綜合模塊化航電系統性能退化Lévy模型

高澤海, 馬存寶, 牛浩田

(1.西安理工大學水利水電學院, 陜西 西安 710048; 2.西北工業大學航空學院, 陜西 西安 710072)

0 引 言

隨著航空電子設備集成化程度的不斷提高,綜合模塊化航空電子系統(integrated modular avionics, IMA)架構已經成為現代航空的主要發展方向[1]。不同于傳統架構中,各功能在不同的處理單元上運行,IMA允許多個不同重要度等級的航電功能駐留在同一個通用處理模塊上,并通過操作系統進行管理。基于ARINC653標準的IMA采用分區管理機制嚴格保證各功能之間的空間隔離與時間隔離[2-3]。IMA通過將多種功能綜合于一體,使其具有資源共享程度高、信息傳遞速度快以及信息綜合運用能力強等特點[4]。顯然,IMA的性能狀態直接影響著駐留航電功能的運行。對于IMA這類高集成度、高耦合度的電子系統,其故障傳播與影響極其復雜,且層次化的體系架構將硬件資源與航電功能隔離的同時,也使得IMA性能狀態特征更難獲取、性能退化趨勢更難捕捉[5]。為掌握IMA性能退化歷程,解決IMA性能狀態監測難題,本文從IMA性能退化特征參數遴選入手,研究IMA失效演化過程,構建IMA性能退化模型。

對于一個大規模集成系統而言,特征參數的遴選對于準確掌握系統的性能狀態十分重要。首先,所選參數集應能夠充分反應系統的運行狀態。其次,所選參數集中的每個參數都應該便于測量與記錄。最后,所選參數集應該在使用盡量少的測點和傳感器的前提下,使所測數據的信息最大化[6]。這樣的方式可以很好地選擇互信息較少的特征參數,減少特征參數集的冗余信息[7]。然而,由于飛行器對于安全、重量、成本等方面的考慮,目前,IMA無法通過增加測量節點和額外傳感器的方式來獲得更多反映性能狀態的參數。因此,如何采用現有信息獲取能夠反映IMA性能狀態的特征參數是構建性能退化模型的首要問題。

在航空、航天等重要領域,存在大量具有高可靠性、長壽命的產品,為系統的運行提供服務。針對如IMA這類小樣本、長壽命系統的性能退化問題,常采用隨機過程來描述其性能退化歷程[8-10]。Wiener過程和Gamma過程是典型的隨機過程模型,眾多學者開發了如多階段Wiener過程、非線性Wiener過程、擾動Gamma過程、非時齊Gamma過程等隨機過程模型,用于描述各類電子設備性能退化歷程[11-14]。Wiener過程和Gamma過程均屬于Lévy過程,Lévy過程既可以描述性能變化的時間隨機性又可以描述退化過程中的沖擊跳躍特征。因此,采用Lévy過程描述系統性能退化歷程具有更為寬廣的適用性。

目前,基于隨機過程的性能退化模型大多用于描述單因素影響下的退化過程。部分研究涉及了二元性能退化建模問題,也多假設退化特征獨立同分布。由于影響IMA性能狀態的因素眾多,需要深入研究多因素綜合影響下的性能退化模型,以準確描述IMA性能演化歷程。

針對上述問題,本文首先依據波音787型飛機維護手冊和故障隔離手冊,結合健康監測功能對IMA錯誤的處理方法,在現有傳感器條件下遴選了IMA健康特征參數。然后,提出了IMA性能退化Lévy模型,構建了單因素影響IMA性能退化模型,并基于此,實現了復雜電子系統多失效因素綜合影響性能退化建模。最后,搭建了IMA仿真平臺,驗證了所提模型的有效性,為進一步預測IMA的性能狀態,保障其安全可靠運行打下了基礎。

1 健康特征參數遴選

1.1 IMA運行管理機制分析

IMA是一個高度集成、資源共享的開放式平臺,各類航空電子功能以應用的形式駐留在IMA上[15]。為避免各個分區功能之間相互影響,IMA運行管理機制采用分區管理方法嚴格保證各分區功能之間的空間隔離與時間隔離。① 空間隔離:ARINC 653操作系統通過內存管理,給每個分區劃分一塊獨享的內存空間,禁止分區應用訪問其他內存空間,使得分區物理空間不受其他分區的干擾,以提高功能運行的可靠性。② 時間隔離:IMA分區管理提供了一個兩級調度列表,為每個分區和分區內的應用分配了執行時間,各分區應用在自己的時間窗內獨享處理器資源,并要求分區應用在所分配的時間窗內完成相應的航電功能,以保證實時性需求[16]。在整個飛行過程中,各個分區依據分區調度列表周期性地執行功能。

健康監測(health monitor, HM)是IMA系統分區的一個預留功能,由ARINC 653 核心操作系統執行實現[17]。健康監測功能負責監測硬件和應用程序的運行狀態,報告出現錯誤的分區和應用,并記錄在故障日志中。如圖1所示,一個包含3個分區P1、P2、P3的IMA,如果發生進程級錯誤,健康監測功能在確認故障后進行修復。健康監測功能所調用的錯誤處理程序是具有最高優先級的進程,在修復錯誤時需要占用錯誤進程的運行時間窗。修復完成后,處理器資源立即歸還,分區應用繼續執行,完成任務。

圖1 健康監測功能

1.2 IMA健康特征參數遴選

對于IMA這類電子系統,從功能完好到故障發生之前的輸出信號通常沒有明顯的變化趨勢。一旦系統失效,其輸出結果往往是突發的階躍信號。本文從機理分析入手,在IMA現有測點和數據記錄的基礎上,遴選健康特征參數。

基于ARINC 653標準設計的IMA,計算準確性和實時性是基本需求[18]。因此,本文從計算準確性與實時性為衡量標準,遴選IMA健康特征參數。

作為高度集成的模塊化電子系統,IMA全壽命周期始終伴隨著間歇故障的發生。在航空電子系統中,對于不同的航電功能,間歇故障出現的比例可占功能故障總和的21%～70%[19]。而民用航空公司和美軍裝備維修報告中指出,間歇故障所占比例高達整個航空電子系統故障總和的50%～60%。根據國防電子雜志的統計,軍用飛機間歇故障的發生率可高達50%[20]。

由間歇故障引發的IMA錯誤,會被健康監測功能識別,并調用錯誤處理程序進行修復,增加航電功能完成時間,影響IMA健康狀態。與此同時,中央維護系統和IMA健康監測功能利用機載設備現有的測試條件,對飛行過程中航電功能可能出現的故障與錯誤進行識別和處理,并記錄飛行過程中出現的所有錯誤,以供地面維修人員依照飛機故障隔離手冊對故障日志中的錯誤進行檢修。

在IMA服役初期階段,間歇故障以極低的頻次出現,會被認為是噪聲,此時間歇故障并不會明顯影響IMA的性能[21]。隨著IMA運行服役時間的增長,故障的間歇性已然呈現,但此時航電功能仍然可以在滿足實時性條件下準確地輸出計算結果。在IMA服役的后期,間歇故障已然進入高發階段,此時反復出現的間歇故障嚴重影響了IMA的性能狀態,致使航電功能無法滿足實時性要求,功能失效[22]。如圖2所示,間歇故障發生頻次不斷增高,功能完成時間隨之增加。因此,間歇故障發生頻次和功能完成時間反映了系統的健康狀態,是IMA健康特征參數。

圖2 間隙故障發生頻次變化

2 性能退化建模

2.1 IMA性能退化Lévy過程

Lévy過程是隨機過程中的一個重要分支,具有獨立增量、平穩增量和隨機連續3個特征[23]。

定義 1在概率空間(Ω,A,P)上的一個隨機過程{X(τ),τ≥0},如果滿足:

(1)初值X(0)=0。

(2)獨立增量性:對于一個遞增時間序列0≤τ0≤τ1≤…≤τn,隨機增量X(τ0),X(τ1)-X(τ0),…,X(τn)-X(τn-1)彼此獨立。

(3)平穩增量性:對于任意τ>0,s>0,隨機增量X(τ+s)-X(τ)的分布與τ無關。

本文重點關注IMA性能退化,擬對駐留航電功能的運行狀態進行研究。為了掌握間歇故障對功能完成時間的影響,首先需要對間歇故障出現的規律進行研究,明確間歇故障所服從的概率分布。可以證明間歇故障發生次數概率服從Poisson分布,證明如下。

證明定義在時間t內,其間歇故障以概率p出現。考慮高可靠性的IMA,間歇故障具有偶發性。可知事件n很大,概率p很小。定義λt=np,那么,

(1)

證畢

那么,可以利用Poisson過程記錄時間t內間歇故障發生的次數。

針對IMA中所駐留航電功能,需要構建功能完成時間模型以判斷功能運行是否滿足實時性需求。為構建相應模型,設定如下。

(1)在單位時間T內,IMA的性能狀態是一致的。定義功能執行時間為t,功能完成時間為τ,調度列表主時間框為η,顯然0

(2)在單位時間T內,認為系統性能缺陷造成間歇故障出現的強度為固定值λ,則可用Poisson過程{N(t),t≥0}來記錄在功能執行時間t內間歇故障發生的總次數。

(3)第i次間歇故障導致的修復占用時間為Di,且{Di}獨立同分布。

那么,IMA駐留的航電功能,其功能完成時間X(τ)可以看作為一個隨機過程,如下所示:

(2)

式(2)是一個漂移參數為1的Wiener過程與復合Poisson過程的疊合,可計算其特征函數為

(3)

為使用Lévy過程描述功能完成時間X(τ),需要驗證X(τ)是否具有獨立增量性和平穩增量性。

(1)X(τ)獨立增量性

證明要證明X(τ)具有獨立增量性,需要證明對于一個遞增時間序列0≤τ0≤…≤τn,隨機增量X(τ0),X(τ1)-X(τ0),…，X(τn)-X(τn-1)彼此獨立。

E(eiξ[Z(k)-Z(h)]+iζZ(h))=EN(φ(ξ))N(k)-N(h)(φ(ζ))N(h)=

EN(φ(ξ))N(k)-N(h)E(φ(ζ))N(h)=

E(eiξ[Z(k)-Z(h)])E(eiζZ(h))

(4)

由于,Wiener過程和復合Poisson過程均滿足增量獨立性,且W(t)與Z(t)相互獨立。所以X(τ0),X(τ1)-X(τ0),…,X(τn)-X(τn-1)彼此獨立,滿足獨立增量性條件。

證畢

(2)X(τ)平穩增量性

證明要證明X(τ)具有平穩增量性,只要證明對任意的0≤h

φX(k)-X(h)(ξ)=E(eiξ[X(k)-X(h)])=

(5)

顯然增量X(k)-X(h)的分布只與k-h有關,不依賴于k或h的具體值,故有平穩增量性。

證畢

根據以上證明可知,在基本設定前提下,IMA在單位時間T內具有固定的性能狀態,間歇故障發生的強度為固定值λ。因此可以采用時齊Poisson過程描述出現的間歇故障,功能完成時間X(τ)是Lévy過程。

然而,IMA的性能會隨著服役時間的增長而逐漸退化。在整個壽命周期內,間歇故障的發生強度是一個隨著時間變化的量,此時性能退化過程不滿足平穩增量性,不能用Lévy過程描述。

為解決這一問題,將IMA性能退化歷程離散化,以時間T為單位將全壽命周期Tw分割為M個不同的性能狀態。其中,單位時間T可取如調度列表主時間框、一次飛行起降、一天等時間尺度。單位時間T由N個調度列表主時間框η組成,認為在此時間段內IMA性能狀態是一致的,間歇故障發生的強度為常數λ(T)。那么,在每一個單位時間內,可以用Lévy過程X(τ)逐次描述N個主時間框內航電功能的運行。N和M均為正整數。

式中,Tk為將Tw按單位時間T分割后的一個時間片;ηr為單位時間T按時間尺度η分割后的一個時間片。此處,下角標k和r分別指代單位時間T和主時間框η的時間順序。那么,整個性能退化歷程X(Tw)可描述為全壽命周期Tw內各功能完成時間Xh(τ)的組成,如下所示:

X(Tw)=[X1(τ),X2(τ),…,Xh(τ)],t≤τ<η

(6)

式中,h=1,2,…,MN。

2.2 單因素影響性能退化模型研究

許多研究指出電遷移、與時間相關介質擊穿和熱載流子注入等因素是復雜電子系統產生間歇故障的原因,且由這些因素所導致的系統失效時間可用對數正態分布和Weibull分布來描述[25-26]。為研究IMA性能退化模型,首先從單一失效因素入手,分析單失效因素與系統性能狀態之間的關系,構建失效因素與性能退化之間的關系。再以此為基礎,研究多因素綜合影響下的IMA性能退化模型。

定理 1假設f(θ)為由任意一失效因素導致IMA功能失效的失效時間概率密度函數,那么IMA的任一功能完成時間Xh(τ),τ≥0是一個Lévy過程,并且能夠表達為Xh(τ,f(θ))。

證明已知失效時間概率密度函數為f(θ),那么系統可靠度為

(7)

(8)

Poisson過程描述了隨著時間增長隨機故障發生的次數。與可靠度相對應,Poisson過程概率分布函數在N(t)=0時,為指數分布函數,表達了在時刻t∈[0,+∞)之前無故障發生的概率,可用于描述相鄰兩次間歇故障時間間隔{Oi}的分布。

當IMA處于一個固定的性能狀態,可計算在當前參數λ(Tk)下無間歇故障發生的期望。

(9)

(10)

式中,C為相關系數。那么,可以依據系統失效時間分布概率密度函數f(θ),計算出在IMA任意確定的性能狀態下,間歇故障的發生強度λ(Tk)為一個常數。此時功能完成時間Xh(τ)可表達為關于失效時間概率密度函數f(θ)的函數。

(11)

因此,功能完成時間Xh(τ)滿足獨立增量性和平穩增量性,是一個Lévy過程。

證畢

圖3 無間歇故障發生概率示意圖

由圖3可知,在同一時間間隔下,無故障概率隨著飛行時間的增長不斷降低。即隨著飛行時間的增長,系統可靠度逐漸降低,IMA性能退化。當IMA處于確定性能狀態時,無間歇故障發生的概率隨著時間間隔的增加不斷下降。

步驟 5如果r·η=Tk,k=k+1,r=1轉步驟2。否則,r=r+1,轉步驟3。

可以歸納單因素影響下IMA全壽命周期性能退化建模流程,如圖4所示。

圖4 單因素影響下IMA建模流程圖

2.3 多因素綜合影響性能退化模型研究

本節針對多失效因素共同作用情形,研究具有普遍適用性的多失效因素綜合影響IMA性能退化Lévy模型。

定理 2給定多個IMA性能退化因素,假設f1(θ),f2(θ),…,fQ(θ)分別為這些因素導致IMA功能失效的失效時間概率密度函數,那么IMA任一功能完成時間Xh(τ),τ≥0是一個Lévy過程,并且能夠表達為Xh(τ,f1(θ),f2(θ),…,fQ(θ))。

證明由于任一因素誘發的間歇故障服從Poisson分布,利用其可加性,對于任意兩個獨立的Poisson過程,其疊加后的結果仍然為Poisson過程。

假設參數分別為λ1和λ2的兩個獨立的Poisson過程N1(θ)和N2(θ),其隨機變量分別為K1和K2,那么N(θ)=N1(θ)+N2(θ)的特征函數為

φK1+K2(ξ)=φK1(ξ)φK2(ξ)=

exp[λ1(eiξ-1)]exp[λ2(eiξ-1)]=

exp[(λ1+λ2)(eiξ-1)]

(12)

顯然N(θ)是參數為λ1+λ2的Poisson過程,具有獨立增量性與平穩增量性。

因此,可以分別計算多個不同失效因素造成的IMA性能退化,并分別計算在此性能狀態下間歇故障發生的強度。利用Poisson過程的可加性,綜合得到當前性能狀態下間歇故障發生的整體強度。

已知,性能退化因素導致系統失效的失效時間概率密度函數分別為f1(θ),f2(θ),…,fQ(θ)。同樣,按單位時間Tk將IMA全壽命周期進行劃分,可以分別計算每個單位時間區間內Q種失效因素單獨作用下平均可靠度R1(Tk),R2(Tk),…,RQ(Tk),并認為在此單位時間內可靠度為固定值。

(13)

因此,可采用時齊Poisson過程與時齊復合Poisson過程分別描述在功能執行時間t內,間歇故障發生過程N(t)和因健康監測功能處理由間歇故障引發的IMA錯誤而產生的累積修復占用時間Z(t)。

(14)

由于累積修復占用時間Z(t)具有獨立增量性與平穩增量性,因此功能完成時間Xh(τ)是一個Lévy過程。Xh(τ)可表達為關于失效時間概率密度函數fj(θ)的函數。

證畢

Xh(τ)=t+W(t)+Z(t)=

(15)

利用特征函數可以更清楚地表達Q個失效因素對功能完成時間Xh(τ)的綜合影響,Xh(τ)的特征指數為

(16)

式中,λj=g(fj(θ),Tk);fj(θ)為失效時間概率密度函數;g(·)為fj(θ)與λj的映射關系式,進而有:

(17)

由以上公式可知,由多個因素導致IMA性能退化所引起的間歇故障,可以通過Lévy過程中跳躍部分的強度λ的疊加進行描述。功能完成時間Xh(τ)是fj(θ)的函數,那么可利用多失效因素綜合影響下的IMA性能退化Lévy模型構建IMA全壽命周期性能退化過程X(Tw)。

步驟 6如果rη=Tk,k=k+1,r=1轉步驟2;否則,r=r+1,轉步驟4。

那么,基于IMA性能退化Lévy模型的多因素綜合影響IMA全壽命周期性能退化建模流程如圖5所示。

圖5 多因素綜合影響下IMA建模流程圖

3 實驗平臺搭建

符合ARINC 653標準的 VxWorks 653是一款針對關鍵性安全應用所研發的實時操作系統[28]。目前,NASA戰神5號運載火箭、洞察號火星探測器以及波音787和空客A400M等民用飛機都已采用VxWorks 653實時操作系統支持航空航天電子系統功能的實現。采用P2020E處理器的飛思卡爾P2020參考設計板(reference design board, RDB),以其優秀的處理能力、豐富的接口、廣泛的適用性和較高的可靠性,被用于航空領域[28]。

因此,本文利用風河公司VxWorks 653嵌入式系統開發環境Workbench創建了一個具有3個分區的IMA仿真系統[29]。采用飛思卡爾P2020RDB硬件平臺作為IMA仿真環境。用PC機編譯VxWorks 653項目,并利用FTP服務工具建立PC機與P2020RDB硬件平臺之間的通信。通過在主機與目標機之間建立通信連接,可以完成代碼的加載與調試并監測運行結果。如圖6所示,主機與目標機之間由兩條通信網絡連接。其中,一條通信網絡用于將主機上編譯的軟件和配置通過FTP服務工具經以太網加載(upload)到目標機中。另一條通信網絡是將目標機的運行結果(output)通過以太網發送到USB轉接網口,并由FTP服務返回給Workbench,以便監測目標機的運行狀態。

圖6 主機與目標機連接方式

依據調度列表反復執行分區應用,并利用Workbench記錄功能執行時間數據,確定系統運行時間誤差W(t)。通過在應用程序中注入可觸發的零除、堆棧溢出等進程錯誤代碼,用以調用錯誤修復程序,統計修復占用時間,確定進程修復時間Di。Workbench記錄的功能執行時間、錯誤出現個數等信息,如圖7所示。

圖7 IMA硬件平臺運行結果

4 結果分析

依據波音787飛機維修計劃手冊,可知IMA的維修規劃時間(maintenance planning time, MPT)為80 000個飛行小時[30]。設定一次飛行起降為單位時間T,一次飛行起降共4 h。可以將80 000個飛行小時按照單位時間T劃分為20 000個飛行起降。認為在每個飛行起降中,IMA的性能狀態為固定值,即在一個飛行起降中,間歇故障的發生是時齊Poisson過程,設定每個飛行起降航電功能執行100次,即100個樣本。依據維修計劃手冊給出的基礎飛行強度,即787飛機每天的飛行時長為11 h,設定每天飛行3個起降,共12個飛行小時。

針對多因素綜合影響IMA性能退化問題,設置電遷移、與時間相關介質擊穿和熱載流子注入3種退化因素。采用蒙特卡羅方法仿真功能完成時間X(τ),并通過迭代仿真IMA全壽命周期性能退化歷程。得到仿真的間歇故障數據和功能完成時間數據如圖8與圖9所示。

圖8 間歇故障仿真結果

圖9 功能完成時間仿真結果

為滿足實時性需求,應在分配的時間窗內完成任務。設定功能完成時間超過20 ms,則判斷為功能失效,那么,可以統計首達失效時間,如圖10所示。

圖10 首達失效時間

利用正態分布、Weibull分布、對數正態分布和Gamma分布分別對100次首達失效時間的概率密度分布進行擬合,擬合結果如圖11所示。表1列出了4種分布擬合的均方根誤差(root mean square error, RMSE)。

圖11 首達失效時間概率分布

表1 擬合RMSE

由表1可知,采用Weibull分布擬合效果最佳,計算可得,首達失效時間的期望為21 227次飛行起降,即84 908個飛行小時。定義仿真近似度如下:

計算可得,近似度=93.86%。本文所構建的仿真模型,其首達失效時間與波音787維修計劃手冊中的維修規劃時間基本一致。本文所建立的IMA性能退化Lévy模型,可以較好地模擬IMA性能退化歷程。

5 結 論

本文介紹了IMA的基本系統組成與相應的運行管理機制。以IMA功能需求為基礎,結合健康監測功能運行機制,從系統維護角度遴選了間歇故障發生頻次與功能完成時間作為表征IMA健康狀態的特征參數。針對IMA性能退化歷程的隨機性,首先介紹了Lévy過程基本概念,結合IMA運行管理機制證明了IMA功能完成時間歷程是一個Lévy過程。提出了單因素影響和多因素綜合影響下的IMA性能退化Lévy模型,實現了IMA全壽命周期性能退化過程建模。最后,利用飛思卡爾P2020參考設計板,搭建了基于VxWorks的IMA仿真平臺,仿真了IMA全壽命周期性能退化歷程。通過對比波音787基礎飛行強度的維修規劃時間,驗證了所建模型的有效性。

本文所選健康特征參數可為工程實際中IMA性能檢測提供思路和可行性理論,所建性能退化模型為IMA的預測與健康管理打下基礎。因此,后續的工作應著重于IMA健康評估與剩余使用壽命預測方向的研究。