黃勁松

【摘 要】綜合模塊化航電（IMA）平臺在民用飛機(jī)領(lǐng)域的應(yīng)用越來越廣泛。IMA平臺安全性評估過程是保證系統(tǒng)設(shè)計(jì)符合飛機(jī)安全性要求的基礎(chǔ)。本文在研究DO-297等相關(guān)規(guī)范的基礎(chǔ)上，分析了IMA平臺安全性評估過程的特點(diǎn)，提出了IMA平臺安全性評估過程的目標(biāo)，并闡述了目標(biāo)相應(yīng)的活動和符合性證據(jù)。

【關(guān)鍵詞】民用飛機(jī)；IMA平臺；安全性評估；DO-297

中圖分類號： V243 文獻(xiàn)標(biāo)識碼： A 文章編號： 2095-2457（2018）03-0213-002

Research on Safety Assessment Process of Civil Aircraft IMA Platform

HUANG Jin-song

（Shanghai Aircraft Design and Research Institute， Shanghai， 201210， China）

【Abstract】Integrated Modular Avionics（IMA） is more and more widely used in civil aircraft area. The safety assessment process of IMA platform is the basis for ensuring system design in line with aircraft safety requirements. Based on the research of DO-297 and other related specifications， this paper analyzes the characteristics of IMA platform safety assessment process， puts forward the objectives of IMA platform safety assessment process， and elaborates the activities and compliance evidence of the objectives.

【Key words】Civil Aircraft； IMA Platform； Safety Assessment； DO-297

0 引言

隨著民用飛機(jī)機(jī)載系統(tǒng)復(fù)雜度的不斷提高，綜合模塊化航電（IMA）平臺越來越廣泛地應(yīng)用在民用飛機(jī)領(lǐng)域。IMA平臺是包含核心軟件的一個或者一組模塊，它能夠?yàn)轳v留功能提供計(jì)算、通信、接口等公共資源。IMA平臺安全性評估過程是保證系統(tǒng)設(shè)計(jì)符合飛機(jī)安全性要求的基礎(chǔ)。本文在研究DO-297等相關(guān)規(guī)范的基礎(chǔ)上，分析了IMA平臺安全性評估過程的特點(diǎn)，提出了IMA平臺安全性評估過程的目標(biāo)，結(jié)合對ARP4754A和ARP4761的研究，給出了平臺安全性評估過程目標(biāo)相應(yīng)的活動和符合性證據(jù)。

在本文的研究中，定義IMA平臺為一組模塊，同時(shí)定義IMA模塊為單一模塊。因此，IMA平臺符合ARP4754A中定義的“系統(tǒng)”概念，IMA平臺的安全性評估過程應(yīng)按照ARP4754A中推薦的系統(tǒng)安全性評估活動進(jìn)行；而IMA模塊由于不具備獨(dú)立功能，僅需完成部件級安全性評估活動。

1 IMA平臺安全性評估過程特點(diǎn)分析

由于IMA系統(tǒng)功能和架構(gòu)的特殊性，IMA平臺安全性評估具有以下特點(diǎn)：

（1）在安全性評估過程中，傳統(tǒng)機(jī)載系統(tǒng)先根據(jù)系統(tǒng)功能進(jìn)行功能危害度評估（FHA），然后開展初步系統(tǒng)安全性評估（PSSA），采用故障樹分析（FTA）等方法向各組件分配失效概率，最后在系統(tǒng)驗(yàn)證階段開展系統(tǒng)安全性評估（SSA）來評估系統(tǒng)安全性需求是否已滿足。但I(xiàn)MA平臺只有駐留相關(guān)功能后，才會實(shí)現(xiàn)或參與實(shí)現(xiàn)飛機(jī)功能，因此IMA平臺無法像傳統(tǒng)機(jī)載系統(tǒng)一樣從FHA開始安全性評估工作。同時(shí)，由于IMA平臺不完全具備IMA系統(tǒng)級功能，因此在IMA平臺級不需要進(jìn)行FHA評估工作，IMA平臺的初步安全性需求可直接在IMA系統(tǒng)FHA中提出。

（2）IMA平臺失效的影響取決于使用平臺的駐留功能的關(guān)鍵程度。若駐留功能為關(guān)鍵功能，例如飛管功能，那么影響該功能失效的平臺失效就應(yīng)被定義為災(zāi)難級；若駐留功能為非基本功能，例如客艙信息系統(tǒng)，平臺失效的影響等級就會降低。

（3）IMA平臺支持眾多不同的駐留功能，因此IMA平臺的安全性需求應(yīng)是通用的，與使用IMA平臺的駐留功能架構(gòu)無關(guān)。

（4）IMA平臺作為IMA系統(tǒng)的基礎(chǔ)，為駐留功能系統(tǒng)提供公共資源，IMA平臺應(yīng)根據(jù)其架構(gòu)和研制保證等級，結(jié)合歷史開發(fā)經(jīng)驗(yàn)數(shù)據(jù)，向駐留功能和IMA系統(tǒng)提供IMA平臺開發(fā)事件清單（DEL），用于支持駐留功能和IMA系統(tǒng)的安全性評估。DEL中應(yīng)包含對駐留功能可用性和完整性指標(biāo)有影響的全部IMA平臺基礎(chǔ)數(shù)據(jù)。在駐留功能和IMA系統(tǒng)進(jìn)行故障樹分析（FTA）時(shí)，DEL可提供故障樹子節(jié)點(diǎn)數(shù)據(jù)。

（5）PSSA階段，IMA平臺層面只能通過分析通用的駐留功能架構(gòu)來進(jìn)行初始DEL的確認(rèn)，DEL的最終確認(rèn)應(yīng)在駐留功能安全性評估和IMA系統(tǒng)安全性評估結(jié)束后完成。

2 IMA平臺安全性評估過程的目標(biāo)、活動和符合性證據(jù)

IMA平臺安全性評估過程的目標(biāo)源于對DO-297任務(wù)1（IMA平臺開發(fā)）目標(biāo)的分析，DO-297任務(wù)1的10項(xiàng)目標(biāo)中有3項(xiàng)涉及到IMA平臺安全性評估，分別為：

目標(biāo)1：平臺/模塊的設(shè)計(jì)應(yīng)形成文件并且要達(dá)到安全性要求[1]；

目標(biāo)2：分區(qū)要確保任何駐留應(yīng)用的行為不會受到任何其它應(yīng)用或功能的不良影響[1]；

目標(biāo)3：模塊需求、資源需求等符合性要得到證實(shí)[1]。

由于IMA平臺具有高度綜合性，IMA平臺制造商（或者任務(wù)1的申請人）應(yīng)該按照ARP4754A和ARP4761中定義的安全性評估過程來開展IMA平臺的安全性評估活動，并產(chǎn)生相應(yīng)符合性證據(jù)文件。

本文將IMA平臺研制保證等級按A級考慮，結(jié)合ARP4754A和ARP4761中的安全性評估要求，給出了DO-297任務(wù)1中的3項(xiàng)安全性相關(guān)目標(biāo)在IMA平臺安全評估過程中的具體活動和相應(yīng)的符合性證據(jù)[2-3]，具體如下：

目標(biāo)1活動：（1）IMA平臺DEL定義；（2）IMA平臺FTA；（3）IMA平臺故障模式和影響分析（FMEA）；（4）IMA平臺共因分析（CCA）；（5）IMA平臺PSSA；6）IMA平臺SSA。

目標(biāo)1符合性證據(jù)：（1）IMA平臺DEL報(bào)告；（2）IMA平臺FTA數(shù)據(jù)；（3）IMA平臺FMEA報(bào)告；（4）IMA平臺故障模式和影響總結(jié)（FMES）；（5）IMA平臺CCA報(bào)告；（6）IMA平臺PSSA報(bào)告；（7）IMA平臺SSA報(bào)告。

目標(biāo)2活動：（1）IMA平臺分區(qū)分析；（2）IMA平臺CCA。

目標(biāo)2符合性證據(jù)：（1）IMA平臺分區(qū)分析報(bào)告；（2）IMA平臺CCA報(bào)告；（3）IMA平臺SSA報(bào)告。

目標(biāo)3符活動：（1）IMA平臺需求開發(fā)；（2）IMA平臺PSSA；（3）IMA平臺SSA。

目標(biāo)3符合性證據(jù)：（1）IMA平臺需求規(guī)范；（2）IMA平臺PSSA報(bào)告；（3）IMA平臺SSA報(bào)告。

3 結(jié)論

本文在研究DO-297等相關(guān)規(guī)范的基礎(chǔ)上，詳細(xì)分析了IMA平臺安全性評估的特點(diǎn)，提出了IMA平臺安全性評估過程的目標(biāo)，結(jié)合對ARP4754A和ARP4761的研究，給出了平臺安全性評估過程目標(biāo)相應(yīng)的活動和符合性證據(jù)，指導(dǎo)民用飛機(jī)IMA平臺安全性分析過程的實(shí)施。

【參考文獻(xiàn)】

[1]RTCA DO-297， Integrated Modular Avionics （IMA） Development Guidance and Certification Considerations[S].RTCA Inc.， 2005.

[2]SAE ARP4754A，Guidelines for Development of Civil Aircraft and Systems[S].SAE International，2010.

[3]SAE ARP4761，Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].SAE International，1996.