¿Cómo se entregan las actualizaciones de aviónica?

Tengo una gran curiosidad por saber qué tipo de medio de almacenamiento físico (por ejemplo, un "mini-CD", una llave USB, un pequeño disco duro, tal vez una cinta) se usa para entregar actualizaciones de aviónica, para una versión tan reciente como -posible avión?

¿Para grandes (por ejemplo, aviones comerciales) y/o militares?

¿Supongo que no estás descargando actualizaciones de Internet?

¿Podría (opcionalmente) también pintar una imagen vaga de dominio público de cómo funciona la "cadena de confianza"? ¿O la ruta de entrega (los medios que pasan de mano en mano) no es especialmente segura y, en cambio, toda la cadena de confianza está en firmas digitales integradas?

used for delivering avionics- ¿Te refieres a actualizaciones?
No sé. ¿Significa eso que la pregunta es demasiado amplia? Supongo que me refiero a cualquier actualización de campo, sí, después de que el avión y sus componentes hayan salido de fábrica.
Puede que sea demasiado amplio. Estoy familiarizado con 2 métodos, pero estos pueden ser específicos para fabricantes/sistemas. En un FMC antiguo de la década de 1990, accedió a una página de configuración oculta presionando teclas documentadas en el manual de mantenimiento pero no en el manual del usuario. Puede actualizar el software desde un "dongle", conectado a un puerto en la bahía de aviónica al proporcionar un código de contraseña que era exclusivo para el sistema y el operador. Supongo que el dongle ha sido reemplazado por una llave USB en implementaciones más modernas. Los datos fueron cifrados por el fabricante y descifrados al cargarlos por el FMC.
Otro sistema utilizaba placas reemplazables en línea con EEPROM (memoria de solo lectura que retiene su contenido cuando se apaga y se puede reprogramar) que se conectaba a un chasis al que se accedía a través de un panel de mantenimiento. De esta manera, se reemplazó toda la carga de software en lugar de simplemente actualizarse. Si leí su pregunta correctamente, puede estar asumiendo que las actualizaciones se realizan de alguna manera a través de una red (de ahí su pregunta sobre la cadena de confianza) que, aunque no lo sé, sospecho que no sucede ya que la seguridad sería una gran preocupación.
@Simon Gracias por esa imagen histórica. "puede estar asumiendo que las actualizaciones se realizan de alguna manera a través de una red": estoy asumiendo lo contrario en este momento, y que, por lo tanto, hay algún medio de almacenamiento/distribución aparentemente de la vieja escuela (es decir, físico ) involucrado (incluyendo, por ejemplo, reemplazar EEPROM). Alternativamente, estoy dispuesto a sorprenderme, si quieres decirme que, en cambio, ahora se hace a través de alguna red segura y/o insegura.
@Simon Incluso si no están 100% actualizados, sus comentarios me parecen dignos de respuesta.
@ToddWilcox Soy uno de los "dientes largos" por estas partes;)
@Simon También ha habido un gran retiro del mercado de Jeeps recientemente. "Realmente dudo que haya una red involucrada". Hay más de una red (es decir, esperaría que el IFE esté bastante separado). En teoría, podría tener su aviónica con espacio de aire en condiciones normales y, para el mantenimiento, insertar un conector de red que establezca (yo no lo hago) un enlace VPN con el fabricante. Solo tenía curiosidad. Pensé que tal vez habría alguna pista en el dominio público, tal vez en el folleto de ventas de los fabricantes, etc.

Respuestas (3)

Diferentes tipos de software

Necesitamos distinguir entre varias categorías de software.

  • El software cargable en campo (FLS) es, en términos generales, cualquier software que los técnicos y fabricantes puedan reconfigurar, actualizar o cargar, como el software de aviónica.

  • Las bases de datos aeronáuticas no se clasifican como software cargable en campo y se tratan por separado en las reglamentaciones. Estas bases de datos aeronáuticos pueden ser una base de datos de terreno, una base de datos de navegación, una base de datos de obstáculos o una base de datos de mapas de aeropuertos.

  • Software cargado de fábrica, que se supone que no cambia sin reemplazar el dispositivo en el que se encuentra. Para cambiar el software cargado de fábrica, a menudo tiene que romper un sello y actualizar la memoria. También puede estar en una memoria de solo lectura como una EEPROM.

Gracias a los avances en las prácticas de FLS, el software cargable en el campo se está utilizando en muchos lugares donde el software cargado de fábrica se había utilizado anteriormente y las actualizaciones frecuentes de software se están volviendo comunes en la mayoría de los sistemas. El software en prácticamente cualquier parte puede cargarse en el campo si sigue las medidas de seguridad e integridad.

Las bases de datos aeronáuticas reciben un tratamiento diferente en parte debido a la diferencia en la frecuencia de actualización. Una base de datos aeronáutica debe cambiar con frecuencia (a menudo más de una vez al mes), mientras que las actualizaciones de aviónica son menos frecuentes y pueden ser menos de una vez al año (especialmente porque toda la configuración de la aeronave, incluido el software, debe estar certificada).

¿Qué pasos se toman para actualizar el software?

Una patente de Airbus explica excelentemente el proceso, incluso con diagramas en francés:

El primer paso lo gestiona el fabricante de la aeronave. Este último decide sobre una modificación requerida para el avión que ha construido. Desarrolla la modificación para la solución encontrada y la certifica ante las autoridades certificadoras. El fabricante demuestra así que la nueva configuración propuesta es compatible con el entorno y con la configuración de la aeronave a la que se destina la modificación. Una vez desarrollada y validada la solución, el fabricante elabora un pack, denominado boletín de servicio, que contiene una descripción de las operaciones a realizar para realizar la modificación de la aeronave y también un elemento físico que contiene el software a modificar y además contiene los correspondientes documentación. El elemento físico que contiene el software depende del tamaño del software y puede ser, por ejemplo, una llave USB (USB que significa "Universal Serial Bus"), un CD/DVD, etc. Este paquete se entrega físicamente a la empresa interesada que opera la aeronave. Esta entrega también podrá realizarse por medios electrónicos.

El segundo paso se lleva a cabo bajo la responsabilidad del operador de la aeronave, por ejemplo una compañía aérea, o, cuando la aeronave se encuentra bajo mantenimiento pesado bajo la responsabilidad de la organización de mantenimiento autorizada para ello. De igual forma, este paso puede ser realizado por un MRO autorizado (que significa Organización de Reparación de Mantenimiento) cuando la aeronave se transforma para un cambio de operador. Este suele ser el caso de una empresa de alquiler de aeronaves. El operador recibe el boletín de servicio y lo traslada a un centro técnico (FIG. 1) para que el operador asigne y verifique la compatibilidad del boletín de servicio recibido con el entorno de las aeronaves de su flota. Una vez realizadas las verificaciones y validado el boletín de servicio, se envía una solicitud de trabajo al departamento de gestión de mantenimiento de la flota del operador. A continuación, dicho departamento define los horarios (escala, visita de mantenimiento pesado, etc.) en los que la aeronave puede realizar dicha actualización y proporciona al taller el elemento software a instalar en la aeronave (llave USB, DVD, etc.).

Un taller de mantenimiento de la compañía aérea o de una organización de reparación de mantenimiento realiza la tarea solicitada y descarga el software que se encuentra en el DVD o llave USB (u otro medio). Se registra la acción y se actualiza el repositorio de configuración de la aeronave. Por supuesto, se mantiene informado al centro técnico (y posiblemente a otros departamentos interesados) de la actualización que se acaba de realizar.

esquema que muestra cómo el software llega a un avión a través de USB, LAN o discos

Las actualizaciones de la base de datos de navegación se actualizaban tradicionalmente mediante un proceso similar según esta patente de Honeywell :

... la información contenida en la base de datos de navegación cambia con mucha frecuencia a medida que se crean nuevas ayudas para la navegación, se retiran antiguas ayudas para la navegación, los aeropuertos agregan o retiran pistas, o similares. En consecuencia, las agencias gubernamentales, como la Administración Federal de Aviación (FAA) de los Estados Unidos, normalmente exigen que las aeronaves actualicen las bases de datos de navegación con regularidad, por ejemplo, cada veintiocho días. Otros componentes (como los sistemas de posicionamiento global (GPS)) también pueden hacer uso de actualizaciones periódicas de datos.

Las técnicas convencionales de actualización de bases de datos han sido engorrosas y lentas. Por lo general, un cliente (como una línea aérea) obtiene un disquete que contiene la actualización para un tipo de aeronave en particular de una base de datos o proveedor de componentes. Luego, el cliente duplica el disquete y distribuye los disquetes copiados a los técnicos de servicio, quienes luego van a la aeronave individual y cargan manualmente la actualización de datos utilizando un cargador de datos especializado...

Consulte también https://www.google.com/patents/US20030208579 para ver un ejemplo de cómo se actualizan tradicionalmente los sistemas de entretenimiento a bordo.

¿Qué medios se utilizan?

Se ha utilizado una variedad de medios a lo largo del tiempo, ya que los medios de almacenamiento cambian rápidamente. Los medios físicos como los CD están siendo reemplazados rápidamente por actualizaciones de red de alta integridad debido a los beneficios económicos que implican.

Una patente para un "Método para controlar las actualizaciones de datos implementadas por el cliente" explica cómo se realizó históricamente este proceso:

Originalmente, el personal de mantenimiento de las aerolíneas actualizaba las computadoras de gestión de vuelos utilizando un dispositivo portátil de carga de cintas ARINC estándar 603, pero tales cargadores de cintas eran torpes y lentos. Luego, los fabricantes avanzaron hacia computadoras de carga de datos que se basaban en el estándar ARINC 615 (estándar del cargador de datos), que es, en esencia, un protocolo de software en capas en un bus de datos estándar 429 de ARINC. Los cargadores de datos ARINC 615 abandonaron el formato de cinta de ARINC 603 en favor de un disco flexible de 3,5 pulgadas para transferir datos y software... El software o los datos para estas actualizaciones se han vuelto cada vez más complejos a medida que los sistemas de las aeronaves brindan más funcionalidad a la tripulación de cabina y el control de tráfico.

En la historia más reciente, "Los medios utilizados para cargar FLS cambian con el tiempo. A principios de la década de 1990, se usaban disquetes de 3,5 pulgadas. Por ejemplo, el Boeing 777 original llevaba carpetas llenas de disquetes. La tecnología ha pasado a los discos compactos. (Cds), discos de video digital (DVD), dispositivos de almacenamiento masivo e incluso redes de área local (LAN)" .

Otra patente analiza en detalle la forma en que se puede cargar el software a través de LAN. La imagen de abajo es de la patente. Los principios son muy parecidos:

  • El software debe ser parte de una configuración de aeronave certificada
  • Las aeronaves de la flota se verifican a través de la red para ver si su configuración está desactualizada o es incorrecta
  • Las aeronaves se actualizan a una nueva configuración cuando y solo cuando el operador inicia la actualización
  • Se implementó una verificación de integridad confiable como un CRC para garantizar que la actualización a través de LAN se haya realizado correctamente

diagrama de flujo del proceso de actualización de software

¿Qué medidas de seguridad e integridad se toman?

Dato curioso: el software cargable en campo se considera una pieza y, por lo tanto, la gestión de configuración que se aplica a las piezas también se aplica a las actualizaciones de software. El software actualizado debe estar certificado para la configuración de la aeronave en la que se encuentra, debe tener un número de pieza que pueda verificarse y debe aparecer en la lista de materiales de la nueva aeronave. A veces, un dispositivo completo tendrá un nuevo número de pieza cuando se actualice su software o, a veces, el software tiene un número de pieza separado que se actualiza mientras que el hardware conserva su propio número de pieza. Cualquier modificación al software debe pasar por un análisis del impacto del cambio y una recertificación.

El software cargable en el campo debe estar certificado para el dispositivo y la aeronave en la que se carga y debe haber controles en el proceso de carga del software, el software en sí, el número de pieza del software. DO-178C especifica específicamente que:

  • debe haber protección contra la carga involuntaria (lo que también significa que, a diferencia de Windows, no lo obligará a actualizar en el peor momento posible)
  • debe haber detección de cargas fallidas, parciales o corruptas
  • debe poder determinar de manera confiable que el software cargado actualmente y todos sus archivos son correctos (por ejemplo, mediante el uso de un CRC)
  • si se utiliza un mecanismo de visualización para mostrar la carga del software, la visualización debe ser precisa y fiable

Las verificaciones de integridad deben tener un nivel de confiabilidad, similar a otras verificaciones de confiabilidad en aeronaves. Esto a menudo significa que la carga del software debe tener una probabilidad de 10^-9 de corromper el software o indicar incorrectamente que la carga del software es correcta. En su lugar, puede calificar la herramienta utilizada para cargar el software, pero esto es menos común que mostrar que las verificaciones de integridad son confiables.

Cadena de Confianza para Bases de Datos Aeronáuticas

Para las bases de datos aeronáuticas, los niveles de seguridad y la verificación de errores también se consideran seriamente. Cada participante en la creación y transmisión de bases de datos aeronáuticas debe tener un plan de cumplimiento, gestión de configuración, verificación de errores, un método para garantizar que no ocurran cambios no autorizados y gestión de calidad. Como se describe en AC 20-153 , la FAA proporcionará una Carta de aceptación (LOA) a cada participante en este proceso indicando su cumplimiento con regulaciones como DO-200A. Los datos aeronáuticos deben cumplir con varios estándares aplicables, como ARINC 424 y DO-291B, pero una discusión sobre ellos está fuera del alcance de la pregunta.

Para más información:

El Capítulo 5 de la Orden 8110.49 de la FAA aborda específicamente la aprobación del software cargable en el campo. El DO-200A de RTCA es el estándar para preparar y transmitir bases de datos aeronáuticas desde un proveedor de datos regulado al operador de la aeronave. Consulte también FAA AC 20-153 para certificar el cumplimiento y otorgar cartas de aceptación a DO-200A. Me he referido mucho a "Desarrollo de software crítico para la seguridad" de Leanna Rierson. Le sugiero que haga referencia a este u otro libro.

Descargo de responsabilidad: no soy un DER ni un ingeniero para el proceso de carga de datos, por lo que esta información es solo para referencia. Para trabajos técnicos, consulte los documentos fuente y un DER en lugar de confiar en esta información.

ingrese la descripción de la imagen aquí

Actualización de la navegación del A380 mediante unidades flash

Las unidades Rockwell Collins FMS que se encuentran en muchos aviones grandes se actualizan a través de una memoria USB. Puedes encontrar un buen video aquí sobre cómo se hace. La mayoría de los aviones GA utilizan tarjetas SD (u otros formatos de tarjetas similares) en estos días. Algunas personas optaron por usar aplicaciones como ForeFlight en su iPad, que se actualiza a través de Internet.

En cuanto a la "cadena de confianza", Rockwell Collins requiere una suscripción a las descargas de su base de datos FMS, sin embargo, se descargan directamente de Internet. Hay una lista de anexos y modificaciones que aparentemente tienen algunas aerolíneas. En realidad, el medio no es "seguro" como usted menciona, pero manipularlo sería una violación de algunas FAR (intentaré encontrarlo) ya que podría crear una situación peligrosa. Estoy seguro de que las aerolíneas y las tiendas de A&P son diligentes con estas actualizaciones de la misma manera que lo son con cualquier mantenimiento. No estoy seguro de si hay algún nivel de cifrado de software en los datos.

Para aplicaciones como ForeFlight y algunos de los mercados más dirigidos a GA (que no utilizan sistemas FMS completos), la FAA pone a disposición todas sus cartas en formato digital de forma gratuita . Supongo que aquí es donde lugares como ForeFlight obtienen sus datos y luego, como usuario, los descarga de los servidores de ForeFlight. Nuevamente, paga una suscripción a ForeFlight para garantizar que estas cosas estén en línea y actualizadas. Nuevamente, todo esto no es muy seguro (por así decirlo) y confía en ForeFlight para no alterar los mapas. Cuando se habla de actualizar los mapas en un avión GA, lo más probable es que sea su avión y usted sea responsable de garantizar su funcionamiento seguro . Garmin parece hacer que sus descargas estén disponibles directamente en su sitio .

Estoy confundido en cuanto a cómo esta respuesta es correcta. La pregunta se refiere específicamente a la aviónica (como EFIS, por ejemplo) y esta respuesta se trata de mapas para el FMS. No son realmente lo mismo y son estándares muy diferentes para el aseguramiento de la calidad. Realmente no creo que esto responda la pregunta como se indica.
FMS se usó como ejemplo, siendo una de las unidades digitales más antiguas que existen, también es un buen ejemplo de cómo las cosas han cambiado con el tiempo. Tomemos, por ejemplo, la plataforma de vuelo G1000, que se actualiza a través de tarjetas SD siguiendo un método similar al FMS.
Lo más probable es que no use cifrado, sino firmas digitales que evitarían la manipulación. Sin embargo, podría usar la ofuscación para dificultar el análisis (y el robo de propiedad intelectual).

En las aplicaciones de aviación general, la base de datos de navegación y las actualizaciones de software se descargan a través de Internet del fabricante de la aviónica y se almacenan en una tarjeta SD, que luego se inserta en una ranura para tarjeta SD en el bisel de la aviónica de la aeronave.

Las descargas están restringidas a suscriptores registrados.

Por lo tanto, la actualización se entrega esencialmente a través de Internet. Esto plantea una pregunta importante: ¿hay alguna firma criptográfica en ese paquete de software? y el equivalente del mecanismo de arranque seguro, que ahora es común en las PC nuevas.
@mins: No veo cuál es tu punto con el enlace. Ese enlace parece mostrar un error de implementación en alguna implementación de arranque seguro, que no tiene nada que ver con la idea del arranque seguro en sí.
@mins: La idea central de Secure Boot es evitar que los usuarios instalen o ejecuten un sistema operativo malicioso o manipulado sin saberlo . El arranque seguro no pretende evitar que el usuario/propietario del dispositivo instale o ejecute intencionalmente un sistema operativo no certificado.
@LieRyan: si desea discutir en el chat, este no es el lugar para hacerlo. Voy a publicar mi respuesta.
¿Cómo se entregan las actualizaciones de aviónica?
RespuestasAquíPolítica de privacidad1y, 0v