嵌入式计算中的实时软件,如军事和航空应用中的实时操作系统 (RTOS),必须快速且无错误地工作,以确保任务成功。除了可靠性之外,实时技术专家表示,它必须为关键和机密数据提供强大的可信计算和信息安全性。
加利福尼亚州圣巴巴拉市 Green Hills Software 的营销总监 Richard Jaenicke 解释说:“第一个趋势是系统安全性得到了更加重视。” “漏洞数量每年都在持续增长。该解决方案的一部分是零信任方法,其中根据安全策略中批准的操作验证每个用户和设备。这种方法与依赖外围防御(例如初始登录)形成对比。
2021 年 5 月 12 日发布的行政命令要求所有联邦机构采用零信任架构,”Jaenicke 指出。“在嵌入式系统中,严重的软件安全始于分离内核,这是一个非常小的软件,它是唯一以特权内核模式运行的软件,其唯一功能是强制执行数据隔离、故障隔离、和应用程序之间的资源卫生。最好的分离内核经过正式验证以提供这种分离,以便更高级别的应用程序可以依靠内核是不可绕过的、始终被调用和防篡改的。”
寻求安全
Jaenicke 提供 Green Hills INTEGRITY-178 RTOS 作为安全零信任软件解决方案的主要示例。2020 年底,美国陆军选择了
一名空军装载主管在 HC-130J 飞机的驾驶舱内进行飞行前检查。座舱航空电子设备中的多核处理器难以认证,因为它们的设计并未考虑到该任务。
INTEGRITY-178 时变统一多处理 (tuMP) RTOS 作为操作系统升级到改进型数据调制解调器 (IDM-401) 程序的一部分。
IDM-401 将陆军航空兵数字化,并安装在每架现代化的陆军直升机上,包括 CH-47 Chinook、AH-64 Apache 和 UH-60 Black Hawk。IDM 有助于连接多个不同的直升机无线电和 Blue Force Tracker 收发器,并实现快速数据传输。该计划支持开放系统架构 (OSA)、未来机载能力环境 (FACE)和通用操作环境 (COE) 互操作性标准。
“近十年来,我们一直在讨论共享资源争用和多核干扰、由此导致的确定性缺乏及其对安全性的影响的问题,”Jaenicke 说。“RTOS级别的解决方案已经存在了五年,最终我们有两个多核航空电子系统在满足机载安全的DO-178C和解决多核问题的CAST-32A后获得了技术标准指令(TSO)的授权。
在获得TSO授权的航电公司中,魁北克圣洛朗的CMC Electronics获得了该公司可作为飞行指挥器的PU-3000航电计算机和可作为主飞行的MFD-3068多核智能显示器的TSO授权。显示,Jaenicke 指出。
“两个系统都获得了最高安全等级 (DAL A) 的授权,并且两个系统都依赖于 INTEGRITY-178 tuMP RTOS 提供的强大的多核分区。这种多核航空电子系统可实现更强大的功能并进一步整合飞行功能,以减少盒子的数量以及整体尺寸、重量和功率 (SWaP),”Jaenicke 说。
在绿山诚信178 TuMP为多核RTOS解决干扰挑战CAST-32A与它的带宽分配和监控讨论
(BAM) 能力。BAM 是针对 DO-178C DAL A 目标开发的,以减轻 IDM 的干扰风险。INTEGRITY-178 tuMP BAM 监控并强制分配给每个内核的芯片级互连带宽,确保共享资源的特定分配。受支持的带宽管理技术模拟了一种基于硬件的高速方法,以确保连续分配执行。
拥抱当前的技术
位于加利福尼亚州阿拉米达的 Wind River Systems Inc. 产品管理高级总监 Michel Chabroux 表示,另一个实时软件趋势是利用信息技术 (IT) 领域的发展。
“这包括使用 Rust 或 WebAssembly 等超越传统 C 和 C++ 的容器作为软件部署/管理辅助工具,”Chabroux 解释道。“主要原因是加快开发并缩短上市时间。例如,容器可以使用现有的 IT 技术和基础设施来部署和管理软件。”
Chabroux 还说,“多核 [处理] 的使用现在已经很好了 - 许多人在单核模式下使用多核硬件。”
开放标准
Wind River 的 Chabroux 和 Green Hills 的 Jaenicke 表示需要像 FACE、ARINC 等标准。“这种趋势一直在缓慢增长,现在大多数军用电子系统都被指定遵循模块化开放系统方法 (MOSA),按照 [2019 年 1 月 7 日] 的三项服务备忘录的指示,”Jaenicke 说。
“MOSA 以诸如 FACE 技术标准之类的标准形式向 RTOS 迈进,”Jaenicke 继续说道。“FACE 技术标准是一种利用其他开放标准的开放规范。在操作系统领域,包括 ARINC 653 和 POSIX。但 MOSA 需要的不仅仅是开放标准。它还需要模块化和一致性认证。FACE 技术标准定义了一种系统架构,将软件分为五个部分,包括操作系统部分,以创建能够修改或替换任何部分的解决方案而不影响其他部分的模块化。”
开放系统标准之间的差异还不止于此。“与大多数标准不同,FACE 技术标准有一个配套的一致性测试套件和独立的一致性验证要求,”Jaenicke 说。“INTEGRITY-178 tuMP RTOS 是第一个通过 FACE 技术标准 3.0 版认证的操作系统,包括 Arm、Intel 和 Power Architectures 上的 C、C++ 和 Ada 运行时。”
今年早些时候,位于凤凰城的 DDC-I Inc. 为该公司在 ARM 和 x86 处理器上运行的 Deos 安全关键型 DO-1`78 RTOS 和 Open Arbor 开发工具引入了 FACE 3.0 软件一致性。该认证涵盖了操作系统部分 (OSS) 的 FACE 技术标准版 3.0 安全基础和安全配置文件。
面向 FACE 技术标准 3.0 的 Deos RTOS 平台将时空分区的 Deos RTOS 和 SafeMC 多核技术与RTEMS (Real Time Executive for Multiprocessor Systems),一个成熟的、确定性的、开放的系统、硬实时 POSIX 执行程序。
Deos 提供 ARINC 653 APEX 接口和多核调度。RTEMS 的半虚拟化实现,在安全的 Deos 分区中运行,提供 POSIX 接口和调度。
集成软件平台结合了 ARINC 653 和 POSIX RTOS 的优势和血统,提供行业标准接口和功能集,以在时间和空间分区、硬实时间,多核执行模型。
Deos 是一种安全关键的嵌入式 RTOS,具有缓存分区、内存池和安全调度功能,可提供高 CPU 使用率。Deos 于 1998 年首次通过 DO-178 DAL A 认证,提供了 FACE 安全基础配置文件,该配置文件具有硬实时响应、时间和空间分区以及 ARINC-653 和 POSIX 接口。
虚拟化
实时专家指出,虚拟机管理程序——一种由运行虚拟机的软件或硬件组成的系统——正在这个领域中崭露头角。位于加利福尼亚州圣何塞的 Lynx Software Technologies 营销和战略联盟副总裁 Ian Ferguson 在 2020 年告诉军事和航空航天电子公司,管理程序在混合关键系统中的使用量正在增加。
“将执行视频处理的资源与围绕 GPS 网络执行时间敏感任务的其他资源分开,”弗格森说。“在这些元素中更多地使用虚拟机管理程序——这有助于划分您必须通过认证的软件部分,并证明您可以将其与通常在 Linux 上运行的系统的其他部分隔离开来。”