基于随机Petri网的分层航空操作系统HM/FM建模与评价方法

摘要

基于随机Petri网的分层航空操作系统HM/FM建模与评价方法，包括以下步骤：首先，建立所有组件的随机Petri网模型，包括被监控对象模型、HM模型以及FM模型，其次，进行模型的组合，构建完整的随机Petri网模型；然后，对完整的随机Petri网模型进行化简求解，得到分离的Petri子模型的稳态概率分布和压缩的Petri子模型的稳态概率分布；最后对模型进行分析与评价，本发明建立了系统组件的子模型，可根据实际系统的体系结构，灵活的将子模型进行组合，得到系统的完整模型，即“灵活性”，本发明对模型进行近似求解，可以处理较大规模的实际系统，即“复杂模型的求解”。

说明书

技术领域

本发明属于航空操作系统性能评价技术领域，涉及一种基于随机Petri 网的分层航空操作系统HM/FM建模与评价方法。

背景技术

综合化航电(IMA)是当前机载设备发展的趋势，它可以有效的降低生 命周期成本(LLC)、改善机载设备的性能、并方便软硬件设备的更新维护。 与联合式航电相比，综合化航电的一个显著特征是功能“软件化”，即利用 软件在通用硬件平台上实现原来专用硬件的功能。

综合化航电中的健康监控/故障管理(HM/FM)功能用来保证系统在出 现软件故障时，仍然能正常运转。健康监控模块负责识别、定位、以及汇报 软件故障。故障管理模块则负责采取一些措施来进行故障排除。

现代航电系统一般都采用分层的结构，以便最小化系统底层变换对上层 应用程序的影响。目前，还没有针对分层航电操作系统的HM/FM的量化分 析的成果。而这些分析结果对于设计实施高性能高可靠性的航电操作系统是 具有重大参考意义的。本专利的目标就是解决这一问题。

随机Petri网是对信息处理系统进行描述和建模的数学工具之一。随机 Petri网的主要特性包括：并行性、不确定性、异步以及对分布式系统的描述 能力和分析能力，是一种图形化的建模描述工具。随机Petri网具有很强的模 型分析能力，可以应用到复杂系统如网络等的建模和评价当中。

发明内容

为了克服上述现有技术的不足，本发明的目的在于提供一种基于随机Petri 网的分层航空操作系统HM/FM建模与评价方法，该方法可以对根据实际的 分层航电系统建立随机Petri网模型，并采用时间数量级分解的方法对模型进 行近似求解，最后对系统内各个被监控对象进行可靠性分析。

为了实现上述目的，本发明采用的技术方案是：

基于随机Petri网的分层航空操作系统HM/FM建模与评价方法，包括以 下步骤：

步骤1，建立所有组件的随机Petri网模型，包括被监控对象模型、HM 模型以及FM模型，

其中，

被监控对象模型分为简单对象与耦合对象，

简单对象是指独立被监控对象，由一个亮状态Petri网进行表示， working变迁的时延参数设置为该对象的平均无故障时间，一旦对象进入发 生故障的状态，在没有外部干预的情形下，它无法返回正常工作状态；

耦合对象分为AND/OR耦合对象与传播耦合对象，AND/OR耦合对象的 working变迁为立即变迁，利用guard函数来保持“与或”错误的同步关系； 传播耦合对象用时间变迁propagating以及相关的guard函数来表达；

HM模型反映了健康监控模块的行为，包括本层轮询、下层轮询、以及 回应，本层轮询是指HM模型周期性地轮询当前层的被监控对象，若没有发 现错误，则返回，若发现错误，则激发当前层的FM模型，并返回，HM模 型同时接受下层FM模型发送过来的错误报告；下层轮询是指由HM模型向 下一层发起的轮询，并等待回应，当回应返回，则变迁Replied发生，若没 有发现故障，则返回空闲状态。若发现故障，它会激发FM模块并返回；回 应是指HM模型接受到上层HM模型的轮询请求，收集对象的健康信息，并 将信息返回给上层HM模型；

FM模型由一系列故障处理器和一个故障汇报队列依次串联而成，第一 个故障处理器从HM模型接收FM模型激发请求，首先，它检查其负责的被 监控对象是否位于正常工作状态，若是，则跳过维修过程，并进入下一个故 障处理器；否则，对故障对象进行维修，若维修失败，则将维修失败信息放 进故障汇报队列，故障汇报队列收集所有维修失败信息，并通知上层HM模 型，下一个故障处理器顺次进行该工作过程；

步骤2，进行模型的组合：

模型组合遵循三个标准，即系统对象的故障耦合方式、层间耦合方式、 以及FM激发方式，系统对象的故障耦合方式分为AND/OR故障耦合与传播 故障耦合，层间耦合方式非为不进行下层轮询与进行下层轮询，FM激发方 式分为本层FM激发与下层FM激发，根据这些物理系统的耦合方式，将步 骤1中的Petri网子模型连接起来，构建完整的随机Petri网模型；

步骤3，对完整的随机Petri网模型进行化简求解，方法如下：

步骤3.1，按照变迁实施的速率，将所有变迁分为两个集合，即快实施 集合与慢实施集合，其中所有的Working变迁，均是慢速变迁，其他变迁均 是快速变迁；

步骤3.2，近似认为慢实施集合中的所有变迁都是不可触发的，得到分 离的Petri子模型；

步骤3.3，求解分离的Petri子模型的稳态概率分布，并以此得到压缩的 Petri子模型的变迁实施速率；

步骤3.4，求解压缩的Petri子模型的稳态概率分布；

步骤4，对模型进行分析与评价：

步骤4.1，定义系统的可用性与平均反映时间两种度量指标；

步骤4.2，利用步骤3.4中所得到的压缩子模型的稳态概率分布，计算以 上两种指标的值，进行性能评价。

所述步骤3中，将每个分离的Petri子模型压缩成一个位置，即用一个位 置替代所述的分离的Petri子模型，并将子模型之间的变迁保留，获得了一个 压缩的Petri网模型。

所述分离的Petri子模型的稳态概率分布是利用通用的随机Petri网求解 方法得出的，即首先求得Petri网的可达图，并确定可达图之间的转移速率； 其次，建立基于可达图的连续时间马尔科夫过程；最后，对连续时间马尔科 夫过程进行求解，则可得到原Petri网模型的稳态概率。

所述压缩的Petri子模型的变迁实施速率使用时间数量级分级的方法得 到：求得各个Petri网子模型的稳态概率，并根据这些概率，得到压缩模型的 变迁实施速率。

所述压缩的Petri子模型的稳态概率分布利用通用的随机Petri网求解方 法得出的，即首先求得Petri网的可达图，并确定可达图之间的转移速率；其 次，建立基于可达图的连续时间马尔科夫过程；最后，对连续时间马尔科夫 过程进行求解，则可得到原Petri网模型的稳态概率。

与现有的网络性能评价方法相比，本发明的优点在于：

1)建立了系统组件的子模型，可根据实际系统的体系结构，灵活的将 子模型进行组合，得到系统的完整模型，即“灵活性”。

2)对模型进行近似求解，可以处理较大规模的实际系统，即“复杂模 型的求解”。

附图说明

图1为分层航空操作系统示意图。

图2为独立被监控对象与传播耦合故障图。

图3为一个复杂AND/OR耦合故障图。

图4为HM模块随机Petri网模型图。

图5为FM模块随机Petri网模型图。

图6为系统可能采取的轮询交互方式图。

图7为一个完整的三层HM/FM实例模型图。

图8为分解的HM子模型图。

图9为压缩的系统模型图。

具体实施方式

下面结合附图和实施例对本发明做进一步详细说明。

(1)，如图1所示，建立实际系统的逻辑模型，每层中有一个HM模 型和FM模型；

(2)，确认各层之间通信的方式以及HM/FM之间的调用关系，明确目 标系统所采取的机制，如图2所示。图2-a是没有下层轮询的机制，这种机 制最为简单；图2-b是下层轮询，发现故障后调用本层FM的机制；这种机 制消耗资源较大，但是能获得较好的系统可靠性；图2-c是下层轮询，发现 故障后调用下层FM的机制，其性能与系统开销均介于前两种机制之间；

(3)，根据系统的逻辑模型与所采取的机制，按照前述规则，建立系统 的随机Petri网模型，包括被监控对象模型、HM模型以及FM模型，

其中，

对象模型分为简单对象与耦合对象，

简单对象是指独立被监控对象，其模型如图3左半部分所示，由一个亮 状态Petri网进行表示，位置on表示该对象正常工作，位置off表示该对象 发生故障。working变迁的时延参数设置为该对象的平均无故障时间 (MTTF)，一旦对象进入发生故障的状态，在没有外部干预的情形下，它 无法返回正常工作状态；

耦合对象分为AND/OR耦合对象与传播耦合对象，传播错误模型如图3 右半部分所示，用时间变迁propagating以及相关的guard函数来表达传播错 误。与或错误的波形如图4所示，一般情况下其working变迁为立即变迁， 利用guard函数来保持与或错误的同步关系。

HM模型反映了健康监控模块的行为，如图5所示，它包括本层轮询 (CQ)、下层轮询(SQ)、以及回应(RP)，本层轮询(CQ)是指HM模 型周期性地轮询当前层的被监控对象(Query_C)，若没有发现错误，则返 回(No_Error_C)，若发现错误，则激发当前层的FM模型，并返回(Return2)， HM模型同时接受下层FM模型发送过来的错误报告；下层轮询是指由HM 模型向下一层发起的轮询(Query_S与离去弧5)，并等待回应，当回应返 回(进入弧6)，则变迁Replied发生，若没有发现故障，则返回空闲状态 (No_Error_S)。若发现故障，否则它会激发FM模块并返回(Activate_FM2)； 回应(RP)是指HM模型接受到上层HM模型的轮询请求(进入弧1)，收 集对象的健康信息(Collecting)，并将信息返回给上层HM模型(Reply与 离去弧2)；

FM模型如图6所示，由一系列故障处理器和一个故障汇报队列依次串 联而成，第一个故障处理器从HM模型接收FM模型激发请求(进入弧1)， 首先，它检查其负责的被监控对象是否位于正常工作状态，若是，则跳过维 修过程(No_Error)，并进入下一个故障处理器(Next_Handler)；否则， 对故障对象进行维修(Fixing)，维修过程可能会成功(Success)，也可能 失败(Fail)。若维修失败，则将维修失败信息放进故障汇报队列。故障汇 报队列收集所有维修失败信息(进入弧2)，并通知上层HM(离去弧3)。 上层HM会激发相应的FM来处理这些维修失败的问题，下一个故障处理器 顺次进行该工作过程。

(4)，确定模型中所有变迁的延迟以及概率参数。

变迁延迟与概率一般通过测量实际系统来得到。

(5)，定义系统可靠性以及其他性能度量。

可靠性与性能等度量，一般可根据所建立的Petri网模型的稳态概率得 出。

(6)，运用时间数量级分解技术，对模型进行化简，得到压缩模型。

方法如下：.

首先，按照变迁实施的速率，将所有变迁分为两个集合，即快实施集合 与慢实施集合，其中所有的Working变迁，均是慢速变迁，其他变迁均是快 速变迁；

其次，近似认为慢实施集合中的所有变迁都是不可触发的，得到分离的 Petri子模型；

然后，求解分离的Petri子模型的稳态概率分布，并以此得到压缩的Petri 子模型的变迁实施速率；

最后，求解压缩的Petri子模型的稳态概率分布。

稳态概率分布利用通用的随机Petri网求解方法得出，即首先求得Petri 网的可达图，并确定可达图之间的转移速率；其次，建立基于可达图的连续 时间马尔科夫过程；最后，对连续时间马尔科夫过程进行求解，则可得到原 Petri网模型的稳态概率。

(7)，利用压缩模型，近似纠结步骤(5)中定义的性能度量。

一个具体例子：运用本发明中提出的基于随机Petri网的分层操作系统健 康监控/故障管理建模与评价方法，对北约ASSAC标准中的分层操作系统 HM/FM进行建模。

整个系统分为三层，分别为飞机层(AC)、集成航电层(IA)、以及资 源元素层(RE)。系统采用下层轮询、激发下层FM策略。该系统的SPN 模型如图7所示。

AC层对象与IA层的两个对象呈AND故障耦合关系；IA层对象1与 RE层两个对象呈OR故障耦合关系；IA层对象2与RE层对象1呈传播故障 耦合关系；RE层的两个对象为独立对象。

利用时间数量级分解技术，首先可以得到分解的HM子模型，如图8所 示，以及压缩的模型，如图9所示。从分解的HM子模型中，可以计算得到 表1所示参数。这些参数可以帮助进行近似求解。

表1

1)底层变迁发生延迟。我们给出计算d_{Repar_b_1_c}，即变迁Repar_b_1_c 延迟的方法。变迁Repair_b_1_c、Repair_b_2_c的延迟也可利用同样方法得 到。

首先，观察到维修过程有如下可能的路径：

路径1，底层HM通过本层轮询发现了故障，并激发了底层FM来维修 故障。

路径1.1，底层FM成功维修故障；

路径1.2，底层FM维修故障失败，将失败汇报给中层HM，并激发中层 FM，中层FM成功维修故障；

路径1.3，与路径1.2相同，但是中层FM仍未成功维修故障，此时将故 障汇报给顶层FM，并激发顶层FM，顶层FM成功维修故障。

路径2，中层HM通过下层轮询发现了故障，并激发了底层FM来维修 故障。

与路径1.1相同，底层FM成功维修故障；

与路径1.2相同，中层FM成功维修故障；

与路径1.3相同，顶层FM成功维修故障。

此时，可得d_{Repair_b_1_c}＝∑P_i×T_i，其中P_i与T_i分别为维修过程为路径i的概率， 与路径i所耗费的平均时间。有如下结果成立

P_1.1＝P_CQb×W_{Success_b_1}

P_1.2＝P_CQb×W_{Failed_b_1}×W_{Success_m_2}

P_1.3＝P_CQb×W_{Failed_b_1}×W_{Failed_m_2}

P_2.1＝P_SQm×W_{Success_b_1}

P_2.2＝P_SQm×W_{Failed_b_1}×W_{Success_m_2}

P_2.3＝P_SQm×W_{Failed_b_1}×W_{Failed_m_2}

T_i与状态概率相关，可以如下计算：

T_1.1＝d_{Activate_FM1_b}+d_{Fixing_b_1}

$T_{1.2}=\left(\begin{array}{c}{T}_{1.1}+T_m+d_{\mathrm{Fixing}\_m\_2},\mathrm{if}\#\mathrm{off}\_m\_1=0\\ T_{1.1}+T_m+d_{\mathrm{Fixing}\_m\_1}+d_{\mathrm{Fixing}\_m\_2},\mathrm{if}\#\mathrm{off}\_m\_1=1\end{array}\right)$

T_1.3＝T_1.2+T_t+d_{Fixing_t}

T_2.1＝d_{Activate_FM2_m}+d_{Fixing_b_1}

$T_{2.2}=\left(\begin{array}{c}{T}_{2.1}+T_m+d_{\mathrm{Fixing}\_m\_2},\mathrm{if}\#\mathrm{off}\_m\_1=0\\ T_{2.1}+T_m+d_{\mathrm{Fixing}\_m\_1}+d_{\mathrm{Fixing}\_m\_2},\mathrm{if}\#\mathrm{off}\_m\_1=1\end{array}\right)$

T_2.3＝T_2.2+T_t+d_{Fixing_t}

其中，

$T_n=\frac{d_{\mathrm{Sub}\_\mathrm{Report}\_m}}{\#\mathrm{Idle}\_m=1}+d_{\mathrm{Activate}\_\mathrm{FM}1\_m}$

$T_t=\frac{d_{\mathrm{Sub}\_\mathrm{Report}\_t}}{\#\mathrm{Idle}\_t=1}+d_{\mathrm{Activate}\_\mathrm{FM}1\_t}$

2)中层与顶层变迁发生延迟。中层变迁Repair_b_1_c的发生延迟可由 同样的方法计算得到，唯一的区别在于故障只能由中层或者顶层HM/FM进 行处理。变迁Repair_m_2_c与Repair_t_1_c无需修改，因为这些对象是 AND/OR故障耦合，这些变迁只能起到同步作用。

3)度量的定义。对象的不可用性，定义为对象位于down状态的概率， 其表达式为

P(#on_m_1＝1)

P(#on_m_2＝1)

下层轮询等待时间，定义为上层HM在轮询下层HM时所需的等待时间。 利用little定理，可得其表达式为

$E(\#P17)\times (P(\#\mathrm{idle}\_m=1|\#\mathrm{Error}\_\mathrm{Report}\_\mathrm{pool}\_b=0)\times \frac{{\lambda }_{\mathrm{Timer}\_s\_m}^2}{{\lambda }_{\mathrm{Timer}\_S\_m}+{\lambda }_{\mathrm{Timer}\_C\_m}}$

$+P(\#\mathrm{idle}\_m=1|\#\mathrm{Error}\_\mathrm{Report}\_\mathrm{pool}\_b>0)\times \frac{{\lambda }_{\mathrm{Timer}\_s\_m}^2}{{\lambda }_{\mathrm{Timer}\_S\_m}+{\lambda }_{\mathrm{Timer}\_C\_m}+{\lambda }_{\mathrm{Sub}\_\mathrm{Report}\_m}})$

从而可以进行模型分析与定量性能评价。

以上，参照附图对本发明的具体实施方式做了具体描述，但是不应该认 定本发明的具体实施只局限于这些说明。对于本发明所属领域的普通技术人 员来说，在不脱离本发明构思和由权利要求书所限定的保护范围的前提之下， 还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。