91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

王鵬  劉銳  劉萬和  閻芳

（1．中國民航大學天津市民用航空器適航與維修重點實驗室，天津300300；

2．中國民航大學安全科學與工程學院，天津300300）

摘要：綜合模塊化航空電子(IMA)系統(tǒng)采用資源共享的系統(tǒng)架構，在提供更加復雜強大的航電功能的同時也帶來了更復雜的故障增殖模式，針對此問題提出了基于AADL和GSPN的可靠性評估方法。首先采用AADL語言對系統(tǒng)的架構及故障信息進行描述，建立其AADL可靠性模型，為了進一步分析其故障動態(tài)行為，研究了AADL可靠性模型向CSPN模型轉化規(guī)則，通過對GSPN模型的分析來評估IMA系統(tǒng)可靠性。最后以IMA系統(tǒng)顯示功能為例進行了可靠性評估，驗證了該方法的有效性，并且通過實驗對比的方式給出了顯示功能架構的選擇建議。

關鍵詞：綜合模塊化航空電子；體系結構分析及設計語言；廣義隨機Petri網；可靠性

0  引言

 IMA系統(tǒng)是當前航空電子系統(tǒng)體系結構發(fā)展的最高階段，解決了由于功能需求增加而導致的系統(tǒng)尺寸、重量、能耗以及通信復雜度增加等問題，克服了聯(lián)合式體系結構的固有缺陷。同時IMA系統(tǒng)架構簡化了航電軟件與硬件的開發(fā)和驗證，增強了系統(tǒng)的處理能力與可靠性，因而被廣泛應用于A380．B787，C919，F(xiàn)一35等新一代民用與軍用飛機的系統(tǒng)設計中心。然而，IMA系統(tǒng)各單元之間由于相互聯(lián)網通信、資源高度共享、數(shù)據(jù)高度融合，造成IMA系統(tǒng)故障傳播機制漸趨復雜，對其安全性、可靠性評估帶來了挑戰(zhàn)。因而研究一種與之相適應的可靠性評估方法，具有一定的研究意義和工程實用價值。可靠性評估方法一直是航空、航天領域的研究熱點，國內外學者在可靠性研究領域取得了豐碩的研究成果。文獻[3]針對航天電子設備提出了基于Bayes的可靠性評估方法；文獻[4]針對飛船降落傘系統(tǒng)提出了基于事件樹的系統(tǒng)可靠性評估方法；文獻[5]針對飛機姿態(tài)確定與控制系統(tǒng)提出了通過RAMSAS的方法來評估其可靠性，但是上述研究成果幾乎沒有適用于IMA系統(tǒng)體系結構的可靠性評估方法。針對IMA系統(tǒng)，本文提出一種基于AADL和GSPN的可靠性評估方法。

1  評估方法研究

基于AADL和GSPN的IMA系統(tǒng)可靠性評估過程中，首先評估人員應該根據(jù)IMA系統(tǒng)功能模塊確定其體系結構，同時分析每一個功能模塊的故障信息，建立IMA系統(tǒng)的AADL可靠性模型，然后根據(jù)轉化規(guī)則將AADL可靠性模型轉化為GSPN模型，通過對GSPN模型的分析，來評估IMA系統(tǒng)的可靠性，具體實現(xiàn)路徑見圖1。

1.1  系統(tǒng)建模

1.1.1AADL架構模型

 AADL架構模型以構件為基本單位，從軟件、硬件兩個方面綜合描述一個系統(tǒng)。在AADL中，構件可以劃分為3類：軟件構件（數(shù)據(jù)、子程序、線程、線程組、進程）、平臺構件（處理器、存儲器、外設、總線）、系統(tǒng)構件。軟件構件通過其屬性綁定到平臺構件，而為了體現(xiàn)整個系統(tǒng)的層次關系，系統(tǒng)構件應運而生。

 每一個AADL構件又包含兩個層級的描述：構件類型、構件實現(xiàn)。在構件類型中定義了構件的屬性、端口、子程序、參數(shù)值等，構件類型是對構件的外部描述，典型的構件類型描述如輸入、輸出端口描述。構件實現(xiàn)中定義了構件的子構件、子程序調用、運行模式等，構件實現(xiàn)是對構件的內部描述。

1.1.2 AADL錯誤模型

 AADL錯誤模型是對AADL架構模型中構件故障信息的描述。AADL錯誤模型主要包括錯誤狀態(tài)、錯誤事件、錯誤變遷及相關的可靠性參數(shù)，與AADL架構模型類似，錯誤模型描述也分為錯誤模型類型，錯誤模型實現(xiàn)兩個層級。典型簡單錯誤模型如下所示。

error model Ceneral

 features

 error_free:initial error state;

 failed：error state；

 repair, fail: error event;

end General;

error model implementation General. Error

 transitions

 error_free-[ fail]一>failed;

 failed-[ repair].> error_free;

 properties

 occurrence=>poisson 2. Oe-3 applies to fail;

 orc,urrence=>poisson l.O applies to repair;

end General. Error;

1.1.3AADL可靠性模型

AADL可靠性模型是對系統(tǒng)的構件組成、連接關系及構件故障行為等的綜合描述，為了獲得系統(tǒng)的AADL可靠性模型，需要在AADL架構模型的基礎上實現(xiàn)構件與相應錯誤模型的綁定，通過綁定得到AADL可靠性模型。AADL可靠性模型見圖2。

1.2轉化規(guī)則

 由于AADL可靠性模型只是一個“靜態(tài)模型”，不能對系統(tǒng)的架構進行可靠性評估，所以需要將AADL可靠性模型進行必要的轉化。鑒于GSPN良好的動態(tài)特性及對時間因素的支持，在可靠性分析方面顯現(xiàn)出了巨大的優(yōu)勢，因此考慮將AADL可靠性模型轉化為GSPN模型。AADL可靠性模型向GSPN模型轉化時的規(guī)則有孤立構件轉化規(guī)則、Out-In轉化規(guī)則和熱備份轉化規(guī)則。

1.2.1  孤立構件轉化規(guī)則

孤立構件轉化規(guī)則是研究孤立構件AADL錯誤模型中錯誤狀態(tài)、錯誤事件等故障信息向GSPN模型中元素轉化的規(guī)則，如表1所示。

對于一個或多個相互孤立的構件而言，因為一個錯誤模型相當于一個隨機狀態(tài)機，其AADL錯誤模型向CSPN模型轉化是十分容易的，只需要使用孤立構件轉化規(guī)則即可。上文所述簡單錯誤模型轉化為GSPN模型見圖3。

1.2.2 0ut-In轉化規(guī)則

 由于構件間連接存在結構依賴關系，當一個構件發(fā)生故障后，故障會沿著數(shù)據(jù)流的方向，以一定的概率傳出，進而對直接相連的構件產生影響，這種情況下的轉化規(guī)則稱為Out-In轉化規(guī)則。

 1)符號定義。

符號定義如表2所示。

 2) Out-In轉化規(guī)則形式化描述。

 EMA_GSPN( Out)=Out_S U Out_TU

 Out_AmuOut_AST (1)

式中：位置集合Out_S={Outprop}；變遷集合Out_T={ Out_error}；弧線集合Out_ATS=Out_T×Oui_S；禁止弧集合Ou,t_AST= Out_S×Out_T。

 EMA_CSPN(Out - Self=OS_SU

 OS_AsrU OS_A rs (2)

式中：位置集合OS-S={Out_src，Out_dst}；弧線集合OS_Asr={Out_src}×Out_T;弧線集合OS_A鴨=Out_T×{ Out,_dst}。

 EMA_GSPN( Out -In、=OI_TU

 OI_AsrU OI_A，|，s 031

式中：變遷集合OI_T={In,prop}；弧線集合OI_AST= Out_S×OI_T;弧線集合OI_A"=OI_T×Out_S。

 EMA_GSPNOIn- Sef=/s_sU

 /S_A。，，UIS_ATS(4)

式中：位置集合/S-S={In_src，In_dst}；弧線集合IS_A，，={ In_src}×OI_T;弧線集合/S_A"=OI_T×{In_dst}。

 EMA_GSPN( Empty)= E_TU

 E_A；，、uE_A。， (5)

式中：變遷集合E_T={Empty}；禁止弧集合Ej；，={m—src，Outsrc×E_T;弧線集合E_Asr= Out_S×E_T。

Out-In轉化規(guī)則對應的GSPN模型見圖4。

1.2.3  熱備份轉化規(guī)則

 在AADL中，Guard_Transition屬性將構件的邏輯錯誤狀態(tài)與系統(tǒng)的模式轉換聯(lián)系起來了，本文對熱備份情況下的雙模式系統(tǒng)進行轉化規(guī)則研究。

圖5中，Error_ free_P，F(xiàn)ailed_P位置分別表示主構件處于正常、故障狀態(tài)；Error_free_B，F(xiàn)ailed_B位置分別表示備份構件處于正常、故障狀態(tài)；Primary，Backup位置分別表示系統(tǒng)工作于初始模式、備份模式；To_modeP表示使得系統(tǒng)切換到初始模式的變遷，To_modeB表示使得系統(tǒng)切換到備份模式的變遷。

 對熱備份轉化規(guī)則簡要說明：

  1)系統(tǒng)剛運行時，工作于初始模式，主構件、備份構件均正常；

  2)當主構件故障且備份構件正常時，系統(tǒng)通過To_ModeB瞬時變遷切換到備份模式；

  3)當主構件恢復正常且備份構件故障時，系統(tǒng)通過To_ModeP瞬時變遷又切換到初始模式。

1.3  GSPN模型分析

 將AADL可靠性模型通過上述規(guī)則轉化為GSPN模型后，需要對GSPN模型進行分析，以評估系統(tǒng)可靠性。目前GSPN的分析工具較多，如Pipe2，TimeNet等。

2實例驗證

 為了驗證評估方法的有效性，本章以IMA系統(tǒng)的顯示功能為例進行分析。

2.1  顯示功能模型建立

IMA系統(tǒng)的顯示功能用于實現(xiàn)飛機飛行姿態(tài)、航向、高度等參數(shù)信息的顯示。為了實現(xiàn)顯示功能，首先傳感器將采集到的數(shù)據(jù)傳送給相應的數(shù)據(jù)處理( DP)單元，數(shù)據(jù)經過處理后傳給圖像處理(IP)單元，圖像處理單元將相關的數(shù)據(jù)處理后生成要求的圖形顯示在顯示屏，供飛行員參考，本文稱顯示屏為綜合顯示(ID)，其體系結構見圖6。

根據(jù)上文的描述，建立IMA系統(tǒng)顯示功能AADL可靠性模型，見圖7。

 在圖7中，數(shù)據(jù)處理單元包含兩個構件：DP_1，DP_2，且它們互為運行備份。圖像處理單元包含兩個構件：主IP，備份IP，它們互為熱備份，可以根據(jù)運行狀態(tài)進行模式轉化。綜合顯示單元包含一個外設構件。

根據(jù)IMA系統(tǒng)AADL可靠性模型向GSPN模型轉化規(guī)則，將顯示功能AADL可靠性模型轉化為GSPN模型，見圖8。

 圖8中，初始時數(shù)據(jù)處理單元的構件DP_1，DP_2均正常；圖像處理單元工作在初始模式下，同時主IP和備份IP構件均正常；綜合顯示單元正常。

 經過一段時間的運行后，各單元均有可能發(fā)生故障，如果數(shù)據(jù)處理單元發(fā)生故障，那么故障將以一定的概率傳出，同時被圖像處理單元引入，造成圖像處理單元故障，當主IP和備份IP均發(fā)生故障后，故障將會以一定的概率傳出，同時被綜合顯示單元引入，造成綜合顯示單元故障，一旦綜合顯示單元發(fā)生故障，則認為顯示功能喪失。

 由于各單元都具有自恢復能力，經過一段時間后，如果綜合顯示單元恢復正常，則認為顯示功能得到了恢復。

 本文通過對JMA系統(tǒng)顯示功能GSPN模型的分析，獲得其達到穩(wěn)態(tài)時各單元托肯的分布情況及對應的概率，從而評估顯示功能的可靠性。

2.2可靠性分析

將IMA系統(tǒng)顯示功能GSPN模型在Pipe2建立后，設置好相關變遷、位置的參數(shù)，調用GSPN Analysis分析模塊，即可得到分析結果。由于結果中可能的穩(wěn)定狀態(tài)有16個，并且每個穩(wěn)定狀態(tài)下有17個位置的托肯分布情況，所以本文只展示出顯示功能正常下的3個單元托肯分布情況，見表3。

 表3中，第一行表示在顯示功能正常時有4種可能的穩(wěn)定狀態(tài)。在MO列下，DP_EF_1，DP_EF_2數(shù)值為1，表示數(shù)據(jù)處理單元的構件DP_1，DP_2均正常；IP_EF_P，IP_EF_B數(shù)值為1，表示主IP和備份IP均正常，由于IP_P數(shù)值為1，IP_B數(shù)值為0，故圖像處理單元工作在初始模式下；ID_EF數(shù)值為l表示綜合顯示單元正常。通過以上分析可知，IMA系統(tǒng)顯示功能在MO穩(wěn)定狀態(tài)下各單元均正常，并且圖像處理單元工作在初始模式下，此穩(wěn)定狀態(tài)概率為0. 491 1。其余列分析不再贅述。通過將表3中每一列對應的穩(wěn)態(tài)概率相加即可得到IMA系統(tǒng)顯示功能的可靠性，相加結果為0. 988 08。

 綜上可知，IMA系統(tǒng)顯示功能在數(shù)據(jù)處理單元不含故障限制域、圖像處理單元熱備份的情況下(記為A)系統(tǒng)可靠性為0.988 08。

3實驗對比

 在系統(tǒng)運行過程中，常常會出現(xiàn)以下情況：個別子系統(tǒng)或構件由于各種原因出現(xiàn)故障時，不僅會對自身造成影響，而且故障會沿著數(shù)據(jù)流方向進行傳播，造成與之相關聯(lián)的子系統(tǒng)或構件也發(fā)生故障。這樣，單個子系統(tǒng)或構件的故障往往會波及到與其相關的若干子系統(tǒng)或構件，進而對整個系統(tǒng)構成巨大影響，所以在IMA系統(tǒng)的設計中提出了故障限制域的概念。故障限制域的實質是指將故障限定在特定區(qū)域內，而不向該區(qū)域以外的區(qū)域傳播。故障限制域分為完全故障限制域和條件性故障限制域：完全故障限制域即是將子系統(tǒng)或構件的所有故障均限制在一定區(qū)域內而不向區(qū)域以外區(qū)域傳播；條件性故障限制域是將子系統(tǒng)或構件部分故障限制在一定區(qū)域內而不向區(qū)域以外區(qū)域傳播。

 為了進一步提高IMA系統(tǒng)顯示功能的可靠性，同時研究數(shù)據(jù)處理單元、圖像處理單元不同配置下對IMA系統(tǒng)顯示功能的可靠性產生的影響，本文又研究了3種不同情況下的IMA系統(tǒng)顯示功能的可靠性：

 1) IMA系統(tǒng)顯示功能的數(shù)據(jù)處理單元采用條件性故障限制域（即DP_2的故障不會向圖像處理單元傳播）、圖像處理單元采用熱備份，綜合顯示單元保持不變，記為B；

 2) IMA系統(tǒng)顯示功能的數(shù)據(jù)處理單元采用條件性故障限制域、圖像處理單元沒有備份，綜合顯示單元保持不變，記為C；

 3) IMA系統(tǒng)顯示功能的數(shù)據(jù)處理單元不含故障限制域、圖像處理單元沒有備份，綜合顯示單元保持不變，記為D。

通過對上述3種情況下的IMA系統(tǒng)顯示功能GSPN模型進行分析可得3種情況下的IMA系統(tǒng)顯示功能可靠性，分析結果見表4。

 根據(jù)上述分析結果，可以得出以下結論。

 1)在數(shù)據(jù)處理單元采用同樣的配置策略條件下，圖像處理單元熱備份下IMA系統(tǒng)顯示功能可靠性比未備份下的可靠性顯著提高。這是因為在熱備份下，一個構件發(fā)生故障后，系統(tǒng)可以通過模式切換讓備份的構件來接替主構件的工作，因而可以使得系統(tǒng)的可靠性得到顯著提高。

 2)在圖像處理單元采用同樣的配置策略條件下，數(shù)據(jù)處理單元條件性故障限制域下的IMA系統(tǒng)顯示功能可靠性比數(shù)據(jù)處理單元不含故障限制域下的系統(tǒng)顯示功能可靠性得到了提高。這是因為在條件性故障限制域下，構件發(fā)生故障后，由于故障限制域的存在，使得故障并不會沿著數(shù)據(jù)流的方向傳播，所以不會對后續(xù)的構件產生任何的影響。

 綜上分析可以得出：對于IMA系統(tǒng)顯示功能，在考慮經濟性與可靠性的條件下，數(shù)據(jù)處理單元采用條件性故障限制域、圖像處理單元采用熱備份的方式可以明顯地提高可靠性。

4結論

 本文針對IMA系統(tǒng)各單元之間由于相互聯(lián)網通信、資源高度共享等造成的IMA系統(tǒng)錯誤傳播機制漸趨復雜的特性提出了基于AADL和GSPN的可靠性評估方法。該評估方法在嵌入式系統(tǒng)設計初期對系統(tǒng)可靠性評估具有較好的參考價值，方便設計人員根據(jù)系統(tǒng)可靠性要求及時調整系統(tǒng)架構。由于大型嵌入式系統(tǒng)組成單元眾多，并且單元之間連接關系也比較復雜，再手動將AADL可靠性模型轉化為GSPN模型則會十分耗時費力，接下來考慮開發(fā)轉化接口軟件用于自動將AADL可靠性模型轉化為GSPN模型。