由Alex Wilson，Wind River和Steven H.Vanderleest，Rapita

介绍

未来机载能力环境(FACE™)联盟将于2021年3月举办其年度技术交流会议和展览。在这次活动之前，风河系统公司和Rapita系统提供了FACE架构的一些背景，重点是我们的可移植性单元(UoP)“一站式购物”生态系统，以及基于FACE技术标准测试、集成和认证系统的工具。第一篇文章涵盖了"操作系统部分如何适应FACE架构这是本系列的第二篇博客。

美国国防部继续推动使用开放式架构解决方案，作为将更好的航空电子硬件更快地进入领域的手段，以较低的成本。这种解决方案的一个来源是未来的空中能力环境（Face™）联盟，它发布了开放式架构技术标准以及用于在航空电子系统中实施标准的商业模式。面部联盟发布的出版物也是公开可用，免费下载。

在该系列的第二个博客中，我们专注于开放式架构中模块化的好处，并讨论不同供应商区分产品的功能，专注于面部架构的操作系统段（OSS）组件。关于OSS，风河系统公司在保持模块化的同时提供竞争优势。这个优势的一部分是一个丰富的工具生态系统来验证系统的性能，并提供适航性的保证证据。因为OSS是架构的基础，所以它的生态系统与操作系统紧密结合是很重要的。例如，多核航空电子系统的飞行认证需要保证多核干扰通道已经被减轻。Rapita Systems CAST-32A合规包通过验证和验证系统的工具和工件提供了这种保证。

面部模块化导致互换性

FACE标准的模块化概念提供了一个基于可集成的分段的参考体系结构，以满足最终的系统需求。每个部分(包括应用程序代码)内容的变化允许系统架构师在设计和构建兼容模块之外的最终系统时具有灵活性。FACE标准定义了这些段之间的逻辑接口，以实现模块化。这促进了软件组件的重用，并支持跨军事系统的通用功能。通过使用已定义的API标准(如我们之前的博客所述)，这允许组件在不同厂商开发的兼容系统之间轻松移动。

为了确保段可以以模块化方式使用，因此对适用的面部标准测试部件至关重要。通过检查组件符合面部技术标准作为“一致性单位”或“UOC”，通过验证一致性。（术语“可移植性单位”有时使用而不是“一致性单位”，以突出这些组件的便携式方面。）这是通过运行面对面一体化测试套件，通过面对验证授权通过评论实现一致性的认证和脸部认证权限，并使用面部库管理员注册脸部注册表的结果

针对不同面部轮廓测试的一致性（UOC）一致性一致性证书的示例如下所示：

如果系统架构师开始设计系统并需要使用具有特定配置文件的操作系统，那么它们可以查看脸部注册表并选择已认证的UOC中的一个。面部技术标准有多种修订，因此还针对注册表中的每个产品指定了版本号。所示的证书适用于“通用配置文件”和“安全底座轮廓”的UOC，既针对“技术标准3.0”

系统架构师通常会选择几个将集成到最终软件系统中的UoCs。这里需要注意的是，多个UoC可以在同一个处理器地址空间中共存，因此考虑这些UoC的集成和协调是至关重要的。对于集成时的性能和干扰挑战尤其如此。FACE一致性测试只针对OSS配置文件和单个分段检查UoC，因此不会检查所有软件行为或性能。同样值得注意的是，如果您有多个UoC，那么您将需要UoC到UoC通信，这需要使用FACE传输服务接口。uoc间通信如下面的FACE技术标准3.0图所示。

互换性的好处

脸部方法与开放系统架构（OSA）的概念保持良好。OSA方法允许多个业务驱动程序：

•更好的购买力

•更多可负担性

•更快地部署时间

•快速的能力注射

•软件重用

面部联盟的一个有趣方面是早期决定不仅制定技术标准，而且是为面临的价值主题和商业案例提供指导的商业标准。这是目前在版本2.0中，可用FACE文件网站。

在面部标准中经过uoc认证，提供了系统集成商有选择的信心 - 他们可以将特定的uoc从任何供应商中删除到他们的系统中，它应该使用其他组件“开箱即用”这实现了几个业务驱动程序，重复使用组件，快速能力注入，以及随着UOC的发展成本而更具负担性，在几个方案中遍布。额外的好处是，由于在标准中的UOC之间的定义层，系统集成成本也应该更低。

供应商之间的竞争产生了，以提供他们的增值和能力专业知识，同时仍然符合FACE标准。这反过来又使政府采购代理在寻找替代或补充解决方案时拥有更好的购买力。

同时，这意味着政府不再局限于一个供应商，并打破了对供应商的锁定，选择最佳解决方案，而不是被迫使用同一家供应商。

对于生产产品的供应商，这还提供了跨项目的标准化的好处，降低了可能影响多个程序的开发成本风险和调度单。重用组件意味着更好的投资回报，并允许供应商专注于他们的核心优势和创新。

但是，拥有符合该标准的功能组件并不能提供您需要的全部内容。每个都有不同的性能、质量、认证工件和工具。每个都有不同的业务模型和生命周期支持解决方案。在作出最终选择时，必须考虑这些因素。

互换性是最小的

在日常社会中，可互换部件的好处是清晰的。公制扳手全部适用于公制插座。街头法律汽车全部适合公共道路。这种标准化的好处是扳手和汽车的清晰。软件的好处也很清楚。但是，可互换的部件设定了最小期望。所有扳手都应该适合袖口，所有汽车都应该适合道路。然而，所有的扳手都随着强度和耐用性而变化，所有汽车都以最高速度和燃油效率而异。因此，标准化软件的互换性是最低的。认证符合面部技术标准的OSS仅显示“适合道路”。 Specifically, the Application Programming Interface (API) specified by the standard confirms that the software components that make up the system will fit together and communicate with each other correctly. This compatibility in itself, however, does not indicate anything about the quality of the component, such as its speed or efficiency.

因此，通过符合面板技术标准等标准的互换性是进入面部市场的票，但这是最低限度。符合这个特定面部UOC起始标准的供应商在级别的播放领域竞争。例如，寻求面部OSS的客户可能会根据以下内容作出决定：

•性能：不同供应商生产的组件在性能指标中会有所不同，例如端到端延迟，响应时间，确定主义，可靠性等。

•认证：面对技术标准的一致性可以提供可能对展示适航性的一些测试和伪影，但这只是一个开始。供应商提供支持飞行认证的软件将有所不同。在此说明中，Face EA-25小组委员会目前正上白纸工作，以提供更详细的建议，脸部活动和文物可能有助于飞行认证证据。

•生态系统:与每个供应商相关的工具将大不相同。特别是对于OSS来说，一个丰富的工具生态系统对于系统的成功开发和集成至关重要。FACE技术标准提供的标准化有时意味着工具可以跨任何供应商提供，但情况并非总是如此，因为工具也可能需要“底层”连接。示例工具包括集成开发环境(IDE)、调试工具、测试工具(包括单元、系统、基于需求的工具)、结构覆盖分析工具、时间分析工具、需求跟踪工具等等。

Wind River，与Rapita Systems等生态系统合作伙伴一起可以帮助您建立一个面部系统，您需要的性能和决定措施以及您需要成本有效地实现飞行授权的保证伪影。

确保分区

面部标准需要分区

FACE标准在其安全和安全配置文件中要求支持时间和空间划分。分区是一种在许多类型的计算系统中使用的隔离技术。该技术支持模块化，例如通过集成模块化航空电子设备(IMA)。由不同应用程序的分区提供的分离属性对于实现FACE标准的承诺至关重要。

随着强大的多核处理器的出现，驱动器要使用分区以单独分离关键应用程序正在加速。利用单核处理器，使用时间和空间分区在开发的集成模块化航空电子设备（IMA）架构中实现了在不同界面的宿主应用的能力，以克服商业飞机中的空间，重量和电源（交换）的问题。这是为了满足当时的常见机架中的越来越多的能力的越来越多的要求，例如空中客车A380和波音787。然而，在Inicore系统上，CPU资源在多个应用程序中共享（时间切片），虽然这实现了IMA架构的目标，但它也会影响分配给应用程序的性能。使用最新的多核应用程序，可以通过多个核心分配来减轻这种性能影响。与此同时，使用多核的使用引入了确保适航性的新挑战。

FACE标准不保证分区

尽管FACE技术标准要求在其定义的几个概要文件中进行分区，但该标准只需要一个到分区操作环境的接口(ARINC 653)。它不需要确保环境正确实现了隔离机制，而隔离机制提供了分区的主要好处。这是有意义的，因为FACE技术标准旨在促进互换性和模块化。它不是飞行认证的替代品，而只是一个起点。FACE EA-25适航小组委员会目前正在撰写一份白皮书，以“确保符合FACE标准的软件、相关工件以及生产过程……在可能的情况下为适航提供证据，明确引用通用要求、处理和指导。”

系统集成商应该明智地从设计的早期阶段就考虑证明适航性的重大障碍，特别是对于整体架构的核心功能，如分区。当正确实现时，分区可以简化集成和认证，因为可以一次只考虑一个分区。然而，这种方法需要证明分区本身具有非常高的严格级别。严格隔离分区不是可以在最后附加的东西:它必须作为一个基本的设计功能从一开始就纳入。美国和欧洲民用飞行软件认证采用RTCA DO-178C/ED-12C标准。DO-297和ARINC 653标准提供了分区环境的指导，以隔离独立的软件功能。军用适航机构也使用类似的方法来评估软件。

对于使用多核处理器的计算平台来说，确保分区隔离的挑战甚至更大。在单核处理器上，一次只能运行一个分区，这提供了某种自然的隔离。在多核处理器上，分区可以在不同的核上同时运行，从而在功能之间产生多个可能的干扰通道。多核干扰会降低分区之间的隔离，因此必须减轻这种干扰。这是一项相对较新的技术。美国联邦航空管理局(FAA)目前在一份名为CAST-32A的意见书中提供了确保多核系统的指导。美国联邦航空管理局(FAA)和欧盟航空安全局(EASA)将在明年的某个时候发布进一步的指导意见。

包起来

FACE技术标准的一致性体现了兼容性和互换性，为竞争产品的公平竞争奠定了基础。聪明的OSS买家将要求这样的一致性，但随后将仔细评估一致性产品的特性，如性能、分区的健壮性和飞行认证工件的质量。

这可能会让我们产生以下问题。在由FACE UoCs组成的系统中，确保分区的步骤是什么?什么是最佳实践，可以导致一个成本效益的方法，并成功认证的飞行?这是本系列下一篇博客的主题。请继续关注!

Wind River和Rapita Systems可以帮助您构建您的FACE系统，使用我们的“一站式购物”生态系统，从Wind River OSS开始，包括基于FACE技术标准的测试/集成/认证系统的工具，如Rapita系统验证套件和CAST-32A合规包。请关注更多关于这个话题的博客，为下一次FACE TIM做准备。

---

关于作者

Alex Wilson是风河航空航天和国防市场部门的主管，他负责欧洲、中东和非洲、亚太地区和日本的A&D市场。作为风河航空航天和国防工业解决方案团队的一部分，Alex负责业务战略，包括产品需求，销售增长战略和生态系统的发展。

Steven H.Vanderleest是Rapita Systems的多核解决方案的主要工程师。他发表了与IEEE数字航空电子系统会议以及SAE Aerotech相关的Aviocics安全和安全有关的主题。Vanderleest博士也是EA-25适航委员会的副主席。

注:本博客所表达的观点仅为作者个人观点，并不代表FACE联盟的官方立场。