Echtzeitbetriebssysteme der nächsten Generation Leichtere Flugzeuge dank Virtualisierung

Echtzeitbetriebssysteme der nächsten Generation
Leichtere Flugzeuge dank Virtualisierung

Mit einem neuen Konzept setzt Airbus auf eine intelligente Architektur der Elektronik, um steigende Kosten und hohes Gewicht in den Griff zu bekommen. Softwareseitig nutzt Airbus dafür PikeOS, das sowohl als Echtzeitbetriebssystem als auch als Virtualisierungsplattform dient.
Für die Flugzeugtypen A380, A400M und A350 setzt Airbus auf Integrated Modular Avionics (IMA), ein Konzept zur Reduzierung der Zahl der elektronischen Geräte im Flugzeug. IMA bezeichnet ein System aus flugtauglichen, modularen Rechnereinheiten, zusammengesetzt aus standardisierten Hard- und Software-Komponenten (Englisch COTS Commerial-off-the-Shelf). Die Umstellung der Elektronik auf das IMA-Konzept ermöglicht die Mehrfachnutzung der verschiedenen Elektronikkomponenten im Flugzeug für unterschiedliche Funktionen. Airbus will so die Gesamtzahl der Systeme verringern und Hardware und Ressourcen einsparen: weniger Gewicht, geringerer Platzbedarf, weniger Kerosin, niedrigere Betriebs- und Wartungskosten, mehr Passagiere, mehr Fracht, also mehr Nutzen zu geringeren Kosten.

Effiziente Software-Architektur

Die ersten Generationen elektronischer Geräte im Flugzeug basierten auf einer Architektur, die für jede Funktion ein eigenes Gerät vorsah, jedes mit eigenem Gehäuse, Netzteil, Hardware und Software. Sicherheitskritische Funktionen wurden redundant ausgelegt, d.h. für den Notfall standen Ersatzkomponenten bereit. Eine solche Architektur ist sicher, jedoch ineffizient und bei zunehmender Nutzung von Elektronik in modernen Flugzeugen schon aus Gewichts-, Platz- und Kostengründen nicht mehr tragbar. Bereits seit den 90er Jahren beschäftigt man sich bei Airbus mit Konzepten für eine effiziente Elektronik. Erste Ansätze zeigen sich schon im A380- im Militärtransporter A400M wurde dieses Konzept weiterentwickelt. Hier basiert u.a. das hoch sicherheitskritische Fracht-Ladesystem auf dieser flexiblen Systemarchitektur. Für den aktuell in Entwicklung befindlichen A350 nutzt Airbus das IMA-Konzept nun auch im Cockpit, um die Flexibilität der Cockpit-Anwendungen zu erhöhen und die Kosten für Veränderungen oder Ergänzungen im Laufe des Lebenszyklus der Maschinen deutlich zu reduzieren. Im Zentrum der neuen Systemarchitektur steht das Flugzeuginformationssystem FSA-NG (Fly Smart with Airbus – New Generation), das sowohl die Piloten in der Luft als auch die Wartungsmannschaften am Boden mit Flugdaten versorgt. Zu den wichtigsten Funktionen und Anforderungen an die Softwareplattform für dieses sicherheitskritische System zählt ein echtzeitfähiges Betriebssystem mit Unterstützung für ARINC-653 und POSIX Partitionen, ein zuverlässiger Massenspeicher mit hoher Kapazität, die strikte Isolierung der unterschiedlichen Applikationen und ein grafisches Modul zur Verwaltung der Benutzerrechte für den Zugang zu den Cockpit-Anwendungen.

Virtualisierung macht Kostensenkungen möglich

Eine intelligente Softwareplattform zur Umsetzung des IMA Konzepts erfordert eine neue Klasse von Betriebssystemen, zugleich Echtzeitbetriebssystem und Virtualisierungsplattform, um die Anforderungen von sicherheitskritischen Anwendungen im Flugzeug zu erfüllen:


Echtzeitfähigkeit

Isolierung der Anwendungen durch Partitionierung

geregelte (sichere) Kommunikationskanäle zwischen den verschiedenen Anwendungen

Hardwareunabhängigkeit der Software-Plattform

geringer Umfang von vertrauenswürdige Software für kostengünstige Zertifizierung

Wenn beispielsweise im Cockpit des Flugzeugs ein künstlicher Horizont (F1) angezeigt, gleichzeitig Temperatur (F2) und Luftdruck (F3) in der Kabine geprüft und reguliert, Vibrationen bei den Triebwerken (F4) gemessen und – bei Ausfall eines Systems – alle Anwendungen sofort auf andere Hardware-Komponenten übertragen werden müssen, dann setzt Airbus beim A350 auf PikeOS. Für die Funktionen 1 bis 6 werden nicht mehr sechs speziell angefertigte, sondern vier standardisierte Hardware-Komponenten genutzt, was einer Einsparung von 33% an Hardwarekosten, Energie, Platz und Gewicht entspricht (vgl. Abb. 2). Was macht PikeOS? Als klassisches Echtzeit-Betriebssystem verwaltet es alle Ressourcen der Hardware in Echtzeit. Als Virtualisierungsplattform erlaubt es die Nutzung der Hardware durch mehrere Funktionen (hier 1 bis 6) in von einander getrennten Partitionen, überwacht den Austausch von Informationen zwischen den Anwendungen, teilt die benötigten Hardware-Ressourcen wie CPU-Zeit, Memory oder I/O Zugriffe zu und unterbindet riskante oder unautorisierte Zugriffe auf die Zentraleinheit.

Zertifiziert für den Einsatz im Flugzeug

Softwareapplikationen für die Luftfahrt werden international nach dem Sicherheitsstandard DO-178B zertifiziert. Dabei bestimmt die Kritikalität der Anwendung das Level (von A hoch-kritisch bis E unkritisch) und damit den Umfang der Zertifizierung. Früher musste immer die gesamte Software einer elektronischen Komponente einschließlich Systemsoftware und Betriebssystems entsprechend der Kritikalität der Funktion zertifiziert werden. Mit PikeOS können mehrere Funktionen auf einer Hardware in Partitionen isoliert und nach ihrer je eigenen Kritikalität betrachtet und nach Industrie spezifischem Sicherheitsstandard zugelassen werden. Jede Zeile Softwarecode muss dokumentiert, getestet, geprüft und von unabhängigen Instanzen nach z.B. DO-178B für den Einsatz im Flugzeug zertifiziert werden. Dieser Prozess ist aufwändig, und wird durch die Anzahl der Codezeilen die Höhe der Kosten der Zertifizierung entscheidend bestimmt. Je nach Zertifizierungsstufe geht man dabei von bis zu vier Stunden Prüfaufwand pro Zeile Code aus. PikeOS ist bereits zertifiziert. Ein entsprechendes Zertifizierungspaket kann von Sysgo kostengünstig zugeliefert werden, da PikeOS über einen Mikro-Kernel mit nur ca. 10.000 Codezeilen verfügt und der Umfang der vertrauenswürdigen Software vergleichsweise gering ist. Zunehmend interessieren sich auch andere Industrien für das Potential von Virtualisierung für Funktions- und Manipulationssicherheit und die Senkung von Aufwand und Kosten bei der Entwicklung von eingebetteten Systemen. Im Handy befindet sich ein ausgewachsener Computer mit vielen Anwendungen unterschiedlicher Kritikalität. Wenn wir mit dem Handy auch unsere Bankgeschäfte erledigen, brauchen wir eine strikte Isolierung sicherheitskritischer Daten von SMS oder Entertainment-Apps. Moderne Stromverteilung, sichere Assistenzsysteme im Haushalt, Diagnose-, Prüf- und Überwachungssysteme im medizinischen Bereich, industrielle Maschinen und Anlagen mit sicherheitskritischen Aufgaben werden sich auf Dauer international nur dann durchsetzen, wenn sie sowohl qualitativ hochwertig und sicher sind als auch effizient hergestellt und gewartet werden können. Dabei spielt eine intelligente Softwareplattform eine große Rolle, denn nur so kann eine standardisierte Hardware genutzt werden, um Funktionen unterschiedlicher Kritikalität auf einem Gerät sicher zu integrieren.

Autor: Jacques Brygier, VP of Marketing der Sysco AG

Emteco - Embedded Technology Communications
www.sysgo.de

Das könnte Sie auch Interessieren