一种基于ARINC653标准机载电子设备健康监控体系制造技术

本发明专利技术属于飞机航电系统技术，涉及一种基于ARINC653标准机载电子设备健康监控体系。本发明专利技术对异常事件采用逐级注入，诊断决策、分级处理的方式，从软件任务级到操作系统，从机载电子设备层到全机系统综合诊断，采用分级分层的方式，将故障事件按照健康监控等级分派个不同级别的处理环节，处理权限也按照健康监控等级逐步放大。通过这种分级处理、逐级上报的方式，该方法有效的实现飞机的机载健康管理。不同级别的处理权限保证了故障的处理的安全性，事件的逐级上报提高了对系统故障事件处理效率和飞机对健康状态的感知。有效的增强了飞机故障诊断恢复能力，增强了飞机的测试性、安全性。

A health monitoring system for airborne electronic equipment based on ARINC653 standard

The invention belongs to the technical field of aircraft avionics system, and relates to a health monitoring system of an airborne electronic equipment based on ARINC653 standard. The invention adopts the step of abnormal events into the diagnosis decision, the method of hierarchical process, task level from the software to the operating system, to comprehensive diagnosis of the whole machine system from airborne electronic equipment layer, using hierarchical way, the fault event according to the grade assigned a health monitoring with the level of processing link, processing in accordance with the health authority the monitoring level gradually enlarge. This method can effectively realize the on-board health management of aircraft through this sort of hierarchical processing and step-by-step reporting. Different levels of processing authority ensure the security of fault handling, and the gradual reporting of events improves the efficiency of system fault event processing and the perception of aircraft's health status. It effectively enhances the capability of aircraft fault diagnosis and recovery, and enhances the testability and security of the aircraft.

【技术实现步骤摘要】
—种基于ARINC653标准机载电子设备健康监控体系
本专利技术属于飞机航电系统技术,涉及一种基于ARINC653标准机载电子设备健康监控体系。
技术介绍
随着综合模块化机载电子系统(Integrated Modular Avionics, IMA)的快速发展。机载电子技术经历了几个发展阶段，三代飞机之后的机载计算机广泛采用实时嵌入式操作系统(RT0S)。随着四代、五代作战飞机、以及无人机的快速发展，现代飞机航电向综合化、模块化、智能化方向快速发展。针对新型飞机机载电子系统可移植、可重用、高可靠的需要，美国航电委员会于1997年针对新一代飞机数据综合化提出的应用程序接口标准——Arinc653。Arinc653规范中定义了应用程序和操作系统隔尚，提出时间隔尚、空间分区的概念。Arinc653标准在安全隔离划分基础之上，首次引出健康监控体系概念。ARINC653标准在时空分区的概念下提出了的嵌入式系统的安全运行策略——健康监控。健康监控定义为系统中对异常事件的逐级注入以及经过诊断决策后的分级处理的健康管理体系。在ARINC653标准中对健康监控的定义为任务级、分区级和模块级三级健康监控体系。这三级健康监控是定义在软件接口规范上的健康监控体系，在多余度CPU中的机载计算机中一般是运行在某一单CPU中的RTOS中，仅能处理单一 CPU单元操作系统、应用软件层面的软件故障。对于设备间故障、以及由设备检测到得系统故障并没有解决方法。随着飞机机载计算机网络的快速发展，计算机内部结构越来越复杂。众多CPU模块、SOC子卡、协议芯片之间，如何让监管健康状态、如何进行余度选择，如何重启关闭失效模块以及如何判定设备输出数据有效性等问题，对机载计算机提出设备层健康监控需求。飞机网络对机载设备、设备下的系统故障、系统故障的恢复、余度切换还没有一套完整的监控方案。原有的三级健康监控并不能实现飞机健康管理的需求。
技术实现思路
本专利技术的目的是提出一种基于ARINC653标准上扩展的五级健康监控体系，实现对机载航电系统从CPU软件任务到设备模块的故障诊断、处理、以及上报机制。本专利技术的技术解决方案健康监控体系包括五级功能区，按健康事件处理级别从小到大分为:(I)任务级健康监控功能区，(2)分区级健康监控功能区，(3)模块级健康监控功能区，(4)设备级综合诊断功能区，(5)飞机级健康处理功能区；所述的健康事件包括软件事件和系统事件两种类型，健康事件由事件ID、发生时刻和最终状态三部分组成，飞机所有健康事件ID按照适航要求分系统章节编写，一种故障唯一的对应一个独立的事件ID ；( I)任务级健康监控功能区(1.1)任务级健康监控功能区驻留在机载电子设备CPU模块运行操作系统各分区内的任务层；(1.2)任务级健康监控功能区包括任务级健康事件检测模块、任务级健康事件派遣模块、任务级健康事件处理模块；(1.3)任务级健康事件检测模块检测本分区内各任务发送来的健康事件；任务级健康事件派遣模块将健康事件根据任务级健康处理列表将本分区内的软件事件派遣到健康事件处理模块进行处理；(1.4)任务级健康事件处理模块根据任务级健康处理列表中的索引调用相应处理策略函数，对健康事件中的软件事件进行处理；任务级健康事件处理模块对健康事件的处理仅限于对本分区内任务的操作；(1.5)任务级健康事件处理模块对处理成功的软件事件进行本地处理记录存储，对于处理失败的软件事件，由健康事件处理功能模块将这个软件事件派遣给分区级健康监控功能区；(1.6)对于不属于健康处理列表中的软件事件，健康事件处理功能模块将这个软件事件派遣给分区级健康监控功能区；(1.7)健康事件派遣模块将本分区各任务发来的系统事件通过分区间通讯直接派遣至模块级健康监控分区；(2)分区级健康监控功能区(2.1)分区级健康监控功能区驻留在CPU模块运行操作系统分区内核层；(2.2)分区级健康监控功能区包括分区级健康事件检测模块、分区级健康事件派遣模块、健康事件处理模块；(2.3)分区级健康事件检测模块检测由任务级健康监控功能区派遣上来的软件事件；分区级健康事件派遣模块根据分区级健康处理列表将软件事件派遣到分区级健康事件处理模块进行事件处理；(2.4)分区级健康事件处理模块根据分区级健康处理列表中的索引调用相应处理策略函数，对软件事件进行处理；分区级健康事件处理模块对事件的处理仅限于对本分区的操作，包括分区关闭、分区等待和分区冷/热启动；分区级健康事件处理模块对处理成功的软件事件进行本地处理记录存储；(2.5)对于不属于分区级健康处理列表中的软件事件，分区级健康事件处理模块将这个软件事件派遣给模块级健康监控功能区；(3)模块级健康监控功能区(3.1)模块级健康监控功能区驻留在CPU模块运行操作系统内核层以及ARINC653操作系统的一个独立分区中；(3.2)模块级健康监控功能区包括模块级健康监控检测模块、模块级健康事件派遣模块、模块级健康事件处理模块和一个健康监控处理分区；(3.3)模块级健康事件检测模块检测由分区级健康监控功能区派遣上来的软件事件；模块级健康事件派遣模块根据模块级健康处理列表将软件事件派遣到模块级健康事件处理模块进行事件处理；模块级健康事件处理模块对事件的处理仅限于对操作系统内核、分区内核以及分区调度表的操作，包括软件关闭、系统复位等待、系统冷/热启动以及分区调度表初始化；(3.4)模块级健康事件处理模块根据模块级健康处理列表中的索引调用相应处理策略函数，对软件事件进行处理并进行本地存储记录；(3.5)由任务级健康事件处理模块上报的系统事件由健康监控处理分区独立处理；健康监控处理分区是ARINC653标准下的一个独立运行的软件分区，占有独立CPU运行时间窗口 ；(3.6)健康监控处理分区包括系统故障检索模块、系统故障处理模块、设备在线监控模块和心跳监控模块；(3.7)健康监控处理分区中的系统故障检索模块检测到由各分区任务级健康事件处理模块上报的系统故障，系统故障检索模块将检测到的系统故障查询系统故障处理列表，根据处理列表中的索引调用系统故障处理模块中相应的处理函数。(3.8)对于不属于系统故障处理列表中的系统事件，健康监控处理分区将这个系统事件派遣给设备级综合诊断功能区；(3.9)设备在线监控模块通过获取设备对外通讯状况，收集与本设备交联的外部网络其他设备的健康状态，认为通讯良好的设备处于在线状态，认为超时通讯异常的设备处于掉线状态；设备在线监控模块负责收集与本设备交联的所有外部设备在线状态，并将这些在线状态通过分区间端口转发给各个分区，作为数据使用依据；(3.10)驻留在健康监控分区的心跳监控模块负责监听多CPU单元余度的计算设备的其他CPU单元或总线通讯单元的周期健康握手信号，并同时发送本模块的周期健康信息。若心跳监控模块未能按照事先约定收到与预期一致的周期健康握手信号，则判断对方CPU单元故障或总线通讯单元；否则判断对方CPU单元或总线通讯单元正常；心跳监控模块将自身和对方CPU单元、总线通讯单元的健康状态发送给设备级综合诊断功能区，做为余度切换的依据；(4)设备级综合诊断功能区(4.1)设备级综合诊断功能区驻留在计算机设备中的一个独立硬件区域，该区域具有独立的CPU单本文档来自技高网...

【技术保护点】
一种基于ARINC653标准机载电子设备健康监控体系，其特征是，健康监控体系包括五级功能区，按健康事件处理级别从小到大分为：(1)任务级健康监控功能区(2)分区级健康监控功能区（3）模块级健康监控功能区（4）设备级综合诊断功能区（5）飞机级健康处理功能区，所述的健康事件包括软件事件和系统事件两种类型，健康事件由事件ID、发生时刻和最终状态三部分组成，飞机所有健康事件ID按照适航要求分系统章节编写，一种故障唯一的对应一个独立的事件ID；（1）任务级健康监控功能区（1.1）任务级健康监控功能区驻留在机载电子设备CPU模块运行操作系统各分区内的任务层；（1.2）任务级健康监控功能区包括任务级健康事件检测模块、任务级健康事件派遣模块、任务级健康事件处理模块；（1.3）任务级健康事件检测模块检测本分区内各任务发送来的健康事件；任务级健康事件派遣模块将健康事件根据任务级健康处理列表将本分区内的软件事件派遣到健康事件处理模块进行处理；（1.4）任务级健康事件处理模块根据任务级健康处理列表中的索引调用相应处理策略函数，对健康事件中的软件事件进行处理;任务级健康事件处理模块对健康事件的处理仅限于对本分区内任务的操作；（1.5）任务级健康事件处理模块对处理成功的软件事件进行本地处理记录存储，对于处理失败的软件事件，由健康事件处理功能模块将这个软件事件派遣给分区级健康监控功能区；（1.6）对于不属于健康处理列表中的软件事件，健康事件处理功能模块将这个软件事件派遣给分区级健康监控功能区；（1.7）健康事件派遣模块将本分区各任务发来的系统事件通过分区间通讯直接派遣至模块级健康监控分区；（2）分区级健康监控功能区（2.1）分区级健康监控功能区驻留在CPU模块运行操作系统分区内核层；（2.2）分区级健康监控功能区包括分区级健康事件检测模块、分区级健康事件派遣模块、健康事件处理模块；（2.3）分区级健康事件检测模块检测由任务级健康监控功能区派遣上来的 软件事件；分区级健康事件派遣模块根据分区级健康处理列表将软件事件派遣到分区级健康事件处理模块进行事件处理；（2.4）分区级健康事件处理模块根据分区级健康处理列表中的索引调用相应处理策略函数，对软件事件进行处理；分区级健康事件处理模块对事件的处理仅限于对本分区的操作，包括分区关闭、分区等待和分区冷/热启动；分区级健康事件处理模块对处理成功的软件事件进行本地处理记录存储；（2.5）对于不属于分区级健康处理列表中的软件事件，分区级健康事件处理模块将这个软件事件派遣给模块级健康监控功能区；（3）模块级健康监控功能区（3.1）模块级健康监控功能区驻留在CPU模块运行操作系统内核层以及ARINC653操作系统的一个独立分区中；（3.2）模块级健康监控功能区包括模块级健康监控检测模块、模块级健康事件派遣模块、模块级健康事件处理模块和一个健康监控处理分区；（3.3）模块级健康事件检测模块检测由分区级健康监控功能区派遣上来的软件事件；模块级健康事件派遣模块根据模块级健康处理列表将软件事件派遣到模块级健康事件处理模块进行事件处理；模块级健康事件处理模块对事件的处理仅限于对操作系统内核、分区内核以及分区调度表的操作，包括软件关闭、系统复位等待、系统冷/热启动以及分区调度表初始化；（3.4）模块级健康事件处理模块根据模块级健康处理列表中的索引调用相应处理策略函数，对软件事件进行处理并进行本地存储记录；（3.5）由任务级健康事件处理模块上报的系统事件由健康监控处理分区独立处理；健康监控处理分区是ARINC653标准下的一个独立运行的软件分区，占有独立CPU运行时间窗口；（3.6）健康监控处理分区包括系统故障检索模块、系统故障处理模块、设备在线监控模块和心跳监控模块；（3.7）健康监控处理分区中的系统故障检索模块检测到由各分区任务级健康事件处理模块上报的系统故障，系统故障检索模块将检测到的系统故障查询系统故障处理列表，根据处理列表中的索引调用系统故障处理模块中相应的处理函数。（3.8）对于不属于系统故障处理列表中的系统事件，健康监控处理分区将这个系统事件派遣给设备级综合诊断功能区；（3.9）设备在线监控模块通过获取设备对外通讯状况，收集与本设备交联 的外部网络其他设备的健康状态，认为通讯良好的设备处于在线状态，认为超时通讯异常的设备处于掉线状态；设备在线监控模块负责收集与本设备交联的所有外部设备在线状态，并将这些在线状态通过分区间端口转发给各个分区，作为数据使用依据；（3.10）驻留在健康监控分区的心跳监控模块负责监听多CPU单元...

【技术特征摘要】
1.一种基于ARINC653标准机载电子设备健康监控体系,其特征是,健康监控体系包括五级功能区，按健康事件处理级别从小到大分为:(I)任务级健康监控功能区(2)分区级健康监控功能区(3)模块级健康监控功能区(4)设备级综合诊断功能区(5)飞机级健康处理功能区，所述的健康事件包括软件事件和系统事件两种类型，健康事件由事件ID、发生时刻和最终状态三部分组成，飞机所有健康事件ID按照适航要求分系统章节编写，一种故障唯一的对应一个独立的事件ID ； (1)任务级健康监控功能区 (1.1)任务级健康监控功能区驻留在机载电子设备CPU模块运行操作系统各分区内的任务层； (1.2)任务级健康监控功能区包括任务级健康事件检测模块、任务级健康事件派遣模块、任务级健康事件处理模块； (1.3)任务级健康事件检测模块检测本分区内各任务发送来的健康事件；任务级健康事件派遣模块将健康事件根据任务级健康处理列表将本分区内的软件事件派遣到健康事件处理模块进行处理； (1.4)任务级健康事件处理模块根据任务级健康处理列表中的索引调用相应处理策略函数，对健康事件中的软件事件进行处理；任务级健康事件处理模块对健康事件的处理仅限于对本分区内任务的操作； (1.5)任务级健康事件处理模块对处理成功的软件事件进行本地处理记录存储，对于处理失败的软件事件，由健康事件处理功能模块将这个软件事件派遣给分区级健康监控功能区； (1.6)对于不属于健康处理列表中的软件事件，健康事件处理功能模块将这个软件事件派遣给分区级健康监控功能区； (1.7)健康事件派遣模块将本分区各任务发来的系统事件通过分区间通讯直接派遣至模块级健康监控分区； (2)分区级健康监控功能区 (2.1)分区级健康监控功能区驻留在CPU模块运行操作系统分区内核层； (2.2)分区级健康监控功能区包括分区级健康事件检测模块、分区级健康事件派遣模块、健康事件处理模块； (2.3)分区级健康事件检测模块检测由任务级健康监控功能区派遣上来的软件事件；分区级健康事件派遣模块根据分区级健康处理列表将软件事件派遣到分区级健康事件处理模块进行事件处理； (2.4)分区级健康事件处理模块根据分区级健康处理列表中的索引调用相应处理策略函数，对软件事件进行处理；分区级健康事件处理模块对事件的处理仅限于对本分区的操作，包括分区关闭、分区等待和分区冷/热启动；分区级健康事件处理模块对处理成功的软件事件进行本地处理记录存储； (2.5)对于不属于分区级健康处理列表中的软件事件，分区级健康事件处理模块将这个软件事件派遣给模块级健康监控功能区； (3)模块级健康监控功能区 (3.1)模块级健康监控功能区驻留在CPU模块运行操作系统内核层以及ARINC653操作系统的一个独立分区中； (3.2)模块级健康监控功能区包括模块级健康监控检测模块、模块级健康事件派遣模块、模块级健康事件处理模块和一个健康监控处理分区； (3.3)模块级健康事件检测模块检测由分区级健康监控功能区派遣上来的软件事件；模块级健康事件派遣模块根据模块级健康处理列表将软件事件派遣到模块级健康事件处理模块进行事件处理；模块级健康事件处理模块对事件的处理仅限于对操作系统内核、分区内核以及分区调度表的操作，包括软件关闭、系统复位等待、系统冷/热启动以及分区调度表初始化； (3.4)模块级健康事件处理模块根据模块级健康处理列表中的索引调用相应处理策略函数，对软件事件进行处理并进行本地存储记录； (3.5)由任务级健康事件处理模块上报的系统事件由健康监控处理分区独立处理；健康监控处理分区是ARINC653标准下的一个独立运行的软件分区，占有独立CPU运行时间窗Π ； (3.6)...

【专利技术属性】
技术研发人员：刘冬，邓健，王承惠，
申请(专利权)人：中国航空工业集团公司西安飞机设计研究所，
类型：发明
国别省市：