ARINC 653分区系统时间分区研究

ARINC 653分区系统时间分区研究 ,,，,, ,,,分区系统时间分区研究 褚文奎 樊晓光 张凤鸣 (空军工程大学工程学院，陕西西安，,,,,,,) 摘要:通过为每个应用程序分配固定的内存空间和调度时间槽，基于,,，,, ,,,的分 区系统隔离了应用程序，增强了系统的安全性，确保了系统的可预测性，同时也降低了系统的 实时性能。针对这一问题，借鉴,,一,,,,定义的软件安全级别和,,,,,,,的双核结构思想， 提出了一种新的分区调度机制，即根据分区服务的关键度、紧迫度和完成度，设置、动态调整 分区优先级，允许分区抢占调度。这种调度策略扩展了时间分区的概念，增强了系统调度灵活 性，提高了系统实时性能，不足之处是可能会弱化系统的可预测性。 关键词:分区系统;时间分区;实时性能;综合模块化航空电子,(引言 随着计算机、通信和软件等技术的不断发展以及传统航空电子系统全寿命周期费用 (,,,, ,,;,, ,,,,，,,,)的不断增加，越来越多的原始设备制造商已经意识到开发基于商用货架(,,,,,,;,,, ,,,,,,,(,,,,,，,,,,)技术的航空电子系统或模块的重要性和必要性。同时，,,,的不断增加也促使航空电子系统体系结构由传统子系统各自分离的联合式 (,,,,,,,,,)向共享通用计算平台、多种应用程序并行执行的综合模块化航空电子【,】 (，,,,,,,,,, ,,,,,,, ,,,,,,;,，，,,)转变。可以说，,,,,技术与，,,方法相辅相成。,,,,技术为，,,系统提供了最小可更换单元——外场可更换模块，降低了系统认证成本，延伸了系统的维护性和可移植性。而，,,方法拓展了,,,,产品的应用空间，促进了,,,,开发、认证和维护等技术的发展。 由于，,,需要允许多个不同关键级别的应用程序并行执行，因此，就有必要保护各个应用程序免受其他程序的潜在干扰。为了保护应用程序和系统资源，航空电子计算资源规范,,,定义了两个在，,,系统中广为使用的重要概念:空间分区和时间分区。,,，,, ,,,规范,,,贝,定义了应用执行(,,,,,;,,,,, ,,,;,,,,,，,,,,)接口支持应用程序的空间和时间分区。空间分区是指,,，,, ,,,系统在物理内存中分别为每个软件分区程序(它由很多进程组成)分配一段专有的空间，以保证其免受其他与之共享物理资源的应用程序的不利干扰。而时间分区是指,,，,, ,,,系统为每个分区程序分别分配一段时间槽，以保证每个程序使用,,,不超过预定义的时间。 为了解决时间分区问题，当前主要有两种调度模型【,，,】:一是,级调度模型，在这个模型中只有一个内核调度器，既能调度分区任务又能调度分区任务内的进程;二是二级调度模型，此模型包含两个级别的调度器:调度分区任务的核心调度器和调度分区内进程的分区调度器。其中，二级调度模型又倾向于核心调度器周期轮转调度分区，而分区调度器基于固定优先级抢占调度进程垆?,,，如图,所示。由于能够通过周期计算而获知系统当前执行 基金资助:空军工程大学工程学院优秀博士论文创新基金(,,,,,,,)，中国博士后科学基金(,,,,,,,,,,,) 联系作者:褚文奎，,,,,,,:;,,,,,,,,,班,,,(,,, 第,,部分嵌入式系统的分区，而分区内进程又允许抢占，因而这种调度模型在一定程度上增强了系统的可预测性和灵活性。但是这种调度模型同时也存在着缺陷，最明显的表现是系统实时性能不强。 本文着蘑探讨符合,,，,, ,,,规范的系统的时间分区问题，旨在二级调度模型中分区周期轮转调度机制的缺陷，在此基础上提出一种新的能够克服这些缺陷的分区调度模型。课题 暂时将研究范围约束到单一计算机上，而不是网络环境中。 ,——而了万———,———可而丁厂——,,:,寸——、了汀?—,? 图,典型二级调度模型,(分区周期轮转调度模型缺陷分析,(, 分区周期轮转调度缺陷分析 符合,,，,, ,,,规范的分区系统典型体系结构【,】如图,所示。在这类系统中，分区操作系统(,,,,,,,,,,,, ,,,,,,,,, ,,,,,,，,,,)包含在每个分区中，通过相应的,,，(比如,,,,、,,,，, ,,，、,,,,,,, ,,，等)支持应用程序，并通过系统接口与模块化核心操作 ,,,,,,,,, ,,,,,,，,,,)进行通信。这种体系结构下的系统通常采用如图,系统(,,,,,,,所示的二级调度策略【,，,,，即,,,中的核心调度器周期轮转调度每个分区，同时每个分区内的分区调度器采用固定优先级抢占的调度策略负责其内的进程调度。当一个分区的时间槽消耗完毕后，不管分区任务是否完成，内核强制切换并执行下一分区程序。这种调度策略很好地解决了分区超时执行问题，增强了系统的可预测性和安全性，但该调度模型同时也存在以下问题。,(,(,分区关键度问题 由分区周期轮转调度策略可知，每个分区程序的关键度是“均衡的”，即不允许其他分区程序抢占当前正在执行的分区程序。但是在一个实际的，,,系统中，并不是每个分区程序的关键度在任何时刻都是一致的。比如当战斗机进行空中格斗时，显然要求飞机信息管理系统中的推力管理程序(分区程序,)要优先于中央维护程序(分区程序,)执行;当飞机遇到交通危险时，空中交通与防碰撞系统(分区程序,)要优先于气象雷达服务(分区程序,)。 ,,，,, ,,,分区系统时间分匪研究 九四(蒜龆麓;嚣，…,四,, 圈, ,,，,, ,,,分区系统体系结构,(,(,分区时间槽固定问疆 为每个分区任务分配固定的时间槽需要预知分区内各个进程的执行时间。实际上(每个进程的执行时间、上下边界根本无法确切计算。受限于,,,时钟粒度，累计所有进程最坏情况下的执行时间并分配给分区程序的做法并不能确保为每个分区分配的时间恰好等于其需求时间，因而势必造成时问片浪费和,,,空转。,(, ,系统实时性问题 分区程序在执行过程中盯能会出现两种情况:一是异常提前结束，而由于为该分区分配的时间槽还没有消耗完毕，那么,,,将不得不簪转下去而不能调度新的分区程序;二是当某一分区程序正在执行时，系统需要紧急切换到另一分区程序上，而该分区程序由于无法抢占当前分区程序不得，,,,,延后执行。这就造成了系统实时性能不强，无法满足硬实时需求。从实时系统,,,的角度考虐，由于紧急事件不能得到及时有效的处理，那么所谓的任务关键或安全关键的系统的安全性就可能受到威胁。, ,分区调度模型值得改进之处 由上述分析可知，无论是分区关键度一致问题(还是分区时间槽固定问题，归根结底都会影响系统的实时性能。因而对分区调度模型改进时需要解决上述问题，增加分区抢占调度机制，提高系统实时性能。总的来看，新的分区调度模型应具有以下几个特点: ,)在分区正常执行并没有外部事件发生时，核心调度器周期轮转调度就绪分区。 ,)当分区内某一进程独占,,,时，若该分区时间稽消耗完毕，核心调度器则强制把系统控制权切换到下一分区上。即把分区内进程失效的影响约束到该分区内部。 ,)当分区任务正常或异常结束后，分区向核心返回一个结束消息，建议核心调度器调度其他就绪分区。 ,)当有一个或多个外部事件发生时，内核按的优先级分配策略为每个需要提供外部中断服务的分区分配优先级。在服务结束后，分区优先级返回到原始状态(该分 区加八分区轮转调度队列之后，等待下一次调度。如服务还没有提供完毕，分区被抢占，那么就延后优先执行。,,, 第,,部分嵌入式系统 分区优先抢占调度模型 ,,,,颁布的,,(,,,,文件【,,】被,,,列为航空电子系统中机载嵌入式软件开发的指导性文件。它将软件划分为“,”到“,”五个安全关键等级，其中,级是最关键的，适用于那些一旦发生故障就造成飞机灾难性后果的软件，而,级是指软件非正常执行只导致某种功能的失效，不会对飞机操作和飞行安全造成影响。 借鉴,,(,,,,的这种思路，在新的分区调度模型中，可以将分区程序按其关键度分配优先级，关键度越强的分区其优先级越高。同时还引入两个新的概念来辅助设计优先级:紧迫度【,,,和完成度。前者是分区估计完成时间和相对完成时间的比值，即分区时限到来的紧迫程度。后者衡量的是完成分区执行时间的程度，即任务已执行时间与剩余时间的比值。,(, 数学模型 假设:,,，是分区只的优先级;劬是分区只的关键度，根据分区功能固定分配; ,( ?,,扩表示分区只内所有进程最坏情况下执行时间的总和;,,、”,,和,分别代表分区的 ，,,绝对截止期限、分区提交时间和系统当前时间。那么分区优先级可以如此刻画: ,,，《彬，?芦，，矿，,，,, 在本模型中，分区优先级动态变化。系统开始执行时，所有分区的关键度一致，不存在紧迫度和完成度问题，分区优先级相同，采用周期轮转调度。当有外部中断发生时，系统将响应中断的分区优先级提升到 鲁 ,,，,？，,宰,。一,—上二,幸,，, ,—,,日 ,，一, ，一, (,) ?彤，一(,—,) ,,, 并通过比较优先级，以决定是否抢占当前分区。式中(《一,)、艺,,,,,(《一,)和(吐一,) ,,,分别代表分区的已执行时间、剩余执行时间和相对截止期限;岛,和包,分别是紧迫度系数和完成度系数。 在式(,)中，紧迫度?,,。,(,，一互)越大，分区可供调度的等待时间越短，分区 ,,, ， ,—,，任务越紧迫。分区完成度羔芦，一(,—,)随时间《增加而增加，设置为负数是基于这样的 ,,, 思想:让分区优先级动态变化，增加调度的灵活性。随着分区任务趋于完成，分区优先级递减，为其他分区任务提供了抢占时机。 对于分区内的进程，假设分区,内的进程,绝对优先级是,,，相对于分区的偏移优先级是,，则 ,,,,,,，口, (,)其中，口。可以通过具体的分区内进程调度算法计算得到。 ,,，,, ,,,分区系统时间分区研究 ,,, 结合式(,)和式(,)可以发现，理论上存在这种可能:,,,,,，即当前正在执行的分区只内进程,的优先级小于就绪分区只内进程,,的优先级。不过这种情况可以通过防止优先级翻转策略结合二级调度机制加以解决。 当分区提供完毕相应的中断服务后，分区优先级立即恢复到提升前的状态，并加入周期轮转调度队尾，等待再次周期调度或外部触发调度。总的来看，一个分区的优先级大致经过这种变化:初始优先级一优先级提升一优先级下降一初始优先级。对于部分分区而言可能并不经过中间两个过程。,(,逻辑模型 根据第二节中对分区调度模型改进提出的要求，借鉴,,,,,,,的双核体系结构思想?,，，提出如图,所示的分区优先级抢占调度模型。这个模型由用户态和核心态两部分组成。核心态下的,,,把用户态下的,,,当做可抢占的实时任务来进行调度(这与,,,,,,,不同，在,,,,,,,中实时任务是处于核心态的)，而,,,负责调度分区内的进程。从系统的角度看，所有分区内的进程都是非实时任务。即系统只有在运行一个实时任务后才能调度该任务支持的相关非实时任务。 , 摹登 , 盎料 翠暑 —土 用户态 核心态 图,分区抢占调度模型,(,实现 为了实现既定要求和调度目标，需要在,,,中实现:一个定时器程序，负责确定分区执行时间大小;一个中断,异常处理器，负责响应外部事件、管理中断队列和接收分区异常,正常结束消息;两个分区调度队列，一个用于周期轮转调度，称为非实时队列，一个用于优先级抢占调度，称为实时队列。 与此同时，在,,,中需要实现:一个定时器，配合分区调度器调度各进程;一个中断,异常处理器，负责向,,,分区任务的正常或异常结束;一个队列，按优先级高低排序就绪进程。,,,从开始载入分区到提供服务，其内部负责存储分区调度的队列不断变化。其执行过程如下: ,)系统初始化时，各分区优先级相同。核心调度器依赖定时器提供的时间槽周期轮转调度分区。此时非实时队列排列了就绪的分区，而实时队列为空，如图,(,)所示，此时分区,,正在执行，而,,至,,按既定调度顺序加入非实时队列。 ,)当系统正在调度非实时队列中的分区时，外部事件发生并需要其他分区提供服务，则相应分区优先级按式(,)得到提升并由非实时队列移入实时队列，而被抢占的分区则加入到非实时队列的末尾。比如，当图,(,)的分区,,、,,和,,需要提供优先服务，并且其优先级分别提升到,,,、, ,,和,,,时，系统将保存当前执行分区,,的上下文环境，,,, 第,,部分嵌入式系统然后将之加入非实时队列末端，并将控制权切换到分区,,。此时两个队列如图,(,)所示。 ,)当系统正在执行实时队列中的分区时，若有外部事件发生，并需要更高优先级的分区提供服务，则系统首先提升相应分区的优先级并在保存正在执行分区上下文之后将系统控制权切换过去。而被切换的分区依据切换之前的优先级在实时队列中重新定位，如图,(;)所示，系统正在执行的分区,,被分区,,抢占:如果需要服务外部事件的分区优先级没有当前执行分区的优先级高，则在提升其优先级后将其插入实时队列的相应位置，如 图,(,)所示，将,,插入到实时队列的合适位置。 ,)当实时队列的分区提供完服务(无论是否正常结束)，加入非实时队列，等待下一次周期调度。如图,(,)所示，分区,,提供完服务后加入非实时队列的末尾，系统调度实时队列中优先级最高的分区,,。当然非实时队列的分区在执行完毕后自动移至队尾。 非,娈时队列 睦矗，～蚯五～,叵匝,叵臣,叵匝,亘正， 实时队矶 喜竺扫卫癌毫岩霉匆 ,,山妪工亚, 叵竺,～～,至～,垂匹三, (,) 非实时队列 际,了,面,习(厂面,,,面,冲 ,((((((((((((((((((((((一。(((～(((((((((((,(((((， ,一【(((:(((((((((((，(((((一,(((:，((((((。((,(((((, ,』上～,噜兰,卫擘型业 ,幽罩一,～， (,) „ 匡正丑恒磷匝互,?～亘卫～， 非实时队列 器菹赡耍麓, (,) 非蛮时队列 ，,,,,,。叫,,,,?刊,,,,?千 安时队虬 (,) 删噱亚毫匝毫,匿乏甄互【三, 图,分区抢占调度实现 ,(,性能评估 由上所述可知，新的调度模型的基本思想是，当无须服务外部中断时，分区按既定顺 序周期轮转调度;反之，则提升分区优先级响应紧急事件，在响应过程中，分区优先级随 着分区任务的逐渐完成而降低，为系统响应外部中断提供了时机。由此可见，该调度模型 基本解决了第一节所述的问题。 这种调度模型的优点是，能够保证系统以最小的时间延迟响应高优先级分区事件，增 强了分区调度的灵活性，提高了系统的实时性能。 由于允许分区抢占和分区内进程抢占，因而系统某一时刻执行的功能不甚清楚，系统 的可预测性被弱化。此外，分区优先级的动 态变化同时增加了实时队列的管理开支。在模 型的物理实现上还需要考虑如何保证不会凶低优先级分区无法按时完成调度而破坏整个 系统的完整性。 ,(结束语 ?,,,的不断增加和,,,,产品的不断涌现已经促使航空电子系统向综合化、模块化和 通用化方向快速发展。作为,,,, ,,,,的一种，满足,,，,, ,,,规范的分区系统是综合 模块化航空电子系统软件体系结构的重要组成部分。论文主要研究了分区操作系统的时间 分区机制，提出了分区优先抢占调度模型。该模型扩展了时间分区的概念，提高了系统的 ,,，,, ,,,分区系统时问分区研究 ,,, 实时性能，增强了分区调度的灵活性，不足之处是降低了系统的可预测性。 下一步的研究工作是把时间分区的研究范围扩展到网络中，将单个航空电子通用功能 模块内部的调度与整个总线调度相结合，并试图建立严格的数学模型，以期提高分区调度 性能。 参考文献 ,,,,,,,,, ,,(，,,,,,,,,, ,,,,,,, ,,,,,,;,(，,:,,,;,,,,,,, ,, ,,, ，,,, ，,,,,,,,,,,,, ,,,,,,,;, ,,, ,,,;,,,,,;, ,,,,,,,,;,，,,,,，,,,(,，,,,,,(,,,,:,,,,,,,,,,,,(,,,,(,,‖,,,,,,,,,,,,,,,,,,,,,,(,,,(【,】 ,,,,(,,？,,,,,,,,, ,,,;,,,;,,,,, ,,, ,,,,,,;, ,,,,,,,, ,,,,,,;,(,,,)(,,,,，,,,,,,，,,,,( 〔,】 ,,，,,(,,,,,,;, ,,,,,;,,,,, ,,,,,,,, ,,,,,,,, ，,,,,,,;,(,,，,,，,,，,, ,,,;,,,;,,,,, ,,,，, ,,,(【,】 ,,,,,, ,(,,,,,,,,,,,, ,, ,,,,,,;, ,,;,,,,;,,,,,:,,？,,,,,,,,,，,,;,,,,,,,，,,, ,,,,,,,;,(,,,,,,;,,, ,,,,,,，,,,, ,,,—,,,,,,，,,,,, ,,,,:,,,, ,订，,,,,,,,,,,,,，, ,,,(〔,】, ,,,,,, ,(,,,,,,;,,, ,,,,,,,(,,,,, ,,,,,,,,, ,,,,,,,,, ,,,,,, ,,, ,,;,,,,;,,,,, ,,,,,,,,,,,,,,( ,,;,,,;,, ,,,,,,，,,,,,,,—,,,,,?,,(,,,,,,,,,, ,,:,, ,,,,,,,,,, ,, ,,,,,,,,,,,,,, ,,,,,,, ,,,,,,,, ,,,,,,,,,,,,,, ,,,,;, ,,,,,,,,,, ,,,,,,;,，,,,,(〔,】 ,,,,,,,,,只,,,,,, ,(,,,,,,—,,,,,;,, ,,,,,,,, ,,,,,,,,,,, ,,, ，,,,,,,,,, ,,,,,,, ,,,,,,;,(,,,,,,,: 、阴,, ,,,,, ,,;((,,,,【,】 ,,, ,,，,,, ,，,,,,,, ,，,,;(,;,,,,,,,, ,,,, ,,, ,,,,,,,, ,,, ，,,,,,,,,, ,,,,,,, ,,,,,,;, ,,,,,,,( ，,:,,,;(,,,,, ,,, ,,,,,, ,,,,,,;, ,,,,,,, ,,,,,,,,;,，,,,，，,;,,,,，;,,,(,,,,:,,,,,,,,,,,,(,,,,(,,,,,,,,, ,,,,,,,,,,,,,,,,,,,(,,,(【,】,,, ,(,,,,,,,, ,,,,,,,,,, , ,,,,,, ,,;,,,,;,,,, ,,, ，,,,,,,,,, ,, ,,,,—,,,, ,,,,,;,,,,,,【,, , ,,,,,,,,,,,,〕，,,,,,,,,,, ,, ,,,,,,,，,,,,(【,】,,,,,,, ,,，,,,, ,, ,,,,,,,,, ,,,,,,,(,,,,,,,:,,,,,,,, ,,,,,,,,,, ,,,,,，,,,,(【,,】,,,,(,,,,,,,, ,,,,,,,,,,,,,, ,, ,,,,,,,, ,,,,,,, ,,, ,？,,,,,,, ,,,,,,,;,,,,,,(,,,,，,,—,,,,， ,,,,(〔,,】毛佳(嵌入式实时系统中关键技术的研究【博士学位论文】(长春:吉林大学，,,,,( ,,, ,(,,,,, ,, ,,,,,;,, ,,;,,,,,,, ,, ,,,,,,,, ,,,,,,,,, ,,,,,,,〔,, ,(,,,,,,,,,,,,〕(,,,,,;,,,: ,,,,, ,,,,,,,,,,，,,,,(,, ,,,,,,,)( 【,,】褚文奎(嵌入式,,,,,系统实时性能测试研究【硕士学位论文】(西安:空军工程大学，,,,,( ,,, ,,(,,,,,,,,, ,,,,,,;, ,, ,,,,—,,,, ,,,,,,,,,;, ,, ,,,,,,,, ,,,,, ,,,,,,〔,,,,,, ,,,,,,,,,,,,〕(,,?,,”,,, ,,,;, ,,,,,,,,,,, ,,,,,,,,,,，,,,,(,, ,,,,,,,)( ,,,,,,;, ,, ,,,,,,,, ,,,,,,,,,,,, ,, ,,，,, ,,, ,,,,,,,,,,,, ,,,,,,, ,,, ,,,,,,，，,,, ,,,,,,,,,，,,,,, ,,,,,,,, ，,,,,,,,, ,, ,,,,,,,,,,,，,,, ,,,;, ,,,,,,,,,,, ,,,,,,,,,,，,,?,,，, , ,,,,，,,,,, .