ЖУРНАЛ СТА 3/2015

безопасности, нужно тщательно подо- брать подходящие комбинации кон- кретной модели процессора и конкрет- ной версии поддерживающей его ОС и для каждого варианта оценить степень пригодности имеющихся BSP и серти- фикационных пакетов. Списки доступ- ных версий ОС для поддерживаемых процессоров и соответствующих серти- фикационных пакетов (так называемые матрицы доступности продуктов – Product Availability Matrix, PAM, табл. 1) обычно являются конфиденциальными и предоставляются производителями по запросу. Перед более детальной прора- боткой проекта имеет смысл запросить и внимательно изучить эти докумен- ты – это сразу даст ответ на вопрос, ка- кие есть готовые комбинации, а что в любом случае придётся делать самим. Например, при разработке функцио- нально безопасной IMA-платфор- мы, подлежащей сертификации по DO-178С до уровня B включительно, выбор процессора QorIQ P4080 в соче- тании с ОС VxWorks 653 версии 2.4 даст готовый сертификационный пакет для ОС (включая сетевой стек) и BSP для отладочной платы (на его основе мож- но будет создать BSP для разрабатывае- мого вычислительного устройства). Аналогично в качестве основы для же- лезнодорожной вычислительной плат- формы, сертифицируемой по EN 50128 SIL 3, может быть использовано соче- тание процессора PowerPC MPC8548 и ОС VxWorks Cert версии 6.6 – для этой комбинации доступна сертификацион- ная документация по МЭК 61508 SIL 3 и BSP для отладочной платы. Посколь- ку стандарт EN 50128 является про- изводным от МЭК 61508, их требова- ния схожи, и доработки сертифика- ционного пакета для ОС будут мини- мальными. В случае платформ смешанной без- опасности, не подпадающих под спе- цификацию ARINC 653 (хотя ОС, со- вместимые с ARINC 653, например VxWorks 653, используются для по- строения систем смешанной безопас- ности не только в авиации), дополни- тельно встаёт вопрос выбора сертифи- цируемого гипервизора. В настоящее время почти все производители без- опасных ОС, включая компанию-пио- нера в этой области Wind River, обла- дают гипервизорами собственной раз- работки, но на рынке присутствуют также и независимые производители гипервизоров. Как и следует ожидать, в первом случае имеется выигрыш по производительности, зато во втором су- ществует более широкий выбор поддер- живаемых гостевых ОС. ОС, сертифицируемые по стандартам функциональной безопасности, обыч- но являются встраиваемыми ОС реаль- ного времени (ОС РВ), поэтому вопрос: «Использовать ОС РВ или нет?» для функционально безопасных систем ча- ще всего не стоит (как известно, свобо- да – это отсутствие выбора). В случае информационной безопасности все не- много сложнее, так как по стандартам информационной безопасности серти- фицируются не только ОС РВ, но и ОС общего назначения, поэтому при выбо- ре защищённой ОС нужно учитывать ещё и природу решаемой задачи. На- пример, при прочих равных условиях для разработки защищённого АРМ бо- лее подходящим решением может ока- заться ОС общего назначения (напри- мер, Astra Linux SE), в то время как за- щищённые системы управления будут требовать применения ОС РВ (напри- мер, ЗОСРВ «Нейтрино»). Выбор кон- кретной версии опять же будет опреде- ляться составом защищённого дистри- бутива (то есть в основном набором драйверов и BSP, так как наличие драй- вера в природе и включение его в состав сертифицированного дистрибутива – разные вещи). Некоторые производители идут ещё дальше и предоставляют сертифициро- ванные (или сертифицируемые) си- стемные платформы целиком , то есть безопасное оборудование, безопасную ОС вместе с BSP и полный пакет не- обходимой сертификационной доку- ментации в едином комплекте. Приме- ром такого решения является функ- ционально безопасный вычислитель для железнодорожных применений от немецкой компании MEN на базе про- цессорной платы MEN F75P [1] и ОС QNX Safe Kernel, сертифицированный по EN 5012x SIL 4; доступность данной платформы для заказчиков ожидается в 2015 году. Аналогичным примером по части информационной безопасности может служить недавно анонсирован- ная российская вычислительная плат- форма «Грифон-К» на базе процессор- ной платы FASTWEL CPC512 [2] и защищённой ОС Astra Linux SE «Смо- ленск». Очевидный плюс таких ре- шений – вопрос сертификации систем- ной платформы отпадает сразу, и мож- но сразу заниматься разработкой и под- готовкой к сертификации приклад- ного ПО. На подходе также сертифицируемые коммерческие системные платформы смешанной критичности – первой ла- сточкой стала презентованная в 2014 го- ду линейка System Consolidation Series от Intel, сочетающая многоядерные процессоры Intel с поддержкой виртуа- лизации (VT), сертифицируемый ги- первизор от Wind River и комбинацию безопасной ОС РВ VxWorks Cert и ОС общего назначения Wind River Linux (рис. 1). Платформа позволяет разде- лить многоядерный процессор между несколькими ОС, выполняющими за- дачи разной степени критичности, на- пример, запустить на двух ядрах без- опасные (читай – требующие сертифи- кации) приложения под управлением независимых копий VxWorks Cert, а оставшиеся два ядра задействовать под Linux в режиме SMP, например для за- дач графического интерфейса. ОБ ЗОР / П РОГ РАММНОЕ ОБ Е СП Е Ч Е НИЕ 37 СТА 3/2015 www.cta.ru Приложение: графический интерфейс Приложение: сетевой шлюз Приложение: сбор данных и управление Приложение: контроль и диагностика Процессор Intel Core i7 Ядро 1 Ядро 2 Гипервизор Wind River BSP Ядро 3 Ядро 4 Гостевая ОС: Wind River Linux Гостевая ОС: VxWorks Cert Гостевая ОС: VxWorks Cert Рис. 1. Пример системы смешанной безопасности на базе платформы Intel System Consolidation Series