分布式综合模块化航空电子系统混合式动态重构系统与方法

摘要

本发明揭示了一种分布式综合模块化航空电子系统混合式动态重构系统与方法，其中该分布式综合模块化航空电子系统混合式动态重构系统至少包括第一至第五运算模块及第一与第二TTE交换机，其中第一至第五运算模块由第一与第二TTE交换机连接，第一与第二TTE交换机执行TTE协议。该协议在通信过程中采用全局时钟启动数据的收发，每一个TTE交换机和运算模块的操作只与全局时间有关，并且该分布式综合模块化航空电子系统混合式动态重构系统设置其中一个运算模块为主重构管理模块，统一管理全系统的异地远程重构工作，并设置另外一个运算模块为备份模块。

说明书

【技术领域】

本发明涉及航空电子领域，特别是指分布式综合模块化航空电子系统实 时动态重构的系统与方法。

【背景技术】

航电系统在整机成本中所占的比重越来越大，民机为35％-40％，而军机 为50％。随着系统结构日渐复杂，越来越多的功能需要进行综合，从而飞机 成了真正意义上的信息系统。通信和信息管理技术的不断进步促进了新型航 电设备的研发，分布式综合模块化航空电子系统(DIMA)是IMA(综合模 块化航空电子系统)系统范畴内的重要改进，它结合了联合式和IMA理念 的优势，并对系统性能、可用性、可扩展性以及全寿命周期成本等方面提出 了越来越高的要求，正是在这种情况下，系统实时动态重构技术成为新一代 综合航空电子系统必不可少的一项关键技术。

IMA采用了独立的嵌入式专用字系统、维护周期短、系统升级昂贵、软件 基于硬件开发、需要大量备用资源及计算机资源利用率低，无法满足先进飞 机航空电子系统功能持续增长的需要。DIMA提供了一种综合的、通用的硬 件及软件资源平台，使大量具有飞机功能的应用程序可宿主平台上，软件加 载与硬件无关，易于系统升级和重构，物理资源和逻辑资源可共享，通过鲁 棒式分区使功能分离和独立，并且平台和应用程序级的健康监控和故障管理 科支持资源共享。

DIMA能够将各功能块定位于接近输入/输出模块的位置。该平台具有分 层结构，可降低其布线和系统复杂性。另外，系统中的每一处理单元可作为 独立功能模块，系统中的每项功能数据可共享。这就降低了对处理能力总的 要求，减少了所需的硬件数量。

【发明内容】

本发明的目的在于提供一种分布式综合模块化航空电子系统混合式动态 重构系统与方法，用以解决现有方案中资源浪费较多并且故障处理时间较长 的问题。

为实现上述目的，实施本发明的分布式综合模块化航空电子系统混合式 动态重构系统至少包括第一至第五运算模块及第一与第二TTE交换机，其中 第一至第五运算模块由第一与第二TTE交换机连接，第一与第二TTE交换 机执行TTE协议。该协议在通信过程中采用全局时钟启动数据的收发，每一 个TTE交换机和运算模块的操作只与全局时间有关，并且该分布式综合模块 化航空电子系统混合式动态重构系统设置其中一个运算模块为主重构管理 模块，统一管理全系统的异地远程重构工作，并设置另外一个运算模块为备 份模块。

依据上述主要特征，备份模块对主重构管理模块进行热备份，备份模块 和主重构管理模块同时工作，并且它们之间是同步的，所有的其他模块同时 向主重构管理模块和备份模块发送相同的数据，备份模块只接收此数据，并 且备份模块同时对主重构管理模块的工作状态进行监控，当发现主重构管理 模块故障，则接收该主重构管理模块的工作。

依据上述主要特征，当一运算模块出现故障，且还有备份模块时，启用 备份模块代替故障模块，若备份模块已被使用，则进行降级重构，将其它运 算模块分区中部分优先级低的应用程序关闭，省出的空间运行故障模块的应 用程序。

依据上述主要特征，运算模块包括应用分区、操作系统核心层、硬件模 块支持层，其中应用分区位于三层结构的顶层，包括与飞机任务和功能相关 的各种软件；操作系统核心层属于中间层，为各种应用程序提供执行平台， 进行机载资源的管理，按照优先级对各种任务进行调度和切换，包括健康监 测单元以及模块重构管理单元，健康监测单元进行分区级和模块级的监控； 模块重构管理单元包括故障检测、重构数据处理和重构执行三个组件，故障 检测组件依赖于健康监测单元的报错进行分区和模块故障检测；重构数据处 理组件主要工作是识别故障，综合故障信息，匹配故障信息之间的级联、耦 合关系，形成故障隔离封闭区域，为故障处理提供处理对象和范围，对重构 执行提供决策信息；重构执行组件主要是参考重构数据处理信息，调用重构 策略配置库，执行重构，并对重构的每一个重要、关键步骤采用逐步确认的 机制，并且保证随时能终止或者回朔的上一步操作，其中上述的重构策略配 置库里有多种重构配置方案，当某个模块出现了问题，根据模块的问题选择 一个配置方案，进行配置信息更新，系统正常运行。

依据上述主要特征，主控模块还设有一个系统重构策略配置库，并且主 控制模块在应用分区层有一个系统重构管理分区，包括故障检测、系统同步、 重构数据处理和系统重构执行四个组件,故障检测组件是通过心跳管理机制， 利用心跳机制监控各模块的应用健康状态；系统同步组件是保证各个模块信 息共享；重构数据处理组件识别各级故障，综合各级别故障信息，匹配故障 信息之间的级联、耦合关系，形成故障隔离封闭区域，为故障处理提供处理 对象和范围，停止故障封闭区域运行的程序，包括分区、模块，软故障采取 重启分区、模块的处理，硬故障需要更改配置，则向重构执行组件发送相应 指令；系统重构执行组件主要是参考重构数据处理信息，调用系统重构策略 配置库，进行重构执行，恢复系统正常运行。

为实现上述目的，本发明提供一种利用上述的分布式综合模块化航空电 子系统混合式动态重构系统进行系统重构的方法，其中该方法包括如下步 骤：

系统初始化后，选择一运算模块作为重构管理主控模块，主控模块将应 用程序分配到相应的其他运算模块，然后其他运算模块启动开始工作，同时 在其他运算模块中选择一模块作为备份模块；

系统正常情况时，主控模块的系统重构管理分区会按照心跳管理机制接 受其他运算模块的自检测结果，周期地监控系统的健康状态，并定时将主控 模块的状态发送给备份模块。同时，其他运算模块的模块重构管理单元会根 据健康监测单元的信息进行模块本身的分区级和模块级的监测；

如果其他运算模块软件出现故障，模块重构管理单元会根据模块重构策 略配置库的策略对故障模块的软件的重启动，如果重启动三次依然有故障， 则认为是硬件发生故障，并将故障信息发送给主控模块，主控模块将对系统 配置表进行查询，确定备份模块是否可用，如果可用，则关闭故障模块，然 后修改配置表并将应用程序定位到备份模块上运行，从而恢复系统的功能；

如果主控模块的硬件发生了故障，则关闭故障模块，并将故障信息发送 给备份模块，备份模块成为系统的主控模块，对整个系统进行故障管理，并 且在其他剩下的运算模块中的一个模块进行系统重构管理分区备份，以便在 备份模块出现故障时可以进行系统的管理。

依据上述主要特征，如果其他剩下的运算模块发生硬件故障，并且备份 模块已经被使用时，则系统进入降级重构模式，主控模块将对系统所有处理 模块上运行软件的优先级与发生故障模块上的软件的优先级进行比较，如果 故障软件的优先级最低则关闭故障模块，系统失去相应模块的功能；如果存 在比故障软件优先级低的应用软件，则系统将关闭优先级最低的应用软件， 然后修改配置表，最后将故障模块上的应用软件定位到新让出来的运算模块 上。

与现有技术相比较，本发明通过上述的分布式综合模块化航空电子系统 混合式动态重构系统与方法，按机载航电系统的实际使用情况，当出现模块 故障时进行动态重构，并且此过程不会影响到其他无关应用程序的运行，不 仅提高飞机的任务可靠性，而且保证现有的安全性，能够降低系统复杂程度、 减少体积重量与功耗、便于独立开发、简化系统验证并具有更大的灵活性。

【附图说明】

图1为实施本发明分布式综合模块化航空电子系统混合式动态重构系统 的组成框架示意图。

图2为普通模块的组成框架示意图。

图3为主控模块的组成框架示意图。

图4为实施本发明分布式综合模块化航空电子系统混合式动态重构系统 另一组成示意图。

图5为主控模块的工作流程示意图。

图6为主控备份模块的工作流程示意图。

图7为普通备份模块的工作流程示意图。

【具体实施方式】

本发明下面结合附图对本发明的具体实施方式进行详细描述：

参考图1所示，为实施本发明分布式综合模块化航空电子系统混合式动 态重构系统的组成框架示意图，包括第一至第五运算模块、第一与第二TTE 交换机及第一及第二以太网交换机。

第一至第五运算模块(编号为M1至M5)由第一与第二TTE交换机连 接，第一与第二TTE交换机执行TTE协议。该协议在通信过程中采用全局 时钟启动数据的收发，每一个网络组件(交换机和独立运算模块)的操作只 与全局时间有关，而与其它组件的工作状况无关。这种特性保证了每一个组 件都可以被单独设计和测试。航电应用宿主于运算模块的分区(分区是一种 包括指令代码和数据的在模块中可加载到一个单独地址空间的程序)上，宿 主于不同运算模块上的设备间数据流通信通过TTL交换机路径来实现，路径 的作用是连接两个运算模块。

本实施本发明的方法采用混合式重构管理方法，其中每一个运算模块(即 M1至M5)的重构管理由自身的重构分区负责，并且DIMA(分布式综合模 块化航空电子系统)系统设置某一个模块(M1-M4中一块，暂定M1)为主重 构管理模块，统一管理全系统的异地远程重构工作，并选择另外一个(如 M5)为备份模块。

在该DIMA中，进行的是分区级的模块重构，即指当模块出现故障，且 还有备份模块时，启用备份模块代替故障模块，若备份模块已被使用，则进 行降级重构，将其它模块分区中部分优先级低的应用程序关闭，省出的空间 来跑故障模块的应用程序，采用N+1方式实现重构，所有的同一类型模块在 同一机箱内只有一个备份模块，在任一个模块发生故障时，都可用备份模块 替代故障模块工作，即如图1所示，模块M1-M4中任意一个模块发生了故 障，备份模块M5都可以代替故障模块工作。在无可用模块时，系统将根据 设定的优先级进行降级重构，DIMA动态重构策略需要对DIMA系统内各模 块以及各分区中的程序根据飞机执行使命任务过程确定具体的优先级，并根 据不同阶段、不同任务、不同模式下的策略开展重构工作。

主重构管理模块M1集中了所有的故障管理和重构决策的功能，是系统 的核心模块。备份模块M5对主重构管理模块M1进行了热备份，备份主重 构管理模块M1的实现方式是备份模块和主重构管理模块M1同时工作，并 且它们之间是同步的，所有的其他模块同时向主重构管理模块M1和备份模 块发送相同的数据。区别在于，主重构管理模块M1处理后对其他模块发出 控制命令，而备份模块M5只是接收，不发出命令。备份模块M5同时对主 重构管理模块M1的工作状态进行监控，一旦发现主重构管理模块M1故障， 立即接收该主重构管理模块M1的工作。

动态重构实行分级重构机制，包括模块内重构机制与DIMA系统重构机 制。其中重构策略配置库实施属地化管理，独立运算模块与DIMA系统各自 管理所属的重构策略配置库，并且上一级的重构管理(即DIMA系统重构) 可以直接调用下一级(即模块内重构)的配置库数据。如图2和图3所示， 模块内重构是指图2所示普通模块都有一个模块重构管理程序，模块本身有 一个重构策略配置库，DIMA系统重构是指图3所示的系统中都有一个主控 模块，它不仅有模块重构管理，并且有模块的重构策略配置库，它还有一个 系统重构管理程序，以及系统重构策略配置库，主控模块(即DIMA系统) 的系统重构管理可以调用普通模块的重构策略配置库。

请参阅图2所示，为普通运算模块的组成框架示意图，普通运算模块包 括应用分区、操作系统核心层、硬件模块支持层，其中应用分区位于三层结 构的顶层，包括与飞机任务和功能相关的各种软件，与硬件系统无关。该层 实现飞机的各种作战和飞行任务，如火控、导航、人机交互等。应用层中每 个功能应用程序都完成特定的功能，并且被封装成模块。功能应用程序处理 由某传感器或者其他功能应用程序传递来的数据，然后将处理后的数据送至 作动器或者其他功能应用程序。这种处理要求是实时的，即需要在规定的时 间内完成。操作系统核心层属于中间层，为各种应用程序提供执行平台，与 飞机任务和系统硬件无关。该层进行机载资源的管理，按照优先级对各种任 务进行调度和切换。一般由实时操作系统支撑，能在各种复杂的情况下支持 系统的实时处理。该层在模块动态重构发挥很大作用，包括健康监测(HM) 单元以及模块重构管理单元，健康监测单元可进行分区级和模块级的监控， 其中分区级监控的错误有：a、分区初始化阶段出现的分区配置错误；b、进 程管理中的错误；而模块级监控的错误有：a、模块初始化阶段出现的模块 配置错误；b、模块功能执行期间出现的错误；c、电源故障；d、模块BIT 错误；模块重构管理单元包括故障检测、重构数据处理和重构执行三个组件。 故障检测组件依赖于HM单元的报错进行分区和模块故障检测；重构数据处 理组件主要工作是识别故障，综合故障信息，匹配故障信息之间的级联、耦 合关系，形成故障隔离封闭区域，为故障处理提供处理对象和范围，对重构 执行提供决策信息；重构执行组件主要是参考重构数据处理信息，调用重构 策略配置库，执行重构，并对重构的每一个重要、关键步骤采用逐步确认的 机制，并且保证随时能终止或者回朔的上一步操作。其中上述的重构策略配 置库里有多种重构配置方案，当某个模块出现了问题，根据模块的问题选择 一个配置方案，进行配置信息更新，系统正常运行。

在主控模块中，在应用分区层有一个系统重构管理分区，如图3所示， 主要包括故障检测、系统同步、重构数据处理和重构执行四个组件。故障检 测组件是通过心跳管理机制，利用心跳机制监控各模块的应用健康状态，即 让各个模块周期性发送状态信息给主控模块；系统同步组件是保证各个模块 信息共享；重构数据处理组件识别各级故障，综合各级别故障信息，匹配故 障信息之间的级联、耦合关系，形成故障隔离封闭区域，为故障处理提供处 理对象和范围，停止故障封闭区域运行的程序，包括分区、模块，软故障采 取重启分区、模块的处理，硬故障需要更改配置，则向重构执行组件发送相 应指令；系统重构执行组件主要是参考重构数据处理信息，调用系统重构策 略配置库，进行重构执行，恢复系统正常运行。

图4是混合式动态重构平台重构逻辑框图，直观表达了重构的工作模式。 系统初始化后，模块M1作为重构管理主控模块，主控模块根据系统配置表 (存储在非易失性存储器中，描述系统的每个数据处理模块所驻留的功能软 件模块的表)的设定，将应用程序分配到相应的运算模块M2-M5，然后运算 模块M2-M5启动开始工作。系统正常情况时，主控模块M1的系统重构管理 分区会按照心跳管理机制接受运算模块M2-M5的自检测结果，周期地监控 系统的健康状态，并定时将主控模块M1的状态发送给备份模块M5。同时， 运算模块M1-M5的模块重构管理单元会根据健康监测单元的信息进行模块 本身的分区级和模块级的监测，如果运算模块M2-M4软件出现了故障，模 块重构管理单元会根据模块重构策略配置库的策略对故障模块的软件的重启 动，如果重启动三次依然有故障，则认为是硬件发生故障，并将故障信息发 送给主控模块M1，主控模块M1将对系统配置表进行查询，确定备份模块 M5是否可用，如果可用，则关闭故障模块，然后修改配置表并将应用程序 定位到备份模块M5上运行，从而恢复系统的功能。如果是主控模块M1的 硬件发生了故障，则关闭故障模块M1，并将故障信息发送给备份模块M5， M5成为系统的主控模块，对整个系统进行故障管理，并且在M2-M4中的一 个模块进行系统重构管理分区备份，以便在模块M5出现故障时可以进行系 统的管理。

如果运算模块M2-M4发生硬件故障，并且备份模块已经被使用时，则系 统进入降级重构模式。主控模块M1将对系统所有处理模块上运行软件的优 先级与发生故障模块上的软件的优先级进行比较，如果故障软件的优先级最 低则关闭故障模块，系统失去相应模块的功能；如果存在比故障软件优先级 低的应用软件，则系统将关闭优先级最低的应用软件，然后修改配置表，最 后将故障模块上的应用软件定位到新让出来的处理模块上。

系统主要有四种类型的模块，主控运算模块、主控备份运算模块、普通 运算模块、备份运算模块。下面分别对这四类型的运算模块进行描述。

主控运算模块在本发明中的研究系统中是指运算模块M1，它完成系统状 态的监控，通过对系统所有故障的分析处理完成故障的定位、故障的分类、 系统重构的决策和重构方案的选择等任务，图5是主控运算模块工作的流程 图，其工作流程如下。系统上电启动，主控模块M1上电启动，M1的系统控 制容错程序(即系统重构管理程序)启动，启动模块的自检测程序，若自检 测程序不正常，则关闭主控模块，若正常，主控模块接收模块M2-M5的自 检测结果，并给出应答，根据系统可用资源状况来分配应用软件给模块 M1-M4，周期性地监控模块M1-M4的健康状态，并定时将主控模块M1的 状态信息发送给备份模块，当系统出现故障，如果不是主控模块M1发生了 故障，先判断故障模块是不是软件故障，方法是重启模块的应用程序，如果 还是不正常就重新加载并启动应用程序，如果依然不能恢复正常状态，查询 系统是否有可用的备份模块，若有就启用备份模块M5根据系统配置策略库 来重新加载软件，即此时备份模块M5代替了故障模块的所用功能，恢复系 统，若没有备份模块，选择降级重构方案，查询系统重构策略配置库选择合 适的配置方案加载软件，恢复系统。如果是主控模块M1发生了故障，并且 还有备份模块时，将故障信息发送给备份模块M5，加载所有软件并且加载 系统控制容错程序，成为整个系统的主控模块，恢复系统。

主控备份运算模块在本发明中是指运算模块M5，它是主控的热备份，它 监控主控运算模块的状态，在主控运算模块宣布故障或发现主控运算模块故 障后，它将接替主控运算模块的系统控制重构的任务。在运行过程中，主控 运算模块定时将其状态和系统的状态数据发送给主控备份运算模块，图6是 主控备份运算模块工作的流程图，其工作流程如下。系统上电启动，主控备 份模块M5上电启动，M5的系统控制容错程序(即系统重构管理程序)启动， 启动模块的自检测程序，若自检测程序不正常，则关闭主控模块，若正常， 将检测结果告知主控模块M1，根据主控模块分配启动应用程序，周期性地 监测本模块的状态并发送给主控模块，同时监控主控状态，接收主控模块发 来的系统状态数据，然后处于等待主控模块命令，有三种可能：1、主控模 块命令在备份模块上重新加载软件并启动，进行模块自检测，如果不正常就 将结果告知主控模块并且再次等待主控模块的命令，若正常将结果告知主控 模块，系统恢复；2、主控模块命令在备份模块上重启软件，并进行自检测， 如果不正常就将结果告知主控模块并且再次等待主控模块的命令，若正常将 结果告知主控模块，系统恢复；3、主控模块命令备份模块关闭应用软件， 并进行自检测，如果不正常将结果告知主控模块，并关闭模块，若正常，将 结果告知主控模块，转入可以正常备份状态。

普通运算模块在本发明中是指运算模块M2-M4，主要是执行应用软件， 监控本运算模块的健康状况，并定时将运算模块的状态发送给主控运算模块， 接收主控运算模块的命令，完成相应的任务。普通运算模块与主控运算模块 的区别在于普通运算模块不监控各个运算模块的工作，也不接收系统状态数 据。其它的功能与主控运算模块的功能是相同的，其工作流程可参图5所示， 此处不再详细说明。

备份运算模块是作为所有运算模块的备份，在本发明中采用的是N+1的 备份方式，所以在本发明中运算模块M5既可以作为在主控运算模块的备份， 也可以成为运算模块M2-M4的普通运算备份，若运算模块M5成为主控运算 模块后，可将备份运算模块变为主控运算模块的工作方式，完成系统状态的 监控，工作方式如图6所示。一般情况下，备份运算模块是作为所有的普通 运算模块的备份，在主控运算模块的控制下，准备替代出故障的普通运算模 块进行工作。图7是普通备份模块的流程图，其工作流程如下。当系统上电 启动，备份模块M5上电启动，备份模块M5的模块控制容错程序(即模块 重构管理程序)启动，启动模块的自检测程序，若自检测程序不正常，则关 闭主控模块，若正常，将检测结果告知主控模块M1，根据主控模块分配启 动应用程序，周期性地监测本模块的状态并发送给主控模块，同时监控主控 状态，接收主控模块发来的系统状态数据，然后处于等待主控模块命令，有 三种可能：1、主控模块命令在备份模块上重新加载软件并启动，进行模块 自检测，如果不正常就将结果告知主控模块并且再次等待主控模块的命令， 若正常将结果告知主控模块，系统恢复；2、主控模块命令备份模块关闭部 分优先级低的应用软件，并进行自检测，如果不正常将结果告知主控模块， 并等待主控命令，若正常，将结果告知主控模块，转入可以正常备份状态。

与现有技术相比较，本发明通过上述的分布式综合模块化航空电子系统 混合式动态重构系统与方法，按机载航电系统的实际使用情况，当出现模块 故障时进行动态重构，并且此过程不会影响到其他无关应用程序的运行，不 仅提高飞机的任务可靠性，而且保证现有的安全性，能够降低系统复杂程度、 减少体积重量与功耗、便于独立开发、简化系统验证并具有更大的灵活性。

可以理解的是，对本领域普通技术人员来说，可以根据本发明的技术方 案及其发明构思加以等同替换或改变，而所有这些改变或替换都应属于本发 明所附的权利要求的保护范围。