מערכות משימה צבאיות ומוטסות נדרשות לטפל באופן חלק במקורות מידע מרובים ומגוונים. מתכנני המערכות נדרשים לספק מערכות מודרניות, מורכבות ובעלות ביצועים גבוהים ולעמוד בו זמנית בדרישות נפח, משקל וצריכת הספק (SWaP), תוך כדי עמידה בתקציב מוגבל וקשיח. בימינו תקני ה-FAA מחייבים מערכות אלקטרוניות מוטסות ביישומים אזרחיים וצבאיים לעמוד בדרישות רישוי בטיחות. מתכנני מערכות למסוקים, כטב”מים ותחנות קרקעיות נדרשים להתעמת עם דרישות אלו. בעוד שבעבר נדרשה בעיקר עמידה ברישוי DO-178, כיום גוברת הדרישה לעמידה בתקני DO-178 ו-DO-254. בעבר מערכות בעלות רישוי בטיחות נבנו במיוחד בכדי לעמוד בתקני FAA. מערכות אלו היו קלות יותר לרישוי מכיוון שהיו מורכבות פחות ממערכות מודרניות בנות ימינו. האתגר לספק מערכות משימה ברות רישוי, בעלות מורכבות גבוהה ובמחיר סביר הוביל את המתכננים מפיתוח מערכות ייעודיות, לשימוש במרכיבי מערכות זמינים (COTS). בעוד שתהליך רישוי הבטיחות יכול להיות מורכב, ארוך ויקר. ספקי מערכת COTS יכולים לצמצם עלויות רישוי, לצמצם סיכוני לקוח ולזרז את זמן ההגעה לשוק (ראה תרשים 1).
תרשים 1. דרישות רישוי בטיחות עבור כרטיס מעבד סטנדרטי
מה הוא רישוי בטיחות?
תקני רישוי בטיחות הם תקני תאימות קפדניים הנאכפים על ידי רשויות הבטיחות כדוגמת FAA בארה”ב ו-EASA בשוק האירופי עבור תכנון מערכות אלקטרוניות מוטסות. תקנות כושר טיסה אלו נוצרו במקור עבור תעשיית התעופה האזרחית, אבל בהתבסס על השימוש הנרחב, העלויות וההצלחות בהגברת הבטיחות אומצו בהדרגה על ידי תעשיית התעופה והתעשיות הצבאיות. בתעשייה קיימים שני תקני בטיחות עבור מערכות אלקטרוניות מוטסות DO-245 ו-DO-178. מגדיר את הדרישות עבור החומרה, DO-178 מגדיר את הדרישות עבור התוכנה. תקנים אלו מקורם בדרישות הממשל האמריקאי, הם אומצו והועתקו על ידי רשויות בטיחות ברחבי העולם כדוגמת מנהל התעופה האירופאי (EASA) ורשויות מקבילות בדרום אמריקה, אסיה, אפריקה וישראל. תחת תקנים אלו החומרה והתוכנה מחויבות לתפקד בתיאום על גבי פלטפורמה מוטסת באופן חלק ואמין. בכדי להתחיל בתהליך הרישוי על המתכננים לזהות איזו רמת רישוי נדרשת עבור המערכת שלהם. דרישות אלו מוגדרות בסדרה של חמש דרגות בהתאם לרמת האמינות הנדרשת (DAL). היקף מאמצי הרישוי הנדרשים נגזר מרמת הרישוי הנדרשת. דרישות הבטיחות מתבססות על מורכבות הרכיבים, בקרת תנאי סביבה, בקרת תפקוד וניתוח הסבירות לכשל (ראה טבלה 1). חשוב לציין, שרמת הרישוי ישימה לא רק למערכות האלקטרוניות המוטסות אלא גם אל מערכות עזר ומערכות משלימות כדוגמת תחנות קרקעיות. נקודה נוספת היא שמוצר אינו נחשב “בעל רישוי” עד שעבר תהליך רישוי מלא כחלק מרישוי המטוס הכולל. לאחר שמהנדסי המערכת הכינו את הוראות התכן הנדרשות בהתאם לרמת הרישוי הנדרשת, עליהם לתכנן את המערכת כך שתהיה ברת רישוי. כלומר, עליהם לספק לרשויות הבטיחות כלים לצורך אימות התיעוד, הגדרת הדרישות, הפיתוח, שילוב המערכות ובדיקות מערכתיות. למרות שתהליך זה נראה יקר וארוך, התוצאה הסופית של רישוי DO-254 ו-DO-178 הוכחה כמסייעת בהגברת הבטיחות, שיפור האיכות, ייעול התחזוקתיות ובהפחתת עלויות לאורך זמן. (1 Hilderman, V (2009). DO-178B and DO-254: A unified aerospace-field theory? Military Embedded Systems, January/February 2009).
דילמת רישוי הבטיחות עבור מערכות צבאיות
באופן מסורתי, מערכות ייחודיות בעלות רישוי בטיחות הן פחות מורכבות. עובדה זאת הפכה אותם לקלות יותר לרישוי עקב היכולת לעקוב אחר אופן פעולת המערכת, בעיקר ברמות רישוי גבוהות בהם נדרש לבחון בקפידה כל אחד מאופני תפקוד המערכת. לעומת זאת, מערכות צבאיות בנות זמננו הינם בעלות ביצועים גבוהים יותר ויכולות רבות יותר, זאת בנוסף ליכולת להתממשק לנפחים הולכים וגדלים של מידע המגיע ממגוון רחב של מקורות. בכדי להגשים מטרות אלו נדרשות המערכות להשתמש ביכולות הטכנולוגיות המתקדמות ביותר ועקב כך להגדיל את מורכבות המערכת. ככל שמערכת מורכבת יותר, קשה יותר למדוד באופן מדויק את אופני התפקוד השונים של המערכת (נתוני סביבה, ביצועים, הסתברות לכשל ועוד) וכתוצאה מכך, קשה יותר לחזות אלו כלים נדרשים עבר הרישוי. לדוגמא: מעבדים מרובי ליבות בעלי שלוש ליבות או יותר עדיין אינם מאושרים לרישוי מכיוון שרשויות הרישוי חוששות שהתוכנה עבור מעבדים מרובי ליבות עלולה לגרום לביצועים שאינם החלטיים ואולי אף לגרום להשהיות בביצוע משימות ברמת Safety Critical. בנוסף לכך, נוהלי הרישוי הקיימים אינם כוללים תהליכים רשמיים לצורך אימות מערכות ברמת מורכבות כזאת. ככל שתעשיית מערכות משובצות מחשב הצבאיות תתקדם ויתחייב רישוי בטיחות ברבות מהמערכות, יתחזק האתגר לאזן בין הצורך בהתקדמות טכנולוגית והיכולת לבצע רישוי בטיחות עבור פתרונות מורכבים משולבים.
מוצרי COTS ברי רישוי – הדרך לעתיד
בכדי לספק יישומים בעלי יכולות מרובות התואמים את הדרישה הגוברת לרישוי בטיחות, מתכנני מערכות נהנים מהיכולת להשתמש ברכיבי COTS בעלי יכולת רישוי. ספקי COTS מסוגלים לספק ללקוחות את הספרות והכלים הנדרשים להערכת רמת בטיחות המערכת ומאמצי הרישוי הנדרשים. בניגוד למערכות ייחודיות המפותחות במיוחד לצורך משימה מסוימת בהם כל עלויות הרישוי והבטיחות עלולות לחול על מערכת בודדת, מוצרי COTS הינם זולים יותר הן ברמת הרישוי והן ברמת המוצר עקב כמויות הייצור הגדולות. מוצרי COTS ברי רישוי מסייעים גם בהורדת הסיכון, בעוד שפיתוחים ייחודיים דורשים אנליזה ופיתוח של כלים יעודים בכדי לתמוך במאמצי הרישוי. מוצרי COTS מתוכננים מראש בכדי להשתלב כחלק ממערכת. על ידי רכש מוצרי COTS שעברו תהליכי התאמה לרישוי במהלך הפיתוח, לקוחות יכולים להיות בטוחים שתתי המכלולים שלהם יכולים להשתלב בפיתוח שמיועד לעבור רישוי DO-178 ו-DO-254 ברמת המערכת. מוצרי COTS כבר מפותחים, זמינים ומוכנים לעבודה בזמן שפיתוחים חדשים כוללים פוטנציאל גבוה לסיכוני פיתוח, דחייה בלוחות זמנים ועלויות בלתי צפויות. לסיום, מוצרי COTS יכולים להפחית באופן ניכר זמני פיתוח. לא בלבד שהם מבוססים על טכנולוגיות מוכחות, הם גם מאפשרים התחלה של פיתוח היישום במקביל לשילוב מרכיבי המוצר. במוצרי פיתוח, נדרש לבצע את תהליך הרישוי מהשלב הראשון בכל פעם שמערכת חדשה מפותחת. במוצרי COTS קיימות הוכחות לרישוי בטיחות המבוססות על ניסיון מצטבר של היצרנים והיסטוריית השימוש במוצר. הוכחות אלו מאפשרות ללקוחות לצבור יתרון בהתנעת פרויקטים חדשים על ידי שימוש בכרטיסים וחבילות תמיכה בהם נצבר ניסיון בפרויקטים קודמים. אלו יזרזו לוחות זמנים בשילוב המערכות ותהליכי הרישוי.
תמיכת היצרנים בתהליך הרישוי
רישוי בטיחות למערכות משובצות מחשב ליישומים צבאיים בלי השותפים המתאימים שילוו וידריכו במסגרת התהליך עשוי להיות תהליך ארוך, מורכב ויקר להשלמה.
חברת Curtiss Wright נוטלת חלק ביצירת אסטרטגיות להקלה בתהליך הרישוי, למידע נוסף ראו את המאמר Safety
Certification & Hazardous Misleading Information באתר החברה.
