王鹏 刘锐 刘万和 阎芳
(1.中国民航大学天津市民用航空器适航与维修重点实验室,天津300300;
2.中国民航大学安全科学与工程学院,天津300300)
摘要:综合模块化航空电子(IMA)系统采用资源共享的系统架构,在提供更加复杂强大的航电功能的同时也带来了更复杂的故障增殖模式,针对此问题提出了基于AADL和GSPN的可靠性评估方法。首先采用AADL语言对系统的架构及故障信息进行描述,建立其AADL可靠性模型,为了进一步分析其故障动态行为,研究了AADL可靠性模型向CSPN模型转化规则,通过对GSPN模型的分析来评估IMA系统可靠性。最后以IMA系统显示功能为例进行了可靠性评估,验证了该方法的有效性,并且通过实验对比的方式给出了显示功能架构的选择建议。
关键词:综合模块化航空电子;体系结构分析及设计语言;广义随机Petri网;可靠性
0 引言
IMA系统是当前航空电子系统体系结构发展的最高阶段,解决了由于功能需求增加而导致的系统尺寸、重量、能耗以及通信复杂度增加等问题,克服了联合式体系结构的固有缺陷。同时IMA系统架构简化了航电软件与硬件的开发和验证,增强了系统的处理能力与可靠性,因而被广泛应用于A380.B787,C919,F一35等新一代民用与军用飞机的系统设计中心。然而,IMA系统各单元之间由于相互联网通信、资源高度共享、数据高度融合,造成IMA系统故障传播机制渐趋复杂,对其安全性、可靠性评估带来了挑战。因而研究一种与之相适应的可靠性评估方法,具有一定的研究意义和工程实用价值。可靠性评估方法一直是航空、航天领域的研究热点,国内外学者在可靠性研究领域取得了丰硕的研究成果。文献[3]针对航天电子设备提出了基于Bayes的可靠性评估方法;文献[4]针对飞船降落伞系统提出了基于事件树的系统可靠性评估方法;文献[5]针对飞机姿态确定与控制系统提出了通过RAMSAS的方法来评估其可靠性,但是上述研究成果几乎没有适用于IMA系统体系结构的可靠性评估方法。针对IMA系统,本文提出一种基于AADL和GSPN的可靠性评估方法。
1 评估方法研究
基于AADL和GSPN的IMA系统可靠性评估过程中,首先评估人员应该根据IMA系统功能模块确定其体系结构,同时分析每一个功能模块的故障信息,建立IMA系统的AADL可靠性模型,然后根据转化规则将AADL可靠性模型转化为GSPN模型,通过对GSPN模型的分析,来评估IMA系统的可靠性,具体实现路径见图1。
1.1 系统建模
1.1.1AADL架构模型
AADL架构模型以构件为基本单位,从软件、硬件两个方面综合描述一个系统。在AADL中,构件可以划分为3类:软件构件(数据、子程序、线程、线程组、进程)、平台构件(处理器、存储器、外设、总线)、系统构件。软件构件通过其属性绑定到平台构件,而为了体现整个系统的层次关系,系统构件应运而生。
每一个AADL构件又包含两个层级的描述:构件类型、构件实现。在构件类型中定义了构件的属性、端口、子程序、参数值等,构件类型是对构件的外部描述,典型的构件类型描述如输入、输出端口描述。构件实现中定义了构件的子构件、子程序调用、运行模式等,构件实现是对构件的内部描述。
1.1.2 AADL错误模型
AADL错误模型是对AADL架构模型中构件故障信息的描述。AADL错误模型主要包括错误状态、错误事件、错误变迁及相关的可靠性参数,与AADL架构模型类似,错误模型描述也分为错误模型类型,错误模型实现两个层级。典型简单错误模型如下所示。
error model Ceneral
features
error_free:initial error state;
failed:error state;
repair, fail: error event;
end General;
error model implementation General. Error
transitions
error_free-[ fail]一>failed;
failed-[ repair].> error_free;
properties
occurrence=>poisson 2. Oe-3 applies to fail;
orc,urrence=>poisson l.O applies to repair;
end General. Error;
1.1.3AADL可靠性模型
AADL可靠性模型是对系统的构件组成、连接关系及构件故障行为等的综合描述,为了获得系统的AADL可靠性模型,需要在AADL架构模型的基础上实现构件与相应错误模型的绑定,通过绑定得到AADL可靠性模型。AADL可靠性模型见图2。
1.2转化规则
由于AADL可靠性模型只是一个“静态模型”,不能对系统的架构进行可靠性评估,所以需要将AADL可靠性模型进行必要的转化。鉴于GSPN良好的动态特性及对时间因素的支持,在可靠性分析方面显现出了巨大的优势,因此考虑将AADL可靠性模型转化为GSPN模型。AADL可靠性模型向GSPN模型转化时的规则有孤立构件转化规则、Out-In转化规则和热备份转化规则。
1.2.1 孤立构件转化规则
孤立构件转化规则是研究孤立构件AADL错误模型中错误状态、错误事件等故障信息向GSPN模型中元素转化的规则,如表1所示。
对于一个或多个相互孤立的构件而言,因为一个错误模型相当于一个随机状态机,其AADL错误模型向CSPN模型转化是十分容易的,只需要使用孤立构件转化规则即可。上文所述简单错误模型转化为GSPN模型见图3。
1.2.2 0ut-In转化规则
由于构件间连接存在结构依赖关系,当一个构件发生故障后,故障会沿着数据流的方向,以一定的概率传出,进而对直接相连的构件产生影响,这种情况下的转化规则称为Out-In转化规则。
1)符号定义。
符号定义如表2所示。
2) Out-In转化规则形式化描述。
EMA_GSPN( Out)=Out_S U Out_TU
Out_AmuOut_AST (1)
式中:位置集合Out_S={Outprop};变迁集合Out_T={ Out_error};弧线集合Out_ATS=Out_T×Oui_S;禁止弧集合Ou,t_AST= Out_S×Out_T。
EMA_CSPN(Out - Self=OS_SU
OS_AsrU OS_A rs (2)
式中:位置集合OS-S={Out_src,Out_dst};弧线集合OS_Asr={Out_src}×Out_T;弧线集合OS_A鸭=Out_T×{ Out,_dst}。
EMA_GSPN( Out -In、=OI_TU
OI_AsrU OI_A,|,s 031
式中:变迁集合OI_T={In,prop};弧线集合OI_AST= Out_S×OI_T;弧线集合OI_A"=OI_T×Out_S。
EMA_GSPNOIn- Sef=/s_sU
/S_A。,,UIS_ATS(4)
式中:位置集合/S-S={In_src,In_dst};弧线集合IS_A,,={ In_src}×OI_T;弧线集合/S_A"=OI_T×{In_dst}。
EMA_GSPN( Empty)= E_TU
E_A;,、uE_A。, (5)
式中:变迁集合E_T={Empty};禁止弧集合Ej;,={m—src,Outsrc×E_T;弧线集合E_Asr= Out_S×E_T。
Out-In转化规则对应的GSPN模型见图4。
1.2.3 热备份转化规则
在AADL中,Guard_Transition属性将构件的逻辑错误状态与系统的模式转换联系起来了,本文对热备份情况下的双模式系统进行转化规则研究。
图5中,Error_ free_P,Failed_P位置分别表示主构件处于正常、故障状态;Error_free_B,Failed_B位置分别表示备份构件处于正常、故障状态;Primary,Backup位置分别表示系统工作于初始模式、备份模式;To_modeP表示使得系统切换到初始模式的变迁,To_modeB表示使得系统切换到备份模式的变迁。
对热备份转化规则简要说明:
1)系统刚运行时,工作于初始模式,主构件、备份构件均正常;
2)当主构件故障且备份构件正常时,系统通过To_ModeB瞬时变迁切换到备份模式;
3)当主构件恢复正常且备份构件故障时,系统通过To_ModeP瞬时变迁又切换到初始模式。
1.3 GSPN模型分析
将AADL可靠性模型通过上述规则转化为GSPN模型后,需要对GSPN模型进行分析,以评估系统可靠性。目前GSPN的分析工具较多,如Pipe2,TimeNet等。
2实例验证
为了验证评估方法的有效性,本章以IMA系统的显示功能为例进行分析。
2.1 显示功能模型建立
IMA系统的显示功能用于实现飞机飞行姿态、航向、高度等参数信息的显示。为了实现显示功能,首先传感器将采集到的数据传送给相应的数据处理( DP)单元,数据经过处理后传给图像处理(IP)单元,图像处理单元将相关的数据处理后生成要求的图形显示在显示屏,供飞行员参考,本文称显示屏为综合显示(ID),其体系结构见图6。
根据上文的描述,建立IMA系统显示功能AADL可靠性模型,见图7。
在图7中,数据处理单元包含两个构件:DP_1,DP_2,且它们互为运行备份。图像处理单元包含两个构件:主IP,备份IP,它们互为热备份,可以根据运行状态进行模式转化。综合显示单元包含一个外设构件。
根据IMA系统AADL可靠性模型向GSPN模型转化规则,将显示功能AADL可靠性模型转化为GSPN模型,见图8。
图8中,初始时数据处理单元的构件DP_1,DP_2均正常;图像处理单元工作在初始模式下,同时主IP和备份IP构件均正常;综合显示单元正常。
经过一段时间的运行后,各单元均有可能发生故障,如果数据处理单元发生故障,那么故障将以一定的概率传出,同时被图像处理单元引入,造成图像处理单元故障,当主IP和备份IP均发生故障后,故障将会以一定的概率传出,同时被综合显示单元引入,造成综合显示单元故障,一旦综合显示单元发生故障,则认为显示功能丧失。
由于各单元都具有自恢复能力,经过一段时间后,如果综合显示单元恢复正常,则认为显示功能得到了恢复。
本文通过对JMA系统显示功能GSPN模型的分析,获得其达到稳态时各单元托肯的分布情况及对应的概率,从而评估显示功能的可靠性。
2.2可靠性分析
将IMA系统显示功能GSPN模型在Pipe2建立后,设置好相关变迁、位置的参数,调用GSPN Analysis分析模块,即可得到分析结果。由于结果中可能的稳定状态有16个,并且每个稳定状态下有17个位置的托肯分布情况,所以本文只展示出显示功能正常下的3个单元托肯分布情况,见表3。
表3中,第一行表示在显示功能正常时有4种可能的稳定状态。在MO列下,DP_EF_1,DP_EF_2数值为1,表示数据处理单元的构件DP_1,DP_2均正常;IP_EF_P,IP_EF_B数值为1,表示主IP和备份IP均正常,由于IP_P数值为1,IP_B数值为0,故图像处理单元工作在初始模式下;ID_EF数值为l表示综合显示单元正常。通过以上分析可知,IMA系统显示功能在MO稳定状态下各单元均正常,并且图像处理单元工作在初始模式下,此稳定状态概率为0. 491 1。其余列分析不再赘述。通过将表3中每一列对应的稳态概率相加即可得到IMA系统显示功能的可靠性,相加结果为0. 988 08。
综上可知,IMA系统显示功能在数据处理单元不含故障限制域、图像处理单元热备份的情况下(记为A)系统可靠性为0.988 08。
3实验对比
在系统运行过程中,常常会出现以下情况:个别子系统或构件由于各种原因出现故障时,不仅会对自身造成影响,而且故障会沿着数据流方向进行传播,造成与之相关联的子系统或构件也发生故障。这样,单个子系统或构件的故障往往会波及到与其相关的若干子系统或构件,进而对整个系统构成巨大影响,所以在IMA系统的设计中提出了故障限制域的概念。故障限制域的实质是指将故障限定在特定区域内,而不向该区域以外的区域传播。故障限制域分为完全故障限制域和条件性故障限制域:完全故障限制域即是将子系统或构件的所有故障均限制在一定区域内而不向区域以外区域传播;条件性故障限制域是将子系统或构件部分故障限制在一定区域内而不向区域以外区域传播。
为了进一步提高IMA系统显示功能的可靠性,同时研究数据处理单元、图像处理单元不同配置下对IMA系统显示功能的可靠性产生的影响,本文又研究了3种不同情况下的IMA系统显示功能的可靠性:
1) IMA系统显示功能的数据处理单元采用条件性故障限制域(即DP_2的故障不会向图像处理单元传播)、图像处理单元采用热备份,综合显示单元保持不变,记为B;
2) IMA系统显示功能的数据处理单元采用条件性故障限制域、图像处理单元没有备份,综合显示单元保持不变,记为C;
3) IMA系统显示功能的数据处理单元不含故障限制域、图像处理单元没有备份,综合显示单元保持不变,记为D。
通过对上述3种情况下的IMA系统显示功能GSPN模型进行分析可得3种情况下的IMA系统显示功能可靠性,分析结果见表4。
根据上述分析结果,可以得出以下结论。
1)在数据处理单元采用同样的配置策略条件下,图像处理单元热备份下IMA系统显示功能可靠性比未备份下的可靠性显著提高。这是因为在热备份下,一个构件发生故障后,系统可以通过模式切换让备份的构件来接替主构件的工作,因而可以使得系统的可靠性得到显著提高。
2)在图像处理单元采用同样的配置策略条件下,数据处理单元条件性故障限制域下的IMA系统显示功能可靠性比数据处理单元不含故障限制域下的系统显示功能可靠性得到了提高。这是因为在条件性故障限制域下,构件发生故障后,由于故障限制域的存在,使得故障并不会沿着数据流的方向传播,所以不会对后续的构件产生任何的影响。
综上分析可以得出:对于IMA系统显示功能,在考虑经济性与可靠性的条件下,数据处理单元采用条件性故障限制域、图像处理单元采用热备份的方式可以明显地提高可靠性。
4结论
本文针对IMA系统各单元之间由于相互联网通信、资源高度共享等造成的IMA系统错误传播机制渐趋复杂的特性提出了基于AADL和GSPN的可靠性评估方法。该评估方法在嵌入式系统设计初期对系统可靠性评估具有较好的参考价值,方便设计人员根据系统可靠性要求及时调整系统架构。由于大型嵌入式系统组成单元众多,并且单元之间连接关系也比较复杂,再手动将AADL可靠性模型转化为GSPN模型则会十分耗时费力,接下来考虑开发转化接口软件用于自动将AADL可靠性模型转化为GSPN模型。
