黃勁松

【摘 要】綜合模塊化航電（IMA）平臺(tái)在民用飛機(jī)領(lǐng)域的應(yīng)用越來(lái)越廣泛。IMA平臺(tái)安全性評(píng)估過(guò)程是保證系統(tǒng)設(shè)計(jì)符合飛機(jī)安全性要求的基礎(chǔ)。本文在研究DO-297等相關(guān)規(guī)范的基礎(chǔ)上，分析了IMA平臺(tái)安全性評(píng)估過(guò)程的特點(diǎn)，提出了IMA平臺(tái)安全性評(píng)估過(guò)程的目標(biāo)，并闡述了目標(biāo)相應(yīng)的活動(dòng)和符合性證據(jù)。

【關(guān)鍵詞】民用飛機(jī)；IMA平臺(tái)；安全性評(píng)估；DO-297

中圖分類(lèi)號(hào)： V243 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2018）03-0213-002

Research on Safety Assessment Process of Civil Aircraft IMA Platform

HUANG Jin-song

（Shanghai Aircraft Design and Research Institute， Shanghai， 201210， China）

【Abstract】Integrated Modular Avionics（IMA） is more and more widely used in civil aircraft area. The safety assessment process of IMA platform is the basis for ensuring system design in line with aircraft safety requirements. Based on the research of DO-297 and other related specifications， this paper analyzes the characteristics of IMA platform safety assessment process， puts forward the objectives of IMA platform safety assessment process， and elaborates the activities and compliance evidence of the objectives.

【Key words】Civil Aircraft； IMA Platform； Safety Assessment； DO-297

0 引言

隨著民用飛機(jī)機(jī)載系統(tǒng)復(fù)雜度的不斷提高，綜合模塊化航電（IMA）平臺(tái)越來(lái)越廣泛地應(yīng)用在民用飛機(jī)領(lǐng)域。IMA平臺(tái)是包含核心軟件的一個(gè)或者一組模塊，它能夠?yàn)轳v留功能提供計(jì)算、通信、接口等公共資源。IMA平臺(tái)安全性評(píng)估過(guò)程是保證系統(tǒng)設(shè)計(jì)符合飛機(jī)安全性要求的基礎(chǔ)。本文在研究DO-297等相關(guān)規(guī)范的基礎(chǔ)上，分析了IMA平臺(tái)安全性評(píng)估過(guò)程的特點(diǎn)，提出了IMA平臺(tái)安全性評(píng)估過(guò)程的目標(biāo)，結(jié)合對(duì)ARP4754A和ARP4761的研究，給出了平臺(tái)安全性評(píng)估過(guò)程目標(biāo)相應(yīng)的活動(dòng)和符合性證據(jù)。

在本文的研究中，定義IMA平臺(tái)為一組模塊，同時(shí)定義IMA模塊為單一模塊。因此，IMA平臺(tái)符合ARP4754A中定義的“系統(tǒng)”概念，IMA平臺(tái)的安全性評(píng)估過(guò)程應(yīng)按照ARP4754A中推薦的系統(tǒng)安全性評(píng)估活動(dòng)進(jìn)行；而IMA模塊由于不具備獨(dú)立功能，僅需完成部件級(jí)安全性評(píng)估活動(dòng)。

1 IMA平臺(tái)安全性評(píng)估過(guò)程特點(diǎn)分析

由于IMA系統(tǒng)功能和架構(gòu)的特殊性，IMA平臺(tái)安全性評(píng)估具有以下特點(diǎn)：

（1）在安全性評(píng)估過(guò)程中，傳統(tǒng)機(jī)載系統(tǒng)先根據(jù)系統(tǒng)功能進(jìn)行功能危害度評(píng)估（FHA），然后開(kāi)展初步系統(tǒng)安全性評(píng)估（PSSA），采用故障樹(shù)分析（FTA）等方法向各組件分配失效概率，最后在系統(tǒng)驗(yàn)證階段開(kāi)展系統(tǒng)安全性評(píng)估（SSA）來(lái)評(píng)估系統(tǒng)安全性需求是否已滿(mǎn)足。但I(xiàn)MA平臺(tái)只有駐留相關(guān)功能后，才會(huì)實(shí)現(xiàn)或參與實(shí)現(xiàn)飛機(jī)功能，因此IMA平臺(tái)無(wú)法像傳統(tǒng)機(jī)載系統(tǒng)一樣從FHA開(kāi)始安全性評(píng)估工作。同時(shí)，由于IMA平臺(tái)不完全具備IMA系統(tǒng)級(jí)功能，因此在IMA平臺(tái)級(jí)不需要進(jìn)行FHA評(píng)估工作，IMA平臺(tái)的初步安全性需求可直接在IMA系統(tǒng)FHA中提出。

（2）IMA平臺(tái)失效的影響取決于使用平臺(tái)的駐留功能的關(guān)鍵程度。若駐留功能為關(guān)鍵功能，例如飛管功能，那么影響該功能失效的平臺(tái)失效就應(yīng)被定義為災(zāi)難級(jí)；若駐留功能為非基本功能，例如客艙信息系統(tǒng)，平臺(tái)失效的影響等級(jí)就會(huì)降低。

（3）IMA平臺(tái)支持眾多不同的駐留功能，因此IMA平臺(tái)的安全性需求應(yīng)是通用的，與使用IMA平臺(tái)的駐留功能架構(gòu)無(wú)關(guān)。

（4）IMA平臺(tái)作為IMA系統(tǒng)的基礎(chǔ)，為駐留功能系統(tǒng)提供公共資源，IMA平臺(tái)應(yīng)根據(jù)其架構(gòu)和研制保證等級(jí)，結(jié)合歷史開(kāi)發(fā)經(jīng)驗(yàn)數(shù)據(jù)，向駐留功能和IMA系統(tǒng)提供IMA平臺(tái)開(kāi)發(fā)事件清單（DEL），用于支持駐留功能和IMA系統(tǒng)的安全性評(píng)估。DEL中應(yīng)包含對(duì)駐留功能可用性和完整性指標(biāo)有影響的全部IMA平臺(tái)基礎(chǔ)數(shù)據(jù)。在駐留功能和IMA系統(tǒng)進(jìn)行故障樹(shù)分析（FTA）時(shí)，DEL可提供故障樹(shù)子節(jié)點(diǎn)數(shù)據(jù)。

（5）PSSA階段，IMA平臺(tái)層面只能通過(guò)分析通用的駐留功能架構(gòu)來(lái)進(jìn)行初始DEL的確認(rèn)，DEL的最終確認(rèn)應(yīng)在駐留功能安全性評(píng)估和IMA系統(tǒng)安全性評(píng)估結(jié)束后完成。

2 IMA平臺(tái)安全性評(píng)估過(guò)程的目標(biāo)、活動(dòng)和符合性證據(jù)

IMA平臺(tái)安全性評(píng)估過(guò)程的目標(biāo)源于對(duì)DO-297任務(wù)1（IMA平臺(tái)開(kāi)發(fā)）目標(biāo)的分析，DO-297任務(wù)1的10項(xiàng)目標(biāo)中有3項(xiàng)涉及到IMA平臺(tái)安全性評(píng)估，分別為：

目標(biāo)1：平臺(tái)/模塊的設(shè)計(jì)應(yīng)形成文件并且要達(dá)到安全性要求[1]；

目標(biāo)2：分區(qū)要確保任何駐留應(yīng)用的行為不會(huì)受到任何其它應(yīng)用或功能的不良影響[1]；

目標(biāo)3：模塊需求、資源需求等符合性要得到證實(shí)[1]。

由于IMA平臺(tái)具有高度綜合性，IMA平臺(tái)制造商（或者任務(wù)1的申請(qǐng)人）應(yīng)該按照ARP4754A和ARP4761中定義的安全性評(píng)估過(guò)程來(lái)開(kāi)展IMA平臺(tái)的安全性評(píng)估活動(dòng)，并產(chǎn)生相應(yīng)符合性證據(jù)文件。

本文將IMA平臺(tái)研制保證等級(jí)按A級(jí)考慮，結(jié)合ARP4754A和ARP4761中的安全性評(píng)估要求，給出了DO-297任務(wù)1中的3項(xiàng)安全性相關(guān)目標(biāo)在IMA平臺(tái)安全評(píng)估過(guò)程中的具體活動(dòng)和相應(yīng)的符合性證據(jù)[2-3]，具體如下：

目標(biāo)1活動(dòng)：（1）IMA平臺(tái)DEL定義；（2）IMA平臺(tái)FTA；（3）IMA平臺(tái)故障模式和影響分析（FMEA）；（4）IMA平臺(tái)共因分析（CCA）；（5）IMA平臺(tái)PSSA；6）IMA平臺(tái)SSA。

目標(biāo)1符合性證據(jù)：（1）IMA平臺(tái)DEL報(bào)告；（2）IMA平臺(tái)FTA數(shù)據(jù)；（3）IMA平臺(tái)FMEA報(bào)告；（4）IMA平臺(tái)故障模式和影響總結(jié)（FMES）；（5）IMA平臺(tái)CCA報(bào)告；（6）IMA平臺(tái)PSSA報(bào)告；（7）IMA平臺(tái)SSA報(bào)告。

目標(biāo)2活動(dòng)：（1）IMA平臺(tái)分區(qū)分析；（2）IMA平臺(tái)CCA。

目標(biāo)2符合性證據(jù)：（1）IMA平臺(tái)分區(qū)分析報(bào)告；（2）IMA平臺(tái)CCA報(bào)告；（3）IMA平臺(tái)SSA報(bào)告。

目標(biāo)3符活動(dòng)：（1）IMA平臺(tái)需求開(kāi)發(fā)；（2）IMA平臺(tái)PSSA；（3）IMA平臺(tái)SSA。

目標(biāo)3符合性證據(jù)：（1）IMA平臺(tái)需求規(guī)范；（2）IMA平臺(tái)PSSA報(bào)告；（3）IMA平臺(tái)SSA報(bào)告。

3 結(jié)論

本文在研究DO-297等相關(guān)規(guī)范的基礎(chǔ)上，詳細(xì)分析了IMA平臺(tái)安全性評(píng)估的特點(diǎn)，提出了IMA平臺(tái)安全性評(píng)估過(guò)程的目標(biāo)，結(jié)合對(duì)ARP4754A和ARP4761的研究，給出了平臺(tái)安全性評(píng)估過(guò)程目標(biāo)相應(yīng)的活動(dòng)和符合性證據(jù)，指導(dǎo)民用飛機(jī)IMA平臺(tái)安全性分析過(guò)程的實(shí)施。

【參考文獻(xiàn)】

[1]RTCA DO-297， Integrated Modular Avionics （IMA） Development Guidance and Certification Considerations[S].RTCA Inc.， 2005.

[2]SAE ARP4754A，Guidelines for Development of Civil Aircraft and Systems[S].SAE International，2010.

[3]SAE ARP4761，Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].SAE International，1996.