ARINC 653分区实时系统的可调度分析

ARINC 653规范定义了综合模块化航空电子(IMA)实时操作系统的行为逻辑以及向应用程序提供的接口规范。该规范规定了系统采用分区内调度和分区间调度的两级调度方案,如何分析系统的可调度性以保证实时任务能够在截止时间内完成计算是需要研究的新问题。基于负载请求与平台资源提供能力的供需约束关系导出了系统可调度的判定依据。证明了判据的约束是系统可调度的充分必要条件。实际应用表明,提出的可调度判定定理能够应用于判定ARINC 653分区实时系统的可调度性,辅助提升系统的安全属性。     

A hazard analysis via an improved timed colored petri net with time–space coupling safety constraint

Petri nets are graphical and mathematical tools that are applicable to many systems for modeling, simulation, and analysis. With the emergence of the concept of partitioning in time and space domains proposed in avionics application standard software interface(ARINC 653), it has become difficult to analyze time–space coupling hazards resulting from resource partitioning using classical or advanced Petri nets. In this paper, we propose a time–space coupling safety constraint and an improved timed colored Petri net with imposed time–space coupling safety constraints(TCCP-NET) to fill this requirement gap. Time–space coupling hazard analysis is conducted in three steps: specification modeling, simulation execution, and results analysis. A TCCP-NET is employed to model and analyze integrated modular avionics(IMA), a real-time, safety-critical system. The analysis results are used to verify whether there exist time–space coupling hazards at runtime. The method we propose demonstrates superior modeling of safety-critical real-time systems as it can specify resource allocations in both time and space domains. TCCP-NETs can effectively detect underlying time–space coupling hazards.     

综合模块化航空电子系统软件体系结构综述

作为降低系统生命周期费用（LCC）、控制软件复杂性、提高软件复用程度的重要手段之一,软件体系结构已成为航空计算领域的一个主要研究方向。阐述了综合模块化航空电子（IMA）的理念,分析了推动IMA产生和发展的主要因素。总结了ARINC 653,ASAAC,GOA以及F-22通用综合处理机（CIP）上的软件体系结构研究成果,并讨论了IMA软件体系结构需要解决的若干问题及其发展趋势。在此基础上,对中国综合航电软件体系结构研究提出了一些见解。     

操作系统ARINC653标准符合性验证方法的研究

ARINC653标准是一种国际流行的多分区操作系统的接口标准，是否符合ARINC 653标准是衡量一个嵌入式实时多分区操作系统是否符合国际主流标准，以及上层应用是否丰富的一个重要因素。如何验证多分区操作系统是否符合ARINC 653一直是嵌入式实时多分区操作系统测试的重点和难点。提出了一种采用C／S结构、基于ARINC 653 Part 3测试标准验证框架的实用多分区操作系统符合性验证方法，方法不需要对操作系统源码进行修改，并且可以根据测试项排序连续测试。实验证明了验证方法的有效性和准确性。     

基于DO-178C的机载软件质量保证与管理

DO-178C 作为机载软件适航可接受的符合性标准,明确要求机载软件综合过程中必须包含软件质量保证（SQA）过程。以机载软件的软件生命周期定义、过程和数据为基础,从目标、活动和符合性评审三个方面分析基于DO-178C 的软件质量保证过程的实施;结合软件项目质量管理技术和工具,从规划软件质量管理、管理软件质量和控制软件质量三个过程研究基于DO-178C 的软件质量管理方法并给出工程实践建议。结果表明：本文将软件质量保证与质量管理紧密结合,形成了适航要求的相关证据,提供了符合需求的民用机载软件,有效保证了机载软件的质量和持续改进措施。     

机载设备软件需求获取过程研究

DO-178B机载设备软件的开发指南,规定了软件生存周期中各个过程的目标以及完成目标的活动和证据;但是DO-178B标准中没有给出软件需求获取的具体过程.针对机载设备软件AE653/Cert的认证过程进行研究,诠释需求获取过程中的建模方法和原则,给出需求获取过程的具体描述及其变更控制和配置管理.最后通过分析验证软件需求获取过程生成的需求和工作产品可以符合DO-178B的目标,为机载软件开发过程的需求获取提供了参考依据.     

航空电子系统分区间通信监控技术的研究和实现

当今基于ARINC653的综合化航空电子系统的应用日益广泛,分区作为ARINC653提出的任务调度和资源共享的核心概念,其相互间通信的可靠性和安全性成为航空电子系统要解决的重要问题.详细阐述了分区间通信监视的原理,并给出了一种可行的分区间通信监视器设计和实现方案.应用表明分区间通信监视器极大地改善和提高了航空电子系统的通信监控能力,为通信故障诊断和分析提供了依据.     

民用飞机刹车控制系统软件构型管理研究

民用飞机刹车控制系统构型管理在系统设计开发过程和适航符合性验证过程中发挥着关键作用。为了提升民用飞机刹车控制系统软件构型管理能力,使该系统设计开发的软件满足适航要求,介绍刹车控制系统软件构型管理的概念和方法,描述如何运用系统思维和信息化流程手段将构型管理和软件设计相结合,开展软件全生命周期过程构型管理活动。结合DO-178C 的要求,提出建立以产品构型为核心的构型数据数字化管理机制,实现刹车控制系统软件研制的单一数据源。结果表明：通过和构型基线管理相结合建立一个统一的构型数据库,在构型库中严格按照阶段的状态进行准确记录,确保了状态信息的实时性、可追溯性、完整性及有效性,达到了最终构型控制目标,可以满足适航要求。     

A fault-tolerant air data/inertial reference unit

The fault-tolerant air data/inertial reference unit (ADIRU) described is a key part of a fault-tolerant air data/inertial reference system (ADIRS) designed to be the inertial and air data reference for the ARINC 651 Integrated Modular Avionics (IMA) distributed architecture. The ADIRU has been designed to meet the commercial aviation market demands for low life cycle cost and high integrity fault detection, fault isolation, and redundancy management. The ADIRU's internal redundant resources provide quad channel redundancy that is one level higher than conventional triple redundant systems, allowing it to provide deferred maintenance capability. Robust partitioning, simple serial internal interfaces, and simple voting planes ensure that internal redundant components are properly utilized to provide high integrity system outputs. This relieves systems using it from having to perform their own redundancy management of the air data and inertial outputs from multiple sources required by conventional systems     

软件合格审定研发管理体系建立的要点研究

阐述了安全性对于航空产品的重要性,描述了当前航空产品合格审定现状及差距,形象解释了DO-178B的内容、开发流程及基本要素.结合体系建设的经验给出了建立符合DO-178B的合格审定研发体系需要研究的研究,以及每个要点需要考虑的因素,对我国军用航空产品研发体系建立软件合格审定体系起到了抛砖引玉的作用.     

A fault-tolerant air data/inertial reference system

The air data inertial reference system (ADIRS) described consists of a fault-tolerant air data inertial reference unit, a secondary air data attitude reference unit, and six air data modules. The ADIRS replaces the conventional inertial reference and air data systems and uses ARINC 629 bi-directional serial digital data bus interfaces. The ADIRS is designed to be the inertial and air data reference for the ARINC 651 integrated modular avionics (IMA) distributed architecture and provides low life cycle cost and high availability through high reliability, simple high integrity monitoring and deferred maintenance     

从DO-178C的新变化透视软件适航关注点

深刻理解DO-178C标准对于提升机载软件开发能力具有重要意义。分别从软件生存周期过程活动和过程目标两个维度对比和分析DO-178C与DO-178B的差异,按照计划过程、开发过程、验证过程、配置管理过程、质量保证过程和合格审定联络过程分类,列举了每个过程新增的或变更的考虑内容,并详细分析了过程目标的变化。根据差异分析,从强调以目标为中心、源代码到目标码的映射、参数数据、双向追踪、基于需求的鲁棒性测试和耦合性验证6个方面解析了DO-178C强调的思想,并总结了一些可行的实践。     

时间分区的设计与实现

为了满足新一代航空电子系统高度综合化、模块化的要求,在高安全实时操作系统中引入了分区（Partition）的概念。分区是运行于一个处理机模块上的一个或多个应用程序（或子系统）,这些应用程序在时间和空间上彼此隔离,互不影响。分区操作系统根据预先定义的主时间框架内的时间窗口调度相应的分区,在分区的时间窗口内,每个分区按照分区内自己的调度策略调度分区内的进程。分区内的进程有周期进程和非周期进程两种类型,每个进程具有截止期属性,周期进程除了截止期还存在周期属性,当进程发生截止期超时或周期超时,操作系统需进行相应的超时处理。本文着重讨论符合ARINC653要求的时间分区的一种设计及实现方法,包括分区时间调度,进程截止期管理,周期进程调度,以及时间事件管理。     

基于在线加载分区机制的重构方案的设计与实现

随着综合模块化航空电子系统（IMA）结构技术的发展,对航电系统的安全性和可靠性的要求也进一步提高。本文提出的IMA重构方案基于VxWorks653系统中的在线加载分区(Online-Loaded)机制,可以做到对应用程序的动态加载,使得IMA系统在发生故障时能按预设的配置进行功能迁移,从而实现IMA系统的重构。在该重构方案的基础上还同时设计了分步加载技术。测试验证表明,分步加载技术明显减少了重构的耗时,提高了重构的效率。     

综合模块化航空电子系统构型管理功能设计

构型管理功能是飞机提高安全性的重要功能之一,由于综合模块化航空电子系统的架构特点,其构 型管理功能除了要保证软硬件构型一致外,还需要考虑配置数据。本文分析了DO-297 定义的构型管理功能设 计要求后,针对不同配置数据的功能特点,把构型管理功能划分成配置数据生成、数据加载和兼容性校验三个 步骤,并详细描述了各自的具体设计方案。该整体方案已在项目中成功应用。     

基于模型的大气数据计算机实现

针对无人机用大气数据计算机,为使其满足适航审定要求,提出基于模型的实现方法。首先介绍了大气数据计算机获取适航的方式,并以获取技术标准规定项目批准书(CTSOA)为驱动,按照大气数据计算机CTSO标准提出满足最低性能标准的系统需求,将系统需求进行分解选择合适的传感器及硬件平台。随后对系统功能进行详细设计,并按照DO-178B规范完成大气数据计算机的模型搭建和仿真验证。验证结果表明,基于模型的大气数据计算机满足系统所提各项指标,开发流程符合DO-178B标准。     

ARINC659总线验证平台节点设计与实现

ARINC659背板总线是综合化模块化航空电子系统（IMA）中在线可更换模块（LRM）之间的数字数据传送标准。在所构建的ARINC659总线验证平台中,对ARINC659总线节点的设计和实现进行了深入研究,并给出了测试结果。     

综合模块化航空电子系统远程加载技术研究及性能分析

随着飞机航空电子系统综合化程度的提高,软件的部署、加载和更新的复杂度也在逐步提高。传统软件更新后,需要在地面为每个模块进行升级,并将新版本的软件映像文件固化在模块上,这种更新周期长且流程复杂。随着通用模块和应用重构的发展,软件映像需要部署在系统的各个冗余备份节点中,从而使其更新的流程更为复杂。本文针对以上问题提出了基于光纤通道和 ARINC653操作系统的远程数据加载系统,以使系统在上电、重启及重构时可实现从大容量存储模块上远程加载操作系统内核映像、分区应用及自启动功能。在功能实现的基础上,本文对远程加载和本地加载的时间性能进行了分析和比较。     

综合模块化航电软件仿真测试环境研究

 伴随着综合模块化航空电子(IMA)软件在新一代飞机上的应用,其高复杂性、高度综合的特点以及分层的健康监控和故障管理模式给软件测试提出了挑战。传统的仿真测试环境在应对IMA软件测试中难以满足RTCA DO-178B中规定的对验证过程结果的验证的要求。本文在分析IMA软件特点的基础上,根据DO-178B的要求,综合国外的发展情况和国内的研究进展情况,研究综合模块化航电软件仿真测试环境需求,提出了基于软件故障注入的综合模块化航电软件灰盒仿真测试环境方案,并给出优势分析。该仿真测试环境方案以IMA软件为测试对象,应用软件故障注入技术和代码插装技术满足测试规范文件的要求。其具有通用灵活、适配性强、强实时性等特点,为中国新一代航电软件的系统验证和测试奠定了基础。     

民机主制造商对MBD软件供应商工程监控过程研究

基于模型的软件开发技术(Model-Based Development,简称MBD)具有可视化建模与仿真、自动生成符合适航要求的代码等特点,已在民用飞机机载设备研发领域被逐渐推广应用。越来越多使用MBD技术开发的机载软件的涌现,给民机机载软件适航符合性工作带来了前所未有的挑战。为解决这一问题,美国航空无线电技术委员会于2011年底发布了DO-178C作为民用航空界认可的机载软件符合性方法,并在此基础上发布了DO-331作为专门针对机载软件MBD技术的适航符合性要求的补充说明。通过对DO-178C和DO-331标准中MBD软件适用目标的研究,结合工程实践,总结归纳了一套民用飞机主制造商对MBD软件供应商的软件研发过程管控要求,用于在向适航当局表明符合性时提高适航置信度,以期对主制造商和供应商在处理MBD软件方面提供参考。