張　貴，張育平，陳海燕南京航空航天大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，南京 210000

面向適航認(rèn)證的IMA架構(gòu)安全性評(píng)估方法*

張貴+，張育平，陳海燕
南京航空航天大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，南京 210000

ZHANG Gui,ZHANG Yuping,CHEN Haiyan.Safety assessment method of IMA architecture supporting airworthiness certification.Journal of Frontiers of Computer Science and Technology,2016,10(8):1063-1071.

摘要：對(duì)綜合模塊化航空電子系統(tǒng)（integrated modular avionics，IMA）架構(gòu)安全性進(jìn)行準(zhǔn)確客觀的評(píng)估是民機(jī)安全性評(píng)估乃至適航工程的重要研究?jī)?nèi)容。提出了一種面向適航認(rèn)證的IMA架構(gòu)安全性定性與定量相結(jié)合的綜合評(píng)估方法。首先，提出了IMA架構(gòu)安全性評(píng)估框架，在此基礎(chǔ)上建立了安全性多維屬性評(píng)估模型與評(píng)估指標(biāo)體系；然后，利用中介真值程度度量（measure of medium truth degree，MMTD）理論對(duì)指標(biāo)得分進(jìn)行綜合處理與評(píng)估；最后，給出架構(gòu)安全性評(píng)估實(shí)例，表明該方法可操作性較強(qiáng)，評(píng)估結(jié)果可量化且有可比性，能有效保障IMA架構(gòu)安全性評(píng)估過(guò)程的客觀性和評(píng)估結(jié)果的準(zhǔn)確度。

關(guān)鍵詞：適航認(rèn)證；綜合模塊化航空電子系統(tǒng)（IMA）；安全性評(píng)估；中介真值程度度量（MMTD）

1　引言

綜合化是目前航空電子系統(tǒng)發(fā)展最重要的方向[1]。航空電子綜合化技術(shù)的引入，在使得新一代綜合模塊化航空電子系統(tǒng)（integrated modular avionics，IMA）具有資源高度共享，數(shù)據(jù)高度融合和軟件高度密集等技術(shù)特點(diǎn)的同時(shí)，所帶來(lái)的安全性方面的隱患也逐漸引起人們的重視。沒(méi)有安全性明確及保障的IMA系統(tǒng)架構(gòu)，就沒(méi)有安全可靠的IMA系統(tǒng)，對(duì)IMA架構(gòu)安全性進(jìn)行準(zhǔn)確客觀的評(píng)估是民機(jī)安全性評(píng)估乃至適航工程[2]的重要研究?jī)?nèi)容。目前，我國(guó)綜合化航空電子系統(tǒng)研究還處于起步階段，急需建立IMA架構(gòu)安全性基礎(chǔ)理論，IMA架構(gòu)的安全性分析、度量與評(píng)估技術(shù)，為推動(dòng)我國(guó)新一代綜合化航空電子系統(tǒng)研究奠定了基礎(chǔ)。

安全性評(píng)估理論和方法研究，主要包括“標(biāo)準(zhǔn)”和“方法”兩個(gè)方面[3]。從嚴(yán)格意義上說(shuō)，兩者具有不同的內(nèi)涵?！皹?biāo)準(zhǔn)”指出了安全評(píng)估的目標(biāo)所在，而“方法”則闡明如何達(dá)到安全評(píng)估的種種目標(biāo)，兩者互相聯(lián)系又相互獨(dú)立。相對(duì)于“標(biāo)準(zhǔn)”，“方法”更重視整體的安全評(píng)估實(shí)施步驟。從當(dāng)前的研究現(xiàn)狀來(lái)看，安全性評(píng)估的相關(guān)成果主要集中在“標(biāo)準(zhǔn)”上，相關(guān)的安全性評(píng)估“方法”并不多見(jiàn)[3]。

（1）標(biāo)準(zhǔn)層面上，目前IMA系統(tǒng)在安全性評(píng)估和適航認(rèn)證方面可以參考的標(biāo)準(zhǔn)有DO-297《IMA系統(tǒng)設(shè)計(jì)指南及審定考慮》[4]、ARP4754A《高度綜合復(fù)雜系統(tǒng)的審定考慮》[5]、ARP4761《民用飛機(jī)機(jī)載系統(tǒng)及設(shè)備的安全性評(píng)估過(guò)程指南和方法》[6]、AC.25.1309（《運(yùn)輸類(lèi)飛機(jī)適航標(biāo)準(zhǔn)》的解釋和說(shuō)明性文件）[7]、DO-254《機(jī)載電子硬件設(shè)計(jì)保證指南》[8]、DO-178B/C《機(jī)載系統(tǒng)和設(shè)備審定的軟件考慮》[9]。這些技術(shù)體系標(biāo)準(zhǔn)涉及到系統(tǒng)、軟硬件安全性評(píng)估方面的內(nèi)容，主要從過(guò)程控制、設(shè)計(jì)分析原則、分析方法等方面進(jìn)行指導(dǎo)[10]，在具體實(shí)踐中，需要進(jìn)一步落實(shí)到可操作層面上去。

（2）方法層面上，安全性分析方法主要包括定性分析和定量分析兩大類(lèi)[11-15]。定性分析用于檢查、分析和確定可能存在的危險(xiǎn)，危險(xiǎn)可能造成的事故以及可能的影響和防護(hù)措施。定量分析用于檢查、分析并確定具體危險(xiǎn)、事故及其影響可能發(fā)生的概率，比較系統(tǒng)采用安全措施或更改設(shè)計(jì)方案后概率的變化。但是，目前安全性的定量分析主要是針對(duì)隨機(jī)概率性事件，應(yīng)用范圍有局限性。而安全性的定性分析主要依賴(lài)工程經(jīng)驗(yàn)，是以文字描述的形式進(jìn)行分析，容易引起理解不一致，使評(píng)估結(jié)果缺乏客觀性和可比性。

本文就IMA系統(tǒng)的適航認(rèn)證相關(guān)標(biāo)準(zhǔn)、方法和驗(yàn)證過(guò)程進(jìn)行分析，給出了系統(tǒng)化的架構(gòu)安全性評(píng)估框架，并在該框架的指導(dǎo)下確立評(píng)估模型與評(píng)估指標(biāo)體系，采用系統(tǒng)科學(xué)中提倡的從定性到定量，定性定量相結(jié)合的方法，利用中介真值程度度量（measure of medium truth degree，MMTD）理論[16]計(jì)算出IMA架構(gòu)系統(tǒng)級(jí)的安全性綜合評(píng)估結(jié)果，為IMA架構(gòu)安全性評(píng)估及適航認(rèn)證提供一定的參考依據(jù)。

2　IMA架構(gòu)安全性評(píng)估框架

安全性本身具有定性和定量?jī)蓪雍x，對(duì)于安全性這一重要概念，如果只是孤立地做定性評(píng)估或定量評(píng)估都有其本身局限性。因此采用系統(tǒng)科學(xué)中提倡的定性與定量相結(jié)合，從定性到定量的方法，建立安全評(píng)估模型，開(kāi)展架構(gòu)安全性評(píng)估是比較合適的。這個(gè)方法能把多學(xué)科理論和經(jīng)驗(yàn)知識(shí)結(jié)合起來(lái)，把定性研究和定量研究有機(jī)結(jié)合起來(lái)，從多方面的定性評(píng)估上升到定量評(píng)估。對(duì)定性定量相結(jié)合的綜合集成法第一次做出完整、系統(tǒng)闡述的，是錢(qián)學(xué)森和于景元、戴汝為合作發(fā)表于1990年《自然雜志》上的“一個(gè)科學(xué)新領(lǐng)域——開(kāi)放的復(fù)雜巨系統(tǒng)及其方法論”[17]。文章針對(duì)定性與定量相結(jié)合的綜合集成法著重闡述了提煉、概括的實(shí)踐根據(jù)、基本內(nèi)容、實(shí)質(zhì)、特點(diǎn)、應(yīng)用及其重大意義。

如圖1所示，首先考慮現(xiàn)有安全性設(shè)計(jì)標(biāo)準(zhǔn)，結(jié)合安全性設(shè)計(jì)原則，建立多屬性安全性評(píng)估模型。接著針對(duì)模型中各屬性確定對(duì)應(yīng)的評(píng)估指標(biāo)，并區(qū)分指標(biāo)的屬性（定性指標(biāo)/定量指標(biāo)）進(jìn)行相應(yīng)的評(píng)估。最后，利用中介真值程度度量理論確定各級(jí)評(píng)估指標(biāo)隸屬度。經(jīng)過(guò)以上步驟獲得的安全性定量評(píng)估結(jié)果，由航電工程、系統(tǒng)工程、適航工程等方面專(zhuān)家共同再分析、討論和判斷。這里包括了理性的、感性的、科學(xué)的和經(jīng)驗(yàn)的知識(shí)的相互補(bǔ)充與檢驗(yàn)。其結(jié)果可能是可信的，也可能是不可信的。對(duì)于不可信的結(jié)果，還要修正模型和調(diào)整參數(shù)，重復(fù)上述工作直到各方面專(zhuān)家都認(rèn)為這些結(jié)果是可信的，再做出結(jié)論并進(jìn)行實(shí)際評(píng)估應(yīng)用。這時(shí)，安全性評(píng)估既有定性描述，又有數(shù)值根據(jù)，已不再是先驗(yàn)的判斷和猜想，而是有足夠科學(xué)根據(jù)的結(jié)論。

Fig.1　Frame of safety assessment of IMAarchitecture圖1IMA架構(gòu)安全性評(píng)估框架

3　IMA架構(gòu)安全性評(píng)估模型與指標(biāo)體系

用模型和指標(biāo)體系來(lái)描述評(píng)估系統(tǒng)是系統(tǒng)定量研究的有效方式，這種方式在自然科學(xué)、系統(tǒng)科學(xué)中被廣泛使用[17]。為了科學(xué)、全面地對(duì)IMA系統(tǒng)架構(gòu)的安全性做出合理評(píng)價(jià)，并對(duì)安全性的多維屬性及適航認(rèn)證標(biāo)準(zhǔn)進(jìn)行研究，提出了一種多維安全屬性的IMA架構(gòu)安全性評(píng)估模型及指標(biāo)體系。

IMA本質(zhì)上是一個(gè)分布式實(shí)時(shí)計(jì)算機(jī)網(wǎng)絡(luò)，其主要目標(biāo)是將分布式體系結(jié)構(gòu)的靈活性擴(kuò)展到對(duì)不同關(guān)鍵級(jí)別的功能程序的支持上。概括來(lái)說(shuō)，IMA主要具有如下一些特點(diǎn)：系統(tǒng)綜合化、結(jié)構(gòu)層次化、功能軟件化、網(wǎng)絡(luò)統(tǒng)一化、產(chǎn)品商用化、調(diào)度靈活化、認(rèn)證累計(jì)化、維護(hù)中央化等特性[18]。故IMA架構(gòu)的安全性可以考慮基于物理特性、風(fēng)險(xiǎn)特性、功能特性，通過(guò)設(shè)計(jì)與構(gòu)造、風(fēng)險(xiǎn)度、可信性3個(gè)安全屬性來(lái)反映，然后每個(gè)安全屬性分解為若干個(gè)安全子屬性。進(jìn)一步在指標(biāo)層把每個(gè)安全子屬性分解為若干個(gè)安全度量及相應(yīng)度量指標(biāo)以實(shí)施安全性評(píng)估數(shù)據(jù)采集。IMA架構(gòu)安全性評(píng)估模型共有3層，如圖2所示。

Fig.2　Model of safety assessment of IMAarchitecture圖2IMA架構(gòu)安全性評(píng)估模型

（1）“設(shè)計(jì)與構(gòu)造”是反映架構(gòu)物理特性方面安全性的屬性，評(píng)估體系如表1所示。

開(kāi)放性：評(píng)估IMA架構(gòu)使用工業(yè)標(biāo)準(zhǔn)接口，允許多個(gè)供應(yīng)商提供軟件應(yīng)用程序和應(yīng)用程序特定的硬件的特性。IMA結(jié)構(gòu)中的軟硬件盡可能采用COTS （commercial-off-the-shelf）產(chǎn)品，推進(jìn)產(chǎn)品的標(biāo)準(zhǔn)化、模塊化，有利于產(chǎn)品移植和降低系統(tǒng)壽命周期費(fèi)用（life cycle cost，LCC）[18]。

建造性：評(píng)估IMA架構(gòu)由設(shè)計(jì)到建造過(guò)程中帶來(lái)的安全性問(wèn)題。

Table 1　“Design and construction”attribute evaluation indexes表1“設(shè)計(jì)與構(gòu)造”屬性評(píng)估指標(biāo)

（2）“風(fēng)險(xiǎn)度”是反映架構(gòu)風(fēng)險(xiǎn)方面的屬性。風(fēng)險(xiǎn)是在某一特定條件下，特定危害事件發(fā)生的概率與后果的結(jié)合，也是危險(xiǎn)、不安全事故發(fā)生的可能性與該事故嚴(yán)重程度的綜合度量，評(píng)估體系如表2所示。

Table 2　“Risk degree”attribute evaluation indexes表2“風(fēng)險(xiǎn)度”屬性評(píng)估指標(biāo)

技術(shù)風(fēng)險(xiǎn)：評(píng)估IMA架構(gòu)資源高度共享數(shù)據(jù)、高度融合和軟件高度密集等新技術(shù)所帶來(lái)的風(fēng)險(xiǎn)。

認(rèn)證風(fēng)險(xiǎn)：評(píng)估IMA架構(gòu)的適航認(rèn)證不成熟帶來(lái)的風(fēng)險(xiǎn)。

集成風(fēng)險(xiǎn)：評(píng)估IMA架構(gòu)硬件資源能為應(yīng)用程序所共享，信息高度融合所帶來(lái)的集成風(fēng)險(xiǎn)。

（3）“可信性”是反映架構(gòu)功能特性方面安全性的屬性?？尚判允侵搁L(zhǎng)期保持滿足規(guī)定要求的能力[19]，評(píng)估指標(biāo)體系如表3所示。

Table 3　“Creditability”attribute evaluation indexes表3“可信性”屬性評(píng)估指標(biāo)

可用性：描述在要求的外部資源得到保證的前提下，IMA架構(gòu)在規(guī)定的條件下和規(guī)定的時(shí)刻或時(shí)間區(qū)間內(nèi)處于可執(zhí)行規(guī)定狀態(tài)的能力[19]。

可生存性：描述IMA架構(gòu)能處理應(yīng)對(duì)復(fù)雜航空環(huán)境的能力。

可維護(hù)性：描述在規(guī)定的條件下，按規(guī)定的程序和手段實(shí)施維護(hù)時(shí)，IMA架構(gòu)在規(guī)定的使用條件下保持或恢復(fù)能執(zhí)行規(guī)定功能狀態(tài)的能力[19]。

可測(cè)試性：描述IMA架構(gòu)能及時(shí)并準(zhǔn)確地確定其狀態(tài)（可工作、不可工作或性能下降），并隔離其內(nèi)部故障的一種設(shè)計(jì)特性[19]。

可靠性：描述IMA架構(gòu)在規(guī)定的條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定功能的能力。

4　IMA架構(gòu)安全性評(píng)估方法

4.1評(píng)估指標(biāo)層的量化及無(wú)量綱化處理

指標(biāo)層的任務(wù)是針對(duì)上層每一安全子屬性，建立對(duì)應(yīng)評(píng)估指標(biāo)體系。IMA架構(gòu)的復(fù)雜性要求指標(biāo)的選取必然包括定性指標(biāo)和定量指標(biāo)。無(wú)量綱化處理即是指為了解決各指標(biāo)的不同量綱無(wú)法進(jìn)行綜合匯總的問(wèn)題，一般在完成資料數(shù)據(jù)的收集工作后，還需要對(duì)數(shù)據(jù)進(jìn)行同度量處理。其實(shí)質(zhì)就是把不能相加或相乘的指標(biāo)值轉(zhuǎn)化成可以匯總相加或相乘的指標(biāo)值。

（1）定性指標(biāo)

由于安全性本身的不確定性和模糊性，精確量化是不可行的。而采用等級(jí)的劃分，與相關(guān)適航標(biāo)準(zhǔn)定義的安全性等級(jí)對(duì)應(yīng)，是切實(shí)可行的?！哆\(yùn)輸類(lèi)飛機(jī)適航標(biāo)準(zhǔn)》規(guī)定，危害嚴(yán)重程度的劃分通過(guò)失效狀態(tài)的分類(lèi)實(shí)現(xiàn)?！稒C(jī)載系統(tǒng)和設(shè)備的軟件審定考慮》[9]（D0-178B）規(guī)定，軟件級(jí)別應(yīng)與軟件失效可能導(dǎo)致的最嚴(yán)重的系統(tǒng)安全性影響程度相對(duì)應(yīng)?！稒C(jī)載電子硬件的設(shè)計(jì)保證指南》[8]（D0-254）亦將硬件級(jí)別與失效狀態(tài)之間進(jìn)行了映射。由于系統(tǒng)架構(gòu)安全性與軟件安全性、硬件安全性有許多相通之處，故類(lèi)似地將架構(gòu)安全性級(jí)別與失效情況之間作出如表4所示映射關(guān)系。

Table 4　Corresponding relationship of safety level of architecture and failure conditions表4　系統(tǒng)架構(gòu)安全性級(jí)別與失效情況對(duì)應(yīng)關(guān)系表

因此，安全性定性指標(biāo)評(píng)估應(yīng)在參照相應(yīng)的實(shí)際安全性數(shù)據(jù)和外部因素的前提下，專(zhuān)家使用評(píng)判集V={A級(jí),B級(jí),C級(jí),D級(jí),E級(jí)}（對(duì)應(yīng)的量化得分C= {0,0.5,1.0,1.5,2.0}）對(duì)各底層指標(biāo)進(jìn)行量化評(píng)估。

（2）定量指標(biāo)

通過(guò)建立理想化的最優(yōu)、最劣基點(diǎn)，比較指標(biāo)評(píng)估值與二者的距離，來(lái)完成定量指標(biāo)的量化和無(wú)量綱化處理[20]。正、負(fù)理想比較標(biāo)準(zhǔn)是可以在實(shí)際測(cè)量過(guò)程中多次實(shí)驗(yàn)得到的經(jīng)驗(yàn)值，也可以是適航標(biāo)準(zhǔn)中的范圍端點(diǎn)值。

對(duì)于效益型指標(biāo)，即指標(biāo)數(shù)值越大，對(duì)于評(píng)估結(jié)果越有利的指標(biāo)，如平均無(wú)故障工作時(shí)間（mean time between failures，MTBF），則令量化得分為:

對(duì)于成本型指標(biāo)，即指標(biāo)數(shù)值越大，對(duì)于評(píng)估結(jié)果越有害的指標(biāo)，如平均修復(fù)時(shí)間（mean time to repair，MTTR），則令量化得分為:

4.2中介對(duì)IMA架構(gòu)安全性評(píng)估的描述

1985年，朱梧槚教授和肖溪安教授建立了中介邏輯系統(tǒng)（medium logic system，ML），提出了介于“真”與“假”的過(guò)渡狀態(tài)，即“中介”。2006年，洪龍教授以中介邏輯系統(tǒng)為基礎(chǔ)，提出了基于中介真值程度的度量方法。文獻(xiàn)[16]詳細(xì)描述了相關(guān)概念及定理，該方法已經(jīng)應(yīng)用于決策系統(tǒng)、圖像處理、數(shù)據(jù)處理、評(píng)估等多個(gè)領(lǐng)域[21-23]，是處理模糊現(xiàn)象，解決度量邊界“不清晰”的有效方法之一。

“安全”和“不安全”是一組反對(duì)對(duì)立關(guān)系，中間存在過(guò)渡狀態(tài)，符合中介真值程度度量的應(yīng)用范疇。記謂詞P表示“安全”，則+P表示“很安全”，～P表示過(guò)渡狀態(tài)“安全性一般”，╕P表示“不安全”，╕+P表示“很不安全”，如圖3所示。

Fig.3　Corresponding relationship between predicate and numerical area in safety assessment of IMAarchitecture圖3IMA架構(gòu)安全性評(píng)估中謂詞和數(shù)值區(qū)域的對(duì)應(yīng)關(guān)系

4.3基于中介真值程度的綜合航電安全性評(píng)估方法

步驟1確定安全子屬性的評(píng)估向量X。

X=(bij)m,bij=f(cij1,ij2,…,ijk)，其中bij表示安全子屬性Bij的量化得分，cij1,ij2,…,ijk表示隸屬于 Bij的各評(píng)估指標(biāo)得分，m表示安全子屬性的個(gè)數(shù)。映射函數(shù) f如下所示：

u12,…,uij)T，其中 uij=(αT(ij),αF(ij),εT(ij),εF(ij))。由中介真值程度度量理論可知αT(ij)為 pij的εT(ij)真值（安全）標(biāo)準(zhǔn)度，αF(ij)為 pij的εF(ij)假值（不安全）標(biāo)準(zhǔn)度。確定和優(yōu)化評(píng)估參數(shù)是安全性評(píng)估實(shí)施框架中（圖1）循環(huán)迭代的重要環(huán)節(jié)。

根據(jù)中介真值程度度量理論，參照?qǐng)D3可知[αT(ij)-εT(ij),αT(ij)+εT(ij)]為pij的“真數(shù)值區(qū)域”，表示“安全”，[αF(ij)-εF(ij),αF(ij)+εF(ij)]為pij的“假數(shù)值區(qū)域”，表示“不安全”。

步驟2確定安全性謂詞P的評(píng)估參數(shù)U=(u11,

步驟3構(gòu)造中介度量向量R=(rij)m，rij=hT(bij)。

其中，hT(bij)表示bij相對(duì)于αT(ij)的真值程度，即rij表示評(píng)估對(duì)象的安全性子屬性Bij具備pij“安全”的真值程度。

步驟4計(jì)算綜合評(píng)判結(jié)果D。

其中，wij表示安全性評(píng)價(jià)模型中安全性屬性Bij的權(quán)重值。

5　IMA架構(gòu)安全性評(píng)估實(shí)驗(yàn)

為了驗(yàn)證IMA系統(tǒng)架構(gòu)安全性評(píng)估方法的效果，由專(zhuān)家組成員利用本文提出的安全性評(píng)估模型及評(píng)估指標(biāo)對(duì)IMA架構(gòu)A、B、C進(jìn)行安全性評(píng)估模擬實(shí)驗(yàn)。設(shè)已有多位專(zhuān)家對(duì)模型中安全性屬性進(jìn)行權(quán)重評(píng)價(jià)，利用層次分析法（analytic hierarchy process，AHP）求解安全性屬性權(quán)重，限于篇幅，這里不給出具體計(jì)算過(guò)程。

5.1評(píng)估實(shí)驗(yàn)過(guò)程

（1）請(qǐng)專(zhuān)家針對(duì)表1～表3所列評(píng)估指標(biāo)體系對(duì)各定量或定性度量指標(biāo)進(jìn)行量化評(píng)估，相應(yīng)評(píng)估方法4.1節(jié)已給出。

（2）將各指標(biāo)量化得分利用式（1）進(jìn)行綜合計(jì)算，得出每個(gè)安全子屬性量化評(píng)估得分，所得實(shí)驗(yàn)數(shù)據(jù)如表5所示。

（3）確定安全子屬性的評(píng)估向量X。

（4）確定評(píng)估參數(shù)集。為簡(jiǎn)化計(jì)算，每個(gè)安全子屬性的評(píng)估參數(shù)取值均相同，如表6所示。假定安全性評(píng)估實(shí)施框架中的迭代過(guò)程已完成，已由工程經(jīng)驗(yàn)或概率數(shù)值確定模型中每一安全子屬性的評(píng)估參數(shù)。

Table 5　Scores of IMAarchitecture security indexes表5IMA架構(gòu)安全性指標(biāo)得分表

Table 6　Values of evaluation parameters表6　評(píng)估參數(shù)集取值表

（5）構(gòu)造中介度量向量，計(jì)算方法如式（2）所示。

（6）計(jì)算綜合評(píng)估集見(jiàn)表7，計(jì)算方法如式（3）所示。

Table 7　Result of evaluation experiment表7　評(píng)估實(shí)驗(yàn)結(jié)果表

5.2評(píng)估實(shí)驗(yàn)分析

如圖4所示，架構(gòu)A、B、C安全性各屬性（設(shè)計(jì)與構(gòu)造、風(fēng)險(xiǎn)度、可信性）評(píng)估結(jié)果各有優(yōu)劣，相對(duì)于架構(gòu)系統(tǒng)級(jí)安全性“優(yōu)”的真值程度分別為0.782 5、0.698 1、0.524 2，由圖3可知對(duì)應(yīng)的安全性級(jí)別分別為“安全”、安全”、“安全性一般”。雖然架構(gòu)A和架構(gòu)B安全性級(jí)別均為安全，但由于架構(gòu)A的真值程度最大，說(shuō)明A表現(xiàn)出更優(yōu)的特性，即架構(gòu)A相對(duì)于架構(gòu)B的安全性更高。另外，從圖4中可看到，在“可信性”屬性方面，架構(gòu)A的評(píng)估得分還是略低于架構(gòu)B，因此可借鑒架構(gòu)B在可信性方面的設(shè)計(jì)對(duì)架構(gòu)A進(jìn)行優(yōu)化，來(lái)強(qiáng)化架構(gòu)A的安全性水平。

Fig.4　Results contrast of IMAarchitecture safety assessment圖4IMA架構(gòu)安全性評(píng)估結(jié)果對(duì)比圖

實(shí)驗(yàn)表明，本文提出的IMA架構(gòu)安全性評(píng)估方法相較傳統(tǒng)架構(gòu)安全性評(píng)估方法可操作性強(qiáng)，量化評(píng)估結(jié)果更直觀，有可比性。而真值程度函數(shù)的定義具有計(jì)算機(jī)可以處理的定量形式，且具有客觀性和普適性的特點(diǎn)[16]，較大程度上降低了安全性評(píng)估過(guò)程中的主觀因素，保障了評(píng)估的準(zhǔn)確性。

6　結(jié)束語(yǔ)

IMA系統(tǒng)架構(gòu)安全性評(píng)估是一個(gè)重要而又困難的研究課題，是民機(jī)安全性評(píng)估乃至適航認(rèn)證中迫切需要解決的一個(gè)難題。本文針對(duì)IMA系統(tǒng)架構(gòu)安全性評(píng)估問(wèn)題的不確定性、復(fù)雜性，提出了一種面向適航認(rèn)證的IMA架構(gòu)安全性評(píng)估方法，將中介真值程度度量、多屬性決策的理論和方法引入IMA架構(gòu)安全性評(píng)估問(wèn)題中，采用系統(tǒng)科學(xué)中提倡的從定性到定量的方法，具有可操作性較強(qiáng)，評(píng)估結(jié)果可量化有可比性等特點(diǎn)，在較大程度上降低了評(píng)估過(guò)程中的主觀因素，有助于進(jìn)一步提高評(píng)估結(jié)果的準(zhǔn)確性。為IMA系統(tǒng)架構(gòu)安全性評(píng)估和適航工程研究引入了新的思想，探索了提高安全性評(píng)估效果及適航認(rèn)證的新途徑。

完善的評(píng)估體系是保證評(píng)估的合理性、全面性和科學(xué)性的最基本條件，IMA架構(gòu)數(shù)據(jù)采集得越廣泛越全面，利用本文方法得到的結(jié)果就越準(zhǔn)確。進(jìn)一步的工作主要是在現(xiàn)有安全性評(píng)估指標(biāo)體系的基礎(chǔ)上進(jìn)行更加深入細(xì)致的研究改進(jìn)，使IMA架構(gòu)安全性評(píng)估的結(jié)論更全面可信，對(duì)民機(jī)安全性評(píng)估及適航工程更有指導(dǎo)意義。

References:

[1]Wang Guoqing,Gu Qingfan,Wang Miao,et al.Research on the architecture technology for new generation integrated avionics system[J].Acta Aeronautica ET Astronautica Sinica, 2014,35(6):1473-1486.

[2]Zhao Yuerang.The concept and principle of airworthiness[M]. Shanghai:Profile of Shanghai Jiao Tong University,2013:1-2.

[3]Liu Fang.Research on the theories and key technologies of information system safety evaluation[D].Changsha:National University of Defense Technology,2005.

[4]RTCA.DO-297 Integrated modular avionics(IMA)development guidance and certification considerations[S].Washington:RTCAInc,2005.

[5]SAE.ARP4754A Guidelines for development of civil aircraft and systems[S].Warrendale:SAE International,2010.

[6]SAE.ARP4761 Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[S].Warrendale:SAE International,1996.

[7]FAA.AC.25.1309-1A[Z].1988.

[8]RTCA.DO-254 Design assurance guidance for airborne electronic hardware[S].Washington:RTCAInc,2000.

[9]RTCA.DO-178C Software considerations in airborne systems and equipment certification[S].Washington:Radio Technical Commission forAeronautics,Inc,2008.

[10]Huang Jun,Wu Zhe,Sun Huizhong,et al.Study on evaluation criteria and assessment methodology for conceptual/ preliminary design of combat aircraft[J].Acta Aeronautica ETAstronautica Sinica,2000,21(1):70-74.

[11]Janic M.An assessment of risk and safety in civil aviation[J]. Journal ofAir Transport Management,2000,6(1):43-50.

[12]Tamasi G,Demichela M.Risk assessment techniques for civil aviation security[J].Reliability Engineering&System Safety,2011,96(8):892-899.

[13]Du Changxiao,Li Xiaohong,Shi Hong,et al.Security evaluation method for the architecture of J2EE applications[J]. Journal of Frontiers of Computer Science and Technology, 2014,8(5):572-581.

[14]Ma Guozhong,Mi Wenyong,Liu Xiaodong.Multi-level fuzzy evaluation method for civil aviation system safety[J].Journal of Southwest Jiaotong University,2007,42(1):104-109.

[15]Gu Qingfan,Wang Guoqing,Zhang Lihua,et al.Research on model based safety analysis technology for avionics system[J].Computer Science,2015,42(3):124-127.

[16]Hong Long,Xiao Xi?an,Zhu Wujia.Measure of medium truth scale and its application(I)[J].Chinese Journal of Computers,2006,29(12):2186-2193.

[17]Qian Xuesen,Yu Jingyuan,Dai Ruwei.A new discipline of science—the study of open complex giant system and its methodology[J].Chinese Journal of Nature,1990(1):3-10.

[18]Zhu Wenkui,Zhang Fengming,Fan Xiaoguang.Overview on software architecture of integrated modular avionic systems[J].Acta Aeronautica ET Astronautica Sinica,2009,30 (10):1912-1917.

[19]He Guowei.Credibility engineering(reliability,maintainability,repair and maintenance)[M].Beijing:China Standard Press,2008:1-25.

[20]Lu Zhiyong,Feng Chao,Yu Hui,et al.Astudy of the quantitative еvaluation model for network security[J].Computer Engineering and Science,2009,31(10):18-22.

[21]Yang Zherui,Cheng Weiqing.Improvement of network application type Identification based on measure of medium truth degree[J].Journal of Nanjing University of Posts and Telecommunications:Natural Science,2012,32(5):123-129.

[22]Zhang Gui,Zhang Yuping,Chen Haiyan.An evaluation method for ERP selection based on measure of medium truth degree[J].Computer and Modernization,2015(2):40-43.

[23]Zhou Ningning,Hong Long.Theoretical study of image processing based on medium mathematics systems[J].Journal of Nanjing University of Posts and Telecommunications:Natural Science,2010,30(3):21-27.

附中文參考文獻(xiàn)：

[1]王國(guó)慶,谷青范,王淼,等.新一代綜合化航空電子系統(tǒng)構(gòu)架技術(shù)研究[J].航空學(xué)報(bào),2014,35(6):1473-1486.

[2]趙越讓.適航理論與原則[M].上海:上海交通大學(xué)出版社,2013:1-2.

[3]劉芳.信息系統(tǒng)安全評(píng)估理論及其關(guān)鍵技術(shù)研究[D].長(zhǎng)沙:國(guó)防科學(xué)技術(shù)大學(xué),2005.

[10]黃俊,武哲,孫惠中,等.作戰(zhàn)飛機(jī)總體設(shè)計(jì)評(píng)價(jià)準(zhǔn)則和評(píng)估方法研究[J].航空學(xué)報(bào),2000,21(1):70-74.

[13]杜長(zhǎng)霄,李曉紅,石紅,等.J2EE應(yīng)用軟件的架構(gòu)安全評(píng)估方法[J].計(jì)算機(jī)科學(xué)與探索,2014,8(5):572-581.

[14]馬國(guó)忠,米文勇,劉曉東.民航系統(tǒng)安全的多層次模糊評(píng)估方法[J].西南交通大學(xué)學(xué)報(bào),2007,42(1):104-109.

[15]谷青范,王國(guó)慶,張麗花,等.基于模型驅(qū)動(dòng)的航電系統(tǒng)安全性分析技術(shù)研究[J].計(jì)算機(jī)科學(xué),2015,42(3):124-127.

[16]洪龍,肖奚安,朱梧槚.中介真值程度的度量及其應(yīng)用(I) [J].計(jì)算機(jī)學(xué)報(bào),2006,29(12):2186-2193.

[17]錢(qián)學(xué)森,于景元,戴汝為.一個(gè)科學(xué)新領(lǐng)域——開(kāi)放的復(fù)雜巨系統(tǒng)及其方法論[J].自然雜志,1990(1):3-10.

[18]褚文奎,張鳳鳴,樊曉光.綜合模塊化航空電子系統(tǒng)軟件體系結(jié)構(gòu)綜述[J].航空學(xué)報(bào),2009,30(10):1912-1917.

[19]何國(guó)偉.可信性工程（可靠性、維修性、維修保障性）[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,2008:1-25.

[20]魯智勇,馮超,余輝,等.網(wǎng)絡(luò)安全性定量評(píng)估模型研究[J].計(jì)算機(jī)工程與科學(xué),2009,31(10):18-22.

[21]楊哲睿,成衛(wèi)青.一種改進(jìn)的基于MMTD的網(wǎng)絡(luò)應(yīng)用類(lèi)型識(shí)別方法[J].南京郵電大學(xué)學(xué)報(bào):自然科學(xué)版,2012,32 (5):123-129.

[22]張貴,張育平,陳海燕.基于中介真值程度度量的ERP軟件選型評(píng)估方法[J].計(jì)算機(jī)與現(xiàn)代化,2015(2):40-43.

[23]周寧寧,洪龍.基于中介真值程度度量處理圖像的應(yīng)用理論研究[J].南京郵電大學(xué)學(xué)報(bào):自然科學(xué)版,2010,30(3):21-27.

ZHANG Gui was born in 1989.He is an M.S.candidate at College of Computer Science and Technology,Nanjing University of Aeronautics and Astronautics.His research interests include software engineering and credibility engineering,etc.

張貴（1989—），男，江蘇徐州人，南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院碩士研究生，主要研究領(lǐng)域?yàn)檐浖こ?，可信性工程等?/p>

ZHANG Yuping was born in 1959.He is an associate professor at College of Computer Science and Technology, Nanjing University of Aeronautics and Astronautics.His research interests include software engineering and component technology,etc.

張育平（1959—），男，江蘇宜興人，南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院副教授，主要研究領(lǐng)域?yàn)檐浖こ?，?gòu)件技術(shù)等。

CHEN Haiyan was born in 1979.She is a lecturer at College of Computer Science and Technology,Nanjing University ofAeronautics andAstronautics.Her research interests include evaluation algorithm and credibility engineering,etc.

陳海燕（1979—），女，江蘇南京人，南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院講師，主要研究領(lǐng)域?yàn)樵u(píng)估算法，可信性工程等。

*The National Basic Research Program of China under Grant No.2014CB744900(國(guó)家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃(973計(jì)劃)). Received 2015-09,Accepted 2015-11.

CNKI網(wǎng)絡(luò)優(yōu)先出版:2015-12-03,http://www.cnki.net/kcms/detail/11.5602.TP.20151203.1505.008.html

文獻(xiàn)標(biāo)志碼：A

中圖分類(lèi)號(hào)：TP311

doi:10.3778/j.issn.1673-9418.1509055

Safety Assessment Method of IMAArchitecture Supporting Airworthiness Certification*

ZHANG Gui+,ZHANG Yuping,CHEN Haiyan
College of Computer Science and Technology,Nanjing University ofAeronautics andAstronautics,Nanjing 210000,China +Corresponding author:E-mail:zglongteng@126.com

Abstract:It is an important research content for safety assessment of civil aircraft and airworthiness engineering to assess the safety of IMA(integrated modular avionics)architecture accurately and objectively.This paper presents a new synthetic method of combining safety assessment and quantitative analysis for IMA architecture supporting airworthiness certification.Firstly,this paper proposes an IMA architecture safety assessment model of multi-attributes and an evaluation indicator system based on an implementation framework of safety assessment.Then,this paper uses the theory of MMTD(measure of medium truth degree)to treat and evaluate the scores of the indicators.At last,an example of evaluation is carried out and shows that this method can be easily operated,the results can be quantified and comparable,and it can effectively ensure the objectivity of the process and the accuracy of the results of the safety assessment of IMAarchitecture.

Key words:airworthiness engineering;integrated modular avionics(IMA);assessment of safety;measure of medium truth degree(MMTD)