作者：BENJAMIN BROSGOL，DR. DUDREY SMITH

FACE ［未來機載能力環(huán)境］ 方法是一項政府-行業(yè)聯(lián)合軟件標準和商業(yè)戰(zhàn)略，用于獲取負擔得起的軟件系統(tǒng)，促進全球國防計劃中便攜式能力的創(chuàng)新和快速集成。FACE——最初只關注航空電子設備，但現在已擴大到包括廣泛的應用目錄，用于整個實時系統(tǒng)范圍——并不直接解決質量或適用性問題。由于這些特征在實踐中顯然很重要，因此組件開發(fā)人員的自然問題是如何滿足可移植性的明確FACE目標以及軟件可靠性，安全性和安全性的任何特定領域要求。部分答案是選擇適當的軟件開發(fā)技術和語言。

FACE 參考體系結構由五個部分組成，每個部分都有一組定義的要求：

操作系統(tǒng)段 （OSS）。OSS 是其他 FACE 段的軟件基礎，為分區(qū)、進程/線程管理和內存管理提供服務。它還可能包括運行狀況監(jiān)視、故障管理和生命周期管理等功能。

輸入/輸出服務部門 （IOSS）。IOSS 在 PSSS 一致性單元 （UoC） 和為給定平臺提供的 IO 設備之間提供標準接口。

特定于平臺的服務部門 （PSSS）。PSSS 包括設備服務、公共服務（例如，日志記錄或設備協(xié)議中介）和圖形服務。它們在便攜式組件段 （PCS） UoC 和 IOSS 之間提供標準接口。

運輸服務部門（TSS）。TSS為來自其他細分市場的UoC提供通信服務，包括分發(fā)，路由，狀態(tài)持久性和數據轉換。

便攜式組件部門 （PCS）。PCS UoC 提供特定的應用程序功能，僅使用 TSS 接口進行數據通信，僅使用 OSS 接口進行操作系統(tǒng)支持。

圖1：人臉參考體系結構示意圖。經The Open Group許可轉載。

滿足給定段要求的組件稱為相對于該段的“一致性單位”。FACE 一致性計劃定義了驗證、認證和正式認可注冊軟件符合 FACE 技術標準的流程，并指定了證明符合各個細分市場要求的政策和程序。

開放源碼軟件及其界面

FACE 參考架構的基礎是 OSS（圖 2），它通過 ARINC 653 和 POSIX 應用程序編程接口 （API） 為其他段提供標準接口。當編程語言運行時支持庫（通常情況）與其服務的接口是通過語言語法而不是 FACE API 時，它們被視為 OSS 的一部分。

圖2：操作系統(tǒng)段 （OSS） 及其界面。

因此，編程語言運行時與其他 OSS 組件在關鍵方面有所不同。而不是由 API 指定 - 考慮到編譯器實現之間的差異，這將過度約束 - 運行時接口由一組語言功能（所謂的功能集）定義。運行時的實現可能會也可能不會通過對 FACE API 的調用來實現功能集的功能。更一般地說，OSS組件與其實現中所需的較低級別服務之間的接口（所謂的底部接口）不受FACE技術標準的定義或約束。

接口配置文件

符合 FACE 標準的組件可以部署在具有不同安全和/或安保要求的各種環(huán)境中。因此，FACE技術標準為OSS接口定義了一組配置文件。按照普遍性的遞增順序，它們是：

安全性：這是一個最小的接口，旨在支持具有高安全保證要求的應用程序。它保證了實時確定性行為，并需要時間和空間劃分。

安全：這由兩個子配置文件組成，安全底座和安全擴展。這些針對的是具有安全認證要求的系統(tǒng)。這兩個配置文件保證了實時確定性行為，并建議但不要求時間和空間分區(qū)。

通用：在此配置文件中，不保證實時確定性，并且時間/空間分區(qū)是可選的。通用型材適用于安全/安保保證水平較低的組件。

語言很重要

編程語言的選擇是系統(tǒng)設計過程中的基本決策之一。源代碼是開發(fā)、驗證和維護的工件，也是安全或安保認證所需的許多分析的主題。盡管原則上幾乎任何編程語言都可用于開發(fā)高保證軟件，但在實踐中，當所選語言明確設計為可靠性、安全性和安全性時，軟件生命周期成本就會降低。FACE技術標準特別引用了四種候選語言 - C，C++，Ada和Java - 其中，Ada最符合這一標準。Ada特別適用于需要符合安全配置文件或其中一個安全配置文件的組件，避免了緩沖區(qū)溢出等C和C++漏洞，并且還避免了Java的非確定性問題（垃圾收集，線程語義）。

Ada 通過支持健全的軟件工程實踐、強制類型安全的編譯時檢查以及強制實施動態(tài)約束（如數組索引邊界和標量范圍）的運行時檢查，幫助滿足高保證要求。Ada 并發(fā)功能的確定性子集（稱為 Ravenscar 配置文件）允許將 Ada 并發(fā)用于需要滿足高保證認證要求的應用程序，例如用于機載軟件的 DO-178B 或 DO-178C。

便攜性是FACE方法背后的驅動力，也是Ada的關鍵目標。編程語言面臨的挑戰(zhàn)是在不犧牲運行時效率的情況下以獨立于平臺的方式定義語義。Ada 通過多種方式實現這一目標。首先，它為并發(fā)（任務）、內存管理和異常處理提供了一個高級模型，具有跨所有平臺的標準語義，可以映射到目標系統(tǒng)提供的最有效的服務。這與 FACE 參考體系結構中對語言運行時的處理完全一致。使用 Ada，開發(fā)人員還可以以獨立于計算機的方式表達類型的邏輯屬性（例如整數范圍、浮點精度、記錄字段/類型），然后編譯器可以將其映射到有效的底層表示形式。數據結構（布局、對齊、地址）的物理表示有時由系統(tǒng)要求指定，Ada 允許在程序邏輯中定義這一點，但與目標相關的屬性分開，以便于維護。

功能集

提供OSS配置文件的基本原理 - 更高的保證級別意味著對通用性的限制 - 也適用于編程語言。因此，FACE技術標準為C，C++，Ada和Java定義了相應的限制集（功能集）。安全性和安全性功能集指定運行時功能的子集，并限制在更高保證級別上可能存在問題的其他通用功能。

FACE 技術標準的 3.0 版為 Ada 定義了兩個通用功能集：一個用于 Ada 95，它允許大多數語言，另一個用于 Ada 2012。Ada 2012 通用功能集包含 Ada 95 集和多個 Ada 2012 功能，但尚未包含基于契約的編程（如圖 3 所示）。Ada 的安全和安保功能集僅針對 Ada 95 定義，而尚未為 Ada 2012 定義。這些功能集引入了進一步的限制，例如將并發(fā)功能限制為 Ravenscar 配置文件允許的功能。

圖3：Ada 2012 基于合約的編程示例如下所示：子程序前置條件和后置條件。

Ada 2012標準引入了重要的功能，特別是“基于合同的編程”，它直接支持安全和安保，并通過主要防御系統(tǒng)提供商使用的編碼標準實現。Ada 2012 在廣泛的目標平臺上實施，包括已通過或正在計劃通過 OSS 一致性認證的實時操作系統(tǒng) （RTOS）。鑒于 Ada 2012 的成熟度和優(yōu)勢，正在考慮在更新 FACE 技術標準時將基于合同的編程和其他 Ada 2012 功能添加到 Ada 的安保和安全功能集中。

面孔：向前邁進

尋求開發(fā)符合 FACE 標準的組件的組織需要遵守 FACE API 以實現可移植性，但在開發(fā)和驗證技術的選擇方面具有相當大的靈活性。對于需要高保證的應用程序，Ada 提供了內在優(yōu)勢，并具有可支持所有版本語言標準的開發(fā)環(huán)境。例如，AdaCore的GNAT Pro實現了Ada的安全擴展功能集，并將在未來的FACE版本中支持Ada功能集。GNAT Pro的Ravenscar運行時間可用于Wind River的VxWorks 653和Lynx Software Technology的LynxOS-178 RTOS為多個版本的FACE技術標準實現的安全配置文件，允許開發(fā)人員設計具有安全和確定性行為的可移植并發(fā)程序。

Ada 在軍事和商業(yè)航空電子項目以及其他關鍵應用中的成功使用歷史悠久，FACE 組件開發(fā)人員可以利用 Ada 的優(yōu)勢在相關保證級別生成可移植代碼。Ada 的重用不僅僅是在小型圖書館的層面上;航空電子設備開發(fā)人員已經將幾乎完整的生產線可更換單元 （LRU） 和功能應用模塊移植到不同的主機開發(fā)環(huán)境和不同的目標中。Ada的設計并正在用于FACE方法所針對的應用程序和環(huán)境，無論是在新項目還是現有系統(tǒng)的升級中。開發(fā)人員可以將 Ada 用于符合其保障需求的 FACE 配置文件（安全性、安全基礎、安全擴展、通用）。

審核編輯：郭婷