操作系统ARINC653标准符合性验证方法的研究.docx

1、操作系统ARINC653标准符合性验证方法的研究操作系统ARINC653标准符合性验证方法的研究第4l卷第4期2011年7月航空计算技术AeronauticalComputingTechniqueVo1.41No.4Ju1.2011囵操作系统ARINC653标准符合性验证方法的研究仝敏,徐晓光(中国航空计算技术研究所,陕西西安710068)摘要:ARINC653标准是一种国际流行的多分区操作系统的接口标准,是否符合ARINC653标准是衡量一个嵌入式实时多分区操作系统是否符合国际主流标准,以及上层应用是否丰富的一个重要因素.如何验证多分区操作系统是否符合ARINC653一直是嵌入式实时多分区操

2、作系统测试的重点和难点.提出了一种采用C/S结构,基于ARINC653Part3测试标准验证框架的实用多分区操作系统符合性验证方法,方法不需要对操作系统源码进行修改,并且可以根据测试项排序连续测试.实验证明了验证方法的有效性和准确性.关键词:ARINC653;操作系统;符合性验证中图分类号:TP311文献标识码:A文章编号:1671654X(2011)04.007005ResearchonConformityTestMethodofARINC653SpecificationTONGMin,XUXiaoguang(AeronauticalComputingTechniqueResearchIns

3、titute,Xian710068,China)Abstract:ARINC653standardisaninternationalprevalentinterfacestandardwhichappliedwidelyonmultiplepartitionoperationsystems.TobeconsistentwithARINC653isakeypointtothepopularityofarealtimeoperatingsystemandtheenrichmentofrelatedapplicationsa.Itisimportantanddifficulttofindawayto

4、testaoperatingsystemwhetheritisconsistentwithARINC653,C/SstructureconformitytestmethodofARINC653isproposedinthispaper,itisbasedonthetypicalcompliancedemonstrationinARINC653Part3,anditdoesnotneedtomodifythecodeofoperatingsystemandcanruntestitemsorderlyandcontinuously.Finally,validityandveracityofthec

5、onformitytestmethodisprovedthroughexperimentations.Keywords:ARINC653;operationsystem;conformitytest引言ARINC653是针对新一代航空电子系统高度综合化模块化的需求而提出的一种多分区操作系统接口标准,它从开放性,时间/空间确定性,可靠性,安全性,透明性,应用软件的可移植性,可重用性,可升级性等方面都明确定义了综合化航空电子系统对机载嵌入式操作系统的需求和解决机制.目前,国外操作系统厂商纷纷推出满足ARINC653标准要求的操作系统,是否符合国际主流标准以及上层应用是否丰富是决定一个操作系统生命力

6、的至关重要的因素.本研究有助于提高对ARINC653服务理解的准确性,提高测试的可管理性,测试的效率和质量,从而形成对操作系统产品的有效评价具有重要的意义.l研究背景1.1ARINC653标准综合化模块化航空电子(IMA,IntergratedModularAvionics)系统在带来成本降低,性能提高的同时,也为设计者提出了新的难题和挑战,如何让多个任务共享处理器和网络资源,保证任务运行的确定性,隔离任务之间的故障传播等都成为综合化航电操作系统需要解决的问题.作为ARINC系列标准之一,ARINC653是针对现代飞机对综合化航电系统的需求而提出的一种多分区操作系统接口标准.ARINC653最

7、早提出于1997年,其目标是通过抽象的应用运行接口(APEX,Applica.tion/Executive)和时间/空间分区管理,改变传统的航收稿日期:20101230修订日期:20110402基金项目:航空科学基金项目资助(20091931006)作者简介:仝敏(1984一),女,陕西宝鸡人,主要研究方向为嵌入式实时操作系统.2011年7月仝敏等:操作系统ARINC653标准符合性验证方法的研究空电子嵌入式软件系统相互独立,应用软件与操作系统之间紧密耦合的运行方式,从而提高航空电子软件的可重用性.ARINC653通过定义APEX接口和基于标准接口的层次化体系架构,形成了如图1所示的IMA软件

8、结构.位于操作系统和应用软件之间的通用APEX接口是标准中最为重要的接口,该接口为应用程序提供了一系列的服务,包括分区管理,进程管理,时间管理,存储管理,分区内通信,分区间通信和健康监控等,通过这些服务将软件与硬件有效隔离,极大地提高了综合化航电系统的可移植性和可重用性.图1基于AR1NC653的开放系统体系结构分区是AR1NC653的核心概念,一个分区是一个独立的应用环境,由数据,上下文关系,配置属性和其他项组成,所有分区共享系统资源,分区的运行要满足时间和空间的要求.ARINC653机载实时操作系统与一般的操作系统的最大区别就是时间,空间隔离技术,其目的是有效保证各项实时任务的时间,空间的

9、确定性,有效隔离分区之间错误的影响.目前ARINC653主要由三个部分组成:Part1:基本服务,定义了56个基本的APEX服务;Part2:扩展服务,补充了.文件系统,外部事件等APEX服务_2;Part3:符合性验证规范,用于验证操作系统是否符合Partl和Part2服务规范要求.1.2标准符合性验证目前,国外操作系统厂商纷纷推出满足ARINC653标准要求的操作系统,如WindRiver公司的VXworksAE653,GreenHill公司的Integraty等,我国也推出了自主知识产权的机载嵌入式操作系统,并参照ARINC653制定了国家军用标准GJB5357.操作系统是机载设备的核心

10、软件和基础软件,具有高安全性,高确定性,强实时性,良好的开放性和可升级性等方面的特殊要求,需要进行充分而全面的测试来保证其质量.软件的标准符合性验证就是测试开发的软件其接口或功能模块是否符合特定的软件标准或者规范,这里所说的符合性除了形式上一致之外,还指其在功能,数据控制,异常处理等方面也要符合标准规范.是否符合国际主流标准以及上层应用是否丰富是决定一个操作系统生命力的至关重要的因素.由于标准接口是开放式体系结构的核心,标准符合性也成为基于开放式体系结构的机载操作系统的关键指标.如何验证多分区操作系统是否符合ARINC653一直是操作系统符合性验证的重点和难点,针对操作系统ARINC653标准

11、符合性验证方法的研究,有助于提高我国自主知识产权的机载嵌入式实时操作的质量.2ARINC653符合性验证方法2.1ARINC653符合性验证标准ARINC653Part3测试规范目前以基本服务的功能测试为主,不包括对扩展服务的测试,以及性能测试和配置项测试.ARINC653Part3中定义了对于Part1中所规定的基本服务的API的符合性测试,其测试用例范围涵盖了基本的分区管理,进程管理,时间管理,内存管理,分区间通信,分区内通信,健康监控等七大类基本服务,验证操作系统产品在数据结构,API语法,服务语义等方面与标准的一致性,以便更好地支持应用程序的可移植性和可重用性.ARINC653Part

12、1中详细定义了APEX的各种服务和通用的数据类型,每个APEX服务的语法以ANSIC语言形式进行说明.服务描述中只确定数据类型名称,服务名称,参数名称和参数的顺序,而忽略过程的实现.ARINC653规范Part3与Part1所定义的每个服务一一对应,描述了服务的测试需求.Part3从正常输入的功能测试和异常输入的鲁棒性测试两个方面定义了符合性测试用例.每个测试用例均按标准模板描述,包括测试编号,测试目的,所覆盖的服务编号,被测服务类别,主要的环境变量,测试的主要步骤,预期输出结果,以及测试的假设条件等说明.下面以分区服务SETPARTITIONMODE为例来说明,图2显示了Part3中对服务执

13、行的各种需求和条件的进一步分析.图2(a)描述了追踪的SETPAR,TITIONMODE服务需求.根据服务的实现逻辑描述,针对各个判定条件(测试断言)设计测试用例,如图2(b)所示,在所定义的7个测试用例中5个(00100040)是针对正常输入的检测,2个(0050,0060)是对异常输入的测试(即鲁棒性测试).图2(b)中的每一条断言都映射为一个测试用例,并描述了相应的测试步骤,图2(C)显示了测试用例0060的设计描述和测试过程描述,每个测试用例均按标准模板描述,包括测试编号,测试目的,所覆盖的服务编号,被测服务类航空计算技术第4l卷第4期别,主要的环境变量,测试的主要步骤,预期输出结果,

14、以及测试的假设条件等说明.每个服务还定义了一个1he舻瞄时训肿枷口lhe8|lPanI0dBS日啪t柳v啉hal1抽8.IecI鹪S甜PARnONMODEmBI一Pafamters:OPERATINGMODE甜OPERATING0DTYPEt船艘罐蔓翱燃髓#一R丁u刚C0陇E俐RNCoDEIB艇强8I-衄盎出瞳B蚍瞳出一NO.I曩Ilcces忡籼_ERRORfINVAL0PAP,AMoPERATINGO0EdO聃not嘲alleXlingmodeXOACTION.OPRATENGMODE%r,ormaanda|Inn啪砷a帅口isNORMALIN,眦10M.oE0PER/nHGM00EmWAR

15、MgTRT肼curmntmOde【#COtDSTgRT(a)服务需求追踪j.带2.3.t两.4d3.2,2.2嘶ll她她燃姻脚糖一一:i羹照篓.一二一T|itNOT-艄AR230:(301蕈STPURPO&E:TOSLm蹦懈SETpPIITtONDE曲anlincifromC0LDSTARTloWARaSTARTCVR8COVfRED:?0230:0060SERViCe.-嘲GjWOR=312.22ParIhlManacleme,t,ServicesRequiremenEIIRO嘲ENT5qIIMl蜘r卢却自mC0)START蛐l.mr.rElOECR/PTION:Rleudo-cod

16、e如r懈LTestc确mcemmcH蔓CKSL=T_PAINODEusing日sargumentsthefoowing?自诲WARMSTART?Eede础培INVAL10MODEChek瑚D僦eItelrn,edn0eO雌Testc.eeedcIreturnedfloe.嘲EDRE&ULT8:The日0啪rl0rcodefBlwomsarvicecllmbuenees1:嚣:一涮.宏测试用例(ServiceMacro),作为一个简化的测试用例描述,如图2(d)所示.0RATi,presealEdstgrhodeCurter.tpartitionmodeINGMODEPIPA砌船舯f口N

17、ORMlYHOTNORMALnYAnvt豫MAIt)RMlj,(b)测试断言分析CiiEcKsETPAR删州MonEnmChe!SETPA肘mON,4001Drl嘶帅I1I$r_PAR1ITff)NMOI)I槲Md(PIRTl州一M砘J:thl删,tTorkdcf舶IpLl(p【肌Opuc州岫bytheSETP,RTIT;ONSTATLISer4Rsll附fl棚妇fnf啦玎2蠲踊踊踊璃鼎圈黜黼霸鞘嘲隳hmkr嗍Il11lf舭0RETL眦Kco0TYE,IIhr1kot1v1fuf0llIS1ulllIn5【mveGFTPARTITIONATUSOLFf#JR艉NrOTYPFR聃忡*IH加S1I

18、AR川0NM)ERI.ORRIlwIm0Ink;_dtndii:I=nBwJhmdbvlcfhcwdIfRROR0ERR0Rl图2Part3符合性测试需求2.2验证方法根据嵌入式实时多分区操作系统的特点和ARINC653Partl标准中APEX接口服务,图3给出了典型的标准符合性验证过程.一应.一.(图3ARINC653标准符合性验证框架巳从图3中可以看出,符合ARINC653Partl标准的操作系统和符合ARINC653Part3的测试工具是两个独立的软件,可以编制基于ARINC653Part3的测试用例代码,并与被测操作系统的头文件,配置文件等进行编译链接,生成可执行的测试用例程序.还可以

19、根据标准制定测试计划,测试平台执行测试计划,提供测(d)宏测试描述试用例的运行环境,并管理与被测操作系统API之间的通信.经过对嵌入式实时操作系统和ARINC653标准的深入研究,本文设计了一个基于上述验证框架的主机/目标机结构的测试方法,主机/目标机的交叉验证环境有助于用户更友好地选择测试用例并获取测试结果.图4给出了这种验证法方法的体系结构示意图.f选测试用例l步:生成获取结果军测试项列表l昂:2的头文件Il目标机端运行的待测试源程序第缸s步:执行旨蔓创建闰写入目标机图4验证体系结构从图4可以看出,验证平台主要由两部分组成:主机端和目标机端.主机端用于和用户进行交互,目标2011年7月仝敏

20、等:操作系统ARINC653标准符合性验证方法的研究机端用于运行测试程序,两部分共同完成操作系统ARINC653标准的符合性验证.使用该方法进行操作系统符合性测试的用户通过主机端界面选择要执行的测试项(测试项名和待测试接口一一对应),以及哪些测试项需要显示测试日志信息.当测试程序运行完毕,用户通过主机端界面的显示信息获取测试结果,如果在选择某测试项时选择了显示测试日志信息,该记录信息会一并显示,测试日志信息的显示有助于测试程序发生错误时用户定位.在用户选定的测试项中,有些测试项之间相互有影响,有些测试项对其他测试项没有影响,因此测试程序的运行顺序就很重要,验证平台的主机端能够确定哪些测试项可以

21、顺序运行,哪些测试项必须单独运行,从而将测试项组织成一系列独立的测试序列,测试序列相互间没有影响.对于每个测试序列,主机端生成一个包含待执行测试项列表的头文件,作为验证程序运行的必要条件.验证平台的目标机端包含AR1NC653Part3标准要求的所有的测试项以及待测试的操作系统,测试程序作为应用运行在符合ARINC653标准的操作系统分区内.ARINC653支持分区问通信,验证平台要对分区间通信的APEX接口进行测试,因此就需要有一个配合测试的分区发送和接收端口信息.当测试用户选择测试项生成测试相关头文件后,并在测试程序运行到目标机之前,需要为操作系统配置:两个分区(master.Partit

22、ion和auxPartition),masterPartition运行测试程序,auxPartition配合测试.整个验证平台运行步骤为:用户选定的测试项后主机端生成包含测试项的头文件(图4中第1步),主机端将生成的包含待执行测试项的头文件与目标机端测试程序进行编译链接(图4中第2步),与此同时对于每个主机端程序,目标机端生成一个或多个可执行组件并可以被主机端组件触发.生成完成后,主机端程序激活目标机端的任务独立运行(图4中第3步).测试程序将一次执行用户选择的测试项,如果指定打开了显示测试日志信息,那么在测试过程中将显示测试日志信息.当所有测试结束后,将输出测试结果给用户(图4中第4步),测

23、试结果可以输出到文件或者按照打印信息输出.3ARINC653符合性验证实例基于上述的验证方法,作者开发了一个简单的验证环境,并构造符合ARINC653Part3的测试用例,现在将它应用于AE653和自主开发的嵌入式实时多分区操作系统原型上,验证这两个操作系统对ARINC653标准的符合性.验证结果的每个测试项输出格式为:Test<TESTNAME>result:OK/FAILED.3.1对AE653的测试测试前需要对AE653的配置表进行配置.本次测试共选择27个测试项,通过23个,失败4个,通过率85.18%,具体测试结果如表1.表1对AE653的测试结果3.2对自主开发的嵌入式

24、实时多分区操作系统原型的测试为了进行比较,对自主开发的嵌人式实时多分区操作系统(简称:自主系统),选择和AE653测试时相同的27个测试项进行测试.对配置表配置完成后即可运行测试项,通过22个,失败5个,通过率81.48%,具体测试结果如表2.本次测试仅选择Part3中的27个测试项,如果时间充足,可以对所有的测试项进行测试.在验证测试过程中,仍有部分测试项不能通过,可以根据测试结果和测试显示信息分析失败或发生错误的原因.?74?航空计算技术第4l卷第4期表2对自主系统的测试结果4结论由上述对AE653和自主开发的嵌入式实时多分区操作系统的验证实例的结果分析发现:1)除了开发错误,测试不通过的

25、原因还可能是由于验证程序开发人员和操作系统开发人员对ARINC653标准的理解不一致造成;2)本文的方法可以用于验证不同的嵌入式实时多分区操作系统;3)测试结果明显地标识出对应的APEX接口功能是否通过测试或者发生错误,用户可以根据测试显示信息分析失败或发生错误的原因.本文提出的方法对验证嵌入式实时多分区操作系统的标准符合性具有适用性,有效性,准确性,测试程序可以随着对标准理解的不断深入进行改进.参考文献:1AidinesElectronicEngineeringConmaittee.AvionicsApplicationSoftwareStandardInterfacePart1一Requi

26、redServicess.2551RivaRode,Annapolis,Maryland214017435:ARINC,March7,2006.2AidinesElectronicEngineeringCommittee.AvionicsApplicationSoftwareStandardInterfacePart2一ExtendedServicesS.2551RivaRode,Annapolis,Maryland214017435:ARINC,August28,2006.3AMinesElectronicEngineeringCommittee.AvionicsApplicationSoftwareStandardInterfacePart3一conformitytestspecifications.2551RivaRode,Annapolis,Maryland214017435:ARINC,August19,2005.4SkysoftPortugalSA.AV3A66531UserManualz.April12,2007.5牟明,刘群,周敏刚.航空嵌入式软件测试环境确认方法研究J.航空计算技术,201l,41(2):7779.