0 引言

    航空電子系統(tǒng)至今已經(jīng)歷了獨(dú)立式,、聯(lián)合式、綜合化和高度綜合化的發(fā)展歷程,，從各分系統(tǒng)相互獨(dú)立發(fā)展到采用集中控制,、分布處理的層次型結(jié)構(gòu)^[1]。開放式的綜合化模塊化航空電子(Integrated Modular Avionics,，IMA)系統(tǒng)架構(gòu)是當(dāng)今航空電子系統(tǒng)發(fā)展的主要趨勢,，旨在降低飛機(jī)生命周期費(fèi)用(Life Cycle Cost，LCC),、整合航電系統(tǒng)應(yīng)用,、提高系統(tǒng)性能、解決航電系統(tǒng)應(yīng)用各自升級(jí)的問題等^[2-3],。綜合化模塊化航空電子系統(tǒng)在本質(zhì)上是一種分布式計(jì)算系統(tǒng)^[4],，采用開放式體系結(jié)構(gòu)和標(biāo)準(zhǔn)化以及通用化的設(shè)計(jì),，提高了系統(tǒng)的兼容性、可移植性,，并具有較高的可擴(kuò)展性和可維護(hù)性,，降低了系統(tǒng)的生命周期費(fèi)用^[5]，整合和支持不同關(guān)鍵安全級(jí)別的航電系統(tǒng)應(yīng)用程序^[6],。同時(shí)隨著IMA航電系統(tǒng)結(jié)構(gòu)下應(yīng)用程序越來越復(fù)雜,，綜合化程度越來越高，也顯現(xiàn)出故障密集,、多類等特點(diǎn),。

    本文針對(duì)IMA結(jié)構(gòu)航空電子系統(tǒng)，討論其多級(jí)故障管理機(jī)制,，使用符合ARINC653標(biāo)準(zhǔn)的分區(qū)操作系統(tǒng)作為軟件開發(fā)平臺(tái),，通過故障檢測措施、健康監(jiān)控機(jī)制,、故障濾波方式和故障處理手段,，實(shí)現(xiàn)了航電系統(tǒng)模塊級(jí)、集成區(qū)域級(jí)和飛機(jī)級(jí)的多級(jí)故障管理機(jī)制,，制止了故障惡意蔓延,，提高了整機(jī)的系統(tǒng)安全性。

1 IMA系統(tǒng)多級(jí)故障管理

    故障管理技術(shù)是指避免飛行器的部件或系統(tǒng)的部分或全部失效的技術(shù)和方法^[7],。如果故障管理策略不能發(fā)揮正常效果,，那么失效就可能會(huì)威脅整個(gè)飛機(jī)系統(tǒng)，并引發(fā)災(zāi)難性事故^[8-9],。

    IMA航電系統(tǒng)采用面向域的層次劃分方法,，通用的系統(tǒng)管理分為飛機(jī)級(jí)、集成區(qū)域級(jí)和模塊級(jí)3個(gè)管理層次,。其中飛機(jī)級(jí)是最頂層的管理功能實(shí)體,，負(fù)責(zé)整個(gè)系統(tǒng)的管理。集成區(qū)域級(jí)為中間層,，負(fù)責(zé)一個(gè)集成區(qū)域的管理,。模塊級(jí)為最底層，負(fù)責(zé)一個(gè)模塊的管理^[10-11],，又可以細(xì)分為進(jìn)程,、分區(qū)和操作系統(tǒng)^[12]。

    IMA系統(tǒng)故障管理包括故障檢測^[13],、故障濾波^[14],、健康監(jiān)控^[15-16]及故障處理^[17]等，用來進(jìn)行檢測故障發(fā)生,，確認(rèn)故障發(fā)生,，對(duì)故障類型,、發(fā)生時(shí)間和部件進(jìn)行分類，限制故障蔓延,，以及采取故障處理措施,，包含功能降級(jí)或系統(tǒng)重構(gòu)等。

2 一種多級(jí)故障管理機(jī)制的設(shè)計(jì)

    參照當(dāng)代先進(jìn)飛機(jī)綜合航電系統(tǒng)的設(shè)計(jì)思路,，本文以航空電子全雙工交換式以太網(wǎng)(Avionics Full Duplex Switched Ethernet,，AFDX)作為系統(tǒng)主干通信網(wǎng)絡(luò)，建立了一個(gè)級(jí)聯(lián)式雙冗余的飛機(jī)航電系統(tǒng)架構(gòu)模型,，包括兩臺(tái)互為余度的中央處理平臺(tái)IPC,，每臺(tái)IPC機(jī)柜內(nèi)含若干現(xiàn)場可更換模塊（LRM），包括電源模塊,、通用處理模塊,、大容量存儲(chǔ)模塊、數(shù)據(jù)處理模塊及AFDX交換機(jī)模塊等,，以及通過AFDX網(wǎng)絡(luò)連接的其他現(xiàn)場可更換分系統(tǒng)（LRU）,，包含航電設(shè)備和非航電設(shè)備。此結(jié)構(gòu)對(duì)應(yīng)的飛機(jī)級(jí),、集成區(qū)域級(jí)和模塊級(jí)3個(gè)管理層次的管理者分別為飛行員,、航電綜合處理系統(tǒng)中央維護(hù)軟件和模塊級(jí)健康監(jiān)控軟件。

    故障管理功能初始化時(shí)對(duì)預(yù)先設(shè)定的每一類故障信息定義故障屬性,，包含故障設(shè)備標(biāo)識(shí)號(hào),、故障編碼、故障發(fā)生時(shí)間,、故障級(jí)別等,，由航電系統(tǒng)統(tǒng)一編碼，如表1所示,。

2.1 模塊級(jí)故障管理

    在綜合處理平臺(tái)IPC系統(tǒng)中,，各LRM均設(shè)計(jì)有自檢測功能，通過自檢測手段實(shí)施平臺(tái)硬件資源功能測試,，將故障隔離定位到模塊,，并可將檢測到的模塊內(nèi)部故障報(bào)告給上級(jí)軟件（集成區(qū)域級(jí)故障管理軟件）,。

    系統(tǒng)設(shè)計(jì)者預(yù)計(jì)系統(tǒng)可能發(fā)生的所有故障信息,，關(guān)鍵模塊選取具有健壯分區(qū)機(jī)制和健康監(jiān)控機(jī)制的機(jī)載嵌入式實(shí)時(shí)操作系統(tǒng)，利用健康監(jiān)控機(jī)制針對(duì)模塊內(nèi)部可能發(fā)生的故障進(jìn)行分析,、分類,、分級(jí)、編號(hào)定義,，設(shè)計(jì)故障恢復(fù)策略,。同時(shí),，為系統(tǒng)應(yīng)用程序設(shè)計(jì)、提供一系列錯(cuò)誤恢復(fù)處理程序,，供系統(tǒng)集成者,、應(yīng)用程序選擇，并提供用戶擴(kuò)展錯(cuò)誤恢復(fù)動(dòng)作的機(jī)制,，以表驅(qū)動(dòng)方式實(shí)現(xiàn)系統(tǒng)所有故障自動(dòng)收集,、過濾、派發(fā),，并按級(jí)調(diào)度處理策略,。

    模塊級(jí)故障管理由系統(tǒng)健康監(jiān)控任務(wù)、分區(qū)健康監(jiān)控任務(wù)和進(jìn)程健康監(jiān)控任務(wù)組成,，系統(tǒng)通過查“系統(tǒng)健康監(jiān)控表”來確定派遣級(jí)別,，分別派遣至模塊、分區(qū)或者進(jìn)程級(jí),。系統(tǒng)健康監(jiān)控任務(wù)運(yùn)行在核心操作系統(tǒng)中,，并且作為核心操作系統(tǒng)中僅有的一個(gè)最高優(yōu)先級(jí)的任務(wù)運(yùn)行，可以搶占任何分區(qū)及系統(tǒng)任務(wù)的時(shí)間,。分區(qū)健康監(jiān)控任務(wù)作為分區(qū)操作系統(tǒng)中一個(gè)獨(dú)立的任務(wù)運(yùn)行,，它的優(yōu)先級(jí)高于所屬分區(qū)其他所有任務(wù)優(yōu)先級(jí)，但只能占用本分區(qū)時(shí)間,。進(jìn)程健康監(jiān)控處理進(jìn)程作為分區(qū)操作系統(tǒng)中一個(gè)特殊的進(jìn)程運(yùn)行,，它的優(yōu)先級(jí)高于分區(qū)內(nèi)其他進(jìn)程。模塊內(nèi)部故障管理主要處理過程包括：事件注入,、查模塊級(jí)的故障管理確定派遣級(jí)別,、登記錯(cuò)誤事件到相應(yīng)的事件隊(duì)列、啟動(dòng)相應(yīng)的健康監(jiān)控任務(wù),、由各級(jí)健康監(jiān)控任務(wù)進(jìn)行錯(cuò)誤恢復(fù)動(dòng)作等,，如圖1所示。

2.2 集成區(qū)域級(jí)故障管理

    多級(jí)故障管理機(jī)制針對(duì)模塊一級(jí)無法處理的故障,，將其信息上報(bào)至航電系統(tǒng)中央維護(hù)軟件,，由集成區(qū)域級(jí)故障管理進(jìn)行處理。

    集成區(qū)域級(jí)故障管理系統(tǒng)(航電中央維護(hù)軟件)駐留在IPC中的一個(gè)通用處理模塊上,，該模塊借助AFDX網(wǎng)絡(luò)交換機(jī)與其他模塊和工作單元通過AFDX網(wǎng)絡(luò)連接（可參考圖2）,。在綜合處理平臺(tái)中各模塊（LRM）或工作單元（LRU）故障狀態(tài)發(fā)生改變時(shí)，各模塊的模塊級(jí)故障管理系統(tǒng)記錄故障發(fā)生或消失的時(shí)間,，將收集和處理后的故障信息按照綜合航空電子系統(tǒng)的故障編碼定義（如表1所示）,，通過事先定義的AFDX虛鏈路向集成區(qū)域級(jí)故障管理系統(tǒng)報(bào)告，為系統(tǒng)重構(gòu)決策提供輔助信息,，提高系統(tǒng)故障監(jiān)控及處理能力,。

    集成區(qū)域級(jí)的故障管理系統(tǒng)根據(jù)故障危害程度,、行為、系統(tǒng)配置情況和工作狀態(tài)等多種因素,，對(duì)故障進(jìn)行不同程度的主動(dòng)式或周期式的濾波處理,。在確認(rèn)故障并且嘗試恢復(fù)失敗后，進(jìn)行預(yù)先定義的系統(tǒng)重構(gòu),。系統(tǒng)重構(gòu)的方式有通過RS485總線控制智能電源模塊（PSM）對(duì)故障的模塊或工作單元進(jìn)行復(fù)位或者下電操作,，通過ARINC615A協(xié)議進(jìn)行配置文件的重新分發(fā)等。通過對(duì)故障的屏蔽,、定位和限制等處理,，保證當(dāng)系統(tǒng)出現(xiàn)故障、部分系統(tǒng)失效時(shí),，在剩余的時(shí)間內(nèi)系統(tǒng)仍能正常工作,。

2.3 飛機(jī)級(jí)故障管理

    集成區(qū)域級(jí)的故障管理軟件將處理故障后的結(jié)果和不能處理的故障通過AFDX網(wǎng)絡(luò)向更高一級(jí)的飛機(jī)級(jí)故障管理平臺(tái)上報(bào)，通過顯示控制系統(tǒng)和告警提示系統(tǒng)使用視覺和聽覺刺激的方式提醒飛行員獲悉和處理故障信息,。

    航電系統(tǒng)的主要設(shè)備均由冗余備份的多套設(shè)備組成,，例如飛行管理軟件駐留在雙IPC的通用處理模塊上，以熱備份方式工作,，其中一個(gè)出現(xiàn)故障時(shí),，另一個(gè)接替運(yùn)行。因此,，綜合處理平臺(tái)提供系統(tǒng)級(jí)故障告警信息：飛管軟件1故障（綜合處理平臺(tái)1中的運(yùn)行飛管軟件的通用處理模塊發(fā)生不可逆故障）,；飛管軟件2故障（綜合處理平臺(tái)2中的運(yùn)行飛管軟件的通用處理模塊發(fā)生不可逆故障）。由飛行員依據(jù)故障提示根據(jù)任務(wù)需要手動(dòng)進(jìn)行備份切換管理,。

3 測試驗(yàn)證

    為了保證IMA多級(jí)故障管理機(jī)制的測試驗(yàn)證充分性,，需要充分考慮航電系統(tǒng)環(huán)境的復(fù)雜性和數(shù)據(jù)的實(shí)時(shí)性、有效性和健康監(jiān)控覆蓋的故障概率等問題^[18],。

3.1 測試環(huán)境

    多級(jí)故障管理機(jī)制具有故障檢測,、故障濾波、健康監(jiān)控及故障處理等功能,，需要開展故障模擬和故障注入等技術(shù)來激勵(lì)這些功能模塊運(yùn)行,。參考DO-178B/C^[19-20]的要求，搭建航電系統(tǒng)地面測試環(huán)境,，設(shè)計(jì)軟件故障注入組件^[21],，依據(jù)故障靜態(tài)定義模型和系統(tǒng)健康監(jiān)控表，使用代碼插樁方法對(duì)IMA架構(gòu)下多級(jí)故障管理應(yīng)用軟件開展動(dòng)態(tài)故障注入,，由此來驗(yàn)證多級(jí)故障管理功能的有效性,。

    測試設(shè)備的交聯(lián)關(guān)系如圖2所示,，按照航電系統(tǒng)IMA架構(gòu)實(shí)際連接關(guān)系,，由兩臺(tái)相互備份的中央處理計(jì)算機(jī)（IPC）和顯示控制單元及機(jī)載航電系統(tǒng),、分系統(tǒng)、傳感器,、控制器等組成,，均采用真實(shí)設(shè)備。其中模塊級(jí)別的故障管理分布在設(shè)備的各個(gè)模塊中,，集成區(qū)域級(jí)別的故障管理所在的模塊為綜合處理計(jì)算機(jī)中的通用處理模塊,，通過AFDX網(wǎng)絡(luò)及交換機(jī)與其他設(shè)備、系統(tǒng)進(jìn)行連接,，飛機(jī)級(jí)故障管理決策由測試人員代替飛行員進(jìn)行操作,。

3.2 測試過程和結(jié)論

    為了模擬模塊內(nèi)部故障管理的過程，模塊級(jí)故障管理測試的過程包括代碼插樁法模擬故障事件注入,、檢查故障濾波算法是否正常進(jìn)行故障濾波,、檢查模塊的健康監(jiān)控表是否確定了錯(cuò)誤類別、檢查錯(cuò)誤事件是否正常掛接到了相應(yīng)級(jí)別的錯(cuò)誤事件消息隊(duì)列,、檢查健康監(jiān)控任務(wù)是否正確進(jìn)行故障內(nèi)容上報(bào),、檢查健康監(jiān)控任務(wù)是否正確進(jìn)行了錯(cuò)誤恢復(fù)動(dòng)作等。

    集成區(qū)域級(jí)故障管理測試首先進(jìn)行模塊間通信功能和性能的測試,，使用AIM AFDX板卡對(duì)IMA系統(tǒng)模塊間通信性能進(jìn)行測試,，實(shí)時(shí)捕獲各個(gè)虛鏈路的數(shù)據(jù)包數(shù)量、字節(jié)數(shù)和帶寬等數(shù)據(jù),，如圖3所示,。測試表明，故障管理數(shù)據(jù)包以一定的帶寬在虛鏈路中進(jìn)行傳輸,，各虛鏈路之間相互獨(dú)立,，互不干擾，且?guī)挿€(wěn)定,。

    其次進(jìn)行集成區(qū)域級(jí)故障管理功能的測試,，通過故障注入模擬模塊故障，模塊級(jí)故障管理處理后上報(bào)集成區(qū)域級(jí)故障管理系統(tǒng),；判斷集成區(qū)域級(jí)故障管理系統(tǒng)是否能夠按照綜合航空電子系統(tǒng)的故障編碼定義解析接收到的故障信息進(jìn)行故障濾波,；最后判斷集成區(qū)域級(jí)故障管理系統(tǒng)是否能夠確認(rèn)故障并且進(jìn)行預(yù)先定義的系統(tǒng)重構(gòu)。

    經(jīng)過按照DO-178B/C要求用真實(shí)航電設(shè)備搭建的IMA航電系統(tǒng)仿真測試平臺(tái)進(jìn)行的模塊級(jí),、集成區(qū)域級(jí)和飛機(jī)級(jí)故障管理的實(shí)際測試,，上述IMA架構(gòu)下系統(tǒng)多級(jí)故障管理機(jī)制能夠在模塊級(jí)檢測故障，并派遣處理和上報(bào),，在集成區(qū)域級(jí)過濾確認(rèn)故障,，并進(jìn)行恢復(fù)和重構(gòu)，在飛機(jī)級(jí)告警提示和備份切換，滿足設(shè)計(jì)需求,。

4 結(jié)論

    針對(duì)綜合化模塊化航空電子（IMA）系統(tǒng)架構(gòu)開放式體系結(jié)構(gòu)和標(biāo)準(zhǔn)化以及通用化的設(shè)計(jì)使得系統(tǒng)綜合化程度提高,，進(jìn)而顯現(xiàn)出故障密集、多類,、容易相互影響和蔓延的問題,。本文以AFDX作為系統(tǒng)主干通信網(wǎng)絡(luò)，建立了一個(gè)級(jí)聯(lián)式雙冗余的飛機(jī)航電系統(tǒng)架構(gòu)模型,；以滿足ARINC653標(biāo)準(zhǔn)的分區(qū)操作系統(tǒng)為平臺(tái),，實(shí)現(xiàn)了一種包含飛機(jī)級(jí)、集成區(qū)域級(jí)和模塊級(jí)3個(gè)管理層次的飛機(jī)航電系統(tǒng)多級(jí)故障管理機(jī)制,；按照DO-178B/C的要求用真實(shí)設(shè)備搭建測試平臺(tái)進(jìn)行了3個(gè)級(jí)別的測試驗(yàn)證,，結(jié)果表明能夠滿足設(shè)計(jì)要求。

    此IMA架構(gòu)下系統(tǒng)多級(jí)故障管理機(jī)制解決了傳統(tǒng)方式下故障不分級(jí)別,、不可自動(dòng)恢復(fù)等問題,，實(shí)現(xiàn)了IMA航電系統(tǒng)綜合處理平臺(tái)故障自動(dòng)收集、過濾,、分級(jí)派發(fā),、接管等，制止了故障惡意蔓延,，提高了整機(jī)系統(tǒng)安全性,，已在某型飛機(jī)上得到了應(yīng)用。

參考文獻(xiàn)

[1] 牛文生.機(jī)載計(jì)算機(jī)技術(shù)[M].北京：航空工業(yè)出版社,，2013：345-350.

[2] 褚文奎,，張鳳鳴，樊曉光.綜合模塊化航空電子系統(tǒng)軟件體系結(jié)構(gòu)綜述[J].航空學(xué)報(bào),，2009,，30(10)：1912-1917.

[3] 張鳳鳴，褚文奎,，樊曉光,，等.綜合模塊化航空電子體系結(jié)構(gòu)研究[J].電光與控制，2009,，16(9)：47-51.

[4] Roland Wolfig.A distributed platform for integrated modular avionics[M].Sudwestdeutscher Verlag Fur Hochschulschriften,，1998.

[5] 鄭朝輝，陳新中,，張曉先.綜合模塊化航空電子系統(tǒng)的可靠性設(shè)計(jì)[J].計(jì)算機(jī)工程,，2009，35(23)：272-273,，277.

[6] 熊華鋼,，王中華.先進(jìn)航空電子綜合技術(shù)[M].北京：國防工業(yè)出版社,，2009：245-263.

[7] 陳穎，苑仁亮,，曾利.航空電子模塊化綜合系統(tǒng)集成技術(shù)[M].北京：國防工業(yè)出版社,，2013：35-45.

[8] 劉曉杰，趙曉暉,，顧海軍,，等.微小型四旋翼無人機(jī)實(shí)時(shí)嵌入式控制系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].電子技術(shù)應(yīng)用,，2009,，35(5)：35-38.

[9] 黃志球，徐丙鳳,，闞雙龍,，等.嵌入式機(jī)載軟件安全性分析標(biāo)準(zhǔn)、方法及工具研究綜述[J].軟件學(xué)報(bào),，2014,，25(2)：200-218.

[10] Aeronautical Radio，Inc.ARINC Specification 653-1 Avionics application software standard interface[S].Annapolis：Aeronautical Radio,，Inc.2003.

[11] RTCA:DO-297.Integrated Modular Avionics(IMA) development guidance and certification considerations[S].Washington,，DC：Radio Technical Commission for Aeronautics，Inc.2005.

[12] 張炯,，呂紫旭,，胡彥彥，等.虛擬化技術(shù)在綜合化航電系統(tǒng)中的應(yīng)用[J].北京航空航天大學(xué)學(xué)報(bào),，2010,，36(2)：127-130.

[13] 索高華，劉紅紅,，王治,，等.AFDX網(wǎng)絡(luò)仿真系統(tǒng)設(shè)計(jì)與研究[J].電子技術(shù)應(yīng)用，2016,42(4)：18-21.

[14] KADIRKAMANATHAN V,，LI P,，JAWARD M H，et al.A sequential Monte Carlo filtering approach to fault detection and isolation in nonlinear system[C].Proceedings of the 39th IEEE Conference on Decision and Control.Piscataway,，NJ,，USA：IEEE，2000：245-250.

[15] 張曉紅,，孫高翔.實(shí)時(shí)操作系統(tǒng)中健康監(jiān)控技術(shù)研究[J].航空計(jì)算技術(shù),，2005，35(4)：66-67.

[16] 郭曉靜,，宋勝博,，張楊.基于可測信息源的APU故障智能診斷方法研究[J].電子技術(shù)應(yīng)用,，2015，41(9)：139-141.

[17] 從偉,，景博.航空電子系統(tǒng)故障管理體系結(jié)構(gòu)研究[J].測控技術(shù),，2013，32(7)：125-129.

[18] 周慶,，劉斌,，余正偉，等.綜合模塊化航電軟件仿真測試環(huán)境研究[J].航空學(xué)報(bào),，2012,，33(4)：722-733.

[19] RTCA/DO-178B.Software considerations in airborne systems and equipment certification[S].Washington D.C：Radio Technical Commission for Aeronautics，Inc.,，1992.

[20] RTCA/DO-178C.Software considerations in airborne systems and equipment certification[S].Washington D.C：Radio Technical Commission for Aeronautics,，Inc.，2008.

[21] HILDERMAN V,，BAGHAI T.Avionics certification：a complete guide to DO-178(software),，DO-254(hardware)[C].Leesburg：Avionics Communications Inc.，2007.

作者信息：

張曉紅,，郝玉鍇

（中航工業(yè)西安航空計(jì)算技術(shù)研究所,，陜西 西安710115）