安全系统发展的趋势为集成一体化设计,即在同一个硬件和软件平台上支持不同安全等级应用的集成,这种概念最早来源于航空航天领域,称为IMA(Integrated Modular Avionics),集成模块化航电系统,开始时应用于第四代喷气式战斗机的航电系统设计,自90年代初以来,它一直在F-22和F-35或达索阵风等战斗机中应用,后来,IMA被标准化,应用于商用客机领域(空客A380、波音787)。现在这种设计概念也将应用于汽车电子和轨道交通列车控制,比如汽车域控制器中不同应用的集成,列车网络控制系统中不同应用的集成。
汽车AUTOSAR不同应用集成
列车网络控制不同应用集成
本篇来谈谈航空航天IMA架构的基本技术特点,与传统的分布式系统有什么不同,这对在轨道交通和汽车工业领域应用类似的技术有哪些启示。
1.为什么会出现IMA概念
在航电系统,各种系统的功能不断增加,在A300客机上,
有提升性能的系统:
•Flight management systems
•Fuel management systems
有提升安全性的系统:
• Flight envelope protection
• Ground proximity warning
• Traffic collision avoidance
有提升可维护性的系统:
• Aircraft condition monitoring
有提升旅客舒适度的系统:
• Cabin environment control
每个系统都有独立的硬件,有电源、CPU、通信、IO,有相互之间连接的线束,有独立的软件,这种架构称之为federated architecture(联邦架构)。
联邦架构的硬件系统
联邦架构的航电系统最小可更换单元
受限于当时硬件处理能力的限制,采用这种架构有其必然性,技术成熟度非常高,但也有巨大的开发和维护成本。随着技术的进步,产生了集成一体化架构的IMA概念,它是共享的一组灵活、可复用和可互操作的硬件和软件资源,集成后形成一个提供服务的平台,被设计和验证满足一组安全性和性能要求,用于承载航空器功能的应用。集成化体现在不同的应用运行在同一计算机平台上,通过内部高速总线或共享内存通信;模块化体现在标准化的硬件模块、平台软件和应用API接口,通过配置的方式实现特定的应用要求。
IMA系统形态
IMA系统架构
2.IMA系统的基本技术特点:
2.1.共享硬件资源
以前的架构下,每一类航电系统由独立的供应商提供,而在IMA架构下,平台和应用将分别由不同的厂商提供,处理器、I/O、内存、通信、时钟、电源通常是IMA提供的关键资源:
-
处理器:资源是平台的计算核心,可以是定点处理器、浮点处理器或可编程门阵列,虽然应用不直接调用处理器资源,但处理器的技术特点决定了IMA平台的主要性能,如CPU类型和吞吐量、时钟频率、计时器类型、指令集、芯片电源、内存存取时间、内存配置等;
-
内存:应用的各类数据存储于IMA系统的内存中,常见的平台内存资源有ROM、RAM、EEROM、PROM等,平台根据已有的内存资源为应用提供内存分区;
-
I/O:各类硬件的外设接口被统一设计为I/O设备,可以作为内存映射、中断或轮询访问;
-
通信:通信用于不同应用之间、应用与其它外部系统之间数据交互,平台为应用规定通信设备的类型、容量、边界条件、时延和速率,通信方式如点对点、组播、广播;
-
时钟:平台提供定时器中断和时钟监控功能,用于有实时性要求的应用使用和应用定时监控。
2.2 时间分区
应用被映射到一个或多个分区里,通过分区管理(属性定义、分区控制和分区调度)来实现系统功能。每个应用程序严格按照确定性的调度时序进行,超出给定时间的应用程序将被挂起。应用与平台之间采用配置表的方式,用来指定分区的特征、它们的相互作用、以及实时性和资源要求。
确定性调度时序
2.3 空间分区
不同分区之间通过消息通信,分区可以创建逻辑端口,IMA系统在连接端口的配置记录中,指定通信通道,信息由分区内的进程写入和从端口读取。
分区之间的信息交互有不同的架构来实现:
-
通过通信数据总线提供分区间的通信,
-
核心RTOS可以通过在内存位置之间复制数据来提供受保护的消息传输机制。
通过允许端口上的单个或多个连接,消息可以在两个分区之间进行点对点通信,也可以向几个分区广播。
健壮分区
2.4 健康管理
在IMA架构中,共享CPU、内存、调度器、I/O、通信等资源,管理整个系统和系统内各个应用的健康状态非常复杂。IMA系统需要实现自我健康监测,能够对非正常的状态进行容错处理。健康监测方法和故障诊断措施会传递给应用开发方,这样应用开发方能够确定平台为应用的潜在故障模式做出何种反应。例如,当一个应用出现故障后,可能需要关闭,再重新启动,重新初始化;或者直接被关闭,以一种降级模式去应对故障。
小结
IMA航电系统架构在航空航天已有成功应用,这种类似的集成模块化架构如在汽车电子和轨道交通领域应用,可以有一些借鉴:
第一,技术方面上,共享资源,时间分区,空间分区和健康管理,在以往的安全系统中,不同安全等级的应用集成于同一系统内,按照最高安全等级的软件和硬件要求进行开发,除非提供不同应用之间符合独立性的相关证据。但独立性怎么做到,IMA架构中共享资源、时间和空间分区技术可以提供一些思路;
第二,在项目的管理方式上,传统分布式系统的开发方通常为两级,子系统供应方和系统集成方,子系统供应方提供ECU电子单元,主机厂负责不同ECU之间的系统集成工作,管理ECU之间的接口一致性协调。由于集成化平台的引入,系统开发的相关角色层级链条变长,至少有以下角色:
-
RTOS操作系统供应方;
-
平台开发方;
-
应用开发方;
-
系统集成方。
在整个系统的开发周期中,各方如何能把相互交互接口的技术要求规定明确,逐级有序地开展系统的集成工作,也是可以借鉴的。
第三,安全认证的模式发生了变化,从逐级集成的阶段划分:
-
RTOS操作系统层认证;
-
平台认证;
-
单一应用程序与平台集成认证;
-
多个应用程序与平台集成认证;
-
系统投入使用后的增量认证。
第四,相比于航天航天领域高安全性、可靠性的要求,民用领域有着更频繁的需求迭代和更低的生命周期成本要求,技术、管理和认证方面如何调整进行适应也是需要考虑的。
这些话题有进一步的调研后再进行分享。
参考资料:
-
A380 Integrated Modular Avionics
-
Integrated modular avionics - 维基百科
-
DOT/FAA/AR-07/39 Real-Time Operating Systems and Component Integration Considerations in Integrated Modular Avionics Systems Report
原文始发于微信公众号(薄说安全):集成模块化航电系统IMA架构
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论