面向任务的民机DIMA动态重构策略

王 鹏, 刘嘉琛, 董 磊,*, 赵长啸

(1. 中国民航大学民航航空器适航审定技术重点实验室, 天津 300300; 2. 天津市民用航空器适航与维修重点实验室, 天津 300300; 3. 中国民航大学安全科学与工程学院, 天津 300300)

0 引 言

随着微电子技术、信息技术和高性能计算技术的迅猛进步,新型航空电子系统的研发也得到不断改进,目前正朝着分布式综合模块化航空电子(distributed integrated modu-lar avionics, DIMA)方向发展[1],将联合式和综合模块化航空电子的系统理念优势进行结合,提供了一种综合的、标准化的软硬件资源平台。DIMA利用分布式架构将各计算模块分散在整个飞行器中,通过高容错的实时通信网络将所有模块相连,有效地降低了系统和布线的复杂度[2]。体现出了集成模块化和分布式两大特点:

(1) 由于系统集成化、模块化设计,提高了硬件资源的共享程度,减少了所需硬件数量;

(2) 硬件资源的分布式分配允许子系统与物理层隔离,更易于系统的升级和重构[3]。

同时,这也对系统可用性、可扩展性、容错能力、全寿命周期成本等方面提出了越来越高的要求[4]。正是在这种情况下,DIMA动态重构技术采用资源再分配、软硬件冗余备份和应用功能部署三大手段,使其成为新一代综合航电系统中必不可少的关键技术,有效提高了飞行器的安全性和可靠性[5]。

近年来,国内外研究人员在DIMA动态重构领域做了诸多研究。文献[6]使用AADL语言建立了动态重构可靠性模型,将其转化为Petri网后进行可靠性分析。文献[7]构建了面向DIMA系统的联合k/n(G) 可靠性模型,通过改变功能模块的不同配置，研究其对系统可靠度的影响。文献[8]给出了基于故障预测与健康管理的DIMA动态重构模型及重构策略,展望了故障预测与健康管理技术在航空电子领域的发展前景。文献[9]给出了航电系统的效能模型,对比了动态重构航电系统与静态配置航电系统在不同作战区边界的效能。

可以看出,以上研究集中在动态重构可靠性建模、重构策略方法等领域,没有针对动态重构行为开展深入的数值分析,难以科学地判断动态重构策略的优越性和有效性。鉴于此,本文从DIMA动态重构环境及机制展开分析,在考虑民机任务模式切换的基础上,形成面向任务的DIMA动态重构策略,提出基于“任务-功能-资源”的动态重构有效性评价体系;引入主客观组合优化赋权模型，针对不同任务模式下的功能优先级进行计算和评价;最后通过关系矩阵和对比分析证明了面向任务的动态重构策略的有效性。

1 DIMA动态重构策略分析

1.1 DIMA动态重构环境构建

根据ARINC653和ASAAC[10-11]标准,DIMA体系架构可以分为3层:最上层是与航电驻留应用有关的应用软件层,定义了功能应用和应用管理,用于执行各项飞机任务和功能。为了保护航电系统的安全关键性能,利用时空分区技术将不同的功能应用限制在其活动范围内[12],实现了应用、分区、操作系统与硬件资源的分离,以保证故障不可蔓延[13]。中间层为实时操作系统层,主要负管理机载资源并为上层应用软件提供执行平台,与飞机任务和底层硬件无关,其主要部件有通用管理系统(generic system management, GSM)和操作系统核心,GSM负责整个航电系统的故障过滤、系统重构、任务模态管理等,是DIMA核心功能性组件之一。在执行重构时,GSM所需的配置信息由实时蓝印系统提供[14]。最下层的模块支持层定义了硬件资源,提供了访问上层资源的接口,将操作系统和硬件平台分开以达到操作系统与硬件的相对独立性,为高安全系统提供了可控制的、可管理的和可验证的层次化安全架构。本文构建的DIMA动态重构环境如图1所示,包括5个独立的通用计算模块和一台交换机,基于TTE(time triggered ethernet)组网技术实现DIMA网络互连,用精确的定时传输协议确保分布式资源的整体时钟同步[15]。

图1 DIMA动态重构环境Fig.1 Dynamic reconfiguration environment of DIMA

系统分为4种类型的模块:主控模块(M1),普通模块(M2和M3),主控备份模块(M4)和备份模块(M5),采用N+1的备份方式进行重构。为了简化分析,本文对DIMA动态重构行为给出如下假设。

假设 1主控模块与普通模块都能驻留两个功能应用,高优先级应用驻留在主控模块,低优先级应用驻留在普通模块。

假设 2由于TTE的时间触发特性,动态重构过程中功能应用的配置时间是足够小的,不会导致各航电功能中断。

假设 3模块有工作、备份和故障3种状态,模块故障相互独立且不可修复。

假设 4模块在备份状态和工作状态切换时不发生故障,且均为热备份。

假设 5控制动态重构行为的GSM系统是失效免疫的,即可靠度为1。

1.2 DIMA动态重构机制分析

分析民机DIMA的动态重构需求后,将飞行过程中动态重构的触发条件概括为以下两类。

(1) 任务切换:由机组人员对当前任务模式主动切换触发重构,主控模块上加载的功能应用也随之发生改变。

(2) 资源失效:当航电系统内的模块发生故障,由GSM中的故障管理功能对故障进行分析,判断重要级别并触发重构。

如图2所示,当DIMA因任务切换或资源失效触发重构条件时,本文提出的3种DIMA动态重构机制,控制GSM在系统资源可行域空间中确定符合约束的配置方案并执行重构,具体描述如下。

图2 DIMA动态重构机制Fig.2 Dynamic reconfiguration mechanism of DIMA

预定配置机制:面向由任务切换导致的重构行为,此时功能的优先级会随着任务模式的切换而相应地改变,模块中也将加载与之前不同的功能应用。该机制能使航电系统以最佳状态完成任务的执行,是后续资源备份和资源抢占机制的基础。

资源备份机制:面向由资源失效导致的重构行为前中期,该机制依赖于DIMA动态重构环境中的备份模块支撑。若模块发生故障,备份模块的工作模式由备份转为工作状态。需要注意的是,当主控备份模块发生故障时,也可以选择普通备份模块替代主控模块进行工作。

资源抢占机制:主要面向由资源失效导致的重构行为后期,此时,动态重构环境中再无备份模块可用,当前任务模式下高优先级功能会抢占低优先级功能的可用资源,以保证影响飞行安全的功能正常运行。

面向任务的DIMA动态重构策略遵循上述动态重构机制,并将功能优先级与任务模式相匹配,能够覆盖动态重构环境中的所有资源状态,实现航电功能对现阶段任务支撑的最大化和对飞行安全的保证。

2 动态重构有效性评估体系

在评估动态重构策略的优劣之前,有必要先对动态重构有效性的概念作一界定。有效性通常是指完成策划的活动和达到策划结果的程度,根据对DIMA动态重构触发条件和机制的分析可知,其动态特性主要有以下两个方面:① 功能的优先级会随着任务模式的切换而发生改变;② 系统资源失效会导致DIMA的资源状态发生改变。DIMA中功能和资源之间是相互依存的关系,没有资源,系统的功能也就无法实现,而背离功能,资源也就没有存在的意义[16]。

至此,对动态重构的有效性概念给出如下定义:第一,动态重构应使当前任务模式下的系统功能特性得到优化;第二,动态重构应使系统中的资源能得到更合理的配置。换句话说,经过动态重构后系统资源对系统功能完整性的支撑程度越大,动态重构的有效性就越高。因此,本文提出基于“任务-功能-资源”的动态重构有效性评估体系,研究框架如图3所示。

图3 某任务模式下的动态重构有效性评估体系Fig.3 Dynamic reconfiguration effectiveness evaluation system in a task mode

设有效性评估体系中有m种任务模式,n个功能应用。其中,功能贡献系数向量gm由主客观组合赋权模型得出,表示功能应用对当前任务模式下系统性能的贡献程度大小。将gm中的功能贡献系数由大到小依次排序,即可得到当前任务模式下的功能优先级评价;功能贡献系数矩阵G=[g1,g2,…,gm]T为各任务模式下功能贡献系数向量的集合,是动态重构有效性计算的重要依据。

资源配置矩阵Pm由资源配置表转化而来,资源配置表将DIMA动态重构环境中的p个通用计算模块和q种系统资源状态进行表达,面向每一任务模式都可以生成一个资源配置表,配置方案由功能应用的优先级评价结果结合动态重构机制得出,表中元素的变化对应各资源状态下加载在各计算模块上的功能应用变化情况。接下来,对资源配置表进行(0,1)转化,若当前资源状态下功能应用仍能加载到计算模块上,赋值为1,反之则为0,生成一个q×n阶矩阵Pm。

Em是面向任务模式m的重构有效性系数向量,由当前任务模式下的资源配置矩阵带入相应的功能贡献系数求得,表示当前系统的动态重构有效性系数,取值为0～1,值越大则有效性越高,计算公式如下:

(1)

3 基于组合赋权的DIMA功能优先级评价

在动态重构有效性评估体系中,功能贡献系数既为动态重构决策提供了功能优先级评价,也为资源配置矩阵提供了量化指标,对最终的评估结果起着十分重要的影响。因此,本文引入主客观组合赋权法分析各任务模式下的功能贡献系数。此方法近年来在飞行品质评价、航班风险评估、作战效能评估等研究领域[17-19]都有广泛应用。采用组合赋权的目的是减少不同赋权方法在评价过程中的片面性,尽可能地减少信息的损失,使赋权结果最大限度地接近实际结果[20],其原理如图4所示。

图4 面向任务的组合赋权法Fig.4 Task oriented combination weighting method

3.1 主观赋权:层次分析法

层次分析法是一种认可度较高的主观赋权法,此方法利用专家的知识和经验,通过两两比较的方式以9标度法对决策指标进行打分,可以实现功能优先级的主观评价,标度值的具体含义如表1所示。

表1 重要程度标度值含义

根据表1,专家对n项功能应用进行打分,建立判断矩阵A=(aij)n×n,其中aij×aji=1,max{aij,aji}∈[1,10],定义A的一致性比率:

(2)

式中,λmax为判断矩阵的最大特征值;RI为随机一致性指标,其取值与判断矩阵的阶数有关,可通过表2查得[21]。当CR≤0.1时可认为通过一致性检验。

表2 一致性指标RI数值

最后,计算主观权重向量:

(3)

α=(α1,α2,…,αn)即为所求的主观权重向量。

3.2 客观赋权:主成分分析法

主成分分析法是一种多变量数据分析技术,此方法利用在样本空间中找出新的正交向量,即主成分,用更少的数据集最大限度地表示原始数据中的信息[22]。通过对主成分方差贡献率及载荷的计算和解释,可以实现功能优先级的客观评价。设原始数据有k组数据,n个功能应用,由于各个指标的量纲不同,首先需要对飞行原始数据矩阵X进行标准化处理,有

(4)

X0为标准化处理后得到的新数据矩阵,计算其协方差矩阵,有

(5)

对CX进行特征值分解,有

CX=UDUT

(6)

式中，D=diag(λ1,λ2,…,λn)表示特征值的对角矩阵，其中λ1>λ2>…>λn；特征向量矩阵U表示特征值λi对应特征向量ui的集合,ui=(ui1,ui2,…,uin),i=1,2,…,n。

主成分方差贡献率反映了数据信息量的大小,若前q个主成分的累计贡献率大于80%时，则认为能足够反映原始数据的信息,即

(7)

主成分载荷反映了主成分与原变量之间相互关联的程度,即

(8)

最后，将主成分方差贡献率与对应主成分载荷的绝对值进行线性加权,可以得到客观权重向量，公式为

(9)

β=(β1，β2，…,βn)即为所求的客观权重向量。

3.3 组合优化赋权

得到主观权重和客观权重后,需要将专家的主观意向和飞行数据中包含的客观信息兼顾,为了得到合理的综合主客观权重S,主观和客观权重向量与综合权重向量的离差和应尽可能小[23],为此构建组合优化赋权模型如下:

(10)

式中,μi为经验因子,该因子是对功能应用权重主客观偏向程度的反映,倾向于客观权重时0≤μi≤0.5,倾向于主观权重时0.5≤μi≤1。此模型属于一个条件极值求解问题,利用拉格朗日数乘法求解可得

si=μiαi+(1-μi)βi

(11)

s=(s1,s2,…,sn)即为所求的主客观组合优化权重向量，动态重构有效性评估体系中某任务模式下的功能贡献系数向量。

4 实例分析

不同于军机拥有各种复杂作战场景和战场需求,民机的飞行任务较为明确,因此可通过划分飞行阶段的方式来明确任务模式。典型民用飞机的一次飞行任务剖面如图5所示[24]。以显示信息功能为例,根据AC 25-11B[25]中的描述,综合考虑各功能的意义与实际价值,选择空速、相对气压高度、无线电高度、垂直速度、俯仰角和航向角作为加载在动态重构环境中的功能应用。在典型的飞行任务执行过程中,DIMA在不同阶段对不同任务的功能需求不同,不同功能对不同任务模式的贡献程度也不同。为方便后续研究,对飞机各飞行阶段进行编号,1:起飞,2:爬升,3:巡航,4:下降,5:进近,6:着陆;再对显示系统的功能应用进行编号,Ⅰ:空速,Ⅱ:相对气压高度,Ⅲ:无线电高度,Ⅳ:垂直速度,Ⅴ:俯仰角,Ⅵ:航向角。据研究表明,近50%的民航飞行事故都发生在飞行的着陆阶段[26],可能产生异常速度、不当着陆过程、垂直速度偏离、不受控下沉等不利飞行状态[27],因此以航班着陆阶段为实例展开分析。具体步骤如下。

图5 民用飞机典型任务剖面Fig.5 Typical mission profile of civil aircraft

步骤 1根据专家对着陆阶段显示功能重要度的打分,建立判断矩阵A如下:

(12)

根据表2查得RI=1.26,经过式(2)判断CR=0.069<0.1,判断矩阵满足一致性要求,由式(4)可得着陆阶段的主观权重向量:

α6=(0.260,0.053,0.186,0.158,0.234,0.109)

同理,计算其他飞行阶段的显示功能主观权重向量如下:

α1=(0.404,0.207,0.148,0.037,0.146,0.058)

α2=(0.275,0.294,0.045,0.146,0.149,0.092)

α3=(0.360,0.191,0.024,0.063,0.165,0.198)

α4=(0.268,0.202,0.036,0.096,0.260,0.143)

α5=(0.265,0.076,0.015,0.175,0.196,0.139)

步骤 2本文以美国宇航局DASH link项目提供的数据进行客观赋权分析,其中包含了某型支线客机上记录的186种飞行参数,用于提高促进航空安全的数据挖掘能力[28],如表3所示。

本文采用SPSS 25.0软件对飞行数据进行分析,首先进行KMO(Kaiser-Meyer-Olkin)和Bartlett球形检验,处理可得KMO检验值为0.635,Bartlett检验值为0,表明表3的数据可以进行主成分分析。

表3 着陆阶段实际飞行数据

根据式(6)和式(7)得到特征向量矩阵及主成分方差贡献率,前两个主成分方差贡献率分别为65.749%和20.051%,累计方差贡献率为85.800%>80%,能够反映飞行数据中的绝大部分信息。再根据式(8)计算主成分载荷,载荷值越大说明主成分与该变量相关性越好,如表4所示。

表4 主成分载荷系数

根据式(9),可得到着陆阶段的客观权重向量:

β6=(0.156,0.180,0.187,0.191,0.176,0.111)

同理,计算其他飞行阶段的显示功能客观权重向量如下:

β1=(0.149,0.183,0.183,0.180,0.180,0.125)

β2=(0.190,0.144,0.186,0.190,0.157,0.133)

β3=(0.244,0.214,0.000,0.186,0.239,0.118)

β4=(0.176,0.237,0.000,0.243,0.168,0.180)

β5=(0.174,0.177,0.178,0.142,0.150,0.179)

步骤 3对比步骤1和步骤2的结果,发现主观赋权法对功能优先级的评价效果较好,能明显区分关键功能与非关键功能。由于专家打分表是参考飞行机组使用手册[29]和相关适航条款[30]给出的,因此对功能优先级的评价具有指导意义。客观赋权法的结果可以表征功能的复用程度,即在典型任务执行过程中功能模块的执行次数,但任务执行过程中某些复用程度大的功能关键性不一定高,因此客观权重可能无法体现出某些特定场景的功能优先等级。

综上所述,本文选择在专家主观意向的基础上兼顾飞行数据中包含的客观信息,即经验因子的选择偏向主观权重。如图6所示,将经验因子定为0.6时,组合赋权结果不能明显区分关键功能,经过权衡后将经验因子定为0.7。此时,在专家主观意向的基础上兼顾飞行数据中包含的客观信息不会对关键功能的区分产生混淆。

图6 不同经验因子效果分析Fig.6 Effect analysis of different experience factors

再根据式(11)计算主客观组合优化权重,得到各飞行阶段的显示信息功能贡献系数向量gm,构建组合功能贡献矩阵G如下：

Ⅰ Ⅱ Ⅲ Ⅳ Ⅴ Ⅵ

(13)

步骤 4由于DIMA的资源状态会随着模块的故障而发生改变,根据第1.1节构建的动态重构环境,选取其中几种典型的资源失效状态如下。

状态A:M1模块P1分区故障。

状态B:M1模块故障。

状态C:M1和M2模块故障。

状态D:M1和M2模块故障且M3模块P1分区故障。

状态E:M1、M2和M3模块故障。

状态F:M1、M2、M3和M4模块故障。

表5是以文献[7]中提出的显示信息关键性要求表为基础生成的普通重构策略资源配置表,普通重构策略不考虑任务模式的切换。观察表5可以发现,资源配置表由通用计算模块和系统典型资源状态表达,表中每行的罗马数字表示当前资源状态下各计算模块上的功能应用加载情况。配置方案由功能应用的优先级评价结果结合动态重构机制得出,动态重构环境在A、B、C 3种系统资源状态下采用资源备份机制进行重构,资源对功能完整性的支撑程度不受模块故障影响。随着M1、M2、M3模块陆续故障,开始采用资源抢占机制,此时关键功能(高优先级)会抢占低优先级功能的可用资源。

表5 普通重构策略资源配置表

接下来,将典型资源失效状态与面向任务的DIMA动态重构策略相结合,可以得到面向不同民机任务模式的重构策略资源配置表,如表6所示。其中,资源状态的阿拉伯数字下标表示民机典型任务剖面中的不同飞行阶段/任务模式。

表6 面向任务的重构策略资源配置表

步骤 5以着陆阶段为例,若当前资源状态下某功能应用仍在模块上运行则赋值为1,反之为0,可将资源配置表转化为资源配置矩阵:

(14)

将功能贡献矩阵G中相关飞行阶段的功能贡献向量g6带入对应的重构策略配置矩阵P6中,根据式(1)计算着陆阶段的动态重构有效性系数向量如下:

(15)

同理可得其余5组面向任务的动态重构有效性系数向量em(m=1,2,…,5)和1组通过普通重构策略资源配置表得出的有效性系数向量e′,分别作对比分析,如图7所示。通过面向任务的动态重构策略与普通重构策略的对比分析,可以发现随着模块故障数量的增多,面向任务的动态重构策略在绝大部分飞行阶段中能够显著提高动态重构的有效性,给任务的执行提供充足的安全裕度。

图7 对比分析Fig.7 Comparative analysis

5 结 论

(1) 通过对DIMA动态重构环境和动态重构机制的研究,形成了一种面向任务的动态重构策略,提出了基于“任务-功能-资源”的动态重构有效性评估体系。

(2) 通过引入主客观组合优化赋权模型,结合主客观赋权法各自的优势,取长补短,实现了面向任务的航电功能优先级科学评价。

(3) 通过DIMA动态重构实例的对比分析,表明了动态重构策略中任务模式的引入可以有效提高动态重构的有效性。