▌沒(méi)有標(biāo)星的朋友們有時(shí)可能會(huì)錯(cuò)過(guò)【通航圈】的推送或是看不到部分推送文章的封面，歡迎新老朋友給【通航圈】點(diǎn)個(gè)星標(biāo)，以便及時(shí)收到最新推文、避免錯(cuò)過(guò)更多精彩*
加星標(biāo)方法：點(diǎn)擊上方藍(lán)字“通航圈”，然后點(diǎn)擊右上角...，設(shè)為星標(biāo)

在新一輪科技革命、產(chǎn)業(yè)升級(jí)和政策驅(qū)動(dòng)的共同作用下，低空經(jīng)濟(jì)正加速成為戰(zhàn)略性新興產(chǎn)業(yè)的重要組成部分。伴隨應(yīng)用場(chǎng)景不斷拓展、飛行器類型持續(xù)豐富以及產(chǎn)業(yè)鏈能力逐步完善，低空飛行器的發(fā)展正在從單點(diǎn)突破走向體系化演進(jìn)。隨著飛行平臺(tái)不斷走向復(fù)雜化，其背后的核心系統(tǒng)能力也日益成為決定產(chǎn)品安全性、可靠性和可持續(xù)演進(jìn)能力的關(guān)鍵。作為支撐飛行控制、通信、導(dǎo)航、監(jiān)視和顯示等關(guān)鍵功能的核心系統(tǒng)，低空經(jīng)濟(jì)飛行器航電系統(tǒng)（低空航電系統(tǒng)）正越來(lái)越成為低空飛行器能力建設(shè)的重要基礎(chǔ)。

低空航電系統(tǒng)，主要應(yīng)用于無(wú)人機(jī)（包括消費(fèi)級(jí)和工業(yè)級(jí)無(wú)人機(jī)，貨運(yùn)無(wú)人機(jī)等）、城市空中交通飛行器（包括eVTOL和各種電動(dòng)載人飛行器等）和傳統(tǒng)通用航空器（包括運(yùn)動(dòng)飛機(jī)，直升機(jī)等）。與大型民航飛行器相比，這類航電系統(tǒng)在硬件形態(tài)和軟件系統(tǒng)設(shè)計(jì)上往往更具多樣性，但本質(zhì)上仍屬于飛行器核心系統(tǒng)，承擔(dān)著飛行控制、通訊、導(dǎo)航、監(jiān)視和顯示等功能。

針對(duì)這類航電系統(tǒng)架構(gòu)問(wèn)題，民航領(lǐng)域其實(shí)早已有較成熟的標(biāo)準(zhǔn)化方法。 ARINC 653 就是航空電子領(lǐng)域的重要軟件標(biāo)準(zhǔn)，它定義了操作系統(tǒng)如何管理飛機(jī)計(jì)算機(jī)內(nèi)部運(yùn)行的應(yīng)用程序。該標(biāo)準(zhǔn)支持集成式模塊化航電（IMA）架構(gòu)，允許同一硬件設(shè)備中實(shí)現(xiàn)不同層級(jí)航電軟件的集成，提供故障保護(hù)運(yùn)行層級(jí)，使得分區(qū)內(nèi)的故障不應(yīng)影響其他分區(qū)的執(zhí)行。當(dāng)前，采用ARINC 653標(biāo)準(zhǔn)的集成模塊化航電（IMA）架構(gòu)，已經(jīng)在 A380、B787、C919等新一代民航飛機(jī)航電系統(tǒng)中得到廣泛應(yīng)用。

當(dāng)前，低空經(jīng)濟(jì)飛行器的研制仍處于快速發(fā)展和路線探索階段，是否采用ARINC 653標(biāo)準(zhǔn)作為低空航電系統(tǒng)架構(gòu)，并沒(méi)有統(tǒng)一結(jié)論?；诖吮尘埃覀儗L試從分析ARINC 653標(biāo)準(zhǔn)的目標(biāo)和技術(shù)實(shí)現(xiàn)出發(fā)，探討低空航電系統(tǒng)采用該標(biāo)準(zhǔn)的必要性和優(yōu)勢(shì)所在。

ARINC 653標(biāo)準(zhǔn)實(shí)現(xiàn)的目標(biāo)在低空航電系統(tǒng)上是否必要

首先，正如ARINC 653標(biāo)準(zhǔn)Part 0所描述的，ARINC 653標(biāo)準(zhǔn)的主要目標(biāo)，是在航電計(jì)算機(jī)的核心軟件（Core Software）與應(yīng)用軟件（Application Software）之間定義一個(gè)通用的APplication/EXecutive (APEX) 接口規(guī)范，其中包括API的列表，以及與調(diào)度、通訊和狀態(tài)信息相關(guān)的各類服務(wù)。通過(guò)實(shí)現(xiàn)這套接口規(guī)范，ARINC 653 旨在支持可移植性、可復(fù)用性、模塊化和集成多安全級(jí)別等軟件的目標(biāo)。

可移植性，是指在理想情況下，為特定機(jī)型開(kāi)發(fā)的應(yīng)用軟件能夠以最小的重新認(rèn)證工作量，移植到其他機(jī)型或者其他平臺(tái)上運(yùn)行。APEX接口通過(guò)降低應(yīng)用代碼對(duì)編程語(yǔ)言和硬件的依賴，為軟件移植提供了基礎(chǔ)。

可復(fù)用性，是指基于APEX接口開(kāi)發(fā)的應(yīng)用代碼能夠在IMA系統(tǒng)中實(shí)現(xiàn)更高程度的復(fù)用，從而減少不同項(xiàng)目、不同平臺(tái)之間重復(fù)開(kāi)發(fā)和重復(fù)適配的工作量。通過(guò)標(biāo)準(zhǔn)化接口，應(yīng)用軟件在復(fù)用時(shí)所需的定制工作也可相應(yīng)降低。

模塊化，是指APEX接口在開(kāi)發(fā)應(yīng)用軟件時(shí)提供了模塊化的優(yōu)勢(shì)，通過(guò)消除硬件和軟件依賴性，減少了系統(tǒng)修改對(duì)應(yīng)用軟件的影響。

集成多安全級(jí)別的軟件，是指APEX 接口支持將不同安全級(jí)別的應(yīng)用程序軟件在統(tǒng)一系統(tǒng)架構(gòu)下協(xié)同部署。

顯然，上述目標(biāo)的達(dá)成，已經(jīng)為新型民航飛機(jī)航電系統(tǒng)提供了關(guān)鍵的優(yōu)勢(shì)。它不僅使得昂貴的認(rèn)證應(yīng)用軟件更易于在不同硬件平臺(tái)和機(jī)型之間復(fù)用與遷移，也為多安全級(jí)別的模塊化集成提供了可行路徑。

對(duì)比目前低空航電系統(tǒng)的研發(fā)現(xiàn)狀，多數(shù)平臺(tái)仍處于首代系統(tǒng)開(kāi)發(fā)階段，因此對(duì)于可復(fù)用性的要求不高。但是隨著第二代以及后續(xù)系統(tǒng)的迭代更新，系統(tǒng)仍將面臨軟件復(fù)用、架構(gòu)遷移等挑戰(zhàn)，可復(fù)用性的設(shè)計(jì)仍有必要。

而對(duì)于可移植性目標(biāo)要求，主要是針對(duì)單獨(dú)應(yīng)用軟件是否可以做到標(biāo)準(zhǔn)統(tǒng)一化，從而方便移植到不同的ARINC 653標(biāo)準(zhǔn)的航電系統(tǒng)上，真正實(shí)現(xiàn)關(guān)鍵應(yīng)用的一次設(shè)計(jì)，多次應(yīng)用。目前，部分低空航電系統(tǒng)研發(fā)廠商已經(jīng)開(kāi)始考慮未來(lái)軟件設(shè)計(jì)的復(fù)用問(wèn)題，從而最大化關(guān)鍵安全應(yīng)用的適用范圍。因此，統(tǒng)一的應(yīng)用API規(guī)范也同樣具有現(xiàn)實(shí)需求。

在IMA模塊化設(shè)計(jì)方面，其突出優(yōu)點(diǎn)在于盡量將應(yīng)用與硬件解耦，從而實(shí)現(xiàn)一套應(yīng)用設(shè)計(jì)能夠盡可能多地適用不同的硬件平臺(tái)。當(dāng)前，低空航電系統(tǒng)已經(jīng)面臨需要使用冗余硬件設(shè)計(jì)，甚至是異構(gòu)硬件設(shè)計(jì)來(lái)提高安全等級(jí)。若來(lái)自不同供應(yīng)商、不同的硬件平臺(tái)也采用統(tǒng)一的IMA模塊化設(shè)計(jì)，就能夠更好地實(shí)現(xiàn)軟硬件解耦，提升應(yīng)用向不同硬件平臺(tái)移植的能力，這也恰好契合了低空航電系統(tǒng)的發(fā)展要求。

至于不同安全級(jí)別軟件集成的問(wèn)題，在當(dāng)前低空航電系統(tǒng)上也同樣存在。若不采用IMA模塊化設(shè)計(jì)隔離應(yīng)用，很多廠商往往只能將所有應(yīng)用都采用其中最高安全級(jí)別的設(shè)計(jì)，以此化解不同等級(jí)應(yīng)用互相融合的問(wèn)題。這樣的設(shè)計(jì)雖然在表面上降低了系統(tǒng)管理復(fù)雜度，但實(shí)際上會(huì)抬高低安全等級(jí)應(yīng)用的研發(fā)成本，犧牲系統(tǒng)靈活性，也增加整體開(kāi)發(fā)負(fù)擔(dān)。

綜上所述，實(shí)際上ARINC 653標(biāo)準(zhǔn)所實(shí)現(xiàn)的目標(biāo)，同樣適用于低空航電系統(tǒng)。隨著項(xiàng)目數(shù)量增加、平臺(tái)類型擴(kuò)展以及型號(hào)持續(xù)迭代，標(biāo)準(zhǔn)化架構(gòu)設(shè)計(jì)的優(yōu)勢(shì)將逐步顯現(xiàn)。因此，從長(zhǎng)期演進(jìn)和工程化發(fā)展的角度看，在低空航電系統(tǒng)中引入 ARINC 653 具有較強(qiáng)的現(xiàn)實(shí)意義。

ARINC 653標(biāo)準(zhǔn)實(shí)現(xiàn)的目標(biāo)關(guān)鍵技術(shù)及實(shí)現(xiàn)

前面提到了ARINC 653標(biāo)準(zhǔn)實(shí)現(xiàn)的目標(biāo)和必要性，那么，該標(biāo)準(zhǔn)是如何通過(guò)其規(guī)范的標(biāo)準(zhǔn)，通過(guò)什么技術(shù)去實(shí)現(xiàn)其關(guān)鍵目標(biāo)的呢？這一部分將圍繞其參考架構(gòu)與關(guān)鍵機(jī)制展開(kāi)說(shuō)明。

圖 ARINC 653標(biāo)準(zhǔn)參考系統(tǒng)架構(gòu)

通過(guò)ARINC 653標(biāo)準(zhǔn)Part 0中參考系統(tǒng)架構(gòu)圖中，我們可以知道，標(biāo)準(zhǔn)主要定義了支撐分區(qū)（Partition）應(yīng)用軟件架構(gòu)的APEX服務(wù)和核心操作系統(tǒng)功能以及服務(wù)。通過(guò)對(duì)分區(qū)架構(gòu)和相關(guān)服務(wù)進(jìn)行規(guī)范，來(lái)自不同軟件供應(yīng)商的分區(qū)應(yīng)用都可以運(yùn)行在符合標(biāo)準(zhǔn)的核心軟件平臺(tái)之上。而由核心操作系統(tǒng)適配不同的硬件，從而實(shí)現(xiàn)應(yīng)用軟件與硬件解耦。在標(biāo)準(zhǔn)的Part 1，Part 2和Part 5部分中，分別對(duì)APEX服務(wù)層以及核心軟件層需要提供的服務(wù)提供了標(biāo)準(zhǔn)化規(guī)范，使得應(yīng)用接口標(biāo)準(zhǔn)化。另外，Part 4是Part 1的子集，允許更輕量化核心操作系統(tǒng)只實(shí)現(xiàn)子集功能，Part3則是定義了兼容測(cè)試規(guī)范。所以，我們可以看到ARINC 653標(biāo)準(zhǔn)是通過(guò)規(guī)范系統(tǒng)架構(gòu)，中間層接口以及核心軟件服務(wù)達(dá)到其規(guī)范統(tǒng)一的目標(biāo)。

在此基礎(chǔ)上，進(jìn)一步分析這些關(guān)鍵核心軟件服務(wù)在具體硬件平臺(tái)上的實(shí)現(xiàn)方式，有助于更清楚地理解 ARINC 653 所采用的技術(shù)路徑，以及這些技術(shù)在工程實(shí)踐中能夠帶來(lái)的實(shí)際價(jià)值。

分區(qū)（Partitioning）

ARINC 653標(biāo)準(zhǔn)的核心思想是分區(qū)概念，即通過(guò)空間分區(qū)（內(nèi)存分區(qū)）和時(shí)間分區(qū)（時(shí)域分區(qū)）對(duì)集成模塊中的應(yīng)用程序進(jìn)行隔離。因此，分區(qū)可以理解成是為滿足這些隔離約束而設(shè)計(jì)的應(yīng)用單元。

為了實(shí)現(xiàn)空間分區(qū)（內(nèi)存分區(qū)）的能力，在傳統(tǒng)單核處理器上，采用的是芯片內(nèi)存管理單元（Memory Management Unit）技術(shù)。系統(tǒng)通過(guò)為每個(gè)分區(qū)配置不同的內(nèi)存管理單元配置表，定義其每個(gè)分區(qū)能夠訪問(wèn)的物理內(nèi)存，并將物理內(nèi)存轉(zhuǎn)換成分區(qū)看到的虛擬地址。這樣，每個(gè)分區(qū)就單獨(dú)訪問(wèn)自己的物理內(nèi)存，而互不影響，從而實(shí)現(xiàn)空間分區(qū)能力。

在分區(qū)切換過(guò)程中，由內(nèi)核模塊操作系統(tǒng)負(fù)責(zé)取消前一分區(qū)MMU配置并加載下一個(gè)分區(qū)的MMU配置，從而在技術(shù)上實(shí)現(xiàn)分區(qū)的切換和空間的隔離。

圖 內(nèi)核模塊操作系統(tǒng)采用MMU實(shí)現(xiàn)分區(qū)的空間隔離

然而，隨著芯片技術(shù)的改變和性能提升，多核處理器成為了高性能處理器的主要提升方向，無(wú)論是x86，ARM和PPC架構(gòu)，新一代處理器普遍采用了多核處理器架構(gòu)。同時(shí)，為了發(fā)揮多核處理器的性能優(yōu)勢(shì)，虛擬化（Virtualization）技術(shù)也被廣泛引入，用于支持多個(gè)虛擬機(jī)在多核處理器上運(yùn)行。

以ARM架構(gòu)為例，多核處理器支持虛擬化技術(shù)，允許一個(gè)Hypervisor系統(tǒng)運(yùn)行在芯片EL2（Exception Level 2）級(jí)別上，負(fù)責(zé)對(duì)虛擬機(jī)的初始化和管理功能。Hypervisor系統(tǒng)可借助虛擬化地址轉(zhuǎn)換（VTT）技術(shù)或者系統(tǒng)內(nèi)存管理單元（SMMU），完成對(duì)虛擬機(jī)進(jìn)行虛擬地址到物理地址的轉(zhuǎn)換，從而劃分不同的地址，實(shí)現(xiàn)每個(gè)虛擬機(jī)的地址轉(zhuǎn)換和空間隔離。

因此，如何在多核處理器架構(gòu)上實(shí)現(xiàn)ARINC 653標(biāo)準(zhǔn)的分區(qū)功能，實(shí)現(xiàn)標(biāo)準(zhǔn)的目標(biāo)，并發(fā)揮處理器的性能，便成為了一個(gè)需要重點(diǎn)解決的技術(shù)問(wèn)題。

圖 Hypervisor模塊操作系統(tǒng)采用SMMU實(shí)現(xiàn)虛擬化分區(qū)的空間隔離

以風(fēng)河Helix Virtualization Platform（HVP）為例，其通過(guò)采用Type-1的Hypervisor作為核心模塊操作系統(tǒng)（MOS），將在Hypervisor上管理的每一個(gè)虛擬機(jī)作為一個(gè)個(gè)分區(qū)操作系統(tǒng)（POS）運(yùn)行。分區(qū)隔離的實(shí)現(xiàn)，是直接采用ARM芯片的虛擬化技術(shù)，通過(guò)虛擬化地址轉(zhuǎn)換和SMMU實(shí)現(xiàn)不同分區(qū)的地址區(qū)間。

由于采用的是硬件的虛擬化能力，Hypervisor運(yùn)行在EL2（Exception Level 2）上；而分區(qū)應(yīng)用運(yùn)行在EL1（Exception Level 1）上，Hypervisor模塊OS的完整性大大提高，不會(huì)受到分區(qū)應(yīng)用的影響，因此Hypervisor模塊OS的魯棒性大為提高。與此同時(shí)，分區(qū)切換使用的虛擬化的切換，其切換性能也得到了硬件芯片的最好支撐，達(dá)到高性能的切換時(shí)效。

綜上，在多核處理器上采用Hypervisor的虛擬化，可以更好的達(dá)到ARINC 653標(biāo)準(zhǔn)的空間隔離分區(qū)要求，實(shí)現(xiàn)ARINC 653標(biāo)準(zhǔn)的目標(biāo)，這也是目前多核處理器的主流技術(shù)實(shí)現(xiàn)方案。

調(diào)度（Scheduling）

關(guān)于調(diào)度的要求，在ARINC 653 Part 1標(biāo)準(zhǔn)中有明確提出，主要分為分區(qū)調(diào)度（Partition Scheduling）和進(jìn)程調(diào)度（Process Scheduling）兩部分。

標(biāo)準(zhǔn)對(duì)于分區(qū)調(diào)度的要求，首先分區(qū)的調(diào)度在時(shí)間上是嚴(yán)格確定的。根據(jù)集成模塊內(nèi)分區(qū)的配置、總體資源需求、可用性以及特定分區(qū)需求，生成基于時(shí)間的激活模塊調(diào)度表，該調(diào)度表確定了分配給各個(gè)分區(qū)的分區(qū)時(shí)間窗口。然后，系統(tǒng)根據(jù)每個(gè)分區(qū)各自的時(shí)間窗口（即其分區(qū)調(diào)度表）對(duì)每個(gè)分區(qū)進(jìn)行調(diào)度。

主要特征包括：

1. 從應(yīng)用程序開(kāi)發(fā)人員的角度來(lái)看，調(diào)度單元是一個(gè)分區(qū)；

2. 分區(qū)沒(méi)有優(yōu)先級(jí)；

3. 模塊調(diào)度算法是預(yù)先確定的，具有固定的周期性（主要時(shí)間框架），并且只能通過(guò)配置表進(jìn)行配置。在主要時(shí)間框架的每個(gè)周期內(nèi)，每個(gè)分區(qū)應(yīng)至少分配一個(gè)分區(qū)時(shí)間窗口。

圖 ARINC 653分區(qū)調(diào)度

正如前文所述，在單核處理器上，Kernel模塊OS負(fù)責(zé)分區(qū)隔離，也負(fù)責(zé)分區(qū)的調(diào)度。而在多核處理器上，采用Hypervisor模塊OS負(fù)責(zé)分區(qū)調(diào)度，在精確的時(shí)間規(guī)劃點(diǎn)上進(jìn)行虛擬化分區(qū)的切換，符合ARINC 653的標(biāo)準(zhǔn)要求。

不過(guò)，隨著多核處理器的應(yīng)用，如何實(shí)現(xiàn)多核場(chǎng)景下的分區(qū)時(shí)間調(diào)度，也成為工程實(shí)現(xiàn)中的一個(gè)關(guān)鍵問(wèn)題。這點(diǎn)在ARINC 653 Part 1的標(biāo)準(zhǔn)中仍然沒(méi)有明確規(guī)定。當(dāng)前較常見(jiàn)的一類實(shí)現(xiàn)方式，是將每個(gè)處理器核單獨(dú)分開(kāi)，每一個(gè)核都實(shí)現(xiàn)標(biāo)準(zhǔn)要求的時(shí)間分配分區(qū)調(diào)度。

圖 多核時(shí)間分區(qū)調(diào)度

采用這個(gè)多核時(shí)間分區(qū)調(diào)度策略，可以兼容單核和多核應(yīng)用的設(shè)置，如果只啟動(dòng)其中一個(gè)核使用時(shí)，完全兼容單核時(shí)間調(diào)度的設(shè)計(jì)；而開(kāi)放多核進(jìn)行調(diào)度的時(shí)候，可以充分發(fā)揮多核處理器的性能優(yōu)勢(shì)。

標(biāo)準(zhǔn)對(duì)于進(jìn)程調(diào)度的要求，主要是定義了分區(qū)應(yīng)用里面進(jìn)程的調(diào)度要求，其要求與分區(qū)調(diào)度不同，需要根據(jù)進(jìn)程的處理器內(nèi)核親和性分配、各自的優(yōu)先級(jí)和當(dāng)前狀態(tài)來(lái)調(diào)度和搶占進(jìn)程。進(jìn)程的調(diào)度以一個(gè)APEX進(jìn)程為調(diào)度單元，需要實(shí)現(xiàn)每個(gè)進(jìn)程設(shè)置一個(gè)優(yōu)先級(jí)，進(jìn)程根據(jù)優(yōu)先級(jí)進(jìn)行調(diào)度。

其實(shí)進(jìn)程的調(diào)度，與我們熟悉的POSIX調(diào)度一致，因此在每個(gè)分區(qū)OS上的調(diào)度，除了使用ARINC標(biāo)準(zhǔn)之外，也常有使用POSIX調(diào)度或者其他優(yōu)先級(jí)調(diào)度的情況。

圖 分區(qū)內(nèi)采用ARINC或者POSIX等優(yōu)先級(jí)進(jìn)程調(diào)度

采用這種兼容的分區(qū)內(nèi)進(jìn)程調(diào)度方法，可以更大兼容應(yīng)用工程師編寫(xiě)應(yīng)用程序的兼容性，若嚴(yán)格根據(jù)ARINC API標(biāo)準(zhǔn)進(jìn)行編程，可以輕松切換到同樣符合ARINC標(biāo)準(zhǔn)的不同軟件平臺(tái)上，實(shí)現(xiàn)應(yīng)用程序的兼容開(kāi)發(fā)。

健康監(jiān)控（Health Monitor）

在 ARINC 653 標(biāo)準(zhǔn)中，除分區(qū)機(jī)制、調(diào)度設(shè)計(jì)和接口規(guī)范外，還專門(mén)定義了健康監(jiān)控（Health Monitor，HM）相關(guān)內(nèi)容，這也是該標(biāo)準(zhǔn)的重要特征之一?？傮w而言，健康監(jiān)測(cè)（HM）功能負(fù)責(zé)響應(yīng)和報(bào)告硬件、應(yīng)用程序和操作系統(tǒng)（O/S）軟件錯(cuò)誤和故障。

ARINC 653通過(guò)提供健康監(jiān)測(cè)配置表和應(yīng)用程序級(jí)錯(cuò)誤處理程序來(lái)支持健康監(jiān)測(cè)。健康監(jiān)測(cè)（HM）有助于隔離錯(cuò)誤并防止故障傳播，監(jiān)控來(lái)自系統(tǒng)不同等級(jí)軟件的錯(cuò)誤信息。標(biāo)準(zhǔn)將模塊系統(tǒng)的錯(cuò)誤分為三個(gè)等級(jí)，分別為進(jìn)程等級(jí)錯(cuò)誤（Process Level Error）、分區(qū)等級(jí)錯(cuò)誤（Partition Level Error）以及模塊等級(jí)錯(cuò)誤（Module Level Error）。

進(jìn)程級(jí)錯(cuò)誤包含分區(qū)中的一個(gè)或多個(gè)進(jìn)程，甚至整個(gè)分區(qū)進(jìn)程的影響，例如應(yīng)用程序進(jìn)程引發(fā)的應(yīng)用程序錯(cuò)誤、非法操作系統(tǒng)請(qǐng)求錯(cuò)誤以及進(jìn)程執(zhí)行錯(cuò)誤（堆棧溢出、內(nèi)存違規(guī)等）。

分區(qū)級(jí)錯(cuò)誤包含對(duì)分區(qū)有影響的錯(cuò)誤，例如分區(qū)初始化過(guò)程中的分區(qū)配置表錯(cuò)誤、分區(qū)初始化錯(cuò)誤以及進(jìn)程管理過(guò)程中出現(xiàn)的錯(cuò)誤等。

模塊級(jí)錯(cuò)誤包含影響整個(gè)集成模塊系統(tǒng)的錯(cuò)誤，例如集成模塊初始化過(guò)程中的模塊配置表錯(cuò)誤、系統(tǒng)特定功能執(zhí)行過(guò)程中的錯(cuò)誤、分區(qū)切換過(guò)程中的錯(cuò)誤以及電源故障等。

針對(duì)不同等級(jí)的錯(cuò)誤，系統(tǒng)可以通過(guò)配置表，對(duì)其配置對(duì)應(yīng)的恢復(fù)措施（Recovery actions）。

對(duì)于模塊級(jí)錯(cuò)誤（Module Level Error），可在模塊 HM 配置表中根據(jù)系統(tǒng)狀態(tài)指定恢復(fù)措施，可能的處理方式包括：忽略、關(guān)閉集成模塊、重置集成模塊，以及執(zhí)行依賴于操作系統(tǒng)實(shí)現(xiàn)的自定義恢復(fù)措施。

對(duì)于分區(qū)級(jí)錯(cuò)誤（Partition Level Error），可在分區(qū) HM 配置表中進(jìn)行配置。針對(duì)每個(gè)分區(qū)，錯(cuò)誤響應(yīng)會(huì)結(jié)合其行為能力進(jìn)行處理，例如是否支持重置、是否存在降級(jí)模式等。其可能的恢復(fù)操作包括：忽略、停止分區(qū)（IDLE）、重啟分區(qū)（COLD_START 或 WARM_START），以及執(zhí)行依賴于操作系統(tǒng)實(shí)現(xiàn)的自定義恢復(fù)操作。

對(duì)于進(jìn)程級(jí)錯(cuò)誤（Process Level Error），應(yīng)用供應(yīng)商可以為分區(qū)定義相應(yīng)的進(jìn)程級(jí)錯(cuò)誤處理程序。其可能的恢復(fù)操作包括：忽略、在采取恢復(fù)措施前忽略錯(cuò)誤 n 次、停止出錯(cuò)進(jìn)程、停止出錯(cuò)進(jìn)程并從入口地址重新初始化、停止當(dāng)前出錯(cuò)進(jìn)程并啟動(dòng)另一個(gè)進(jìn)程、重啟分區(qū)（COLD_START 或 WARM_START）、停止分區(qū)（IDLE）等。

通過(guò)上述三級(jí)錯(cuò)誤健康監(jiān)控和恢復(fù)措施，符合ARINC 653標(biāo)準(zhǔn)的集成模塊系統(tǒng)便有了較為完整的錯(cuò)誤檢測(cè)和恢復(fù)能力。以下是在多核處理器下，HM的具體技術(shù)實(shí)現(xiàn)：

圖 健康監(jiān)控（HM）錯(cuò)誤和配置表

進(jìn)程級(jí)（Process Level）健康監(jiān)控在分區(qū)中對(duì)分區(qū)進(jìn)行錯(cuò)誤進(jìn)程監(jiān)控。當(dāng)發(fā)現(xiàn)錯(cuò)誤時(shí)，首先由進(jìn)程健康監(jiān)控處理程序處理，按照可能的恢復(fù)措施操作。對(duì)于無(wú)法恢復(fù)的錯(cuò)誤，則通過(guò)系統(tǒng)調(diào)用（System Call）上升到分區(qū)級(jí)別錯(cuò)誤。

分區(qū)級(jí)別健康監(jiān)控負(fù)責(zé)對(duì)所有來(lái)自分區(qū)的錯(cuò)誤進(jìn)行統(tǒng)一檢測(cè)，分區(qū)級(jí)錯(cuò)誤恢復(fù)措施由HM配置表中對(duì)應(yīng)處理措施進(jìn)行處理。

模塊級(jí)健康監(jiān)控則負(fù)責(zé)檢測(cè)除了分區(qū)之外，包括模塊OS（Module OS）自身的錯(cuò)誤，并按照對(duì)應(yīng)的HM配置表中恢復(fù)措施進(jìn)行處理。

可以看到，健康監(jiān)控（HM）機(jī)制是分區(qū)應(yīng)用之外的一條錯(cuò)誤管理生命線，為整個(gè)系統(tǒng)增加了錯(cuò)誤檢測(cè)和修復(fù)能力，增強(qiáng)了整個(gè)系統(tǒng)的魯棒性。因此，健康監(jiān)控（HM）是ARINC 653標(biāo)準(zhǔn)中非常重要的一環(huán)。

采用ARINC 653標(biāo)準(zhǔn)航電系統(tǒng)的優(yōu)勢(shì)

綜上所述，ARINC 653標(biāo)準(zhǔn)作為航空電子領(lǐng)域的關(guān)鍵技術(shù)規(guī)范，其核心優(yōu)勢(shì)在于通過(guò)時(shí)間分區(qū)和空間分區(qū)機(jī)制，實(shí)現(xiàn)高度安全可靠的系統(tǒng)架構(gòu)。采用 ARINC 653 標(biāo)準(zhǔn)的航電系統(tǒng)，可以通過(guò)嚴(yán)格的時(shí)間分區(qū)（固定時(shí)間片分配）與空間分區(qū)（獨(dú)立內(nèi)存空間）技術(shù)，實(shí)現(xiàn)不同安全等級(jí)應(yīng)用的獨(dú)立運(yùn)行。即便單個(gè)分區(qū)出現(xiàn)死鎖、異?；虺瑫r(shí)等故障，也能有效隔離，杜絕級(jí)聯(lián)失效，同時(shí)支持分區(qū)快速重啟，大幅提升系統(tǒng)整體可用性。

ARINC 653 中的健康監(jiān)控機(jī)制，能夠在分區(qū)、模塊、系統(tǒng)多級(jí)實(shí)現(xiàn)故障的實(shí)時(shí)監(jiān)測(cè)、隔離與處理，通過(guò)對(duì)應(yīng)用、調(diào)度、通信及硬件狀態(tài)的統(tǒng)一管控，及時(shí)發(fā)現(xiàn)并定位異常，避免單個(gè)分區(qū)故障引發(fā)系統(tǒng)級(jí)聯(lián)失效。同時(shí)，健康監(jiān)控機(jī)制還支持分區(qū)獨(dú)立重啟與故障上報(bào)，大幅提升航電系統(tǒng)的可靠性與可用性；它與時(shí)間、空間分區(qū)隔離機(jī)制協(xié)同工作，既保障不同安全等級(jí)應(yīng)用的穩(wěn)定運(yùn)行，又簡(jiǎn)化故障維護(hù)與適航認(rèn)證，為 模塊架構(gòu)下航電系統(tǒng)的安全、確定性與可維護(hù)性提供關(guān)鍵支撐。

因此，隨著低空經(jīng)濟(jì)進(jìn)一步發(fā)展，更多的不同級(jí)別飛行器研發(fā)和制造，其航電系統(tǒng)需要更統(tǒng)一的規(guī)范進(jìn)行開(kāi)發(fā)，以支撐更高效的移植和升級(jí)。如果在低空經(jīng)濟(jì)飛行器航電系統(tǒng)中采用ARINC 653規(guī)范研制，實(shí)現(xiàn)分時(shí)分區(qū)的設(shè)計(jì)，采用健康監(jiān)控等技術(shù)，就可以大幅提高系統(tǒng)安全性。與此同時(shí)，在經(jīng)濟(jì)性方面，該標(biāo)準(zhǔn)支撐綜合模塊化航電架構(gòu)，將傳統(tǒng)架構(gòu)中分散的數(shù)十個(gè)獨(dú)立計(jì)算機(jī)整合為少數(shù)通用處理模塊，從而大幅降低機(jī)載設(shè)備的重量、功耗、散熱需求和全生命周期維護(hù)成本。典型案例包括波音787和空客A350，其航電系統(tǒng)均借此實(shí)現(xiàn)了航電系統(tǒng)的輕量化與高效能。總的來(lái)看，ARINC 653通過(guò)分區(qū)隔離、確定性調(diào)度和標(biāo)準(zhǔn)化接口，為現(xiàn)代民用航空提供了兼顧極致安全性與資源經(jīng)濟(jì)性的技術(shù)基礎(chǔ)，是大型客機(jī)、EVTOL及先進(jìn)無(wú)人機(jī)航電系統(tǒng)的首選架構(gòu)標(biāo)準(zhǔn)。

任何一個(gè)新產(chǎn)業(yè)，最終比拼的都不只是創(chuàng)新速度，更是體系能力與發(fā)展質(zhì)量。對(duì)低空經(jīng)濟(jì)而言，唯有把安全、可靠與規(guī)范發(fā)展內(nèi)化為底層共識(shí)，未來(lái)的空間才會(huì)真正打開(kāi)。風(fēng)河愿與產(chǎn)業(yè)伙伴攜手，共同推動(dòng)低空經(jīng)濟(jì)邁向更安全、更有序、更可持續(xù)的階段發(fā)展。

參考資料：

1、

https://aviation-ia.sae-itc.com/product-categories/product-category-lists/arinc-standards

2、https://www.windriver.com/products/embedded/helix

來(lái)源：風(fēng)河開(kāi)物

需要進(jìn)入通航圈交流群的朋友，

在公眾號(hào)對(duì)話框回復(fù)關(guān)鍵詞：入群。

免責(zé)聲明：本文及本公眾號(hào)任何文章之觀點(diǎn)，皆為交流探討之用，不構(gòu)成任何投資建議。本公眾號(hào)作者也不負(fù)有更新以往文章觀點(diǎn)之責(zé)任，一切以最新文章為準(zhǔn)。用戶根據(jù)本文及本公眾號(hào)任何其他觀點(diǎn)進(jìn)行投資，須風(fēng)險(xiǎn)自擔(dān)，責(zé)任自負(fù)。由此造成的一切后果，本公眾號(hào)不承擔(dān)任何責(zé)任。

⊙部分圖文源于網(wǎng)絡(luò)，僅用于學(xué)習(xí)交流，版權(quán)歸原作者所有，如有侵權(quán)請(qǐng)聯(lián)系我們刪除。

通航圈：一個(gè)行業(yè)的跌宕起伏