1、编 号:CTSO-C205a 日 期:2019年 4 月 29日 局长授权 批 准:中国民用航空技术标准规定-1-本技术标准规定根据中国民用航空规章民用航空材料、零部件和机载设备技术标准规定(CCAR37)颁发。中国民用航空技术标准规定是对用于民用航空器上的某些航空材料、零部件和机载设备接受适航审查时,必须遵守的准则。用于导航的星基增强系统(SBAS)电路卡组件 Delta类功能设备 1.目的 本技术标准规定(CTSO)适用于为用于导航的星基增强系统(SBAS)电路卡组件(CCA)Delta类功能设备申请技术标准规定项目批准书(CTSOA)的制造人。本 CTSO 规定了用于导航的星基增强系统(
2、SBAS)电路卡组件(CCA)Delta类功能设备为获得批准和使用适用的 CTSO标记进行标识所必须满足的最低性能标准。CTSO-C205a可作为使用本 CTSO的 Delta-4 CCA的 Delta-4类传感器终端设备制造商申请 CTSO-C146e 时的部分审定凭证。CTSO-C205a仅适用于导航应用,不适用于非导航应用。2.适用范围 本 CTSO适用于自其生效之日起提交的申请。按本 CTSO批准的设备,其设计大改应按 CCAR-21-R4 第 21.353 条要求重新申请CTSOA。CAAC CTSO-C205a-2-3.要求 在本 CTSO生效之日或生效之后制造并欲使用本 CTSO
3、标记进行标识的用于导航的星基增强系统电路卡组件 Delta类功能设备应满足RTCA/DO-229E全球定位系统/星基增强系统的最低性能标准(2016.12.15)第 2.1.1节、第 2.1.5 节和第 2.3节的 Delta-4类最低性能标准和文件要求。Delta 类功能的定义在 RTCA/DO-229E 第 1.4 节和附录 1 新增的 1.8.3节。注:制造商可选择使用附录 2 的 RTCA/DO-229E变更。这种变更是基于过去批准的偏离。aCTSO-205a 的申请人可选择使用其现有批准的设计数据和附加的证明数据,证明符合 RTCA/DO-229E 中的更改。要求更改的三个方面是:1
4、)扩展 SBAS 伪随机噪声(PRN)代码(即,PRN 范围为 120 到 158);2)确保平稳降级至仅 GPS 运行;3)禁止使用广播导航信息修正表。b功能(1)本 CTSO 的标准适用于预期在最后进近段提供没有垂直制导(LP)的航向性能和有垂直制导(LPV)偏差提示的航向性能的设备。飞行员或自动驾驶仪将使用 LP/LPV制导提示来引导飞机。(2)CTSO-C205a 设备有一项限制,要求终端制造商有CTSO-C146e 的 Delta-4 类 CTSOA。为取得 CTSO-C146e 的 Delta-4类 CTSOA,终端设备制造商必须在终端设备中重复选定的性能试验,并按 RTCA/DO
5、-229E 进行环境鉴定试验。这些限制必须记录在安装/CAAC CTSO-C205a-3-说明手册中(见第 5.a)。c.失效状态类别(1)本 CTSO 第 3.b 节定义的功能失效会导致 LP 和 LPV 导航数据出现误导信息,属危险的失效状态。(2)本 CTSO 第 3.b 节定义的 LP 和 LPV 导航数据功能丧失属重大的失效状态。(3)设备的设计保证等级应至少与这种失效状态类别相对应。d.功能鉴定 应按 RTCA/DO-229E第 2.5 节中试验条件,证明设备性能满足要求。e.环境鉴定 无。Delta 类 CCA功能传感器有一项限制,要求终端设备制造商在终端设备级别上开展环境鉴定。
6、f.软件鉴定 如果设备包含软件,则软件应按照 RTCA/DO-178B机载系统和设备合格审定中的软件考虑(1992.12.1)或 RTCA/DO-178C机载系统和设备合格审定中的软件考虑(2011.12.13)的要求进行研制。软件的设计保证等级应与本 CTSO 第 3.c 节规定的失效状态类别一致。g.电子硬件鉴定 如果设备中包含复杂电子硬件,则应按照 RTCA/DO-254机载电子硬件设计保证指南(2000.4.19)的要求进行研制。硬件的设计CAAC CTSO-C205a-4-保证等级应与本 CTSO 第 3.c节规定的失效状态类别一致。对于确定为简单的机载电子硬件,可按 RTCA/DO
7、-254中第 1.6 节的要求处理。h.偏离 如果采用替代或等效的符合性方法来满足本 CTSO 规定的最低性能标准要求,则申请人必须表明设备保持了等效的安全水平。申请人应按照 CCAR-21-R4 第 21.368条(一)要求申请偏离。i.气压辅助故障检测与排除(FDE)如果设备使用气压辅助以提高 FDE 的可用性,则设备必须满足RTCA/DO-229E附录 G 中的要求。4.标记 a.至少应为一个主要部件设置永久清晰的标记,标记应包括CCAR-21-R4 第 21.423条(二)规定的所有信息。标记必须包含设备序列号。b.应为以下部件设置永久清晰的标记,标记至少包括制造人名称、组件件号和 C
8、TSO标准号:(1)所有容易拆卸(无需手持工具)的部件;(2)制造人确定的设备中可互换的所有组件。c.如果设备中包含软件和/或机载电子硬件,则件号必须能够表明软件和硬件的构型。件号编排时,在件号中可为硬件、软件和机载电子硬件各划分一个单独区域。d.可以使用电子标记标识软件和机载电子硬件,此标记可通过软件写入硬件部件内部,而不用将其标识在设备铭牌中。如果使用电CAAC CTSO-C205a-5-子标记,则其必须容易读取,无需使用特殊工具或设备。5.申请资料要求 申请人必须向负责该项目审查的人员提交相关技术资料以支持设计和生产批准。提交资料包括 CCAR-21-R4 第 21.353 条(一)1规
9、定的符合性声明和以下资料副本。a.手册。包含以下内容:(1)运行说明和设备限制,该内容应对设备运行能力进行充分描述。(2)对所有偏离的详细描述。(3)安装程序和限制。必须确保按照此安装程序安装设备后,设备仍符合本 CTSO的要求。限制必须确定任何特殊的安装要求,还必须以注释的方式包含以下声明:(i)“Delta CCA功能传感器仅限于导航应用。”(ii)“使用(插入设备型别)Delta CCA功能传感器用于导航终端应用的设备制造商须获得 CTSO-C145e 的 CTSOA。终端设备制造商应对安装了 Delta CCA 功能传感器的终端设备进行CTSO-C145e附录 1 所要求的试验,以获得
10、 CTSO-C145e的批准。”(iii)“终端设备制造商须完成终端设备级的全部环境鉴定。”(iv)“本设备满足 CTSO要求的最低性能和质量控制标准。本设备仅用于安装在其他航空电子设备上。”(4)对于所有软件和机载电子硬件构型,包括如下内容:CAAC CTSO-C205a-6-(i)软件件号,包括版本和设计保证等级;(ii)机载电子硬件件号,包括版本和设计保证等级;(iii)功能描述。(5)原理图、布线图,以及设备安装所必需的其它文件。(6)Delta CCA 功能传感器的可更换部件清单,如天线(注明件号)。如适用,包括对供应商件号的交叉索引。(i)如果设备仅在与特定天线一起使用时才能满足R
11、TCA/DO-229E的要求,则应将该天线(注明件号)作为一项安装要求。在安装手册(IM)将此要求作为一项限制。(ii)如果设备使用标准天线就能满足 RTCA/DO-229E的要求,包括输入天线端口的最大允许电流和电压。则参见 CTSO-C190有源机载全球导航卫星系统(GNSS)天线,这份标准适用于全部设备运行类别。b.持续适航文件,包含设备周期性维护、校准及修理要求,以保证 Delta CCA功能传感器的持续适航性。如适用,应包括建议的检查间隔和使用寿命。c.如果设备包含软件,则还应提供:软件合格审定计划(PSAC)、软件构型索引和软件完结综述。d.如果设备包含简单的或复杂电子硬件,还应提
12、供:硬件合格审定计划(PHAC)、硬件验证计划、顶层图纸和硬件完结综述(或相似文件,如适用)。e.铭牌图纸,规定设备如何标识本 CTSO 中第 4 节所要求的标CAAC CTSO-C205a-7-记信息。f.关于 Delta CCA 功能传感器和其他系统之间的接口的充分描述,以确保集成系统的功能正确。包括集成后可靠运行所需的环境特性信息,例如 Delta CCA功能传感器的最高和最低运行温度。如果设备依赖于任何输入(如气压辅助 FDE)来满足 RTCA/DO-229E 中要求,将这类输入作为设备安装中的一项要求。在 IM中将此项要求作为一项限制。g.如果软件鉴定将设备的合格性限制为特定的某些飞
13、机类型,则确定鉴定等级,以及该设备不对所有机型运用。例如,RTCA/DO-178B 的 C 级软件可能与某些飞机类型的危险失效状态有关。确定失效状态分类的其他限制,例如需要两个安装的装置。h.如果设备未被证明与卫星通信系统相兼容,在限制中说明设备不得安装在配备有卫星通信系统的飞机上。i.确定设备中所包含而未按照本 CTSO第 3节进行评估的功能或性能(即:非 CTSO 功能)。在获得 CTSOA 的同时非 CTSO 功能也一同被接受。接受这些非 CTSO功能,申请人必须声明这些功能,并在 CTSO申请时提供以下信息:(1)非 CTSO 功能的描述,如性能规范、失效状态类别、软件、硬件以及环境鉴
14、定类别。还应包括一份确认非 CTSO功能不会影响设备对本 CTSO 第 3 节要求符合性的声明。(2)安装程序和限制,能够确保非 CTSO 功能满足第 5.i.(1)节所声明的功能和性能规范。CAAC CTSO-C205a-8-(3)第 5.i.(1)节所描述非 CTSO功能的持续适航要求。(4)接口要求和相关安装试验程序,以确保对第 5.i.(1)节性能资料要求的符合性。(5)(如适用)试验大纲、试验分析和试验结果,以验证 CTSO设备的性能不会受到非 CTSO功能的影响。(6)(如适用)试验大纲、试验分析和试验结果,以验证第5.i.(1)节描述的非 CTSO功能的功能和性能。(7)也可以确
15、认本 CTSO 第 3 节未评估的非 CTSO 功能和性能,在提交 CTSO申请的同时提交非 CTSO功能的前期数据用以验收。j.按 CCAR-21-R4 第 21.358 条要求提供质量系统方面的说明资料,包括功能试验规范。质量系统应确保检测到可能会对 CTSO最低性能标准符合性有不利影响的任何更改,并相应地拒收该产品。k.材料和工艺规范清单。l.定义设备设计的图纸和工艺清单(包括修订版次)。m.制造人的 CTSO 鉴定报告,表明按本 CTSO 第 3.d 节完成的试验结果。6.制造人资料要求 除直接提交给局方的资料外,还应准备如下技术资料供局方评审:a.用来鉴定每件设备是否符合本 CTSO
16、要求的功能鉴定规范;b.设备校准程序;c.原理图;CAAC CTSO-C205a-9-d.布线图;e.材料和工艺规范;f.如果设备包含软件,提供 RTCA/DO-178B 或 RTCA/DO-178C中规定的相关文档,包括所有支持 RTCA/DO-178B或 RTCA/DO-178C附件 A“软件等级的过程目标和输出”中适用目标的资料;g.如果设备包含复杂电子硬件,应提供 RTCA/DO-254附录 A表A-1中定义的与设计保证等级和硬件生命周期相关的资料。对于简单电子硬件,应提供以下资料:测试用例或程序,测试结果,测试覆盖率分析,工具评估和鉴定资料,构型管理记录并包含问题报告。h.提供 RT
17、CA/DO-229E 第 2.1.4.1.5 节中定义的用于评估地球同步轨道(GEO)卫星所需的全部资料。i.如果设备包含非 CTSO 功能,必须提供第 6.a 节至第 6.g 节与非 CTSO 功能相关的资料。7.随设备提交给用户的资料要求 a.如欲向一个机构(例如运营人或修理站)提交一件或多件按本 CTSO制造的设备,则应随设备提供本 CTSO第 5.a节、第 5.b节、第 5.f 节和第 5.h 节的资料副本,以及设备正确安装、审定、使用和持续适航所必需的资料。b.如果设备包含已声明的非 CTSO 功能,则还应包括第 5.i.(1)节至第 5.i.(4)节所规定资料的副本。8.引用文件
18、aRTCA 文件可从以下地址订购:CAAC CTSO-C205a-10-Radio Technical Commission for Aeronautics,Inc.1150 18th Street NW,Suite 910,Washington D.C.20036 也可通过网站 www.rtca.org订购副本。CAAC CTSO-C205a-11-附录1 RTCA/DO-229E的补充 本附录为 RTCA/DO-229E 新增的 1.8.3 小节,网络安全和 GPS欺骗抑制。新的内容提供了网络安全和欺骗抑制的信息,使RTCA/DO-229E与新版 RTCA MOPS 和 RTCA/DO-2
19、53D保持一致。1.8.3 网络安全和欺骗抑制 本节包含了对 GPS 有意干扰的信息。欺骗是由射频波形引起的,这些波形在某些方面模仿真实信号,但在处理时会拒绝、降低、干扰或欺骗接收机的操作。欺骗可能是无意的,例如来自 GPS 中继器的信号的影响,或者可能是有意的,甚至是恶意的。有两类欺骗。测量欺骗引入了 RF 波形,这些波形导致目标接收机产生对到达时间、到达频率或其变化率的测量不正确。数据欺骗将错误的数字数据引入目标接收机,用于信号处理和 PNT 计算。任何类型的欺骗都会造成从PNT的错误输出到接收器故障的影响。这些影响一开始可以是瞬时的或延迟的,甚至在欺骗结束之后影响仍可以继续。使用不当或安
20、装的GNSS 重辐射器会造成欺骗。重辐射器回放,GNSS 仿真设备能够向GNSS 设备呈现误导性信息,可能造成持久影响。设备制造商应采取措施减轻错误数据的处理。使用 GNSS信号度量或数据检查的 GNSS 传感器数据与独立位置源和/或其他检测监视器的交叉检查,可以通过天线、接收机实现,或通过与其他系统的集成至飞机级实现。在接收机中应该实现数据有效性检查,来识别并拒绝测量欺骗和数据欺骗。与 GPS 设备有关的其他指导和最佳做法见美国国土安全部文件“改善关键基础设施使用的全球定位系统(GPS)CAAC CTSO-C205a-12-设备的运行和发展”1以及 IS-GPS-200修订版 H,IRN00
21、3(2016.7.28)。也可参考 RTCA/DO-326A、ED-202A、RTCA/DO-355 以及 ED204,来评估脆弱性并识别抑制方法。自 70 年代末个人计算机发展以来,机载设备信息漏洞(例如网络安全风险)一直存在于数字系统中,甚至更长的时间出现在 RF系统中,并且随着互联网的出现,这些风险大幅增加。通常,导航接收机的接入已经被控制,导航接收机仅在 RF 信号、OEM 或飞机操作员控制的维护和更新过程中才易受攻击。在某些情况下,飞机 GNSS接收机可以由批准的人员现场加载,需要地面接收机的物理访问和物理接口。然而,未来并非所有机载设备的安全性都依赖于这种物理隔离。互联网和 Wi-
22、Fi已经成为飞机/设备制造商用于更新已安装的机载电子软件、更新数据库或提供与飞行机组人员、客舱)例如,娱乐系统、天气等)通信的通行方法。大多数国家均会监督飞机的飞行安全系统(有时称为“授权服务”),并为飞机提供如 ILS、VOR、GNSS 和 DME等的信息。但是,通常不提供“不可信”连接的监督,如互联网、Wi-Fi 或制造商提供的允许将外部数据输入到飞机系统中的设备接口。设备的设计可能会暴露飞机信息漏洞,连接到公共接口也会出现漏洞。因此,制造商在设备设计中应考虑飞机信息安全风险缓解策略,特别是当设备具备飞机与飞机-外部系统之间的接口时。除了 MOPS 中包含的与航空器信息安全相关的具体性能要
23、求之外,建议制造商考虑航空器信息安全风险减轻的分层方法,包括技术CAAC CTSO-C205a-13-(例如,软件、信号滤波)和物理策略。从技术角度,例如,包括信号欺骗检测能力或者更严格的多因素身份验证技术,如密码、PIN和数字证书。从物理角度,尽管导航航电设备通常位于乘客无法进入的航空电子设备舱中,但是制造商仍应考虑连接器等特殊工具,以防止乘客篡改信息。最后,同样重要的是,制造商应该考虑供应链风险管理;例如,如果制造商外包软件代码开发,应考虑承包商及其员工是否经过适当审查。当申请人采用不可信的连接,可能会潜在地引入飞机信息安全漏洞时,民航局应对其监管。这要求申请人不仅要解决新安装设备的信息安
24、全漏洞和缓解技术,而且还要考虑漏洞如何传播到现有的下游系统。此外,飞机制造商应考虑为飞机操作人员建立适当的程序,以便在装机设备的整个生命周期内保持设备的安全防护。因此,建议制造商参考其设备装机的信息安全审查和缓解策略,以便申请人满足设备安装的规章要求。注 1:https:/ics-cert.us-cert.gov/sites/default/files/documents/Improving_the_Operation_and_Development_of_Global_Positioning_System_(GPS)_Equipment_Used_by_Critical_Infrastructure_S508C.pdf CAAC CTSO-C205a-14-附录2 选择性更改:RTCA/DO-229E常用的偏离请求 本附录描述了 RTCA/DO-229E 与过去常用偏离的变化。制造商可以选择执行 RTCA/DO-229E 中的指定部分的更改。执行RTCA/DO-229E的更改应减少对偏离请求的需求。2.3 Delta-4类的进近操作要求 在 2.3节最后一段之后添加以下注释:注:如果设备有适当的限制,并且 LP方法不能供飞行员选择,那么制造商提供的设备可以不具备 LP进近能力。
