0 引言

航空電子系統至今已經歷了獨立式、聯合式、綜合化和高度綜合化的發展歷程，從各分系統相互獨立發展到采用集中控制、分布處理的層次型結構[1]。開放式的綜合化模塊化航空電子(Integrated Modular Avionics，IMA)系統架構是當今航空電子系統發展的主要趨勢，旨在降低飛機生命周期費用(Life Cycle Cost，LCC)、整合航電系統應用、提高系統性能、解決航電系統應用各自升級的問題等[2-3]。綜合化模塊化航空電子系統在本質上是一種分布式計算系統[4]，采用開放式體系結構和標準化以及通用化的設計，提高了系統的兼容性、可移植性，并具有較高的可擴展性和可維護性，降低了系統的生命周期費用[5]，整合和支持不同關鍵安全級別的航電系統應用程序[6]。同時隨著IMA航電系統結構下應用程序越來越復雜，綜合化程度越來越高，也顯現出故障密集、多類等特點。

本文針對IMA結構航空電子系統，討論其多級故障管理機制，使用符合ARINC653標準的分區操作系統作為軟件開發平臺，通過故障檢測措施、健康監控機制、故障濾波方式和故障處理手段，實現了航電系統模塊級、集成區域級和飛機級的多級故障管理機制，制止了故障惡意蔓延，提高了整機的系統安全性。

1 IMA系統多級故障管理

故障管理技術是指避免飛行器的部件或系統的部分或全部失效的技術和方法[7]。如果故障管理策略不能發揮正常效果，那么失效就可能會威脅整個飛機系統，并引發災難性事故[8-9]。

IMA航電系統采用面向域的層次劃分方法，通用的系統管理分為飛機級、集成區域級和模塊級3個管理層次。其中飛機級是最頂層的管理功能實體，負責整個系統的管理。集成區域級為中間層，負責一個集成區域的管理。模塊級為最底層，負責一個模塊的管理[10-11]，又可以細分為進程、分區和操作系統[12]。

IMA系統故障管理包括故障檢測[13]、故障濾波[14]、健康監控[15-16]及故障處理[17]等，用來進行檢測故障發生，確認故障發生，對故障類型、發生時間和部件進行分類，限制故障蔓延，以及采取故障處理措施，包含功能降級或系統重構等。

2 一種多級故障管理機制的設計

參照當代先進飛機綜合航電系統的設計思路，本文以航空電子全雙工交換式以太網(Avionics Full Duplex Switched Ethernet，AFDX)作為系統主干通信網絡，建立了一個級聯式雙冗余的飛機航電系統架構模型，包括兩臺互為余度的中央處理平臺IPC，每臺IPC機柜內含若干現場可更換模塊（LRM），包括電源模塊、通用處理模塊、大容量存儲模塊、數據處理模塊及AFDX交換機模塊等，以及通過AFDX網絡連接的其他現場可更換分系統（LRU），包含航電設備和非航電設備。此結構對應的飛機級、集成區域級和模塊級3個管理層次的管理者分別為飛行員、航電綜合處理系統中央維護軟件和模塊級健康監控軟件。

故障管理功能初始化時對預先設定的每一類故障信息定義故障屬性，包含故障設備標識號、故障編碼、故障發生時間、故障級別等，由航電系統統一編碼，如表1所示。

2.1 模塊級故障管理

在綜合處理平臺IPC系統中，各LRM均設計有自檢測功能，通過自檢測手段實施平臺硬件資源功能測試，將故障隔離定位到模塊，并可將檢測到的模塊內部故障報告給上級軟件（集成區域級故障管理軟件）。

系統設計者預計系統可能發生的所有故障信息，關鍵模塊選取具有健壯分區機制和健康監控機制的機載嵌入式實時操作系統，利用健康監控機制針對模塊內部可能發生的故障進行分析、分類、分級、編號定義，設計故障恢復策略。同時，為系統應用程序設計、提供一系列錯誤恢復處理程序，供系統集成者、應用程序選擇，并提供用戶擴展錯誤恢復動作的機制，以表驅動方式實現系統所有故障自動收集、過濾、派發，并按級調度處理策略。

模塊級故障管理由系統健康監控任務、分區健康監控任務和進程健康監控任務組成，系統通過查“系統健康監控表”來確定派遣級別，分別派遣至模塊、分區或者進程級。系統健康監控任務運行在核心操作系統中，并且作為核心操作系統中僅有的一個最高優先級的任務運行，可以搶占任何分區及系統任務的時間。分區健康監控任務作為分區操作系統中一個獨立的任務運行，它的優先級高于所屬分區其他所有任務優先級，但只能占用本分區時間。進程健康監控處理進程作為分區操作系統中一個特殊的進程運行，它的優先級高于分區內其他進程。模塊內部故障管理主要處理過程包括：事件注入、查模塊級的故障管理確定派遣級別、登記錯誤事件到相應的事件隊列、啟動相應的健康監控任務、由各級健康監控任務進行錯誤恢復動作等，如圖1所示。

2.2 集成區域級故障管理

多級故障管理機制針對模塊一級無法處理的故障，將其信息上報至航電系統中央維護軟件，由集成區域級故障管理進行處理。

集成區域級故障管理系統(航電中央維護軟件)駐留在IPC中的一個通用處理模塊上，該模塊借助AFDX網絡交換機與其他模塊和工作單元通過AFDX網絡連接（可參考圖2）。在綜合處理平臺中各模塊（LRM）或工作單元（LRU）故障狀態發生改變時，各模塊的模塊級故障管理系統記錄故障發生或消失的時間，將收集和處理后的故障信息按照綜合航空電子系統的故障編碼定義（如表1所示），通過事先定義的AFDX虛鏈路向集成區域級故障管理系統報告，為系統重構決策提供輔助信息，提高系統故障監控及處理能力。

集成區域級的故障管理系統根據故障危害程度、行為、系統配置情況和工作狀態等多種因素，對故障進行不同程度的主動式或周期式的濾波處理。在確認故障并且嘗試恢復失敗后，進行預先定義的系統重構。系統重構的方式有通過RS485總線控制智能電源模塊（PSM）對故障的模塊或工作單元進行復位或者下電操作，通過ARINC615A協議進行配置文件的重新分發等。通過對故障的屏蔽、定位和限制等處理，保證當系統出現故障、部分系統失效時，在剩余的時間內系統仍能正常工作。

2.3 飛機級故障管理

集成區域級的故障管理軟件將處理故障后的結果和不能處理的故障通過AFDX網絡向更高一級的飛機級故障管理平臺上報，通過顯示控制系統和告警提示系統使用視覺和聽覺刺激的方式提醒飛行員獲悉和處理故障信息。

航電系統的主要設備均由冗余備份的多套設備組成，例如飛行管理軟件駐留在雙IPC的通用處理模塊上，以熱備份方式工作，其中一個出現故障時，另一個接替運行。因此，綜合處理平臺提供系統級故障告警信息：飛管軟件1故障（綜合處理平臺1中的運行飛管軟件的通用處理模塊發生不可逆故障）；飛管軟件2故障（綜合處理平臺2中的運行飛管軟件的通用處理模塊發生不可逆故障）。由飛行員依據故障提示根據任務需要手動進行備份切換管理。

3 測試驗證

為了保證IMA多級故障管理機制的測試驗證充分性，需要充分考慮航電系統環境的復雜性和數據的實時性、有效性和健康監控覆蓋的故障概率等問題[18]。

3.1 測試環境

多級故障管理機制具有故障檢測、故障濾波、健康監控及故障處理等功能，需要開展故障模擬和故障注入等技術來激勵這些功能模塊運行。參考DO-178B/C[19-20]的要求，搭建航電系統地面測試環境，設計軟件故障注入組件[21]，依據故障靜態定義模型和系統健康監控表，使用代碼插樁方法對IMA架構下多級故障管理應用軟件開展動態故障注入，由此來驗證多級故障管理功能的有效性。

測試設備的交聯關系如圖2所示，按照航電系統IMA架構實際連接關系，由兩臺相互備份的中央處理計算機（IPC）和顯示控制單元及機載航電系統、分系統、傳感器、控制器等組成，均采用真實設備。其中模塊級別的故障管理分布在設備的各個模塊中，集成區域級別的故障管理所在的模塊為綜合處理計算機中的通用處理模塊，通過AFDX網絡及交換機與其他設備、系統進行連接，飛機級故障管理決策由測試人員代替飛行員進行操作。

3.2 測試過程和結論

為了模擬模塊內部故障管理的過程，模塊級故障管理測試的過程包括代碼插樁法模擬故障事件注入、檢查故障濾波算法是否正常進行故障濾波、檢查模塊的健康監控表是否確定了錯誤類別、檢查錯誤事件是否正常掛接到了相應級別的錯誤事件消息隊列、檢查健康監控任務是否正確進行故障內容上報、檢查健康監控任務是否正確進行了錯誤恢復動作等。

集成區域級故障管理測試首先進行模塊間通信功能和性能的測試，使用AIM AFDX板卡對IMA系統模塊間通信性能進行測試，實時捕獲各個虛鏈路的數據包數量、字節數和帶寬等數據，如圖3所示。測試表明，故障管理數據包以一定的帶寬在虛鏈路中進行傳輸，各虛鏈路之間相互獨立，互不干擾，且帶寬穩定。

其次進行集成區域級故障管理功能的測試，通過故障注入模擬模塊故障，模塊級故障管理處理后上報集成區域級故障管理系統；判斷集成區域級故障管理系統是否能夠按照綜合航空電子系統的故障編碼定義解析接收到的故障信息進行故障濾波；最后判斷集成區域級故障管理系統是否能夠確認故障并且進行預先定義的系統重構。

經過按照DO-178B/C要求用真實航電設備搭建的IMA航電系統仿真測試平臺進行的模塊級、集成區域級和飛機級故障管理的實際測試，上述IMA架構下系統多級故障管理機制能夠在模塊級檢測故障，并派遣處理和上報，在集成區域級過濾確認故障，并進行恢復和重構，在飛機級告警提示和備份切換，滿足設計需求。

4 結論

針對綜合化模塊化航空電子（IMA）系統架構開放式體系結構和標準化以及通用化的設計使得系統綜合化程度提高，進而顯現出故障密集、多類、容易相互影響和蔓延的問題。本文以AFDX作為系統主干通信網絡，建立了一個級聯式雙冗余的飛機航電系統架構模型；以滿足ARINC653標準的分區操作系統為平臺，實現了一種包含飛機級、集成區域級和模塊級3個管理層次的飛機航電系統多級故障管理機制；按照DO-178B/C的要求用真實設備搭建測試平臺進行了3個級別的測試驗證，結果表明能夠滿足設計要求。

此IMA架構下系統多級故障管理機制解決了傳統方式下故障不分級別、不可自動恢復等問題，實現了IMA航電系統綜合處理平臺故障自動收集、過濾、分級派發、接管等，制止了故障惡意蔓延，提高了整機系統安全性，已在某型飛機上得到了應用。