denen zuvor werkseitig geladene Software verwendet wurde, und häufige Software-Updates werden auf den meisten Systemen üblich. Software auf praktisch jedem Teil kann vor Ort geladen werden, wenn sie Sicherheits- und Integritätsmaßnahmen befolgt.

Luftfahrtdatenbanken werden teilweise aufgrund der unterschiedlichen Aktualisierungshäufigkeit unterschiedlich behandelt. Eine Luftfahrtdatenbank muss häufig geändert werden (häufig mehr als einmal im Monat), während Avionikaktualisierungen weniger häufig sind und möglicherweise weniger als einmal im Jahr erfolgen (insbesondere, weil die gesamte Flugzeugkonfiguration, einschließlich der Software, zertifiziert werden muss).

Welche Schritte werden unternommen, um Software zu aktualisieren?

Ein Patent von Airbus erklärt das Verfahren hervorragend, sogar mit Diagrammen auf Französisch:

Der erste Schritt wird vom Hersteller des Flugzeugs verwaltet. Dieser entscheidet über eine erforderliche Änderung des von ihm gebauten Luftfahrzeugs. Sie entwickelt die Modifikation für die gefundene Lösung und zertifiziert sie bei den Zertifizierungsstellen. Der Hersteller zeigt somit, dass die vorgeschlagene neue Konfiguration mit der Umwelt und mit der Konfiguration des Luftfahrzeugs, für das die Änderung bestimmt ist, kompatibel ist. Sobald die Lösung entwickelt und validiert wurde, bereitet der Hersteller ein Paket vor, das als Service-Bulletin bezeichnet wird und eine Beschreibung der durchzuführenden Vorgänge zur Durchführung der Modifikation des Luftfahrzeugs sowie ein physisches Element enthält, das die zu ändernde Software enthält und außerdem die entsprechende enthält Dokumentation. Das physische Element, das die Software enthält, hängt von der Größe der Software ab und kann beispielsweise ein USB-Stick (USB steht für „Universal Serial Bus“), eine CD/DVD usw. sein. Dieses Paket wird physisch an das betreffende Unternehmen geliefert betreibt das Flugzeug. Diese Zustellung kann auch elektronisch erfolgen.

Der zweite Schritt erfolgt unter der Verantwortung des Betreibers des Luftfahrzeugs, beispielsweise einer Fluggesellschaft, oder, wenn das Luftfahrzeug stark gewartet wird, unter der Verantwortung des dafür autorisierten Wartungsbetriebs. In ähnlicher Weise kann dieser Schritt von einem autorisierten MRO (steht für Maintenance Repair Organization) durchgeführt werden, wenn das Flugzeug für einen Betreiberwechsel umgebaut wird. Dies ist typischerweise bei einem Flugzeugvermieter der Fall. Der Betreiber erhält das Service Bulletin und übermittelt es an ein technisches Zentrum (Fig. 1), damit der Betreiber das erhaltene Service Bulletin zuordnen und die Kompatibilität des erhaltenen Service Bulletins mit der Umgebung der Flugzeuge seiner Flotte überprüfen kann. Sobald die Überprüfungen durchgeführt und das Service Bulletin validiert wurden, eine Arbeitsanforderung wird an die Wartungsverwaltungsabteilung der Flotte des Betreibers gesendet. Diese Abteilung legt dann die Zeiten fest (Zwischenstopp, schwere Wartung usw.), zu denen das Flugzeug dieser Aktualisierung unterzogen werden kann, und stellt der Werkstatt das Softwareelement zur Installation im Flugzeug zur Verfügung (USB-Stick, DVD usw.).

Eine Wartungswerkstatt der Fluggesellschaft oder eines Wartungsreparaturunternehmens führt die angeforderte Aufgabe aus und lädt die Software herunter, die sich auf der DVD oder dem USB-Stick (oder einem anderen Medium) befindet. Die Aktion wird aufgezeichnet und das Konfigurations-Repository des Flugzeugs wird aktualisiert. Selbstverständlich wird das Technikum (und ggf. andere betroffene Abteilungen) über das gerade durchgeführte Upgrade informiert.

Aktualisierungen von Navigationsdatenbanken wurden traditionell mit einem ähnlichen Verfahren gemäß diesem Patent von Honeywell aktualisiert :

... die in der Navigationsdatenbank enthaltenen Informationen sehr häufig geändert werden, wenn neue Navigationshilfen erstellt werden, alte Navigationshilfen ausgemustert werden, Flughäfen Start- und Landebahnen hinzufügen oder stilllegen oder dergleichen. Dementsprechend fordern Regierungsbehörden, wie beispielsweise die United States Federal Aviation Administration (FAA), typischerweise, dass Flugzeuge Navigationsdatenbanken regelmäßig aktualisieren, beispielsweise alle achtundzwanzig Tage. Andere Komponenten (wie globale Positionsbestimmungssysteme (GPS)) können ebenfalls von periodischen Datenaktualisierungen Gebrauch machen.

Herkömmliche Techniken zum Aktualisieren von Datenbanken waren umständlich und zeitaufwändig. Typischerweise erhält ein Kunde (z. B. eine Fluggesellschaft) eine Diskette, die das Upgrade für einen bestimmten Flugzeugtyp enthält, von einem Datenbank- oder Komponentenanbieter. Der Kunde dupliziert dann die Diskette und verteilt kopierte Disketten an Servicetechniker, die dann zu einzelnen Flugzeugen gehen und die Datenaktualisierung mit einem spezialisierten Datenlader manuell laden...

Siehe auch https://www.google.com/patents/US20030208579 für ein Beispiel dafür, wie Bordunterhaltungssysteme traditionell aktualisiert werden.

Welche Medien werden verwendet?

Im Laufe der Zeit wurde eine Vielzahl von Medien verwendet, da sich Speichermedien schnell ändern. Physische Medien wie CDs werden aufgrund der damit verbundenen Kostenvorteile schnell durch Netzwerkaktualisierungen mit hoher Integrität ersetzt.

Ein Patent für ein "Verfahren zur Kontrolle von kundenimplementierten Datenaktualisierungen" erklärt, wie dieser Prozess historisch durchgeführt wurde:

Ursprünglich rüsteten Wartungspersonal von Fluglinien Flugverwaltungscomputer auf, indem sie ein tragbares Tape-Upload-Gerät nach ARINC-Standard 603 verwendeten, aber solche Tape-Loader waren schwerfällig und langsam. Die Hersteller gingen dann zu Datenladecomputern über, die auf dem ARINC-Standard 615 (Data Loader-Standard) basierten, der im Wesentlichen ein Softwareprotokoll ist, das auf einen ARINC-Standard-429-Datenbus geschichtet ist. ARINC 615-Datenladegeräte haben das Bandformat von ARINC 603 zugunsten eines 3,5-Zoll-Diskettenmediums zum Übertragen von Daten und Software aufgegeben ... Die Software oder Daten für diese Updates sind zunehmend komplexer geworden, da die Systeme in Flugzeugen mehr Funktionalität bieten zu die Cockpit-Crew und die Verkehrsleitung.

In der jüngeren Geschichte „änderten sich die zum Laden von FLS verwendeten Medien mit der Zeit. In den frühen 1990er Jahren wurden 3,5-Zoll-Disketten verwendet. Zum Beispiel trug die ursprüngliche Boeing 777 Ordner voller Disketten mit sich herum. Die Technologie hat sich auf CDs verlagert (Cds), Digital Video Disks (DVDs), USB-Sticks, Massenspeichergeräte und sogar LANs (Local Area Networks)" .

Ein weiteres Patent diskutiert detailliert die Art und Weise, wie Software über LAN geladen werden kann. Das Bild unten stammt aus dem Patent. Die Prinzipien sind sehr ähnlich:

• Die Software muss Teil einer zertifizierten Luftfahrzeugkonfiguration sein
• Flugzeuge in der Flotte werden über das Netzwerk überprüft, um festzustellen, ob ihre Konfiguration veraltet oder falsch ist
• Flugzeuge werden auf eine neue Konfiguration aktualisiert, wenn und nur wenn der Bediener die Aktualisierung initiiert
• Eine zuverlässige Integritätsprüfung wie ein CRC ist vorhanden, um sicherzustellen, dass das Update über LAN erfolgreich war

Welche Sicherheits- und Integritätsmaßnahmen werden ergriffen?

Wissenswertes: Vor Ort ladbare Software wird als Teil betrachtet , und daher gilt das für Teile geltende Konfigurationsmanagement auch für Software-Updates. Die aktualisierte Software muss für die Flugzeugkonfiguration zertifiziert sein, auf der sie installiert ist, muss eine Teilenummer haben, die verifiziert werden kann, und muss auf der Stückliste für das neue Flugzeug erscheinen. Manchmal hat ein ganzes Gerät eine neue Teilenummer, wenn seine Software aktualisiert wird, oder manchmal hat die Software eine separate Teilenummer, die aktualisiert wird, während die Hardware ihre eigene Teilenummer behält. Alle Änderungen an der Software müssen eine Änderungsauswirkungsanalyse und Rezertifizierung durchlaufen.

Die vor Ort ladbare Software muss für das Gerät und das Flugzeug, auf das sie geladen wird, zertifiziert sein, und es müssen Überprüfungen des Software-Ladevorgangs, der Software selbst und der Software-Teilenummer durchgeführt werden. DO-178C legt ausdrücklich Folgendes fest:

• Es muss ein Schutz vor versehentlichem Laden vorhanden sein (was auch bedeutet, dass es Sie im Gegensatz zu Windows nicht dazu zwingt, zum ungünstigsten Zeitpunkt zu aktualisieren)
• Es müssen fehlgeschlagene, teilweise oder beschädigte Ladevorgänge erkannt werden
• Sie müssen zuverlässig feststellen können, dass die aktuell geladene Software und alle ihre Dateien korrekt sind (z. B. mithilfe eines CRC).
• wenn ein Anzeigemechanismus verwendet wird, um die Softwarelast anzuzeigen, muss die Anzeige genau und zuverlässig sein

Integritätsprüfungen müssen ähnlich zuverlässig sein wie andere Zuverlässigkeitsprüfungen in Flugzeugen. Dies bedeutet häufig, dass beim Laden der Software eine Wahrscheinlichkeit von 10^-9 bestehen muss, dass die Software beschädigt wird oder fälschlicherweise angezeigt wird, dass das Laden der Software korrekt ist. Sie können stattdessen das zum Laden der Software verwendete Tool qualifizieren, dies ist jedoch weniger üblich als der Nachweis, dass die Integritätsprüfungen zuverlässig sind.

Vertrauenskette für Luftfahrtdatenbanken

Bei Luftfahrtdatenbanken werden Sicherheitsniveaus und Fehlerprüfungen ebenfalls ernsthaft in Betracht gezogen. Jeder Teilnehmer an der Erstellung und Übertragung von Luftfahrtdatenbanken muss über einen Compliance-Plan, ein Konfigurationsmanagement, eine Fehlerprüfung, eine Methode, um sicherzustellen, dass keine unbefugten Änderungen auftreten, und ein Qualitätsmanagement verfügen. Wie in AC 20-153 beschrieben , stellt die FAA jedem Teilnehmer an diesem Prozess ein Letter of Acceptance (LOA) aus, aus dem hervorgeht, dass er Vorschriften wie DO-200A einhält. Luftfahrtdaten müssen verschiedene anwendbare Standards wie ARINC 424 und DO-291B erfüllen, aber eine Erörterung dieser liegt außerhalb der Frage.

Für mehr Informationen:

Kapitel 5 der FAA-Verordnung 8110.49 befasst sich speziell mit der Zulassung von vor Ort ladbarer Software. DO-200A von RTCA ist der Standard für die Erstellung und Übertragung von Aeronatuical-Datenbanken von einem regulierten Datenanbieter an den Betreiber des Flugzeugs. Siehe auch FAA AC 20-153 zur Zertifizierung der Konformität und Erteilung von Annahmeerklärungen für DO-200A. Ich habe stark auf „Developing Safety-Critical Software“ von Leanna Rierson verwiesen. Ich empfehle Ihnen, dieses oder ein anderes Buch zu lesen.

Haftungsausschluss: Ich bin kein DER oder Ingenieur für den Datenladeprozess, daher dienen diese Informationen nur als Referenz. Für technische Arbeiten konsultieren Sie bitte die Quelldokumente und ein DER, anstatt sich auf diese Informationen zu verlassen.

Aktualisieren der A380-Navigation mit Flash-Laufwerken

Die Rockwell Collins FMS- Einheiten, die in vielen großen Verkehrsflugzeugen zu finden sind, werden über einen USB-Stick aktualisiert. Hier finden Sie ein schönes Video , wie es gemacht wird. Die meisten GA-Flugzeuge verwenden heutzutage SD-Karten (oder andere ähnliche Kartenformate). Einige Leute entschieden sich für Apps wie ForeFlight auf ihrem iPad, das über das Internet aktualisiert wird.

Was die „Kette des Vertrauens“ betrifft, verlangt Rockwell Collins ein Abonnement für ihre FMS-Datenbank-Downloads, sie werden jedoch direkt aus dem Internet heruntergeladen. Es gibt eine Liste mit Nachträgen und Änderungen , die anscheinend einige Fluggesellschaften haben. In Wirklichkeit ist das Medium nicht "sicher", wie Sie erwähnt haben, aber eine Manipulation daran würde gegen einige FAR verstoßen (ich werde versuchen, das eine zu finden), da Sie möglicherweise eine gefährliche Situation schaffen würden. Ich bin mir sicher, dass Fluggesellschaften und A&P-Shops diese Aktualisierungen genau so sorgfältig behandeln wie jede Wartung. Ich bin mir nicht sicher, ob die Daten auf Softwareebene verschlüsselt sind.

Für Apps wie ForeFlight und einige der eher GA-orientierten Märkte (die keine vollständigen FMS-Systeme verwenden) stellt die FAA alle ihre Diagramme kostenlos in digitaler Form zur Verfügung . Ich würde davon ausgehen, dass Orte wie ForeFlight hier ihre Daten erhalten und Sie sie dann als Benutzer von den ForeFlight-Servern herunterladen. Auch hier zahlen Sie ein Abonnement für ForeFlight, um sicherzustellen, dass diese Dinge online und auf dem neuesten Stand sind. Auch dies ist alles nicht sehr sicher (sozusagen) und Sie verlassen sich darauf, dass ForeFlight die Karten nicht manipuliert. Wenn es um die Aktualisierung der Karten in einem GA-Flugzeug geht, ist es wahrscheinlich Ihr Flugzeug und Sie sind dafür verantwortlich, seinen sicheren Betrieb zu gewährleisten . Garmin scheint ihre Downloads direkt auf ihrer Website verfügbar zu machen .

Bei allgemeinen Luftfahrtanwendungen werden Navigationsdatenbank und Softwareaktualisierungen über das Internet vom Avionikhersteller heruntergeladen und auf einer SD-Karte gespeichert, die später in einen SD-Kartensteckplatz in der Einfassung der Avionik im Flugzeug eingesetzt wird.

Downloads sind registrierten Abonnenten vorbehalten.