集成模块化航电系统IMA架构

安全系统发展的趋势为集成一体化设计，即在同一个硬件和软件平台上支持不同安全等级应用的集成，这种概念最早来源于航空航天领域，称为IMA（Integrated Modular Avionics），集成模块化航电系统，开始时应用于第四代喷气式战斗机的航电系统设计，自90年代初以来，它一直在F-22和F-35或达索阵风等战斗机中应用，后来，IMA被标准化，应用于商用客机领域（空客A380、波音787）。现在这种设计概念也将应用于汽车电子和轨道交通列车控制，比如汽车域控制器中不同应用的集成，列车网络控制系统中不同应用的集成。

汽车AUTOSAR不同应用集成

列车网络控制不同应用集成

本篇来谈谈航空航天IMA架构的基本技术特点，与传统的分布式系统有什么不同，这对在轨道交通和汽车工业领域应用类似的技术有哪些启示。

1.为什么会出现IMA概念

在航电系统，各种系统的功能不断增加，在A300客机上，

有提升性能的系统：

•Flight management systems

•Fuel management systems

有提升安全性的系统：

• Flight envelope protection

• Ground proximity warning

• Traffic collision avoidance

有提升可维护性的系统：

• Aircraft condition monitoring

有提升旅客舒适度的系统：

• Cabin environment control

每个系统都有独立的硬件，有电源、CPU、通信、IO，有相互之间连接的线束，有独立的软件，这种架构称之为federated architecture（联邦架构）。

联邦架构的硬件系统

联邦架构的航电系统最小可更换单元

受限于当时硬件处理能力的限制，采用这种架构有其必然性，技术成熟度非常高，但也有巨大的开发和维护成本。随着技术的进步，产生了集成一体化架构的IMA概念，它是共享的一组灵活、可复用和可互操作的硬件和软件资源，集成后形成一个提供服务的平台，被设计和验证满足一组安全性和性能要求，用于承载航空器功能的应用。集成化体现在不同的应用运行在同一计算机平台上，通过内部高速总线或共享内存通信；模块化体现在标准化的硬件模块、平台软件和应用API接口，通过配置的方式实现特定的应用要求。

IMA系统形态

IMA系统架构

2.IMA系统的基本技术特点：

2.1.共享硬件资源

以前的架构下，每一类航电系统由独立的供应商提供，而在IMA架构下，平台和应用将分别由不同的厂商提供，处理器、I/O、内存、通信、时钟、电源通常是IMA提供的关键资源：

• 处理器：资源是平台的计算核心，可以是定点处理器、浮点处理器或可编程门阵列，虽然应用不直接调用处理器资源，但处理器的技术特点决定了IMA平台的主要性能，如CPU类型和吞吐量、时钟频率、计时器类型、指令集、芯片电源、内存存取时间、内存配置等；

• 内存：应用的各类数据存储于IMA系统的内存中，常见的平台内存资源有ROM、RAM、EEROM、PROM等，平台根据已有的内存资源为应用提供内存分区；

• I/O：各类硬件的外设接口被统一设计为I/O设备，可以作为内存映射、中断或轮询访问；

• 通信：通信用于不同应用之间、应用与其它外部系统之间数据交互，平台为应用规定通信设备的类型、容量、边界条件、时延和速率，通信方式如点对点、组播、广播；

• 时钟：平台提供定时器中断和时钟监控功能，用于有实时性要求的应用使用和应用定时监控。

2.2 时间分区

应用被映射到一个或多个分区里，通过分区管理（属性定义、分区控制和分区调度）来实现系统功能。每个应用程序严格按照确定性的调度时序进行，超出给定时间的应用程序将被挂起。应用与平台之间采用配置表的方式，用来指定分区的特征、它们的相互作用、以及实时性和资源要求。

确定性调度时序

2.3 空间分区

不同分区之间通过消息通信，分区可以创建逻辑端口，IMA系统在连接端口的配置记录中，指定通信通道，信息由分区内的进程写入和从端口读取。

分区之间的信息交互有不同的架构来实现：

• 通过通信数据总线提供分区间的通信，

• 核心RTOS可以通过在内存位置之间复制数据来提供受保护的消息传输机制。

通过允许端口上的单个或多个连接，消息可以在两个分区之间进行点对点通信，也可以向几个分区广播。

健壮分区

2.4 健康管理

在IMA架构中，共享CPU、内存、调度器、I/O、通信等资源，管理整个系统和系统内各个应用的健康状态非常复杂。IMA系统需要实现自我健康监测，能够对非正常的状态进行容错处理。健康监测方法和故障诊断措施会传递给应用开发方，这样应用开发方能够确定平台为应用的潜在故障模式做出何种反应。例如，当一个应用出现故障后，可能需要关闭，再重新启动，重新初始化；或者直接被关闭，以一种降级模式去应对故障。

小结

IMA航电系统架构在航空航天已有成功应用，这种类似的集成模块化架构如在汽车电子和轨道交通领域应用，可以有一些借鉴：

第一，技术方面上，共享资源，时间分区，空间分区和健康管理，在以往的安全系统中，不同安全等级的应用集成于同一系统内，按照最高安全等级的软件和硬件要求进行开发，除非提供不同应用之间符合独立性的相关证据。但独立性怎么做到，IMA架构中共享资源、时间和空间分区技术可以提供一些思路；

第二，在项目的管理方式上，传统分布式系统的开发方通常为两级，子系统供应方和系统集成方，子系统供应方提供ECU电子单元，主机厂负责不同ECU之间的系统集成工作，管理ECU之间的接口一致性协调。由于集成化平台的引入，系统开发的相关角色层级链条变长，至少有以下角色：

• RTOS操作系统供应方；

• 平台开发方；

• 应用开发方；

• 系统集成方。

在整个系统的开发周期中，各方如何能把相互交互接口的技术要求规定明确，逐级有序地开展系统的集成工作，也是可以借鉴的。

第三，安全认证的模式发生了变化，从逐级集成的阶段划分：

• RTOS操作系统层认证；

• 平台认证；

• 单一应用程序与平台集成认证；

• 多个应用程序与平台集成认证；

• 系统投入使用后的增量认证。

第四，相比于航天航天领域高安全性、可靠性的要求，民用领域有着更频繁的需求迭代和更低的生命周期成本要求，技术、管理和认证方面如何调整进行适应也是需要考虑的。

这些话题有进一步的调研后再进行分享。

参考资料：

1. A380 Integrated Modular Avionics
   

2. Integrated modular avionics - 维基百科

3. DOT/FAA/AR-07/39 Real-Time Operating Systems and Component Integration Considerations in Integrated Modular Avionics Systems Report
   

原文始发于微信公众号（薄说安全）：集成模块化航电系统IMA架构