作者 |蔡喁上?？匕部尚跑浖?chuàng)新研究院副院長

版塊 |鑒源論壇 · 觀擎

社群 |添加微信號“TICPShanghai”加入“上海控安51fusa安全社區(qū)”

在淺談操作系統(tǒng)的適航符合性（上）中，詳細(xì)介紹了民用飛機操作系統(tǒng)的研制現(xiàn)狀及其適航要求，重點分析了當(dāng)前滿足適航要求的嵌入式操作系統(tǒng)研發(fā)的主要難點。本篇將展開討論降低民機機載操作系統(tǒng)適航風(fēng)險的具體方法。

04

機載嵌入式操作系統(tǒng)的適航路徑

由于上面的這些問題，在民用飛機機載軟件中使用的嵌入式操作系統(tǒng)，既要考慮高效的表明適航符合性，也需要能夠?qū)崿F(xiàn)對底層硬件的有效封裝，方便應(yīng)用軟件的開發(fā)，真正發(fā)揮使用操作系統(tǒng)的便捷。通常，民機機載操作系統(tǒng)往往采用以下幾個方法降低適航風(fēng)險。

4.1 嚴(yán)格控制接口數(shù)量和類型

民機機載操作系統(tǒng)作為民用飛機功能的提供者，與民用飛機整體設(shè)計理念一脈相承，其首要思路就是功能嚴(yán)格按照需求和依據(jù)應(yīng)用場景要求開發(fā)。民用飛機上每一克重量每一處設(shè)計都突出堅決不包含無用功能的概念。機載軟件以及其操作系統(tǒng)，往往也會嚴(yán)格控制無用的功能和組件。這不僅僅是減少重量和功耗成本，也是為了減少不必要的安全影響，降低適航取證以及維護(hù)等成本的必然選擇。某國外民機機載操作系統(tǒng)廠商曾如此向筆者描述其提供的API范圍，其所在的公司為了提供完美的機載嵌入式操作系統(tǒng)，他們精簡了原先高安全性操作系統(tǒng)（非民機版本）中約95%的函數(shù)以及相應(yīng)的代碼?？梢?，“精簡”是民機機載操作系統(tǒng)廠商的普遍選擇。

4.2 針對性適配硬件對象

近些年來，操作系統(tǒng)規(guī)模越來越大，除了固化大量常用的操作以外，對各種不同類型的硬件提供適配也是原因之一。為了快速方便的適配，勢必需要準(zhǔn)備或者囊括各種不同類型的底層庫，包括硬件抽象、底層接口庫等。根據(jù)民機適航符合性的原則，所有裝機代碼都是機載軟件審查對象。操作系統(tǒng)提供方或者機載功能的開發(fā)單位勢必需要按照DO-178B/C標(biāo)準(zhǔn)表明這些庫的符合性。不論這些庫是否作為操作系統(tǒng)一部分提供，往往都會帶來安全分析的壓力以及適航取證的成本。因此，國外典型的民機機載嵌入式操作系統(tǒng)往往嚴(yán)格限定所適配的硬件對象，減少不必要的投入以及鑒定系統(tǒng)交付文件的復(fù)雜性。也有部分民機操作系統(tǒng)將硬件適配活動交由應(yīng)用開發(fā)單位自己完成，這也無形中增加了操作系統(tǒng)使用的難度和成本。

4.3 完整的生命周期過程和數(shù)據(jù)

實現(xiàn)機載操作系統(tǒng)的順利取證，研制單位必須完整地掌握其中所有的軟件組件的詳細(xì)設(shè)計數(shù)據(jù)。具有從需求、設(shè)計到代碼乃至編譯方法在內(nèi)的全套技術(shù)細(xì)節(jié)。能夠?qū)ζ溟_展?jié)M足適航要求的系統(tǒng)設(shè)計和完整驗證工作。往往對于其中采用的第三方或歷史系統(tǒng)組件，需要有能力完成逆向工程并以此為起點完善相應(yīng)的生命周期過程和數(shù)據(jù)。

4.4 提供典型場景示例以及適航鑒定數(shù)據(jù)包

作為面向民機功能開發(fā)的底層模塊，操作系統(tǒng)研制單位必須能理解應(yīng)用單位的使用場景，并且提供盡可能多的符合性證據(jù)支持，幫助應(yīng)用開發(fā)單位降低后續(xù)開發(fā)和取證成本。為此，除了通常的操作系統(tǒng)手冊文件外，一般還需為后續(xù)應(yīng)用單位取證活動準(zhǔn)備相應(yīng)的鑒定數(shù)據(jù)包。數(shù)據(jù)包除包含需求、設(shè)計、代碼等生命周期數(shù)據(jù)以備適航評審以外，通常還包括針對典型應(yīng)用場景的性能分析數(shù)據(jù)等。

05

飛蜻操作系統(tǒng)

華東師范大學(xué)軟件工程學(xué)院與上海控安共同開發(fā)的飛蜻（FlyLite）操作系統(tǒng)，取輕快飛行之意，目標(biāo)是盡量減少國內(nèi)企業(yè)適航軟件的開發(fā)成本和周期。是國內(nèi)首個貫徹上述思路，面向民用飛機低成本研發(fā)而打造的輕量級操作系統(tǒng)。該系統(tǒng)按照RTCA DO-178C A級軟件要求開發(fā)。

圖1 飛蜻FlyLite操作系統(tǒng)

研制團(tuán)隊完整地定義了操作系統(tǒng)的接口和服務(wù)需求，實現(xiàn)了詳細(xì)設(shè)計和代碼開發(fā)。通過基于需求的測試完成了對需求和結(jié)構(gòu)的覆蓋。為確保操作系統(tǒng)本身廣泛的適用性以及后續(xù)對不同類型機載軟件的快速適配，同時保證應(yīng)用軟件的可移植性，操作系統(tǒng)接口按照POSIX標(biāo)準(zhǔn)開發(fā)，對標(biāo)準(zhǔn)中某些細(xì)節(jié)進(jìn)行了完善。通過自研的測試覆蓋分析工具，以及在開源平臺上搭建的需求和過程管理工具，項目團(tuán)隊實現(xiàn)了低成本的軟件生命周期環(huán)境構(gòu)架，確保研制過程具有完整的生命周期過程數(shù)據(jù)記錄。

圖2 飛蜻目標(biāo)架構(gòu)

為避免過多硬件適配可能帶來的問題，飛蜻操作系統(tǒng)針對STM32L496以及某國產(chǎn)處理器為硬件對象，實現(xiàn)了接口層以下全面的適航符合性證據(jù)數(shù)據(jù)包的規(guī)劃。為了確保數(shù)據(jù)的完整性，項目團(tuán)隊重新篩選并開發(fā)了Libc和Libm庫，避免了底層軟件中的不透明問題。最大程度地減少了取證風(fēng)險。此外，針對應(yīng)用單位可能在后續(xù)集成和驗證過程中可能的軟件分析工作，飛蜻操作系統(tǒng)還在其研發(fā)過程中引入了形式化性能分析以及調(diào)度特性建模仿真技術(shù)，方便應(yīng)用單位在后期引入針對關(guān)鍵性能指標(biāo)的模型仿真。

圖3 調(diào)度特性建模仿真

作為一種低成本輕量級操作系統(tǒng)，飛蜻主要應(yīng)用場景包括輕量級適航應(yīng)用軟件開發(fā)。此類軟件功能相對簡單，經(jīng)常無需包含分區(qū)等復(fù)雜操作，然而對研制周期和研發(fā)成本較為敏感。飛蜻操作系統(tǒng)能夠通過定義的用戶開發(fā)限定場景指導(dǎo)和幫助研制單位減少底層適配和舉證的時間和人力成本，快速搭建滿足適航要求的機載應(yīng)用。

圖4 輕量級適航應(yīng)用開發(fā)

此外，針對部分包括無人機以及eVOTL等非傳統(tǒng)民機應(yīng)用，通過飛蜻操作系統(tǒng)滿足A級軟件要求且應(yīng)用開發(fā)快速的優(yōu)勢，可方便快速地搭建高等級應(yīng)用的備份/冗余通道，配合相關(guān)的安全性設(shè)計和架構(gòu)設(shè)計，降低原先主控通道的研制級別，最終實現(xiàn)快速交付和取證。

圖5 快速構(gòu)建高級別冗余通道

后續(xù)，項目團(tuán)隊將重點針對簡單非分區(qū)機載高安全應(yīng)用、復(fù)雜機載應(yīng)用的備份通道等應(yīng)用場景開展操作系統(tǒng)的適配，進(jìn)一步服務(wù)國產(chǎn)民機設(shè)備產(chǎn)業(yè)，讓國產(chǎn)機載系統(tǒng)輕快地飛行。

審核編輯 黃宇