(中國民航大學(xué) 天津市民用航空器適航與維修重點實驗室,天津 300300)

民用飛機適航安全性數(shù)據(jù)追溯性分析與建模*

馬 贊，閻 芳，趙長嘯，王 鵬**

(中國民航大學(xué) 天津市民用航空器適航與維修重點實驗室,天津 300300)

民用飛機適航安全性數(shù)據(jù)間的追溯性是審定過程中判定系統(tǒng)安全性工作完整性和準(zhǔn)確性的重要方法，但隨著民用機載產(chǎn)品安全關(guān)鍵特性及機載設(shè)備的綜合化程度不斷提高，相關(guān)數(shù)據(jù)間追溯關(guān)系的復(fù)雜性也大大增加，給適航安全性審定工作帶來較大挑戰(zhàn)。為建立安全性數(shù)據(jù)及其關(guān)聯(lián)性的評價標(biāo)準(zhǔn)及驗證方法，從安全性需求確認(rèn)及驗證、分析方法，以及相關(guān)運行維護分析等方面總結(jié)審定要素和評審要求，提出了一種整合設(shè)計數(shù)據(jù)、安全性數(shù)據(jù)與運行維護數(shù)據(jù)的安全性數(shù)據(jù)追溯模型。通過該模型在型號工作中的具體應(yīng)用及情況分析，表明其可為我國民機型號安全性評估及審定工作提供理論支撐。

民用飛機；適航審定；系統(tǒng)安全性評估；追溯模型；文件體系

1 引 言

FAR/CCAR25.1309條款對民機型號研制的安全性提出了要求。隨著航空技術(shù)的高速發(fā)展，飛機的復(fù)雜性與日俱增，運用安全系統(tǒng)工程思想對正在研究和已經(jīng)使用的飛機進行系統(tǒng)安全性評估能夠有效提高飛機的安全性[1]。目前適航審定中普遍認(rèn)可的安全性評估活動以SAE ARP4761[2]為基礎(chǔ)，包括功能危害性評估(Functional Hazard Assessment，F(xiàn)HA)、初步系統(tǒng)安全性評估(Preliminary System Safety Assessment,PSSA)、系統(tǒng)安全性評估(System Safety Assessment,SSA)、共因分析(Common Cause Analysis,CCA)、故障模式及影響分析(Failure Modes and Effects Analysis,FMEA)/故障模式影響摘要(Failure Modes and Effects Summary,FMES)等方法，并且各方法間相互銜接，形成了一套自上而下的標(biāo)準(zhǔn)化評估流程模型。當(dāng)前國內(nèi)外諸多學(xué)者針對其中具體的安全性評估技術(shù)開展了深入研究，例如：通過廣義隨機Petri網(wǎng)[3]、動態(tài)故障樹[4]等方法解決動態(tài)安全性描述問題,或者通過基于模型的評估技術(shù)[5]解決復(fù)雜系統(tǒng)的安全性評估問題等。但ARP4761中模型及相關(guān)研究都沒有對審定所需的安全性數(shù)據(jù)及其與研制中其他活動數(shù)據(jù)之間的關(guān)聯(lián)進行說明，導(dǎo)致目前型號安全性工作中仍存在以下問題：一是安全性設(shè)計評估與產(chǎn)品研制脫節(jié)，安全性工作難以發(fā)揮其應(yīng)有的作用；二是安全性工作項目及其成果未能有效整合，輸入輸出信息沒有進行統(tǒng)一管理，使得分析成果未能有效利用，工作效率難以提高；三是未能實現(xiàn)與適航審定工作有效關(guān)聯(lián)，安全性分析結(jié)果缺乏可追溯性，無法準(zhǔn)確判斷有效性和準(zhǔn)確性，增大了審定工作的技術(shù)難度。因此，本文在分析系統(tǒng)安全性符合性驗證過程的典型活動基礎(chǔ)上，總結(jié)審定要素和評審要求，明確系統(tǒng)安全性評估文件體系，建立設(shè)計數(shù)據(jù)、安全性數(shù)據(jù)與運行維護數(shù)據(jù)間的關(guān)聯(lián)性，提出安全性數(shù)據(jù)追溯模型，為我國系統(tǒng)安全性審定問題提供理論基礎(chǔ)。并基于該模型，對某民機型號中各系統(tǒng)安全性評估工作進行檢查，總結(jié)主要存在的問題，為當(dāng)前型號研制提供參考，表明模型的有效性。

2 系統(tǒng)安全性評估典型活動

根據(jù)SAE ARP4761，在飛機/系統(tǒng)研制初始階段進行FHA，對飛機和系統(tǒng)功能進行檢查，確定潛在的功能失效，對失效狀態(tài)影響的危害程度進行分類，并記錄所需的假設(shè)條件。FHA工作包括整機級(AFHA)和系統(tǒng)級(SFHA)。

PSSA采用自上而下的方式，通過故障樹分析(Fault Tree Analysis，F(xiàn)TA)等手段對所提出的系統(tǒng)架構(gòu)進行綜合檢查，確定導(dǎo)致FHA中失效狀態(tài)發(fā)生的機理，衍生出保護性措施，對飛機/系統(tǒng)/項目進行安全性需求分配，并基于底事件的行業(yè)標(biāo)準(zhǔn)數(shù)據(jù)或工程經(jīng)驗數(shù)據(jù)進行定量分析，最終確認(rèn)所提出的架構(gòu)及需求的分配是否能夠滿足要求。

SSA采用自下而上的方式，根據(jù)飛機/系統(tǒng)設(shè)計，綜合PSSA、CCA等各種安全性分析的結(jié)果，對飛機/系統(tǒng)的安全性需求進行驗證。

CCA提供用以驗證功能、系統(tǒng)或項目間獨立性的方法和工具，以確保單點故障不會導(dǎo)致災(zāi)難性的失效狀態(tài)發(fā)生。其包括特定風(fēng)險分析(Particular Risk Analysis,PRA)、共模分析(Common Modes Analysis，CMA)和區(qū)域安全性分析(Zonal Safety Analysis,ZSA)。

3 審定關(guān)注要素及重點

系統(tǒng)安全性評估工作涵蓋內(nèi)容廣泛，相關(guān)數(shù)據(jù)繁雜。通常在安全性活動及數(shù)據(jù)的適航審定過程中，局方重點關(guān)注安全性需求確認(rèn)及驗證、定性及定量分析方法，以及相關(guān)運行維護分析等方面，具體包括以下內(nèi)容：

(1)安全性需求的正確性及完整性

在對失效狀態(tài)安全性目標(biāo)進行驗證之前，首先應(yīng)對其類別劃分的正確性進行評估和確認(rèn)，以保證后續(xù)驗證結(jié)果的有效性。對于那些失效影響不容易理解的失效狀態(tài)，通過提供支撐材料來對失效狀態(tài)的影響等級進行確認(rèn)，這些支撐材料包括飛行試驗、地面試驗、分析計算、仿真模擬等。

(2)系統(tǒng)失效機理分析正確性及完整性

在FTA中除對系統(tǒng)設(shè)備器件分析外，根據(jù)CCAR/FAR25.1709條款，還必須包含對機載電氣線路互聯(lián)系統(tǒng)部件分析。為保證在研制保證等級(Development Assurance Level,DAL)分配過程中能充分考慮各器件的失效影響，需對系統(tǒng)內(nèi)部不同器件間控制邏輯進行詳細的分析。同時，還需重點考慮對系統(tǒng)間接口的分析，從而對其他關(guān)聯(lián)系統(tǒng)提出安全性需求并驗證。

(3)獨立性證明的正確性及完整性

由于國際民機的設(shè)計不允許存在單點故障造成災(zāi)難類失效狀態(tài)，因此除需要對故障樹與FMEA進行分析尋找單點故障外，還需要對相關(guān)故障樹下“與門”的獨立性進行證明，即共因分析?？煞謩e從設(shè)計、制造、安裝、維護、環(huán)境、測試、校準(zhǔn)、特定風(fēng)險等方面分析尋找共因失效源。

(4)FTA定量計算中數(shù)據(jù)的正確性

在系統(tǒng)安全性評估及FTA中，需要明確故障樹底事件安全性數(shù)據(jù)的來源。在SSA中，這些數(shù)據(jù)通常來自FMEA/FMES。FMEA中可靠性數(shù)據(jù)的來源可包括部件/相似設(shè)計部件的實際運營數(shù)據(jù)、部件/相似設(shè)計部件的壽命試驗或加速壽命試驗數(shù)據(jù)、部件供應(yīng)商的現(xiàn)場或試驗數(shù)據(jù)、相似部件的內(nèi)場數(shù)據(jù)庫、可靠性數(shù)據(jù)標(biāo)準(zhǔn)或手冊、相似部件的工業(yè)數(shù)據(jù)庫等。

(5)隱蔽故障及維修間隔分析的正確性

隱蔽故障是指那些已經(jīng)發(fā)生，但對飛機沒有可察覺的影響，并且不可被監(jiān)控措施檢測到的故障。其只能通過維修任務(wù)被檢查和修理(日檢、預(yù)防性維修、校驗、定檢等)。隱蔽故障本身并不會導(dǎo)致危害，但是它會使保護機制功能喪失或降低安全裕度，從而增加后續(xù)失效條件引起危害的風(fēng)險。因此，確定隱蔽故障的維修時間間隔則顯得非常重要。

隱蔽故障的維修時間間隔在系統(tǒng)安全性評估過程中確定。在PSSA中，故障樹頂事件發(fā)生概率不應(yīng)大于相應(yīng)失效狀態(tài)的安全性目標(biāo)，而頂事件發(fā)生概率由各底事件對應(yīng)的失效率和風(fēng)險時間計算而得。如果底事件中存在隱蔽故障，則其風(fēng)險時間未知。此時，令頂事件發(fā)生概率等于失效狀態(tài)的安全目標(biāo)，則可求得隱蔽故障的維修間隔最大值。

在SSA過程中需要將I、II類失效狀態(tài)故障樹中包含的隱蔽故障及維修任務(wù)作為候選審定維修要求(Candidate Certification Maintenance Requirements,CCMR)項目提交給審定維修協(xié)調(diào)委員會。由委員會主持會議將CCMR項目與維修指導(dǎo)小組提出的維修活動進行協(xié)調(diào)，最終確定CMR項目及其檢查時間間隔，形成CMR文件，作為維修大綱(Maintenance Review Board Report,MRBR)的附錄1或A。此外，還應(yīng)將CMR與SSA中的周期性檢查任務(wù)進行復(fù)查與核對，驗證CMR間隔不超過安全性評估過程確定的檢查時間間隔，結(jié)果記錄在表1中。

表1 審定維修要求復(fù)查任務(wù)表Tab.1 Review task list

AC25.19[6]給出了一種由CCMR確定審定CMR的方法。 CMR成為一種必要的周期性維修檢查，是飛機型號合格證的運行限制。

(6)DAL分配及驗證正確性

DAL的分配按照SAE ARP4754[7]進行。但如果給設(shè)備分配低于最嚴(yán)重危害所對應(yīng)的DAL，應(yīng)按照較高的DAL，在更高層級中確認(rèn)并在SSA中驗證設(shè)備的DAL分配和獨立性是可接受的。尤其對于獨立非相似的架構(gòu)設(shè)計，其證明需要從防止頂層失效狀態(tài)發(fā)生的設(shè)計、設(shè)計方法、實現(xiàn)設(shè)計的技術(shù)和功能運行等4個方面進行詳細的論證。對于軟/硬件的研制，需要分別根據(jù)RTCA DO-254[8]和RTCA DO-178C[9]，按照對應(yīng)的DAL等級，表明研制符合性。

(7) 基于安全性評估的運行程序及限制

運行限制及程序?qū)ο嚓P(guān)的系統(tǒng)安全性評估結(jié)果非常關(guān)鍵，且可能對運行安全性或可靠性產(chǎn)生直接和不利影響(如重大的、危險的或災(zāi)難的失效狀態(tài))。因此，在SSA過程中，應(yīng)給出必要的運行限制及程序，包括顯示、告警、機組操作等。FAA AC25.1309-1B(Arsenal)[10]對運行程序及限制提出了詳細的要求。

(8)主最低設(shè)備清單正確性

對于主最低設(shè)備清單(Master Minimum Equipment List,MMEL)的安全性評估，必須從兩個方面考慮：一是“特殊飛行”，即已經(jīng)知道是帶故障飛行，此時，需要刪除故障樹中所有與所帶故障相關(guān)的事件，再進行計算;二是“平均飛行”，即不確定故障會在哪次飛行中發(fā)生,此時，需要通過枚舉的方法計算各種情況下的“特殊飛行”概率計算，再求平均值。

兩個不同的考慮都必須滿足25.1309條款中系統(tǒng)安全性的最低要求。

4 安全性數(shù)據(jù)追溯性分析與建模

4.1系統(tǒng)安全性評估文件體系

根據(jù)民機系統(tǒng)安全性評估過程的相關(guān)工作，梳理用來表明25.1309款符合性的系統(tǒng)安全性評估文件，主要包括需求、功能及設(shè)計描述文件，安全性分析及支持文件，以及基于安全性分析的維護運行文件等。其中，需求功能及設(shè)計描述文件是所有安全性分析文件的必要輸入。而通過系統(tǒng)安全性評估過程，除對系統(tǒng)安全性設(shè)計進行驗證外，同時產(chǎn)生部分系統(tǒng)維護運行數(shù)據(jù)，這些數(shù)據(jù)需要最終編制在相應(yīng)的型號維護運行文件中，共同保障型號的安全性水平。因此，匯總形成如下：

(1)需求功能及設(shè)計描述文件，包括系統(tǒng)/設(shè)備需求、功能文件,系統(tǒng)/設(shè)備設(shè)計描述文件,系統(tǒng)接口描述文件，等；

(2)安全性分析及支持文件，包括系統(tǒng)合格審定計劃(Certification Plan,CP)、AFHA文件、SFHA文件、PSSA文件、SSA文件、FTA文件、FMEA/FMES文件、CCA文件、安全性評估支持性材料(失效狀態(tài)確認(rèn)材料、DAL符合性驗證材料等) ；

(3)基于安全性分析的維護運行文件，包括MMEL報告、CCMR報告、飛機飛行手冊(Aircraft Flight Manual,AFM)。

4.2安全性數(shù)據(jù)追溯模型

基于梳理的安全性評估文件體系，可建立系統(tǒng)安全性追溯模型，如圖1所示。

圖1 安全性數(shù)據(jù)追溯模型Fig.1 The safety data traceability model

各文件間關(guān)系及追溯性說明如下：

4.2.1L1:系統(tǒng)安全性評估對CP的追溯性關(guān)系

系統(tǒng)安全性評估的目的是表明CP中需用MOC3進行符合性驗證的條款安全性方面的符合性。在SSA報告中，應(yīng)列出CP中要求以MOC3進行驗證的條款，并結(jié)合SSA過程，分別對這些條款的符合性進行說明。

4.2.2L2:SFHA文件對AFHA文件的追溯性關(guān)系

在AFHA和SFHA中的追溯性主要關(guān)注如下兩點：飛機級功能與系統(tǒng)級功能間的追溯性和一致性以及飛機級失效狀態(tài)類別劃分與系統(tǒng)級失效狀態(tài)類別的一致性。

4.2.3L3:PSSA/SSA文件對SFHA文件的追溯性關(guān)系

PSSA/SSA文件對SFHA文件追溯性關(guān)系主要體現(xiàn)在：

(1)PSSA/SSA分析需要以SFHA的結(jié)果為輸入，PSSA/SSA應(yīng)該以SFHA中確定的安全性需求為起點(頂事件)進行故障樹定性定量分析。

(2)PSSA/SSA分析深度以SFHA結(jié)果為依據(jù)。例如：根據(jù)AC25.1309-1B要求，對于綜合復(fù)雜系統(tǒng)，災(zāi)難類、危險類或重大類失效狀態(tài)都需要進行定性定量的故障樹分析；而對輕微類或無安全影響類，只需要進行定性分析，如FMEA等。

因此，在PSSA/SSA報告中應(yīng)對SFHA報告進行索引，并引用SFHA失效狀態(tài)及其分類列表。

4.2.4L4:FTA文件對SFHA的追溯性關(guān)系

PSSA/SSA中FTA應(yīng)該以SFHA中確定的安全性需求為起點(頂事件)進行定性定量分析。

4.2.5L5:SFHA文件對失效狀態(tài)確認(rèn)材料的追溯性關(guān)系

SFHA中各失效狀態(tài)類別的劃分應(yīng)該有對應(yīng)的確認(rèn)材料支持,該材料可以是分析說明、模擬機試驗、地面試驗，或飛行試驗等,具體形式由申請人和局方協(xié)商確定。在SFHA報告中，應(yīng)對各失效狀態(tài)的確認(rèn)數(shù)據(jù)進行索引。

4.2.6L6:PSSA/SSA文件對FTA文件的追溯性關(guān)系

無論是PSSA安全性需求分配，還是SSA符合性定量計算，都需要以系統(tǒng)FTA為基礎(chǔ)。因此，在PSSA/SSA中需要對相應(yīng)的FTA報告及所建立的FTA進行索引和引用。

4.2.7L7:SSA文件對PSSA文件的追溯性關(guān)系

在SSA報告中表明DAL符合性時，應(yīng)對PSSA報告及DAL分配結(jié)果進行追溯,再通過對DAL符合性文件的分析，確定需求符合性。

4.2.8L8:DAL符合性驗證文件對PSSA的追溯性關(guān)系

PSSA文件應(yīng)結(jié)合系統(tǒng)架構(gòu)，根據(jù)SAE ARP4754，對其中包含機載復(fù)雜電子硬件和軟件的設(shè)備，進行DAL分配。而對于DAL符合性驗證，則應(yīng)按照PSSA中DAL分配的結(jié)果，根據(jù)RTCA DO-254和DO-178B中相應(yīng)等級要求，形成符合性驗證文件。因此，在符合性驗證文件中，應(yīng)對PSSA文件及其DAL分配結(jié)果進行追溯。

4.2.9L9:PSSA/SSA文件對共因分析的追溯性關(guān)系

適航規(guī)章要求，對于災(zāi)難類失效狀態(tài)不能存在單點失效的情況。而共因分析就是通過特定風(fēng)險、設(shè)計、安裝環(huán)境、維護等方面對失效狀態(tài)故障樹中“與”門的獨立性進行分析，從而確定是否存在單點失效的情況，并進行改進。

因此，需要在PSSA/SSA文件中對共因分析文件(包括特定風(fēng)險分析文件、共模分析文件、區(qū)域安全性分析文件)進行追溯和索引，對災(zāi)難類失效狀態(tài)下“與”門事件開展分析，從而判斷是否存在單點故障的情況。

4.2.10L10:SSA文件對DAL符合性驗證文件追溯性關(guān)系

SSA文件中應(yīng)該根據(jù)PSSA中對系統(tǒng)機載復(fù)雜電子硬件和軟件的DAL分配結(jié)果，對各部件DAL符合性驗證文件進行索引,主要包括軟件/硬件審定計劃、完結(jié)綜述和構(gòu)型索引等文件。

4.2.11L11:SSA文件對FMES文件的追溯性關(guān)系

在SSA中，故障樹底事件失效率及暴露時間應(yīng)來自于對應(yīng)FMES文件。因此，應(yīng)在SSA報告中對每個底事件可靠性基礎(chǔ)數(shù)據(jù)源自的FMES文件進行追溯和索引。

4.2.12L12:FMES文件對FTA文件的追溯性關(guān)系

為使FMES可以有效支持SSA分析中故障樹的定量技術(shù)，要求FMES應(yīng)將FTA的底事件作為目標(biāo)失效影響，從而可以通過FMES方便獲取故障樹底事件失效率和風(fēng)險事件。

4.2.13L13:FTA報告對系統(tǒng)設(shè)計文件的追溯性關(guān)系

系統(tǒng)故障樹的建立需要以系統(tǒng)設(shè)計為基礎(chǔ),因此，在FTA文件中需要對系統(tǒng)設(shè)計文件進行索引。

4.2.14L14:FMES文件對FMEA文件的追溯性關(guān)系

FMES是以SSA和FTA底事件為目標(biāo)失效影響，對相關(guān)FMEA文件的整理和匯總。因此，在FMES中的各項，應(yīng)標(biāo)明其是哪些FMEA項的集合，并對這些FMEA進行追溯。

4.2.15L15:FMEA對設(shè)備需求及設(shè)計文件的追溯性關(guān)系

在設(shè)備需求及設(shè)計描述文件中，詳細描述了各設(shè)備的設(shè)計需求和設(shè)計規(guī)范，包括設(shè)備構(gòu)型、工作原理、功能、冗余設(shè)計、接口設(shè)計等。而FMEA分析需要以設(shè)備需求及設(shè)計文件中的內(nèi)容為基礎(chǔ)，從而確定失效模式、與安全性相關(guān)的失效影響。應(yīng)在FMEA中對設(shè)備需求及設(shè)計描述文件進行追溯。

4.2.16L16:SSA文件對AFM文件的追溯性關(guān)系

SSA中匯總安全性評估衍生出的對非正常和應(yīng)急情況下運行程序的要求，并檢查是否列入AFM手冊中。

4.2.17L17:SSA文件對CCMR文件的追溯性關(guān)系

在SSA過程中需要將災(zāi)難類和危險類失效狀態(tài)故障樹中包含的隱蔽故障及維修任務(wù)作為CCMR項目提交給審定維修協(xié)調(diào)委員會。委員會主持會議將CCMR項目與維修指導(dǎo)小組提出的維修活動進行協(xié)調(diào)，最終確定CMR項目及其檢查時間間隔，形成CMR文件，作為MRBR的附錄1或A文件。

在SSA過程中，還應(yīng)將MRB報告中的CMR文件與SSA報告中的周期性檢查任務(wù)進行復(fù)查與核對，驗證CMR間隔不超過安全性評估過程確定的最大檢查時間間隔。

4.2.18L18：SSA對MMEL的追溯性關(guān)系

對于建議的MMEL，同樣應(yīng)開展SSA分析，檢驗在MMEL情況下是否能夠滿足適航安全的最低標(biāo)準(zhǔn)。因此，在SSA報告中，應(yīng)對建議的MMEL進行核查，得出其是否符合最低安全規(guī)章要求的結(jié)論。

通過以上追溯性模型進行檢查，可以覆蓋審定關(guān)注要素及重點，具體對應(yīng)關(guān)系如表2。例如:對于安全性需求的正確性及完整性，可通過建立審定基礎(chǔ)、AFHA和SFHA中失效狀態(tài)、PSSA中的需求分配及衍生需求產(chǎn)生、故障樹分析中獨立性需求產(chǎn)生間的一致性和追溯性進行檢查，而對于系統(tǒng)失效機理分析正確性及完整性，可通過系統(tǒng)設(shè)計文件、FTA、設(shè)備需求及設(shè)計文件、FMEA之間的一致性和追溯性檢查來實現(xiàn)。

表2 審定要素與追溯性間的對應(yīng)關(guān)系Tab.2 Relationship betweenthe certification key points and traceability

5 應(yīng)用分析

根據(jù)以上審查要點和追溯性模型，對某民機型號飛行控制系統(tǒng)、綜合顯示系統(tǒng)、電源系統(tǒng)等23個機載系統(tǒng)進行安全性工作檢查，主要存在問題及原因如表3所示。

表3 存在問題及原因分析Tab.3 Problems and analysis

6 結(jié)束語

本文基于系統(tǒng)符合性驗證典型活動分析，從安全性需求確認(rèn)及驗證、定性及定量分析方法，以及相關(guān)運行維護分析等方面總結(jié)了審定關(guān)注要素及重點，提出了一種整合設(shè)計數(shù)據(jù)、安全性數(shù)據(jù)與運行維護數(shù)據(jù)的安全性數(shù)據(jù)追溯模型，并應(yīng)用該模型對我國當(dāng)前型號安全性工作中存在的主要問題進行分析，表明其可以有效發(fā)現(xiàn)工作中存在的不一致性和不完整性，為我國系統(tǒng)安全性審定和符合性相關(guān)工作提供了理論基礎(chǔ)。

但隨著綜合模塊化航電架構(gòu)的廣泛應(yīng)用，其多方合作、資源共享、強健分區(qū)、動態(tài)重構(gòu)等特性給安全性評估帶來挑戰(zhàn)，相關(guān)工作也將進一步分層細化，安全性文件體系將得到較大擴充。針對其的追溯性模型將是我們后續(xù)研究的重點。

[1] 宗蜀寧，端木京順.飛機整機級系統(tǒng)安全性評估方法討論[J].中國安全科學(xué)學(xué)報，2011,21(10):125-130.ZONG Shuning，DUANMU Jingshun.Study on aircraft system safety assessment method in aircraft level[J].China Safety Science Journal,2011,21(10):125-130.(in Chinese)

[2] SAE International. Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment:ARP4761[S/OL].[2017-01-16].http://www.sae.org/.

[3] MOHAMMED T,FAISAL K,ZOUBIDA L.Availability analysis of safety critical systems using advanced fault tree and stochastic Petri net formalisms[J].Journal of Loss Prevention in the Process Industries,2016,44:193-203.

[4] ZHU Z F.Dynamic fault tree analysis method based on Markov chain[J].Acta Armamentarii,2008,29(9):1104-1107.

[5] LI Y,GONG Q,SU D.Model-based system safety assessment of aircraft power plant[J].Procedia Engineering,2014,80:85-92.

[6] Federal Aviation Administration.Certification maintenance requirements:FAA AC25-19A[S/OL].[2017-01-16]. http://rgl.faa.gov/.

[7] SAE International.Guidelines for development of civil aircraft and systems:SAE ARP4754A[S/OL].[2017-01-16]. http://www.sae.org/.

[8] Radio Technical Commission for Aeronautics.Design assurance guidance for airborne electronic hardware:RTCA DO-254[S/OL].[2017-01-16]. http://www.rtca.org/.

[9] Radio Technical Commission for Aeronautics.Software considerations in airborne systems and equipment certification:RTCA DO-178C[S/OL].[2017-01-16]. http://www.rtca.org/.

[10] Federal Aviation Administration. System design and analysis:AC 25.1309-1B(arsenal)[S/OL].[2017-01-16]. http://rgl.faa.gov/.

TraceabilityAnalysisandModelingofAirworthinessSafetyDataforCivilAircrafts

MA Zan，YAN Fang，ZHAO Changxiao,WANG peng

(Civil Aircraft Airworthiness and Repair Key Laboratory of Tianjin,Civil Aviation University of China,Tianjin 300300,China)

Traceability between the airworthiness safety data for civil aircrafts plays an important role for determining the completeness and correctness of system safety assessment. However,with the improvement of the safety characteristics and the integration of airborne equipment,the complexity of the relationship between safety data is also greatly increased,which brings challenges to the airworthiness certification work on the system safety assessment. In order to establish the evaluation criteria and verification methods of safety data,the critical certification elements and requirements are summarized from the validation and verification of safety requirements,analysis methods,and operation/maintenance. A traceability model is defined to establish the interfaces between the design data,safety data and operational/maintenance data. Specific application of the model in project demonstrates that it can provide theoretical basis for China's civil aircraft system safety certification.Keywords：civil aircraft;airworthiness certification;system safety assessment;traceability model;safety data

date:2017-02-16；Revised date：2017-04-13

國家自然科學(xué)基金委員會-中國民航局民航聯(lián)合研究基金資助項目(U1533105)

10.3969/j.issn.1001-893x.2017.09.015

馬贊，閻芳，趙長嘯，等.民用飛機適航安全性數(shù)據(jù)追溯性分析與建模[J].電訊技術(shù)，2017,57(9):1064-1070.[MA Zan，YAN Fang，ZHAO Changxiao,et al.Traceability analysis and modeling of airworthiness safety data for civil aircrafts[J].Telecommunication Engineering,2017,57(9):1064-1070.]

V37

：A

：1001-893X(2017)09-1064-07

馬贊(1984—)，男，漢，天津人，2010年于北京航空航天大學(xué)獲碩士學(xué)位，現(xiàn)為助理研究員，主要從事民機系統(tǒng)安全性設(shè)計與評估、航空電子適航審定技術(shù)研究；

Email:mazan-84@163.com

閻芳(1982—)，女，山東人，2005年于法國國立航空工程大學(xué)獲碩士學(xué)位，現(xiàn)為中國民航大學(xué)適航審定技術(shù)與管理中心副研究員，主要從事民機系統(tǒng)安全性設(shè)計與評估、機載電子硬件適航技術(shù)研究；

趙長嘯(1989—)，男，山東人，2013年于北京航空航天大學(xué)獲博士學(xué)位，現(xiàn)為中國民航大學(xué)適航審定技術(shù)與管理中心研究人員，主要從事民機航電系統(tǒng)設(shè)計與評估、航空電子綜合研究；

王鵬(1982—)，男，天津人，2005年于法國國立航空工程大學(xué)獲碩士學(xué)位，現(xiàn)為副研究員,任中國民航大學(xué)適航審定技術(shù)與管理中心副主任，主要從事民機系統(tǒng)安全性設(shè)計與評估、機載電子硬件適航技術(shù)研究。

Email:pwang_cauc@163.com

2017-02-16；

：2017-04-13

**通信作者：pwang_cauc@163.com Corresponding author：pwang_cauc@163.com