操作系统ARINC653标准符合性验证方法的研究.docx

操作系统ARINC653标准符合性验证方法的研究.docx

《操作系统ARINC653标准符合性验证方法的研究.docx》由会员分享，可在线阅读，更多相关《操作系统ARINC653标准符合性验证方法的研究.docx（16页珍藏版）》请在冰点文库上搜索。

操作系统ARINC653标准符合性验证方法的研究

操作系统ARINC653标准符合性验证方法的研究

第4l卷第4期

2011年7月

航空计算技术

AeronauticalComputingTechnique

Vo1.41No.4

Ju1.2011

囵操作系统ARINC653标准符合性验证方法的研究仝敏,徐晓光（中国航空计算技术研究所,陕西西安710068）摘要:

ARINC653标准是一种国际流行的多分区操作系统的接口标准,是否符合ARINC653标

准是衡量一个嵌入式实时多分区操作系统是否符合国际主流标准,以及上层应用是否丰富的一个

重要因素.如何验证多分区操作系统是否符合ARINC653一直是嵌入式实时多分区操作系统测

试的重点和难点.提出了一种采用C/S结构,基于ARINC653Part3测试标准验证框架的实用多

分区操作系统符合性验证方法,方法不需要对操作系统源码进行修改,并且可以根据测试项排序

连续测试.实验证明了验证方法的有效性和准确性.

关键词:

ARINC653;操作系统;符合性验证

中图分类号:

TP311文献标识码:

A文章编号:

1671—654X（2011）04.0070—05

ResearchonConformityTestMethodofARINC653Specification

TONGMin,XUXiao—guang

（AeronauticalComputingTechniqueResearchInstitute,Xian710068,China）

Abstract:

ARINC653standardisaninternationalprevalentinterfacestandardwhichappliedwidelyon

multiplepartitionoperationsystems.TobeconsistentwithARINC653isakeypointtothepopularityofa

real—timeoperatingsystemandtheenrichmentofrelatedapplicationsa.Itisimportantanddifficultto

findawaytotestaoperatingsystemwhetheritisconsistentwithARINC653,C/Sstructureconformity

testmethodofARINC653isproposedinthispaper,itisbasedonthetypicalcompliancedemonstration

inARINC653Part3,anditdoesnotneedtomodifythecodeofoperatingsystemandcanruntestitems

orderlyandcontinuously.Finally,validityandveracityoftheconformitytestmethodisprovedthroughex—

perimentations.

Keywords:

ARINC653;operationsystem;conformitytest

引言

ARINC653是针对新一代航空电子系统高度综合

化模块化的需求而提出的一种多分区操作系统接口标

准,它从开放性,时间/空间确定性,可靠性,安全性,透

明性,应用软件的可移植性,可重用性,可升级性等方

面都明确定义了综合化航空电子系统对机载嵌入式操

作系统的需求和解决机制.目前,国外操作系统厂商

纷纷推出满足ARINC653标准要求的操作系统,是否

符合国际主流标准以及上层应用是否丰富是决定一个

操作系统生命力的至关重要的因素.

本研究有助于提高对ARINC653服务理解的准

确性,提高测试的可管理性,测试的效率和质量,从而

形成对操作系统产品的有效评价具有重要的意义.

l研究背景

1.1ARINC653标准

综合化模块化航空电子（IMA,IntergratedModular

Avionics）系统在带来成本降低,性能提高的同时,也为

设计者提出了新的难题和挑战,如何让多个任务共享

处理器和网络资源,保证任务运行的确定性,隔离任务

之间的故障传播等都成为综合化航电操作系统需要解

决的问题.

作为ARINC系列标准之一,ARINC653是针对现

代飞机对综合化航电系统的需求而提出的一种多分区

操作系统接口标准.ARINC653最早提出于1997年,

其目标是通过抽象的应用运行接口（APEX,Applica.

tion/Executive）和时间/空间分区管理,改变传统的航

收稿日期:

2010—12—30修订日期:

2011—04—02

基金项目:

航空科学基金项目资助（20091931006）

作者简介:

仝敏（1984一）,女,陕西宝鸡人,主要研究方向为嵌入式实时操作系统.

2011年7月仝敏等:

操作系统ARINC653标准符合性验证方法的研究

空电子嵌入式软件系统相互独立,应用软件与操作系

统之间紧密耦合的运行方式,从而提高航空电子软件

的可重用性.ARINC653通过定义APEX接口和基于

标准接口的层次化体系架构,形成了如图1所示的

IMA软件结构.位于操作系统和应用软件之间的通用

APEX接口是标准中最为重要的接口,该接口为应用

程序提供了一系列的服务,包括分区管理,进程管理,

时间管理,存储管理,分区内通信,分区间通信和健康

监控等,通过这些服务将软件与硬件有效隔离,极大地

提高了综合化航电系统的可移植性和可重用性….

图1基于AR1NC653的开放系统体系结构

分区是AR1NC653的核心概念,一个分区是一个

独立的应用环境,由数据,上下文关系,配置属性和其

他项组成,所有分区共享系统资源,分区的运行要满足

时间和空间的要求.ARINC653机载实时操作系统与

一

般的操作系统的最大区别就是时间,空间隔离技术,

其目的是有效保证各项实时任务的时间,空间的确定

性,有效隔离分区之间错误的影响.

目前ARINC653主要由三个部分组成:

Part1:

基

本服务,定义了56个基本的APEX服务…;Part2:

扩

展服务,补充了.文件系统,外部事件等APEX服务_2;

Part3:

符合性验证规范,用于验证操作系统是否符合

Partl和Part2服务规范要求』.

1.2标准符合性验证

目前,国外操作系统厂商纷纷推出满足ARINC

653标准要求的操作系统,如WindRiver公司的VX

worksAE653,GreenHill公司的Integraty等,我国也推

出了自主知识产权的机载嵌入式操作系统,并参照

ARINC653制定了国家军用标准GJB5357.

操作系统是机载设备的核心软件和基础软件,具

有高安全性,高确定性,强实时性,良好的开放性和可

升级性等方面的特殊要求,需要进行充分而全面的测

试来保证其质量.软件的标准符合性验证就是测试开

发的软件其接口或功能模块是否符合特定的软件标准

或者规范,这里所说的符合性除了形式上一致之外,还

指其在功能,数据控制,异常处理等方面也要符合标准

规范.是否符合国际主流标准以及上层应用是否丰富

是决定一个操作系统生命力的至关重要的因素.由于

标准接口是开放式体系结构的核心,标准符合性也成

为基于开放式体系结构的机载操作系统的关键指标.

如何验证多分区操作系统是否符合ARINC653

一

直是操作系统符合性验证的重点和难点,针对操作

系统ARINC653标准符合性验证方法的研究,有助于

提高我国自主知识产权的机载嵌入式实时操作的质

量.

2ARINC653符合性验证方法

2.1ARINC653符合性验证标准

ARINC653Part3测试规范目前以基本服务的功

能测试为主,不包括对扩展服务的测试,以及性能测试

和配置项测试.ARINC653Part3中定义了对于Part

1中所规定的基本服务的API的符合性测试,其测试

用例范围涵盖了基本的分区管理,进程管理,时间管

理,内存管理,分区间通信,分区内通信,健康监控等七

大类基本服务,验证操作系统产品在数据结构,API语

法,服务语义等方面与标准的一致性,以便更好地支持

应用程序的可移植性和可重用性.

ARINC653Part1中详细定义了APEX的各种服

务和通用的数据类型,每个APEX服务的语法以ANSI

C语言形式进行说明.服务描述中只确定数据类型名

称,服务名称,参数名称和参数的顺序,而忽略过程的

实现.ARINC653规范Part3与Part1所定义的每个

服务一一对应,描述了服务的测试需求.Part3从正

常输入的功能测试和异常输入的鲁棒性测试两个方面

定义了符合性测试用例.每个测试用例均按标准模板

描述,包括测试编号,测试目的,所覆盖的服务编号,被

测服务类别,主要的环境变量,测试的主要步骤,预期

输出结果,以及测试的假设条件等说明.

下面以分区服务SET—PARTITION—MODE为例来

说明,图2显示了Part3中对服务执行的各种需求和

条件的进一步分析.图2（a）描述了追踪的SET—PAR,

TITION—MODE服务需求.根据服务的实现逻辑描述,

针对各个判定条件（测试断言）设计测试用例,如

图2（b）所示,在所定义的7个测试用例中5个（0010

～

0040）是针对正常输入的检测,2个（0050,0060）是

对异常输入的测试（即鲁棒性测试）.图2（b）中的每

一

条断言都映射为一个测试用例,并描述了相应的测

试步骤,图2（C）显示了测试用例0060的设计描述和

测试过程描述,每个测试用例均按标准模板描述,包括

测试编号,测试目的,所覆盖的服务编号,被测服务类

航空计算技术第4l卷第4期

别,主要的环境变量,测试的主要步骤,预期输出结果,

以及测试的假设条件等说明.每个服务还定义了一个

1he舻瞄时训肿枷口lhe8|lPanI∞0dBS日啪t柳v啉~hal1抽8.

IecI鹪S甜PAR"nONMODE

§ⅨmB《I一Pafamters:

OPERATINGMODE甜OPERATING^0D￡TYPEt

船艘罐蔓翱燃}髓#

一

R￡丁u刚C0陇E俐RNCoDEIB

§艇Ⅵ强8I-衄盎出瞳B蚍瞳出

一

NO.I曩Ilcces∞忡籼∞_

ERRORf

—

INVAL{0PAP,AM"oPERATINGO0EdO聃not嘲alleX'~ling

mode

XOACTION.OP~RATENGMODE%r,orma~anda|Inn啪砷a帅口

ⅢisNORMAL

—

IN,眦10M.oE0PER/~nHGM00EmWARMgT^RT肼curmntmOde

【#COtDSTgRT

（a）服务需求追踪

j.≮带2.3.'t两.4~d3.2,2.2嘶{

ll她她燃姻脚糖一一:

i羹

照篓.一二一

T|itNOT-艄AR230:

（30~

1蕈STPURPO~&E:

TOSL"m蹦懈SETpP~IITtONDE曲an{lincifromC0LDSTARTloWARaSTART

CVR8COVfRED:

?

0230:

0060

SERViCe.-嘲GjWOR=312.22ParIhlManacleme,t,ServicesRequiremen~

EI~IRO嘲ENT5qI^I∞

Ml蜘r卢却自mC0"）START蛐l.

№mⅣr.

rE~l"OE~CR/PTION:

Rleudo-code如r●■懈LTest

c确mcemmcH蔓CKSL=T_PAI~N』ODEusing日sargumentsthefo~owing

?

"自诲WARMSTART

?

EⅫede础培INVAL10MODE

Che~kⅡ瑚D僦eItel~rn,edn0eO雌

Testc.eeed∞cIreturnedfloe∞

.'嘲EDRE&ULT8:

The日0啪~~rl0rcodefBlwomsarvic~ecllmbue~nees1

:

嚣:

:

一涮.

宏测试用例（ServiceMacro）,作为一个简化的测试用

例描述,如图2（d）所示.

0RATi~,presealEdst~grhodeCurter.tpartitionmode

INGMODE

PIPA砌船舯f口NORM^lYHOTNORMAL

^nY

Anv

∞t豫MAIt）RM^l

j,,

（b）测试断言分析

CiiEcKsETPAR删州MonE

nmChe!

SETPA肘mON~,4001{

Drl嘶帅

I1I$r_PAR1ITff）N—MOI）I槲"Md（~PIR^Tl州一M砘J

:

thl∞删~,tTork¨d…cf舶'I~pLl（p㈣【肌

Opuc州岫bytheSETP~,RTIT;ONSTATLISer

4R'sll…附fl棚妇fnf啦『玎}2

蠲踊踊踊璃鼎圈黜黼霸鞘嘲隳h∞

mkr嗍Il'11

lf舭"0RETL眦Kco0￡TYE～{,IIhr…1

kot1v

[1fuf0llIS1"ull'lI"n…5【m

ve

GFTPARTITIONATUS

OLFf#JR艉NrOTYPFR聃"忡*^IH加

S1I'AR~川0NM）E~RI~.ORRI¨"lwIm

0Ink{;_dtndii:

:

~I=nB

wJh￡"}

"mdbvl…c…fhc

wdIfR

ROR0ERR0Rl

图2Part3符合性测试需求

2.2验证方法

根据嵌入式实时多分区操作系统的特点和

ARINC653Partl标准中APEX接口服务,图3给出了

典型的标准符合性验证过程.

..一

应.—一...（

图3ARINC653标准符合性验证框架

巳

从图3中可以看出,符合ARINC653Partl标准的

操作系统和符合ARINC653Part3的测试工具是两个

独立的软件,可以编制基于ARINC653Part3的测试

用例代码,并与被测操作系统的头文件,配置文件等进

行编译链接,生成可执行的测试用例程序.还可以根

据标准制定测试计划,测试平台执行测试计划,提供测

（d）宏测试描述

试用例的运行环境,并管理与被测操作系统API之间

的通信.

经过对嵌入式实时操作系统和ARINC653标准

的深入研究,本文设计了一个基于上述验证框架的主

机/目标机结构的测试方法,主机/目标机的交叉验证

环境有助于用户更友好地选择测试用例并获取测试结

果.图4给出了这种验证法方法的体系结构示意图.

…f选测试用例

l步:

生成获取结果

军测试项列表l昂:

2的头文件Il

目标机端运

行的待测试

源程序

第缸

s步:

执行旨蔓

创建闰写入

目标机

图4验证体系结构

从图4可以看出,验证平台主要由两部分组成:

主

机端和目标机端.主机端用于和用户进行交互,目标

2011年7月仝敏等:

操作系统ARINC653标准符合性验证方法的研究

机端用于运行测试程序,两部分共同完成操作系统

ARINC653标准的符合性验证.

使用该方法进行操作系统符合性测试的用户通过

主机端界面选择要执行的测试项（测试项名和待测试

接口一一对应）,以及哪些测试项需要显示测试日志信

息.当测试程序运行完毕,用户通过主机端界面的显

示信息获取测试结果,如果在选择某测试项时选择了

显示测试日志信息,该记录信息会一并显示,测试日志

信息的显示有助于测试程序发生错误时用户定位.

在用户选定的测试项中,有些测试项之间相互有

影响,有些测试项对其他测试项没有影响,因此测试程

序的运行顺序就很重要,验证平台的主机端能够确定

哪些测试项可以顺序运行,哪些测试项必须单独运行,

从而将测试项组织成一系列独立的测试序列,测试序

列相互间没有影响.对于每个测试序列,主机端生成

一

个包含待执行测试项列表的头文件,作为验证程序

运行的必要条件.

验证平台的目标机端包含AR1NC653Part3标准

要求的所有的测试项以及待测试的操作系统,测试程

序作为应用运行在符合ARINC653标准的操作系统

分区内.

ARINC653支持分区问通信,验证平台要对分区

间通信的APEX接口进行测试,因此就需要有一个配

合测试的分区发送和接收端口信息.当测试用户选择

测试项生成测试相关头文件后,并在测试程序运行到

目标机之前,需要为操作系统配置:

两个分区（master.

Partition和auxPartition）,masterPartition运行测试程

序,auxPartition配合测试.

整个验证平台运行步骤为:

用户选定的测试项后

主机端生成包含测试项的头文件（图4中第1步）,主

机端将生成的包含待执行测试项的头文件与目标机端

测试程序进行编译链接（图4中第2步）,与此同时对

于每个主机端程序,目标机端生成一个或多个可执行

组件并可以被主机端组件触发.生成完成后,主机端

程序激活目标机端的任务独立运行（图4中第3步）.

测试程序将一次执行用户选择的测试项,如果指定打

开了显示测试日志信息,那么在测试过程中将显示测

试日志信息.当所有测试结束后,将输出测试结果给

用户（图4中第4步）,测试结果可以输出到文件或者

按照打印信息输出.

3ARINC653符合性验证实例

基于上述的验证方法,作者开发了一个简单的验

证环境,并构造符合ARINC653Part3的测试用例,现

在将它应用于AE653和自主开发的嵌入式实时多分

区操作系统原型上,验证这两个操作系统对ARINC

653标准的符合性.验证结果的每个测试项输出格式

为:

"Test<TEST—NAME>result:

OK/FAILED".

3.1对AE653的测试

测试前需要对AE653的配置表进行配置.本次

测试共选择27个测试项,通过23个,失败4个,通过

率85.18%,具体测试结果如表1.

表1对AE653的测试结果

3.2对自主开发的嵌入式实时多分区操作系统原型

的测试

为了进行比较,对自主开发的嵌人式实时多分区

操作系统（简称:

自主系统）,选择和AE653测试时相

同的27个测试项进行测试.对配置表配置完成后即

可运行测试项,通过22个,失败5个,通过率81.48%,

具体测试结果如表2.

本次测试仅选择Part3中的27个测试项,如果时

间充足,可以对所有的测试项进行测试.在验证测试

过程中,仍有部分测试项不能通过,可以根据测试结果

和测试显示信息分析失败或发生错误的原因.

?

74?

航空计算技术第4l卷第4期

表2对自主系统的测试结果

4结论

由上述对AE653和自主开发的嵌入式实时多分

区操作系统的验证实例的结果分析发现:

1）除了开发错误,测试不通过的原因还可能是由

于验证程序开发人员和操作系统开发人员对ARINC

653标准的理解不一致造成;

2）本文的方法可以用于验证不同的嵌入式实时多

分区操作系统;

3）测试结果明显地标识出对应的APEX接口功能

是否通过测试或者发生错误,用户可以根据测试显示

信息分析失败或发生错误的原因.

本文提出的方法对验证嵌入式实时多分区操作系

统的标准符合性具有适用性,有效性,准确性,测试程

序可以随着对标准理解的不断深入进行改进.

参考文献:

[1]AidinesElectronicEngineeringConmaittee.AvionicsApplication

SoftwareStandardInterfacePart1一RequiredServices[s].

2551RivaRode,Annapolis,Maryland21401～7435:

ARINC,March7,2006.

[2]AidinesElectronicEngineeringCommittee.AvionicsApplication

SoftwareStandardInterfacePart2一ExtendedServices[S].

2551RivaRode,Annapolis,Maryland21401—7435:

ARINC,August28,2006.

[3]AMinesElectronicEngineeringCommittee.AvionicsAppli—

cationSoftwareStandardInterfacePart3一conformitytest

specification[s].2551RivaRode,Annapolis,Maryland

21401—7435:

ARINC,August19,2005.

[4]SkysoftPortugalSA.AV3'A6653—1UserManual[z].A—

pril12,2007.

[5]牟明,刘群,周敏刚.航空嵌入式软件测试环境确认方法

研究[J].航空计算技术,201l,41

（2）:

77—79.