基于聯合k/n(G)模型的DIMA系統可靠性建模與分析

閻芳，邢培培，趙長嘯, *，王鵬

1. 中國民航大學 天津市民用航空器適航與維修重點實驗室，天津 300300 2. 中國民航大學 民航航空器適航審定技術重點實驗室，天津 300300 3. 中國民航大學 適航學院, 天津 300300

航空電子系統承載著飛機通信、導航、飛行管理等實時處理與信息交換任務，是保障飛機安全飛行和正確執行任務的安全關鍵系統[1-2]。在數字技術、計算技術和電子技術等推動下，航空電子系統歷經四代體系結構演化，目前正朝著分布式綜合模塊化航空電子(Distributed Integrated Modular Avionics，DIMA)方向發展[3]。歐盟FP7框架下的“可擴展可重配置電子平臺與工具”(SCARLETT)研究計劃[4]指出下一代航電系統的七大主要特征，其中最關鍵的一項技術是要求航電系統在飛機運行時具有動態重構能力。實現航電系統的動態重構，一方面可以減少硬件冗余，降低非預期維護成本，另一方面可以提高資源利用率，提高系統靈活性，增強航電系統應對不同飛行任務和資源失效的能力，并在保持當前安全水平條件下提高飛機運行可靠性。

作為飛機的關鍵系統之一，航電系統的可靠性與安全性不言而喻。近年來，國內外研究人員針對DIMA系統做了很多研究。文獻[5]提出了綜合化航電系統重構決策系統及決策方法；文獻[6]以SCARLETT項目為前提，介紹了第二代IMA系統并研究開發了對其進行自動化測試的方法；文獻[7]為DIMA架構設計和優化提供了一種新穎的整體框架思路，并通過實例測試了所設計的DIMA架構；文獻[8]使用體系結構分析與設計語言(AADL)語言描述了DIMA系統的動態重構過程，并將AADL建立的可靠性模型轉化為Petri網模型，通過Petri網模擬了不同失效路徑下的重構過程；文獻[9]針對綜合模塊化航空電子(IMA)系統的故障傳播機制，提出一種基于AADL和廣義隨機Petri網(GSPN)的可靠性評估方法。但是，這些研究大多集中于DIMA系統的體系結構或重構過程等，有關可靠性方面研究較少，針對DIMA系統動態重構過程的可靠性分析尚未得到解決。

因此，針對DIMA系統動態重構特點，本文提出一種基于聯合k/n(G)模型對其進行可靠性建模與分析的方法。在研究DIMA系統動態重構過程和重構機制的基礎上，建立動態重構DIMA系統可靠性數學模型，得到系統動態重構過程可靠度與時間的關系。最后對比分析聯合k/n(G)模型和一般k/n(G)模型并對聯合k/n(G)模型進行參數敏感性分析，驗證了該方法的適用性和合理性。

1 動態重構DIMA系統

1.1 系統體系結構

綜合聯合式和IMA的優勢，DIMA將高度綜合化的硬件資源進行分布式排布[10]。DIMA系統體系結構，如圖1所示[11]。

圖1 DIMA系統體系結構Fig.1 DIMA system architecture

一方面，系統提供了一種綜合化、模塊化的通用硬件資源和軟件資源平臺，使更多具有飛機功能的應用可駐留于通用功能模塊(Common Function Module，CFM)上，軟件加載與硬件無關，易于系統升級和重構。另一方面，從物理上分布飛機功能，將計算資源分離到與信號源相近的區域，實現了I/O處理模塊和應用處理模塊在物理層次上的嚴格隔離，形成了天然的故障傳播屏障。同時，DIMA采用時間觸發以太網[12](Time-Triggered Ethernet，TTE)，遠程數據集中器和與之相鄰的處理模塊交換輸入輸出數據，并將數據傳輸到TTE交換機，各硬件資源之間實現互聯，各功能模塊之間實現數據高度共享，并通過魯棒式分區使功能分離和獨立，這種層次化結構大大降低了布線和系統復雜性。

1.2 動態重構

1.2.1 DIMA重構過程

系統動態重構行為由通用系統管理(Generic System Management, GSM)控制，在執行重構時，通用系統管理所需的配置信息由藍印系統提供[13]。按照所處層次，重構可以分為綜合區域(IA)重構和資源單元(RE)重構。綜合區域是功能應用緊密結合的一個邏輯組合，而資源單元則是具體的物理硬件的組合。

圖2 DIMA動態重構過程Fig.2 Process of DIMA dynamic reconfiguration

圖2為DIMA系統重構過程。在綜合區域IA1中，包含CFM1和CFM2兩個模塊。當健康監控檢測到CFM1故障后，向IA1-GSM發送故障消息，接收到消息后IA1-GSM向CFM1發送終止指令，CFM1接收到指令后，停止應用程序的執行，銷毀虛擬信道以及應用程序進程。當CFM1完成操作后，向IA1-GSM發送配置終止完成報告，IA1-GSM接收到該報告后，向CFM2發送應用配置數據，CFM2更新配置信息。隨后，IA1-GSM相繼向CFM2發送加載配置指令和運行配置指令。至此，IA1完成重構，從狀態1切換到狀態2[14]。

1.2.2 DIMA重構策略

DIMA動態重構可在分區級和模塊級進行[15]，本文研究層次為模塊級，即當模塊故障觸發重構時，系統將在故障模塊上運行的所有應用程序重新分配到備用模塊。根據SCARLETT項目和DIMA的相關研究[8,16-18]，本文采取的重構策略規則如下：

規則1系統進行模塊級重構時，采用n+2方式實現重構，所有同一類型模塊有兩個備用模塊，所有備用模塊均處于熱備份狀態，當有模塊發生故障時，備用模塊完全代替故障模塊工作，此時分為3種情況：①每種類型模塊均有備用模塊，則備用模塊代替該類型故障模塊工作；②某一類型已無備用模塊，但其他類型有備用模塊且備用模塊數量可完全滿足故障模塊的功能實現需求，則可按規則4實現重構；③當每種類型模塊均已無備用模塊可用時，為保證系統功能實現，系統可按規則3實現降級重構。

規則2模塊的各個分區中只運行一個應用程序，且各個模塊無備用分區。

規則3系統中各功能應用具有優先級，當系統無可用備用模塊時，系統會根據預先設定的優先級進行降級重構，即系統進入不同類型模塊聯合工作模式。如果故障模塊駐留功能應用的優先級最低，則關閉故障模塊，系統失去相應模塊功能；如果存在比故障模塊上優先級更低的功能應用，則關閉相應模塊上優先級最低的應用，故障模塊通過強占該模塊資源重構其功能應用。

規則4根據系統中模塊的不同配置，將模塊分為主模塊和普通模塊，主模塊可駐留更多功能應用，且負責監控自身模塊和普通模塊，系統將高優先級應用駐留在主模塊，將較低優先級應用駐留在普通模塊，兩種模塊同時工作。當系統發生重構時，為保證系統可靠性，主模塊可代替1～2個普通模塊工作，兩個普通模塊可代替一個主模塊工作。

2 可靠性建模

通過研究DIMA系統體系結構，針對DIMA系統動態重構過程、重構機制的特點，建立聯合k/n(G)可靠性模型。在一般k/n(G)可靠性模型[19]的基礎上，通過設置系統有效k值、模塊合作等級κj等參數，使得該模型能更加全面準確地描述DIMA系統特性及動態重構特性。因此本文采用聯合k/n(G)模型來對系統進行建模。

2.1 聯合k/n(G)系統

聯合k/n(G)模型為一種新型的冗余模型。該系統由不同類型的模塊構成，各類型模塊配置不同，性能水平不同，此外，每種類型模塊分為工作模塊和備用模塊，一個或幾個模塊處于工作狀態，其他模塊處于備份狀態，當工作的某模塊出現故障后，備份模塊立即轉入工作模式。系統符合以下假設：

1) 模塊有兩種狀態(工作或故障)。

2) 所有備用模塊處于熱備份狀態，且在備份狀態和轉入工作狀態時不發生故障，均為理想狀態。

3) 模塊失效相互獨立。

4) 模塊失效后不可修。

在該系統中，每種模塊都具有一個設定的合作等級κj,代表該類型模塊的性能水平，也就是使系統正常工作所需的該種類型模塊的最小個數，高性能模塊的模塊合作等級較低，但模塊的合作等級與其自身的可靠性無必然關系。當模塊發生失效或故障時，不同類型模塊會根據各自的模塊合作等級聯合工作，以提高模塊利用率和系統可靠性。此外，系統定義了有效k值的概念，針對系統每個具體狀態向量yl,會有一個有效k值與之對應。系統有效k值會隨著不同性能模塊的失效而變化。

例如，假設系統中有3種類型模塊，向量x和向量κ定義如下：x=[323]T,κ=[312]T。

x表示系統中每種類型模塊的個數，κ表示每種模塊的合作等級。定義隨機向量Y(t),表示t時刻每種類型可工作模塊個數，隨機變量Yj(t),表示j型可工作模塊個數，Yj(t)∈{0,1,2,…,xj}，Y(t)=[Y1(t)Y2(t) …Ym(t)]T。yl為系統的狀態向量，向量中的各個元素yl(j)為Yj(t)的可能取值，Y(t)∈{y1,y2,…,yl,…}。隨著系統模塊失效，Y(t)逐漸變化，向量yl隨之變化，系統有效k值也相應變化。如圖3所示，yl共有42種可能取值，圖3為其中4種取值結果。對于狀態向量y1=[3 2 3],y1(2)=2,對于所有yl向量，yl(2)≥1,k(yl)=1,因為κ2=1(該類型模塊只要有一個正常工作系統就正常工作)。對于y3=[2 0 1],系統中有兩個第1種類型模塊，一個第3種類型模塊，由于κ1=3,κ3=2,兩種類型模塊均不能單獨工作，兩種模塊進入聯合工作模式，具有較高合作等級的第3種類型模塊代替第1種類型失效模塊工作，k(yl)=3。對于y4=[1 0 1],無足夠模塊正常工作，系統失效，k(yl)設置為-1。

圖3 系統組件聯合工作過程Fig.3 Process of the partnership of system components

2.2 聯合k/n(G)系統可靠性模型

對于所提出的聯合k/n(G)系統，滿足以下3個條件時系統處于正常工作狀態：

1) 系統中至少有κj個任一類型模塊正常工作。

2) 具有相同κj值的不同類型模塊總數之和至少等于κj。

3) 高優先級模塊代替低優先級模塊工作時，模塊總數之和不少于κj(低優先級)。

當滿足以上條件時，系統聯合k/n(G)可靠性模型如式(1)～式(4)所示[20-21]:

(1)

ψk(x)={yl;k(yl)=k}

(2)

(3)

(4)

式中：R(x;t)為t時刻系統可靠度;rj(t)為t時刻j型模塊可靠度;xj和yl(j)分別為系統中j型模塊總數和t時刻可工作模塊個數;m為模塊類型;ψk(x)為具有相同有效k值的狀態向量yl的集合。

此外，式(1)共包含兩個求和運算。第1個求和運算表示，對于不同有效k值，系統處于工作狀態的概率之和；第2個求和運算表示，針對一個具體k值，系統在不同狀態向量yl下，處于工作狀態的概率之和。連乘運算表示m種類型模塊可靠度的乘積。式(2)表示具有不同有效k值的各個狀態向量的集合。式(3)表示系統有效k值。式(4)表示系統中最大模塊合作等級。

下面給出系統有效k值和狀態集合ψk(x)的具體確定方法。

2.2.1k(yl)的確定

k(yl)表示系統在具體工作狀態向量yl下的有效k值。當系統從隨機向量yl中的一個狀態變為另一個狀態時，系統k(yl)值也會隨之變化。對于任一給定的yl向量，唯一確定一個k(yl)值，它是滿足系統正常工作的最小非負整數，如圖4所示，可按該方法確定。

2.2.2ψk(x)的確定

在聯合k/n(G)系統中，ψk(x)定義為針對具體有效k值的所有狀態向量yl的集合。ψk(x)表示x的函數，針對每個設計向量x,都有不同的yl向量和ψk(x)集合與之對應。ψk(x)的定義如式(2)所示。

圖4 k(yl)的確定過程Fig.4 Process of determination of k(yl)

3 實例驗證

3.1 綜合顯示功能可靠性建模

綜合顯示系統以DIMA的通用功能模塊為基礎，通過與飛機上通信、導航、識別、大氣數據航向姿態基準等多個系統交聯，實現飛機飛行姿態、空速、氣壓高度等參數信息的顯示[22-23]。

FAA咨詢通告AC 25-11B提供了明確的顯示信息關鍵性指南[24]，如表1所示。

為了實現DIMA系統的顯示功能，需將這些顯示信息以功能應用的形式封裝于處理模塊中。根據STANAG 4626第六部分安全性相關章節[25]，相同關鍵等級的功能應用封裝于同一個模塊中。因此，DIMA顯示功能的資源配置，如表2所示。

至此，完成DIMA系統顯示功能可靠性模型的建立，如圖5所示。

表1 顯示信息關鍵性要求Table 1 Critical requirements for display information

表2 DIMA顯示功能資源配置Table 2 Resource configuration of display function of DIMA

圖5 DIMA顯示功能可靠性模型Fig.5 Reliability model of display function of DIMA

系統包含兩種類型模塊，主模塊和備用模塊，n=11,m=2,x=[5 6]T，κ=[3 4]T,3個主模塊駐留所有關鍵顯示信息功能應用，4個普通模塊駐留所有必要、非必要顯示信息功能應用。當主模塊或普通模塊故障觸發重構時，首先選擇備用模塊代替故障模塊工作，當無備用模塊時，系統進入降級重構模式，即模塊聯合工作模式，此時，系統只能關閉非必要顯示信息功能，關鍵和必要顯示信息功能不可舍棄。此外，一個主模塊可代替駐留兩個必要、非必要顯示信息功能應用，兩個普通模塊可代替駐留一個主模塊上的功能應用。系統所有工作狀態向量yl共有19種可能取值，如表3所示。

表3 系統向量yl集合ψk(x)Table 3 Vector set of yl in ψk(x)

3.2 可靠性分析

根據3.1節建立的DIMA系統顯示功能動態重構可靠性模型，設定主模塊的失效率為λ1=2×10-4/h,普通模塊的失效率為λ2=2×10-5/h,得到DIMA顯示功能動態重構過程中系統可靠度與時間的關系，如圖6所示。

圖6 DIMA顯示功能動態重構可靠度Fig.6 Reliability of dynamic reconfiguration of display function of DIMA

圖7 模型估計誤差Fig.7 Estimation error of model

圖6中L0為DIMA系統顯示功能動態重構過程的可靠度變化曲線。為了進一步說明聯合k/n(G)可靠性模型的合理性，對比了利用一般k/n(G)可靠性模型對DIMA系統建模，系統動態重構過程的可靠度變化曲線，如圖6中L1曲線所示。可以發現，聯合k/n(G)可靠性模型建模的可靠度高于一般k/n(G)可靠性模型的可靠度，如圖7所示，兩者最大差值為0.318 7。這是因為，在DIMA系統重構時，一方面故障模塊可將其上駐留的功能應用重新加載到備用模塊，保證航電功能的實現；另一方面，在聯合k/n(G)模型中通過設定系統有效k值等參數，更加準確地反映了系統特性，比如在無備用模塊時，系統根據此時的重構需求和資源條件，選擇降級重構策略，擴大了航電功能的可用重構資源范圍，提高了資源利用率和航電系統應對資源失效的能力，從而提高系統的可靠性，一般k/n(G)模型沒有考慮這一特性，因此，聯合k/n(G)可靠性模型更有效合理。

3.3 參數敏感性分析

為了進一步研究通用功能模塊的不同配置對DIMA系統顯示功能的可靠性產生的影響，現改變模塊失效率λ和模塊合作等級κ,進行系統可靠性對比分析。

模塊合作等級κ不變，配置模塊失效率如表4所示，主模塊失效率分別取λ1=2×10-4/h、λ1=3×10-4/h和λ1=4×10-4/h,普通模塊的失效率分別取λ2=2×10-5/h、λ2=3×10-5/h和λ2=4×10-5/h,結果如圖8所示。從圖中可以看出提高模塊失效率，系統可靠度普遍降低，其中曲線L2和L3下降幅度較小，曲線L1和L4下降幅度較大，即主模塊失效率的變化對系統可靠性影響更大。

同理，模塊失效率λ不變，系統模塊合作等級κ分別取κ=[3 4]T、κ=[4 4]T和κ=[3 5]T,結果如圖9所示。可以看出，模塊合作等級與系統可靠度成反比關系。提高系統的模塊合作等級，即系統需要更多該類型模塊才能處于正常工作狀態，系統可靠度降低；降低系統的模塊合作等級，系統可靠度提高。

表4 參數λ配置表Table 4 Configuration of parameter λ

圖8 系統可靠度隨參數λ變化示例(κ=[3 4]T)Fig.8 Example: system reliability vs parameter λ(κ=[3 4]T)

圖9 系統可靠度隨參數κ變化示例Fig.9 Example: system reliability vs parameter κ

隨著系統模塊配置的提高，系統的經濟成本也會相應提高，正確恰當地權衡系統可靠性與經濟效益的關系，可為系統設計提供有效指導。

4 結 論

1) 為分析DIMA系統動態重構過程的可靠性，提出一種基于聯合k/n(G)模型進行可靠性建模與分析的方法，以準確全面地建立符合DIMA動態重構特性的可靠性數學模型。

2) 以DIMA系統顯示功能為例，進行了動態重構過程的可靠性建模與分析，給出了該模型與一般k/n(G)模型建模后系統的可靠度對比曲線，說明了模型的合理性。

3) 通過改變模型參數，即改變功能模塊的不同配置，觀察系統可靠度的變化，可為系統設計提供指導。下一步研究將進行動態重構DIMA系統不同資源配置方案的設計，優化系統資源配置，為系統設計提供更有效指導。