一种具备动态重配置功能的IMA系统的制作方法

本发明属于航空电子技术领域，特别是涉及一种综合模块化航空电子系统中的重配置技术。

背景技术：

随着航空电子技术的发展，现代飞机逐步采用先进的综合模块化航空电子系统(Integrated ModularAvionics，简称IMA系统)，相对于传统的联合式航空电子系统，IMA系统具有很多优势，譬如节省成本、减少飞机自身重量、降低功耗、缩短开发周期、方便升级维护等。目前，许多军用、民用飞机都采用了IMA架构，如：空客公司的A380，波音公司的B777、B787，美国军方的F-22、F-35，以及已经下马的科曼奇直升机RAH-66等。

重配置技术作为IMA系统重新配置的一项关键技术，一直是国内外研究的热点。传统的重配置技术多采用热备份或调度表切换的方式来实现，热备份是通过配置一个或多个冗余的IMA应用来实现当故障发生后的功能切换，调度表是通过预先设计好多个应用的调度策略表来实现功能切换，这些方式都是通过预先加载IMA应用的方式来实现，某种意义上只能称为静态重配置，不够灵活，资源利用率也不高。

技术实现要素：

本发明的目的是提供一种具备动态重配置功能的IMA系统，可以通过系统决策实现当IMA系统(一个分区或多个分区，或整个IMA模块)发生不可恢复型故障后，从远程数据存储器动态加载应用镜像文件到新的健康的IMA模块(称为重配置模块)，并且应用跳转到失效前状态继续运行。对于某个IMA模块上的某个分区发生故障引起的重配置活动，我们称为分区级重配置；由整个IMA模块发生故障引起的重配置活动，我们称为模块级重配置；当系统资源不足而为了保证关键功能完整性的重配置活动，我们称为降级重配置。

本发明通过以下技术方案实现：

一种具备动态重配置功能的IMA系统，包含若干个IMA模块，一个数据交换机、一个远程数据存储器和一个重配置模块，每个IMA模块上宿主一个应用健康管理组件，重配置模块上宿主一个应用健康管理组件和一个系统重配置管理组件；

IMA模块上的应用健康管理组件用于实时接收本IMA模块上各应用上报的心跳信息以及运行状态信息，并将运行状态信息发送给系统重配置管理组件；当IMA模块上的应用健康管理组件接收不到某个应用上报的心跳信息，则认为该应用失效并向系统重配置管理组件发送应用失效报告；

所述系统重配置管理组件用于实时接收各应用健康管理组件发送的各应用的运行状态信息，当接收到某IMA模块上的应用健康管理组件发送的应用失效报告时，则根据该失效的应用向重配置模块上的应用健康管理组件发送加载失效应用指令和失效的应用的运行状态信息；

所述重配置模块上的应用健康管理组件在接收到加载失效应用指令时，则通过数据交换机从远程数据存储器中将失效的应用的镜像文件加载到重配置模块的分区中，并转发失效的应用的运行状态信息给重配置的应用供重配置的应用恢复到失效之前的运行状态；

所述远程数据存储器用于存储各应用的镜像文件。

进一步，IMA模块上的应用健康管理组件还用于向系统重配置管理组件发送心跳信息；所述系统重配置管理组件还用于实时接收各IMA模块上的应用健康管理组件发送的心跳信息，若接收不到某IMA模块上的应用健康管理组件发送的心跳信息，则认为该IMA模块失效，向重配置模块上的应用健康管理组件发送加载该IMA模块所有失效应用指令和失效的应用的运行状态信息。

进一步，所述系统重配置管理组件在接收到应用失效报告或者认为IMA模块失效时，先对重配置模块上的分区资源进行判断，若分区不够分配给所有失效的应用时，则对失效的应用进行优先级排序，将分区分配给优先级高的应用。

本发明的有益效果在于：

通过这种重配置方法，在IMA系统发生故障后，系统可以有选择地从远程数据存储器中动态地加载应用，在资源不够用的情况下，降级处理，让多个应用分时复用同一个分区，这些都使得系统设计可以更加的灵活，节省资源；此外，该方法对已经存在的IMA系统只需要做一些简单的变更就可以部署，具备良好的扩展性以及通用性。

附图说明

图1是IMA系统动态重配置功能架构框图；

图2是IMA系统动态重配置一种典型的物理架构框图；

图3是IMA系统分区级重配置活动流程；

图4是IMA系统模块级重配置活动流程；

图5是IMA系统降级重配置活动流程。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。

本发明的基本构思是：为IMA系统部署一个远程数据存储器，用以存储IMA系统所有普通功能的应用的镜像文件，部署一个重配置模块用以迁移失效的普通功能的应用，在IMA系统的各个IMA模块上分别部署一个本地模块的应用健康管理组件(AHM，Application Health Management)，在重配置模块上部署一个系统重配置管理组件(SRM，System Reconfiguration Management)和应用健康管理组件AHM。

对于分区级重配置活动，IMA模块上的AHM实时监测本IMA模块上其他普通功能的应用的健康状况，即心跳信息，并接收来自应用的运行状态信息，并将这些运行状态信息转发给SRM，若某个分区的应用在某一时刻发生了不可恢复性故障，IMA模块上的AHM告知SRM。SRM实时接收各应用健康管理组件发送的各应用的运行状态信息，当接收到IMA模块上的AHM发送的应用失效报告时，由SRM对重配置模块可用资源做一个评估，向重配置模块上的AHM发送加载失效应用指令和失效的应用的运行状态信息。重配置模块上的AHM除具备IMA模块上的AHM的功能外，在接收到加载失效应用指令时，从远程数据存储器中将应用的镜像文件动态加载到该健康模块上，并根据失效的应用的运行状态信息来恢复失效的应用。

对于模块级重配置活动，IMA模块上的AHM需要实时向SRM发送心跳信息，由于整个模块都发生了故障，SRM在一段时间内将接收不到IMA模块上的AHM心跳信息，从而判断该模块失效，对该模块上的所有分区的普通功能的应用进行重配置，向重配置模块上的AHM发送加载该IMA模块所有失效应用指令和失效的IMA模块上的各应用的运行状态信息。重配置模块上的AHM在接收到加载该IMA模块所有失效应用指令时，则通过数据交换机从远程数据存储器中将失效的IMA模块中各应用的镜像文件加载到重配置模块的分区中，并转发失效的IMA模块中各应用的运行状态信息给重配置的应用供重配置的应用恢复到失效之前的运行状态。

对于降级重配置活动，由于重配置模块上的可用资源是有限的，SRM会为失效的应用进行优先级排序，以保证最关键的功能应用可以被重配置。

在图1所示的IMA系统动态重配置功能架构框图中，使用的是集中式管理方式，即一个系统重配置管理(SRM)组件管理多个应用健康管理组件，每个应用健康管理组件管理多个普通功能应用。

图2是根据图1所设计的一种具体的典型的物理环境架构，该IMA系统由三个IMA模块，一个数据交换机(遵循AFDX或者TTE协议)，一个远程数据存储器组成。IMA模块M1宿主普通功能应用1和2以及宿主应用健康管理组件AHM1，IMA模块M2宿主普通功能应用3和4以及宿主应用健康管理组件AHM2，IMA重配置模块MRC预先配置了3个空分区，宿主了一个应用健康管理组件AHM3以及系统重配置管理组件SRM。远程数据存储器用于存储所有普通功能应用的镜像文件。

在图3所示的IMA系统分区级重配置活动流程中，即任一IMA模块上的任一分区应用发生故障的情景，这里以IMA模块M1应用2发生故障情况为例，具体描述了分区级重配置的实现过程。

第一步在IMA系统正常运行时，应用2周期性发送心跳信息给AHM1，AHM1接收该心跳信息；

第二步应用2在应用运行状态发生变化时发送运行状态信息给AHM1；

第三步AHM1将该运行状态信息转发给SRM，SRM接收该运行状态信息；

第四步在某一时刻M1应用2发生不可恢复性故障；

第五步AHM1在一定时间内接收不到应用2的心跳信息，从而查询到应用2所在分区的工作模式为中止(IDLE)，判断应用2失效；

第六步AHM1通知SRM刚在应用2发生了失效事件；

第七步SRM启动分区级重配置决策，向AHM3发送加载失效应用指令通知AHM3从远程数据存储器中加载应用2的原始镜像到MRC中的一个空分区当中运行，并发送应用2失效前运行状态信息给AHM3；

第八步AHM3执行动态加载活动，并转发应用运行前状态信息给应用2；

第九步应用2获得状态信息后，跳转到失效前状态继续运行。

在图4所示的IMA系统模块级重配置活动流程中，即任一模块发生故障的情景，这里以IMA模块M2发生故障为例，具体描述了模块级重配置的实现过程。

第一步在IMA系统正常运行时，AHM2周期性发送心跳信息给SRM，SRM接收该心跳信息；

第二步在某一时刻M2发生不可恢复性模块级故障；

第三步SRM在一定时间内未接收到AHM2心跳信息，判断模块M2失效；

第四步SRM向AHM3发送加载该IMA模块所有失效应用指令通知AHM3加载M2上所有应用(应用3和4)，并发送模块M2上所有应用的失效前运行状态信息给AHM3；

第五步AHM3从远程数据存储器中加载M2宿主应用3和4的原始镜像到MRC的空分区当中，并转发应用失效前状态信息；

第六步应用3和应用4获得状态信息后，跳转到失效前状态继续运行。

在图5所示的IMA系统降级重配置活动流程中，即在分区资源不够用的情况下，优先级较高的应用替换优先级较低的应用的一种行为，这里假设图2中所示应用2的优先级高于应用1，并且应用1、应用3、应用4都已失效并发生重配置行为后，具体描述了应用2发生故障后的降级重配置实现过程。

第一步在某一时刻M2应用1发生不可恢复性故障；

第二步SRM对模块MRC上的可用资源作评估，判断应用1优先级较高；

第三步SRM通知AHM3进行降级重配置，计划将应用1替换应用2；

第四步AHM3从远程数据存储库中动态加载应用1，并转发应用失效前状态信息；

第五步应用1获得状态信息后，跳转到失效前状态继续运行。