在航空電子設備中，將軟件集中到一個硬件平臺中被認為是一種很好的做法。事實上的標準 ARINC653 根據排除和緩解硬件資源沖突的分區模型描述了它如何正常工作。隨著此模型的成功和多核處理器 （MCP） 的出現越來越多，證書頒發機構已開始擴大其對使用多核處理器的接受程度。

CAST-32 方法為多核處理器打開了大門。..

關于這一點，認證機構軟件小組（CAST），一個由認證和監管機構代表組成的國際小組（EASA，FAA），發表了一篇名為CAST-32的論文，描述了允許在機載系統中使用多核處理器的條件。從本質上講，本文確定了可能對系統安全產生影響的主要主題，在大多數情況下，事實證明確定性是關鍵。CAST-32的最終結論是可以使用多核處理器，但范圍僅限于最多兩個活動內核。

。..但隨后的開發實際上允許有效地利用它們

隨著CAST-32文件CAST-32A（2016）的更新，這種情況發生了變化。現在可以在機載系統中并行使用處理器的所有內核。該文件明確允許使用多個內核，只要提交認證的組織（申請人）可以為上述問題提供最先進的解決方案。這些問題涉及硬件設計的各個方面以及軟件體系結構的問題。后者需要通過適當的操作系統打下堅實的基礎。高級操作系統已經將多核支持緊密地整合到其分區管理中。

規劃的挑戰

CAST-32A 定位文件的“規劃”部分討論了與處理器、架構、操作系統和工具選擇相關的所有主題。它始于申請人確定MCP的責任。此外，CAST-32A要求申請人注意軟件架構（包括IMA考慮），資源分區模型和要使用的開發工具。

最大的挑戰：管理共享處理器緩存而不發生沖突

CAST-32A最具爭議的討論主題被稱為“干擾信道和資源使用”。它讓申請人來識別應用程序之間的干擾，定義資源使用情況，并評估對整個系統的確定性行為的影響。共享處理器緩存和主內存帶寬的影響這兩個問題正在挑戰申請人構建系統。

由于高級緩存在處理器內核之間共享，因此 CPU 的硬件必須處理同步問題。此外，共享緩存的狀態可能會受到錯誤應用程序的影響，從而嚴重影響安全關鍵分區的性能。

及時處理任務的內存沖突解決方案

為了應對最壞的情況，符合 CAST-32A 標準的操作系統必須提供緩存帶寬監控，以便關閉錯誤的應用程序。除了這些在運行時適用的技術方法之外，申請人應該有可能（幾乎）消除架構級別的緩存影響。最明顯的方法是增加時間分區窗口的安全裕度，以便即使共享緩存永久不穩定，也可以滿足最壞情況執行時間 （WCET）。這樣做時，性能將受到重大影響。相反，申請人可以將應用程序分成具有相同軟件級別的組。通過確保安全關鍵流程并行運行，緩存可以在關鍵時間范圍開始時失效。這應該類似于單核處理器上的情況，其中應用程序按順序調度，在關鍵安全應用程序啟動時執行資源清理。

另一個干擾源是主內存總線。即使內存區域被劃分并因此相互保護，對總線的訪問也需要一定的時間。一個應用程序對內存總線的密集使用是以并行運行的應用程序為代價的。本主題與共享緩存討論非常相似，緩解措施幾乎相同。

細粒度鎖定和清晰的前景

當在不同內核上執行的應用程序同時進入內核空間時，也可能發生爭用，從而可能訪問相同的數據結構。傳統上，對整個內核內存的訪問受全局鎖保護，一次只允許一個內核執行操作系統服務。這在技術上可能已經足夠，但在可擴展性方面并不令人滿意。為了減少這種干擾通道的影響，一個兼容良好的操作系統必須使用細粒度鎖定，這大大降低了應用程序同時請求同一鎖的概率。

除了識別干擾信道外，CAST-32A論文還要求對每個內核的資源使用情況進行分析。例如，申請人仍然需要在合理條件下確定安全任務的WCET，并且最終必須確定安全裕度。這同樣適用于存儲區域大小的分析。一個好的操作系統必須通過提供有關內存預算和執行時間的信息來支持用戶。

總結

證書頒發機構團隊 （CAST） 小組勾勒出在航空電子系統中使用多個處理器內核的方法。他們的定位文件CAST-32A提到了硬件設計的各個方面以及軟件架構的問題。通過PikeOS操作系統，SYSGO公司提供了主要的構建塊之一，將強大的資源和時間分區擴展到具有多個內核的CPU，完美地應用了CAST-32A論文中描述的需求。

審核編輯：郭婷