怎样写网络小说,盗墓笔记小说全集,最好看的小说排行

作者 |蔡喁上海控安可信軟件創新研究院副院長

版塊 |鑒源論壇 · 觀擎

社群 |添加微信號“TICPShanghai”加入“上海控安51fusa安全社區”

在淺談操作系統的適航符合性（上）中，詳細介紹了民用飛機操作系統的研制現狀及其適航要求，重點分析了當前滿足適航要求的嵌入式操作系統研發的主要難點。本篇將展開討論降低民機機載操作系統適航風險的具體方法。

機載嵌入式操作系統的適航路徑

由于上面的這些問題，在民用飛機機載軟件中使用的嵌入式操作系統，既要考慮高效的表明適航符合性，也需要能夠實現對底層硬件的有效封裝，方便應用軟件的開發，真正發揮使用操作系統的便捷。通常，民機機載操作系統往往采用以下幾個方法降低適航風險。

4.1 嚴格控制接口數量和類型

民機機載操作系統作為民用飛機功能的提供者，與民用飛機整體設計理念一脈相承，其首要思路就是功能嚴格按照需求和依據應用場景要求開發。民用飛機上每一克重量每一處設計都突出堅決不包含無用功能的概念。機載軟件以及其操作系統，往往也會嚴格控制無用的功能和組件。這不僅僅是減少重量和功耗成本，也是為了減少不必要的安全影響，降低適航取證以及維護等成本的必然選擇。某國外民機機載操作系統廠商曾如此向筆者描述其提供的API范圍，其所在的公司為了提供完美的機載嵌入式操作系統，他們精簡了原先高安全性操作系統（非民機版本）中約95%的函數以及相應的代碼。可見，“精簡”是民機機載操作系統廠商的普遍選擇。

4.2 針對性適配硬件對象

近些年來，操作系統規模越來越大，除了固化大量常用的操作以外，對各種不同類型的硬件提供適配也是原因之一。為了快速方便的適配，勢必需要準備或者囊括各種不同類型的底層庫，包括硬件抽象、底層接口庫等。根據民機適航符合性的原則，所有裝機代碼都是機載軟件審查對象。操作系統提供方或者機載功能的開發單位勢必需要按照DO-178B/C標準表明這些庫的符合性。不論這些庫是否作為操作系統一部分提供，往往都會帶來安全分析的壓力以及適航取證的成本。因此，國外典型的民機機載嵌入式操作系統往往嚴格限定所適配的硬件對象，減少不必要的投入以及鑒定系統交付文件的復雜性。也有部分民機操作系統將硬件適配活動交由應用開發單位自己完成，這也無形中增加了操作系統使用的難度和成本。

4.3 完整的生命周期過程和數據

實現機載操作系統的順利取證，研制單位必須完整地掌握其中所有的軟件組件的詳細設計數據。具有從需求、設計到代碼乃至編譯方法在內的全套技術細節。能夠對其開展滿足適航要求的系統設計和完整驗證工作。往往對于其中采用的第三方或歷史系統組件，需要有能力完成逆向工程并以此為起點完善相應的生命周期過程和數據。

4.4 提供典型場景示例以及適航鑒定數據包

作為面向民機功能開發的底層模塊，操作系統研制單位必須能理解應用單位的使用場景，并且提供盡可能多的符合性證據支持，幫助應用開發單位降低后續開發和取證成本。為此，除了通常的操作系統手冊文件外，一般還需為后續應用單位取證活動準備相應的鑒定數據包。數據包除包含需求、設計、代碼等生命周期數據以備適航評審以外，通常還包括針對典型應用場景的性能分析數據等。

飛蜻操作系統

華東師范大學軟件工程學院與上海控安共同開發的飛蜻（FlyLite）操作系統，取輕快飛行之意，目標是盡量減少國內企業適航軟件的開發成本和周期。是國內首個貫徹上述思路，面向民用飛機低成本研發而打造的輕量級操作系統。該系統按照RTCA DO-178C A級軟件要求開發。

圖1 飛蜻FlyLite操作系統

研制團隊完整地定義了操作系統的接口和服務需求，實現了詳細設計和代碼開發。通過基于需求的測試完成了對需求和結構的覆蓋。為確保操作系統本身廣泛的適用性以及后續對不同類型機載軟件的快速適配，同時保證應用軟件的可移植性，操作系統接口按照POSIX標準開發，對標準中某些細節進行了完善。通過自研的測試覆蓋分析工具，以及在開源平臺上搭建的需求和過程管理工具，項目團隊實現了低成本的軟件生命周期環境構架，確保研制過程具有完整的生命周期過程數據記錄。

圖2 飛蜻目標架構

為避免過多硬件適配可能帶來的問題，飛蜻操作系統針對STM32L496以及某國產處理器為硬件對象，實現了接口層以下全面的適航符合性證據數據包的規劃。為了確保數據的完整性，項目團隊重新篩選并開發了Libc和Libm庫，避免了底層軟件中的不透明問題。最大程度地減少了取證風險。此外，針對應用單位可能在后續集成和驗證過程中可能的軟件分析工作，飛蜻操作系統還在其研發過程中引入了形式化性能分析以及調度特性建模仿真技術，方便應用單位在后期引入針對關鍵性能指標的模型仿真。