航电系统发展概述

一 航空电子系统的组成： 1,各种机载信息采集设备 2，信息处理设备 3，信息管理和显示控制设备 4，相关的软件二 航电系统的发展大致可以分为四个阶段1，分立式航空电子系统，代表机型为F-100，F-101，2，联合式航空电子系统，代表机型为F-16C/D3，综合航空电子系统，代表机型为F-22，F-35综合航电系统的结构特点如下： 系统按功能区划分 采用高度模块化设计 采用高速数据总线 采用高度综合的座舱显示系统 采用大规模软件技术 采用先进的传感器并进行多传感器的信息融合 实现了系统容错和重构功能4先进综合航空电子系统三 航空电子系统的发展方向1 智能化电子计算机已成为现代化机载电子设备的核心, 电子计算机的发展已经并将继续不断地改变着机载电子系统的面貌。当前计算机的发展正面临着重大突破 人工智能计算机的出现。目前人工智能研究主要集中在专家系统、模式识别系统、机器人等三方面2 综合化 采用高级复杂软件增扩最佳控制技术以保证容错, 采用标准化部件, 以减少备件、简化维修、降低全寿命费用。系统的综合能力依赖于先进的技术支援, 其中包括高速数据总线、 超高速集成电路（VHSIC）和人工智能等。3 全频谱化 现代局部战争表明, 电子战已越演越烈,而电子战的实质就是对电磁频谱的激烈争夺。由于无线电频段和微波频段已拥挤不堪因此航空电子设备的工作频率正逐渐向毫米波、红外、激光、可见光等领域扩展, 从而使航空电子系统趋于全频谱化。4 隐蔽化在导航系统中采用惯导 全球定位系统组合，惯导 天文导航组合等方案, 构成载机不辐射电磁波的“ 隐蔽导航系统” 。采取这种组合方式。” 既能保持惯导的近距导航较高的精度又可校正远距飞行中惯导的累积定位误差。当前正在研制的全地形航空电子系统（TA）就具有隐蔽导航功能,其核心部件为一个存贮地形三维数据的数据库, 数据库内存有航线中的所有地形的数据,如一些基本点的海拔高度参数、 森林、河流、道路、障碍物的信息数据等。利用该数据库 在飞行中能够获得一个不断变化的地形轮廓图。从而, 在其它设备的配合下, 实现“ 隐蔽导航” 。四 航空电子系统的安全技术随着航空电子系统的综合化程度的不断提高，不同级别的任务共享硬件、软件和数据资源，各个模块之间进行相互资源调度和访问，给综合化航空电子系统的安全性和可靠性带来了重大的隐患，主要表现为信息窃听、病毒攻击、非授权访问、非法篡改、故障等。一下为业界为解决安全问题所提出的部分技术研究。个人总结：近年来的安全技术应该是基于分区管理、分层防御等技术，主要是在高度综合的航电系统中，由于是分区管理，所以安全性主要集中在不同的安全级别构件间数据传输的安全性。这应该也是我们软件安全的切入口。（完全是个人看论文之后的总结，可能错的离谱，别笑话哈）1，Trustable Computing in Next-Generation Avionic Architectures（1992） 未来的智能武器中，在更加主张敏感信息的安全性、关键数据的完整性以及系统运行和其他一些关键性能的基础上下一代航空电子计算机将主导很多子系统的行为，对这些性能的维护将有助于保证系统执行的可信度，使其符合规定的策略和完成预期的行为。2，基于AADL的航空电子系统的安全性分析2009/9AADL（Architecture Analysis and Design Language）是一种描述实时系统的软硬件结构的结构分析与设计的可编程语言。AADL已广泛应用于航空、机械、电子等领域的系统开发过程。采用AADL可以建立系统平台相关的结构模型，描述基于ARINC653的综合化航空电子系统的软硬件结构和安全性等关键特性。AADL将线程、总线、设备等看做是一个可命名的构件。构件分为硬件构件、软件构件和系统构件三种类型。硬件构件包括：内存、总线、设备及处理器；软件构件包括：数据、子程序、线程及进程，软件构件通过其属性和硬件关联。系统构件可以嵌套，软件构件和硬件构件作为系统的子构件包含在系统构件中。端口是构件的属性，为构件提供数据、事件的输入或输出外部接口，端口按照用途可分为数据端口和事件端口，数据端口用于在构件间传送普通数据，进行日常通信和数据传输，时间端口用于在构件间传送事件请求，向其他构件发送操作命令。安全性分析的前提条件是：在建立AADL航空电子系统模型时，设计人员根据系统功能，将系统划分成若干个高级别、低级别的安全域，每个安全域由软件构件和硬件构件组成，将相应的安全性级别分配给这些系统构件。参照SEI和ASSAC提出的安全性分析准则，基于AADL的航电系统安全性分析原则包括：安全性分析原则和机密性分析原则。安全性分析原则是低安全级别的分区不能驱动高安全级别的分区中的操作，机密性分析原则是敏感信息不会从高安全级别的分区扩散到低安全级别的分区。如图2所示，基于AADL的航电系统安全性分析过程，首先启动安全性分析工具，通过控制台向安全性分析工具控制台发出“安全分析请求”，启动安全性分析工具，然后解析AADL系统模型安全信息，并建立基于AADL的系统安全性模型，再根据SEI提出的安全性分析准则分析系统的安全性，最后通过问题视图向用户报告。3，航空电子嵌入式实时操作系统的安全策略（2008/10华东计算技术研究所）本文根据软件的分区管理、分层防御等技术，讨论航空电子嵌入式实时操作系统的安全策略。分区以及分区的管理和调度是由操作系统来完成的，但是，通用操作系统并不能满足嵌入式系统的强实时性要求，同时由于嵌入式系统中软件的周期性和强实时性，必须研究隔离保护技术的实时算法，才能满足嵌入式应用软件安全平台的要求。ARINC653规范中为分区的调度规定了一种基于时间窗口的循环调度算法。分区在主时间框架内执行，必须满足一下3点：（1） 一个分区可以占有多个时间窗口（2） 允许有空闲时间窗口，即不允许任何一个分区（3） 每个分区必须在规定的时间窗口内运行，使当前分区未处于运行状态也不被其他分区所占有。分区管理要求系统中同时可以运行多个不同类型的应用，同时各个任务在时间上和空间上都是互不影响的，是相互隔离的。时空隔离技术是时间隔离与存储空间的隔离，是分区管理研究的关键技术，空间的隔离主要包括了应用程序与应用程序的空间保护、应用程序与操作系统间的空间保护和越权访问的防范，时间隔离主要包括应用程序间时间的划分应与应用任务的调度，保证在预定的时间点上启动该应用任务，而不会受到其他因素的影响。空间隔离技术采用了计算机存储器管理模块的能力，使每个应用程序处于不同的复平面中，每个复平面被系统映像到不同的物理空间内，每个应用程序的物理空间不会重叠，当程序试图访问其他空间或具有特权级的空间时，安全平台将会截获非法的访问请求。时间隔离技术以操作系统的时间管理为基础，实现应用软件的时间隔离。在实际设计中最大限度地使用静态表驱动。安全平台维护一个主时间框架，在主时间框架内，每个应用程序至少被分配一个时间窗口。安全平台根据主时间窗口内的时间窗口调度相应的程序，在一个时间窗口内，应用程序按照自己的进程调度策略调度应用进程。由于每一个应用程序只在自己的时间窗口内执行，不允许越界，如果一个程序在执行过程中出现故障，导致一直占有CPU时间，在该时间窗口结束的地方，系统会强制进行切换，另一方面如果一个应用程序在进程运行超过了分配给他的时间，从而导致时间窗口结束时不能正常结束，系统任将剥夺程序的使用权，强制切换到下一个应用程序，保证了应用程序在时间上的独立性。对每一个应用程序来说，从时间上来看如同自己独占CPU一样。为了保证操作系统的数据安全性，使应用程序、系统程序的错误不会蔓延，目前ASAAC规范中对高安全性实时操作系统提出了分层安全防御体系。其核心思想是：根据应用程序的时间特性和应用程序的空间特性因素，确保系统资源的可用性，最终实现系统的安全考虑。也就是说，每个任务都有自己的指定时间域和一个确定的存储空间域。该时间域和空间域是该任务所独有的，其他任务被破坏不会影响该任务的完成。一个任务的失败不会导致整个系统资源的耗尽，从而导致系统崩溃。目前，ASAAC规范建议的实时操作系统结构如图3，其包括：（1）3个层次（应用层、操作系统层、模块支持层），包括了航空产品中所有专用软件功能模块。（2）2个接口（应用操作系统接口、模块操作系统接口）(3)1个管理（通用系统管理）采用软件分层结构可以保障软件的稳定性。模块支持层将硬件和应用程序分开，封装了底层硬件的细节，并提供对低层次资源通用的、技术独立的访问。采用软件分层结构来保护软件不受外界变化的影响，模块支持层将硬件和软件分开，模块化航电操作系统层保护应用软件不受传感器硬件的影响。新的传感器、处理模块或是应用软件用到飞机中，只需对隔离层稍作修改即可。因此，具有很好的可移植性。4，综合化航空电子系统中基于可信计算的访问控制模型（2009/11通信学报）本文设计了适合于综合化航空电子系统的基于可信计算的访问控制模型，主要设计思路是在航空电子系统的硬件平台上引入可信架构，并对系统资源和服务的访问进行访问控制，通过增强现有的软件体系结构的安全性来保证整个系统的可用性、可靠性、安全性、如图，分区是综合化航空电子系统的灵魂。对分区的安全管理是确保综合化航空电子系统可靠性和安全性的核心技术。分区间的通信是使用虚通道机制。虚通道机制独立于发送分区和目标分区的物理位置，由系统映射表提供路由信息，使用相应的密码学机制能够保证分区间信息传输的机密性。可信计算平台（TCM,trusted computing module）指利用可信计算提供的机制与方法，部署了可信计算组织相应的软硬件的计算平台。真个软件体系架构主要分为三层：底层可信平台模块（TPM,trusted platform module）及其设备驱动、中间层可信软件堆栈（TSS,trusted software stack）和上层提供本地应用的服务层，其中TPM作为信任根，是TCM的核心，如图3，可信计算平台对综合化航空电子系统的安全机制加强主要表现在：从系统启动开始，需要密钥通过TPM实现安全存储，TPM验证系统组件的完整性、文件摘要等安全信息保证任何进程都是可以证明的，并通过信任传递机制保证系统软件来源的可信性。访问控制的目的是确保系统运行时系统服务和资源的访问权限，在航空电子系统中，每个对系统服务的调用或是系统资源的访问，都需要检查相应的权限。本文研究了可信的应用分区关键级别划分方法，以及基于BLP模型的应用分区授权模型，一解决应用分区的访问控制问题。当访问者访问资源或者服务时，根据控制策略和主客体的安全级别来判断是否具有访问权限。通过TPM模块对航空电子系统中的应用分区分发公钥，并签发公钥和分区身份的绑定凭证，然后当用户提出资源访问请求时，BLP模型的控制实施模块要求分区提交身份绑定凭证，对其提供的凭证进行相应的认证后，根据安全级别和访问控制策略，判断此分区是否具有访问资源的权限。TPM芯片不仅为综合化航空电子系统中的应用分区提供安全密钥存储功能，还提供认证和数据加解密服务。基于TPM的访问控制方式如图5，应用分区提出对系统资源的访问请求时，首先被访问代理拦截，访问代理要求分区提交身份绑定凭证，并调用TPM的认证服务。认证成功后，调用访问监控器，访问监控器依据安全策略判断此分区是否具有访问权限，将结果返回访问代理。最后由访问代理将授权结果通知主体。5，虚通道技术（2005）为了实现嵌入式操作系统中数据的完整性和私密性，ASAAC规范建议使用虚通道技术进行通信。虚通道作为进程间的通信基础，有以下属性：单向性，面向消息（例如:一个虚通道分配了一个消息），由操作系统层管理(创建、删除、路由)，可以预测时间和资源的使用情况。根据虚通道概念，可以在一个进程发送数据，一个或是多个进程接受数据。一个接收数据的进程与发送数据的进程可以驻留在相同的处理单元中，相同的一般功能模块中甚至可以在不同的一般功能模块中。发送进程不知道任何接受进程，它只向特定的虚通道上输出某些数据，同样地，接收进程不知道任何发送进程，它只接收来自特定虚通道的某些数据，这就保证了数据的完整性和私密性。由图可知，通信是可配置的，本地VC标识符的使用时某个应用程序之内，它的值由应用决定，并在此应用过程中是唯一的，独立于其他应用程序。通用系统管理（GSM）在接收和发送数据的过程中使用的是蓝图数据，同时根据蓝图配置信息来初始化操作系统、创建通信实例，过程如下：（1） 操作系统创建一个虚通道（VC）的实例。一个全局的VC ID 定义一个VC，在系统内部是唯一的，并在发送和接收数据过程中要保持一致。（2） 操作系统将应用程序的本地VC附加到系统全局的VC之上。（3） 操作系统创建一个传输链接（TransferConnection ，TC）的实例，一个在全局的TC ID定义一个TC，在操作系统内部是唯一的，并在发送和接收数据的过程中保持一致（4） 操作系统把一个VC映射到一个合适的TC这样，传输链接定义了通道和具体的传输之间的链接，通道绑定在传输连接上，传输链接实现了逻辑的通道到物理接口之间的映射。通道上发送端口的数据将通过TC来发送，同样TC接收到的数据传递给通道上的接收端口。接口负责将TC的数据发送发送或者接收到的数据传输给TC。应用进程使用分区内的端口来发送或接收信息，端口局部于分区，为分区内的进程所共享，即任何一个进程都可以访问该端口，对于分区之外的进程来说，该端口是不可见的，从而保证了数据的安全与独立。6，ARINC65标准和ASAAC标准（文献是2008年的，但估计标准应该不是2008年提出的）对于综合模块化航空电子系统（Integrated Modular Avonics,TMA）以及其蓝图（包括分区配置记录，定义了每个应用的内存需求、处理器需求以及端口的使用情况等信息，还包括了系统配置记录，定义了IMA平台的容量等信息，并确认各个区间的配置记录）应用，目前有ANRINC653和ASAAC两种标准。 ANRINC653规范描述模块化综合航空电子设备中使用的应用软件基线操作环境，引入分区的概念，分区就是航空电子应用的一个功能划分，防止一个分区的错误导致其他分区的错误。ANRINC653主要阐述了模块化综合航空电子设备IMA使用的应用软件的基础操作环境。它定义了航空应用层与下层操作环境之间的借口和数据交换的模式以及服务的行为，并描述了嵌入式航空电子系统软件的运行时环境。ANRINC653主要包括以下几点：（1） 在系统结构上，提出了系统分区的概念，明确区间上的应用调度应该是区间级别的，这些应用共享分区资源。（2） 分区管理方面，阐述分区调度中主时间框架的定义原则，并补充了分区模式的变迁过程。（3） 详尽说明了分区间通信（4） 分析了健康检测的错误级别和进行可对错误处理的解释。IMA所需要的高安全性的实时操作系统在ANRINC653规范中得到描述，而IMA软件结构的设计和开发的统一要求还需要ASAAC标准来提供。ASAAC标准为模块化航空电子系统软件结构的设计和开发建立统一的标准，能够实现不同安全级别的应用集成，并且方便认证，代表了当前航空电子系统安全操作系统的发展趋势。为解决嵌入式操作系统中数据的完整性和私密性，ASAAC规范建议使用虚通道技术进行分区通信。对于安全系统的访问，采用保证信息安全的强实时技术来实现，这样就将可能出现的故障控制在一个安全系统所能控制的范围内。7，大飞机先进机载数据总线AFDX(2007)为适应机载电子设备的安全性、可靠性、维护性的要求，针对AFDX通用航空电子通信网络，国际上制定了ARINC664航空电子数据网络规范和标准，这个规范的制定，使机载通信网络在开发、研制到生产、测试和维护都有了可遵循的规范和标准。如图，AFDX系统由航空电子系统、AFDX端节点和AFDX互联器等几部分组成。图中，由两个节点为三个航空电子系统提供通讯接口。第三个端节点为网关应用提供节点，实际上，他是为航空电子系统与外部的IP网络节点提供了通讯路径，外部的IP网络节点可以是数据传输或是采集设备。由于目前广泛使用的以太网为半双工方式结构，没有中央控制计算机，从理论上讲，信息包的重复传输中的碰撞是不可避免的，二碰撞则会导致延迟，严重时导致信息无法传输出去。这种情况在航空电子数据网络中是不可接受的，这就要在AFDX的实现中，摆脱系统碰撞的限制，每个信息包到达目的节点的最大时间是已知的。全双工交换式以太网的目标就是要消除碰撞，以及消除信息包从发送者到接受者的不确定时间。其实现方法是在网络系统中设置全双工交换机，作为数据信息交换中心枢纽，每个航空电子系统、自动驾驶仪、平显等直接连接到全双工的交换机，交换机还包括两个线对，一对用于发送（Tx），一对用于接收(Rx)，交换机具有用于发送和接收信息包的缓冲区。AFDX的协议栈包括发送栈和接收栈。发送协议由发送到AFDX的消息开始，UDP传输层负责添加UDP头，他包括源和目的UDP的端口号，大多数情况下，这些端口号由系统配置决定，并且对每个AFDX消息传输，通讯端口是固定的。在使用SAP端口的情况下，应用程序动态地定义IP和UDP的目的地址。IP网络层接收UDP信息包并决定是否需要分割，同时，IP网络层根据使用的虚连接的长度决定是否进行分割，然后，对每个分割段添加IP头，以及计算IP校验和。IP层添加以太网头，并将以太网帧排队到虚连接中，虚连接负责调度以太网帧，以便发送、添加队列号，以及传输帧到冗余管理单元，自爱冗余管理单元，帧被复制，并照帧发送的物理端口ID修改以太网源地址。8，Role of the flight object and 4DT in airspace security（2007）本文讨论了4DT（Flight planning and Four-Dimensional Trajectories）和飞行器的安全因素对航空安全的影响，他们诠释了一个具有代表性的运作情形。此外，本文还提出了与飞行器安全相关的一些延伸拓展。下一代空中运输系统的运行理念，涵盖了整个空中运输，包括机场交通堵塞管理和机场管理、安全以及气候，环境等。其中最重要的因素就是分层自适应安全（layered adaptive security）。如图，分层自适应安全体系包括七层，其与NSAS(National Strategy for Avionics Security)相一致。安全领空的运行理念，强调航空安全的主要目的是为了防止或是反击对飞行器和其他航空器的外部攻击或者是利用飞行器作为攻击的武器，安全领空的运行理念包括两个主要因素：SRA（Security Restricted Airspa