0 引言

    航空電子系統(tǒng)至今已經(jīng)歷了獨(dú)立式、聯(lián)合式,、綜合化和高度綜合化的發(fā)展歷程,，從各分系統(tǒng)相互獨(dú)立發(fā)展到采用集中控制、分布處理的層次型結(jié)構(gòu)^[1],。開放式的綜合化模塊化航空電子(Integrated Modular Avionics,，IMA)系統(tǒng)架構(gòu)是當(dāng)今航空電子系統(tǒng)發(fā)展的主要趨勢(shì)，旨在降低飛機(jī)生命周期費(fèi)用(Life Cycle Cost,，LCC),、整合航電系統(tǒng)應(yīng)用、提高系統(tǒng)性能,、解決航電系統(tǒng)應(yīng)用各自升級(jí)的問題等^[2-3],。綜合化模塊化航空電子系統(tǒng)在本質(zhì)上是一種分布式計(jì)算系統(tǒng)^[4]，采用開放式體系結(jié)構(gòu)和標(biāo)準(zhǔn)化以及通用化的設(shè)計(jì)，提高了系統(tǒng)的兼容性,、可移植性,，并具有較高的可擴(kuò)展性和可維護(hù)性，降低了系統(tǒng)的生命周期費(fèi)用^[5],，整合和支持不同關(guān)鍵安全級(jí)別的航電系統(tǒng)應(yīng)用程序^[6],。同時(shí)隨著IMA航電系統(tǒng)結(jié)構(gòu)下應(yīng)用程序越來越復(fù)雜，綜合化程度越來越高,，也顯現(xiàn)出故障密集,、多類等特點(diǎn)。

    本文針對(duì)IMA結(jié)構(gòu)航空電子系統(tǒng),，討論其多級(jí)故障管理機(jī)制,，使用符合ARINC653標(biāo)準(zhǔn)的分區(qū)操作系統(tǒng)作為軟件開發(fā)平臺(tái)，通過故障檢測(cè)措施,、健康監(jiān)控機(jī)制,、故障濾波方式和故障處理手段，實(shí)現(xiàn)了航電系統(tǒng)模塊級(jí),、集成區(qū)域級(jí)和飛機(jī)級(jí)的多級(jí)故障管理機(jī)制，制止了故障惡意蔓延,，提高了整機(jī)的系統(tǒng)安全性,。

1 IMA系統(tǒng)多級(jí)故障管理

    故障管理技術(shù)是指避免飛行器的部件或系統(tǒng)的部分或全部失效的技術(shù)和方法^[7]。如果故障管理策略不能發(fā)揮正常效果,，那么失效就可能會(huì)威脅整個(gè)飛機(jī)系統(tǒng),，并引發(fā)災(zāi)難性事故^[8-9]。

    IMA航電系統(tǒng)采用面向域的層次劃分方法,，通用的系統(tǒng)管理分為飛機(jī)級(jí),、集成區(qū)域級(jí)和模塊級(jí)3個(gè)管理層次。其中飛機(jī)級(jí)是最頂層的管理功能實(shí)體,，負(fù)責(zé)整個(gè)系統(tǒng)的管理,。集成區(qū)域級(jí)為中間層，負(fù)責(zé)一個(gè)集成區(qū)域的管理,。模塊級(jí)為最底層,，負(fù)責(zé)一個(gè)模塊的管理^[10-11]，又可以細(xì)分為進(jìn)程,、分區(qū)和操作系統(tǒng)^[12],。

    IMA系統(tǒng)故障管理包括故障檢測(cè)^[13]、故障濾波^[14],、健康監(jiān)控^[15-16]及故障處理^[17]等,，用來進(jìn)行檢測(cè)故障發(fā)生，確認(rèn)故障發(fā)生，對(duì)故障類型,、發(fā)生時(shí)間和部件進(jìn)行分類,，限制故障蔓延，以及采取故障處理措施,，包含功能降級(jí)或系統(tǒng)重構(gòu)等,。

2 一種多級(jí)故障管理機(jī)制的設(shè)計(jì)

    參照當(dāng)代先進(jìn)飛機(jī)綜合航電系統(tǒng)的設(shè)計(jì)思路，本文以航空電子全雙工交換式以太網(wǎng)(Avionics Full Duplex Switched Ethernet,，AFDX)作為系統(tǒng)主干通信網(wǎng)絡(luò),，建立了一個(gè)級(jí)聯(lián)式雙冗余的飛機(jī)航電系統(tǒng)架構(gòu)模型，包括兩臺(tái)互為余度的中央處理平臺(tái)IPC,，每臺(tái)IPC機(jī)柜內(nèi)含若干現(xiàn)場(chǎng)可更換模塊（LRM）,，包括電源模塊、通用處理模塊,、大容量存儲(chǔ)模塊,、數(shù)據(jù)處理模塊及AFDX交換機(jī)模塊等，以及通過AFDX網(wǎng)絡(luò)連接的其他現(xiàn)場(chǎng)可更換分系統(tǒng)（LRU）,，包含航電設(shè)備和非航電設(shè)備,。此結(jié)構(gòu)對(duì)應(yīng)的飛機(jī)級(jí)、集成區(qū)域級(jí)和模塊級(jí)3個(gè)管理層次的管理者分別為飛行員,、航電綜合處理系統(tǒng)中央維護(hù)軟件和模塊級(jí)健康監(jiān)控軟件,。

    故障管理功能初始化時(shí)對(duì)預(yù)先設(shè)定的每一類故障信息定義故障屬性，包含故障設(shè)備標(biāo)識(shí)號(hào),、故障編碼,、故障發(fā)生時(shí)間、故障級(jí)別等,，由航電系統(tǒng)統(tǒng)一編碼,，如表1所示。

2.1 模塊級(jí)故障管理

    在綜合處理平臺(tái)IPC系統(tǒng)中,，各LRM均設(shè)計(jì)有自檢測(cè)功能,，通過自檢測(cè)手段實(shí)施平臺(tái)硬件資源功能測(cè)試，將故障隔離定位到模塊,，并可將檢測(cè)到的模塊內(nèi)部故障報(bào)告給上級(jí)軟件（集成區(qū)域級(jí)故障管理軟件）,。

    系統(tǒng)設(shè)計(jì)者預(yù)計(jì)系統(tǒng)可能發(fā)生的所有故障信息，關(guān)鍵模塊選取具有健壯分區(qū)機(jī)制和健康監(jiān)控機(jī)制的機(jī)載嵌入式實(shí)時(shí)操作系統(tǒng),，利用健康監(jiān)控機(jī)制針對(duì)模塊內(nèi)部可能發(fā)生的故障進(jìn)行分析,、分類、分級(jí),、編號(hào)定義,，設(shè)計(jì)故障恢復(fù)策略。同時(shí)，為系統(tǒng)應(yīng)用程序設(shè)計(jì),、提供一系列錯(cuò)誤恢復(fù)處理程序,，供系統(tǒng)集成者、應(yīng)用程序選擇,，并提供用戶擴(kuò)展錯(cuò)誤恢復(fù)動(dòng)作的機(jī)制,，以表驅(qū)動(dòng)方式實(shí)現(xiàn)系統(tǒng)所有故障自動(dòng)收集、過濾,、派發(fā),，并按級(jí)調(diào)度處理策略。

    模塊級(jí)故障管理由系統(tǒng)健康監(jiān)控任務(wù),、分區(qū)健康監(jiān)控任務(wù)和進(jìn)程健康監(jiān)控任務(wù)組成,，系統(tǒng)通過查“系統(tǒng)健康監(jiān)控表”來確定派遣級(jí)別，分別派遣至模塊,、分區(qū)或者進(jìn)程級(jí),。系統(tǒng)健康監(jiān)控任務(wù)運(yùn)行在核心操作系統(tǒng)中，并且作為核心操作系統(tǒng)中僅有的一個(gè)最高優(yōu)先級(jí)的任務(wù)運(yùn)行,，可以搶占任何分區(qū)及系統(tǒng)任務(wù)的時(shí)間,。分區(qū)健康監(jiān)控任務(wù)作為分區(qū)操作系統(tǒng)中一個(gè)獨(dú)立的任務(wù)運(yùn)行，它的優(yōu)先級(jí)高于所屬分區(qū)其他所有任務(wù)優(yōu)先級(jí),，但只能占用本分區(qū)時(shí)間,。進(jìn)程健康監(jiān)控處理進(jìn)程作為分區(qū)操作系統(tǒng)中一個(gè)特殊的進(jìn)程運(yùn)行，它的優(yōu)先級(jí)高于分區(qū)內(nèi)其他進(jìn)程,。模塊內(nèi)部故障管理主要處理過程包括：事件注入、查模塊級(jí)的故障管理確定派遣級(jí)別,、登記錯(cuò)誤事件到相應(yīng)的事件隊(duì)列,、啟動(dòng)相應(yīng)的健康監(jiān)控任務(wù)、由各級(jí)健康監(jiān)控任務(wù)進(jìn)行錯(cuò)誤恢復(fù)動(dòng)作等,，如圖1所示,。

2.2 集成區(qū)域級(jí)故障管理

    多級(jí)故障管理機(jī)制針對(duì)模塊一級(jí)無法處理的故障，將其信息上報(bào)至航電系統(tǒng)中央維護(hù)軟件,，由集成區(qū)域級(jí)故障管理進(jìn)行處理,。

    集成區(qū)域級(jí)故障管理系統(tǒng)(航電中央維護(hù)軟件)駐留在IPC中的一個(gè)通用處理模塊上，該模塊借助AFDX網(wǎng)絡(luò)交換機(jī)與其他模塊和工作單元通過AFDX網(wǎng)絡(luò)連接（可參考圖2）,。在綜合處理平臺(tái)中各模塊（LRM）或工作單元（LRU）故障狀態(tài)發(fā)生改變時(shí),，各模塊的模塊級(jí)故障管理系統(tǒng)記錄故障發(fā)生或消失的時(shí)間，將收集和處理后的故障信息按照綜合航空電子系統(tǒng)的故障編碼定義（如表1所示）,，通過事先定義的AFDX虛鏈路向集成區(qū)域級(jí)故障管理系統(tǒng)報(bào)告,，為系統(tǒng)重構(gòu)決策提供輔助信息，提高系統(tǒng)故障監(jiān)控及處理能力。

    集成區(qū)域級(jí)的故障管理系統(tǒng)根據(jù)故障危害程度,、行為,、系統(tǒng)配置情況和工作狀態(tài)等多種因素，對(duì)故障進(jìn)行不同程度的主動(dòng)式或周期式的濾波處理,。在確認(rèn)故障并且嘗試恢復(fù)失敗后,，進(jìn)行預(yù)先定義的系統(tǒng)重構(gòu)。系統(tǒng)重構(gòu)的方式有通過RS485總線控制智能電源模塊（PSM）對(duì)故障的模塊或工作單元進(jìn)行復(fù)位或者下電操作,，通過ARINC615A協(xié)議進(jìn)行配置文件的重新分發(fā)等,。通過對(duì)故障的屏蔽、定位和限制等處理,，保證當(dāng)系統(tǒng)出現(xiàn)故障,、部分系統(tǒng)失效時(shí)，在剩余的時(shí)間內(nèi)系統(tǒng)仍能正常工作,。

2.3 飛機(jī)級(jí)故障管理

    集成區(qū)域級(jí)的故障管理軟件將處理故障后的結(jié)果和不能處理的故障通過AFDX網(wǎng)絡(luò)向更高一級(jí)的飛機(jī)級(jí)故障管理平臺(tái)上報(bào),，通過顯示控制系統(tǒng)和告警提示系統(tǒng)使用視覺和聽覺刺激的方式提醒飛行員獲悉和處理故障信息。

    航電系統(tǒng)的主要設(shè)備均由冗余備份的多套設(shè)備組成,，例如飛行管理軟件駐留在雙IPC的通用處理模塊上,，以熱備份方式工作，其中一個(gè)出現(xiàn)故障時(shí),，另一個(gè)接替運(yùn)行,。因此，綜合處理平臺(tái)提供系統(tǒng)級(jí)故障告警信息：飛管軟件1故障（綜合處理平臺(tái)1中的運(yùn)行飛管軟件的通用處理模塊發(fā)生不可逆故障）,；飛管軟件2故障（綜合處理平臺(tái)2中的運(yùn)行飛管軟件的通用處理模塊發(fā)生不可逆故障）,。由飛行員依據(jù)故障提示根據(jù)任務(wù)需要手動(dòng)進(jìn)行備份切換管理。

3 測(cè)試驗(yàn)證

    為了保證IMA多級(jí)故障管理機(jī)制的測(cè)試驗(yàn)證充分性,，需要充分考慮航電系統(tǒng)環(huán)境的復(fù)雜性和數(shù)據(jù)的實(shí)時(shí)性,、有效性和健康監(jiān)控覆蓋的故障概率等問題^[18]。

3.1 測(cè)試環(huán)境

    多級(jí)故障管理機(jī)制具有故障檢測(cè),、故障濾波,、健康監(jiān)控及故障處理等功能，需要開展故障模擬和故障注入等技術(shù)來激勵(lì)這些功能模塊運(yùn)行,。參考DO-178B/C^[19-20]的要求,，搭建航電系統(tǒng)地面測(cè)試環(huán)境，設(shè)計(jì)軟件故障注入組件^[21],，依據(jù)故障靜態(tài)定義模型和系統(tǒng)健康監(jiān)控表,，使用代碼插樁方法對(duì)IMA架構(gòu)下多級(jí)故障管理應(yīng)用軟件開展動(dòng)態(tài)故障注入，由此來驗(yàn)證多級(jí)故障管理功能的有效性,。

    測(cè)試設(shè)備的交聯(lián)關(guān)系如圖2所示,，按照航電系統(tǒng)IMA架構(gòu)實(shí)際連接關(guān)系,，由兩臺(tái)相互備份的中央處理計(jì)算機(jī)（IPC）和顯示控制單元及機(jī)載航電系統(tǒng)、分系統(tǒng),、傳感器,、控制器等組成，均采用真實(shí)設(shè)備,。其中模塊級(jí)別的故障管理分布在設(shè)備的各個(gè)模塊中,，集成區(qū)域級(jí)別的故障管理所在的模塊為綜合處理計(jì)算機(jī)中的通用處理模塊，通過AFDX網(wǎng)絡(luò)及交換機(jī)與其他設(shè)備,、系統(tǒng)進(jìn)行連接,，飛機(jī)級(jí)故障管理決策由測(cè)試人員代替飛行員進(jìn)行操作。

3.2 測(cè)試過程和結(jié)論

    為了模擬模塊內(nèi)部故障管理的過程,，模塊級(jí)故障管理測(cè)試的過程包括代碼插樁法模擬故障事件注入,、檢查故障濾波算法是否正常進(jìn)行故障濾波、檢查模塊的健康監(jiān)控表是否確定了錯(cuò)誤類別,、檢查錯(cuò)誤事件是否正常掛接到了相應(yīng)級(jí)別的錯(cuò)誤事件消息隊(duì)列,、檢查健康監(jiān)控任務(wù)是否正確進(jìn)行故障內(nèi)容上報(bào)、檢查健康監(jiān)控任務(wù)是否正確進(jìn)行了錯(cuò)誤恢復(fù)動(dòng)作等,。

    集成區(qū)域級(jí)故障管理測(cè)試首先進(jìn)行模塊間通信功能和性能的測(cè)試,，使用AIM AFDX板卡對(duì)IMA系統(tǒng)模塊間通信性能進(jìn)行測(cè)試，實(shí)時(shí)捕獲各個(gè)虛鏈路的數(shù)據(jù)包數(shù)量,、字節(jié)數(shù)和帶寬等數(shù)據(jù),，如圖3所示。測(cè)試表明,，故障管理數(shù)據(jù)包以一定的帶寬在虛鏈路中進(jìn)行傳輸,，各虛鏈路之間相互獨(dú)立，互不干擾,，且?guī)挿€(wěn)定,。

    其次進(jìn)行集成區(qū)域級(jí)故障管理功能的測(cè)試，通過故障注入模擬模塊故障,，模塊級(jí)故障管理處理后上報(bào)集成區(qū)域級(jí)故障管理系統(tǒng)；判斷集成區(qū)域級(jí)故障管理系統(tǒng)是否能夠按照綜合航空電子系統(tǒng)的故障編碼定義解析接收到的故障信息進(jìn)行故障濾波,；最后判斷集成區(qū)域級(jí)故障管理系統(tǒng)是否能夠確認(rèn)故障并且進(jìn)行預(yù)先定義的系統(tǒng)重構(gòu),。

    經(jīng)過按照DO-178B/C要求用真實(shí)航電設(shè)備搭建的IMA航電系統(tǒng)仿真測(cè)試平臺(tái)進(jìn)行的模塊級(jí)、集成區(qū)域級(jí)和飛機(jī)級(jí)故障管理的實(shí)際測(cè)試,，上述IMA架構(gòu)下系統(tǒng)多級(jí)故障管理機(jī)制能夠在模塊級(jí)檢測(cè)故障,，并派遣處理和上報(bào)，在集成區(qū)域級(jí)過濾確認(rèn)故障,，并進(jìn)行恢復(fù)和重構(gòu),，在飛機(jī)級(jí)告警提示和備份切換,，滿足設(shè)計(jì)需求。

4 結(jié)論

    針對(duì)綜合化模塊化航空電子（IMA）系統(tǒng)架構(gòu)開放式體系結(jié)構(gòu)和標(biāo)準(zhǔn)化以及通用化的設(shè)計(jì)使得系統(tǒng)綜合化程度提高,，進(jìn)而顯現(xiàn)出故障密集,、多類、容易相互影響和蔓延的問題,。本文以AFDX作為系統(tǒng)主干通信網(wǎng)絡(luò),，建立了一個(gè)級(jí)聯(lián)式雙冗余的飛機(jī)航電系統(tǒng)架構(gòu)模型；以滿足ARINC653標(biāo)準(zhǔn)的分區(qū)操作系統(tǒng)為平臺(tái),，實(shí)現(xiàn)了一種包含飛機(jī)級(jí),、集成區(qū)域級(jí)和模塊級(jí)3個(gè)管理層次的飛機(jī)航電系統(tǒng)多級(jí)故障管理機(jī)制；按照DO-178B/C的要求用真實(shí)設(shè)備搭建測(cè)試平臺(tái)進(jìn)行了3個(gè)級(jí)別的測(cè)試驗(yàn)證,，結(jié)果表明能夠滿足設(shè)計(jì)要求,。

    此IMA架構(gòu)下系統(tǒng)多級(jí)故障管理機(jī)制解決了傳統(tǒng)方式下故障不分級(jí)別、不可自動(dòng)恢復(fù)等問題,，實(shí)現(xiàn)了IMA航電系統(tǒng)綜合處理平臺(tái)故障自動(dòng)收集,、過濾、分級(jí)派發(fā),、接管等,，制止了故障惡意蔓延，提高了整機(jī)系統(tǒng)安全性,，已在某型飛機(jī)上得到了應(yīng)用,。

參考文獻(xiàn)

[1] 牛文生.機(jī)載計(jì)算機(jī)技術(shù)[M].北京：航空工業(yè)出版社，2013：345-350.

[2] 褚文奎,，張鳳鳴,，樊曉光.綜合模塊化航空電子系統(tǒng)軟件體系結(jié)構(gòu)綜述[J].航空學(xué)報(bào)，2009,，30(10)：1912-1917.

[3] 張鳳鳴,，褚文奎，樊曉光,，等.綜合模塊化航空電子體系結(jié)構(gòu)研究[J].電光與控制,，2009，16(9)：47-51.

[4] Roland Wolfig.A distributed platform for integrated modular avionics[M].Sudwestdeutscher Verlag Fur Hochschulschriften,，1998.

[5] 鄭朝輝,，陳新中，張曉先.綜合模塊化航空電子系統(tǒng)的可靠性設(shè)計(jì)[J].計(jì)算機(jī)工程,，2009,，35(23)：272-273，277.

[6] 熊華鋼,，王中華.先進(jìn)航空電子綜合技術(shù)[M].北京：國(guó)防工業(yè)出版社,，2009：245-263.

[7] 陳穎,，苑仁亮，曾利.航空電子模塊化綜合系統(tǒng)集成技術(shù)[M].北京：國(guó)防工業(yè)出版社,，2013：35-45.

[8] 劉曉杰,，趙曉暉，顧海軍,，等.微小型四旋翼無人機(jī)實(shí)時(shí)嵌入式控制系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].電子技術(shù)應(yīng)用,，2009，35(5)：35-38.

[9] 黃志球,，徐丙鳳,，闞雙龍，等.嵌入式機(jī)載軟件安全性分析標(biāo)準(zhǔn),、方法及工具研究綜述[J].軟件學(xué)報(bào),，2014，25(2)：200-218.

[10] Aeronautical Radio,，Inc.ARINC Specification 653-1 Avionics application software standard interface[S].Annapolis：Aeronautical Radio,，Inc.2003.

[11] RTCA:DO-297.Integrated Modular Avionics(IMA) development guidance and certification considerations[S].Washington，DC：Radio Technical Commission for Aeronautics,，Inc.2005.

[12] 張炯,，呂紫旭，胡彥彥,，等.虛擬化技術(shù)在綜合化航電系統(tǒng)中的應(yīng)用[J].北京航空航天大學(xué)學(xué)報(bào),，2010，36(2)：127-130.

[13] 索高華,，劉紅紅,，王治，等.AFDX網(wǎng)絡(luò)仿真系統(tǒng)設(shè)計(jì)與研究[J].電子技術(shù)應(yīng)用,，2016,42(4)：18-21.

[14] KADIRKAMANATHAN V,，LI P，JAWARD M H,，et al.A sequential Monte Carlo filtering approach to fault detection and isolation in nonlinear system[C].Proceedings of the 39th IEEE Conference on Decision and Control.Piscataway,，NJ，USA：IEEE,，2000：245-250.

[15] 張曉紅,，孫高翔.實(shí)時(shí)操作系統(tǒng)中健康監(jiān)控技術(shù)研究[J].航空計(jì)算技術(shù)，2005,，35(4)：66-67.

[16] 郭曉靜,，宋勝博,，張楊.基于可測(cè)信息源的APU故障智能診斷方法研究[J].電子技術(shù)應(yīng)用,，2015,，41(9)：139-141.

[17] 從偉，景博.航空電子系統(tǒng)故障管理體系結(jié)構(gòu)研究[J].測(cè)控技術(shù),，2013,，32(7)：125-129.

[18] 周慶，劉斌,，余正偉,，等.綜合模塊化航電軟件仿真測(cè)試環(huán)境研究[J].航空學(xué)報(bào)，2012,，33(4)：722-733.

[19] RTCA/DO-178B.Software considerations in airborne systems and equipment certification[S].Washington D.C：Radio Technical Commission for Aeronautics,，Inc.，1992.

[20] RTCA/DO-178C.Software considerations in airborne systems and equipment certification[S].Washington D.C：Radio Technical Commission for Aeronautics,，Inc.,，2008.

[21] HILDERMAN V，BAGHAI T.Avionics certification：a complete guide to DO-178(software),，DO-254(hardware)[C].Leesburg：Avionics Communications Inc.,，2007.

作者信息：

張曉紅，郝玉鍇

（中航工業(yè)西安航空計(jì)算技術(shù)研究所,，陜西 西安710115）