[发明专利]符合民用飞机不同软件等级要求的软件运行控制系统与方法

说明书

【技术领域】

本发明涉及软件运行控制领域，特别是指符合民用飞机不同软件等级要求的软件运行控制系统与方法。

【背景技术】

民用飞机中的软件设计保障等级，即常说的软件等级，可分为5个等级，分别是A级（灾难性的），B级（危险的），C级（重要的），D级（次要的）和E级（无影响）。软件等级是由安全性评估过程根据失效条件引起的危害性分析决定的，软件等级越高，软件发生故障时对飞机飞行安全产生的危害越大。

A级软件作为最高等级的软件，它的开发成本最为昂贵，根据DO-178B的要求，它需要满足66个目标，而D级软件只需要满足28个目标。D级软件相对于A级软件：

1）不需要开发底层需求；

2）不需要做MCDC（Modified Condition Decision Coverage）覆盖测试；

3)不需要代码评审；

4）对独立性要求非常低；

5）对配置管理的要求非常低等等。

据统计，D级软件的开发成本仅为A级软件的四分之一。

通常，具有不同功能的软件模块会被编译成一个可执行文件在单个CPU上运行，然而如果不同的软件模块被定义成不同的等级，这种不同等级的软件被编译成一个可执行文件的软件架构很难满足民用飞机对于软件分区隔离的要求，因为分区要求对不同软件模块进行隔离，对它们能够访问的硬件进行隔离，低等级的软件故障不能“传染”到高等级的软件中。然而，高等级软件和低等级软件运行在同一个CPU上面，需要访问共同的硬件，几乎不可能做到高等级软件只访问某些硬件，低等级软件只访问其他的硬件，并且高等级软件和低等级软件是被联编成一个可执行文件，它们的代码夹杂在一起执行，无法把它们从空间和时间上隔离开来，无法做到低等级软件的故障不会“传染”到高等级软件中，无法保证高等级软件的完整性（低等级软件会影响高等级软件）。

正是由于不同等级软件共存于一个可执行文件时无法满足高等级软件的完整性，所以这种软件架构只能把原本可以设计为低等级的软件提升为高等级软件来开发，大大增加了开发成本。

【发明内容】

本发明的目的在于提供一种符合民用飞机不同软件等级要求的软件运行控制系统与方法，用以解决现有技术无法将低等级软件与高等级软件从空间和时间上隔离开来、无法避免低等级软件的故障“传染”到高等级软件中以及无法保证高等级软件完整性的问题。

为实现上述目的，实施本发明的符合民用飞机不同软件等级要求的软件运行控制系统，应用于航空全双工交换式以太网交换机中，该控制系统包括：

第一存储单元，其中存储有引导软件、默认软件和默认配置表，该第一存储单元受硬件保护，其中存储的引导软件、默认软件和默认配置表不支持现场加载；

第二存储单元，其支持外部的数据加载器的数据加载，并支持现场加载功能，通过第二存储单元，新的OPS软件和OPS配置表可加载到交换机中；其中第一存储单元中的默认软件和第二存储单元中的OPS软件都分成了A级和D级，其中A级软件被编译为一个可执行文件，D级软件被编译为另外一个可执行文件；另外，外部数据加载请求的监听、是否允许或拒绝数据加载的判断都由A级软件实现，而数据加载功能由D级软件实现；并且第二存储单元内还存储有新的加载软件飞机部件，该新的加载软件飞机部件包括OPS软件或OPS配置表，其通过现场加载的方式加载到第二存储单元；

加载单元，其与第一存储单元与第二存储单元连接，用以将第一存储单元与第二存储单元中不同的软件或配置表加载到CPU的随机存储器中；

NVM（非易失性随机存储器）单元，其与加载单元连接，设有热启动标志与数据加载标志，该两个标志可被修改；

CPU随机存储器，与加载单元连接，接收加载单元加载的软件或配置表等并运行；

内存管理单元，由引导软件进行设置，使CPU只能访问CPU随机存储器和用于存放新的加载软件飞机部件的第二存储器中设定的地址范围。

为实现上述目的，实施本发明的利用上述的符合民用飞机不同软件等级要求的软件运行控制系统对符合民用飞机不同软件等级要求的软件运行控制方法，该方法包括如下步骤：