0 引言

    航空電子系統(tǒng)至今已經(jīng)歷了獨立式、聯(lián)合式,、綜合化和高度綜合化的發(fā)展歷程,，從各分系統(tǒng)相互獨立發(fā)展到采用集中控制、分布處理的層次型結(jié)構(gòu)^[1],。開放式的綜合化模塊化航空電子(Integrated Modular Avionics,，IMA)系統(tǒng)架構(gòu)是當今航空電子系統(tǒng)發(fā)展的主要趨勢，旨在降低飛機生命周期費用(Life Cycle Cost,，LCC),、整合航電系統(tǒng)應用,、提高系統(tǒng)性能、解決航電系統(tǒng)應用各自升級的問題等^[2-3],。綜合化模塊化航空電子系統(tǒng)在本質(zhì)上是一種分布式計算系統(tǒng)^[4],，采用開放式體系結(jié)構(gòu)和標準化以及通用化的設計，提高了系統(tǒng)的兼容性,、可移植性,，并具有較高的可擴展性和可維護性，降低了系統(tǒng)的生命周期費用^[5],，整合和支持不同關鍵安全級別的航電系統(tǒng)應用程序^[6],。同時隨著IMA航電系統(tǒng)結(jié)構(gòu)下應用程序越來越復雜，綜合化程度越來越高,，也顯現(xiàn)出故障密集,、多類等特點。

    本文針對IMA結(jié)構(gòu)航空電子系統(tǒng),，討論其多級故障管理機制,，使用符合ARINC653標準的分區(qū)操作系統(tǒng)作為軟件開發(fā)平臺，通過故障檢測措施,、健康監(jiān)控機制,、故障濾波方式和故障處理手段，實現(xiàn)了航電系統(tǒng)模塊級,、集成區(qū)域級和飛機級的多級故障管理機制,，制止了故障惡意蔓延，提高了整機的系統(tǒng)安全性,。

1 IMA系統(tǒng)多級故障管理

    故障管理技術是指避免飛行器的部件或系統(tǒng)的部分或全部失效的技術和方法^[7],。如果故障管理策略不能發(fā)揮正常效果，那么失效就可能會威脅整個飛機系統(tǒng),，并引發(fā)災難性事故^[8-9],。

    IMA航電系統(tǒng)采用面向域的層次劃分方法,，通用的系統(tǒng)管理分為飛機級,、集成區(qū)域級和模塊級3個管理層次。其中飛機級是最頂層的管理功能實體,，負責整個系統(tǒng)的管理,。集成區(qū)域級為中間層，負責一個集成區(qū)域的管理,。模塊級為最底層,，負責一個模塊的管理^[10-11]，又可以細分為進程,、分區(qū)和操作系統(tǒng)^[12],。

    IMA系統(tǒng)故障管理包括故障檢測^[13],、故障濾波^[14]、健康監(jiān)控^[15-16]及故障處理^[17]等,，用來進行檢測故障發(fā)生,，確認故障發(fā)生，對故障類型,、發(fā)生時間和部件進行分類,，限制故障蔓延，以及采取故障處理措施,，包含功能降級或系統(tǒng)重構(gòu)等,。

2 一種多級故障管理機制的設計

    參照當代先進飛機綜合航電系統(tǒng)的設計思路，本文以航空電子全雙工交換式以太網(wǎng)(Avionics Full Duplex Switched Ethernet,，AFDX)作為系統(tǒng)主干通信網(wǎng)絡,，建立了一個級聯(lián)式雙冗余的飛機航電系統(tǒng)架構(gòu)模型，包括兩臺互為余度的中央處理平臺IPC,，每臺IPC機柜內(nèi)含若干現(xiàn)場可更換模塊（LRM）,，包括電源模塊、通用處理模塊,、大容量存儲模塊,、數(shù)據(jù)處理模塊及AFDX交換機模塊等，以及通過AFDX網(wǎng)絡連接的其他現(xiàn)場可更換分系統(tǒng)（LRU）,，包含航電設備和非航電設備,。此結(jié)構(gòu)對應的飛機級、集成區(qū)域級和模塊級3個管理層次的管理者分別為飛行員,、航電綜合處理系統(tǒng)中央維護軟件和模塊級健康監(jiān)控軟件,。

    故障管理功能初始化時對預先設定的每一類故障信息定義故障屬性，包含故障設備標識號,、故障編碼,、故障發(fā)生時間、故障級別等,，由航電系統(tǒng)統(tǒng)一編碼,，如表1所示。

2.1 模塊級故障管理

    在綜合處理平臺IPC系統(tǒng)中,，各LRM均設計有自檢測功能,，通過自檢測手段實施平臺硬件資源功能測試，將故障隔離定位到模塊,，并可將檢測到的模塊內(nèi)部故障報告給上級軟件（集成區(qū)域級故障管理軟件）,。

    系統(tǒng)設計者預計系統(tǒng)可能發(fā)生的所有故障信息，關鍵模塊選取具有健壯分區(qū)機制和健康監(jiān)控機制的機載嵌入式實時操作系統(tǒng),，利用健康監(jiān)控機制針對模塊內(nèi)部可能發(fā)生的故障進行分析,、分類,、分級、編號定義,，設計故障恢復策略,。同時，為系統(tǒng)應用程序設計,、提供一系列錯誤恢復處理程序,，供系統(tǒng)集成者、應用程序選擇,，并提供用戶擴展錯誤恢復動作的機制,，以表驅(qū)動方式實現(xiàn)系統(tǒng)所有故障自動收集、過濾,、派發(fā),，并按級調(diào)度處理策略。

    模塊級故障管理由系統(tǒng)健康監(jiān)控任務,、分區(qū)健康監(jiān)控任務和進程健康監(jiān)控任務組成,，系統(tǒng)通過查“系統(tǒng)健康監(jiān)控表”來確定派遣級別，分別派遣至模塊,、分區(qū)或者進程級,。系統(tǒng)健康監(jiān)控任務運行在核心操作系統(tǒng)中，并且作為核心操作系統(tǒng)中僅有的一個最高優(yōu)先級的任務運行,，可以搶占任何分區(qū)及系統(tǒng)任務的時間,。分區(qū)健康監(jiān)控任務作為分區(qū)操作系統(tǒng)中一個獨立的任務運行，它的優(yōu)先級高于所屬分區(qū)其他所有任務優(yōu)先級,，但只能占用本分區(qū)時間,。進程健康監(jiān)控處理進程作為分區(qū)操作系統(tǒng)中一個特殊的進程運行，它的優(yōu)先級高于分區(qū)內(nèi)其他進程,。模塊內(nèi)部故障管理主要處理過程包括：事件注入,、查模塊級的故障管理確定派遣級別、登記錯誤事件到相應的事件隊列,、啟動相應的健康監(jiān)控任務,、由各級健康監(jiān)控任務進行錯誤恢復動作等，如圖1所示,。

2.2 集成區(qū)域級故障管理

    多級故障管理機制針對模塊一級無法處理的故障,，將其信息上報至航電系統(tǒng)中央維護軟件,，由集成區(qū)域級故障管理進行處理,。

    集成區(qū)域級故障管理系統(tǒng)(航電中央維護軟件)駐留在IPC中的一個通用處理模塊上，該模塊借助AFDX網(wǎng)絡交換機與其他模塊和工作單元通過AFDX網(wǎng)絡連接（可參考圖2）,。在綜合處理平臺中各模塊（LRM）或工作單元（LRU）故障狀態(tài)發(fā)生改變時,，各模塊的模塊級故障管理系統(tǒng)記錄故障發(fā)生或消失的時間,，將收集和處理后的故障信息按照綜合航空電子系統(tǒng)的故障編碼定義（如表1所示），通過事先定義的AFDX虛鏈路向集成區(qū)域級故障管理系統(tǒng)報告,，為系統(tǒng)重構(gòu)決策提供輔助信息,，提高系統(tǒng)故障監(jiān)控及處理能力。

    集成區(qū)域級的故障管理系統(tǒng)根據(jù)故障危害程度,、行為,、系統(tǒng)配置情況和工作狀態(tài)等多種因素，對故障進行不同程度的主動式或周期式的濾波處理,。在確認故障并且嘗試恢復失敗后,，進行預先定義的系統(tǒng)重構(gòu)。系統(tǒng)重構(gòu)的方式有通過RS485總線控制智能電源模塊（PSM）對故障的模塊或工作單元進行復位或者下電操作,，通過ARINC615A協(xié)議進行配置文件的重新分發(fā)等,。通過對故障的屏蔽、定位和限制等處理,，保證當系統(tǒng)出現(xiàn)故障,、部分系統(tǒng)失效時，在剩余的時間內(nèi)系統(tǒng)仍能正常工作,。

2.3 飛機級故障管理

    集成區(qū)域級的故障管理軟件將處理故障后的結(jié)果和不能處理的故障通過AFDX網(wǎng)絡向更高一級的飛機級故障管理平臺上報,，通過顯示控制系統(tǒng)和告警提示系統(tǒng)使用視覺和聽覺刺激的方式提醒飛行員獲悉和處理故障信息。

    航電系統(tǒng)的主要設備均由冗余備份的多套設備組成,，例如飛行管理軟件駐留在雙IPC的通用處理模塊上,，以熱備份方式工作，其中一個出現(xiàn)故障時,，另一個接替運行,。因此，綜合處理平臺提供系統(tǒng)級故障告警信息：飛管軟件1故障（綜合處理平臺1中的運行飛管軟件的通用處理模塊發(fā)生不可逆故障）,；飛管軟件2故障（綜合處理平臺2中的運行飛管軟件的通用處理模塊發(fā)生不可逆故障）,。由飛行員依據(jù)故障提示根據(jù)任務需要手動進行備份切換管理。

3 測試驗證

    為了保證IMA多級故障管理機制的測試驗證充分性,，需要充分考慮航電系統(tǒng)環(huán)境的復雜性和數(shù)據(jù)的實時性,、有效性和健康監(jiān)控覆蓋的故障概率等問題^[18]。

3.1 測試環(huán)境

    多級故障管理機制具有故障檢測,、故障濾波,、健康監(jiān)控及故障處理等功能，需要開展故障模擬和故障注入等技術來激勵這些功能模塊運行,。參考DO-178B/C^[19-20]的要求,，搭建航電系統(tǒng)地面測試環(huán)境，設計軟件故障注入組件^[21]，依據(jù)故障靜態(tài)定義模型和系統(tǒng)健康監(jiān)控表,，使用代碼插樁方法對IMA架構(gòu)下多級故障管理應用軟件開展動態(tài)故障注入,，由此來驗證多級故障管理功能的有效性。

    測試設備的交聯(lián)關系如圖2所示,，按照航電系統(tǒng)IMA架構(gòu)實際連接關系,，由兩臺相互備份的中央處理計算機（IPC）和顯示控制單元及機載航電系統(tǒng)、分系統(tǒng),、傳感器,、控制器等組成，均采用真實設備,。其中模塊級別的故障管理分布在設備的各個模塊中,，集成區(qū)域級別的故障管理所在的模塊為綜合處理計算機中的通用處理模塊，通過AFDX網(wǎng)絡及交換機與其他設備,、系統(tǒng)進行連接,，飛機級故障管理決策由測試人員代替飛行員進行操作。

3.2 測試過程和結(jié)論

    為了模擬模塊內(nèi)部故障管理的過程,，模塊級故障管理測試的過程包括代碼插樁法模擬故障事件注入,、檢查故障濾波算法是否正常進行故障濾波、檢查模塊的健康監(jiān)控表是否確定了錯誤類別,、檢查錯誤事件是否正常掛接到了相應級別的錯誤事件消息隊列,、檢查健康監(jiān)控任務是否正確進行故障內(nèi)容上報、檢查健康監(jiān)控任務是否正確進行了錯誤恢復動作等,。

    集成區(qū)域級故障管理測試首先進行模塊間通信功能和性能的測試,，使用AIM AFDX板卡對IMA系統(tǒng)模塊間通信性能進行測試，實時捕獲各個虛鏈路的數(shù)據(jù)包數(shù)量,、字節(jié)數(shù)和帶寬等數(shù)據(jù),，如圖3所示。測試表明,，故障管理數(shù)據(jù)包以一定的帶寬在虛鏈路中進行傳輸,，各虛鏈路之間相互獨立，互不干擾,，且?guī)挿€(wěn)定,。

    其次進行集成區(qū)域級故障管理功能的測試，通過故障注入模擬模塊故障,，模塊級故障管理處理后上報集成區(qū)域級故障管理系統(tǒng),；判斷集成區(qū)域級故障管理系統(tǒng)是否能夠按照綜合航空電子系統(tǒng)的故障編碼定義解析接收到的故障信息進行故障濾波；最后判斷集成區(qū)域級故障管理系統(tǒng)是否能夠確認故障并且進行預先定義的系統(tǒng)重構(gòu),。

    經(jīng)過按照DO-178B/C要求用真實航電設備搭建的IMA航電系統(tǒng)仿真測試平臺進行的模塊級,、集成區(qū)域級和飛機級故障管理的實際測試，上述IMA架構(gòu)下系統(tǒng)多級故障管理機制能夠在模塊級檢測故障，并派遣處理和上報,，在集成區(qū)域級過濾確認故障,，并進行恢復和重構(gòu),，在飛機級告警提示和備份切換,，滿足設計需求。

4 結(jié)論

    針對綜合化模塊化航空電子（IMA）系統(tǒng)架構(gòu)開放式體系結(jié)構(gòu)和標準化以及通用化的設計使得系統(tǒng)綜合化程度提高,，進而顯現(xiàn)出故障密集,、多類、容易相互影響和蔓延的問題,。本文以AFDX作為系統(tǒng)主干通信網(wǎng)絡,，建立了一個級聯(lián)式雙冗余的飛機航電系統(tǒng)架構(gòu)模型；以滿足ARINC653標準的分區(qū)操作系統(tǒng)為平臺,，實現(xiàn)了一種包含飛機級,、集成區(qū)域級和模塊級3個管理層次的飛機航電系統(tǒng)多級故障管理機制；按照DO-178B/C的要求用真實設備搭建測試平臺進行了3個級別的測試驗證,，結(jié)果表明能夠滿足設計要求,。

    此IMA架構(gòu)下系統(tǒng)多級故障管理機制解決了傳統(tǒng)方式下故障不分級別、不可自動恢復等問題,，實現(xiàn)了IMA航電系統(tǒng)綜合處理平臺故障自動收集,、過濾、分級派發(fā),、接管等,，制止了故障惡意蔓延，提高了整機系統(tǒng)安全性,，已在某型飛機上得到了應用,。

參考文獻

[1] 牛文生.機載計算機技術[M].北京：航空工業(yè)出版社，2013：345-350.

[2] 褚文奎,，張鳳鳴,，樊曉光.綜合模塊化航空電子系統(tǒng)軟件體系結(jié)構(gòu)綜述[J].航空學報，2009,，30(10)：1912-1917.

[3] 張鳳鳴,，褚文奎，樊曉光,，等.綜合模塊化航空電子體系結(jié)構(gòu)研究[J].電光與控制,，2009，16(9)：47-51.

[4] Roland Wolfig.A distributed platform for integrated modular avionics[M].Sudwestdeutscher Verlag Fur Hochschulschriften,，1998.

[5] 鄭朝輝,，陳新中，張曉先.綜合模塊化航空電子系統(tǒng)的可靠性設計[J].計算機工程，2009,，35(23)：272-273,，277.

[6] 熊華鋼，王中華.先進航空電子綜合技術[M].北京：國防工業(yè)出版社,，2009：245-263.

[7] 陳穎,，苑仁亮，曾利.航空電子模塊化綜合系統(tǒng)集成技術[M].北京：國防工業(yè)出版社,，2013：35-45.

[8] 劉曉杰,，趙曉暉，顧海軍,，等.微小型四旋翼無人機實時嵌入式控制系統(tǒng)設計與實現(xiàn)[J].電子技術應用,，2009，35(5)：35-38.

[9] 黃志球,，徐丙鳳,，闞雙龍，等.嵌入式機載軟件安全性分析標準,、方法及工具研究綜述[J].軟件學報,，2014，25(2)：200-218.

[10] Aeronautical Radio,，Inc.ARINC Specification 653-1 Avionics application software standard interface[S].Annapolis：Aeronautical Radio,，Inc.2003.

[11] RTCA:DO-297.Integrated Modular Avionics(IMA) development guidance and certification considerations[S].Washington，DC：Radio Technical Commission for Aeronautics,，Inc.2005.

[12] 張炯,，呂紫旭，胡彥彥,，等.虛擬化技術在綜合化航電系統(tǒng)中的應用[J].北京航空航天大學學報,，2010，36(2)：127-130.

[13] 索高華,，劉紅紅,，王治，等.AFDX網(wǎng)絡仿真系統(tǒng)設計與研究[J].電子技術應用,，2016,42(4)：18-21.

[14] KADIRKAMANATHAN V,，LI P，JAWARD M H,，et al.A sequential Monte Carlo filtering approach to fault detection and isolation in nonlinear system[C].Proceedings of the 39th IEEE Conference on Decision and Control.Piscataway,，NJ，USA：IEEE,，2000：245-250.

[15] 張曉紅,，孫高翔.實時操作系統(tǒng)中健康監(jiān)控技術研究[J].航空計算技術,，2005，35(4)：66-67.

[16] 郭曉靜,，宋勝博,，張楊.基于可測信息源的APU故障智能診斷方法研究[J].電子技術應用，2015,，41(9)：139-141.

[17] 從偉,，景博.航空電子系統(tǒng)故障管理體系結(jié)構(gòu)研究[J].測控技術，2013,，32(7)：125-129.

[18] 周慶,，劉斌,，余正偉,，等.綜合模塊化航電軟件仿真測試環(huán)境研究[J].航空學報，2012,，33(4)：722-733.

[19] RTCA/DO-178B.Software considerations in airborne systems and equipment certification[S].Washington D.C：Radio Technical Commission for Aeronautics,，Inc.，1992.

[20] RTCA/DO-178C.Software considerations in airborne systems and equipment certification[S].Washington D.C：Radio Technical Commission for Aeronautics,，Inc.,，2008.

[21] HILDERMAN V，BAGHAI T.Avionics certification：a complete guide to DO-178(software),，DO-254(hardware)[C].Leesburg：Avionics Communications Inc.,，2007.

作者信息：

張曉紅，郝玉鍇

（中航工業(yè)西安航空計算技術研究所,，陜西 西安710115）