动态重构系统的多状态空间分析

动态重构系统的多状态空间分析

0动态重构系统的安全机理分析技术动态重建系统通常用于航空控制和电子航空电子等安全关键飞机系统。但是,在充分利用系统软硬件的功能冗余,有效减少系统占用资源(重量、空间和资金等)的同时,其复杂的容错行为过程也导致了在系统设计期间,很难对其进行彻底的安全机理分析。动态重构系统的复杂特性制约了动态重构技术在安全关键系统中的应用,也是导致很多重大事故的关键因素。因此,评价系统安全性、辅助重构策略的设计的关键,在于如何在系统设计阶段充分分析动态重构系统的安全机理,从而获得导致危险产生的故障状态演变过程。在安全机理分析时,系统行为复杂主要源于系统在容错过程中的各种容错行为,包括切换物理冗余备份、重新加载系统以及系统重构等。其中,系统重构是动态重构系统复杂性的主要来源。系统动态重构过程是一种功能冗余的利用过程,而该过程会导致任务过程中功能主体的动态演变。这一特性意味着一般动态系统的安全机理分析方法对动态重构系统是不适用的。因此,动态重构系统的安全机理分析技术必须能够做到以下两个方面:(1)分析功能主体演变带来的故障状态空间的迁移。故障状态空间迁移的产生是因为:①部件故障模式影响在系统重构后发生变化;②系统重构后部件故障率动态变化;③某些故障模式所在的设备被重构掉,排除在系统之外;④主体演变带来的新设备产生的新故障模式与故障影响。故障状态空间是安全机理分析的基础,传统的分析方法采用的是单一故障状态空间的静态分析方法,如故障危险分析(faulthazardanalysis,FaHA)、分系统危险分析(subsystemhazardanalysis,SSHA)和故障模式及影响分析(failuremodeandeffectanalysis,FMEA)等。这些方法只考虑系统在单一构型下,单一故障模式的故障影响及可能产生的危险。(2)分析系统中,以动态重构行为为主的各类容错行为带来的复杂故障关系,描述导致危险产生的系统故障状态演变过程。目前国内外对系统的故障状态演变过程分析依赖于图形化建模的过程(如Markov链、Bayes网或Petri网等),并没用一种形式化的分析过程与表格体系。图形化建模的数据主要依赖于上述的各类静态分析方法的分析结果(即需要顶事件或中间事件数据)。在传统安全性分析方法研究领域,对动态系统的分析涵盖了系统的多种动态特性。文献[3,5]应用FMEA方法分析了动态系统的多元状态、复杂行为和构型变化等动态特性。以文献为代表的大量研究工作应用动态故障树(dynamicfaulttreeanalysis,DFTA)方法对动态系统进行了安全性分析。但是,故障树(faulttreeanalysis,FTA)方法是一种演绎(deductive)方法,需要已知的顶层事故数据。并且DFTA的定量分析同样需要基于Markov方法或Bayes方法。文献给出了一种应用传统单因素分析技术,获得复杂故障逻辑安全机理的方法。文献提出了一种结合FTA模型,在FMEA中评价多元故障的RPN的方法。但这些方法没有解决多状态空间下安全性分析的问题。本文基于以上所述的问题,致力于研究一种多状态空间下危险引导的系统多元故障分析方法,力求该方法可以覆盖系统动态重构等行为导致的复杂危险演变过程,识别系统在多元故障情况下的危险状态,从而达到系统安全机理分析的目的。1功能主体动态演变特性重构系统是一种典型的动态系统,具有与动态系统一般的复杂特性原理。目前,国内外可靠性、安全性等领域对复杂系统特性的研究主要集中在系统的一般属性上,包括:多状态特性(multiplestates)、多阶段特性(phasedmission)、序列相关性(sequencedependence)、动态冗余特性(dynamicsparing)、故障覆盖不完整性(imperfectfaultcoverage)、共因故障(common-causefailures)及功能相关性(functionaldependence)。动态重构系统除了以上一般性的复杂特性,还具有自身的特有复杂性,即功能主体动态演变特性。功能主体动态演变特性是指系统在完成特定任务时,其功能实现所需的组成元素随着系统重构等容错行为发生变化。功能主体动态演变特性对于系统安全性分析与评价带来的问题是,在分析与评价过程中,系统的状态空间会随着系统功能主体的变化而发生迁移,导致了分析与评价的数据和模型不能在之前的数据与模型基础上开展。功能主体动态演变特性表现为两个方面“功能主体组成元素的变化”和“功能主体属性的变化”,下面分别介绍主体动态演变特性的两个表现形式。1.1动态重构后完成功能1的部件组成集合如图1所示的一类动态重构系统,系统由两组不同的部件(components)分别完成所需的两类功能。当其中功能1的相关部件集合[π1]中部分部件出现故障时,系统重构行为将重新加载控制软件,共用了功能2的相关部件,剔除了自身的故障部件。此时,系统完成功能1的主体组成元素发生了改变,不仅包含了功能2相关的部件,还包含了这种构架组成的必要设备,如网关、总线等。因此,在评价重构后的功能1的安全性时,评价主体从[π1]迁移到了[π2]。[π2]是动态重构后完成功能1的新的部件组成集合。它是指剔除了[π1]中故障部件后,并增加了重构所需的部件的集合。1.2部件故障的确定主体属性的变化主要是指系统重构行为造成了部件工作原理,工作应力上的改变。这些改变导致了系统功能主体自身的属性发生变化。在系统安全性分析与评价方面最需要关注的是部件故障率属性上的变化。图2表示了系统由状态i转移至状态j的两类途径。第一类是在系统未经过重构前提下,由于部件故障,系统由状态i转移至状态j的状态转移率为部件故障率λi,j;第二类是在系统经过重构前提下,即系统在状态i之前经过重构状态k。由于元件工作应力变化,因此它从工作状态i转移到故障状态j的故障率由λi,j变为ξi,j。这种属性的改变在单一状态空间的分析与建模方法中是不允许出现的。2系统故障分析本章提出了一种面向动态重构系统安全机理的危险分析方法。该方法根据动态重构行为获得系统的多状态空间,同时以危险为引导,采用多层次列表分析的形式,将传统的静态单一故障表格分析(如FaHA和FMEA等)与动态行为分析相结合,最终得到导致系统危险状态的系统故障状态演变过程,以及其中的多元故障关系。图3描述了如何应用多级的单一故障表格分析形式实现以危险为引导的多元故障分析;以及如何定义并获得系统新的故障状态空间。关于危险引导分析机制与多状态空间下的安全机理分析将在下面详细阐述。2.2数据处理决策问题本方法采用多层次单一故障分析表格(SFA-Sheet)序列的形式,对系统安全机理数据进行记录与跟踪。单一故障分析表格形式较多,是FMEA、FaHA和SSHA等方法常用的分析形式。本方法中故障分析表格需包含故障模式、故障率、系统状态、安全影响、系统状态概率、系统行为以及进一步分析的数据处理决策等信息。表格形式可参考实例部分中的表1~表5。其中,进一步分析的数据处理决策决定分析的进程,记录分析的数据关系,并判断是否产生系统状态的迁移。图4给出了动态重构系统安全机理分析进程的判别准则。此外,分析表格中的系统状态概率数据的获得需要通过状态产生的Markov过程获得。设在第N元故障层中,系统第i个状态的概率为pi,N(t);可能导致该系统状态的第N-1元故障层中的第k个状态的概率为pk,N-1(t);导致系统由状态k进入状态i的故障所对应的故障率为λkN-1;系统在状态i时发生故障,使得系统进入N+1故障层的故障率为λiN。因此,系统处于状态i的概率为当系统状态i为安全状态时,系统由状态k进入状态i过程中需要系统具有容错行为。设Ck为不会导致系统重构的容错行为的成功概率,则系统状态的概率为2.3系统各状态状态的概率矩阵当遇到系统具有重构行为,导致了系统功能主体的改变,将此故障导致的系统状态计为新的系统主体状态空间的初始状态,即表示系统分析与模型所用到的状态空间发生了迁移。在单一的状态空间中,系统的状态概率可由一组线性方程获得:式中,P(t)表示由单一状态空间中系统组成元素故障可能造成的系统状态的概率矩阵;Λ(t)是该空间内系统各状态的转移系数矩阵。当系统发生状态空间迁移后,系统存在多个状态空间。第l个状态空间下,系统的状态概率PΩl(t)可由下面一组线性方程获得:其中,是第m个状态空间下的各系统状态向量;Λl(t)是空间l内系统状态的转移系数矩阵;Εm(t)是空间m转移至状态空间l的转移系数矩阵;Εm(t)和Λl(t)可由下面一组微分方程获得:式中,表示系统在时间t内,在状态空间Ωl下,系统第i个状态的概率;表示系统由于故障状态k发生重构,且进入状态空间Ωl的成功概率。该概率取决于系统对该部件故障的检测能力与相应软件的重编程、重加载能力;导致系统由状态k进入状态i的故障所对应的故障率表示上述的系统处于状态k的概率;ξi,j系统由于故障由状态i进入状态j的转移率,即该故障的故障率。ξi,j的确定要考虑系统重构行为导致该故障的工作应力、环境应力等因素的变化。2.4动态重构容错方式在得到由系统重构行为带来的各状态空间中的状态以及系统状态概率之后,系统动态重构行为对安全性的影响可由一组比值Δl来表示由式(6)看出,Δl是一类条件概率。它表示系统执行第l个重构行为条件下,系统仍会产生危险状态的概率。因此,当Δl增大时,表示系统的该重构行为在系统安全方面的贡献减小。Δl的增大同时也说明系统设计时并不需要对所有的故障模式进行动态重构,从而达到容错的目的。因为在增加动态重构容错方式的同时,也极大地增加了系统的复杂性。为了防止分析过于繁琐,隔离那些对系统不安全状态概率上贡献很低的故障或故障组合,应对多状态空间下危险引导的多元故障分析层次数进行截断限制。截断限制与灾难性故障的出现是本方法对某一故障路径分析结束的标志。3动态重建系统综合航电系统cip的示例分析3.1任务处理模块本文以一类综合航电系统的导航任务综合处理机为例,对动态重构安全机理分析技术进行介绍。本节将详细介绍该类CIP的构架及其主体演变特性。如图5左半部分所示,该结构的CIP是一种集群式综合处理机,在将一项任务配置到某一处理机后,该处理机主要通过以下模块进行任务处理,保证飞行安全和任务成功的:(1)DPE:数据处理单元,数量8块;(3)1553S:1553接口单元(主要负责CIP与其他电子系统的通信),数量1个;(4)DSPE:双信号处理单元(模块的两面各一个信号处理单元),数量1组;(5)FNIU:光纤网络接口(用于与点到点光纤链路接口),数量1个;(6)GATE:网关(用于PI总线之间接口及PI与高速光纤总线接口),数量3个;(7)GBM:全局大容量存贮器(多个数据网络DN口与其他模块交联),数量2个;(8)GPVI:图像处理器/视频接口(与显示器视频接口),数量1个;(9)UCIF:用户控制台接口(不是装机件,调试或测试用),数量1个;(10)VR:电源模块,数量1块。3.2核心网络行为根据动态重构系统安全机理分析的要求,将CIP在元件故障情况下的行为分为两类。一类是不会导致主体演变性质的行为。在上文所介绍的CIP中,这种系统行为主要是系统采取冗余策略进行容错的行为。除此之外,还包括系统中的网关重构。网关重构行为不会对网关工作应力带来变化,因此将其归类为不会造成系统主体演变特性的系统行为。上述CIP中包括的此类行为有:(1)C7D/8或C7D/8:1个DPE单元失效后,系统调用其他Co7个DPE单元实现任务所需数据处理功能(无共用或被共用情况);(2)CGBM1:1个GBM失效后,系统切换至备份GBM;(3)C2G/A3″:1个网关失效后,其他2个网关进行重构,完成接口功能。另一类行为是会造成系统主体演变特性的系统行为。在CIP中,这类行为主要指的是系统的重构行为。CIP中的重构策略是指通过网关对系统各个CIP中的模块功能进行重新分配,从而起到容错效果。如图5右半部分所示。系统行为的成功概率取值取决于系统对该单元故障的检测、隔离能力与重构命令程序的任务成功概率。上述CIP中包括的此类行为有:(1)SDX或SDXS:由于DPE或DS单元不能完成功能,系统采取的重构至状态空间X行为。在上述CIP结构中,DPE和DS是成组被重构的;(2)SSXP或SFX或S1X553:由于DSPE、FNIU或1553S单元不能完成功能,系统采取的重构至状态空间X行为。在上述CIP结构中,DSPE、FNIU与1553S单元是成组被重构的。3.3状态空间下的cip动态重构本章依据前文介绍的动态重构系统多状态空间下危险引导的多元故障分析方法对本章中的CIP进行安全机理分析。随着分析进程,可以得到该结构CIP可能进入的状态空间包括:Ω1:CIP初始结构下,功能主体的所有状态组成的状态空间。Ω2:CIP失去自身的DPE或DS单元,在重构行为SDX或SDXS下,与其他CIP模块共用DPE和DS数据处理功能组合时,功能主体的所有状态组成的状态空间。Ω3:CIP失去自身的DSPE、FNIU或1553S单元,在重构行为SSXP、SFX或S1X553下,与其他CIP模块共用该单元组合时,功能主体的所有状态组成的状态空间。Ω4:CIP只为相关功能提供全局数据存储情况下,功能主体的所有状态组成的状态空间。每一个状态空间,分别进行多级分析,以获得系统最终的安全性影响。在设3级截断假设后,可得到各个状态空间下多元故障分析所需的分析级数。对状态空间Ω1下的CIP采取3元故障层次分析;对状态空间Ω2和Ω3下的CIP采取2元故障层次分析;对状态空间Ω4下的CIP采取1元故障层次分析。为了简洁说明,本章列出了状态空间Ω1和Ω2下的部分SFA-sheet表以及分析内容的相关关系,从而对多状态空间下危险引导的多元故障分析方法进行说明与验证,详见表1~表5。系统在进入状态p0Ω2后,即对相关的故障进行了重构容错行为,这些故障包括了DPE单元的故障和DS单元的故障。在该构型下的系统对DPE和DS进行重构是采用小组形式,即无论DPE和DS哪个单元故障,系统均共同调用其他CIP的DPE和DS小组,实现自身任务的数据处理和数据服务功能。在系统重构行为下,系统共用其他CIP的一组DPE单元和DS单元,使得系统重构进入状态空间Ω2,其主体发生了变化。完成相关功能的主体除了DPE和DS变化,还包含了系统中的GATE网关和总线。CIP重构后,除了主体变化外,各个单元的属性均可能超出原状态空间Ω1范围。例如被共用的DPE和DS,工作单元的软件配置和工作应力均不同,导致了单元的故障率的变化。CIP动态重构使得自身的功能主体和主体属性有了一定程度的演变,从而导致系统的状态空间由Ω1发生迁移,至状态空间Ω2。在此重构行为发生后,面向状态空间Ω1进行的故障分析结果已经不能够真实体现系统自身的安全性水平。因此,需要进行新一轮的多元故障分析。状态空间Ω2下的故障分析见表4和表5(由于篇幅限制,下面只列出了p1Ω2p2Ω2状态的二元故障层次分析结果)。3.4系统危险概率和寿命周期内危险状态概率比例随时间的变化规律本节利用多状态空间下危险引导的多元故障分析结果进行Markov过程计算,得到了系统的所有状态空间下,危险状态的概率。同时对系统安全性结果进行了分析。表6列出了动态重构CIP安全机理分析中所涉及的行为参数和状态参数的参数值。根据这些参数值,对系统进行建模分析。图6表示了系统处于状态空间Ω1内的概率,以及系统在状态空间Ω1时,发生危险的概率。图6(a)给出了系统状态概率在时间t~(0,∞)区间内的趋势。可以看出,在0.5×108h以内,系统处于Ω1内的危险状态发生概率比例很低,但随着时间的推移,危险状态发生概率的比例逐渐增加。图6(b)表示系统状态概率在寿命周期t~(0,106)区间内的趋势。在t=106时刻,系统危险状态概率为2.7×10-5,系统处于Ω1内的概率为0.9915,由式(6)可得Δ1=2.73×10-5。图7表示了系统对DPE和DS单元进行的重构行为,导致系统处于状态空间Ω2内的概率,以及系统在状态空间Ω2时,发生危险的概率。图7(a)给出了系统状态概率在时间t~(0,∞)区间内的趋势。可以看出,系统处于Ω2内的危险状态发生概率比例随时间增长而逐步降低。这代表着这种动态重构策略在该区间段内对系统安全风险的控制具有很好的效果。图7(b)表示系统状态概率在寿命周期t~(0,106)区间内的趋势。从该趋势可以看出,在此区间段内,危险状态概率的比例几乎不变。在t=106时刻,系统危险状态概率为3.5×10-6,系统处于Ω2内的概率为0.0106,Δ2=3.3×10-4。系统对DPE和DS单元进行重构后,可以继续对DSPE、FNIU和1553S单元进行重构,导致系统进入状态空间Ω4。图8表示了系统处于状态空间Ω4内的概率,以及系统在状态空间Ω4时发生危险的概率。图8(a)给出