确保无人机软件安全所需的条件

无人机不像你在 10 岁生日时打开的遥控特技飞机。它们以不同的形式出现在民用空域或作为军事任务中不可或缺的参与者飞行。这使得无人系统？安全和安保非常认真的考虑。因此，ISO 14508 和 DO-178 可能有助于保持无人系统的安全性。自动化这些认证标准所要求的流程的软件工具正在减轻负担。

作为一个基本概念，无人驾驶飞行器（UAV或“无人机”）的想法“幼稚”地简单：一架可以远程驾驶的微型飞机。无人机与我们童年玩具之间的主要区别在于车辆本身及其导航和导航系统的复杂性。鉴于这些飞行器进入民用空域，并且随着它们开始用于越来越多的民用活动，它们将继续越来越多地进入民用空域，无人机软件的安全性变得至关重要。至关重要的是，我们要提高代码的健壮性，并尽量减少其对黑客的潜在脆弱性。

早在2004年，美国国家航空航天局（NASA）的“民用无人机能力评估”就列出了30类对无人机使用有潜在兴趣的私营部门组织，包括林业管理、农作物喷粉和沿海搜救等。从那时起，无人机和应用的数量激增，据《华盛顿时报》报道，到30年，多达000,2020架无人机可以在美国领空飞行。

无人机使用的这种扩展挑战了美国联邦航空局“提供世界上最安全、最高效的航空航天系统”的目标。由于机上没有人类飞行员，控制软件主要负责维护无人机的安全。而且，由于没有强制性标准来管理无人机系统的安全和安保，无人机的激增增加了我们安全和安保的整体风险。

值得注意的是，即使实施了 FAA 标准，除非强制执行安全标准，否则安全仍可能面临风险。2011年，美国中央情报局（CIA）一架无人机在伊朗坠毁，这突显出，除非系统能够抵御黑客攻击，否则安全仍然处于危险之中。在那起事件中，地方当局声称他们通过入侵其GPS转移了车辆。当德克萨斯大学的托德·汉弗莱斯（Todd Humphreys）教授和一群美国研究人员在美国国土安全部代表面前入侵一架无人机时，他们的说法获得了可信度。该团队通过模仿发送到全球定位设备的实际信号来欺骗无人机遵循不同的命令，从而欺骗机载GPS接收器。

为了解决这种情况，美国空军理工学院的开发人员正在开发一种系统，该系统使无人机（如人类飞行员）能够通过使用带有模式识别软件的摄像头来补充GPS导航的视觉反馈。这些努力的安全性取决于所部署软件的安全性。

应制定哪些安全/安保标准

无人机安全和安保有两种标准需要考虑：

过程标准描述了为确保以安全方式（DO-178）或安全方式（ISO 14508）编写成品而应遵循的开发过程。编码标准描述了一个高级编程语言子集，该子集确保软件尽可能安全（MISRA C）和安全性（CERT C）编写。

安全在无人机开发中显然很重要，但只有当无人机无法被敌对入侵者控制时，它才能被认为是安全的。

ISO 14508（也称为“通用标准”，参考其衍生的合并文档）是一个面向流程的国际标准，定义了 IT 安全要求。这些要求根据表 1 所示的七个评估测试保证级别（EAL）进行分类，其中 EAL 7 代表最安全的系统。安全功能要求包括审计、通信、加密、数据保护、身份验证、安全管理、隐私和评估目标（TOE）保护。汉弗莱斯教授的欺骗性GPS信号只表明，当这些一般原则不应用于无人机通信时，就会产生一个漏洞。

表 1：ISO 14508 定义了一系列评估保证级别（EAL），这些级别决定了与每个软件组件相关的过程严格性。

（单击图形可缩放 1.9 倍）

为无人机开发的软件属于 DO-178“机载系统和设备认证中的软件注意事项”的准则。DO-178B 和最近批准的 DO-178C 都为机载系统和设备的所有软件的生产提供了详细的指南，无论是否对安全至关重要。作为这些指南的一部分，DO-178B/C 定义了设计保证级别（DAL），其中 A 级涉及最严格的故障防护措施。DO-178 将这些 DAL 转换为软件级别，如表 2 所示。每个软件级别都有在开发过程中必须满足的相关目标。

表2：DO-178 定义了必须为每个软件组件检查和确定的一系列软件级别。

（单击图形可缩放 1.9 倍）

DO-178 认识到，必须在整个开发生命周期中以系统的方式解决软件安全问题。为了帮助开发人员做到这一点，该标准概述了所需的流程，例如需求可追溯性、软件设计、编码以及验证和验证，以确保对软件的信心、正确性和控制。强大的软件验证和验证流程使开发人员能够检测和纠正软件开发过程中引入的错误。

在软件方面，这两个标准之间的重叠是相当大的，特别是在配置管理、软件开发、质量保证、验证和规划方面。但是，DO-178 仅关注机载系统中软件的安全性，而 ISO 14508 则侧重于系统安全性。

DO-178 和 ISO 14508 都建议使用语言子集（或“编码标准”），例如 MISRA C：2012 用于安全，CERT C 或 CWE 用于安全。这些语言子集主要由开发人员为确保代码安全或可靠而避免的构造和实践列表组成。例如，完全可以遵守 MISRA C：2012 和 CERT C 的编码规则，以获得可接受的安全级别。

鉴于预计无人机将同时符合 DO-178 和 ISO 14508 标准，开发团队应努力实现这两个标准的目标。

确保无人机的开发符合确保安全和安保问题得到解决的系统要求当然至关重要。然而，随着与无人机开发相关的市场压力越来越大，上市时间和开发成本的改善也很重要。幸运的是，供应商在提供自动化这些认证标准所需流程的工具方面已经取得了长足的进步（图 1）。例如，DO-178 和 ISO 14508 的基础是需求可追溯性、静态分析和动态分析，并且可以使用工具来帮助自动化所有三个目标的劳动密集型方面。

图 1：满足一个标准是一项挑战;遵守 DO-178 和 ISO 14508 等两项标准是完全令人生畏的。通过应用适当的自动化技术，开发团队可以最大限度地减少所涉及的开销。

（单击图形可缩放 1.9 倍）

需求可追溯性工具

这两个标准都要求高级需求可追溯到设计文档，设计文档可追溯到代码，代码跟踪可追溯到测试，然后从测试到需求再次备份，以获得“双向需求可追溯性”。

如果需求从一开始就是静态的和固定的，那么可追溯性将相对简单。然而，这种情况很少发生，因此，在任何特定时间维护矩阵以显示可追溯性成为一项非常劳动密集型的任务。

为了帮助管理这种关系矩阵，需求可追溯性工具将系统需求与软件需求联系起来，从软件需求到设计工件，再到源代码和相关的测试用例。自动双向需求跟踪可确保开发的无人机完全按照最终需求集的规定执行任务——不多也不少，无论这些需求变化的频率如何（图 2）。

图 2：需求可追溯性是满足安保和安全标准的重要因素。将高级需求动态链接到源代码和验证任务，确保始终保持最新的可追溯性矩阵。

静态分析工具

当需求建立和设计到位时，开发安全可靠的源代码需要使用适当的编码规则。同样，旨在开发安全代码的规则与为安全代码设计的规则类似。例如，许多不安全的 C 语言功能也同样不安全。

值得注意的是，手动检查是否符合 MISRA C 和 CERT C 语言子集是不切实际的。静态分析可自动验证编码规则。选择规则后，将对源代码进行静态分析，以突出显示任何规则冲突的精确位置。

静态分析也有助于履行其他义务。例如，它识别出不必要地复杂，因此更容易出错的代码。而且，它确认代码执行指定要执行的操作。开发人员不仅必须证明代码功能正常，而且必须证明所有代码的执行程度都适合系统的关键性。

动态分析工具

动态分析工具通过单元测试或集成测试，将代码作为一个整体或零碎地执行，以显示正确的功能。允许构建和执行子系统所需的任何代码都会自动创建，并识别执行的代码。

经济高效的安全保障

如前所述，无人机项目既不符合 DO-178 也不符合 ISO 14508。即使如此，这些标准也不坚持使用自动化工具或开发过程的自动化。然而，鉴于无人机的作用不断扩大，无人机的安全需求至关重要。自动化需求可追溯性与现代静态和动态分析工具相结合，使其能够以高效且具有成本效益的方式满足此类标准的严格要求。

F-35战斗机软件升级问题及解决举措

今年3月，美军F-35战斗机计划主管在美国国会听证会上表示，尽管1月美空军完成了F-35首架按“技术翻新-3”（Technology Refresh-3）硬件升级飞机的试飞，但F-35的软件升级仍面临挑战，整体计算机软硬件升级工作预计比原计划延迟一年，到2024年4月才能首次交付配备“技术翻新-3”升级的F-35。F-35是一型软件密集型装备，其机上软件代码超过800万行，80%的作战功能涉及软件。

F-35软件升级遇到的问题

F-35战斗机计划是美国防部历史上金额最大的装备采办计划，研发、采购、使用和维护成本估计超过1.7万亿美元。该计划从2018年起进入“持续能力开发与交付阶段”（C2D2，相当于并行的产品交付和持续升级），当前的主要工作是推进第4批次能力升级，该升级首先要开展名为“技术翻新-3”的软硬件升级，之后开展重要软件能力升级，以集成新的机载设备和武器。在第4批次升级中，主要升级的软件包括任务系统软件、运行保障系统软件和联合仿真环境软件等。综合已公布的情况，目前F-35软件升级中主要问题有三个：任务系统软件存在大量缺陷导致进度延迟；运行保障软件问题导致飞机可靠性可维护性不足；联合仿真环境软件延缓飞机试验鉴定。

1.任务系统软件存在大量缺陷导致进度延迟

F-35任务系统软件升级一方面是为了实现新的能力，另一方面则是修复系统开发与演示验证阶段发现的软件缺陷。但软件缺陷不断出现，而且很多缺陷是在软件交付到测试飞机后才发现的，因此任务系统软件的缺陷总量并未明显减少。例如，根据美国防部报告，在任务系统版本30R06和本30R07软件中又发现了与通信系统、雷达、驾驶员操作界面、数据融合相关的缺陷。从2019年启动的第4批次能力升级研发工作，每年都面临项目的成本增加和计划延期问题，直到2021年后，该升级工作仍然受到软件研发进度的影响，这导致F-35项目办公室已将第4批次能力升级的交付周期延长到2029财年，比初始计划滞后了3年。

2.运行保障软件问题导致飞机可靠性可维护性不足

F-35 最早的运行保障平台“自主保障信息系统”从2002年就开始研发，第一个具备初步功能的系统到2018年9月才完成测试，比原计划晚了近8年。因为该项目启动过早，到投入使用时，其软硬件架构都存在过时问题，而且系统的可用性很差。导致飞机的可靠性和可维护性不足，根据美国政府问责局的报告，该系统的问题严重到“电子记录经常不正确、损坏或丢失，导致错误发出飞机应该停飞的信号”，其他软件问题还包括数据不正确或者丢失、系统部署困难、用户体验差等。

3.联合仿真环境软件延缓飞机试验鉴定

虽然到2023年3月美军已经部署564架F-35，洛马公司也已制造完成900余架飞机，但该项目仍然没有完成初始作战试验与鉴定工作。这是因为F-35采办计划的另一个软件——联合仿真环境项目的模拟器软件进度滞后，进而导致该型机初始作战试验鉴定工作一再推迟。具体来说，联合仿真环境中能够运行F-35高保真仿真模型、任务系统软件以及其他武器系统、威胁系统、环境效应的软件模型，提供模拟复杂场景的虚拟环境，因为只有在仿真环境中才能够测试飞机应对密集、现代地面和空中威胁的能力，F-35的初始作战试验与鉴定工作中，有64项测试工作必须在联合仿真环境建设完成后开展。但因联合仿真环境项目在模拟器软件开发方面的技术挑战，导致该环境建设进度一再延迟，进而导致F-35初始作战试验与鉴定工作一再推迟。虽然最新的初始作战试验鉴定完成时间又一次推迟，但美国防部认为因为联合仿真环境软件相关问题，仍然存在继续延迟风险。

美军针对F-35软件升级问题采取的解决举措

针对F-35采办计划实施过程中出现的软件问题，美军方和工业界从转变开发模式、重构技术架构、持续优化应用等方面入手着力解决。

1.采用开发安全和运维一体化等现代化方法改善任务系统研发状态

为解决F-35任务系统软件持续发现缺陷/疲于修正的问题，F-35计划办公室与洛马公司组织了专家团队进行评估，专家团队针对敏捷软件开发和软件成熟度问题进行调查后，提出遵循商业软件最佳实践、完善开发安全和运维一体化的应用流程和工具、应用敏捷开发方法、定义软件最小可行产品需求、提升集成测试能力、缩短软件迭代周期等“软件研发生态”改进的建议。

针对这些建议，F-35计划办公室利用来自美军和洛马公司的投资，对F-35软件研发环境进行持续改善，执行了评估团队提出的16项建议，为非适航飞机构建了舱内电子环境支持软件测试，优化了软件研发流程、工具和环境，推进了开发安全运维一体化和敏捷开发方法的应用。未来还计划针对性升级软硬件在环实验室，以软件在环、硬件在环、人员在环等技术解决复杂硬件装备软件自动化集成测试的障碍，以在集成和测试时间线中尽早发现软件缺陷，从而降低缺陷修复成本。利用现代化软件研发方法，该计划已经实现了50%以上的核心回归测试自动化，覆盖超过2.6万个测试点。

2.重构运行保障软件的软硬件技术架构并推进边运行边过渡

针对已在运行的“自主保障信息系统”存在的问题，2020年美国防部提出从“自主保障信息系统”过渡到“运行数据集成网络”的方案，旨在解决原自主保障信息系统的软硬件架构过时问题，同时提高数据集成交互能力。在此过程中，美军一方面针对旧系统执行“风险燃尽”计划，形成最终版本。另一方面，新系统设计了支持基础架构即代码（IaC）的硬件无关架构，确保软件在开发和生产环境无缝过渡，并采用更小的模块化硬件和微服务软件架构，具有硬件更易部署、软件模块更小、松耦合等特点，能够支持更快、更频繁的软件更新。由于采用边运行边过渡的渐进方式，整个过渡工作预计要数年完成。

目前该工作团队仍在开发“自主保障信息系统”的最终版本，但已在2022年发布了2个更新版本，解决了美军的最优先需求，并增强了网络安全。尤其是针对电子记录不正常经常导致无法安装备件、严重影响机队完好率的问题，通过改进旧系统的软件和数据集成等措施，使备件可用率从2020年的43%提高到2022年的80%左右，基本解决了相关问题。针对新系统“运行数据集成网络”，2022年以来已经开发了基础软件架构和模块，重构了与新架构不兼容的部分应用程序，开发了数据集中归档和检索功能，以提高单元硬件性能，提升数据访问的便捷性，增强机队分析功能。同时，团队于2022年在16个场地部署并启动了新系统中新的非密硬件，并计划在2023年启动涉密硬件的部署。

3.采用持续优化并拓展应用的方式加速推进联合仿真环境软件研发

为加速开发联合仿真环境软件，研发团队采用了拓展软件应用方式、结合应用持续优化等措施，持续提升软件成熟度。到2023年4月，虽然联合仿真环境软件还有5个优先缺陷没有修复，3个缺陷修复没有验证，但总体来说已经进入系统开发和集成工作的最后阶段。若联合仿真环境后续研发工作顺利，初始作战试验与鉴定也能如期完成，那么美军很有可能在2023年年底批准F-35投入全速生产。在拓展应用方面，美军组织多所装备学校和作战中队使用该软件接受培训。根据反馈，该软件被认为是F-35训练最真实的威胁仿真环境，对训练有很大帮助。例如，在美海军攻击机战术指导项目的5天工作中，教员和学生完成了118个不间断模拟器周期，模拟出动飞机334架次、发射空空导弹近1000次，这5天内完成的训练内容比之前1年完成的常规中队训练内容更多。美军认为，当前联合仿真环境在高端作战和武器训练方面，已能提供前所未有的保真度和效率。

几个要点

1.安全和测试是制约现代化软件方法应用的重要因素

美军应用开发安全运维一体化、敏捷开发等现代化软件方法的目的是将硅谷企业的现代化成熟商业实践引入装备研发和升级中，2022年美国防部发布《软件现代化战略》进一步加速了该过程。商业实践的现代化开发方法中，除了容器、管道等自动化技术外，还包括安全设计前置（即所谓的安全左移）和自动化测试等设计与流程上的变化。在美军一般软件为主的项目中，现代化软件方法已经达到较好的应用效果，80%的项目都实现了1年内交付升级1次的目的。但硬件为主的装备平台复杂度远大于软件为主项目，在安全和测试方面面临的问题非常复杂，如果不妥善解决，必将成为现代化软件方法应用的重要制约点，因此必须针对性地研究以软件在环、硬件在环、人员在环等技术思路为主的软件自动化集成测试技术，开展安全设计前置和测试能力优化等工作。

2.软硬件架构设计会形成制约装备能力和软件升级的技术债务

美军F-35飞机运行保障软件问题很多，之前的“自主后勤信息系统”就存在数据集成错误影响飞机运行、硬件过大不利于在中队部署等问题。在过渡到“运行数据集成网络”的过程中，因为前系统已经在部署运行、新系统采用了新的硬件设计和云架构、新开发模式导致软件架构调整等原因，必须采用逐步替换的方式，将过渡工作延长到几年。在第4批次的升级中必然存在的“技术翻新-3”机载计算机硬件升级也代表着类似问题，按以前的经验像F-35这样的装备平台往往十几年、甚或几十年都不会有大的调整，计算机硬件平台就会限制软件能力。优秀的软硬件架构设计能够更好地快速升级计算机硬件和算力、支持软件弹性扩展和快速迭代。反之，架构上的问题设计则会成为技术债务，在必要时不得不采用重构或替换等方式，付出更高成本才能实现能力提升。

3.基于软件高保真度的仿真作战试验系统效果凸显

首先，F-35项目中高保真的联合仿真环境作用显著，项目要求初始作战试验鉴定中的64项内容在联合仿真环境中完成，就是因为真实环境中“无法测试F-35面对的密集、现代的地面和空中威胁的能力”。其次，美国国防部认为联合仿真环境“将成为高端训练和装备研发的宝贵资源”，目前已经有3个联合仿真环境在建，应用范围也不局限于F-35项目工作。第三，与常规中队训练相比，使用联合仿真环境开展训练的效率出现了指数级提升，其效果已经通过实践检验。