本发明属于航空电子技术领域,是一种针对综合模块化航空电子系统的综合健康评估方法。
背景技术:
综合模块化航空电子系统(简称:ima系统)已经作为重要的信息系统被广泛应用于新型干线客机和军用飞机中。自从波音777采用飞机信息管理系统(aims)后,空客380、波音787、空客350以及国产在研干线客机均采用了不同构型的ima系统。由于ima相对于联合式航空电子系统在减重、节能、缩短开发周期和方便维护具有显著优势,因此ima在机载信息综合处理方面的核心价值也日益凸显。然而由于电子/信息系统本身的特点,被广泛应用于以发动机、机体结构为对象的健康评估技术尚未应用于ima系统中。
技术实现要素:
本发明的发明目的在于提供一种面向ima系统的综合健康评估方法,用于对ima系统进行综合健康度量,通常作为ima系统phm功能中的健康评估子功能,目的是利用硬件模块基本可靠性数据、故障及其时刻、航电功能安全分级及其驻留、航电功能分区监控信息、系统构型及其管理策略对工作中的ima系统健康状态进行量化,向飞行员、地面监控人员和维护人员提供针对ima系统综合健康评估结果,同时还可以通过该类结果对ima设计和硬件模块的选取进行优化。
本发明的发明目的通过以下技术方案实现:
一种面向ima系统的综合健康评估方法,包含以下步骤:
步骤1、建立健康评估模型;
步骤2、将运行数据输入到健康评估模型得出ima系统的当前健康等级以及引发后续健康等级跳转的失效率;
其中,健康评估模型中包含四个健康等级,依次是“系统健康”、“功能完整”、“安全态”和“不安全”,各健康等级的跳转路径如下:
所有模块和交换机正常工作时,等级为系统健康;
在“系统健康”等级下,若有通用处理模块发生故障,通用处理模块上的所有功能由重构用模块替代,则等级变成“功能完整”;若再有其它通用处理模块发生故障,且重构用模块只能运行安全关键功能,则等级变成“安全态”;若有重构用模块出现故障,造成其替代的安全关键功能不能正常运行或所有交换机发生故障,则等级变成“不完全”;
在“系统健康”等级下,若有通用处理模块发生故障,通用处理模块上的所有功能能由重构用模块替代,则等级变成“功能完整”;若有重构用模块出现故障,造成其替代的安全关键功能不能正常运行或所有交换机发生故障,则等级变成“不完全”;
在“系统健康”等级下,若所有重构用模块发生故障,则等级变成“功能完整”;若再有通用处理模块或所有交换机发生故障,则等级变成“不完全”;
在“系统健康”等级下,若所有交换机发生故障,则等级变成“不完全”。
优选地,步骤1包含以下步骤:
步骤一、确定系统管理策略,包括:通用处理模块、重构用模块和afdx交换机的拓扑结构,当通用处理模块失效时的重构策略;
步骤二、统计通用处理模块上驻留的功能;
步骤三、将功能的等级划分为安全关键功能和非安全关键功能;
步骤四、将系统的健康等级划分为四级:系统健康—当所有通用处理模块、重构用模块和afdx交换机正常工作时,功能均能正常运行;功能完整—当有通用处理模块故障,系统将故障的通用处理模块的所有功能重构到重构用模块,从而使全部功能均能正常运行;安全态—当通用处理模块故障,系统无法将所有功能都重构到重构用模块上,但所有的安全关键功能均能运行;不安全—当安全关键功能中的任意功能无法运行,此时系统失效。
步骤五、根据步骤一至四的内容建立健康等级变化表;
步骤六、给出引起健康等级变化的失效率,从而建立健康评估模型。
优选地,失效率是根据所处的健康等级,以及通用处理模块、重构用模块和交换机的失效概率密度和可靠性得出。
通过这种评估方法,在ima系统运行过程中,可以有效的对系统健康进行动态评估,该评估反映了累积的飞行时间、可靠度变化、模块故障时刻及更换时间、系统配置(冗余切换、功能重构)、驻留能力对系统健康的影响。从而有助于用户在系统层对ima健康进行综合把握,并将相应的健康变化反馈到优化ima设计的工作中。
附图说明
图1为面向ima系统的综合健康评估方法的流程示意图;
图2为实施例中举例说明的ima系统;
图3为系统状态编码示意图;
图4为健康评估模型示意图;
图5为系统状态编码为0000状态下的健康度曲线;
图6为通用处理模块gpm1失效后的系统失效模型
图7为系统状态编辑为“0100”状态的失效模型
图8为通用处理模块gpm2失效后的系统失效模型
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。
如图1所示,本实施例的基本构思为:将ima系统分为硬件资源层、航电功能层和系统层三层,系统层健康评估是以硬件资源层健康评估和航电功能层健康评估结果为基础,对于航电系统的健康评估指标体系的建立主要从架构可靠性、资源服务可信度和功能运行能力等因素进行综合考虑,其中:架构可靠性指的是根据硬件资源—功能配置构成的系统架构模型的可靠性指标;资源服务可信度指在规定飞行剖面中任一随机时刻,能够完成服务功能的硬件资源(包括通用处理模块、重构用模块和网络交换机)健康状况(包括故障与否);功能运行能力则用来度量典型航电专用功能的运行能力(主要结合功能运行时的硬件资源占用、实时性、瞬态错误次数等)。评估功能驻留在航电通用数据处理模块中,并通过机载通信系统向地面监控发送数据,从而防止通用数据处理模块故障导致的健康评估中断。
根据以上收集的信息,结合航电功能安全分级,通过对相关状态转移模型的计算完成对系统层健康的评估,并根据功能驻留情况的变化对系统健康进行分级,共分为健康、功能完整、安全和不安全四个等级。
下面以图2所示的ima系统为例对整个面向ima系统的综合健康评估方法进行详细说明。
步骤1、建立健康评估模型。具体包含以下步骤:
步骤一、确定系统管理策略,策略内容包括:通用处理模块、重构用模块和afdx交换机的拓扑结构;当通用处理模块失效时的重构策略,如:是否含有重构用模块、重构用模块的备件属性(热备件、问备件或冷备件)。
以图2中的ima系统为例,模块级的重构流程(系统管理策略为):
1)通用处理模块1或2失效,该故障信息被重构用模块mrc感知;
2)通过afdx交换机,重构用模块mrc访问远程数据存储系统(信息系统),下载相应数据,运行失效模块的航电功能应用。
在针对模块级重构流程建模之前,几个假设需要确定:
1)afdx交换机的失效不管在何时发生,均会导致系统失效;
2)在切换/重构的过程中,重构模块mrc和飞机信息系统不会失效。
步骤二、统计通用处理模块上驻留的功能。以图2中的ima系统为例,选取某些典型的航电应用功能(通信功能1、通信功能2、导航、监视、系统管理、水/废水、客舱娱乐和窗热功能),从而获得图2ima系统中的模块—功能驻留关系,如表1,其中,“√”表示同行功能驻留在同列模块中。
表1
步骤三、将功能的等级划分为安全关键功能和非安全关键功能。由于每个模块上的驻留功能数目有限,因此一个模块不能驻留太多功能,如果系统不能将驻留在故障模块上的所有功能都重构到重构模块上时,应根据安全分级对功能进行降级,保留安全关键功能,舍弃非安全关键功能。
以图2的ima系统和表1的驻留关系为例,为了反映模块—功能驻留关系对重构策略的限制以及便于进行健康分级,可假设一个通用处理模块最多可以驻留功能分区为7个。驻留关系中还应反映功能的安全分级,以表1为例,通信功能1、通信功能2、导航功能和监视功能为安全关键功能,其他功能则不是。
步骤四、划分系统健康等级。系统健康—当所有模块和afdx交换机正常工作时,功能均能正常运行。功能完整—当有处理模块故障,系统将故障模块的所有功能重构到重构模块,从而使全部功能均能正常运行。安全态—当处理模块故障,系统无法将所有功能都重构到重构模块上,但所有的安全关键功能均能运行。不安全—当安全关键功能中的任意功能无法运行,此时系统失效。
步骤五、根据步骤一至四的内容建立健康等级变化表。
仍以图2为例,结合表1,可以得到图2中的ima系统状态变化表(如表2),其中,初始状态为各通用处理模块、重构用模块和afdx正常工作,通过系统状态编码(ssc)进行状态标识(如图3)。
表2
此时状态编码(ssc)为0000,即三个模块和交换机正常,等级为健康。当某模块或交换机故障,触发了系统状态转移,故以此为状态转移事件,转向中间状态,中间状态为功能完整或安全状态,直至系统失效(不安全)。
以表2为例,取路径“系统正常→gpm1故障→gpm2故障→mrc故障”说明该表的制定以及与其他步骤的关系:
1一开始系统正常,ssc为0000,这取决于系统的组成(模块和交换机的个数)以及当前系统组成的状态,此时等级为健康;
2运行一段时间后通用处理模块gpm1故障,此时系统将故障的通用处理模块gpm1上的功能重构至重构用模块mrc之上,这时的中间状态ssc为0001,通用处理模块gpm1上的所有功能都能在重构用模块mrc上正常运行,该状态的形成取决于系统管理策略和功能驻留数目上限,等级为功能完整;
3再运行一段时间后通用处理模块gpm2故障,中间状态ssc为0011,此时系统将故障的通用处理模块模块gpm2上的功能仍重构至重构用模块mrc上,但由于没有足够的分区驻留新功能(超出上限),因此,保留了安全关键功能,舍弃了非安全关键功能。该状态的实现取决于系统管理策略、功能安全分级和驻留功能上限。等级为安全态;
4再运行一段时间后重构用模块mrc故障,状态为系统失效0111,等级为不安全(系统失效),因为无法驻留安全关键功能,这取决于系统管理策略和功能安全分级。
路径不同,系统状态变化或健康恶化的程度也不同,如果afdx交换机或重构用模块mrc先故障,则系统立即失效,这取决于系统管理策略。
步骤七、根据系统状态变化表建立健康评估模型
依据状态转移表,生成基于markov模型的健康评估模型。
以表2中的初始状态、中间状态和最终状态为节点。初始状态和中间状态的节点编号用ssc进行标识。最终状态(系统失效)的节点编号用”h”标识,最终状态在markov模型中为吸收态。最终状态的ssc在节点旁列举。
表2中的状态转移事件为在markov模型中以节点中的有向连接“→”表示,连接“→”上的λgpmδt表示状态转移率,“λ”为失效率的表示,“λgpm”中的角标为故障的模块或交换机类型,“λgpm”即通用处理模块的失效率。
根据表2的健康评估模型可以描述如图4。
为了确定失效率,即发生等级转移的概率,收集民航飞机派遣数据中的可靠性信息。以故障间平均时间mtbf为依据,相应的失效率λ通过求倒数得到。以图2的ima系统为例,相应的可靠性如表3所示,通用处理模块和重构用模块的失效率为
表3
步骤2、将运行数据输入到健康评估模型得出ima系统的当前健康等级以及引发后续健康等级跳转的失效率。
建模过程在先验情况下完成,此时系统并未实际运行。当系统运行后,应以健康评估模型为评估框架,以模块状态为评估数据来源,对系统综合健康进行评估。
根据模块梳理系统失效路径。通过markov模型梳理系统从“健康”到“系统失效”的路径状态。以图4中的模型为例,系统失效路径如表4,表中,ft为失效时间,角标表示失效或故障模块名称。根据路径评估系统健康。
表4
步骤二、系统状态编码ssc为“0000”时,系统等级为健康时的评估。在通用处理模块、重构模块以及afdx交换机未发生故障时,系统健康等级为“健康”,所有功能都能正常运行。该类情况下的评估即通过模型显示系统运行时间对健康的影响。当markov模型的拓扑结构和模块失效率确定,求解图3模型的chapman-kolmogorov方程,可以得到失效分布即节点h的概率为
从而得到系统失效率。
相应的曲线图为图5所示:
步骤三、当t1时刻通用处理模块gpm1故障发生时,系统状态编辑ssc为“0001”状态,根据表2,等级为“功能完整”,此时系统失效模型图如图6。
对此类状态下时刻t的系统健康评估可通过计算系统失效率r实现:
其中f0001为系统失效概率密度,r0001为系统可靠度,rgpm(t1)、rmrc(t)和rafdx(t)分别表示通用处理模块在t1时的可靠度、重构模块在t时的可靠度以及afdx交换机在t的可靠度,fafdx(t)和fmrc(t)分别表示afdx交换机在t时的失效概率密度。
步骤三同样可以评估t1时刻通用处理模块2故障发生,系统状态为“0010”时的健康。
步骤四、当t1时刻重构用模块故障,系统状态ssc为“0100”,根据表2,mrc中的“系统管理功能”因为没有其他模块重构从而无法运行,功能已经不完整,此时系统健康等级为“安全态”。当t>t1时,通用处理模块1、通用处理模块2和afdx交换机任意一个故障都会导致系统失效(不安全),故系统失效模型如图:
此时,系统失效率为
步骤五、当t1时刻afdx交换机模块故障时,系统健康等级为“系统失效”,即不安全。
步骤六、当t1时刻通用处理模块1故障发生,t2时通用处理模块2故障发生,系统状态为ssc为“0011”状态,根据表2,健康等级为“安全”,此时系统失效模型如图7。
在这种情况下,根据表2和图4,afdx交换机和重构模块两者中的任意一个失效都会导致系统失效。因此通过计算系统失效率为:
其中f0011为系统失效概率密度,r0011为该状态下系统可靠度,λafdx和λmrc分别表示afdx交换机和重构模块在t时的失效概率密度。
上述步骤三至六之间无后先之分,根据t1时刻的故障类型选择其中一个。