文摘

与联邦航电架构相比,综合模块化航电系统(IMA)体系结构在飞机可以提供更复杂的和强大的航电功能,与此同时,它变成了结构动态、不定地相互联系,非常复杂。传统的方法如故障树分析(FTA)变得既不方便也不足够使IMA系统的安全分析。为了克服的局限性,自由贸易协定的方法结合广义随机petri网(GSPN)提出。首先,自由贸易协议是用于建立静态模型的顶层IMA系统,虽然GSPN是用于构建每个细胞系统的动态模型。最后,结合模型生成,它叫做FTGPN模型。此外,FTGPN模型是由与PIPE2安全分析工具。根据仿真结果,采取相应的措施来满足安全要求的IMA系统。

1。介绍

IMA系统进化与较小的地区提供更多的功能,重量和成本,同时它也是会议的可靠性和安全性约束(1- - - - - -4]。有效地应对高水平的复杂性,小说和结构化开发方法是必需的(5- - - - - -7]。众所周知,自由贸易协定是广泛用于系统的安全分析,但它有一些局限性。这样的限制之一是,它只能评估静态的安全系统。然而,IMA系统产生各种动态故障特征等功能活动之间的依赖关系和失败事件的优先级8]。

基于模型的安全性分析(MBSA)利用软件自动化和集成了设计模型来简化复杂系统的安全分析9]。在这些MBSA方法中,嘻哈关注预测系统故障分析的自动化建设(10- - - - - -17]。同时,语言等架构分析和设计语言(AADL)和AltaRica,自动分析系统中潜在的故障模式。AADL提供了一个标准化的文本和图形符号来描述软件和硬件系统架构及其功能接口(18,19]。因此,IMA系统提出了基于AADL模型(20.- - - - - -26]。然而,它的缺点是它不能直接进行安全分析和需要转换成其他安全分析方法如佩特里网和嘻哈音乐16,17]。此外,AltaRica [27是高级造型语言,致力于安全分析。基于AltaRica,有一个商业工具叫Simfia,空客A380的建模平台。

GSPN的两种方法和故障树的马尔可夫过程(FTDMP)比较28]。然后,它指出GSPN上级在造型形式主义和FTDMP相比显示了优越的造型能力。一个概念性的框架,它包含了半马尔科夫过程(SMP)为基础的复杂行为嘻哈造型复杂系统提出了(29日]。虽然定量分析结果通过SMP (30.,31日)是比GSPN分析结果更精确,安全模型GSPN更直观。此外,为了减少计算GSPN分析,许多成熟的仿真软件工具,如GreatSPN [32]和PIPE2 [33,34)开发。

GSPN的混合法是使用这些电池系统和自贸区过程应用于上层系统是验证有效35]。然后,它得到了一个清晰的视图之间的关系的失败子系统和系统的失败。然而,它还缺乏进一步的整个系统安全性评价。此外,GSPN在某些工作(36- - - - - -43)被用来构建一个动态系统的安全模型。但该模型不能说明其与其他系统的交互。

在这个大背景下,较小的小礼品包括:(1)根据工作原理,IMA系统简化为了使安全模型更容易(2)提出FTGPN方法不仅构建静态安全分析的顶级IMA系统还建立了单元系统的动态安全模型(3)IMA系统模拟PIPE2 FTGPN模型工具和相应的参数可以调整,以满足安全要求

FTGPN方法解决的问题无法进行全面和准确的为复杂的IMA系统安全模型。此外,FTGPN IMA系统提供了一个有效的安全分析方法。

本文的部分组织如下:

部分2介绍了IMA系统和FTGPN为主的初步知识的方法。部分3建立了FTGPN与自由贸易协定和GSPN IMA系统模型。部分4使FTGPN的安全分析模型。部分5描述了FTGPN的能力和局限性。部分6结论。

2。初步

在本节中,介绍了第一个IMA系统。然后,面试的GSPN。

2.1。综合模块化航空电子设备

IMA体系结构提供了一个通用平台托管飞机航空电子设备。IMA平台共享的处理系统,包括共享数据网络,共享I / O系统。共享平台是一种有效的手段实现航电功能,因为它大大减少了飞机的电子盒和线数。因此,IMA系统能够减少尺寸,重量,以及一套航电系统的权力。

IMA体系结构如图1(44]。arinc - 653标准是一种常见的实现软件的分区(45]。它可以保证每个应用程序的内存空间和时间执行环境,这样他们不会影响其他应用程序。


图1
IMA系统。

共享网络取代了许多专用通信线路共享骨干网。今天是常见的网络实现定义的arinc - 664 p7标准(46]。arinc - 664 p7还包括分区的概念,通过使用虚拟链接(VLs),以确保通信内容从一个应用程序不能影响或影响的时间特征消息传递(不超过数据延迟保证)。

共享的输入/输出(I / O)系统作为一个网关将I / O之间的许多独立的来源和共享网络。这使得I / O可以所有的网络连接设备,而不必在飞机运行专用线路。因为许多来源的数据集中到一个公共网络,这些设备通常被称为“远程数据集中器(rdc)”(47]。

为了模型IMA系统,简化获得IMA系统的拓扑结构,如图2。这些包括RDC,一般处理模块(GPM)和共享通信数据网络使用ARINC664标准。终端AFDX有两个独立的通信接口,分别是A和B通道。的软件和硬件,操作系统为每个流量是相同的在软件应用程序的流量是不同的2]。


图2
IMA的拓扑简化系统。

IMA系统作为转换器和所有通信系统中信号处理。首先,non-AINC664信号转换为ARINC664信号。第二,经过RDC的信号。第三,它传播到流量通过通道A或B信号被处理后,输出通过从流量通道A或B。最后,信号改变相应的non-ARINC664 RDC的信号。整个过程是简化的IMA系统的工作原理。下面的部分将对IMA系统安全分析基于其简化结构。

2.2。概述GSPN

GSPN由地方(圆形),包括转换(长方形酒吧),导演弧和令牌(黑子弹)。导演弧连接输入转换或者转换的地方的地方。“P”的地方代表组件的状态或条件。过渡“T”描述了状态从输入到输出的变化。然而,令牌的流动的方向是由导演决定的弧线。每个弧有多样性,描绘了令牌弧的迁移能力。过渡只能火如果输入的地方拥有同等数量的令牌或多个弧的多重性(48- - - - - -50]。

在随机petri网(SPN),如果一个过渡是解雇,令牌等待直到点火延迟(这有助于阻止令牌)。一旦点火延迟结束,迁移发生的令牌从初始到最终位置,和令牌迁移的数量取决于输入和输出功能。然后,扩展到GSPN SPN。除了SPN的特性,两个新特性添加即时转换发射和抑制剂弧(用于禁用的转变令牌时出现在输入的地方)(51,52]。介绍了GSPN的定义如下。

一个GSPN 6-tuple ( , , , , , )地点:(1) 是一组有限的地方, (2) 提出所有的转换

是一个有限集合的时间转换与启用和发射之间的一个随机延迟时间;

是一组有限的直接转换,可以发射随机延迟是零。(3) 是一组弧

存在抑制弧,只能形成地方转换,使使不能启用的条件。(4) 是弧的权函数(5) 是最初的标志 (6) 是一组发射率对应的转换

是来自 例如,如图3, 是由 {1,0,0}。一个新标志 当定时转换达到 启用。 标记消失状态,因为直接转换 启用。与此同时,实实在在的状态 是达到了。 , , 简单的系统的可达集。 是实实在在的州,而 消失的状态。消失的状态可以改变到一个新的切实的状态。


图3
一个简单的GSPN。

3所示。提出FTGPN方法

传统的安全分析方法(如故障树,可靠性方框图,二元决策图,和马尔可夫过程模型)不能有效模拟系统的动态行为。然而,GSPN适用于建模系统的动态行为(50]。因此,FTGPN方法是开发结合故障树和GSPN以一种新的方式。和FTGPN IMA系统用来进行安全分析。

3.1。简短的描述FTGPN

FTGPN显然与一个简单的例子在图中进行了描述4。失败的组件 是由“ ”,而失败的组件 是由“ ”。故障树的使用 组件的故障和维修率 进行定量分析。如果组件 已经失败,FTGPN将利用GSPN模型代表的失败行为


图4
用一个简单的示例说明了FTGPN。

FTGPN方法是应用于以下步骤。首先,故障树是用来清楚地识别电池系统的序列与演绎逻辑,建立系统的顶层。第二,每个单元的GSPN模型系统建立。第三,电池系统的GSPN根据故障树的结构构造。最后,FTGPN形成整个系统模型,它可以与PIPE2安全分析工具。以及如何建立FTGPN IMA系统模型将在以下部分中详细介绍。

3.2。自由贸易协定的造型

一般来说,为了确保FTGPN模型是正确和有效的应用程序,需要做出一些限制。假定下列条件是正确的:

假设1。系统的每个组件只有两种状态,失败和操作。

假设2。独立系统中的每个组件失败,不超过两个组件在同一时间将会失败。

假设3。维护设备是充分的,组件失败后及时修理,修理组件是新的。

假设4。组件的故障率

假设5。组件的维修率

5给出了故障树分析的架构IMA系统。RDC的失败是由b同时频道ARINC664网络 和B ARINC664网络频道 之后,他们两人导致的失败ARINC664网络表示为c。此外,CPU是D,记忆是E, RTOS是H,和最终的软件系统是g .因此,其中一个是失败的失败将导致流量表示为m .此外,之间的关系RDC, ARINC664网络,流量是结合”或“。


图5
自由贸易区的IMA模型系统。
3.3。FTGPN造型

基于GSPN模型模块理论,流量和ARINC664首先建立网络。最后,IMA的顶级FTGPN模型的系统合成。

3.3.1。流量模型

流量的GSPN模型如图6和模型描述了在表12。流量的工作过程如下。这是正常操作。一个随机时间后,从CPU变化 和标志 是空的(标志的数量 是1,它是用来禁止其他组件的失败在流量),然后直接过渡 触发,流量变化的 一个随机时间后,假设CPU中GPM是修理,和它改变 (标志 消失)。然后,从CPU的变化 ,这表明CPU操作。


图6
GSPN模型的流量。
表1
流量的GSPN模型的地方。
表2
在GSPN模型中GPM的转换。
3.3.2。ARINC664网络模型

的GSPN模型ARINC664网络如图7,并给出了模型描述表34。ARINC664网络的工作过程如下。这是正常操作。一个随机时间后,ARINC664网络通道的变化 ,和标记的数量 变成1,然后标记的数量 是1。当标志的数量 变成了0和标志的数量 变成2,立即转变 触发,ARINC664网络更改 一个随机时间后,ARINC664网络通道的变化 ,和ARINC664网络系统恢复


图7
的GSPN模型ARINC664网络。
表3
地方GSPN模型ARINC664网络。
表4
在ARINC664 GSPN模型网络的转换。
3.3.3。FTGPN模型

IMA的FTGPN模型系统如图8,并给出了模型描述表56。IMA系统的工作过程如下。IMA系统工作正常。一个随机时间后,过渡 触发和IMA系统更改吗 一个随机时间后,RDC恢复操作,和过渡 触发下一个。与此同时,的标志 消失,IMA系统恢复运行。最后,根据自由贸易协定的顶级IMA模型系统,细胞的GSPN模型系统,如流量和ARINC664网络FTGPN模型相结合。此外,IMA系统安全分析是由以下部分。


图8
FTGPN IMA系统的模型。
表5
地方RDC GSPN模型和IMA系统。
表6
在RDC的GSPN模型转换。

4所示。结果与讨论

该工具PIPE2 [33,34)是用于制造分析FTGPN IMA系统的模型。PIPE2是一个开源工具,它支持创建和分析Petri网和一个易于使用的图形用户界面,允许用户建立随机Petri网模型。此外,该工具的分析环境包括不同的模块,如稳态分析,可达性/ coverability图分析,GSPN分析(37]。

首先,FTGPN模型建立PIPE2如图8。然后,分析结果表78可以通过GSPN分析。如表中所描绘的一样7,IMA系统的运营状态 , , ,和令牌的数量 是0。此外,的总价值 , , 是0.89213。它的概率等于 令牌的数量是0时( )在表8。因此,结论是,IMA系统在操作状态的概率是0.89213。

表7
GSPN稳态分析结果的实际状态。
表8
令牌概率密度。

9说明了IMA FTGPN模型系统的能达性图。每个图的节点充当IMA系统状态,初始状态是节点 众所周知, ,这是由令牌的数量在每个地方。同时, 是对应的 在表7。此外,实实在在的国家提出了红色,蓝色是消失的状态。因此,有形的标记状态是对应表7


图9
IMA FTGPN模型系统的能达性图。

如图9,美国改变了通过触发转换。例如,状态 是发射的过渡 然后就变成了 与此同时,国家 是发射的过渡 然后就变成了 这些都是在表7。标志的数量变化相应的转换等 , , , 与此同时, , , , 可以在表中相应的州吗7。美国在表7配以红色一个接一个的实实在在的状态图9。尽管结果可以实现手动从图7为一个复杂的系统,整个图可达性与PIP2工具得到快速和准确。

此外,每个小图可达性是一个封闭循环的一部分。例如,首先, 是发射的过渡 并成为 第二, 是发射的过渡 并成为 第三, 是发射的过渡 并成为 最后, 是发射的过渡 并返回到 整个过程是一个圆,紫色在图中描述9。和可达性图由许多圆圈。这些都表明IMA系统的实际状态和消失的状态。此外,根据图可达性,进一步研究在未来可以进行定量分析。

实现了不同初始随机发射的模拟FTGPN模型。令牌分布已经更新到100年,500年和1000年随机发射,如图10


图10
令牌分配不同数量的解雇。

图在图10显示三行几乎一致。最高的点 ,和令牌的平均数是接近2,而最低的点 , , 的价值 不是我们的期望。因此,应制定相应的对策来提高它的价值并使其达到1。显然,FTGPN的仿真模型允许用户分析的失败行为IMA系统以更直观的方式。事实上,上述模拟被用来解释应用程序FTGPN IMA系统的模型。然而,它并不符合实际情况的飞机。例如,没有修复FTGPN时IMA系统模型是基于飞行。虽然FTGPN IMA系统建模方法有效地验证,进一步定量分析应在未来。

5。FTGPN的能力和局限性

一些功能和限制(限制在制作精确定量分析IMA系统)的FTGPN将在本节中讨论。

5.1。FTGPN功能

FTGPN提供了以下功能。(1)首先,IMA系统的架构简化根据工作理论。这是一个非常重要的步骤建立自由贸易区模型系统的顶层(2)FTGPN方法建立的顶级IMA系统静态模型的自由贸易协定,而细胞系统构建与GSPN动态模型。此外,IMA系统之间的依赖关系和交互由FTGPN直观地描述模型(3)PIPE2工具选择让FTGPN的IMA模型模拟系统。结果不仅是有形的州也IMA系统操作的概率。此外,可达性图,描述了所有的州可以自动获得。此外,清楚地说明了令牌的数量在每一个地方。因此,根据仿真可以采用相应的措施

5.2。FTGPN的限制

FTGPN具有以下限制。都将是我们未来的工作得到解决。(1)本文使用的简化IMA系统。然而,众所周知,简化了复杂的系统是很困难的。因此,我们应该开发一种新的方法来自动生成自由贸易区。这项工作应该在未来(2)需要时间建立FTGPN模型。此外,它很容易犯错误手动构建模型。因此,软件可以自动生成模型的发展(3)与现有的方法比较(12,29日- - - - - -32),FTGPN方法更好地建立安全模型明显和直接。然而,定量分析FTGPN并不准确。因此,FTGPN的定量分析应与飞机燃料分布系统优化和验证。使定量分析优化是我的进一步的工作(4)摘要PIPE2选择工具进行仿真。因为这个工具的局限性,安全分析是不够的。因此,工具应该扩展的功能特别是定量分析

6。结论

FTGPN模型提出了IMA的动态安全分析系统。首先,介绍了自由贸易协定做出顶级的IMA系统静态模型,然后GSPN是用来构造一个细胞系统的动态模型。它代表了一种进步安全分析模型,允许更快,使用GSPN自动分析的动态系统。FTGPN模型结合的高级特性与GSPN之间的自由贸易协定。两个安全分析方法的集成是一个潜在的工具进行复杂的安全分析和交互式IMA系统。

本文的结论如下:(1)复杂的IMA系统简化正确使其余的工作,如建立FTGPN模型更容易(2)FTGPN方法结合自由贸易区和GSPN IMA系统和应用不仅显示了电池系统之间的关系,而且模拟每个单元中的动态交互系统(3)PIPE2用于模拟FTGPN IMA系统的模型。所有的参数,我们需要显示我们很明显。然后,我们可以满足安全要求方便地调整它们

然而,对于大型系统包括成千上万的组件,FTGPN模型很难建立。最好是开发一个工具,可以建立FTGPN自动模型并对其进行安全分析。

数据可用性

没有数据被用来支持本研究。

的利益冲突

作者宣称没有利益冲突。

确认

本文研究项目支持的支持由中国国家自然科学基金(U1333119),中国的国防基础科学研究项目(JCKY2013605B002)和民用航空器特殊的基础工业和信息化部(mj - 2017 j - 91)。