仝敏

摘 要：ARINC653标准是为了满足综合模块化航电系统（IMA）对实时操作系统的需求而提出的分区化的操作系统接口标准，其中Part4标准是对ARINC653 Part1标准的精简。本文在研究了ARINC653 Part1标准的基础上，详细研究了ARINC653 Part4标准，该标准提供了精简的分区通信模型（非阻塞）、删除了分区内通信机制等，消除了系统运行过程中可能导致任务截止期无法满足，提高了系统的确定性，分区严格的按照时间表顺行执行，系统的实时性也能够保证。

关键词：ARINC653 Part4;ARINC653 Part1

中图分类号：TP311 文献标识码：A

1 ARINC653 Part4标准简介

ARINC653标准是为了满足综合模块化航电系统（IMA）对实时操作系统的需求而提出的分区化的操作系统接口标准。它定义了一组位于航空计算机资源上的核心软件和应用软件之间的通用接口服务（简称APEX接口），以及应用软件通过这些服务控制进程调度、通信以及内部处理的状态信息。

ARINC653 Part4[1]标准是ARINC653 Part1[2]标准的子集，该标准基于一个更加简单的应用执行模型，为应用只提供最多两个进程（一个周期进程一个非周期进程）编程模型以及基于双进程模型的一些精简服务集，ARINC653 Part4标准本质上是对ARINC653 Part1标准加以简化的限制，其主要目的是在操作系统层和应用软件层之间定义一个通用的精简的APEX（应用软件/执行）接口。

ARINC653 Part4标准的主要目的是形成一个满足特定功能应用需求的标准，这些应用主要是指一些轻量化、复杂度较低的应用，将不同的应用集成在一个或者多个不同的精简分区中，由一个统一内核完成资源管理。

2 国外基于ARINC653 Part4标准的操作系统产品

在国内外，目前已知明确满足ARINC653 Part4标准的操作系统是国外DDC-I公司的DEOSTM操作系统。DEOSTM是一款支持时空隔离分区的实时操作系统，具有硬实时响应能力及高安全性，并于1998年通过DO-178 A级认证。在此基础之上，DEOSTM先后发布了对ARINC653 Part1标准接口以及ARINC653 Part4标准接口支持的版本DEOS 653，以满足航空电子应用软件标准化的需求，针对不同类型、不同复杂度的航电应用需求，用户可采用不同的单一标准接口配置或者不同标准接口的混合配置。同时，为了适应航空领域中轻量、复杂度低的应用的开发需求（如大多数的LRU设备软件），DEOS又发布了仅支持ARINC653 Part4标准接口的DEOS ARINC653 P4 solo操作系统，从而形成了一条支持不同应用场景、不同软件复杂度的产品链。

3 ARINC653 Part4和Part1标准的对比设计约束

ARINC653 Part4接口和设计约束从功能单元到接口描述了基于ARINC653 Part 1标准的操作系统通过修改形成符合Part 4标准的操作系统的修改点，主要工作在于对Part1标准的精简。Part4和Part1的约束对比具体描述如下。

3.1 分区管理

分区调度限制一个分区只能配置一个分区的时间窗口，可简化周期进程释放点管理以及截止期（deadline）监控。

对分区操作模式来说，锁抢占总是被禁止，操作系统不再使用分区LOCK_LEVEL，该值设置为0。

3.2 进程管理

进程管理限制为双进程模型，即一个分区最多由两个进程组成：一个周期进程和一个非周期进程。周期进程的优先级比非周期进程高，非周期进程作为后台进程，而且它不能被停止。周期進程和非周期进程不能并行操作，即当周期进程完成自己的任务后，非周期进程才能被调度执行，直到周期进程在下一个周期又重新被释放。

双进程比单进程更灵活，也就是说，可支持更多应用。

周期进程比非周期进程有更高的优先级，这样调度比较简单和确定（没有就绪队列管理、没有优先级管理）。

在ARINC653 Part4的操作系统忽略以下进程属性：

a.基本优先级;

b.周期：周期作为标志来识别进程的类型，即无限大的值意味着非周期进程，而其他值意味着周期进程。对于周期进程来说，真实的进程周期总是分区周期，不管指定的其他非无限大的值。

c.时间：对于周期进程来说，有效的时间就是分区周期;对于非周期进程来说，有效的时间是无限的。

d.截止期。

3.3 时间管理

周期进程的时间和分区周期相等，即如果周期进程在释放点上在处于运行状态，则截止期（deadline）未满足;非周期进程的时间是无限的，即没有截止期（deadline）监控。

3.4 分区内通信

为了简化进程管理，不支持ARINC653 Part1的分区内通信服务。

3.5 分区间通信

为了删除等待队列和简化进程管理，分区间通信限制只能使用非阻塞操作模式，队列端口的排队规则属性被忽略。

在队列模式的发送方向，如果队列为满或者包含的空间不能存储整个消息，则发送请求被取消，而不用让分区的请求进程进入Waiting状态;在队列模式的接收方向：如果消息队列为空，则接收请求被取消，而不用让分区的请求进程进入Waiting状态。

3.6 健康监控

ARINC653 Part4标准不支持进程的错误处理程序，错误等级限制到分区或者模块。

4 小结

ARINC653 Part4标准是对ARINC653 Part1标准的精简，相比Part1标准，Part4标准固化了许多分区、任务的属性，减少了配置的灵活性，但正是由于Part4标准对属性的固定，提供了精简的分区通信模型（非阻塞）、删除了分区内通信机制等，消除了系统运行过程中可能导致任务截止期无法满足，提高了系统的确定性，分区严格的按照时间表顺行执行，系统的实时性也能够保证。这与飞控应用的严格执行时序逻辑、高确定性的核心需求是一致的。

参考文献：

[1]Airlines Electronic Engineering Committee.Avionics Application Software Standard Interface Part 4 – Subset Services[S].16701 Melford Blvd.，Suite 120，Bowie，Maryland 20715 USA：Aeronautical Radio，Inc，June 1，2012.

[2]Airlines Electronic Engineering Committee.Avionics Application Software Standard Interface Part 1 – Required Services[S].16701 Melford Blvd.，Suite 120，Bowie，Maryland 20715 USA：Aeronautical Radio，Inc，August 21，2015.