黃勁松

（上海飛機(jī)設(shè)計(jì)研究院，中國(guó) 上海 201210）

0　引言

隨著民用飛機(jī)機(jī)載系統(tǒng)復(fù)雜度的不斷提高，綜合模塊化航電（IMA）平臺(tái)越來(lái)越廣泛地應(yīng)用在民用飛機(jī)領(lǐng)域。IMA平臺(tái)是包含核心軟件的一個(gè)或者一組模塊，它能夠?yàn)轳v留功能提供計(jì)算、通信、接口等公共資源。IMA平臺(tái)安全性評(píng)估過(guò)程是保證系統(tǒng)設(shè)計(jì)符合飛機(jī)安全性要求的基礎(chǔ)。本文在研究DO-297等相關(guān)規(guī)范的基礎(chǔ)上，分析了IMA平臺(tái)安全性評(píng)估過(guò)程的特點(diǎn)，提出了IMA平臺(tái)安全性評(píng)估過(guò)程的目標(biāo)，結(jié)合對(duì)ARP4754A和ARP4761的研究，給出了平臺(tái)安全性評(píng)估過(guò)程目標(biāo)相應(yīng)的活動(dòng)和符合性證據(jù)。

在本文的研究中，定義IMA平臺(tái)為一組模塊，同時(shí)定義IMA模塊為單一模塊。因此，IMA平臺(tái)符合ARP4754A中定義的“系統(tǒng)”概念，IMA平臺(tái)的安全性評(píng)估過(guò)程應(yīng)按照ARP4754A中推薦的系統(tǒng)安全性評(píng)估活動(dòng)進(jìn)行；而IMA模塊由于不具備獨(dú)立功能，僅需完成部件級(jí)安全性評(píng)估活動(dòng)。

1　IMA平臺(tái)安全性評(píng)估過(guò)程特點(diǎn)分析

由于IMA系統(tǒng)功能和架構(gòu)的特殊性，IMA平臺(tái)安全性評(píng)估具有以下特點(diǎn)：

（1）在安全性評(píng)估過(guò)程中，傳統(tǒng)機(jī)載系統(tǒng)先根據(jù)系統(tǒng)功能進(jìn)行功能危害度評(píng)估（FHA），然后開(kāi)展初步系統(tǒng)安全性評(píng)估（PSSA），采用故障樹(shù)分析（FTA）等方法向各組件分配失效概率，最后在系統(tǒng)驗(yàn)證階段開(kāi)展系統(tǒng)安全性評(píng)估（SSA）來(lái)評(píng)估系統(tǒng)安全性需求是否已滿足。但I(xiàn)MA平臺(tái)只有駐留相關(guān)功能后，才會(huì)實(shí)現(xiàn)或參與實(shí)現(xiàn)飛機(jī)功能，因此IMA平臺(tái)無(wú)法像傳統(tǒng)機(jī)載系統(tǒng)一樣從FHA開(kāi)始安全性評(píng)估工作。同時(shí)，由于IMA平臺(tái)不完全具備IMA系統(tǒng)級(jí)功能，因此在IMA平臺(tái)級(jí)不需要進(jìn)行FHA評(píng)估工作，IMA平臺(tái)的初步安全性需求可直接在IMA系統(tǒng)FHA中提出。

（2）IMA平臺(tái)失效的影響取決于使用平臺(tái)的駐留功能的關(guān)鍵程度。若駐留功能為關(guān)鍵功能，例如飛管功能，那么影響該功能失效的平臺(tái)失效就應(yīng)被定義為災(zāi)難級(jí)；若駐留功能為非基本功能，例如客艙信息系統(tǒng)，平臺(tái)失效的影響等級(jí)就會(huì)降低。

（3）IMA平臺(tái)支持眾多不同的駐留功能，因此IMA平臺(tái)的安全性需求應(yīng)是通用的，與使用IMA平臺(tái)的駐留功能架構(gòu)無(wú)關(guān)。

（4）IMA平臺(tái)作為 IMA系統(tǒng)的基礎(chǔ)，為駐留功能系統(tǒng)提供公共資源，IMA平臺(tái)應(yīng)根據(jù)其架構(gòu)和研制保證等級(jí)，結(jié)合歷史開(kāi)發(fā)經(jīng)驗(yàn)數(shù)據(jù)，向駐留功能和IMA系統(tǒng)提供IMA平臺(tái)開(kāi)發(fā)事件清單（DEL），用于支持駐留功能和IMA系統(tǒng)的安全性評(píng)估。DEL中應(yīng)包含對(duì)駐留功能可用性和完整性指標(biāo)有影響的全部IMA平臺(tái)基礎(chǔ)數(shù)據(jù)。在駐留功能和IMA系統(tǒng)進(jìn)行故障樹(shù)分析（FTA）時(shí)，DEL可提供故障樹(shù)子節(jié)點(diǎn)數(shù)據(jù)。

（5）PSSA階段，IMA平臺(tái)層面只能通過(guò)分析通用的駐留功能架構(gòu)來(lái)進(jìn)行初始DEL的確認(rèn)，DEL的最終確認(rèn)應(yīng)在駐留功能安全性評(píng)估和IMA系統(tǒng)安全性評(píng)估結(jié)束后完成。

2　IMA平臺(tái)安全性評(píng)估過(guò)程的目標(biāo)、活動(dòng)和符合性證據(jù)

IMA平臺(tái)安全性評(píng)估過(guò)程的目標(biāo)源于對(duì)DO-297任務(wù) 1（IMA平臺(tái)開(kāi)發(fā)）目標(biāo)的分析，DO-297任務(wù) 1的10項(xiàng)目標(biāo)中有3項(xiàng)涉及到IMA平臺(tái)安全性評(píng)估，分別為：

目標(biāo)1：平臺(tái)/模塊的設(shè)計(jì)應(yīng)形成文件并且要達(dá)到安全性要求[1]；

目標(biāo)2：分區(qū)要確保任何駐留應(yīng)用的行為不會(huì)受到任何其它應(yīng)用或功能的不良影響[1]；

目標(biāo)3：模塊需求、資源需求等符合性要得到證實(shí)[1]。

由于IMA平臺(tái)具有高度綜合性，IMA平臺(tái)制造商（或者任務(wù)1的申請(qǐng)人）應(yīng)該按照ARP4754A和ARP4761中定義的安全性評(píng)估過(guò)程來(lái)開(kāi)展 IMA平臺(tái)的安全性評(píng)估活動(dòng)，并產(chǎn)生相應(yīng)符合性證據(jù)文件。

本文將IMA平臺(tái)研制保證等級(jí)按A級(jí)考慮，結(jié)合ARP4754A和ARP4761中的安全性評(píng)估要求，給出了DO-297任務(wù)1中的3項(xiàng)安全性相關(guān)目標(biāo)在IMA平臺(tái)安全評(píng)估過(guò)程中的具體活動(dòng)和相應(yīng)的符合性證據(jù)[2-3]，具體如下：

目標(biāo) 1活 動(dòng)：（1）IMA 平臺(tái) DEL 定義；（2）IMA 平臺(tái) FTA；（3）IMA平臺(tái)故障模式和影響分析（FMEA）；（4）IMA 平臺(tái)共因分析 （CCA）；（5）IMA 平臺(tái) PSSA；6）IMA平臺(tái) SSA。

目標(biāo)1符合性證據(jù)：（1）IMA平臺(tái) DEL報(bào)告；（2）IMA平臺(tái) FTA數(shù)據(jù)；（3）IMA平臺(tái) FMEA報(bào)告；（4）IMA平臺(tái)故障模式和影響總結(jié) （FMES）；（5）IMA平臺(tái) CCA報(bào) 告 ；（6）IMA 平 臺(tái) PSSA 報(bào) 告 ；（7）IMA 平 臺(tái) SSA 報(bào)告。

目標(biāo) 2活動(dòng)：（1）IMA平臺(tái)分區(qū)分析；（2）IMA平臺(tái)CCA。

目標(biāo)2符合性證據(jù)：（1）IMA平臺(tái)分區(qū)分析報(bào)告；（2）IMA平臺(tái) CCA報(bào)告；（3）IMA平臺(tái) SSA報(bào)告。

目標(biāo) 3符活動(dòng)：（1）IMA平臺(tái)需求開(kāi)發(fā)；（2）IMA平臺(tái) PSSA；（3）IMA 平臺(tái) SSA。

目標(biāo) 3符合性證據(jù)：（1）IMA平臺(tái)需求規(guī)范；（2）IMA平臺(tái) PSSA報(bào)告；（3）IMA平臺(tái) SSA報(bào)告。

3　結(jié)論

本文在研究DO-297等相關(guān)規(guī)范的基礎(chǔ)上，詳細(xì)分析了IMA平臺(tái)安全性評(píng)估的特點(diǎn)，提出了IMA平臺(tái)安全性評(píng)估過(guò)程的目標(biāo)，結(jié)合對(duì)ARP4754A和ARP4761的研究，給出了平臺(tái)安全性評(píng)估過(guò)程目標(biāo)相應(yīng)的活動(dòng)和符合性證據(jù)，指導(dǎo)民用飛機(jī)IMA平臺(tái)安全性分析過(guò)程的實(shí)施。

【參考文獻(xiàn)】

［1］RTCA DO-297,Integrated Modular Avionics (IMA)Development Guidance and Certification Considerations[S].RTCA Inc.,2005.

［2］SAE ARP4754A,Guidelines for Development of Civil Aircraft and Systems[S].SAE International,2010.

［3］SAE ARP4761,Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].SAE International,1996.