關(guān)于IMA架構(gòu)航電系統(tǒng)多級(jí)故障管理的設(shè)計(jì)與實(shí)現(xiàn)

0 引言

航空電子系統(tǒng)至今已經(jīng)歷了獨(dú)立式、聯(lián)合式、綜合化和高度綜合化的發(fā)展歷程，從各分系統(tǒng)相互獨(dú)立發(fā)展到采用集中控制、分布處理的層次型結(jié)構(gòu)[1]。開(kāi)放式的綜合化模塊化航空電子(Integrated Modular Avionics，IMA)系統(tǒng)架構(gòu)是當(dāng)今航空電子系統(tǒng)發(fā)展的主要趨勢(shì)，旨在降低飛機(jī)生命周期費(fèi)用(Life Cycle Cost，LCC)、整合航電系統(tǒng)應(yīng)用、提高系統(tǒng)性能、解決航電系統(tǒng)應(yīng)用各自升級(jí)的問(wèn)題等[2-3]。綜合化模塊化航空電子系統(tǒng)在本質(zhì)上是一種分布式計(jì)算系統(tǒng)[4]，采用開(kāi)放式體系結(jié)構(gòu)和標(biāo)準(zhǔn)化以及通用化的設(shè)計(jì)，提高了系統(tǒng)的兼容性、可移植性，并具有較高的可擴(kuò)展性和可維護(hù)性，降低了系統(tǒng)的生命周期費(fèi)用[5]，整合和支持不同關(guān)鍵安全級(jí)別的航電系統(tǒng)應(yīng)用程序[6]。同時(shí)隨著IMA航電系統(tǒng)結(jié)構(gòu)下應(yīng)用程序越來(lái)越復(fù)雜，綜合化程度越來(lái)越高，也顯現(xiàn)出故障密集、多類等特點(diǎn)。

本文針對(duì)IMA結(jié)構(gòu)航空電子系統(tǒng)，討論其多級(jí)故障管理機(jī)制，使用符合ARINC653標(biāo)準(zhǔn)的分區(qū)操作系統(tǒng)作為軟件開(kāi)發(fā)平臺(tái)，通過(guò)故障檢測(cè)措施、健康監(jiān)控機(jī)制、故障濾波方式和故障處理手段，實(shí)現(xiàn)了航電系統(tǒng)模塊級(jí)、集成區(qū)域級(jí)和飛機(jī)級(jí)的多級(jí)故障管理機(jī)制，制止了故障惡意蔓延，提高了整機(jī)的系統(tǒng)安全性。

1 IMA系統(tǒng)多級(jí)故障管理

故障管理技術(shù)是指避免飛行器的部件或系統(tǒng)的部分或全部失效的技術(shù)和方法[7]。如果故障管理策略不能發(fā)揮正常效果，那么失效就可能會(huì)威脅整個(gè)飛機(jī)系統(tǒng)，并引發(fā)災(zāi)難性事故[8-9]。

IMA航電系統(tǒng)采用面向域的層次劃分方法，通用的系統(tǒng)管理分為飛機(jī)級(jí)、集成區(qū)域級(jí)和模塊級(jí)3個(gè)管理層次。其中飛機(jī)級(jí)是最頂層的管理功能實(shí)體，負(fù)責(zé)整個(gè)系統(tǒng)的管理。集成區(qū)域級(jí)為中間層，負(fù)責(zé)一個(gè)集成區(qū)域的管理。模塊級(jí)為最底層，負(fù)責(zé)一個(gè)模塊的管理[10-11]，又可以細(xì)分為進(jìn)程、分區(qū)和操作系統(tǒng)[12]。

IMA系統(tǒng)故障管理包括故障檢測(cè)[13]、故障濾波[14]、健康監(jiān)控[15-16]及故障處理[17]等，用來(lái)進(jìn)行檢測(cè)故障發(fā)生，確認(rèn)故障發(fā)生，對(duì)故障類型、發(fā)生時(shí)間和部件進(jìn)行分類，限制故障蔓延，以及采取故障處理措施，包含功能降級(jí)或系統(tǒng)重構(gòu)等。

2 一種多級(jí)故障管理機(jī)制的設(shè)計(jì)

參照當(dāng)代先進(jìn)飛機(jī)綜合航電系統(tǒng)的設(shè)計(jì)思路，本文以航空電子全雙工交換式以太網(wǎng)(Avionics Full Duplex Switched Ethernet，AFDX)作為系統(tǒng)主干通信網(wǎng)絡(luò)，建立了一個(gè)級(jí)聯(lián)式雙冗余的飛機(jī)航電系統(tǒng)架構(gòu)模型，包括兩臺(tái)互為余度的中央處理平臺(tái)IPC，每臺(tái)IPC機(jī)柜內(nèi)含若干現(xiàn)場(chǎng)可更換模塊（LRM），包括電源模塊、通用處理模塊、大容量存儲(chǔ)模塊、數(shù)據(jù)處理模塊及AFDX交換機(jī)模塊等，以及通過(guò)AFDX網(wǎng)絡(luò)連接的其他現(xiàn)場(chǎng)可更換分系統(tǒng)（LRU），包含航電設(shè)備和非航電設(shè)備。此結(jié)構(gòu)對(duì)應(yīng)的飛機(jī)級(jí)、集成區(qū)域級(jí)和模塊級(jí)3個(gè)管理層次的管理者分別為飛行員、航電綜合處理系統(tǒng)中央維護(hù)軟件和模塊級(jí)健康監(jiān)控軟件。

故障管理功能初始化時(shí)對(duì)預(yù)先設(shè)定的每一類故障信息定義故障屬性，包含故障設(shè)備標(biāo)識(shí)號(hào)、故障編碼、故障發(fā)生時(shí)間、故障級(jí)別等，由航電系統(tǒng)統(tǒng)一編碼，如表1所示。

2.1 模塊級(jí)故障管理

在綜合處理平臺(tái)IPC系統(tǒng)中，各LRM均設(shè)計(jì)有自檢測(cè)功能，通過(guò)自檢測(cè)手段實(shí)施平臺(tái)硬件資源功能測(cè)試，將故障隔離定位到模塊，并可將檢測(cè)到的模塊內(nèi)部故障報(bào)告給上級(jí)軟件（集成區(qū)域級(jí)故障管理軟件）。

系統(tǒng)設(shè)計(jì)者預(yù)計(jì)系統(tǒng)可能發(fā)生的所有故障信息，關(guān)鍵模塊選取具有健壯分區(qū)機(jī)制和健康監(jiān)控機(jī)制的機(jī)載嵌入式實(shí)時(shí)操作系統(tǒng)，利用健康監(jiān)控機(jī)制針對(duì)模塊內(nèi)部可能發(fā)生的故障進(jìn)行分析、分類、分級(jí)、編號(hào)定義，設(shè)計(jì)故障恢復(fù)策略。同時(shí)，為系統(tǒng)應(yīng)用程序設(shè)計(jì)、提供一系列錯(cuò)誤恢復(fù)處理程序，供系統(tǒng)集成者、應(yīng)用程序選擇，并提供用戶擴(kuò)展錯(cuò)誤恢復(fù)動(dòng)作的機(jī)制，以表驅(qū)動(dòng)方式實(shí)現(xiàn)系統(tǒng)所有故障自動(dòng)收集、過(guò)濾、派發(fā)，并按級(jí)調(diào)度處理策略。

模塊級(jí)故障管理由系統(tǒng)健康監(jiān)控任務(wù)、分區(qū)健康監(jiān)控任務(wù)和進(jìn)程健康監(jiān)控任務(wù)組成，系統(tǒng)通過(guò)查“系統(tǒng)健康監(jiān)控表”來(lái)確定派遣級(jí)別，分別派遣至模塊、分區(qū)或者進(jìn)程級(jí)。系統(tǒng)健康監(jiān)控任務(wù)運(yùn)行在核心操作系統(tǒng)中，并且作為核心操作系統(tǒng)中僅有的一個(gè)最高優(yōu)先級(jí)的任務(wù)運(yùn)行，可以搶占任何分區(qū)及系統(tǒng)任務(wù)的時(shí)間。分區(qū)健康監(jiān)控任務(wù)作為分區(qū)操作系統(tǒng)中一個(gè)獨(dú)立的任務(wù)運(yùn)行，它的優(yōu)先級(jí)高于所屬分區(qū)其他所有任務(wù)優(yōu)先級(jí)，但只能占用本分區(qū)時(shí)間。進(jìn)程健康監(jiān)控處理進(jìn)程作為分區(qū)操作系統(tǒng)中一個(gè)特殊的進(jìn)程運(yùn)行，它的優(yōu)先級(jí)高于分區(qū)內(nèi)其他進(jìn)程。模塊內(nèi)部故障管理主要處理過(guò)程包括：事件注入、查模塊級(jí)的故障管理確定派遣級(jí)別、登記錯(cuò)誤事件到相應(yīng)的事件隊(duì)列、啟動(dòng)相應(yīng)的健康監(jiān)控任務(wù)、由各級(jí)健康監(jiān)控任務(wù)進(jìn)行錯(cuò)誤恢復(fù)動(dòng)作等，如圖1所示。

2.2 集成區(qū)域級(jí)故障管理

多級(jí)故障管理機(jī)制針對(duì)模塊一級(jí)無(wú)法處理的故障，將其信息上報(bào)至航電系統(tǒng)中央維護(hù)軟件，由集成區(qū)域級(jí)故障管理進(jìn)行處理。

集成區(qū)域級(jí)故障管理系統(tǒng)(航電中央維護(hù)軟件)駐留在IPC中的一個(gè)通用處理模塊上，該模塊借助AFDX網(wǎng)絡(luò)交換機(jī)與其他模塊和工作單元通過(guò)AFDX網(wǎng)絡(luò)連接（可參考圖2）。在綜合處理平臺(tái)中各模塊（LRM）或工作單元（LRU）故障狀態(tài)發(fā)生改變時(shí)，各模塊的模塊級(jí)故障管理系統(tǒng)記錄故障發(fā)生或消失的時(shí)間，將收集和處理后的故障信息按照綜合航空電子系統(tǒng)的故障編碼定義（如表1所示），通過(guò)事先定義的AFDX虛鏈路向集成區(qū)域級(jí)故障管理系統(tǒng)報(bào)告，為系統(tǒng)重構(gòu)決策提供輔助信息，提高系統(tǒng)故障監(jiān)控及處理能力。

集成區(qū)域級(jí)的故障管理系統(tǒng)根據(jù)故障危害程度、行為、系統(tǒng)配置情況和工作狀態(tài)等多種因素，對(duì)故障進(jìn)行不同程度的主動(dòng)式或周期式的濾波處理。在確認(rèn)故障并且嘗試恢復(fù)失敗后，進(jìn)行預(yù)先定義的系統(tǒng)重構(gòu)。系統(tǒng)重構(gòu)的方式有通過(guò)RS485總線控制智能電源模塊（PSM）對(duì)故障的模塊或工作單元進(jìn)行復(fù)位或者下電操作，通過(guò)ARINC615A協(xié)議進(jìn)行配置文件的重新分發(fā)等。通過(guò)對(duì)故障的屏蔽、定位和限制等處理，保證當(dāng)系統(tǒng)出現(xiàn)故障、部分系統(tǒng)失效時(shí)，在剩余的時(shí)間內(nèi)系統(tǒng)仍能正常工作。

2.3 飛機(jī)級(jí)故障管理

集成區(qū)域級(jí)的故障管理軟件將處理故障后的結(jié)果和不能處理的故障通過(guò)AFDX網(wǎng)絡(luò)向更高一級(jí)的飛機(jī)級(jí)故障管理平臺(tái)上報(bào)，通過(guò)顯示控制系統(tǒng)和告警提示系統(tǒng)使用視覺(jué)和聽(tīng)覺(jué)刺激的方式提醒飛行員獲悉和處理故障信息。

航電系統(tǒng)的主要設(shè)備均由冗余備份的多套設(shè)備組成，例如飛行管理軟件駐留在雙IPC的通用處理模塊上，以熱備份方式工作，其中一個(gè)出現(xiàn)故障時(shí)，另一個(gè)接替運(yùn)行。因此，綜合處理平臺(tái)提供系統(tǒng)級(jí)故障告警信息：飛管軟件1故障（綜合處理平臺(tái)1中的運(yùn)行飛管軟件的通用處理模塊發(fā)生不可逆故障）；飛管軟件2故障（綜合處理平臺(tái)2中的運(yùn)行飛管軟件的通用處理模塊發(fā)生不可逆故障）。由飛行員依據(jù)故障提示根據(jù)任務(wù)需要手動(dòng)進(jìn)行備份切換管理。

3 測(cè)試驗(yàn)證

為了保證IMA多級(jí)故障管理機(jī)制的測(cè)試驗(yàn)證充分性，需要充分考慮航電系統(tǒng)環(huán)境的復(fù)雜性和數(shù)據(jù)的實(shí)時(shí)性、有效性和健康監(jiān)控覆蓋的故障概率等問(wèn)題[18]。

3.1 測(cè)試環(huán)境

多級(jí)故障管理機(jī)制具有故障檢測(cè)、故障濾波、健康監(jiān)控及故障處理等功能，需要開(kāi)展故障模擬和故障注入等技術(shù)來(lái)激勵(lì)這些功能模塊運(yùn)行。參考DO-178B/C[19-20]的要求，搭建航電系統(tǒng)地面測(cè)試環(huán)境，設(shè)計(jì)軟件故障注入組件[21]，依據(jù)故障靜態(tài)定義模型和系統(tǒng)健康監(jiān)控表，使用代碼插樁方法對(duì)IMA架構(gòu)下多級(jí)故障管理應(yīng)用軟件開(kāi)展動(dòng)態(tài)故障注入，由此來(lái)驗(yàn)證多級(jí)故障管理功能的有效性。

測(cè)試設(shè)備的交聯(lián)關(guān)系如圖2所示，按照航電系統(tǒng)IMA架構(gòu)實(shí)際連接關(guān)系，由兩臺(tái)相互備份的中央處理計(jì)算機(jī)（IPC）和顯示控制單元及機(jī)載航電系統(tǒng)、分系統(tǒng)、傳感器、控制器等組成，均采用真實(shí)設(shè)備。其中模塊級(jí)別的故障管理分布在設(shè)備的各個(gè)模塊中，集成區(qū)域級(jí)別的故障管理所在的模塊為綜合處理計(jì)算機(jī)中的通用處理模塊，通過(guò)AFDX網(wǎng)絡(luò)及交換機(jī)與其他設(shè)備、系統(tǒng)進(jìn)行連接，飛機(jī)級(jí)故障管理決策由測(cè)試人員代替飛行員進(jìn)行操作。

3.2 測(cè)試過(guò)程和結(jié)論

為了模擬模塊內(nèi)部故障管理的過(guò)程，模塊級(jí)故障管理測(cè)試的過(guò)程包括代碼插樁法模擬故障事件注入、檢查故障濾波算法是否正常進(jìn)行故障濾波、檢查模塊的健康監(jiān)控表是否確定了錯(cuò)誤類別、檢查錯(cuò)誤事件是否正常掛接到了相應(yīng)級(jí)別的錯(cuò)誤事件消息隊(duì)列、檢查健康監(jiān)控任務(wù)是否正確進(jìn)行故障內(nèi)容上報(bào)、檢查健康監(jiān)控任務(wù)是否正確進(jìn)行了錯(cuò)誤恢復(fù)動(dòng)作等。

集成區(qū)域級(jí)故障管理測(cè)試首先進(jìn)行模塊間通信功能和性能的測(cè)試，使用AIM AFDX板卡對(duì)IMA系統(tǒng)模塊間通信性能進(jìn)行測(cè)試，實(shí)時(shí)捕獲各個(gè)虛鏈路的數(shù)據(jù)包數(shù)量、字節(jié)數(shù)和帶寬等數(shù)據(jù)，如圖3所示。測(cè)試表明，故障管理數(shù)據(jù)包以一定的帶寬在虛鏈路中進(jìn)行傳輸，各虛鏈路之間相互獨(dú)立，互不干擾，且?guī)挿€(wěn)定。

其次進(jìn)行集成區(qū)域級(jí)故障管理功能的測(cè)試，通過(guò)故障注入模擬模塊故障，模塊級(jí)故障管理處理后上報(bào)集成區(qū)域級(jí)故障管理系統(tǒng)；判斷集成區(qū)域級(jí)故障管理系統(tǒng)是否能夠按照綜合航空電子系統(tǒng)的故障編碼定義解析接收到的故障信息進(jìn)行故障濾波；最后判斷集成區(qū)域級(jí)故障管理系統(tǒng)是否能夠確認(rèn)故障并且進(jìn)行預(yù)先定義的系統(tǒng)重構(gòu)。

經(jīng)過(guò)按照DO-178B/C要求用真實(shí)航電設(shè)備搭建的IMA航電系統(tǒng)仿真測(cè)試平臺(tái)進(jìn)行的模塊級(jí)、集成區(qū)域級(jí)和飛機(jī)級(jí)故障管理的實(shí)際測(cè)試，上述IMA架構(gòu)下系統(tǒng)多級(jí)故障管理機(jī)制能夠在模塊級(jí)檢測(cè)故障，并派遣處理和上報(bào)，在集成區(qū)域級(jí)過(guò)濾確認(rèn)故障，并進(jìn)行恢復(fù)和重構(gòu)，在飛機(jī)級(jí)告警提示和備份切換，滿足設(shè)計(jì)需求。

4 結(jié)論

針對(duì)綜合化模塊化航空電子（IMA）系統(tǒng)架構(gòu)開(kāi)放式體系結(jié)構(gòu)和標(biāo)準(zhǔn)化以及通用化的設(shè)計(jì)使得系統(tǒng)綜合化程度提高，進(jìn)而顯現(xiàn)出故障密集、多類、容易相互影響和蔓延的問(wèn)題。本文以AFDX作為系統(tǒng)主干通信網(wǎng)絡(luò)，建立了一個(gè)級(jí)聯(lián)式雙冗余的飛機(jī)航電系統(tǒng)架構(gòu)模型；以滿足ARINC653標(biāo)準(zhǔn)的分區(qū)操作系統(tǒng)為平臺(tái)，實(shí)現(xiàn)了一種包含飛機(jī)級(jí)、集成區(qū)域級(jí)和模塊級(jí)3個(gè)管理層次的飛機(jī)航電系統(tǒng)多級(jí)故障管理機(jī)制；按照DO-178B/C的要求用真實(shí)設(shè)備搭建測(cè)試平臺(tái)進(jìn)行了3個(gè)級(jí)別的測(cè)試驗(yàn)證，結(jié)果表明能夠滿足設(shè)計(jì)要求。

此IMA架構(gòu)下系統(tǒng)多級(jí)故障管理機(jī)制解決了傳統(tǒng)方式下故障不分級(jí)別、不可自動(dòng)恢復(fù)等問(wèn)題，實(shí)現(xiàn)了IMA航電系統(tǒng)綜合處理平臺(tái)故障自動(dòng)收集、過(guò)濾、分級(jí)派發(fā)、接管等，制止了故障惡意蔓延，提高了整機(jī)系統(tǒng)安全性，已在某型飛機(jī)上得到了應(yīng)用。