作者 |蔡喁上海控安可信軟件創(chuàng)新研究院副院長(zhǎng)

版塊 |鑒源論壇 · 觀擎

社群 |添加微信號(hào)“TICPShanghai”加入“上?？匕?1fusa安全社區(qū)”

在淺談操作系統(tǒng)的適航符合性（上）中，詳細(xì)介紹了民用飛機(jī)操作系統(tǒng)的研制現(xiàn)狀及其適航要求，重點(diǎn)分析了當(dāng)前滿足適航要求的嵌入式操作系統(tǒng)研發(fā)的主要難點(diǎn)。本篇將展開討論降低民機(jī)機(jī)載操作系統(tǒng)適航風(fēng)險(xiǎn)的具體方法。

04

機(jī)載嵌入式操作系統(tǒng)的適航路徑

由于上面的這些問題，在民用飛機(jī)機(jī)載軟件中使用的嵌入式操作系統(tǒng)，既要考慮高效的表明適航符合性，也需要能夠?qū)崿F(xiàn)對(duì)底層硬件的有效封裝，方便應(yīng)用軟件的開發(fā)，真正發(fā)揮使用操作系統(tǒng)的便捷。通常，民機(jī)機(jī)載操作系統(tǒng)往往采用以下幾個(gè)方法降低適航風(fēng)險(xiǎn)。

4.1 嚴(yán)格控制接口數(shù)量和類型

民機(jī)機(jī)載操作系統(tǒng)作為民用飛機(jī)功能的提供者，與民用飛機(jī)整體設(shè)計(jì)理念一脈相承，其首要思路就是功能嚴(yán)格按照需求和依據(jù)應(yīng)用場(chǎng)景要求開發(fā)。民用飛機(jī)上每一克重量每一處設(shè)計(jì)都突出堅(jiān)決不包含無用功能的概念。機(jī)載軟件以及其操作系統(tǒng)，往往也會(huì)嚴(yán)格控制無用的功能和組件。這不僅僅是減少重量和功耗成本，也是為了減少不必要的安全影響，降低適航取證以及維護(hù)等成本的必然選擇。某國(guó)外民機(jī)機(jī)載操作系統(tǒng)廠商曾如此向筆者描述其提供的API范圍，其所在的公司為了提供完美的機(jī)載嵌入式操作系統(tǒng)，他們精簡(jiǎn)了原先高安全性操作系統(tǒng)（非民機(jī)版本）中約95%的函數(shù)以及相應(yīng)的代碼?？梢姡熬?jiǎn)”是民機(jī)機(jī)載操作系統(tǒng)廠商的普遍選擇。

4.2 針對(duì)性適配硬件對(duì)象

近些年來，操作系統(tǒng)規(guī)模越來越大，除了固化大量常用的操作以外，對(duì)各種不同類型的硬件提供適配也是原因之一。為了快速方便的適配，勢(shì)必需要準(zhǔn)備或者囊括各種不同類型的底層庫，包括硬件抽象、底層接口庫等。根據(jù)民機(jī)適航符合性的原則，所有裝機(jī)代碼都是機(jī)載軟件審查對(duì)象。操作系統(tǒng)提供方或者機(jī)載功能的開發(fā)單位勢(shì)必需要按照DO-178B/C標(biāo)準(zhǔn)表明這些庫的符合性。不論這些庫是否作為操作系統(tǒng)一部分提供，往往都會(huì)帶來安全分析的壓力以及適航取證的成本。因此，國(guó)外典型的民機(jī)機(jī)載嵌入式操作系統(tǒng)往往嚴(yán)格限定所適配的硬件對(duì)象，減少不必要的投入以及鑒定系統(tǒng)交付文件的復(fù)雜性。也有部分民機(jī)操作系統(tǒng)將硬件適配活動(dòng)交由應(yīng)用開發(fā)單位自己完成，這也無形中增加了操作系統(tǒng)使用的難度和成本。

4.3 完整的生命周期過程和數(shù)據(jù)

實(shí)現(xiàn)機(jī)載操作系統(tǒng)的順利取證，研制單位必須完整地掌握其中所有的軟件組件的詳細(xì)設(shè)計(jì)數(shù)據(jù)。具有從需求、設(shè)計(jì)到代碼乃至編譯方法在內(nèi)的全套技術(shù)細(xì)節(jié)。能夠?qū)ζ溟_展?jié)M足適航要求的系統(tǒng)設(shè)計(jì)和完整驗(yàn)證工作。往往對(duì)于其中采用的第三方或歷史系統(tǒng)組件，需要有能力完成逆向工程并以此為起點(diǎn)完善相應(yīng)的生命周期過程和數(shù)據(jù)。

4.4 提供典型場(chǎng)景示例以及適航鑒定數(shù)據(jù)包

作為面向民機(jī)功能開發(fā)的底層模塊，操作系統(tǒng)研制單位必須能理解應(yīng)用單位的使用場(chǎng)景，并且提供盡可能多的符合性證據(jù)支持，幫助應(yīng)用開發(fā)單位降低后續(xù)開發(fā)和取證成本。為此，除了通常的操作系統(tǒng)手冊(cè)文件外，一般還需為后續(xù)應(yīng)用單位取證活動(dòng)準(zhǔn)備相應(yīng)的鑒定數(shù)據(jù)包。數(shù)據(jù)包除包含需求、設(shè)計(jì)、代碼等生命周期數(shù)據(jù)以備適航評(píng)審以外，通常還包括針對(duì)典型應(yīng)用場(chǎng)景的性能分析數(shù)據(jù)等。

05

飛蜻操作系統(tǒng)

華東師范大學(xué)軟件工程學(xué)院與上海控安共同開發(fā)的飛蜻（FlyLite）操作系統(tǒng)，取輕快飛行之意，目標(biāo)是盡量減少國(guó)內(nèi)企業(yè)適航軟件的開發(fā)成本和周期。是國(guó)內(nèi)首個(gè)貫徹上述思路，面向民用飛機(jī)低成本研發(fā)而打造的輕量級(jí)操作系統(tǒng)。該系統(tǒng)按照RTCA DO-178C A級(jí)軟件要求開發(fā)。

圖1 飛蜻FlyLite操作系統(tǒng)

研制團(tuán)隊(duì)完整地定義了操作系統(tǒng)的接口和服務(wù)需求，實(shí)現(xiàn)了詳細(xì)設(shè)計(jì)和代碼開發(fā)。通過基于需求的測(cè)試完成了對(duì)需求和結(jié)構(gòu)的覆蓋。為確保操作系統(tǒng)本身廣泛的適用性以及后續(xù)對(duì)不同類型機(jī)載軟件的快速適配，同時(shí)保證應(yīng)用軟件的可移植性，操作系統(tǒng)接口按照POSIX標(biāo)準(zhǔn)開發(fā)，對(duì)標(biāo)準(zhǔn)中某些細(xì)節(jié)進(jìn)行了完善。通過自研的測(cè)試覆蓋分析工具，以及在開源平臺(tái)上搭建的需求和過程管理工具，項(xiàng)目團(tuán)隊(duì)實(shí)現(xiàn)了低成本的軟件生命周期環(huán)境構(gòu)架，確保研制過程具有完整的生命周期過程數(shù)據(jù)記錄。

圖2 飛蜻目標(biāo)架構(gòu)

為避免過多硬件適配可能帶來的問題，飛蜻操作系統(tǒng)針對(duì)STM32L496以及某國(guó)產(chǎn)處理器為硬件對(duì)象，實(shí)現(xiàn)了接口層以下全面的適航符合性證據(jù)數(shù)據(jù)包的規(guī)劃。為了確保數(shù)據(jù)的完整性，項(xiàng)目團(tuán)隊(duì)重新篩選并開發(fā)了Libc和Libm庫，避免了底層軟件中的不透明問題。最大程度地減少了取證風(fēng)險(xiǎn)。此外，針對(duì)應(yīng)用單位可能在后續(xù)集成和驗(yàn)證過程中可能的軟件分析工作，飛蜻操作系統(tǒng)還在其研發(fā)過程中引入了形式化性能分析以及調(diào)度特性建模仿真技術(shù)，方便應(yīng)用單位在后期引入針對(duì)關(guān)鍵性能指標(biāo)的模型仿真。

圖3 調(diào)度特性建模仿真

作為一種低成本輕量級(jí)操作系統(tǒng)，飛蜻主要應(yīng)用場(chǎng)景包括輕量級(jí)適航應(yīng)用軟件開發(fā)。此類軟件功能相對(duì)簡(jiǎn)單，經(jīng)常無需包含分區(qū)等復(fù)雜操作，然而對(duì)研制周期和研發(fā)成本較為敏感。飛蜻操作系統(tǒng)能夠通過定義的用戶開發(fā)限定場(chǎng)景指導(dǎo)和幫助研制單位減少底層適配和舉證的時(shí)間和人力成本，快速搭建滿足適航要求的機(jī)載應(yīng)用。

圖4 輕量級(jí)適航應(yīng)用開發(fā)

此外，針對(duì)部分包括無人機(jī)以及eVOTL等非傳統(tǒng)民機(jī)應(yīng)用，通過飛蜻操作系統(tǒng)滿足A級(jí)軟件要求且應(yīng)用開發(fā)快速的優(yōu)勢(shì)，可方便快速地搭建高等級(jí)應(yīng)用的備份/冗余通道，配合相關(guān)的安全性設(shè)計(jì)和架構(gòu)設(shè)計(jì)，降低原先主控通道的研制級(jí)別，最終實(shí)現(xiàn)快速交付和取證。

圖5 快速構(gòu)建高級(jí)別冗余通道

后續(xù)，項(xiàng)目團(tuán)隊(duì)將重點(diǎn)針對(duì)簡(jiǎn)單非分區(qū)機(jī)載高安全應(yīng)用、復(fù)雜機(jī)載應(yīng)用的備份通道等應(yīng)用場(chǎng)景開展操作系統(tǒng)的適配，進(jìn)一步服務(wù)國(guó)產(chǎn)民機(jī)設(shè)備產(chǎn)業(yè)，讓國(guó)產(chǎn)機(jī)載系統(tǒng)輕快地飛行。

審核編輯 黃宇