閻芳，邢培培，趙長嘯, *，王鵬

1. 中國民航大學 天津市民用航空器適航與維修重點實驗室，天津 300300 2. 中國民航大學 民航航空器適航審定技術重點實驗室，天津 300300 3. 中國民航大學 適航學院, 天津 300300

航空電子系統(tǒng)承載著飛機通信、導航、飛行管理等實時處理與信息交換任務，是保障飛機安全飛行和正確執(zhí)行任務的安全關鍵系統(tǒng)[1-2]。在數(shù)字技術、計算技術和電子技術等推動下，航空電子系統(tǒng)歷經(jīng)四代體系結(jié)構(gòu)演化，目前正朝著分布式綜合模塊化航空電子(Distributed Integrated Modular Avionics，DIMA)方向發(fā)展[3]。歐盟FP7框架下的“可擴展可重配置電子平臺與工具”(SCARLETT)研究計劃[4]指出下一代航電系統(tǒng)的七大主要特征，其中最關鍵的一項技術是要求航電系統(tǒng)在飛機運行時具有動態(tài)重構(gòu)能力。實現(xiàn)航電系統(tǒng)的動態(tài)重構(gòu)，一方面可以減少硬件冗余，降低非預期維護成本，另一方面可以提高資源利用率，提高系統(tǒng)靈活性，增強航電系統(tǒng)應對不同飛行任務和資源失效的能力，并在保持當前安全水平條件下提高飛機運行可靠性。

作為飛機的關鍵系統(tǒng)之一，航電系統(tǒng)的可靠性與安全性不言而喻。近年來，國內(nèi)外研究人員針對DIMA系統(tǒng)做了很多研究。文獻[5]提出了綜合化航電系統(tǒng)重構(gòu)決策系統(tǒng)及決策方法；文獻[6]以SCARLETT項目為前提，介紹了第二代IMA系統(tǒng)并研究開發(fā)了對其進行自動化測試的方法；文獻[7]為DIMA架構(gòu)設計和優(yōu)化提供了一種新穎的整體框架思路，并通過實例測試了所設計的DIMA架構(gòu)；文獻[8]使用體系結(jié)構(gòu)分析與設計語言(AADL)語言描述了DIMA系統(tǒng)的動態(tài)重構(gòu)過程，并將AADL建立的可靠性模型轉(zhuǎn)化為Petri網(wǎng)模型，通過Petri網(wǎng)模擬了不同失效路徑下的重構(gòu)過程；文獻[9]針對綜合模塊化航空電子(IMA)系統(tǒng)的故障傳播機制，提出一種基于AADL和廣義隨機Petri網(wǎng)(GSPN)的可靠性評估方法。但是，這些研究大多集中于DIMA系統(tǒng)的體系結(jié)構(gòu)或重構(gòu)過程等，有關可靠性方面研究較少，針對DIMA系統(tǒng)動態(tài)重構(gòu)過程的可靠性分析尚未得到解決。

因此，針對DIMA系統(tǒng)動態(tài)重構(gòu)特點，本文提出一種基于聯(lián)合k/n(G)模型對其進行可靠性建模與分析的方法。在研究DIMA系統(tǒng)動態(tài)重構(gòu)過程和重構(gòu)機制的基礎上，建立動態(tài)重構(gòu)DIMA系統(tǒng)可靠性數(shù)學模型，得到系統(tǒng)動態(tài)重構(gòu)過程可靠度與時間的關系。最后對比分析聯(lián)合k/n(G)模型和一般k/n(G)模型并對聯(lián)合k/n(G)模型進行參數(shù)敏感性分析，驗證了該方法的適用性和合理性。

1 動態(tài)重構(gòu)DIMA系統(tǒng)

1.1 系統(tǒng)體系結(jié)構(gòu)

綜合聯(lián)合式和IMA的優(yōu)勢，DIMA將高度綜合化的硬件資源進行分布式排布[10]。DIMA系統(tǒng)體系結(jié)構(gòu)，如圖1所示[11]。

圖1 DIMA系統(tǒng)體系結(jié)構(gòu)Fig.1 DIMA system architecture

一方面，系統(tǒng)提供了一種綜合化、模塊化的通用硬件資源和軟件資源平臺，使更多具有飛機功能的應用可駐留于通用功能模塊(Common Function Module，CFM)上，軟件加載與硬件無關，易于系統(tǒng)升級和重構(gòu)。另一方面，從物理上分布飛機功能，將計算資源分離到與信號源相近的區(qū)域，實現(xiàn)了I/O處理模塊和應用處理模塊在物理層次上的嚴格隔離，形成了天然的故障傳播屏障。同時，DIMA采用時間觸發(fā)以太網(wǎng)[12](Time-Triggered Ethernet，TTE)，遠程數(shù)據(jù)集中器和與之相鄰的處理模塊交換輸入輸出數(shù)據(jù)，并將數(shù)據(jù)傳輸?shù)絋TE交換機，各硬件資源之間實現(xiàn)互聯(lián)，各功能模塊之間實現(xiàn)數(shù)據(jù)高度共享，并通過魯棒式分區(qū)使功能分離和獨立，這種層次化結(jié)構(gòu)大大降低了布線和系統(tǒng)復雜性。

1.2 動態(tài)重構(gòu)

1.2.1 DIMA重構(gòu)過程

系統(tǒng)動態(tài)重構(gòu)行為由通用系統(tǒng)管理(Generic System Management, GSM)控制，在執(zhí)行重構(gòu)時，通用系統(tǒng)管理所需的配置信息由藍印系統(tǒng)提供[13]。按照所處層次，重構(gòu)可以分為綜合區(qū)域(IA)重構(gòu)和資源單元(RE)重構(gòu)。綜合區(qū)域是功能應用緊密結(jié)合的一個邏輯組合，而資源單元則是具體的物理硬件的組合。

圖2 DIMA動態(tài)重構(gòu)過程Fig.2 Process of DIMA dynamic reconfiguration

圖2為DIMA系統(tǒng)重構(gòu)過程。在綜合區(qū)域IA1中，包含CFM1和CFM2兩個模塊。當健康監(jiān)控檢測到CFM1故障后，向IA1-GSM發(fā)送故障消息，接收到消息后IA1-GSM向CFM1發(fā)送終止指令，CFM1接收到指令后，停止應用程序的執(zhí)行，銷毀虛擬信道以及應用程序進程。當CFM1完成操作后，向IA1-GSM發(fā)送配置終止完成報告，IA1-GSM接收到該報告后，向CFM2發(fā)送應用配置數(shù)據(jù)，CFM2更新配置信息。隨后，IA1-GSM相繼向CFM2發(fā)送加載配置指令和運行配置指令。至此，IA1完成重構(gòu)，從狀態(tài)1切換到狀態(tài)2[14]。

1.2.2 DIMA重構(gòu)策略

DIMA動態(tài)重構(gòu)可在分區(qū)級和模塊級進行[15]，本文研究層次為模塊級，即當模塊故障觸發(fā)重構(gòu)時，系統(tǒng)將在故障模塊上運行的所有應用程序重新分配到備用模塊。根據(jù)SCARLETT項目和DIMA的相關研究[8,16-18]，本文采取的重構(gòu)策略規(guī)則如下：

規(guī)則1系統(tǒng)進行模塊級重構(gòu)時，采用n+2方式實現(xiàn)重構(gòu)，所有同一類型模塊有兩個備用模塊，所有備用模塊均處于熱備份狀態(tài)，當有模塊發(fā)生故障時，備用模塊完全代替故障模塊工作，此時分為3種情況：①每種類型模塊均有備用模塊，則備用模塊代替該類型故障模塊工作；②某一類型已無備用模塊，但其他類型有備用模塊且備用模塊數(shù)量可完全滿足故障模塊的功能實現(xiàn)需求，則可按規(guī)則4實現(xiàn)重構(gòu)；③當每種類型模塊均已無備用模塊可用時，為保證系統(tǒng)功能實現(xiàn)，系統(tǒng)可按規(guī)則3實現(xiàn)降級重構(gòu)。

規(guī)則2模塊的各個分區(qū)中只運行一個應用程序，且各個模塊無備用分區(qū)。

規(guī)則3系統(tǒng)中各功能應用具有優(yōu)先級，當系統(tǒng)無可用備用模塊時，系統(tǒng)會根據(jù)預先設定的優(yōu)先級進行降級重構(gòu)，即系統(tǒng)進入不同類型模塊聯(lián)合工作模式。如果故障模塊駐留功能應用的優(yōu)先級最低，則關閉故障模塊，系統(tǒng)失去相應模塊功能；如果存在比故障模塊上優(yōu)先級更低的功能應用，則關閉相應模塊上優(yōu)先級最低的應用，故障模塊通過強占該模塊資源重構(gòu)其功能應用。

規(guī)則4根據(jù)系統(tǒng)中模塊的不同配置，將模塊分為主模塊和普通模塊，主模塊可駐留更多功能應用，且負責監(jiān)控自身模塊和普通模塊，系統(tǒng)將高優(yōu)先級應用駐留在主模塊，將較低優(yōu)先級應用駐留在普通模塊，兩種模塊同時工作。當系統(tǒng)發(fā)生重構(gòu)時，為保證系統(tǒng)可靠性，主模塊可代替1～2個普通模塊工作，兩個普通模塊可代替一個主模塊工作。

2 可靠性建模

通過研究DIMA系統(tǒng)體系結(jié)構(gòu)，針對DIMA系統(tǒng)動態(tài)重構(gòu)過程、重構(gòu)機制的特點，建立聯(lián)合k/n(G)可靠性模型。在一般k/n(G)可靠性模型[19]的基礎上，通過設置系統(tǒng)有效k值、模塊合作等級κj等參數(shù)，使得該模型能更加全面準確地描述DIMA系統(tǒng)特性及動態(tài)重構(gòu)特性。因此本文采用聯(lián)合k/n(G)模型來對系統(tǒng)進行建模。

2.1 聯(lián)合k/n(G)系統(tǒng)

聯(lián)合k/n(G)模型為一種新型的冗余模型。該系統(tǒng)由不同類型的模塊構(gòu)成，各類型模塊配置不同，性能水平不同，此外，每種類型模塊分為工作模塊和備用模塊，一個或幾個模塊處于工作狀態(tài)，其他模塊處于備份狀態(tài)，當工作的某模塊出現(xiàn)故障后，備份模塊立即轉(zhuǎn)入工作模式。系統(tǒng)符合以下假設：

1) 模塊有兩種狀態(tài)(工作或故障)。

2) 所有備用模塊處于熱備份狀態(tài)，且在備份狀態(tài)和轉(zhuǎn)入工作狀態(tài)時不發(fā)生故障，均為理想狀態(tài)。

3) 模塊失效相互獨立。

4) 模塊失效后不可修。

在該系統(tǒng)中，每種模塊都具有一個設定的合作等級κj,代表該類型模塊的性能水平，也就是使系統(tǒng)正常工作所需的該種類型模塊的最小個數(shù)，高性能模塊的模塊合作等級較低，但模塊的合作等級與其自身的可靠性無必然關系。當模塊發(fā)生失效或故障時，不同類型模塊會根據(jù)各自的模塊合作等級聯(lián)合工作，以提高模塊利用率和系統(tǒng)可靠性。此外，系統(tǒng)定義了有效k值的概念，針對系統(tǒng)每個具體狀態(tài)向量yl,會有一個有效k值與之對應。系統(tǒng)有效k值會隨著不同性能模塊的失效而變化。

例如，假設系統(tǒng)中有3種類型模塊，向量x和向量κ定義如下：x=[323]T,κ=[312]T。

x表示系統(tǒng)中每種類型模塊的個數(shù)，κ表示每種模塊的合作等級。定義隨機向量Y(t),表示t時刻每種類型可工作模塊個數(shù)，隨機變量Yj(t),表示j型可工作模塊個數(shù)，Yj(t)∈{0,1,2,…,xj}，Y(t)=[Y1(t)Y2(t) …Ym(t)]T。yl為系統(tǒng)的狀態(tài)向量，向量中的各個元素yl(j)為Yj(t)的可能取值，Y(t)∈{y1,y2,…,yl,…}。隨著系統(tǒng)模塊失效，Y(t)逐漸變化，向量yl隨之變化，系統(tǒng)有效k值也相應變化。如圖3所示，yl共有42種可能取值，圖3為其中4種取值結(jié)果。對于狀態(tài)向量y1=[3 2 3],y1(2)=2,對于所有yl向量，yl(2)≥1,k(yl)=1,因為κ2=1(該類型模塊只要有一個正常工作系統(tǒng)就正常工作)。對于y3=[2 0 1],系統(tǒng)中有兩個第1種類型模塊，一個第3種類型模塊，由于κ1=3,κ3=2,兩種類型模塊均不能單獨工作，兩種模塊進入聯(lián)合工作模式，具有較高合作等級的第3種類型模塊代替第1種類型失效模塊工作，k(yl)=3。對于y4=[1 0 1],無足夠模塊正常工作，系統(tǒng)失效，k(yl)設置為-1。

圖3 系統(tǒng)組件聯(lián)合工作過程Fig.3 Process of the partnership of system components

2.2 聯(lián)合k/n(G)系統(tǒng)可靠性模型

對于所提出的聯(lián)合k/n(G)系統(tǒng)，滿足以下3個條件時系統(tǒng)處于正常工作狀態(tài)：

1) 系統(tǒng)中至少有κj個任一類型模塊正常工作。

2) 具有相同κj值的不同類型模塊總數(shù)之和至少等于κj。

3) 高優(yōu)先級模塊代替低優(yōu)先級模塊工作時，模塊總數(shù)之和不少于κj(低優(yōu)先級)。

當滿足以上條件時，系統(tǒng)聯(lián)合k/n(G)可靠性模型如式(1)～式(4)所示[20-21]:

(1)

ψk(x)={yl;k(yl)=k}

(2)

(3)

(4)

式中：R(x;t)為t時刻系統(tǒng)可靠度;rj(t)為t時刻j型模塊可靠度;xj和yl(j)分別為系統(tǒng)中j型模塊總數(shù)和t時刻可工作模塊個數(shù);m為模塊類型;ψk(x)為具有相同有效k值的狀態(tài)向量yl的集合。

此外，式(1)共包含兩個求和運算。第1個求和運算表示，對于不同有效k值，系統(tǒng)處于工作狀態(tài)的概率之和；第2個求和運算表示，針對一個具體k值，系統(tǒng)在不同狀態(tài)向量yl下，處于工作狀態(tài)的概率之和。連乘運算表示m種類型模塊可靠度的乘積。式(2)表示具有不同有效k值的各個狀態(tài)向量的集合。式(3)表示系統(tǒng)有效k值。式(4)表示系統(tǒng)中最大模塊合作等級。

下面給出系統(tǒng)有效k值和狀態(tài)集合ψk(x)的具體確定方法。

2.2.1k(yl)的確定

k(yl)表示系統(tǒng)在具體工作狀態(tài)向量yl下的有效k值。當系統(tǒng)從隨機向量yl中的一個狀態(tài)變?yōu)榱硪粋€狀態(tài)時，系統(tǒng)k(yl)值也會隨之變化。對于任一給定的yl向量，唯一確定一個k(yl)值，它是滿足系統(tǒng)正常工作的最小非負整數(shù)，如圖4所示，可按該方法確定。

2.2.2ψk(x)的確定

在聯(lián)合k/n(G)系統(tǒng)中，ψk(x)定義為針對具體有效k值的所有狀態(tài)向量yl的集合。ψk(x)表示x的函數(shù)，針對每個設計向量x,都有不同的yl向量和ψk(x)集合與之對應。ψk(x)的定義如式(2)所示。

圖4 k(yl)的確定過程Fig.4 Process of determination of k(yl)

3 實例驗證

3.1 綜合顯示功能可靠性建模

綜合顯示系統(tǒng)以DIMA的通用功能模塊為基礎，通過與飛機上通信、導航、識別、大氣數(shù)據(jù)航向姿態(tài)基準等多個系統(tǒng)交聯(lián)，實現(xiàn)飛機飛行姿態(tài)、空速、氣壓高度等參數(shù)信息的顯示[22-23]。

FAA咨詢通告AC 25-11B提供了明確的顯示信息關鍵性指南[24]，如表1所示。

為了實現(xiàn)DIMA系統(tǒng)的顯示功能，需將這些顯示信息以功能應用的形式封裝于處理模塊中。根據(jù)STANAG 4626第六部分安全性相關章節(jié)[25]，相同關鍵等級的功能應用封裝于同一個模塊中。因此，DIMA顯示功能的資源配置，如表2所示。

至此，完成DIMA系統(tǒng)顯示功能可靠性模型的建立，如圖5所示。

表1 顯示信息關鍵性要求Table 1 Critical requirements for display information

表2 DIMA顯示功能資源配置Table 2 Resource configuration of display function of DIMA

圖5 DIMA顯示功能可靠性模型Fig.5 Reliability model of display function of DIMA

系統(tǒng)包含兩種類型模塊，主模塊和備用模塊，n=11,m=2,x=[5 6]T，κ=[3 4]T,3個主模塊駐留所有關鍵顯示信息功能應用，4個普通模塊駐留所有必要、非必要顯示信息功能應用。當主模塊或普通模塊故障觸發(fā)重構(gòu)時，首先選擇備用模塊代替故障模塊工作，當無備用模塊時，系統(tǒng)進入降級重構(gòu)模式，即模塊聯(lián)合工作模式，此時，系統(tǒng)只能關閉非必要顯示信息功能，關鍵和必要顯示信息功能不可舍棄。此外，一個主模塊可代替駐留兩個必要、非必要顯示信息功能應用，兩個普通模塊可代替駐留一個主模塊上的功能應用。系統(tǒng)所有工作狀態(tài)向量yl共有19種可能取值，如表3所示。

表3 系統(tǒng)向量yl集合ψk(x)Table 3 Vector set of yl in ψk(x)

3.2 可靠性分析

根據(jù)3.1節(jié)建立的DIMA系統(tǒng)顯示功能動態(tài)重構(gòu)可靠性模型，設定主模塊的失效率為λ1=2×10-4/h,普通模塊的失效率為λ2=2×10-5/h,得到DIMA顯示功能動態(tài)重構(gòu)過程中系統(tǒng)可靠度與時間的關系，如圖6所示。

圖6 DIMA顯示功能動態(tài)重構(gòu)可靠度Fig.6 Reliability of dynamic reconfiguration of display function of DIMA

圖7 模型估計誤差Fig.7 Estimation error of model

圖6中L0為DIMA系統(tǒng)顯示功能動態(tài)重構(gòu)過程的可靠度變化曲線。為了進一步說明聯(lián)合k/n(G)可靠性模型的合理性，對比了利用一般k/n(G)可靠性模型對DIMA系統(tǒng)建模，系統(tǒng)動態(tài)重構(gòu)過程的可靠度變化曲線，如圖6中L1曲線所示?？梢园l(fā)現(xiàn)，聯(lián)合k/n(G)可靠性模型建模的可靠度高于一般k/n(G)可靠性模型的可靠度，如圖7所示，兩者最大差值為0.318 7。這是因為，在DIMA系統(tǒng)重構(gòu)時，一方面故障模塊可將其上駐留的功能應用重新加載到備用模塊，保證航電功能的實現(xiàn)；另一方面，在聯(lián)合k/n(G)模型中通過設定系統(tǒng)有效k值等參數(shù)，更加準確地反映了系統(tǒng)特性，比如在無備用模塊時，系統(tǒng)根據(jù)此時的重構(gòu)需求和資源條件，選擇降級重構(gòu)策略，擴大了航電功能的可用重構(gòu)資源范圍，提高了資源利用率和航電系統(tǒng)應對資源失效的能力，從而提高系統(tǒng)的可靠性，一般k/n(G)模型沒有考慮這一特性，因此，聯(lián)合k/n(G)可靠性模型更有效合理。

3.3 參數(shù)敏感性分析

為了進一步研究通用功能模塊的不同配置對DIMA系統(tǒng)顯示功能的可靠性產(chǎn)生的影響，現(xiàn)改變模塊失效率λ和模塊合作等級κ,進行系統(tǒng)可靠性對比分析。

模塊合作等級κ不變，配置模塊失效率如表4所示，主模塊失效率分別取λ1=2×10-4/h、λ1=3×10-4/h和λ1=4×10-4/h,普通模塊的失效率分別取λ2=2×10-5/h、λ2=3×10-5/h和λ2=4×10-5/h,結(jié)果如圖8所示。從圖中可以看出提高模塊失效率，系統(tǒng)可靠度普遍降低，其中曲線L2和L3下降幅度較小，曲線L1和L4下降幅度較大，即主模塊失效率的變化對系統(tǒng)可靠性影響更大。

同理，模塊失效率λ不變，系統(tǒng)模塊合作等級κ分別取κ=[3 4]T、κ=[4 4]T和κ=[3 5]T,結(jié)果如圖9所示?？梢钥闯?，模塊合作等級與系統(tǒng)可靠度成反比關系。提高系統(tǒng)的模塊合作等級，即系統(tǒng)需要更多該類型模塊才能處于正常工作狀態(tài)，系統(tǒng)可靠度降低；降低系統(tǒng)的模塊合作等級，系統(tǒng)可靠度提高。

表4 參數(shù)λ配置表Table 4 Configuration of parameter λ

圖8 系統(tǒng)可靠度隨參數(shù)λ變化示例(κ=[3 4]T)Fig.8 Example: system reliability vs parameter λ(κ=[3 4]T)

圖9 系統(tǒng)可靠度隨參數(shù)κ變化示例Fig.9 Example: system reliability vs parameter κ

隨著系統(tǒng)模塊配置的提高，系統(tǒng)的經(jīng)濟成本也會相應提高，正確恰當?shù)貦嗪庀到y(tǒng)可靠性與經(jīng)濟效益的關系，可為系統(tǒng)設計提供有效指導。

4 結(jié) 論

1) 為分析DIMA系統(tǒng)動態(tài)重構(gòu)過程的可靠性，提出一種基于聯(lián)合k/n(G)模型進行可靠性建模與分析的方法，以準確全面地建立符合DIMA動態(tài)重構(gòu)特性的可靠性數(shù)學模型。

2) 以DIMA系統(tǒng)顯示功能為例，進行了動態(tài)重構(gòu)過程的可靠性建模與分析，給出了該模型與一般k/n(G)模型建模后系統(tǒng)的可靠度對比曲線，說明了模型的合理性。

3) 通過改變模型參數(shù)，即改變功能模塊的不同配置，觀察系統(tǒng)可靠度的變化，可為系統(tǒng)設計提供指導。下一步研究將進行動態(tài)重構(gòu)DIMA系統(tǒng)不同資源配置方案的設計，優(yōu)化系統(tǒng)資源配置，為系統(tǒng)設計提供更有效指導。