機載時間敏感網絡鏈路安全關鍵度均衡調度方法

趙長嘯，戴駿，董方正，李道俊

1.中國民航大學 安全科學與工程學院，天津 300300

2.民航航空器適航審定技術重點實驗室，天津 300300

綜合化是航空電子系統的發展方向，綜合模塊化航電（Integrated Modular Avionics System，IMA）已在B787、A380 等大型客機上成功應用。隨著對IMA 航電系統故障封閉、系統重構、分區調度任務分配等［1-3］研究的逐步深入，為優化IMA 架構，研究者們后續提出了分布式綜合模塊化航電（Distributed Integrated Modular Avionics System，DIMA）架構［4-5］。DIMA 綜合了分立式IMA 與集中式IMA 的優點［6］，被視為未來航電系統的發展方向，DIMA 中所有模塊相連并且提供高容錯，因此對航電系統中確定性、實時性需求的保證能力要求更高。現應用于IMA 中的機載網絡（Avionics Full Duplex Ethernet，AFDX）是基于以太網的事件觸發（Event-Trigger）網絡，在實時性、確定性等方面難以滿足DIMA 需求［7］。支持時間觸發（Time-Trigger，TT）技術的通信網絡開始受到機載系統領域的關注［8-9］。洛克希德·馬丁公司與空客集團研發的奧賴恩（Orion）飛船［10］，以及NASA 的門戶空間站（Lunar Gateway）均運用了支持時間觸發的通信網絡。由IEEE（Institute of Electrical and Electronics Engineers）推出的時間敏感網絡（Time Sensitive Network，TSN）是支持TT 技術的新一代機載網絡的候選者之一［11-12］。與同樣支持TT技術的TTE［8，13-14］相比，TSN 技術具有配置更加靈活、可按需預留帶寬、可更好支持不同類型的流量等優點。NASA 的星載鏈路項目已啟動了對TSN 技術的研究，SAE 中的AS-1A 工作組也在尋求與TSN 工作組聯合，制定航空航天領域的TSN 應用標準［15］。

機載網絡作為支持航電系統運行的基礎網絡，首先需要解決傳輸任務的可調度性，其次需要滿足航電功能的實時性需求。眾多研究［16-18］表明，時間觸發通信的路由與調度問題可以轉換為一個NP 問題。何鋒等［19］針對機載時間觸發以太網中時間觸發（TT）通信調度給出了多種約束引導下的調度模型，并形成了基于強化學 習（Reinforcement Learning，RL）的調度方法，對調度數量、消息延遲進行了優化。Raagaard 等［20］使用混合整數規劃（Mixed Integer Programming，MLP）為TT 流量提供調度方法、最小化TT 隊列數與時延。Dürr 等［21］利用禁忌搜索（Tabu Search）與Heuristic（貪心算法）復合方法優化總傳輸時長。Li 等［22］使用基于可滿足性模理論（Satisfiability Modulo Theories，SMT）得到時間觸發通信調度方法，優化了調度速度。Vlk 等［23］開發了一種高效的調度方法EPIC，優化了調度數量與調度速度。álvarez等［24］提出的主動傳播復制幀（Proactive Transmission of Replicated Frames）機制允許臨時錯誤鏈接，提高了TSN 網絡通信安全性。Ali等［25］提出容錯瓶頸啟發式算法，在車載網絡中使用可靠幀復制和消除（Frame Replication and Elimination for Reliability）提升TSN 流量傳輸安全性。但是，由于不同的航電系統保證飛機安全性的能力不同，現有的僅關注任務流量屬性的調度方式，很容易引起風險匯集，使某條鏈路失效，進而可能導致多個安全關鍵功能失效，在最壞情況下甚至會發生機毀人亡的災難性事故。

機載網絡可分為總線式網絡和交換式網絡，對總線式網絡（1553B、ARINC429 等）而言，其網絡的結構決定了不同終端進行任務傳輸時可共享的物理網絡資源僅有主干總線，無法為傳輸任務分配網絡資源。當主干總線發生鏈路失效，接入總線的各端系統共享的網絡資源均會受到影響，所以總線式網絡并沒有鏈路失效風險集中的問題。在以AFDX 為代表的事件觸發型交換式機載網絡中，由于其采用交換式結構，任務傳輸時的可選網絡（鏈路）資源較多。在網絡機制上AFDX 支持虛擬鏈路（Virtual Link，VL）技術，AFDX 通過為不同的VL 分配時隙，模擬端到端的邏輯連接。針對AFDX 鏈路失效的相關研究有：基于VL 對AFDX 進行鏈路風險均衡的RBPP 算法［26］、考慮鏈路失效的AFDX 動態故障樹可靠性分析［27］、利用新型的冗余拓撲結構降低鏈路失效等風險［28］。而在時間觸發的機載交換式網絡TSN 中，由于時間觸發技術是依靠占用時隙實現的，所以它與AFDX 緩解鏈路風險集中的具體實現手段是有所區別的。

時間敏感網絡中的時間觸發流量相較于事件觸發流量有著更好的實時性與確定性，時間觸發流量實現高確定性與實時性的基礎是提前對時間觸發傳輸任務提供確定的傳輸路徑和傳輸偏移規劃。但在機載網絡的背景下，任務支持功能的安全關鍵程度不同，任務的安全關鍵程度也有所差異。在進行任務傳輸路徑規劃時，網絡中某（些）鏈路相較于其他鏈路所承載的安全關鍵任務更多或承載的任務安全關鍵程度更高（即此鏈路對于網絡的安全關鍵程度高），則會造成風險匯集，這些鏈路失效時其承載的任務會對飛機造成更大影響。基于此，本研究通過在機載時間敏感網絡任務調度的過程中對任務傳輸路徑與傳輸偏移進行約束與優化，緩解鏈路的風險匯集現象。

本文提出了機載TSN 安全關鍵度均衡的調度方法，提供了機載網絡中鏈路安全關鍵度的量化模型，建立機載TSN 安全關鍵度均衡調度模型，并基于約束規劃的方法求解調度結果，利用仿真實驗對調度方法進行分析。針對機載時間敏感網絡中多數據混傳可能導致的風險匯集問題，綜合考慮機載網絡中數據傳輸的的實時性與安全性需求，提出了一種鏈路安全關鍵度均衡的調度方法。基于專家評價和熵權法量化系統任務安全關鍵度，通過任務映射表征鏈路安全關鍵度，構建機載TSN 鏈路安全關鍵度均衡的調度模型；基于配合約束規劃的方法構建鏈路安全關鍵度均衡（Link Safety Criticality Balancing，LSCB）調度方法，在任務數分別為50 和100 的場景中LSCB 調度方法對于鏈路安全關鍵度的均衡作用相較于LB 方法和SP 方法均有所提升，表明LSCB 在保證任務傳輸延遲上界的基礎上，可有效緩解風險匯集。

1 問題描述

目前在民用飛機領域，系統安全性設計與評估主要基于SAE ARP4754 標準，該標準針對不同功能失效對飛機的安全性影響定義了5 類不同的失效狀態：Ⅰ類（災難級）、Ⅱ類（危險級）、Ⅲ類（較大的）、Ⅳ類（較小的）、Ⅴ類（無安全性影響）。不同航電功能對飛機的安全飛行能力保障不同［29］，其關聯的失效狀態類別和數量也存在較大差異，如航電核心系統支撐了多個航電功能的處理與傳輸任務，其失效直接影響飛行安全。某型客機的功能危害性評估清單中，航電核心處理系統涉及21 個Ⅰ類失效狀態，5 個Ⅱ類失效狀態，8個Ⅲ類失效狀態，而同機型中客艙的娛樂系統不涉及Ⅳ類以上的失效狀態。機載互聯系統是支撐這些航電系統運行的數據與指令通路，在429、1553 等總線型網絡中，不同航電任務在其傳輸時間內對網絡傳輸介質具有獨占性，而機載TSN 網絡為交換式網絡時，多航電任務共享傳輸介質，會導致不同功能的不同安全關鍵任務在網絡中混合傳輸，可能使某些鏈路風險匯集。如果在任務鏈路規劃時不考慮任務的安全關鍵程度，極易導致某條鏈路上承載多個高安全關鍵等級的任務，一旦該鏈路失效，極端情況下甚至會產生導致機毀人亡的Ⅰ類失效狀態。如某型民機航電系統中，完全喪失通信系統或完全喪失導航系統均屬III 類失效狀態，但是同時喪失通信系統和導航系統則屬于Ⅰ類失效狀態，如圖1 所示。圖1包含3 個交換機（SW）與6 個端系統（ES）；任務F1、F2、F3分屬通信功能、導航功能、客艙娛樂功能，其傳輸路徑以不同線型的虛線體現。在SW1與SW3 之間的鏈路為LS1，S3，由紅色 線表示，它 同時承載了任務F1和F2，造成了風險的匯集。如果鏈路LS1，S3發生失效，就會引起通信功能、導航功能的故障甚至失效，導致無法接受的后果［30］。Yang 等［31］結合廣義隨機petri 網（GSPN）分析了航電系統安全性，并對AFDX 機載網絡等部分進行了深入分析，在AFDX 中網絡雙通道失效是可能導致IMA 架構失效的條件之一。其中鏈路失效是導致網絡通道失效的原因之一。從各航電功能角度來說，當鏈路失效時，其上的所有傳輸任務均受影響，可能的失效狀態包括功能的全部或部分喪失。對機載網絡而言，風險匯集是設計和分析中應重點關注的問題。本文提出了機載時間敏感網絡鏈路安全關鍵度均衡調度方法以緩解風險匯集現象。

圖1 示例網絡拓撲Fig.1 Sample network topology

目前應用較多的交換式機載網絡AFDX 中，其路徑選擇是以VL 技術為基礎的，VL 技術利用網絡時隙模擬邏輯上的端到端鏈接，即任務的路徑由其發送終端與接收終端所定義的VL 決定，設計了VL 就決定了各傳輸任務的發送路徑。但在時間敏感網絡中，以IEEE 802.1Q 標準（原為802.1Qbv，后全部并入802.1Q）中定義的時間感知整形器（Time-Aware Shaper，TAS）為基礎，TAS 機制中門控列表（Gate Control List，GCL）控制交換機上的各隊列的GATE，使確定的數據幀通過，網絡中各交換機的GCL 需要基于TSN調度結果生成。TSN 的調度便是基于此機制，通過在一個調度周期（超周期）內調度，使任務規劃能夠滿足資源等約束，得到調度結果（各任務的傳輸偏移與傳輸路徑）生成，同樣發送、接收終端的各任務的傳輸路徑可以不同。本文方法基于TAS 機制進行時間敏感任務的調度，在實驗中主要關注滿足各約束基礎上調度方法對于鏈路風險集中的緩解情況。

2 機載TSN 安全關鍵度均衡調度模型

2.1 系統模型

TSN 網絡模型包括節點集N與鏈路集L，節點集合N包含網絡中所有的交換機（Switch）與終端（End System），n為節點數目，鏈接集L包含網絡中所有節點間的直接鏈接。Ni為單個節點，布爾變量Li，j為網絡拓撲中節點Ni與節點Nj是否存在直接鏈接，當Li，j=1 時表示Ni與Nj存在直接鏈接，為零時則相反。TSN 節點間為全雙工，所以對于任意2 個相連的節點Ni和Nj，有Li，j=1=Lj，i∈L。對于每個鏈接集L中的鏈路Li，j有以下相關參數：δi，j為鏈路Li，j上的傳播延遲；εi為Ni節點交換機的結構切換延遲；網絡中的所有節點時鐘同步，設d為設備間的時鐘之間的最大差值。

任務定義為從一個終端到另一終端的周期性的數據傳輸，F為所有任務的集合。對于F中任意一個任務Fk（k為任務編號）：數據由網絡的發送端Dk傳輸至網絡的接收端Rk（由任務自帶的屬性決定，Dk、Rk對應網絡中的節點）；任務Fk的傳輸持續時間為ηk（表示任務Fk從任何節點傳輸到其相鄰節點所需的時間）；任務Fk的周期為pk。任務Fk的安全關鍵度為wk。

2.2 安全關鍵度

為更好地評價風險匯集程度，引入功能、任務、鏈路的安全關鍵度，分別表示功能、任務、鏈路的安全關鍵程度。

2.2.1 任務安全關鍵度

目前較為成熟的民用飛機安全性設計與評估體系是根據SAE（Society of Automotive Engineers）組織發布的ARP4754［32］構建的。其中的系統級功能危險性評估（System Function Hazard Assessment，SFHA）確定可能的功能失效狀態，根據失效狀態影響的嚴重程度對其進行分類，并對由此產生的安全性需求進行確定。在初步系統安全性評估（Preliminary System Safety Assessment，PSSA）階段將上層安全性需求（研制保證等級等）進行分配。

邀請n位專家依據評價表對m個功能進行評價，得到功能在p個方面的具體評價值之后，再引入客觀賦權的熵權法［33］對各功能的評價指標的權重進行計算。

首先計算各位專家對u功能a方面的平均評價值，u為

式 中：qa，u，v為第v位專家對于u功能a維度的評價值（評價維度總數為p，功能總數為m）。

進一步可計算某一指標的信息熵值為

式中：ea為a維度的信息熵值。

繼續可計算出各指標的權重wa為

則最終功能安全關鍵度gu為

在功能實現時，網絡資源依賴各端系統之間進行任務通信，根據功能與端系統非對稱依賴關系可建立功能-端系統依賴矩陣c（其中cu，i為u功能對端系統Ni的依賴關系），那么為實現某功能的端系統Ni（節點）的安全關鍵度zi為

對任務而言，依據其出發節點與接收節點（端系統），任務Fk的安全關鍵度wk可表示為

式中：Dk、Rk分別為任務Fk的發送端與接收端。

2.2.2 鏈路安全關鍵度

任務在機載TSN 中傳輸時會經規劃好的路徑由發送端向接收端按照固定周期傳輸數據幀，在此過程中，任務安全關鍵度會累積在流經的各鏈路上，將si，j作為鏈路Li，j上的安全關鍵度，H為度量鏈路安全關鍵度的時間范圍，設總待調度任務數量為φ，則可將其表示為

2.3 鏈路安全關鍵度均衡調度方法

在處理不同周期的任務調度時，為保證調度的完整與正確，提出超周期（Hyper Period）概念，H=lcm{pk|Fk∈F}，lcm 為最小公倍數函數，計算式中各任務周期pk的公倍數，pk、H取值為實數。將H作為一個調度周期，在此周期內將所有F中的傳輸任務調度完成，即一直循環下去，保證網絡的正常傳輸。機載時間敏感網絡的調度結果分為兩部分：

1）用布爾變量rk，i，j表示任務Fk是否經過Li，j鏈路（布爾變量Boolean Variable 具有2 種邏輯狀態的變量，包含2 個值：1 與0，當值為1 時表示任務Fk經過Li，j鏈路），即可將任務的傳輸路徑進行表示；

2）變量tk，i表示任務Fk從節點Ni發送時，第1 次傳輸開始時的傳輸偏移，可對任務在網絡中傳輸的狀態在時間維度上進行表達。其取值范圍為0 到周期長pk之間的整數。任務Fk第1 幀最終在到達接收端的時刻(rk，i，j=1，Nr=Rs)為：tk，r+ηk+δi，r+εi+d。其 中δi，j、εi、d分別為鏈路延遲、節點延遲與時間同步最大誤差。任務調度的最終結果是為所有任務找到滿足約束并使優化目標最大化的傳輸路徑與其在路徑各節點上的傳輸時刻（即傳輸偏移）。

2.3.1 任務路徑相關約束

由于安全關鍵度是任務的一種屬性，任務傳輸路徑的選擇就與其積累到鏈路上的安全關鍵度結果相關，設置如下的路徑基礎約束。

1）約束1：可選路徑約束。

任務的傳輸是基于網絡拓撲結構的，任務的傳輸路徑只能在網絡拓撲中已存在的鏈接中選擇。即：當網絡拓撲中兩節點Ni與Nj間無直接鏈接時，任務路徑不能直接由Ni到Nj，將其表示為

2）約束2：任務發送/接收約束。

在約束1 基礎上繼續分析，任務最基礎的需求是將任務所包含的幀由發送節點發出且由接收節點接收。將此約束表示為

3）約束3：路徑連續性約束。

為保障任務路徑的正確與完整，加入以下限制：任務Fk的完整傳輸路徑應由發送節點Sk在鏈接集L中鏈接首尾相接直至接收節點Rk；且在此傳輸過程中不能有環形鏈路出現，即同一任務的路徑中經過同一節點數目不大于一次，表示為

2.3.2 任務傳輸偏移相關約束

任務的傳輸偏移是實現TT 任務在TSN 中基于TAS 機制進行門控的重要信息，需要保證其正確配置，利用約束規劃的方法進行求解時需要以下對傳輸偏移的約束。

1）約束4：釋放/截止約束

此約束對所有任務Fk∈F限制傳輸偏移進行基本的數值限定，此值應在相對釋放時間與相對截止時間之間，進一步分析傳輸偏移的上限，每個任務均需滿足相應的時延要求需要對接收節點的接收時間加入考慮，表示為

2）約束5：傳輸順序約束。

由于TSN 交換機依據存儲轉發實現幀傳輸，為保證幀傳輸的連續性需要對任務Fk路徑上的相鄰兩鏈路的傳輸偏移進行限定：

3）約束6：資源約束。

此約束的出發點為網絡鏈路資源的有限性，某鏈路上同一時刻不能有幀之間的爭搶，安排幀之間相錯的角度處理此約束，即兩任務若通過同一鏈路，在此鏈路上兩任務的所有幀之間均需與對方相錯，表示為

式中：Fk、Fs為可能通過同一鏈路的兩任務；x與y為兩任務之間相對的發送次數，由于在一個超周期內要發送數次，需要保證兩任務的每次發送均無資源沖突。

4）約束7：幀隔離約束。

Vlk 等［34］和Craciunas 等［35］學者指出：若有幀在傳輸過程中丟失，那么分配給此幀的時隙可能由于TSN 隊列的FIFO（First In First Out）屬性，被TSN 交換機用于隊列中其之后的幀傳輸，造成網絡中TT 流量傳輸混亂，無法保證時間觸發機制生效，如圖2 所示。為避免此問題，加入幀隔離約束對發送至同一交換機接收端的2 個任務的傳輸偏移進行限制，對這2 個任務的幀進行隔離，表示為

圖2 幀隔離約束示意圖Fig.2 Diagram of frame isolation constraint

與式（11）相似，Fk，Fs為可能通過同一鏈路的兩任務，x與y為兩任務之間相對的發送次數，此約束也需要保證兩任務在超周期內的每次傳輸時均進行了幀隔離措施。

2.3.3 安全關鍵度均衡

鏈路安全平均值計算式為

為了避免安全關鍵度集中，盡量平衡不同鏈路失效時對整個網絡的影響，引入鏈路安全關鍵度的方差var(s)，約束規劃的最終優化目標為

3 約束規劃方法

約束規劃［36］（Constraint Programming）是一種通過對全局單一資源約束的高效過濾方法，在調度、優化問題中廣泛使用。其中用區間變量（Interval Variables）的形式表示相關待調度任務，相應的約束與優化目標也需要進行規范。

3.1 基于區間變量約束

區間變量具有4 個維度的參數，分別為區間變量是否存在、區間變量的開始時間、完成時間和其兩者的差值，用約束規劃中特有的方式PresenceOf、StartOf、EndOf、LengthOf、Alternative、StartBeforeStart 和NoOverlap 等表示。因此可用區間變量與輔助區間變量Ψk，i、ζk，i將 約束1～約束7 與優化目標進行基于區間變量的實現。

3.1.1 任務路徑的區間變量約束

約束1～約束3可利用區間變量實現為式（18）～式（20）：

1）約束1：可選路徑約束。

2）約束2：任務發送/接收約束。

3）約束3：路徑連續性約束。

3.1.2 任務傳輸偏移的區間變量約束

約束4～約束7可利用區間變量實現為式（21）～式（24）：

1）約束4：釋放/截止約束。

2）約束5：傳輸順序約束。

3）約束6：資源約束。

4）約束7：幀隔離約束。

約束5 是通過約束StartBeforeStart（I1，I2，t）實現的，它限制了區間變量I2和區間變量I1的開始時間的差值至少是t個時間單位，若任一個區間變量不存在，則滿足約束。約束6 通過NoOverlap 約束，其定義為其中的區間變量組之間無交疊。

3.1.3 基于區間變量的優化目標

優化目標可格式化為

3.2 Benders 分解

Benders 分解自提出以來已被廣泛應用［37］，此方法可將復雜規劃問題分解為主問題與子問題。前文描述約束規劃模型同時考慮了任務路徑與任務的傳輸偏移，在此依據Benders 分解將此問題分為2 個階段：首先求解任務路徑問題，然后再對傳輸偏移進行求解。如圖3 所示，先為路徑問題建立模型，其中包含約束1～約束3 與可能的調度狀態約束，調度狀態約束可標記某一種求解路徑方案不可行。如果路徑模型無可行解，直接結束并提示無法解決此問題；若其有可行解，此時任務路徑已經變為已知量，進而構建由約束4～約束7 組成的調度子問題若找到可行解即結束，若沒有找到可行解，則添加一個調度狀態約束，并再次重復前述流程。

圖3 Benders 分解流程Fig.3 Benders decomposition process

4 實驗分析

4.1 實驗設置

實驗主要關注不同的調度方法的鏈路安全關鍵度集中上的調度差異，采用約束規劃方法，將其與同樣基于約束規劃的負載均衡（Load Balancing，LB）、最短路徑（Short Path，SP）的無等待調度2 種調度方法進行對比。實驗采用圖4 中典型的機載網絡拓撲（AIRBUS A380），其中有9 個交換機（節點編號1～9）、18 個終端（節點編號10～27），共27 節點；隨機生成發送、接收端；根據機載網絡任務情況［26，38］設置調度任務的周期pk在300 μs、800 μs、1 000 μs、1 500 μs中選取，設置傳輸持續時間ηk有：ηk∈［1，10］，鏈路傳播延遲統一設置為0.1，交換機的結構切換延遲設置為0.5 μs。

圖4 實驗所用網絡拓撲結構Fig.4 Network topology used in the experiment

本文采用采用支持Benders 分解的IBM ILOG CPLEX Optimization studio［39-40］實 現（軟件版本為22.1），文獻［39-40］對此平臺特性進行了詳細介紹。

實驗中使用的任務安全關鍵度基于此拓撲網絡中的功能安全關鍵度，如表1 所示，實驗選取專家數n=5，評價方面數量p=3，3 個方面分別為對飛機影響、對機組影響和對乘客影響。本實驗案例中5 位專家對這3 個方面按照表2 的評分標準進行打分。最終得到的數據如表3 所示。

表1 航電功能安全關鍵度Table 1 Safety criticality of avionics function

表2 安全關鍵評價表Table 2 Safety criticality evaluation

表3 功能安全關鍵度專家打分結果Table 3 Expert scores of functional safety criticality

參考相關分析［41-42］，將功能安全關鍵度分為3 個評價指標進行量化：飛機影響（A）、機組影響（B）及乘客影響（C）。將重要程度劃分為4 個等級，并為各個等級指定量化范圍。

進一步依據熵權法對航電功能安全關鍵度計算，其中涉及的數值、具體功能對應關系［43］如表1 所示。在本實驗中采取50 條隨機節點任務集，根據端系統與任務的對應關系即可得到任務安全關鍵度。

4.2 實驗結果與分析

將得到的安全關鍵度，在上文所提到的實驗平臺中進行不同調度方法的調度結果求解，并將最終的調度結果進行整理。圖5 和圖6 為3 種不同調度方法調度結果分別在任務數為50和100 的2 種場景下的鏈路安全關鍵度（Link Safety Criticality，LSC）分布情況。表4 為計算指標結果。

表4 不同方法調度結果Table 4 Scheduling results of different methods

圖5 鏈路安全關鍵度分布情況（任務數為50）Fig.5 Distribution of link safety criticality（number of tasks：50）

圖6 鏈路安全關鍵度分布情況（任務數為100）Fig.6 Distribution of link safety criticality（number of tasks：100）

對比任務數為50 的圖5 不難看出，LB 方法將鏈路L3，5與鏈路L5，7上 的LSC 向L4，6上集中，造成L4，6上 的LSC 高 至15，為全方法最高值，而SP 則是將原本在L4，6與L6，8上的LSC 集中在L1，3、L3，5與L5，7之上，造成LSC 較高的鏈 路較多。LSCB 將L4，6上 的LSC 向L3，5上進行轉移，使LSC 集中問題得到緩解；同時也將L1，2、L4，6、L5，7等鏈路上的LSC 指標進行降低。在時延指標中各調度方法的任務時延均值較低，且將調度最大值維持在可接受水平。

從任務數為100 的圖6 可以看出LSCB 方法與LB 方法和SP 方法相比，調度結果有一定優勢，但由于實驗任務集的任務需要在節點3、4 和節點5、6 兩側相互傳輸的任務量相對固定，在L3，5和L4，6上的安全關鍵度之和一定程度上已固定（如一任務從節點17 向節點21 發送，勢必要經過L3，5和L4，6其中的一條），兩鏈路上的LSC 只能相互均衡，無法向全局拓撲中其他鏈路均衡。但LSC 在L1，9、L2，9、L3，9、L4，9上均衡了更多來自于L1，3與L2，4的LSC，使全局的集中度更低。因此，LSCB 方法有著更好的鏈路安全關鍵度均衡能力。

在任務數為50 的場景中，LSCB 調度方法對鏈路安全關鍵度的均衡作用相較于LB 方法和SP 方法分別提升了7.1%和25%。在任務數為100 的場景中分別提升了17%和18%。結合2 個實驗場景可知，LSCB 方法的鏈路安全關鍵度的均衡能力最好，LB 方法次之，SP 方法最差。由于LB 方法對負載的均衡能力，也使其在一定程度上具備鏈路風險均衡能力，但是當任務數增加時，由于其并未在約束與優化目標中考量緩解LSC 集中現象，導致其均衡能力有限；SP 方法的任務傳輸、接收節點與拓撲在一定程度上就決定了其發送路徑，無法對LSC 的集中進行緩解。實驗表明，LSCB 仍有一定的均衡能力，可以作為機載TSN 等高安全需求場景下利用任務調度來均衡安全關鍵度的一種方法。

5 結語

本文主要針對機載TSN 網絡在任務傳輸時出現的風險匯集現象進行了研究，提出了一種優化鏈路安全關鍵均衡的調度方法LSCB。

1）對功能安全關鍵度進行量化，配合熵權法對不同維度賦權，并得到鏈路安全關鍵度計算方法。

2）基于機載TSN 鏈路安全調度對任務傳輸偏移與任務傳輸路徑進行模型構建。

3）基于約束規劃的方法對調度模型中約束進行標準化改寫，并將LSCB 與LB、SP 調度方法進行對比，實驗結果表明：相較于其他2 種調度方法，LSCB 方法對于鏈路安全關鍵度集中有一定的緩解作用（7.1%～25%）；通過具體分析可知，隨著任務數的增多，LSCB 方法相較于LB 方法在均衡作用上的優勢更加明顯；而在任務數較多的場景下在拓撲中會由于某部分的替代路徑不足而無法進一步均衡LSC。

目前該方法配合的求解方法為約束規劃，并不能達到特別高的求解效率，下一步計劃將更高效的尋優方法與其匹配，以提高調度速度與質量。