阎芳，邢培培，赵长啸, *，王鹏

1. 中国民航大学 天津市民用航空器适航与维修重点实验室，天津 300300 2. 中国民航大学 民航航空器适航审定技术重点实验室，天津 300300 3. 中国民航大学 适航学院, 天津 300300

航空电子系统承载着飞机通信、导航、飞行管理等实时处理与信息交换任务，是保障飞机安全飞行和正确执行任务的安全关键系统[1-2]。在数字技术、计算技术和电子技术等推动下，航空电子系统历经四代体系结构演化，目前正朝着分布式综合模块化航空电子(Distributed Integrated Modular Avionics，DIMA)方向发展[3]。欧盟FP7框架下的“可扩展可重配置电子平台与工具”(SCARLETT)研究计划[4]指出下一代航电系统的七大主要特征，其中最关键的一项技术是要求航电系统在飞机运行时具有动态重构能力。实现航电系统的动态重构，一方面可以减少硬件冗余，降低非预期维护成本，另一方面可以提高资源利用率，提高系统灵活性，增强航电系统应对不同飞行任务和资源失效的能力，并在保持当前安全水平条件下提高飞机运行可靠性。

作为飞机的关键系统之一，航电系统的可靠性与安全性不言而喻。近年来，国内外研究人员针对DIMA系统做了很多研究。文献[5]提出了综合化航电系统重构决策系统及决策方法；文献[6]以SCARLETT项目为前提，介绍了第二代IMA系统并研究开发了对其进行自动化测试的方法；文献[7]为DIMA架构设计和优化提供了一种新颖的整体框架思路，并通过实例测试了所设计的DIMA架构；文献[8]使用体系结构分析与设计语言(AADL)语言描述了DIMA系统的动态重构过程，并将AADL建立的可靠性模型转化为Petri网模型，通过Petri网模拟了不同失效路径下的重构过程；文献[9]针对综合模块化航空电子(IMA)系统的故障传播机制，提出一种基于AADL和广义随机Petri网(GSPN)的可靠性评估方法。但是，这些研究大多集中于DIMA系统的体系结构或重构过程等，有关可靠性方面研究较少，针对DIMA系统动态重构过程的可靠性分析尚未得到解决。

因此，针对DIMA系统动态重构特点，本文提出一种基于联合k/n(G)模型对其进行可靠性建模与分析的方法。在研究DIMA系统动态重构过程和重构机制的基础上，建立动态重构DIMA系统可靠性数学模型，得到系统动态重构过程可靠度与时间的关系。最后对比分析联合k/n(G)模型和一般k/n(G)模型并对联合k/n(G)模型进行参数敏感性分析，验证了该方法的适用性和合理性。

1 动态重构DIMA系统

1.1 系统体系结构

综合联合式和IMA的优势，DIMA将高度综合化的硬件资源进行分布式排布[10]。DIMA系统体系结构，如图1所示[11]。

图1 DIMA系统体系结构Fig.1 DIMA system architecture

一方面，系统提供了一种综合化、模块化的通用硬件资源和软件资源平台，使更多具有飞机功能的应用可驻留于通用功能模块(Common Function Module，CFM)上，软件加载与硬件无关，易于系统升级和重构。另一方面，从物理上分布飞机功能，将计算资源分离到与信号源相近的区域，实现了I/O处理模块和应用处理模块在物理层次上的严格隔离，形成了天然的故障传播屏障。同时，DIMA采用时间触发以太网[12](Time-Triggered Ethernet，TTE)，远程数据集中器和与之相邻的处理模块交换输入输出数据，并将数据传输到TTE交换机，各硬件资源之间实现互联，各功能模块之间实现数据高度共享，并通过鲁棒式分区使功能分离和独立，这种层次化结构大大降低了布线和系统复杂性。

1.2 动态重构

1.2.1 DIMA重构过程

系统动态重构行为由通用系统管理(Generic System Management, GSM)控制，在执行重构时，通用系统管理所需的配置信息由蓝印系统提供[13]。按照所处层次，重构可以分为综合区域(IA)重构和资源单元(RE)重构。综合区域是功能应用紧密结合的一个逻辑组合，而资源单元则是具体的物理硬件的组合。

图2 DIMA动态重构过程Fig.2 Process of DIMA dynamic reconfiguration

图2为DIMA系统重构过程。在综合区域IA1中，包含CFM1和CFM2两个模块。当健康监控检测到CFM1故障后，向IA1-GSM发送故障消息，接收到消息后IA1-GSM向CFM1发送终止指令，CFM1接收到指令后，停止应用程序的执行，销毁虚拟信道以及应用程序进程。当CFM1完成操作后，向IA1-GSM发送配置终止完成报告，IA1-GSM接收到该报告后，向CFM2发送应用配置数据，CFM2更新配置信息。随后，IA1-GSM相继向CFM2发送加载配置指令和运行配置指令。至此，IA1完成重构，从状态1切换到状态2[14]。

1.2.2 DIMA重构策略

DIMA动态重构可在分区级和模块级进行[15]，本文研究层次为模块级，即当模块故障触发重构时，系统将在故障模块上运行的所有应用程序重新分配到备用模块。根据SCARLETT项目和DIMA的相关研究[8,16-18]，本文采取的重构策略规则如下：

规则1系统进行模块级重构时，采用n+2方式实现重构，所有同一类型模块有两个备用模块，所有备用模块均处于热备份状态，当有模块发生故障时，备用模块完全代替故障模块工作，此时分为3种情况：①每种类型模块均有备用模块，则备用模块代替该类型故障模块工作；②某一类型已无备用模块，但其他类型有备用模块且备用模块数量可完全满足故障模块的功能实现需求，则可按规则4实现重构；③当每种类型模块均已无备用模块可用时，为保证系统功能实现，系统可按规则3实现降级重构。

规则2模块的各个分区中只运行一个应用程序，且各个模块无备用分区。

规则3系统中各功能应用具有优先级，当系统无可用备用模块时，系统会根据预先设定的优先级进行降级重构，即系统进入不同类型模块联合工作模式。如果故障模块驻留功能应用的优先级最低，则关闭故障模块，系统失去相应模块功能；如果存在比故障模块上优先级更低的功能应用，则关闭相应模块上优先级最低的应用，故障模块通过强占该模块资源重构其功能应用。

规则4根据系统中模块的不同配置，将模块分为主模块和普通模块，主模块可驻留更多功能应用，且负责监控自身模块和普通模块，系统将高优先级应用驻留在主模块，将较低优先级应用驻留在普通模块，两种模块同时工作。当系统发生重构时，为保证系统可靠性，主模块可代替1～2个普通模块工作，两个普通模块可代替一个主模块工作。

2 可靠性建模

通过研究DIMA系统体系结构，针对DIMA系统动态重构过程、重构机制的特点，建立联合k/n(G)可靠性模型。在一般k/n(G)可靠性模型[19]的基础上，通过设置系统有效k值、模块合作等级κj等参数，使得该模型能更加全面准确地描述DIMA系统特性及动态重构特性。因此本文采用联合k/n(G)模型来对系统进行建模。

2.1 联合k/n(G)系统

联合k/n(G)模型为一种新型的冗余模型。该系统由不同类型的模块构成，各类型模块配置不同，性能水平不同，此外，每种类型模块分为工作模块和备用模块，一个或几个模块处于工作状态，其他模块处于备份状态，当工作的某模块出现故障后，备份模块立即转入工作模式。系统符合以下假设：

1) 模块有两种状态(工作或故障)。

2) 所有备用模块处于热备份状态，且在备份状态和转入工作状态时不发生故障，均为理想状态。

3) 模块失效相互独立。

4) 模块失效后不可修。

在该系统中，每种模块都具有一个设定的合作等级κj,代表该类型模块的性能水平，也就是使系统正常工作所需的该种类型模块的最小个数，高性能模块的模块合作等级较低，但模块的合作等级与其自身的可靠性无必然关系。当模块发生失效或故障时，不同类型模块会根据各自的模块合作等级联合工作，以提高模块利用率和系统可靠性。此外，系统定义了有效k值的概念，针对系统每个具体状态向量yl,会有一个有效k值与之对应。系统有效k值会随着不同性能模块的失效而变化。

例如，假设系统中有3种类型模块，向量x和向量κ定义如下：x=[323]T,κ=[312]T。

x表示系统中每种类型模块的个数，κ表示每种模块的合作等级。定义随机向量Y(t),表示t时刻每种类型可工作模块个数，随机变量Yj(t),表示j型可工作模块个数，Yj(t)∈{0,1,2,…,xj}，Y(t)=[Y1(t)Y2(t) …Ym(t)]T。yl为系统的状态向量，向量中的各个元素yl(j)为Yj(t)的可能取值，Y(t)∈{y1,y2,…,yl,…}。随着系统模块失效，Y(t)逐渐变化，向量yl随之变化，系统有效k值也相应变化。如图3所示，yl共有42种可能取值，图3为其中4种取值结果。对于状态向量y1=[3 2 3],y1(2)=2,对于所有yl向量，yl(2)≥1,k(yl)=1,因为κ2=1(该类型模块只要有一个正常工作系统就正常工作)。对于y3=[2 0 1],系统中有两个第1种类型模块，一个第3种类型模块，由于κ1=3,κ3=2,两种类型模块均不能单独工作，两种模块进入联合工作模式，具有较高合作等级的第3种类型模块代替第1种类型失效模块工作，k(yl)=3。对于y4=[1 0 1],无足够模块正常工作，系统失效，k(yl)设置为-1。

图3 系统组件联合工作过程Fig.3 Process of the partnership of system components

2.2 联合k/n(G)系统可靠性模型

对于所提出的联合k/n(G)系统，满足以下3个条件时系统处于正常工作状态：

1) 系统中至少有κj个任一类型模块正常工作。

2) 具有相同κj值的不同类型模块总数之和至少等于κj。

3) 高优先级模块代替低优先级模块工作时，模块总数之和不少于κj(低优先级)。

当满足以上条件时，系统联合k/n(G)可靠性模型如式(1)～式(4)所示[20-21]:

(1)

ψk(x)={yl;k(yl)=k}

(2)

(3)

(4)

式中：R(x;t)为t时刻系统可靠度;rj(t)为t时刻j型模块可靠度;xj和yl(j)分别为系统中j型模块总数和t时刻可工作模块个数;m为模块类型;ψk(x)为具有相同有效k值的状态向量yl的集合。

此外，式(1)共包含两个求和运算。第1个求和运算表示，对于不同有效k值，系统处于工作状态的概率之和；第2个求和运算表示，针对一个具体k值，系统在不同状态向量yl下，处于工作状态的概率之和。连乘运算表示m种类型模块可靠度的乘积。式(2)表示具有不同有效k值的各个状态向量的集合。式(3)表示系统有效k值。式(4)表示系统中最大模块合作等级。

下面给出系统有效k值和状态集合ψk(x)的具体确定方法。

2.2.1k(yl)的确定

k(yl)表示系统在具体工作状态向量yl下的有效k值。当系统从随机向量yl中的一个状态变为另一个状态时，系统k(yl)值也会随之变化。对于任一给定的yl向量，唯一确定一个k(yl)值，它是满足系统正常工作的最小非负整数，如图4所示，可按该方法确定。

2.2.2ψk(x)的确定

在联合k/n(G)系统中，ψk(x)定义为针对具体有效k值的所有状态向量yl的集合。ψk(x)表示x的函数，针对每个设计向量x,都有不同的yl向量和ψk(x)集合与之对应。ψk(x)的定义如式(2)所示。

图4 k(yl)的确定过程Fig.4 Process of determination of k(yl)

3 实例验证

3.1 综合显示功能可靠性建模

综合显示系统以DIMA的通用功能模块为基础，通过与飞机上通信、导航、识别、大气数据航向姿态基准等多个系统交联，实现飞机飞行姿态、空速、气压高度等参数信息的显示[22-23]。

FAA咨询通告AC 25-11B提供了明确的显示信息关键性指南[24]，如表1所示。

为了实现DIMA系统的显示功能，需将这些显示信息以功能应用的形式封装于处理模块中。根据STANAG 4626第六部分安全性相关章节[25]，相同关键等级的功能应用封装于同一个模块中。因此，DIMA显示功能的资源配置，如表2所示。

至此，完成DIMA系统显示功能可靠性模型的建立，如图5所示。

表1 显示信息关键性要求Table 1 Critical requirements for display information

表2 DIMA显示功能资源配置Table 2 Resource configuration of display function of DIMA

图5 DIMA显示功能可靠性模型Fig.5 Reliability model of display function of DIMA

系统包含两种类型模块，主模块和备用模块，n=11,m=2,x=[5 6]T，κ=[3 4]T,3个主模块驻留所有关键显示信息功能应用，4个普通模块驻留所有必要、非必要显示信息功能应用。当主模块或普通模块故障触发重构时，首先选择备用模块代替故障模块工作，当无备用模块时，系统进入降级重构模式，即模块联合工作模式，此时，系统只能关闭非必要显示信息功能，关键和必要显示信息功能不可舍弃。此外，一个主模块可代替驻留两个必要、非必要显示信息功能应用，两个普通模块可代替驻留一个主模块上的功能应用。系统所有工作状态向量yl共有19种可能取值，如表3所示。

表3 系统向量yl集合ψk(x)Table 3 Vector set of yl in ψk(x)

3.2 可靠性分析

根据3.1节建立的DIMA系统显示功能动态重构可靠性模型，设定主模块的失效率为λ1=2×10-4/h,普通模块的失效率为λ2=2×10-5/h,得到DIMA显示功能动态重构过程中系统可靠度与时间的关系，如图6所示。

图6 DIMA显示功能动态重构可靠度Fig.6 Reliability of dynamic reconfiguration of display function of DIMA

图7 模型估计误差Fig.7 Estimation error of model

图6中L0为DIMA系统显示功能动态重构过程的可靠度变化曲线。为了进一步说明联合k/n(G)可靠性模型的合理性，对比了利用一般k/n(G)可靠性模型对DIMA系统建模，系统动态重构过程的可靠度变化曲线，如图6中L1曲线所示。可以发现，联合k/n(G)可靠性模型建模的可靠度高于一般k/n(G)可靠性模型的可靠度，如图7所示，两者最大差值为0.318 7。这是因为，在DIMA系统重构时，一方面故障模块可将其上驻留的功能应用重新加载到备用模块，保证航电功能的实现；另一方面，在联合k/n(G)模型中通过设定系统有效k值等参数，更加准确地反映了系统特性，比如在无备用模块时，系统根据此时的重构需求和资源条件，选择降级重构策略，扩大了航电功能的可用重构资源范围，提高了资源利用率和航电系统应对资源失效的能力，从而提高系统的可靠性，一般k/n(G)模型没有考虑这一特性，因此，联合k/n(G)可靠性模型更有效合理。

3.3 参数敏感性分析

为了进一步研究通用功能模块的不同配置对DIMA系统显示功能的可靠性产生的影响，现改变模块失效率λ和模块合作等级κ,进行系统可靠性对比分析。

模块合作等级κ不变，配置模块失效率如表4所示，主模块失效率分别取λ1=2×10-4/h、λ1=3×10-4/h和λ1=4×10-4/h,普通模块的失效率分别取λ2=2×10-5/h、λ2=3×10-5/h和λ2=4×10-5/h,结果如图8所示。从图中可以看出提高模块失效率，系统可靠度普遍降低，其中曲线L2和L3下降幅度较小，曲线L1和L4下降幅度较大，即主模块失效率的变化对系统可靠性影响更大。

同理，模块失效率λ不变，系统模块合作等级κ分别取κ=[3 4]T、κ=[4 4]T和κ=[3 5]T,结果如图9所示。可以看出，模块合作等级与系统可靠度成反比关系。提高系统的模块合作等级，即系统需要更多该类型模块才能处于正常工作状态，系统可靠度降低；降低系统的模块合作等级，系统可靠度提高。

表4 参数λ配置表Table 4 Configuration of parameter λ

图8 系统可靠度随参数λ变化示例(κ=[3 4]T)Fig.8 Example: system reliability vs parameter λ(κ=[3 4]T)

图9 系统可靠度随参数κ变化示例Fig.9 Example: system reliability vs parameter κ

随着系统模块配置的提高，系统的经济成本也会相应提高，正确恰当地权衡系统可靠性与经济效益的关系，可为系统设计提供有效指导。

4 结 论

1) 为分析DIMA系统动态重构过程的可靠性，提出一种基于联合k/n(G)模型进行可靠性建模与分析的方法，以准确全面地建立符合DIMA动态重构特性的可靠性数学模型。

2) 以DIMA系统显示功能为例，进行了动态重构过程的可靠性建模与分析，给出了该模型与一般k/n(G)模型建模后系统的可靠度对比曲线，说明了模型的合理性。

3) 通过改变模型参数，即改变功能模块的不同配置，观察系统可靠度的变化，可为系统设计提供指导。下一步研究将进行动态重构DIMA系统不同资源配置方案的设计，优化系统资源配置，为系统设计提供更有效指导。