CN112884337B

CN112884337B - 一种定义通用化ima平台典型失效状况目录的方法

Info

Publication number: CN112884337B
Application number: CN202110242621.0A
Authority: CN
Inventors: 韩嫚莉; 李鹏; 湛文韬; 何立军; 袁迹; 杨柳
Original assignee: Xian Aeronautics Computing Technique Research Institute of AVIC
Current assignee: Xian Aeronautics Computing Technique Research Institute of AVIC
Priority date: 2021-03-04
Filing date: 2021-03-04
Publication date: 2024-01-16
Anticipated expiration: 2041-03-04
Also published as: CN112884337A

Abstract

本发明提供了一种定义通用化IMA平台典型失效状况目录的方法，包括如下步骤：识别典型的驻留系统在IMA平台的驻留模式，定义与所述驻留模式相关的IMA平台功能的使用场景；将所述IMA平台的使用场景分解到单一的IMA平台功能，确定单一的IMA平台功能的使用模式；定义典型失效状况目录，然后将典型失效状况目录提供给所有的驻留系统的用户，以支持驻留系统设计安全性评估，并对典型失效状况目录进行迭代。降低了IMA平台与ATA驻留系统的耦合度，提高了IMA平台及ATA系统安全性分析的效率。

Description

一种定义通用化IMA平台典型失效状况目录的方法

技术领域

本发明属于民用飞机机载IMA平台技术领域，具体涉及一种自顶向下分解驻留功能需求定义通用化IMA平台典型FC目录的方法。

背景技术

IMA平台是飞机通用资源，为多个飞机功能提供基础的共享资源，通常不属于飞机功能的主要成员系统。飞机的安全性目标是从A/C级功能或子功能开始、自上而下逐级建立的，然后，在每个独立单独的系统级，通过功能/子功能所有者和不同组成系统之间的讨论来评估对系统预分配的安全性目标。

顶层A/C功能或子功能无法分配给通用资源，如电气系统或IMA平台。IMA平台作为通用资源为多个飞机功能提供基础资源，是多个飞机功能的成员系统，但IMA平台作为通用资源一般不是飞机功能的主要成员系统。不同用户系统/飞机功能的安全性需求由于体系架构的不同会有很大差异。IMA平台组件的开发、驻留功能/应用软件的开发以及飞机集成活动可以预见到都将由不同的公司/独立的机构或组织来负责实施。知识产权保护和逻辑工作分解导致需要在这些不同的利益相关者之间划分安全性评估的责任。由于，顶层A/C功能或子功能无法分配给通用资源，因此如何找到一种高效、清晰的方法解决通用资源IMA平台对多个ATA驻留系统的安全性支持非常重要。

发明内容

本发明提出一种定义典型IMA平台失效状况(FC)目录方法，通过自顶向下分解ATA驻留系统的需求，降低了IMA平台与ATA驻留系统的耦合度，提高了IMA平台及ATA系统安全性分析的效率。

为了实现上述任务，本发明采用以下技术方案：

一种定义通用化IMA平台典型失效状况目录的方法，包括如下步骤：

识别典型的驻留系统在IMA平台的驻留模式，定义与所述驻留模式相关的IMA平台功能的使用场景；

将所述IMA平台的使用场景分解到单一的IMA平台功能，确定单一的IMA平台功能的使用模式；

定义典型失效状况目录，然后将典型失效状况目录提供给所有的驻留系统的用户，以支持驻留系统设计安全性评估，并对典型失效状况目录进行迭代。

进一步地，所述驻留模式包括如下种类：

计算功能+网络功能；计算功能+网络功能+接口功能；网络功能；网络功能+接口功能；接口功能。

进一步地，所述将所述IMA平台的使用场景分解到单一的IMA平台功能，其中单一的IMA平台功能包括计算功能、网络功能和接口功能；

定义单计算单元的失效概率、网络单元的失效概率以及接口单元的失效概率，在网络采用余度设计的前提下，所述确定单一的IMA平台功能的使用模式，包括：

计算功能的使用模式包括单计算单元、双余度计算单元、三余度及更多余度计算单元；

网络功能的使用模式包括网络交换单元A/B通道余度使用、多个网络交换单元以及单网络单元；

接口功能的使用模式包括单接口单元、双余度接口单元、单侧接口单元、单接口单元一种I/O类型以及双余度接口单元的同一种I/O类型。

进一步地，所述定义典型失效状况目录，包括：

IMA平台供应商根据所述的单一的IMA平台功能的使用模式，从可用性和完整性及其组合分别定义计算功能、网络功能和接口功能的失效状况，建立典型失效状况目录，同时根据驻留功能的失效影响初步确定FC分类的范围。

进一步地，所述从可用性和完整性及其组合分别定义计算功能的失效状况，包括：

可用性，包括：

单计算单元功能丧失：微小的-重要的；

双余度计算单元功能全部丧失：重要的-灾难的；

三余度及更多余度计算单元功能全部丧失：严重的-灾难的；

完整性，包括：

单计算单元不可检测的错误功能：重要的-严重的；

双余度计算单元不可检测的错误功能:严重的-灾难的；

三余度及更多余度计算单元不可检测的错误功能:严重的-灾难的；

可用性和完整性组合，包括：

双余度计算单元模式：单计算单元功能丧失与单计算单元不可检测的错误功能组合失效:严重的-灾难的。

进一步地，所述从可用性和完整性及其组合分别定义网络功能的失效状况，包括：

可用性，包括：

单网络交换单元功能丧失:微小的-重要的；

双余度网络交换单元功能全部丧失：重要的-灾难的；

三余度及更多余度网络交换单元功能全部丧失：严重的；

完整性，包括：

单网络交换单元不可检测的错误功能:重要的-灾难的；

双余度网络交换单元不可检测的错误功能:严重的-灾难的；

三余度及更多余度网络交换单元不可检测的错误功能:灾难的；

可用性和完整性组合，包括：双余度网络交换单元模式：其中单网络交换单元功能丧失与单网络交换单元不可检测的错误功能组合失效:严重的-灾难的。

进一步地，所述从可用性和完整性及其组合分别定义接口功能的失效状况，包括：

可用性，包括：

单接口单元功能丧失:微小的-重要的；

双余度接口单元功能全部丧失:重要的-严重的；

单侧接口单元功能全部丧失:重要的-严重的；

单接口单元一种I/O类型功能丧失:微小的-重要的；

双余度接口单元的同一种I/O类型功能全部丧失:重要的；

完整性，包括：

单接口单元不可检测的错误功能:微小的-重要的；

双余度接口单元不可检测的错误功能:重要的-严重的；

单接口单元一种I/O类型不可检测的错误功能:微小的-重要的；

双余度接口单元的同一种I/O类型功能不可检测的错误功能:微小的-重要的；

可用性和完整性组合，包括：

双余度接口单元模式：其中单接口单元功能丧失与单接口单元不可检测的错误功能组合失效:重要的-严重的；

双余度接口单元的同一种I/O类型功能模式：其中单接口单元同一种I/O类型功能丧失与单接口单元同一种I/O类型不可检测的错误功能组合失效:微小的-重要的。

进一步地，所述将典型失效状况目录提供给多个驻留系统的用户，包括：

IMA平台供应商将定义后的典型失效状况目录提供给所有的驻留系统的用户，用户根据驻留系统的驻留场景选择相应的IMA失效状况作为其安全性评估的底事件；

如果出现其他未包括在内的失效状况、需要进行失效状况组合时，IMA平台供应商需要将这些失效状况补充到典型失效状况目录中。

与现有技术相比，本发明具有以下技术特点：

本发明通过典型飞机功能驻留功能模式的分析，可划分出典型IMA平台驻留单元，并确定飞机驻留功能对这些单元的使用场景，定义出通用化的典型FC目录支持所有ATA驻留系统的安全性分析，降低了IMA平台与ATA驻留系统的耦合度，提高了IMA平台及ATA系统安全性分析的效率，解决了IMA平台作为飞机通用资源对ATA驻留系统安全性设计的支持。

附图说明

图1为IMA典型FC目录形成过程示意图。

具体实施方式

IMA平台供应商负责向飞机和系统集成商提供平台资源的可用性和完整性能力，而这些能力是IMA平台FC目录的前提基础。IMA平台FC目录包括IMA平台组件的失效，这些失效会影响IMA驻留功能的可用性和完整性。驻留功能供应商和IMA系统集成商使用IMA平台FC目录开展各自的安全性评估，以支持PSSA和SSA。而且每个IMA平台组成部分都需要定义FC目录，并提供给使用IMA驻留功能供应商。

本发明公开了一种定义通用化IMA平台典型失效状况目录的方法，通过典型飞机功能驻留功能模式的分析，可划分出典型IMA平台驻留单元，并确定飞机驻留功能对这些单元的使用场景；然后定义一组FCs，描述IMA系统的失效(如完全丧失、部分丧失、单侧未检测到的功能错误…)随后，ATA用户努力在IMA建议的FC集中找出对应于的ATA FTA需要的FC。其典型FC目录的定义步骤如下：

步骤1，识别典型的驻留系统在IMA平台的驻留模式，定义与所述驻留模式相关的IMA平台功能的使用场景。

假定本技术方案中通用化IMA平台包括数据计算功能、数据通信功能和数据转换功能，分别对应如下计算功能、网络功能和接口功能，其中网络功能包括网络交换模块和端系统模块。总结典型的飞机功能对IMA平台的驻留场景，其种类定义应全面、单避免重复，并覆盖所有飞机功能的驻留，驻留模式包括如下种类：

步骤2，将所述IMA平台的使用场景分解到单一的IMA平台功能，确定单一的IMA平台功能的使用模式。

总结典型飞机功能对IMA平台的驻留场景，可以看出IMA平台单一功能主要包括计算功能、网络功能和接口功能三类。分析各种安全等级的飞机功能驻留需求，定义单计算单元的失效概率、网络单元的失效概率以及接口单元的失效概率，在网络采用余度设计的前提下，所述确定单一的IMA平台功能的使用模式，包括以下种类：

2.1计算功能的使用模式包括：

单计算单元、双余度计算单元、三余度及更多余度计算单元；

2.2网络功能的使用模式包括：

网络交换单元A/B通道余度使用、多个网络交换单元以及单网络单元；

2.3接口功能的使用模式包括：

单接口单元、双余度接口单元、单侧接口单元、单接口单元一种I/O类型以及双余度接口单元的同一种I/O类型。

步骤3，定义典型失效状况目录，然后将典型失效状况目录提供给所有的驻留系统的用户，以支持驻留系统设计安全性评估，并对典型失效状况目录进行迭代。

根据行业工程经验，假定单计算单元的失效概率为10^-5每飞行小时，网络单元的失效概率为10^-5每飞行小时，接口单元的失效概率为10^-5每飞行小时；网络采用余度设计。

FC分类的策略是：为平台服务的功能丧失(全部或部分)/错误定义可接受的风险。那么，最高可接受的风险必须被定义成所有用户系统的需求。

对于通用的未采用非相似设计的IMA平台，IMA可检测的功能全部丧失必须不超过HAZ。由于IMA只能保证可检测的功能全部丧失导致HAZ的安全性目标，因此，对于用户功能全部丧失会导致CAT的情况，必须使用IMA和备份通道组合的架构设计才能达到安全性目标。

3.1定义计算功能的典型FC目录

根据识别到的计算功能使用场景，从满足可用性和完整性目标的设计角度来定义IMA平台计算功能典型FC目录(如通过余度备份模块或非相似模块的使用来提高可用性，通过软件自检测或硬件校验等方法来提高完整性)，同时根据驻留功能的失效影响初步确定FC分类的范围，具体包括以下内容：

(1)可用性：

单计算单元功能丧失：微小的(Minor，以下简称MIN)-重要的(Major，以下简称MAJ)；其中-表示从微小的到重要的范围，下同；

双余度计算单元功能全部丧失：MAJ–灾难的(Catastrophic，以下简称CAT)；

三余度(及更多)计算单元功能全部丧失：严重的(Hazardous，以下简称HAZ)--CAT；

(2)完整性：

单计算单元不可检测的错误功能(Undetected Erroneous Functioning，以下简称UEF)：MAJ-HAZ；

双余度计算单元UEF:HAZ-CAT；

三余度(及更多)计算单元UEF:HAZ-CAT；

(3)可用性和完整性组合：

双余度计算单元模式：其中单计算单元功能丧失与单计算单元UEF组合失效:HAZ-CAT。

3.2定义网络功能的典型FC目录

根据识别的使用场景，从可用性和完整性(如通过余度备份模块或非相似模块的使用来提高可用性，通过软件自检测或硬件校验等方法来提高完整性)定义IMA平台网络功能典型FC目录及其失效分类的范围，具体包括以下内容：

(1)可用性：

单网络交换单元功能丧失:MIN-MAJ；

双余度网络交换单元功能全部丧失:MAJ-HAZ；

三余度(及更多)网络交换单元功能全部丧失:HAZ；

(2)完整性：

单网络交换单元UEF:MAJ–CAT；

双余度网络交换单元UEF:HAZ–CAT；

三余度(及更多)网络交换单元UEF:CAT；

(3)可用性和完整性组合：

双余度网络交换单元模式：其中单网络交换单元功能丧失与单网络交换单元UEF组合失效:HAZ–CAT；

3.3定义接口功能的典型FC目录

根据识别的使用场景，从可用性和完整性(如通过余度备份模块或非相似模块的使用来提高可用性，通过软件自检测或硬件校验等方法来提高完整性)定义IMA平台接口功能典型FC目录及其失效分类的分类，具体包括以下内容：

(1)可用性：

单接口单元功能丧失:MIN-MAJ；

双余度接口单元功能全部丧失:MAJ-HAZ；

单侧接口单元功能全部丧失:MAJ-HAZ；

单接口单元一种I/O类型功能丧失:MIN-MAJ；

双余度接口单元的同一种I/O类型功能全部丧失:MAJ；

(2)完整性：

单接口单元UEF:MIN–MAJ；

双余度接口单元UEF:MAJ–HAZ；

单接口单元一种I/O类型UEF:MIN-MAJ；

双余度接口单元的同一种I/O类型功能UEF:MIN-MAJ；

(3)可用性和完整性组合：

双余度接口单元模式：其中单接口单元功能丧失与单接口单元UEF组合失效:MAJ–HAZ；

双余度接口单元的同一种I/O类型功能模式：其中单接口单元同一种I/O类型功能丧失与单接口单元同一种I/O类型UEF组合失效:MIN-MAJ。

所述将典型失效状况目录提供给多个驻留系统的用户，包括：

平台供应商将已定义的“典型失效状况目录”提供给ATA用户以支持ATA系统设计安全性评估。ATA用户根据HA/HF的驻留场景选择相应的IMA FC作为其安全性评估的底事件，如果出现以下情况：1)其他未包括在内的FC；2)需要进行FC组合；平台供应商需要将这些FC补充到“典型失效状况目录”中。

以上实施例仅用于说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行同等替换；而这些修改或替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims

1.一种定义通用化IMA平台典型失效状况目录的方法，其特征在于，包括如下步骤：

定义典型失效状况目录，然后将典型失效状况目录提供给所有的驻留系统的用户，以支持驻留系统设计安全性评估，并对典型失效状况目录进行迭代；

所述驻留模式包括如下种类：

计算功能+网络功能；计算功能+网络功能+接口功能；网络功能；网络功能+接口功能；接口功能；

将所述IMA平台的使用场景分解到单一的IMA平台功能，其中单一的IMA平台功能包括计算功能、网络功能和接口功能；

所述确定单一的IMA平台功能的使用模式，包括：

接口功能的使用模式包括单接口单元、双余度接口单元、单侧接口单元、单接口单元一种I/O类型以及双余度接口单元的同一种I/O类型；

所述定义典型失效状况目录，包括：

定义单计算单元的失效概率、网络单元的失效概率以及接口单元的失效概率，在网络采用余度设计的前提下，IMA平台供应商根据所述的单一的IMA平台功能的使用模式，从可用性和完整性及其组合分别定义计算功能、网络功能和接口功能的失效状况，建立典型失效状况目录，同时根据驻留功能的失效影响初步确定FC分类的范围。

2.根据权利要求1所述的定义通用化IMA平台典型失效状况目录的方法，其特征在于，所述从可用性和完整性及其组合分别定义计算功能的失效状况，包括：

可用性，包括：

单计算单元功能丧失：微小的-重要的；

双余度计算单元功能全部丧失：重要的-灾难的；

三余度及更多余度计算单元功能全部丧失：严重的-灾难的；

完整性，包括：

单计算单元不可检测的错误功能：重要的-严重的；

双余度计算单元不可检测的错误功能: 严重的-灾难的；

可用性和完整性组合，包括：

双余度计算单元模式：单计算单元功能丧失与单计算单元不可检测的错误功能组合失效: 严重的-灾难的。

3.根据权利要求1所述的定义通用化IMA平台典型失效状况目录的方法，其特征在于，所述从可用性和完整性及其组合分别定义网络功能的失效状况，包括：

可用性，包括：

单网络交换单元功能丧失: 微小的-重要的；

双余度网络交换单元功能全部丧失：重要的-灾难的；

三余度及更多余度网络交换单元功能全部丧失：严重的；

完整性，包括：

单网络交换单元不可检测的错误功能: 重要的-灾难的;

双余度网络交换单元不可检测的错误功能: 严重的-灾难的;

可用性和完整性组合，包括：双余度网络交换单元模式：其中单网络交换单元功能丧失与单网络交换单元不可检测的错误功能组合失效: 严重的-灾难的。

4.根据权利要求1所述的定义通用化IMA平台典型失效状况目录的方法，其特征在于，所述从可用性和完整性及其组合分别定义接口功能的失效状况，包括：

可用性，包括：

单接口单元功能丧失: 微小的-重要的；

双余度接口单元功能全部丧失:重要的 -严重的；

单侧接口单元功能全部丧失:重要的-严重的；

单接口单元一种I/O类型功能丧失: 微小的-重要的；

双余度接口单元的同一种I/O类型功能全部丧失:重要的；

完整性，包括：

单接口单元不可检测的错误功能: 微小的-重要的;

双余度接口单元不可检测的错误功能: 重要的-严重的;

单接口单元一种I/O类型不可检测的错误功能: 微小的-重要的；

双余度接口单元的同一种I/O类型功能不可检测的错误功能: 微小的-重要的；

可用性和完整性组合，包括：

双余度接口单元模式：其中单接口单元功能丧失与单接口单元不可检测的错误功能组合失效:重要的-严重的;

双余度接口单元的同一种I/O类型功能模式：其中单接口单元同一种I/O类型功能丧失与单接口单元同一种I/O类型不可检测的错误功能组合失效: 微小的-重要的。

5.根据权利要求1所述的定义通用化IMA平台典型失效状况目录的方法，其特征在于，所述将典型失效状况目录提供给所有的驻留系统的用户，包括：