操作系统如何适应FACE架构

新闻动态

操作系统如何适应FACE架构

- 风河公司Alex Wilson,Rapita系统公司Steven H. VanderLeest

概要

未来机载能力环境(FACE)联盟将于2020年9月举行其年度技术交流会议和展览。在这一活动之前,风河和Rapita Systems两家公司联合提供了关于FACE架构的一些背景信息,其重点是我们为便携单元(UoP,Units of Portability)提供的一站式生态系统以及基于FACE技术标准的系统测试、集成和认证工具。

美国国防部正在持续推动开放式架构解决方案的应用,以便让更好的航空电子硬件更加快速低成本地进入该领域。未来机载能力环境(FACE)联盟就是此类解决方案的提供者之一。该联盟成立于2010年,旨在开发一套开放架构的技术标准以及用于在系统中实施FACE标准的商业模型。该联盟由开放集团(Open Group)管理,成员来自政府、教育和工业领域。其会员单位必须在设立于美国,而个人会员则必须是美国公民,但是每年的FACE技术交流会议通常都包括一个向全世界开放的展览,FACE联盟发布的出版物也可以公开获得并免费下载。联盟目前有91个组织和1000多个会员。该联盟每年组织四次工作会议,称为FACE F2F。联盟的志愿者成员通过由指导委员会和咨询委员会监督的技术和业务工作组来开展具体工作。

FACE联盟最重要的产品之一就是技术标准的开发,目前的修订版为3.0。根据FACE网站的说法,FACE技术标准是开放式的航空电子标准,旨在使军事计算系统运作更加稳健、更具互操作性、更加便携以及更为安全。该标准使开发人员可以通过一个通用的操作环境来创建和部署门类广泛的应用系统,以便应用于整个军用航空系统。

本文是4篇系列博客文章中的第一篇,我们将概要描述FACE架构,旨在说明操作系统层(Operating System Segment, OSS)如何为其他层提供基础。后续的博客文章将更详细地探讨Wind River OSS以及支持用于认证与验证的Rapita Systems工具。

FACE架构层

FACE标准的概念旨在提供一种基于片段的参考架构,这些片段可以组合起来以满足最终系统的需求。各层内容的变化,包括应用代码的变化,使系统设计师可以灵活地设计和构建最终系统。FACE在这些层之间提供逻辑接口,以实现便携性和重用性。FACE的V3技术标准(TS)在图1中显示了各层之间的关系:


五层分别是:

  1. 操作系统层(OSS)——操作系统提供的基本服务,我们将在下面详细介绍。 其余四层建立在OSS之上,因此OSS在图中位于其他层的下方。
  2. I / O服务层(IOSS)——用来规范与I / O设备的接口
  3. 特定平台服务层(PSSS)——提供平台服务,例如数据服务、日志记录、运行状况管理和图形(与GPU的接口)
  4. 交通服务层(TSS)——提供通讯服务
  5. 便携组件层(PCS)——提供功能或业务逻辑

构建系统的关键是由FACE技术标准定义的这些层之间的接口。对于OSS,我们关注的是获得支持的应用程序接口(API),而它们适合于不同的Profile——Security、Safety和General Purpose。

  • Security Profile受到最多的限制并且是一个具有最小集合的API,服务于高度保障的应用
  • Safety Profile是Security Profile的扩展集,具有较多API,适用于需要安全认证的应用,这里还有2个其他Profile:“Base”和“Extended”。
  • General Purpose Profile具有最多数量的API,并且支持不一定需要RT或确定性响应的应用。

为了在不同的FACE组件供应商之间保持通用性,解决方案都将针对这些API集进行测试,并提供合格认证。例如,风河公司的VxWorks 653 Safety Base Profile符合FACE 2.1标准,Helix Virtualization Platform (Security & Safety Base Profile)符合FACE 3.0标准。

实际上,Wind River VxWorks 653是第一个通过FACE认证的产品。

FACE标准建立在现有标准之上,而非新创建的标准,因此OSS建立在POSIX和ARINC 653标准之上。

分区

FACE标准还要求支持分区,这具体取决于其配置。 此项技术已在多种类型的计算系统中使用。在这一领域,《迈向未来航空航天和国防系统(Enabling the migration to Future Aerospace & Defense Systems)》是一份很好的白皮书。分区支持模块化,包括对集成模块化航空电子(IMA)概念的支持。由不同应用的分区提供隔离属性对于实现FACE标准至关重要。为什么呢?首先,互操作性和无缝集成需要隔离性。只有这样,当我们在系统中添加新的独立功能时,才不会出现(源于非预见性交互的)意外。 其次,混合关键性系统的认证建立在分区隔离的基础之上。

General Purpose Profile采用空间分区,而Safety和Security Profile则既需要时间分区也需要空间分区。这些要求源于面向ARINC 653标准的Safety Profile,因为“当运行依赖于ARINC 653操作环境且基于Safety Profile的软件组件时必须使用时间分区这一标准。

随着功能强大的多核处理器上市,使用分区来隔离关键应用的动机正在加强。使用单核处理器时,在为解决商用飞机中空间、重量和功率(SWaP)问题而开发的集成模块化航空电子(IMA)架构中,使用时间和空间分区功能可以在各种严苛条件下运行应用软件。这对于满足时下对机仓内不断增长的功能需求是十分必要的,空客A380和波音787就是典型的实例。

然而,这基本上是在多个应用之间“共享”CPU资源。尽管这实现了IMA架构的目标,但也影响了分配给各个应用的计算能力。在最新的多核应用中,这种计算能力的影响可以通过在多个内核之间进行分摊。这种系统对于复杂系统的安全性认证来说是突破性的。

不提性能要求

FACE标准有意避免限定应用的性能或质量,而是着眼于具有确定性行为的标准接口。这种开放标准的方法具有显着的优势,并且提供了一个公平竞争的舞台。所有供应商都必须使用相同的API,然后必须在性能、质量、工具支持、适航证明的深度等方面展开竞争。例如,多家供应商可能会提供经认证符合FACE技术标准的FACE OSS,而每一家都提供与相同预期的API与系统中其他元素进行交互。 但是,时序特性(例如响应时间、分区窗口抖动等)在不同厂商生产的系统之间可能会有很大差异。一些供应商可能会提供一揽子飞行认证产品,而其他一些供应商则可能不会。同时,与OSS相关的工具生态系统优势在不同供应商之间可能会有很大差异。

作者简介

Alex Wilson是风河公司航空航天和国防市场总监,负责欧洲、中东、非洲、亚太地区和日本的A&D市场。作为风河航空航天与国防工业解决方案团队的成员,Alex Wilson负责业务战略,包括产品需求、销售增长战略和生态系统开发。

Steven H. VanderLeest是Rapita Systems公司多核解决方案首席工程师。他在IEEE数字航空电子系统会议以及SAE Aerotech上发表过有关航空电子安全性的内容。  VanderLeest博士还担任FACE EA-25适航性委员会的副主席。

注意:本博客中表达的观点仅是作者的个人观点,并不代表FACE联盟的正式立场。