作者:Alex Wilson, Wind River和Steven H. VanderLeest, Rapita Systems

介绍

未来机载能力环境(FACE™)联盟每年举办一次技术交流会和展览会。今年的活动(原定于9月)由于COVID-19的原因被推迟到明年3月。在FACE活动之前，风河和Rapita系统正在为面部架构提供一些背景，专注于我们的“一站式购物”生态系统，适用于可移植性（UOP）和测试，集成和认证系统的工具，基于面部技术标准进行测试，集成和认证系统。以前的文章涵盖：

•操作系统部分如何适应FACE架构

•面部组件：可互换但不等于

美国国防部支持开放架构解决方案，作为快速和低成本地现场改进航空电子硬件的手段。这种解决方案的一个来源是未来机载能力环境(FACE™)联盟，该联盟发布了一个开放架构技术标准以及在航空电子系统中实现该标准的商业模型。FACE联盟发布的出版物是公开可用，免费下载。

在这个系列的第三个博客文章中，我们专注于分区。在安全性，安全扩展或安全配置文件下设计为面部标准的航空电子系统设计者和集成商必须包括其架构中的ARINC 653分区操作环境。系统集成商需要有关如何成功实现分区的指导，同时保持性能和实现飞行认证。

分区的好处

在商业航空航天世界中，返回集成模块化航空电子的第一天，已认识到分区系统可以根据混合关键性系统和未来系统的重新认证（适用于应用程序的更新和更改）提供益处。

ARINC 653标准是为了定义如何构建分区系统而开发的，分区系统支持在同一个计算平台上以不同的设计保证级别承载多个应用程序。例如，在过去，飞行管理系统应用程序和飞行导航应用程序可能托管在单独的Line可更换单元(LRU)计算硬件上，而现代处理器的速度足以托管这两个应用程序，前提是分区确保它们不干扰彼此的功能。分区通过标准API加强了模块化并提供了可移植性，同时也包含了错误，从而简化了集成和认证。

需要分区，但不能保证分区

在ARINC 653第1部分的补充5中，标准的范围明确定义：

ARINC 653用于分区环境。为了确保高度的可移植性，本文讨论并假定了分区环境的各个方面。但是，该规范没有定义分区的完整系统、硬件和软件需求，也没有提供关于正确实现分区(特别是健壮分区)的指导。不能认为遵循ARINC 653就保证了健壮的分区。

表面要求符合ARINC 653 Part 1标准。因此，符合FACE技术标准意味着提供了分区，但不能保证可靠的分区。除了简单地满足FACE和ARINC 653标准外，进一步的工作是必要的，以提供安全保证证据，为这样一个系统的飞行认证。

保证分区

因为ARINC 653定义了分区的接口和功能，但不是保证，这种缺乏对综合模块化航空电子系统的安全认证的指导导致了RTCA DO-297（EUROCAE ED-124）“综合模块化航空电子植物的开发和创造IMA）发展指导和认证考虑因素“为IMA系统的安全认证指导了指导。本文档介绍了角色和职责的概念，使您可以在需要的情况下分配资源，并有明确的指导方针，以确保遵守安全标准。

标准说明“IMA平台应该能够提供强大的分区和其他保护装置，允许多个应用程序共享平台及其资源。”此外，它介绍了强大的分区的概念，“将确保任何托管的应用程序或函数都没有对其他托管应用程序或功能没有意外的影响。”该标准包括强大的分区的完整部分（3.5），以及如何确保其符合IMA系统的要求。

时间分区允许unicore系统支持多个分区，每个分区托管一个独立的应用程序，如下图所示。每个主要时间段(例如，每50毫秒)都会重复一个固定的分区计划。在主时间框架内，每个分区被安排在一个从主时间框架开始的固定偏移量的次要时间框架内。时间分区，也称为时间切片或多路复用，确保一次只有一个分区在使用计算平台。

甚至在Inicore上证明了时间分区的正确性是具有挑战性的。尽管只有一个分区可以在仅具有单个核心的时间运行，但是仍然可以通过导致无约束的分区抖动，即每个分区调度时隙的时间的变化来直接地相互干扰。没有确定性界限的时间。每个次要时间帧的末尾由分区操作系统（OS）强制强制执行，通常使用基于中断的系统定时器，该系统定时器在次要时间帧的末尾调用OS，允许其执行分区交换机。在此分区交换机期间，OS保存完成其次要帧的分区的状态，然后确定应在下一个次要帧中运行哪个分区，设置新的计时器，然后开始执行新分区。如果分区足够强大，则每个分区独立运行，而不知道其他分区或其干扰。

单个核心上的分区也可以间接互相干扰。例如，一个分区可以使用除CPU之外的总线主控器开始操作，其活动扩展到分区的调度时隙的末尾，因此与另一个分区的活动重叠并可能争斗。例如，在下面的架构图中，在其次要时间框架期间在uniCore上运行时的每个分区可能访问主存储器。尽管其他分区可能在该内存的某些部分中具有数据，所以由于它们没有同时运行，但它们不会相互干扰。然而，如果分区1在主存储器中的位置之间开始DMA访问，则这具有继续运行遍布分区1的次要时间帧的末端的可能性，可能会干扰由分区2的存储器访问。这种干扰允许分区1对分区的性能影响，因此鲁棒分区已经丢失。因此，设计精心设计的分区操作系统将在其分配的未成时时间范围内缩小系统中的分区到系统中的共享资源。

总结

系统设计师和集成商需要帮助成功在维护性能和实现飞行认证时实现分区航空电子系统。确保这些系统的安全可能具有挑战性。风河和Rapita系统可以成为您的成功指南。Wind River为鲁棒ARINC 653分区和工件提供操作系统技术，以支持飞行认证。Rapita在自动验证工具套件中提供定时分析，可以提供您在项目的早期需要的洞察力以及您在项目结束时所需的认证伪影。

Wind River和Rapita系统可以帮助您使用我们的“一站式购物”生态系统来构建您的脸部系统，从Wind River OSS开始，包括基于面部技术标准测试/集成/认证系统的工具，例如Rapita系统验证套件和CAST-32A合规包。

确保在独角兽上进行分区很有挑战性，但在很大程度上这是一个已解决的问题。在多核系统上保证分区要困难得多。这是我们下一篇博客的主题，我们将讨论当前的指导和一些处理同时运行混合临界分区的内核的最佳实践。

关于作者

Alex Wilson是Wind River的航空航天和国防工业段主任，负责EMEA，APAC和日本的A＆D市场部门。作为Wind River航天和国防行业解决方案团队的一部分，亚历克斯负责商业战略，包括产品要求，销售增长战略和生态系统发展。

Steven H. VanderLeest, Rapita Systems多核解决方案首席工程师。他发表了有关航空电子设备安全和安全的主题IEEE航空航天和电子系统杂志， IEEE数字航空电子系统会议(DASC)和SAE航空技术。VanderLeest博士也是FACE EA-25适航委员会主席。

注意:本博客所表达的观点仅为作者个人观点，不代表FACE财团的官方立场。