关于IMA架构航电系统多级故障管理的设计与实现

0 引言

航空电子系统至今已经历了独立式、联合式、综合化和高度综合化的发展历程，从各分系统相互独立发展到采用集中控制、分布处理的层次型结构[1]。开放式的综合化模块化航空电子(Integrated Modular Avionics，IMA)系统架构是当今航空电子系统发展的主要趋势，旨在降低飞机生命周期费用(Life Cycle Cost，LCC)、整合航电系统应用、提高系统性能、解决航电系统应用各自升级的问题等[2-3]。综合化模块化航空电子系统在本质上是一种分布式计算系统[4]，采用开放式体系结构和标准化以及通用化的设计，提高了系统的兼容性、可移植性，并具有较高的可扩展性和可维护性，降低了系统的生命周期费用[5]，整合和支持不同关键安全级别的航电系统应用程序[6]。同时随着IMA航电系统结构下应用程序越来越复杂，综合化程度越来越高，也显现出故障密集、多类等特点。

本文针对IMA结构航空电子系统，讨论其多级故障管理机制，使用符合ARINC653标准的分区操作系统作为软件开发平台，通过故障检测措施、健康监控机制、故障滤波方式和故障处理手段，实现了航电系统模块级、集成区域级和飞机级的多级故障管理机制，制止了故障恶意蔓延，提高了整机的系统安全性。

1 IMA系统多级故障管理

故障管理技术是指避免飞行器的部件或系统的部分或全部失效的技术和方法[7]。如果故障管理策略不能发挥正常效果，那么失效就可能会威胁整个飞机系统，并引发灾难性事故[8-9]。

IMA航电系统采用面向域的层次划分方法，通用的系统管理分为飞机级、集成区域级和模块级3个管理层次。其中飞机级是最顶层的管理功能实体，负责整个系统的管理。集成区域级为中间层，负责一个集成区域的管理。模块级为最底层，负责一个模块的管理[10-11]，又可以细分为进程、分区和操作系统[12]。

IMA系统故障管理包括故障检测[13]、故障滤波[14]、健康监控[15-16]及故障处理[17]等，用来进行检测故障发生，确认故障发生，对故障类型、发生时间和部件进行分类，限制故障蔓延，以及采取故障处理措施，包含功能降级或系统重构等。

2 一种多级故障管理机制的设计

参照当代先进飞机综合航电系统的设计思路，本文以航空电子全双工交换式以太网(Avionics Full Duplex Switched Ethernet，AFDX)作为系统主干通信网络，建立了一个级联式双冗余的飞机航电系统架构模型，包括两台互为余度的中央处理平台IPC，每台IPC机柜内含若干现场可更换模块（LRM），包括电源模块、通用处理模块、大容量存储模块、数据处理模块及AFDX交换机模块等，以及通过AFDX网络连接的其他现场可更换分系统（LRU），包含航电设备和非航电设备。此结构对应的飞机级、集成区域级和模块级3个管理层次的管理者分别为飞行员、航电综合处理系统中央维护软件和模块级健康监控软件。

故障管理功能初始化时对预先设定的每一类故障信息定义故障属性，包含故障设备标识号、故障编码、故障发生时间、故障级别等，由航电系统统一编码，如表1所示。

2.1 模块级故障管理

在综合处理平台IPC系统中，各LRM均设计有自检测功能，通过自检测手段实施平台硬件资源功能测试，将故障隔离定位到模块，并可将检测到的模块内部故障报告给上级软件（集成区域级故障管理软件）。

系统设计者预计系统可能发生的所有故障信息，关键模块选取具有健壮分区机制和健康监控机制的机载嵌入式实时操作系统，利用健康监控机制针对模块内部可能发生的故障进行分析、分类、分级、编号定义，设计故障恢复策略。同时，为系统应用程序设计、提供一系列错误恢复处理程序，供系统集成者、应用程序选择，并提供用户扩展错误恢复动作的机制，以表驱动方式实现系统所有故障自动收集、过滤、派发，并按级调度处理策略。

模块级故障管理由系统健康监控任务、分区健康监控任务和进程健康监控任务组成，系统通过查“系统健康监控表”来确定派遣级别，分别派遣至模块、分区或者进程级。系统健康监控任务运行在核心操作系统中，并且作为核心操作系统中仅有的一个最高优先级的任务运行，可以抢占任何分区及系统任务的时间。分区健康监控任务作为分区操作系统中一个独立的任务运行，它的优先级高于所属分区其他所有任务优先级，但只能占用本分区时间。进程健康监控处理进程作为分区操作系统中一个特殊的进程运行，它的优先级高于分区内其他进程。模块内部故障管理主要处理过程包括：事件注入、查模块级的故障管理确定派遣级别、登记错误事件到相应的事件队列、启动相应的健康监控任务、由各级健康监控任务进行错误恢复动作等，如图1所示。

2.2 集成区域级故障管理

多级故障管理机制针对模块一级无法处理的故障，将其信息上报至航电系统中央维护软件，由集成区域级故障管理进行处理。

集成区域级故障管理系统(航电中央维护软件)驻留在IPC中的一个通用处理模块上，该模块借助AFDX网络交换机与其他模块和工作单元通过AFDX网络连接（可参考图2）。在综合处理平台中各模块（LRM）或工作单元（LRU）故障状态发生改变时，各模块的模块级故障管理系统记录故障发生或消失的时间，将收集和处理后的故障信息按照综合航空电子系统的故障编码定义（如表1所示），通过事先定义的AFDX虚链路向集成区域级故障管理系统报告，为系统重构决策提供辅助信息，提高系统故障监控及处理能力。

集成区域级的故障管理系统根据故障危害程度、行为、系统配置情况和工作状态等多种因素，对故障进行不同程度的主动式或周期式的滤波处理。在确认故障并且尝试恢复失败后，进行预先定义的系统重构。系统重构的方式有通过RS485总线控制智能电源模块（PSM）对故障的模块或工作单元进行复位或者下电操作，通过ARINC615A协议进行配置文件的重新分发等。通过对故障的屏蔽、定位和限制等处理，保证当系统出现故障、部分系统失效时，在剩余的时间内系统仍能正常工作。

2.3 飞机级故障管理

集成区域级的故障管理软件将处理故障后的结果和不能处理的故障通过AFDX网络向更高一级的飞机级故障管理平台上报，通过显示控制系统和告警提示系统使用视觉和听觉刺激的方式提醒飞行员获悉和处理故障信息。

航电系统的主要设备均由冗余备份的多套设备组成，例如飞行管理软件驻留在双IPC的通用处理模块上，以热备份方式工作，其中一个出现故障时，另一个接替运行。因此，综合处理平台提供系统级故障告警信息：飞管软件1故障（综合处理平台1中的运行飞管软件的通用处理模块发生不可逆故障）；飞管软件2故障（综合处理平台2中的运行飞管软件的通用处理模块发生不可逆故障）。由飞行员依据故障提示根据任务需要手动进行备份切换管理。

3 测试验证

为了保证IMA多级故障管理机制的测试验证充分性，需要充分考虑航电系统环境的复杂性和数据的实时性、有效性和健康监控覆盖的故障概率等问题[18]。

3.1 测试环境

多级故障管理机制具有故障检测、故障滤波、健康监控及故障处理等功能，需要开展故障模拟和故障注入等技术来激励这些功能模块运行。参考DO-178B/C[19-20]的要求，搭建航电系统地面测试环境，设计软件故障注入组件[21]，依据故障静态定义模型和系统健康监控表，使用代码插桩方法对IMA架构下多级故障管理应用软件开展动态故障注入，由此来验证多级故障管理功能的有效性。

测试设备的交联关系如图2所示，按照航电系统IMA架构实际连接关系，由两台相互备份的中央处理计算机（IPC）和显示控制单元及机载航电系统、分系统、传感器、控制器等组成，均采用真实设备。其中模块级别的故障管理分布在设备的各个模块中，集成区域级别的故障管理所在的模块为综合处理计算机中的通用处理模块，通过AFDX网络及交换机与其他设备、系统进行连接，飞机级故障管理决策由测试人员代替飞行员进行操作。

3.2 测试过程和结论

为了模拟模块内部故障管理的过程，模块级故障管理测试的过程包括代码插桩法模拟故障事件注入、检查故障滤波算法是否正常进行故障滤波、检查模块的健康监控表是否确定了错误类别、检查错误事件是否正常挂接到了相应级别的错误事件消息队列、检查健康监控任务是否正确进行故障内容上报、检查健康监控任务是否正确进行了错误恢复动作等。

集成区域级故障管理测试首先进行模块间通信功能和性能的测试，使用AIM AFDX板卡对IMA系统模块间通信性能进行测试，实时捕获各个虚链路的数据包数量、字节数和带宽等数据，如图3所示。测试表明，故障管理数据包以一定的带宽在虚链路中进行传输，各虚链路之间相互独立，互不干扰，且带宽稳定。

其次进行集成区域级故障管理功能的测试，通过故障注入模拟模块故障，模块级故障管理处理后上报集成区域级故障管理系统；判断集成区域级故障管理系统是否能够按照综合航空电子系统的故障编码定义解析接收到的故障信息进行故障滤波；最后判断集成区域级故障管理系统是否能够确认故障并且进行预先定义的系统重构。

经过按照DO-178B/C要求用真实航电设备搭建的IMA航电系统仿真测试平台进行的模块级、集成区域级和飞机级故障管理的实际测试，上述IMA架构下系统多级故障管理机制能够在模块级检测故障，并派遣处理和上报，在集成区域级过滤确认故障，并进行恢复和重构，在飞机级告警提示和备份切换，满足设计需求。

4 结论

针对综合化模块化航空电子（IMA）系统架构开放式体系结构和标准化以及通用化的设计使得系统综合化程度提高，进而显现出故障密集、多类、容易相互影响和蔓延的问题。本文以AFDX作为系统主干通信网络，建立了一个级联式双冗余的飞机航电系统架构模型；以满足ARINC653标准的分区操作系统为平台，实现了一种包含飞机级、集成区域级和模块级3个管理层次的飞机航电系统多级故障管理机制；按照DO-178B/C的要求用真实设备搭建测试平台进行了3个级别的测试验证，结果表明能够满足设计要求。

此IMA架构下系统多级故障管理机制解决了传统方式下故障不分级别、不可自动恢复等问题，实现了IMA航电系统综合处理平台故障自动收集、过滤、分级派发、接管等，制止了故障恶意蔓延，提高了整机系统安全性，已在某型飞机上得到了应用。