杨有泽，李颖晖，袁国强

（空军工程大学航空航天工程学院，陕西 西安 710038）

机载公共设备管理系统可靠性建模分析

杨有泽，李颖晖，袁国强

（空军工程大学航空航天工程学院，陕西 西安 710038）

为更加高效、准确计算机载公共设备管理系统的可靠性，综合静态和动态系统可靠性建模方法，提出一种新的模块化可靠性建模方法，并对其软硬件进行可靠性建模与分析。实验结果表明：与传统方法相比，模块化可靠性建模方法利用机载公共设备模块化特点，简化了复杂系统的模型，提高了计算效率，更加符合实际系统的需求。

机载公共设备管理系统；可靠性；建模；模块化

0 引 言

机载公共设备管理系统（utility management system，UMS）[1]是指与航空电子、飞行控制或武器投放无关的机载机电系统，通常包括供电系统、液压系统、燃油系统、环控系统、机轮刹车系统、起落架系统及第二动力系统等子系统。UMS任务量大，工作强度高，其可靠性关系到飞机的整体飞行安全；因此，对UMS进行可靠性建模分析具有十分重要的理论及工程意义。

机载公共设备管理系统是美军于20世纪80年代“宝石柱”计划中提出的，在战斗机F-22和攻击直升机RAH-66的航空电系统中有良好表现。20世纪90年代，美国又提出了“宝石台”计划，升级了此系统，实现了更多方面功能的综合。目前国内关于机载机电综合技术的研究尚处于初级阶段，而针对其可靠性进行建模分析的文章也较少。可靠性建模常用方法有故障树分析法、Petri网、Markov随机过程等[2-4]。其中，文献[5]对UMS进行了原始建模，但模型结构简单，单纯考虑了模型静态特性而未考虑动态特性，忽略了总线和软件故障因素，从而与实际工程偏离较大；文献[6]开发了适应于余度间耦合的可靠性分析评价软件平台，实现不同容错设计方案的选择和机电系统的可靠性定量评价，但是设计方法复杂，程序庞大，实时性差。

综合上述情况，结合公共设备管理系统模块化发展趋势，本文提出一种新的模块化可靠性建模方法，将系统分解为以模块为单位的研究对象，基于模块的静态和动态特性进行建模。针对已有文献中缺乏软件可靠性建模现象，本文着重分析了软件对系统可靠性的影响，且进行了对比分析。

1 模块化建模方法

模块化是UMS的发展趋势，其主要特征是结构分层。换言之，可将UMS这一复杂系统进行分解，降级。

模块化方法不仅是物理上的部件模块化，也是概念上的结构模块化。物理上模块化的UMS配置灵活，便于重构，维修性好，采用这一理念使得外场可更换模块代替外场可更换单元，使整个UMS由三级维修变成两级维修，降低了保障费用，减少了维修时间。概念上模块化是按照功能或结构将复杂系统降解为多个简单模块，选取合适的建模方法分别进行建模求解；再根据模块间的关系及其动态静态特性构建网络，通过对网络可靠度的计算得出最后结果。

2 建模分析

2.1 机载公共设备管理系统结构分析

机载公共设备管理系统典型的控制布局如图1所示。各公共设备管理机（UMC）与总线相连，通过UMS总线对各个子系统进行监控，并通过飞行器管理系统（vehicle management system，VMS）总线向上级系统接收和发送相关信息，实现机电系统与航电系统、飞控系统等飞机其他系统的通信。这种布局使局部机电设备连接到最近的UMC上，减少了连接线路，加强了数据利用率，提升了航电系统整体的可靠性。

整个系统由4台UMC组成，分别处理各自的任务，当其中一台UMC损坏时由其他UMC协调完成总任务。每台UMC由3条非相似的支路构成，分别采用Intel80960、Intel8087、Intel8089处理器；各通道之间进行总线通信，总线采取双冗余[7]的设计；3条支路软件采用不同语言进行编译，采取上述设计可实现软硬件的非相似性，从而抑制了软硬件的同态故障。3条支路中A、B两条互为备份，C用来监控调度；任务期间，只要A、B不同时故障则UMC安全。

图1 机载公共设备管理系统结构

随着系统越来越智能化、自动化，所运行的程序也愈加庞大，对于软件可靠性分析也变得重要起来，因此在UMC通道中除考虑硬件模块之外，增加了对软件模块的分析，每条支路的构成模块如图2所示。在进行全系统任务调度时，程序庞大复杂，调度的成败直接关系到系统重构是否成功，因而在UMC支路考虑软件故障的同时在全系统中也考虑软件故障。

图2 UMC单通道结构

2.2 模块化方法建模

根据模块化建模思想，按图3进行建模。

1）UMC单支路建模

假设UMC通道所有硬件软件故障均满足指数分布，硬件设计无误，故障完全独立；假设软件故障完全独立。采用RBD框图法对UMC单支路建模[8]。设中央处理器模块的故障率为λCPU，模拟量处理模块故障率为λAPM，离散量输出输出模块故障率为λDIO，专用信号处理模块故障率为λSPM，通信接口模块故障率为λSIM，多路传输数据总线接口模块故障率为λMBI，电源模块故障率为λPSM，单机软件故障率为λS。通道中只要其中一个模块故障则通道故障，即各硬件与软件模块的可靠性计算构成串联模式，则单支路的故障率为：λI=λCPU+λAPM+λDIO+λSPM+λSIM+λMBI+λPSM+λS，3条支路故障率分别设为λA、λB、λC。

图3 UMS模块建模框架

2）UMC建模

如图4所示，S0表示3条支路均正常；S1表示A支路故障时，B、C支路正常；S2表示B、C两路有一路故障时，A正常；S3表示UMC故障。当A故障后B取代时因为任务量的增加，导致B故障率增加，本文设这种情况下B故障率为其本身故障率的1.1倍。

图4 UMC的状态转移图

根据图4所示的UMC状态转移图，用P（t）表示状态转移概率矩阵。

矩阵A为Markov过程转移概率密度

根据Markov随机过程公式

将式（1）、式（2）带入式（3）求解微分方程

若t=0时刻各支路处于正常工作状态，即初始条件为：Ps0（0）=1；Ps1（0）=Ps2（0）=Ps3（0）=0，可得：

将式（5）代入式（4），并进行Laplace变换得：

式中，Ps3（t）为UMC的故障概率，即FUMC。

3）总线建模

设单根总线故障率为λ1553B，双冗余总线相当于一个并联系统，根据并联系统基本公式，易得总线模块故障概率为

可靠度为

4）软件建模

对于全系统软件的可靠性，本文采用Littlewood-Verrall模型（LV模型），此模型是贝叶斯模型[9-11]的一种，可模拟软件失效过程的双随机性质，即软件运行环境的特征不确定性与排除错误结果的不确定性。假设软件在失效数据采集过程中运行方式与预测的进行方式相同，失效过程是随机的，修复过程包含不确定性。

设Xi表示第i次失效间隔中以i-1次失效为起点的时间变量，LV模型规定Xi有着以Zi为条件的指数分布，即

其中设Zi为随机变量，具有形参α，尺度参数为ξ（i）的Γ分布。则Zi的概率密度函数为

根据式（11）、式（12）可得Xi的无条件分布为

LV模型规定ξ（i）是一个可靠性增长函数，形式为

经过数值估计可得式（15）、式（16）、式（17），详细推导过程参考文献[12]。

根据式（15）、式（16）、式（17）可得α，β0，β1的估计值则软件的可靠度为

5）UMS建模

构建整个UMS系统的故障状态图，如图5所示，状态0为完好状态；状态1表示其中有1台UMC故障，即一次故障状态；状态2表示有2台UMC故障，即二次故障状态；状态3表示有3台UMC故障，即三次故障状态；状态4表示系统完全故障。整个系统有4台UMC，其中有UMC发生故障时，通过任务调度将任务重新分配，让其他UMC代替故障机，降级完成任务，直至最后一台UMC故障。为了简化计算，假设降级运行不影响UMC的故障率。

RS为4台UMC构成系统的可靠度：

UMS系统失效是由总线故障、软件故障、4台UMC构成系统的故障导致，可将这3个模块看成串联模式。则整个UMS的可靠度为

图5 UMS状态网

3 计算结果

[13]和文献[14]中提出的假设值，模型求解过程中软硬件各模块概率取值如表1所示。

表1 模块概率取值

将上述给定值代入“2.2”模型中，求解系统运行的可靠度。系统运行3500h内的系统1次故障、2次故障、3次故障、完全失效的故障概率随时间变化的曲线如图6所示。比较4条曲线上升趋势，发现系统n次故障，n越大系统故障率上升趋势越平缓，说明采用多重失效状态可以延缓系统的完全失效时间，也就是说采用UMC冗余设计和任务重构技术可大大提高系统可靠度，增加系统安全使用寿命。

图6 系统故障率曲线

引用文献[9]美军海军战术数据系统软件故障数据，对本系统软件进行LV模型构架。由式（18）可得在软件失效次数固定时，软件可靠度随着运行时间的增加而下降；在软件运行时间固定时，软件可靠度随着软件修正次数增加而增加。仿真计算如图7所示，三维图为软件修正次数500～2000次，运行时间为0～1000h软件可靠度曲面。图7（b）是图7（a）水平旋转90°后的视图。

图7 软件可靠度三维图

图8 系统可靠度曲线对比

图8为UMS系统的可靠度曲线对比，其中两条曲线分别是不考虑软件、总线故障时的可靠度曲线和考虑软件（软件修正次数等于500）、总线故障系统的可靠度曲线。结果表明系统运行1000h，忽略软件、总线故障的可靠度高于考虑软件、总线故障的可靠度5～6个数量级。因此若对UMS实际系统可靠性进行预估，忽略软件与总线的故障将导致可靠性估计值偏离实际值，甚至造成错误[15]。

4 结束语

本文在综合考虑UMS系统模块化趋势的特性下，结合多种可靠性建模方法，提出一种新的模块化建模方法，并通过计算得出以下结论：

1）模块化可靠性建模方法有效、可行、易于理解。2）模块化可靠性建模方法能够将UMS这一复杂系统降解为简单模块构建的网络，达到了综合可靠性动态建模和静态建模的优点，使各个模块以合适的方法进行建模的目标。3）UMS考虑软件和总线的故障更符合实际工程特点，忽略软件故障将使系统可靠性计算产生较大偏差。

参考文献

[1]郑伟，解向军.先进战斗机综合机电系统试验技术研究[J].飞机设计，2010，30（5）：31-35.

[2]Jin T D，Coit D W.Unbiased variance estimates for system reliability estimate using block decompositions[J]. IEEE Transaction on Reliability，2008，57（3）：458-466.

[3]覃庆努，魏学业，韩磊，等.电子系统的Markov模型和云可靠性评价方法[J].西安交通大学学报：自然科学版，2012，46（8）：87-93.

[4]衰静，李恩有，龙勇.基于动态故障树的仿真系统可靠性建模研究[J].控制工程，2007（14）：107-110.

[5]马保海，裘丽华.机载机电公共设备综合管理系统的可靠性分析[J].仪器仪表学报，2002（6）：930-932.

[6]岳小杰，王少萍，石健.机载机电系统可靠性的计算机辅助分析方法[J].航空学报，2007，28（3）：708-713.

[7]史久根，张培仁.CAN总线在实时系统中应用的研究[J].中国科学技术大学学报，2005，35（2）：195-199.

[8]谭熙静，何正友，于敏.基于DFTA的地铁车站级综合监控系统可靠性分析[J].铁道学报，2011，33（7）：52-60.

[9]司冠南，任宇涵，许静，等.峰基于贝叶斯网络的网构软件可信性评估模型[J].计算机研究与发展，2012，49（5）：1028-1038.

[10]王栓奇，吴玉美，陆民燕.软件可靠性加速测试与评估方法[J].哈尔滨工程大学学报，2012，33（11）：1358-1364.

[11]Ahmad N，Khan G M，Rafi L S.A study of testing effort dependent inflection S-shaped software reliability growth models with imperfect debugging[J].International Journal of Quality&Reliability Management，2010，27（1）：89-110.

[12]陆民燕.软件可靠性工程[M].北京：国防工业出版社，2011：150-156.

[13]陈宗基，秦旭东，高金源.非相似余度飞控计算机[J].航空学报，2005，26（3）：320-327.

[14]安金霞，朱纪洪，王国庆.多余度飞控计算机系统分级组合可靠性建模方法[J].航空学报，2010，31（2）：301-308.

[15]王少萍.工程可靠性[M].北京：北京航空航天大学出版社，2000：170-171.

Modeling and analysis of reliability for utility management system

YANG You-ze，LI Ying-hui，YUAN Guo-qiang
（School of Aeronautics and Astronautics Engineering，Air Force Engineering University，Xi’an 710038，China）

In order to calculate more efficiently and accurately，this article proposed a new modularized reliability modeling method by synthesizing both static and dynamic system reliability modeling techniques.By this method，the system reliability model for utility management system was described.Compared with the traditional approaches，this method makes full use of the characteristics of system modularization.Thus，the authors can disassemble the complexity of a system and reduce the difficulty of solution，and make the system reliability model more consistent with real complex systems.The experiment shows this method is feasible and effective.

utility management system；reliability；modeling；modularized

V216.6；V217+.2；TP301.6；TP274

：A

：1674-5124（2014）05-0135-05

10.11857/j.issn.1674-5124.2014.05.035

2013-12-16；

：2014-02-18

国家自然科学基金项目（61074007）

杨有泽（1989-），男，山西大同市人，硕士研究生，专业方向为机载公共设备管理系统。