為嵌入式列車控制系統選擇操作系統

為確保安全和效率，鐵路和運輸系統正在實施各種保護系統，如列車自動保護（ATP）、積極列車控制（PTC）和基于通信的列車控制(CBTC)等。地鐵和其他軌道交通系統正在采用自動列車操作（ATO）系統并運行“無人駕駛”列車(沒有駕駛員或駕駛員只用來處理緊急情況的列車)。

這些控制系統與安全息息相關。它們必須滿足IEC 61508和EN 5012x標準中所設定的嚴格可靠性要求。本文側重于介紹操作系統中對系統可靠性帶來最直接影響的一些特點：確保實時性的架構特性、故障分離和故障恢復等功能。



圖1 新西蘭的ONTRACK安裝了一個四頻道RoIP裝置，命名為ORC，作為IP網絡和傳統的VHF/IHF無線電網絡之間的橋梁，用于促進列車安全運行和追蹤軌道工人的位置。

標準

二十年前，歐洲電工標準化委員會頒發了鐵路應用標準EN 50126，它定義了可靠性、可用性、可維護性和安全性的規范，同時頒布了用于鐵路控制和保護系統軟件的標準EN50128和用于發送信號的安全相關的電子系統的標準EN 50129。

EN 50128:強調了軟件架構的重要性：“軟件架構是軟件和軟件安全完整性等級開發的基本安全策略。”規定如果要求SIL 3 或SIL 4的系統部署COTS（商用現成）軟件，“應定義一個策略以檢測COTS軟件的故障并保護系統免于故障”。

可靠性和隔離性

在一個軟件系統中，可靠性是可用性和可靠性的組合。這些品質主要取決于操作系統審計架構。

操作系統架構是整個系統可靠性的基礎，它決定了將組件與不同的SIL要求進行分離的難度和成本。

例如，一個ATO系統可能包含了一個顯示非關鍵信息的多媒體組件。該組件只需要達到SIL1或甚至SIL 0（EN標準為非安全相關的軟件定義了SIL 0）就可以了，而關鍵組件（處理與軌旁基礎設施相關的通信、管理減速和制動，報警等）則需要SIL 3或更高的認證。一個有利于SIL 0組件分離的架構不能在系統的安全關鍵部分上妥協：

a) 簡化設計，允許以最少的集成工作為SIL 0組件使用COTS軟件

b) eli消除了為滿足SIL 3要求而產生的設計、構建和驗證非關鍵組件的成本。

c) 由于它減少了安全關鍵系統的范圍，側重于關鍵系統組件的開發和驗證，使得整體系統更為安全。

架構

支持可靠性保證的操作系統通常被稱為實時操作系統（RTOS）。實時操作系統的架構是不同的。最常見的架構是實時執行、單片式和微內核。

實時執行

盡管已有50年歷史，實時執行模式依然是許多實時操作系統的基礎。在此模式中，所有軟件組件—內核、網絡協議棧、文件系統、設備驅動程序和應用程序均在單一的內存地址空間里運行。

雖然有效，但該架構有兩大弱點。首先，任何模塊中的單一指針錯誤均能破壞內核或任何其它模塊所使用的內存，從而可能導致系統范圍內的故障。其次，系統崩潰也許沒有留下幫助識別錯誤的診斷信息。

宏內核

宏內核實時操作系統通過使用一個架構解決了內存錯誤所引起的系統崩潰的問題，在該架構里，用戶應用程序作為內存保護進程而運行。

該架構保護了內核免于錯誤的用戶代碼，但內核組件仍舊與文件系統、協議棧和驅動程序共享地址空間。因此，這些服務中的任何一個錯誤都能讓系統崩潰。例如，在一個Linux操作系統中，驅動程序組成75%的代碼，每一行顯示能達到內核的潛在錯誤。與實時執行操作系統一樣，單片式操作系統架構的系統也許難于滿足可靠性的要求。

微內核

在一個微內核實時操作系統中，應用程序、設備驅動程序、文件系統和網絡協議棧存在于內核之外的一個獨立的地址空間；它們即與內核分離而且彼此分離。某一個組件中的故障不會波及系統。此外，由于它同樣以可預見的方式運行，因此系統能重啟故障組件。



圖2 微內核：組件彼此分離，一個組件的故障不會波及整個系統


對于安全相關的系統，內核與其它組件彼此分離是有利的。不是所有的組件都需要實現系統的安全關鍵部分所需的SIL。所要求的是較低級別的SIL組件能與安全關鍵組件分離。

這種分離也能通過虛擬機實現（管理程序），但這種策略通常需要更強大的處理器，這限制了合適的處理器的選擇并增加了成本。它也增加了系統的復雜程度，并可能影響實時性能。

實時操作系統的關鍵特點

微內核架構只是實現操作系統可靠性的一個特點。其它關鍵特點包括：

? 通過搶占低優先級的內核調用來滿足實時性的承諾

? 由于優先級反轉，防止不可預知的行為和系統故障

? 保證CPU資源調度的可用性以防止關鍵進程饑餓

? 利用軟件看門狗監視進程，并在組件發生故障時采取糾正行動