ПРЕСС-ЦЕНТР

LynxOS-178 – сертифицированная ОСРВ для интегрированной модульной авионики

МКА 5/2006

С. В. Золотарёв

В статье рассматриваются ключевые особенности операционной системы реального времени (ОСРВ) LynxOS-178 фирмы LynuxWorks как коммерческой (COTS) ОСРВ для перспективной авионики, построенной на основе открытых стандартов (POSIX, DO-178B, ARINC-653, Linux ABI) и удовлетворяющей современным требованиям FAA (Federal Aviation Administration) по обеспечению возможности её многократного использования без повторной сертификации. Приводятся аргументы в пользу выбора LynxOS-178 в качестве наиболее мощного решения для перспективной авионики по сравнению с другими ОСРВ (VxWorks AE-653, Integrity-178B).

Операционные системы и интегрированная модульная авионика

До недавнего времени архитектура системы управления типичной авиационной системы представляла собой набор «чёрных ящиков», каждый из которых был самостоятельным аппаратно-программным комплексом и состоял из собственного вычислительного модуля, операционной системы и функциональных задач. Такая архитектура по своей сути была очень устойчивой к отказам, однако имела ряд недостатков, как например, высокая стоимость, значительное энергопотребление, большой вес изделий, необходимость охлаждения модулей и огромное кабельное хозяйство. При введении новых функций требовалось добавление «чёрных ящиков». Учитывая эти недостатки, авиационная промышленность разрабатывает новый подход, получивший название Интегрированная Модульная Авионика (ИМА) [1]. В настоящее время в рамках RTCA Special Committee 200 (SC-200) и EUROCAE Working Group 60 (WG-60) готовится проект стандарта по формализации концепции ИМА «Integrated Modular Avionics (IMA) Development Guidelines and Certification Considerations». В ИМА предполагается использовать модульные системы с распределением ресурсов. Их центральная часть состоит из небольшого числа авиационных компьютеров, которые выполняют все функции управления, контроля и обработки информации. Термин «интегрированная» понимается как разделение ресурсов – источников питания, процессора, памяти, коммуникационных шин, источников ввода-вывода – между несколькими блоками. Цель такого подхода – устранить недостатки, присущие традиционным авиационным системам.

Ключевую роль в успешной реализации концепции ИМА, вне всякого сомнения, играет программное обеспечение (ПО), в том числе и ОСРВ. Поэтому требования к ОСРВ для авионики постоянно возрастают [2]. Сформулируем основные из них.

  1. ОСРВ должна соответствовать различным отраслевым, национальным и международным стандартам – таким как:
    • POSIX Portable Operating System interface for unIX»), который определяет переносимый интерфейс операционных систем на уровне исходных текстов (http://www.pasc.org);
    • DO-178 («Software Consideration in Airborne Systems and Equipment Certification»), который разработан ассоциацией RTCA (Radio Technical Commission for Aeronautics, http://www.rtca.org) и предписывает общие требования к созданию и сертификации ПО для авионики;
    • ARINC 653 («Avionics Application Software Standard Interface»), которыйсоздан компанией ARINC (Aeronautical Radio, Inc.) в 1997 году и описывает концепцию изолированных разделов на основе универсального программного интерфейса APEX (Application/Executive) между операционной системой авиационного компьютера и прикладным ПО (https://www.arinc.com/cf/store/documentlist.cfm).
  2. ОСРВ должна удовлетворять требованиям «жёсткого» реального времени(детерминизм и предсказуемость при различных нагрузках на систему), необходимым в авионике, то есть «классическим» требованиям к ОСРВ [3].
  3. СРВ должна обеспечивать высокую степень живучести системы, чтобы в случае отказа какой-либо части программного обеспечения другая продолжала нормально функционировать. ОСРВ обязана гарантировать отсутствие общего отказа системы.
  4. ОСРВ должна удовлетворять жёстким требованиям по качеству программного обеспечения: ПО должно иметь доказанное качество на основе всесторонней сертификации всех этапов жизненного цикла.
  5. Требования по надёжности: вероятность сбоя в ПО должна быть очень маленькой.
  6. Требования по безопасности (safety) и секретности (security) данных: в системе должны быть предусмотрены средства защиты и разграничения доступа к наиболее важной информации.
  7. ОСРВ должна обеспечивать возможность многократного использования ПО без повторной сертификации.

LynxOS-178 полностью удовлетворяет требованиям к программному обеспечению для ИМА

Операционная система реального времени LynxOS-178 фирмы LynuxWorks (http://www.lynuxworks.com) является лидером на рынке ОСРВ для авионики. Основу LynxOS-178 составляет LynxOS [4] первая ОСРВ, сертифицированная по наивысшему уровню на согласованность (conformance) стандарту POSIX на платформе Intel и PowerPC по POSIX 1003.1-1996.

Информацию об этом можно найти на официальном сайте IEEE: http://standards.ieee.org/regauth/posix/posix2.html.

LynxOS-178 сертифицирована в составе различных авиационных изделий по наивысшему уровню A стандарта DO-178B. С этой точки зрения важным аспектом бизнес-политики компании LynuxWorks является возможность приобретения системным интегратором ИСХОДНЫХ ТЕКСТОВ операционной системы LynxOS-178. Причём, эта возможность штатная, то есть присутствует в основном прайс-листе LynuxWorks. Примеры сертифицированных по DO-178B авиационных изделий, в которых используется LynxOS-178, будут приведены ниже.

Ключевое свойство LynxOS-178 – это поддержка нескольких полностью изолированных по времени, памяти и ресурсам разделов в соответствии с требованиями ARINC-653 (рис. 1). Это особенно важно при реализации концепции ИМА. Операционная система LynxOS-178 (версия 2.0) поддерживает:

  • до 16 разделов (виртуальных машин), включая корневой раздел;
  • до 64 процессов в каждом разделе;
  • до 51 потока (нити) внутри каждого процесса;
  • диспетчеризацию реального времени потоков внутри раздела;
  • POSIX-функции межпроцессного взаимодействия внутри раздела.

Архитектура LynxOS-178
Рис.1. Архитектура LynxOS-178

Каждый раздел полностью изолирован, поэтому распространение сбоев между ними исключено. Это разделение относится к процессорному времени, адресному пространству и ресурсам.

С помощью LynxOS-178 фиксированные разделы обслуживаются как Виртуальные Машины LynxOS. Каждый прикладной процесс оперирует внутри его собственной среды операционной системы, как если бы он работал на своём отдельном процессоре. Это применимо ко всем ресурсам процессора и именованным пространствам. Такая абстракция защищает разработчика прикладной системы от дополнительных усилий при программировании сложных устройств. Управление разделами контролируется с помощью Таблицы Конфигурации Виртуальных Машин (Virtual-Machine Configuration Table – VCT) и является обязательным в среде LynxOS-178, позволяя разработчику приложений сконцентрироваться на своей основной задаче, а не на разделении системы.

Кроме того, LynxOS-178 поддерживает разделение систем, совместимых с RTCA DO-255. Это даёт возможность выполнять ПО с различными уровнями безопасности по DO-178B в различных разделах (виртуальных машинах). То есть, ОС может выполнять приложение с уровнем A (по DO-178B) на одной виртуальной машине и приложение с уровнем C – на другой, причём оба приложения работают на одном и том же процессоре в рамках одной и той же системы.

LynxOS-178 – лидер среди ОСРВ для авионики

В настоящее время в мире существует всего несколько ОСРВ, сертифицированных в составе авиационных изделий по стандарту DO-178B. Наиболее известны среди них (кроме LynxOS-178) ОСРВ Integrity-178B компании Green Hills и VxWorks AE-653 компании WindRiver. Однако даже среди этих ОСРВ LynxOS-178 – безусловный лидер. Начнём с того, что объём сертифицированного кода LynxOS-178 в 4 раза превосходит аналогичный показатель для других ОСРВ. Сравнение функциональных возможностей конкурирующих ОСРВ дано в Таблице, которая была составлена специалистами компании LynuxWorks. Большинство позиций не требует комментариев. Остановимся лишь на двух свойствах:

  • Поддержка сетевого стека IPv4 в среде DO-178B. Операционная система LynxOS-178 имеет сертифицированный по DO-178B стек TCP/IP. В то же время, пакет сертификации WindRiver не позволяет приложениям иметь сетевые возможности, и сетевая поддержка для VxWorks AE-653 может быть обеспечена только с помощью ПО третьих фирм.
  • Поддержка файловой системы. Операционная система LynxOS-178 поддерживает в полном объёме POSIX-файловую систему в соответствии со стандартом IEEE 1003.1-1996. Она имеет возможность монтировать её в любом разделе и использовать стандартные функции для управления на основе стандарта POSIX, то есть в LynxOS-178 полностью реализованы такие задачи, как open, close, read, write и так далее. В то же время, пакет сертификации WindRiver не предлагает ничего для работы с файловой системой.

В некоторых позициях для Integrity-178B стоит знак вопроса. Он используется в тех случаях, когда нет достоверной информации о фактическом состоянии дела.

Таблица. Сравнительная таблица функциональных возможностей ОСРВ для ИМА

Свойство

Достоинство

LynxOS-178

Integrity-178B

VxWorks AE 653

VxWorks/Cert

Простая защита памяти


Да

Да

Да

Нет

Поддержка нескольких приложений внутри одного адресного пространства

Несколько приложений в одном контейнере

Да

Нет

Нет

Нет

Поддержка модели процессов (а не нитей)


Да

Нет

Нет

Нет

Поддержка файловой системы


Да

?

Нет

Нет

Защита памяти внутри одного приложения


Да

?

Нет

Нет

Согласованность с профилем POSIX PSE 53


Да

Нет

Нет

Нет

Бюджеты памяти и времени процессора на каждое адресное пространство


Да

Да

Да

Нет данных

Бюджет времени процессора на задачу


Да

Да

Да

Да

Временной домен


Да

Да

Да

Опционально

DENIAL OF SERVICE PROTECTION


Да

Да

Да

Нет данных

Технология виртуализации (поддержка гостевых ОС)

Улучшенная переносимость

Да

?

Нет

Нет

Средства структурного анализа покрытия кода по DO-178B


Да

Да

Да

Да

Двоичная (ABI) совместимость с Linux

Поддержка Linux-приложений

Да

Нет

Нет

Нет

Пакет сертификации для уровня A DO-178B


Да

Да

Нет

Да

Эксплуатационные испытания


Да

Да

Да

Да

Специально назначенный представитель FAA для компании


Да

Да

Нет

Нет

Протокол Priority Ceiling


Да

?

Нет

Нет

Разрешено FAA для сертифицированного авиационного приложения


Да

Да

Нет

Нет

Поддержка сетевого стека IPv4 в среде DO-178B

Возможность иметь сетевые приложения в среде DO-178B

Да

?

Нет

Нет

Поддержка и PPC и x86


Да

Нет

Нет

Нет

Полное соответствие ARINC 653-1


Да

?

Да

Нет

Холодный и горячий рестарт раздела


Да

Нет

Да

Нет

Полный сертификат AC 20-148 RSC

Уменьшенная стоимость и время вывода на рынок

Да

Нет

Нет

Нет

LynxOS-178: первое внедрение нового подхода FAA к проблеме сертификации ПО для перспективной авионики

В декабре 2004 года FAA опубликовала документ под названием «Advisory Circular AC 20-148. Reusable Software Components» («Рекомендательный циркуляр AC 20-148»), в котором изложен новый подход к проблеме сертификации программного обеспечения для авионики (http://www.faa.gov/regulations_policies/). Основная его особенность заключается в том, что вводится новое понятие – «программное обеспечение многократного использования» (RSC – Reusable Software Components). Такое ПО должно пройти процедуру сертификации по значительно более высоким критериям. Но с другой стороны, получение от FAA RSC-сертификата в последующем разрешает пользователям больше не сертифицировать RSC-компоненты. Применительно к операционной системе такими потенциальными RSC-составляющими могут быть ядро ОСРВ, библиотеки, сетевые протоколы. Кроме того, если раньше сертификация программного обеспечения допускалась только в структуре конкретного авиационного изделия (аппаратных средств), то методология АС 20-148 позволяет сертифицировать программное обеспечение вне аппаратной платформы. Такой подход даёт системным интеграторам значительное сокращение времени и стоимости разработки новых авиационных систем.

Заметим ещё, что широкое применение концепции RSC – один из базовых методов в архитектуре ИМА, и формализация RSC будет входить составной частью в разрабатываемый в рамках RTCA стандарт «Integrated Modular Avionics (IMA) Development Guidelines and Certification Considerations». В этом контексте наличие сертификата RSC у LynxOS-178 является важнейшим конкурентным преимуществом по сравнению с другими ОСРВ, особенно применительно к ИМА.

LynxOS-178 как программное обеспечение многократного использования

В марте 2006 ОСРВ LynxOS-178 была сертифицирована в соответствии с методологией документа AC 20-148, то есть получила от FAA так называемый RSC Acceptance Letter (сертификат, подтверждающий возможность многократного использования без повторной сертификации). На сегодняшний день LynxOS-178 – это единственная операционная система, имеющая сертификат RSC. Компания LynuxWorks вложила серьёзные интеллектуальные, финансовые и кадровые ресурсы и потратила около 200 человеко-лет на получение этого документа. Суммарно для каждой строки кода LynxOS-178 было разработано 5–10 строк тестов. Для каждых 2 строк кода была получена подпись на утверждающем документе, и для каждых 5–10 строк было сформулировано одно требование (requirement).

Рассмотрим более детально LynxOS-178 как RSC-компонент. Из всего объёма исходного кода LynxOS-178 было сертифицировано 65,5%, а именно:

  • ядро (Time/Space Partitioning, Resource (I/O, shared resources), Task, Interrupt, Device и File Management);
  • системные сервисы (POSIX-функции, диспетчеризация, очереди сообщений, pipes, сокеты, семафоры, часы и таймеры, разделяемая память);
  • уровень процессорной абстракции PowerPC (CSP), включая 74xx, 750, 4xx и 970.

Всё это покрывает 49 из 66 требований уровня A стандарта DO-178B. По оценке компании LynuxWorks, наличие у LynxOS-178 документа соответствия RSC позволит потенциальным пользователям сэкономить на сертификации интегрированного решения 3–9 месяцев и 150 человеко-лет.

Сертифицированный по стандарту DO-178 стек TCP/IP

Компания LynuxWorks разработала и сертифицировала на соответствие уровню A стандарта DO-178B стек TCP/IP – LCS (Lynx Certifiable Stack). Основные особенности LCS:

  • выполняется на выделенном коммуникационном процессоре Motorola 8260 и может взаимодействовать с другими системами;
  • является расширением стандартного стека TCP/IP, обеспечивающим детерминизм и повышенную надёжность;
  • обеспечивает полную реализацию IPv4;
  • верифицирован по 100-процентному покрытию кода по критерию MCDC;
  • поддерживает статически переконфигурированные IP-адреса и порты, что повышает надёжность и безопасность системы в целом;
  • имеет прикладной интерфейс с LynxOS-178. Взаимодействие выделенной виртуальной машины LCS с виртуальными машинами LynxOS-178 (хостами) осуществляется по PCI-шине, как это показано на рис. 2.

Архитектура сертифицированного стека TCP/IP в LynxOS-178
Рис. 2. Архитектура сертифицированного стека TCP/IP в LynxOS-178

Примеры систем на основе ОСРВ LynxOS-178, сертифицированных по стандарту DO-178B

Операционная система LynxOS-178 в структуре множества изделий была сертифицирована на различных уровнях по стандарту DO-178B.

По уровню A стандарта DO-178B LynxOS-178 сертифицирована в составе самолёта Bombardier Challenger 300 фирмы Rockwell Collins в июне 2003 года (рис. 3).

Архитектура сертифицированного стека TCP/IP в LynxOS-178
Рис. 3. Кабина управления самолёта Bombardier Challenger 300 фирмы Rockwell Collins

Другой пример – самолёт KC-135 (рис. 4). Основная задача KC-135 Stratotanker – дозаправка в воздухе стратегических бомбардировщиков дальнего действия. Операционная система LynxOS-178 действует на основных вычислительных и коммуникационных модулях. Кроме того, LynxOS-178 работает и на самолёте-танкере KC-767.

Самолёт KC-135 Stratotanker
Рис. 4. Самолёт KC-135 Stratotanker

Более полный перечень применения решений LynuxWorks в военной и аэрокосмической отрасли можно найти на сайте: http://www.lynuxworks.com/solutions/milaero/milaero.php3.

Новые проекты применения LynxOS-178

Операционная система LynxOS-178 будет работать в беспилотных летательных аппаратах (БПЛА) США (рис. 5). Специалисты корпорации Rockwell Collins, получившие контракт Директората по авиационным технологиям армии США на программу MCAP III (Manned/Unmanned Common Architecture Program Phase III), посчитали LynxOS-178 наиболее подходящим продуктом для использования в области перспективной авионики.

ОСРВ LynxOS-178 будет работать в беспилотных летательных аппаратах (БПЛА) США
Рис. 5. ОСРВ LynxOS-178 будет работать в беспилотных летательных аппаратах (БПЛА) США

Эта ОСРВ выбрана для использования в бортовой подсистеме панорамной визуализации данных (Panoramic Cockpit Display, PCD) истребителя F35 Joint Strike Fighter (JSF) компании Lockheed Martin (рис. 6). Подсистема PCD предназначена для отображения информации от всех основных систем истребителя, включая параметры полёта и показания датчиков, данные систем связи и навигации, а также системы идентификации, которые в совокупности обеспечивают полную картину оперативной обстановки. Разработкой и внедрением PCD в самолёте F-35 занимается компания L-3 Display Systems, объяснившая свой выбор LynxOS-178 рядом факторов. В первую очередь её соответствием открытым стандартам и стандартам POSIX, совместимостью с операционной системой Linux и поддержкой спецификации ARINC-653.

Бортовая подсистема панорамной визуализации данных (Panoramic Cockpit Display, PCD) истребителя F35 Joint Strike Fighter (JSF) компании Lockheed Martin создана на базе LynxOS-178
Рис. 6. Бортовая подсистема панорамной визуализации данных (Panoramic Cockpit Display, PCD) истребителя F35 Joint Strike Fighter (JSF) компании Lockheed Martin создана на базе LynxOS-178

Заключение

Нет сомнений в том, что правильный выбор базовой ОСРВ для интегрированной модульной авионики –важнейший фактор успешной реализации этой новой концепции. Есть все основания утверждать, что по своим функциональным характеристикам, объёму интеллектуальных, финансовых и кадровых ресурсов, вложенных в разработку, внедрение и опытную эксплуатацию авиационных систем, в силу сложившейся репутации на рынке гражданской и военной авиации, ОСРВ LynxOS-178 является операционной системой номер 1 среди коммерческих ОСРВ для перспективной авионики.

Литература

  1. Commercial Off-The-Self Real-Time Operating System and Architectural Consideration. Final Report, U.S. Federal Aviation Administration, DOT/FAA/AR-03/77, February 2004.
  2. Philip Melanson, Siamak Tafazoli. A Selection Methodology for the RTOS Market, Canadian Space Agency, 2003.
  3. Калядин А. Ю., Золотарев С. В. LynxOS – ОСРВ в стандарте POSIX, PC Week/RE, 31, 2004.
  4. Золотарёв С.В., Калядин А.Ю. LynxOS – POSIX-сертифицированная операционная система реального времени, Мир компьютерной автоматизации, 4, 2004, с. 83.