張　貴，張育平，陳海燕南京航空航天大學 計算機科學與技術(shù)學院，南京 210000

面向適航認證的IMA架構(gòu)安全性評估方法*

張貴+，張育平，陳海燕
南京航空航天大學 計算機科學與技術(shù)學院，南京 210000

ZHANG Gui,ZHANG Yuping,CHEN Haiyan.Safety assessment method of IMA architecture supporting airworthiness certification.Journal of Frontiers of Computer Science and Technology,2016,10(8):1063-1071.

摘要：對綜合模塊化航空電子系統(tǒng)（integrated modular avionics，IMA）架構(gòu)安全性進行準確客觀的評估是民機安全性評估乃至適航工程的重要研究內(nèi)容。提出了一種面向適航認證的IMA架構(gòu)安全性定性與定量相結(jié)合的綜合評估方法。首先，提出了IMA架構(gòu)安全性評估框架，在此基礎(chǔ)上建立了安全性多維屬性評估模型與評估指標體系；然后，利用中介真值程度度量（measure of medium truth degree，MMTD）理論對指標得分進行綜合處理與評估；最后，給出架構(gòu)安全性評估實例，表明該方法可操作性較強，評估結(jié)果可量化且有可比性，能有效保障IMA架構(gòu)安全性評估過程的客觀性和評估結(jié)果的準確度。

關(guān)鍵詞：適航認證；綜合模塊化航空電子系統(tǒng)（IMA）；安全性評估；中介真值程度度量（MMTD）

1　引言

綜合化是目前航空電子系統(tǒng)發(fā)展最重要的方向[1]。航空電子綜合化技術(shù)的引入，在使得新一代綜合模塊化航空電子系統(tǒng)（integrated modular avionics，IMA）具有資源高度共享，數(shù)據(jù)高度融合和軟件高度密集等技術(shù)特點的同時，所帶來的安全性方面的隱患也逐漸引起人們的重視。沒有安全性明確及保障的IMA系統(tǒng)架構(gòu)，就沒有安全可靠的IMA系統(tǒng)，對IMA架構(gòu)安全性進行準確客觀的評估是民機安全性評估乃至適航工程[2]的重要研究內(nèi)容。目前，我國綜合化航空電子系統(tǒng)研究還處于起步階段，急需建立IMA架構(gòu)安全性基礎(chǔ)理論，IMA架構(gòu)的安全性分析、度量與評估技術(shù)，為推動我國新一代綜合化航空電子系統(tǒng)研究奠定了基礎(chǔ)。

安全性評估理論和方法研究，主要包括“標準”和“方法”兩個方面[3]。從嚴格意義上說，兩者具有不同的內(nèi)涵。“標準”指出了安全評估的目標所在，而“方法”則闡明如何達到安全評估的種種目標，兩者互相聯(lián)系又相互獨立。相對于“標準”，“方法”更重視整體的安全評估實施步驟。從當前的研究現(xiàn)狀來看，安全性評估的相關(guān)成果主要集中在“標準”上，相關(guān)的安全性評估“方法”并不多見[3]。

（1）標準層面上，目前IMA系統(tǒng)在安全性評估和適航認證方面可以參考的標準有DO-297《IMA系統(tǒng)設計指南及審定考慮》[4]、ARP4754A《高度綜合復雜系統(tǒng)的審定考慮》[5]、ARP4761《民用飛機機載系統(tǒng)及設備的安全性評估過程指南和方法》[6]、AC.25.1309（《運輸類飛機適航標準》的解釋和說明性文件）[7]、DO-254《機載電子硬件設計保證指南》[8]、DO-178B/C《機載系統(tǒng)和設備審定的軟件考慮》[9]。這些技術(shù)體系標準涉及到系統(tǒng)、軟硬件安全性評估方面的內(nèi)容，主要從過程控制、設計分析原則、分析方法等方面進行指導[10]，在具體實踐中，需要進一步落實到可操作層面上去。

（2）方法層面上，安全性分析方法主要包括定性分析和定量分析兩大類[11-15]。定性分析用于檢查、分析和確定可能存在的危險，危險可能造成的事故以及可能的影響和防護措施。定量分析用于檢查、分析并確定具體危險、事故及其影響可能發(fā)生的概率，比較系統(tǒng)采用安全措施或更改設計方案后概率的變化。但是，目前安全性的定量分析主要是針對隨機概率性事件，應用范圍有局限性。而安全性的定性分析主要依賴工程經(jīng)驗，是以文字描述的形式進行分析，容易引起理解不一致，使評估結(jié)果缺乏客觀性和可比性。

本文就IMA系統(tǒng)的適航認證相關(guān)標準、方法和驗證過程進行分析，給出了系統(tǒng)化的架構(gòu)安全性評估框架，并在該框架的指導下確立評估模型與評估指標體系，采用系統(tǒng)科學中提倡的從定性到定量，定性定量相結(jié)合的方法，利用中介真值程度度量（measure of medium truth degree，MMTD）理論[16]計算出IMA架構(gòu)系統(tǒng)級的安全性綜合評估結(jié)果，為IMA架構(gòu)安全性評估及適航認證提供一定的參考依據(jù)。

2　IMA架構(gòu)安全性評估框架

安全性本身具有定性和定量兩層含義，對于安全性這一重要概念，如果只是孤立地做定性評估或定量評估都有其本身局限性。因此采用系統(tǒng)科學中提倡的定性與定量相結(jié)合，從定性到定量的方法，建立安全評估模型，開展架構(gòu)安全性評估是比較合適的。這個方法能把多學科理論和經(jīng)驗知識結(jié)合起來，把定性研究和定量研究有機結(jié)合起來，從多方面的定性評估上升到定量評估。對定性定量相結(jié)合的綜合集成法第一次做出完整、系統(tǒng)闡述的，是錢學森和于景元、戴汝為合作發(fā)表于1990年《自然雜志》上的“一個科學新領(lǐng)域——開放的復雜巨系統(tǒng)及其方法論”[17]。文章針對定性與定量相結(jié)合的綜合集成法著重闡述了提煉、概括的實踐根據(jù)、基本內(nèi)容、實質(zhì)、特點、應用及其重大意義。

如圖1所示，首先考慮現(xiàn)有安全性設計標準，結(jié)合安全性設計原則，建立多屬性安全性評估模型。接著針對模型中各屬性確定對應的評估指標，并區(qū)分指標的屬性（定性指標/定量指標）進行相應的評估。最后，利用中介真值程度度量理論確定各級評估指標隸屬度。經(jīng)過以上步驟獲得的安全性定量評估結(jié)果，由航電工程、系統(tǒng)工程、適航工程等方面專家共同再分析、討論和判斷。這里包括了理性的、感性的、科學的和經(jīng)驗的知識的相互補充與檢驗。其結(jié)果可能是可信的，也可能是不可信的。對于不可信的結(jié)果，還要修正模型和調(diào)整參數(shù)，重復上述工作直到各方面專家都認為這些結(jié)果是可信的，再做出結(jié)論并進行實際評估應用。這時，安全性評估既有定性描述，又有數(shù)值根據(jù)，已不再是先驗的判斷和猜想，而是有足夠科學根據(jù)的結(jié)論。

Fig.1　Frame of safety assessment of IMAarchitecture圖1IMA架構(gòu)安全性評估框架

3　IMA架構(gòu)安全性評估模型與指標體系

用模型和指標體系來描述評估系統(tǒng)是系統(tǒng)定量研究的有效方式，這種方式在自然科學、系統(tǒng)科學中被廣泛使用[17]。為了科學、全面地對IMA系統(tǒng)架構(gòu)的安全性做出合理評價，并對安全性的多維屬性及適航認證標準進行研究，提出了一種多維安全屬性的IMA架構(gòu)安全性評估模型及指標體系。

IMA本質(zhì)上是一個分布式實時計算機網(wǎng)絡，其主要目標是將分布式體系結(jié)構(gòu)的靈活性擴展到對不同關(guān)鍵級別的功能程序的支持上。概括來說，IMA主要具有如下一些特點：系統(tǒng)綜合化、結(jié)構(gòu)層次化、功能軟件化、網(wǎng)絡統(tǒng)一化、產(chǎn)品商用化、調(diào)度靈活化、認證累計化、維護中央化等特性[18]。故IMA架構(gòu)的安全性可以考慮基于物理特性、風險特性、功能特性，通過設計與構(gòu)造、風險度、可信性3個安全屬性來反映，然后每個安全屬性分解為若干個安全子屬性。進一步在指標層把每個安全子屬性分解為若干個安全度量及相應度量指標以實施安全性評估數(shù)據(jù)采集。IMA架構(gòu)安全性評估模型共有3層，如圖2所示。

Fig.2　Model of safety assessment of IMAarchitecture圖2IMA架構(gòu)安全性評估模型

（1）“設計與構(gòu)造”是反映架構(gòu)物理特性方面安全性的屬性，評估體系如表1所示。

開放性：評估IMA架構(gòu)使用工業(yè)標準接口，允許多個供應商提供軟件應用程序和應用程序特定的硬件的特性。IMA結(jié)構(gòu)中的軟硬件盡可能采用COTS （commercial-off-the-shelf）產(chǎn)品，推進產(chǎn)品的標準化、模塊化，有利于產(chǎn)品移植和降低系統(tǒng)壽命周期費用（life cycle cost，LCC）[18]。

建造性：評估IMA架構(gòu)由設計到建造過程中帶來的安全性問題。

Table 1　“Design and construction”attribute evaluation indexes表1“設計與構(gòu)造”屬性評估指標

（2）“風險度”是反映架構(gòu)風險方面的屬性。風險是在某一特定條件下，特定危害事件發(fā)生的概率與后果的結(jié)合，也是危險、不安全事故發(fā)生的可能性與該事故嚴重程度的綜合度量，評估體系如表2所示。

Table 2　“Risk degree”attribute evaluation indexes表2“風險度”屬性評估指標

技術(shù)風險：評估IMA架構(gòu)資源高度共享數(shù)據(jù)、高度融合和軟件高度密集等新技術(shù)所帶來的風險。

認證風險：評估IMA架構(gòu)的適航認證不成熟帶來的風險。

集成風險：評估IMA架構(gòu)硬件資源能為應用程序所共享，信息高度融合所帶來的集成風險。

（3）“可信性”是反映架構(gòu)功能特性方面安全性的屬性?？尚判允侵搁L期保持滿足規(guī)定要求的能力[19]，評估指標體系如表3所示。

Table 3　“Creditability”attribute evaluation indexes表3“可信性”屬性評估指標

可用性：描述在要求的外部資源得到保證的前提下，IMA架構(gòu)在規(guī)定的條件下和規(guī)定的時刻或時間區(qū)間內(nèi)處于可執(zhí)行規(guī)定狀態(tài)的能力[19]。

可生存性：描述IMA架構(gòu)能處理應對復雜航空環(huán)境的能力。

可維護性：描述在規(guī)定的條件下，按規(guī)定的程序和手段實施維護時，IMA架構(gòu)在規(guī)定的使用條件下保持或恢復能執(zhí)行規(guī)定功能狀態(tài)的能力[19]。

可測試性：描述IMA架構(gòu)能及時并準確地確定其狀態(tài)（可工作、不可工作或性能下降），并隔離其內(nèi)部故障的一種設計特性[19]。

可靠性：描述IMA架構(gòu)在規(guī)定的條件下和規(guī)定的時間內(nèi)完成規(guī)定功能的能力。

4　IMA架構(gòu)安全性評估方法

4.1評估指標層的量化及無量綱化處理

指標層的任務是針對上層每一安全子屬性，建立對應評估指標體系。IMA架構(gòu)的復雜性要求指標的選取必然包括定性指標和定量指標。無量綱化處理即是指為了解決各指標的不同量綱無法進行綜合匯總的問題，一般在完成資料數(shù)據(jù)的收集工作后，還需要對數(shù)據(jù)進行同度量處理。其實質(zhì)就是把不能相加或相乘的指標值轉(zhuǎn)化成可以匯總相加或相乘的指標值。

（1）定性指標

由于安全性本身的不確定性和模糊性，精確量化是不可行的。而采用等級的劃分，與相關(guān)適航標準定義的安全性等級對應，是切實可行的。《運輸類飛機適航標準》規(guī)定，危害嚴重程度的劃分通過失效狀態(tài)的分類實現(xiàn)?！稒C載系統(tǒng)和設備的軟件審定考慮》[9]（D0-178B）規(guī)定，軟件級別應與軟件失效可能導致的最嚴重的系統(tǒng)安全性影響程度相對應?！稒C載電子硬件的設計保證指南》[8]（D0-254）亦將硬件級別與失效狀態(tài)之間進行了映射。由于系統(tǒng)架構(gòu)安全性與軟件安全性、硬件安全性有許多相通之處，故類似地將架構(gòu)安全性級別與失效情況之間作出如表4所示映射關(guān)系。

Table 4　Corresponding relationship of safety level of architecture and failure conditions表4　系統(tǒng)架構(gòu)安全性級別與失效情況對應關(guān)系表

因此，安全性定性指標評估應在參照相應的實際安全性數(shù)據(jù)和外部因素的前提下，專家使用評判集V={A級,B級,C級,D級,E級}（對應的量化得分C= {0,0.5,1.0,1.5,2.0}）對各底層指標進行量化評估。

（2）定量指標

通過建立理想化的最優(yōu)、最劣基點，比較指標評估值與二者的距離，來完成定量指標的量化和無量綱化處理[20]。正、負理想比較標準是可以在實際測量過程中多次實驗得到的經(jīng)驗值，也可以是適航標準中的范圍端點值。

對于效益型指標，即指標數(shù)值越大，對于評估結(jié)果越有利的指標，如平均無故障工作時間（mean time between failures，MTBF），則令量化得分為:

對于成本型指標，即指標數(shù)值越大，對于評估結(jié)果越有害的指標，如平均修復時間（mean time to repair，MTTR），則令量化得分為:

4.2中介對IMA架構(gòu)安全性評估的描述

1985年，朱梧槚教授和肖溪安教授建立了中介邏輯系統(tǒng)（medium logic system，ML），提出了介于“真”與“假”的過渡狀態(tài)，即“中介”。2006年，洪龍教授以中介邏輯系統(tǒng)為基礎(chǔ)，提出了基于中介真值程度的度量方法。文獻[16]詳細描述了相關(guān)概念及定理，該方法已經(jīng)應用于決策系統(tǒng)、圖像處理、數(shù)據(jù)處理、評估等多個領(lǐng)域[21-23]，是處理模糊現(xiàn)象，解決度量邊界“不清晰”的有效方法之一。

“安全”和“不安全”是一組反對對立關(guān)系，中間存在過渡狀態(tài)，符合中介真值程度度量的應用范疇。記謂詞P表示“安全”，則+P表示“很安全”，～P表示過渡狀態(tài)“安全性一般”，╕P表示“不安全”，╕+P表示“很不安全”，如圖3所示。

Fig.3　Corresponding relationship between predicate and numerical area in safety assessment of IMAarchitecture圖3IMA架構(gòu)安全性評估中謂詞和數(shù)值區(qū)域的對應關(guān)系

4.3基于中介真值程度的綜合航電安全性評估方法

步驟1確定安全子屬性的評估向量X。

X=(bij)m,bij=f(cij1,ij2,…,ijk)，其中bij表示安全子屬性Bij的量化得分，cij1,ij2,…,ijk表示隸屬于 Bij的各評估指標得分，m表示安全子屬性的個數(shù)。映射函數(shù) f如下所示：

u12,…,uij)T，其中 uij=(αT(ij),αF(ij),εT(ij),εF(ij))。由中介真值程度度量理論可知αT(ij)為 pij的εT(ij)真值（安全）標準度，αF(ij)為 pij的εF(ij)假值（不安全）標準度。確定和優(yōu)化評估參數(shù)是安全性評估實施框架中（圖1）循環(huán)迭代的重要環(huán)節(jié)。

根據(jù)中介真值程度度量理論，參照圖3可知[αT(ij)-εT(ij),αT(ij)+εT(ij)]為pij的“真數(shù)值區(qū)域”，表示“安全”，[αF(ij)-εF(ij),αF(ij)+εF(ij)]為pij的“假數(shù)值區(qū)域”，表示“不安全”。

步驟2確定安全性謂詞P的評估參數(shù)U=(u11,

步驟3構(gòu)造中介度量向量R=(rij)m，rij=hT(bij)。

其中，hT(bij)表示bij相對于αT(ij)的真值程度，即rij表示評估對象的安全性子屬性Bij具備pij“安全”的真值程度。

步驟4計算綜合評判結(jié)果D。

其中，wij表示安全性評價模型中安全性屬性Bij的權(quán)重值。

5　IMA架構(gòu)安全性評估實驗

為了驗證IMA系統(tǒng)架構(gòu)安全性評估方法的效果，由專家組成員利用本文提出的安全性評估模型及評估指標對IMA架構(gòu)A、B、C進行安全性評估模擬實驗。設已有多位專家對模型中安全性屬性進行權(quán)重評價，利用層次分析法（analytic hierarchy process，AHP）求解安全性屬性權(quán)重，限于篇幅，這里不給出具體計算過程。

5.1評估實驗過程

（1）請專家針對表1～表3所列評估指標體系對各定量或定性度量指標進行量化評估，相應評估方法4.1節(jié)已給出。

（2）將各指標量化得分利用式（1）進行綜合計算，得出每個安全子屬性量化評估得分，所得實驗數(shù)據(jù)如表5所示。

（3）確定安全子屬性的評估向量X。

（4）確定評估參數(shù)集。為簡化計算，每個安全子屬性的評估參數(shù)取值均相同，如表6所示。假定安全性評估實施框架中的迭代過程已完成，已由工程經(jīng)驗或概率數(shù)值確定模型中每一安全子屬性的評估參數(shù)。

Table 5　Scores of IMAarchitecture security indexes表5IMA架構(gòu)安全性指標得分表

Table 6　Values of evaluation parameters表6　評估參數(shù)集取值表

（5）構(gòu)造中介度量向量，計算方法如式（2）所示。

（6）計算綜合評估集見表7，計算方法如式（3）所示。

Table 7　Result of evaluation experiment表7　評估實驗結(jié)果表

5.2評估實驗分析

如圖4所示，架構(gòu)A、B、C安全性各屬性（設計與構(gòu)造、風險度、可信性）評估結(jié)果各有優(yōu)劣，相對于架構(gòu)系統(tǒng)級安全性“優(yōu)”的真值程度分別為0.782 5、0.698 1、0.524 2，由圖3可知對應的安全性級別分別為“安全”、安全”、“安全性一般”。雖然架構(gòu)A和架構(gòu)B安全性級別均為安全，但由于架構(gòu)A的真值程度最大，說明A表現(xiàn)出更優(yōu)的特性，即架構(gòu)A相對于架構(gòu)B的安全性更高。另外，從圖4中可看到，在“可信性”屬性方面，架構(gòu)A的評估得分還是略低于架構(gòu)B，因此可借鑒架構(gòu)B在可信性方面的設計對架構(gòu)A進行優(yōu)化，來強化架構(gòu)A的安全性水平。

Fig.4　Results contrast of IMAarchitecture safety assessment圖4IMA架構(gòu)安全性評估結(jié)果對比圖

實驗表明，本文提出的IMA架構(gòu)安全性評估方法相較傳統(tǒng)架構(gòu)安全性評估方法可操作性強，量化評估結(jié)果更直觀，有可比性。而真值程度函數(shù)的定義具有計算機可以處理的定量形式，且具有客觀性和普適性的特點[16]，較大程度上降低了安全性評估過程中的主觀因素，保障了評估的準確性。

6　結(jié)束語

IMA系統(tǒng)架構(gòu)安全性評估是一個重要而又困難的研究課題，是民機安全性評估乃至適航認證中迫切需要解決的一個難題。本文針對IMA系統(tǒng)架構(gòu)安全性評估問題的不確定性、復雜性，提出了一種面向適航認證的IMA架構(gòu)安全性評估方法，將中介真值程度度量、多屬性決策的理論和方法引入IMA架構(gòu)安全性評估問題中，采用系統(tǒng)科學中提倡的從定性到定量的方法，具有可操作性較強，評估結(jié)果可量化有可比性等特點，在較大程度上降低了評估過程中的主觀因素，有助于進一步提高評估結(jié)果的準確性。為IMA系統(tǒng)架構(gòu)安全性評估和適航工程研究引入了新的思想，探索了提高安全性評估效果及適航認證的新途徑。

完善的評估體系是保證評估的合理性、全面性和科學性的最基本條件，IMA架構(gòu)數(shù)據(jù)采集得越廣泛越全面，利用本文方法得到的結(jié)果就越準確。進一步的工作主要是在現(xiàn)有安全性評估指標體系的基礎(chǔ)上進行更加深入細致的研究改進，使IMA架構(gòu)安全性評估的結(jié)論更全面可信，對民機安全性評估及適航工程更有指導意義。

References:

[1]Wang Guoqing,Gu Qingfan,Wang Miao,et al.Research on the architecture technology for new generation integrated avionics system[J].Acta Aeronautica ET Astronautica Sinica, 2014,35(6):1473-1486.

[2]Zhao Yuerang.The concept and principle of airworthiness[M]. Shanghai:Profile of Shanghai Jiao Tong University,2013:1-2.

[3]Liu Fang.Research on the theories and key technologies of information system safety evaluation[D].Changsha:National University of Defense Technology,2005.

[4]RTCA.DO-297 Integrated modular avionics(IMA)development guidance and certification considerations[S].Washington:RTCAInc,2005.

[5]SAE.ARP4754A Guidelines for development of civil aircraft and systems[S].Warrendale:SAE International,2010.

[6]SAE.ARP4761 Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[S].Warrendale:SAE International,1996.

[7]FAA.AC.25.1309-1A[Z].1988.

[8]RTCA.DO-254 Design assurance guidance for airborne electronic hardware[S].Washington:RTCAInc,2000.

[9]RTCA.DO-178C Software considerations in airborne systems and equipment certification[S].Washington:Radio Technical Commission forAeronautics,Inc,2008.

[10]Huang Jun,Wu Zhe,Sun Huizhong,et al.Study on evaluation criteria and assessment methodology for conceptual/ preliminary design of combat aircraft[J].Acta Aeronautica ETAstronautica Sinica,2000,21(1):70-74.

[11]Janic M.An assessment of risk and safety in civil aviation[J]. Journal ofAir Transport Management,2000,6(1):43-50.

[12]Tamasi G,Demichela M.Risk assessment techniques for civil aviation security[J].Reliability Engineering&System Safety,2011,96(8):892-899.

[13]Du Changxiao,Li Xiaohong,Shi Hong,et al.Security evaluation method for the architecture of J2EE applications[J]. Journal of Frontiers of Computer Science and Technology, 2014,8(5):572-581.

[14]Ma Guozhong,Mi Wenyong,Liu Xiaodong.Multi-level fuzzy evaluation method for civil aviation system safety[J].Journal of Southwest Jiaotong University,2007,42(1):104-109.

[15]Gu Qingfan,Wang Guoqing,Zhang Lihua,et al.Research on model based safety analysis technology for avionics system[J].Computer Science,2015,42(3):124-127.

[16]Hong Long,Xiao Xi?an,Zhu Wujia.Measure of medium truth scale and its application(I)[J].Chinese Journal of Computers,2006,29(12):2186-2193.

[17]Qian Xuesen,Yu Jingyuan,Dai Ruwei.A new discipline of science—the study of open complex giant system and its methodology[J].Chinese Journal of Nature,1990(1):3-10.

[18]Zhu Wenkui,Zhang Fengming,Fan Xiaoguang.Overview on software architecture of integrated modular avionic systems[J].Acta Aeronautica ET Astronautica Sinica,2009,30 (10):1912-1917.

[19]He Guowei.Credibility engineering(reliability,maintainability,repair and maintenance)[M].Beijing:China Standard Press,2008:1-25.

[20]Lu Zhiyong,Feng Chao,Yu Hui,et al.Astudy of the quantitative еvaluation model for network security[J].Computer Engineering and Science,2009,31(10):18-22.

[21]Yang Zherui,Cheng Weiqing.Improvement of network application type Identification based on measure of medium truth degree[J].Journal of Nanjing University of Posts and Telecommunications:Natural Science,2012,32(5):123-129.

[22]Zhang Gui,Zhang Yuping,Chen Haiyan.An evaluation method for ERP selection based on measure of medium truth degree[J].Computer and Modernization,2015(2):40-43.

[23]Zhou Ningning,Hong Long.Theoretical study of image processing based on medium mathematics systems[J].Journal of Nanjing University of Posts and Telecommunications:Natural Science,2010,30(3):21-27.

附中文參考文獻：

[1]王國慶,谷青范,王淼,等.新一代綜合化航空電子系統(tǒng)構(gòu)架技術(shù)研究[J].航空學報,2014,35(6):1473-1486.

[2]趙越讓.適航理論與原則[M].上海:上海交通大學出版社,2013:1-2.

[3]劉芳.信息系統(tǒng)安全評估理論及其關(guān)鍵技術(shù)研究[D].長沙:國防科學技術(shù)大學,2005.

[10]黃俊,武哲,孫惠中,等.作戰(zhàn)飛機總體設計評價準則和評估方法研究[J].航空學報,2000,21(1):70-74.

[13]杜長霄,李曉紅,石紅,等.J2EE應用軟件的架構(gòu)安全評估方法[J].計算機科學與探索,2014,8(5):572-581.

[14]馬國忠,米文勇,劉曉東.民航系統(tǒng)安全的多層次模糊評估方法[J].西南交通大學學報,2007,42(1):104-109.

[15]谷青范,王國慶,張麗花,等.基于模型驅(qū)動的航電系統(tǒng)安全性分析技術(shù)研究[J].計算機科學,2015,42(3):124-127.

[16]洪龍,肖奚安,朱梧槚.中介真值程度的度量及其應用(I) [J].計算機學報,2006,29(12):2186-2193.

[17]錢學森,于景元,戴汝為.一個科學新領(lǐng)域——開放的復雜巨系統(tǒng)及其方法論[J].自然雜志,1990(1):3-10.

[18]褚文奎,張鳳鳴,樊曉光.綜合模塊化航空電子系統(tǒng)軟件體系結(jié)構(gòu)綜述[J].航空學報,2009,30(10):1912-1917.

[19]何國偉.可信性工程（可靠性、維修性、維修保障性）[M].北京:中國標準出版社,2008:1-25.

[20]魯智勇,馮超,余輝,等.網(wǎng)絡安全性定量評估模型研究[J].計算機工程與科學,2009,31(10):18-22.

[21]楊哲睿,成衛(wèi)青.一種改進的基于MMTD的網(wǎng)絡應用類型識別方法[J].南京郵電大學學報:自然科學版,2012,32 (5):123-129.

[22]張貴,張育平,陳海燕.基于中介真值程度度量的ERP軟件選型評估方法[J].計算機與現(xiàn)代化,2015(2):40-43.

[23]周寧寧,洪龍.基于中介真值程度度量處理圖像的應用理論研究[J].南京郵電大學學報:自然科學版,2010,30(3):21-27.

ZHANG Gui was born in 1989.He is an M.S.candidate at College of Computer Science and Technology,Nanjing University of Aeronautics and Astronautics.His research interests include software engineering and credibility engineering,etc.

張貴（1989—），男，江蘇徐州人，南京航空航天大學計算機科學與技術(shù)學院碩士研究生，主要研究領(lǐng)域為軟件工程，可信性工程等。

ZHANG Yuping was born in 1959.He is an associate professor at College of Computer Science and Technology, Nanjing University of Aeronautics and Astronautics.His research interests include software engineering and component technology,etc.

張育平（1959—），男，江蘇宜興人，南京航空航天大學計算機科學與技術(shù)學院副教授，主要研究領(lǐng)域為軟件工程，構(gòu)件技術(shù)等。

CHEN Haiyan was born in 1979.She is a lecturer at College of Computer Science and Technology,Nanjing University ofAeronautics andAstronautics.Her research interests include evaluation algorithm and credibility engineering,etc.

陳海燕（1979—），女，江蘇南京人，南京航空航天大學計算機科學與技術(shù)學院講師，主要研究領(lǐng)域為評估算法，可信性工程等。

*The National Basic Research Program of China under Grant No.2014CB744900(國家重點基礎(chǔ)研究發(fā)展計劃(973計劃)). Received 2015-09,Accepted 2015-11.

CNKI網(wǎng)絡優(yōu)先出版:2015-12-03,http://www.cnki.net/kcms/detail/11.5602.TP.20151203.1505.008.html

文獻標志碼：A

中圖分類號：TP311

doi:10.3778/j.issn.1673-9418.1509055

Safety Assessment Method of IMAArchitecture Supporting Airworthiness Certification*

ZHANG Gui+,ZHANG Yuping,CHEN Haiyan
College of Computer Science and Technology,Nanjing University ofAeronautics andAstronautics,Nanjing 210000,China +Corresponding author:E-mail:zglongteng@126.com

Abstract:It is an important research content for safety assessment of civil aircraft and airworthiness engineering to assess the safety of IMA(integrated modular avionics)architecture accurately and objectively.This paper presents a new synthetic method of combining safety assessment and quantitative analysis for IMA architecture supporting airworthiness certification.Firstly,this paper proposes an IMA architecture safety assessment model of multi-attributes and an evaluation indicator system based on an implementation framework of safety assessment.Then,this paper uses the theory of MMTD(measure of medium truth degree)to treat and evaluate the scores of the indicators.At last,an example of evaluation is carried out and shows that this method can be easily operated,the results can be quantified and comparable,and it can effectively ensure the objectivity of the process and the accuracy of the results of the safety assessment of IMAarchitecture.

Key words:airworthiness engineering;integrated modular avionics(IMA);assessment of safety;measure of medium truth degree(MMTD)