宮綦 張東輝

摘要：基于ARP 4754A對于民用飛機(jī)研制過程的要求，結(jié)合我國目前民用飛機(jī)研制工作現(xiàn)狀，針對研制規(guī)劃、安全性、需求工程、構(gòu)型管理、過程保證、審定過程的符合性要求以及滿足符合性要求的應(yīng)用實施進(jìn)行分析和研究，提出了在民用飛機(jī)研制過程中對于ARP 4754A標(biāo)準(zhǔn)的實施和部署建議，以確保所有的研制過程和工具集與整個適航程序和審定要求相適應(yīng)。

關(guān)鍵詞：民用飛機(jī)；ARP 4754A；研制過程；符合性應(yīng)用

中圖分類號：V37文獻(xiàn)標(biāo)識碼：ADOI：10.19452/j.issn1007-5453.2021.11.007

ARP 4754A標(biāo)準(zhǔn)（簡稱ARP 4754A）是在考慮整個飛機(jī)的運行環(huán)境和功能的情況下，闡述了民用飛機(jī)與系統(tǒng)的研制過程要求，涵蓋了對設(shè)計要求的確認(rèn)和對設(shè)計實現(xiàn)的驗證，提供了證明適航符合性的最佳實踐方法，目前已被各國適航當(dāng)局和航空工業(yè)部門視為能夠同時滿足適航規(guī)章21部和適航性標(biāo)準(zhǔn)25部中第25.1309條款最有效的系統(tǒng)性流程和符合性方法，已經(jīng)成為國內(nèi)外局方在審定民用飛機(jī)與系統(tǒng)時推薦和認(rèn)可的技術(shù)標(biāo)準(zhǔn)文件。

因此，本文主要在基于先期對ARP 4754A的民用飛機(jī)研制過程符合性研究的基礎(chǔ)上，對ARP 4754A標(biāo)準(zhǔn)的研制規(guī)劃和完整性過程在國內(nèi)民機(jī)研制過程的應(yīng)用以及符合性實施過程開展研究，提出ARP 4754A在民機(jī)研制過程中的過程目標(biāo)和實施建議等，旨在為國內(nèi)民機(jī)研制過程的符合性提供指導(dǎo)。

1 ARP 4754A概述

ARP4754為開發(fā)民用飛機(jī)和系統(tǒng)的過程提供了更新和擴(kuò)大的指導(dǎo)方針，并考慮了飛機(jī)的運行環(huán)境和功能[1]。ARP 4754A提供了符合審定要求的全球通用性方法，其主要內(nèi)涵是：確認(rèn)需求是正確的和完整的；將需求分配給硬件和軟件。

ARP 4754A解決飛機(jī)和實現(xiàn)飛機(jī)功能系統(tǒng)研制生命周期中的問題。詳細(xì)的軟件開發(fā)過程可以參閱RTCA DO-178B“在機(jī)載系統(tǒng)和設(shè)備審定中的軟件要素”；詳細(xì)的硬件開發(fā)過程參閱RTCA DO-254/EUROCAE ED-80“機(jī)載電子硬件設(shè)計保證指南”；安全性評估過程參閱ARP 4761“在民用機(jī)載系統(tǒng)和設(shè)備上進(jìn)行安全評估過程的指導(dǎo)方針和方法”。另外，電子設(shè)備研制過程主要依據(jù)DO-297/ ED-124“集成模塊化航空電子學(xué)的指導(dǎo)方針”和DO-160C“針對機(jī)載設(shè)備的環(huán)境條件和測試程序”。

2研制過程符合性實施

2.1研制規(guī)劃

2.1.1規(guī)劃流程

研制規(guī)劃流程的目標(biāo)是：（1）定義開發(fā)生命周期的開發(fā)過程和集成過程的活動，以滿足飛機(jī)/系統(tǒng)需求、功能開發(fā)保證級（FDAL）和項目開發(fā)保證級（IDAL）的要求；（2）定義開發(fā)生命周期，包括流程之間的關(guān)系、順序、反饋機(jī)制和轉(zhuǎn)換標(biāo)準(zhǔn)；（3）選擇生命周期環(huán)境，包括用于每個生命周期過程活動的方法和工具；（4）定義與飛機(jī)/系統(tǒng)安全目標(biāo)一致的研制標(biāo)準(zhǔn)；（5）制定符合每個集成過程目標(biāo)的計劃。

事實上，不同規(guī)劃要素開發(fā)的不是并行發(fā)生的，確保其之間的一致性是非常重要的，它們共同構(gòu)成了整個研制生命周期的完整計劃。

圖1展示了主要的研制規(guī)劃要素及其分類，包括：（1）安全性評估與研制保證等級規(guī)劃要素：與飛機(jī)或系統(tǒng)開發(fā)有關(guān)的安全活動的內(nèi)容；（2）需求捕獲規(guī)劃要素：識別并描述需求是如何被捕獲和管理的；（3）需求驗證規(guī)劃要素：描述了需求和假設(shè)如何被證明是完整和正確的；（4）實施驗證規(guī)劃要素：定義了在表明實現(xiàn)滿足需求時要應(yīng)用的流程和標(biāo)準(zhǔn)；（5）構(gòu)型管理規(guī)劃要素：描述了關(guān)鍵的開發(fā)相關(guān)構(gòu)型項以及它們將如何被管理；（6）過程保證規(guī)劃要素：描述了確保在系統(tǒng)開發(fā)過程中應(yīng)用的實踐和程序的方法；（7）取證規(guī)劃要素：描述了用于獲得審定的過程和方法。

2.1.2轉(zhuǎn)段標(biāo)準(zhǔn)

規(guī)劃的一個關(guān)鍵組成部分是建立生命周期過程檢查點和審查，這與項目階段和節(jié)點相一致。該計劃應(yīng)該明確定義成熟度期望，以提供關(guān)于設(shè)計、實現(xiàn)和審定的主要元素的進(jìn)度和集成狀態(tài)的可見性。這可以通過明確識別技術(shù)、流程入口和退出標(biāo)準(zhǔn)來實現(xiàn)。當(dāng)從一個開發(fā)階段過渡到另一個階段時，問題應(yīng)該被跟蹤和管理。

2.1.3偏離計劃

在研制過程中，原定計劃可能出現(xiàn)偏離。因此，在規(guī)劃階段，確定一個過程來處理計劃偏離的偏差是非常重要工作。

2.2安全性

2.2.1安全性評估

安全性評估過程被用來證明民用飛機(jī)與系統(tǒng)是符合審定要求并符合制造商內(nèi)部安全標(biāo)準(zhǔn)的。這個過程包括在飛機(jī)/系統(tǒng)研制過程中進(jìn)行和更新的具體評估，以及與其他系統(tǒng)研制過程的交互。初步安全性評估流程包括以下內(nèi)容。

（1）功能危害評估（FHA）。檢查飛機(jī)和系統(tǒng)的功能，以識別和分類與系統(tǒng)相關(guān)的故障模式。飛機(jī)和系統(tǒng)級的功能危害評估結(jié)果是產(chǎn)生安全性需求的出發(fā)點。功能危害評估是貫穿整個研制生命周期的活動。

（2）初步的飛機(jī)安全評估/初步系統(tǒng)安全評估（PASA/ PSSA）。PASA/PSSA是對擬采用系統(tǒng)架構(gòu)的系統(tǒng)性檢查，以檢查故障如何導(dǎo)致功能危害評估識別的功能性危險，以及如何滿足安全要求。

（3）飛機(jī)安全評估/系統(tǒng)安全評估（ASA/SSA）。通過收集數(shù)據(jù)，分析和證明飛機(jī)和系統(tǒng)的安全性水平，能夠滿足PASA和PSSA形成的安全性需求。

（4）共因分析（CCA）。對系統(tǒng)、部件之間的物理和功能分離、隔離，以及對獨立性需求進(jìn)行分析，并驗證這些需求已經(jīng)得到滿足。

安全性評估流程對于確定飛機(jī)和系統(tǒng)的安全性目標(biāo)至關(guān)重要，并且還能夠確定飛機(jī)/系統(tǒng)的設(shè)計是否滿足這些目標(biāo)。

2.2.2研制保證等級（DAL）分配

研制保證等級（DAL）是規(guī)定采取措施的方法，以避免在機(jī)載產(chǎn)品功能開發(fā)、系統(tǒng)研制時出現(xiàn)錯誤。研制保證等級是在安全性評估過程中確定的。與產(chǎn)品研制相適應(yīng)的質(zhì)量管理過程取決于分配到產(chǎn)品的DAL等級。與DAL等級相關(guān)的質(zhì)量程序文件主要包括：DO 178B/ED 78B用于軟件設(shè)計；DO 254/ED 80用于電子硬件設(shè)計；飛機(jī)制造商/設(shè)備供應(yīng)商提供的用于飛機(jī)和系統(tǒng)功能研制的內(nèi)部文件。

2.3需求工程

2.3.1需求捕獲

飛機(jī)研制生命周期的頂層過程包括飛機(jī)功能的識別和與這些功能相關(guān)的需求。飛機(jī)功能是建立系統(tǒng)架構(gòu)的基礎(chǔ)。飛機(jī)研制體系結(jié)構(gòu)的選擇對實現(xiàn)該體系結(jié)構(gòu)提出了新的需求。在需求識別和分配流程的每個階段，都會產(chǎn)生額外的需求或衍生需求。此外，在實現(xiàn)過程中或任何設(shè)計活動中遇到的每個選擇或問題都會引入新的需求或者修改現(xiàn)有的需求，如圖2所示。

如果需求發(fā)生變更，則需按照一個特定的管理流程對需求變更進(jìn)行管理。這一管理流程應(yīng)該適用所有需求的變更。需求變更管理流程的主要活動如圖3所示，具體為：（1）問題分析：討論需求問題并提出變更；（2）變更分析和成本估算：評估變更對其他需求的影響；（3）更改實現(xiàn)：修改需求文檔和其他文檔，以反映變更。

2.3.2需求類型

在飛機(jī)研制生命周期中捕獲的不同類型需求。

（1）安全性需求。安全評估過程中確定（如FHA、PSSA等）的安全性設(shè)計需求，通過識別和分析相關(guān)的功能失效模式來確定，包括所有功能相關(guān)的失效模式和相關(guān)的飛機(jī)影響，即使危險等級是“沒有安全影響”。

（2）功能需求。功能需求是在指定條件下獲得系統(tǒng)期望性能的必要條件，包括客戶需求、操作需求、性能需求、物理和安裝需求、可維護(hù)性需求以及接口需求等。

（3）額外的審定需求。它包括對適航規(guī)定符合性表明的附加功能產(chǎn)生的需求等，這些需求應(yīng)與對應(yīng)的審定機(jī)構(gòu)達(dá)成一致。

（4）派生需求。在研制過程的每個階段，引入的新設(shè)計或體系架構(gòu)的選擇都會成為研制過程下一個階段的新需求，并被稱為派生需求。

（5）用于服役使用的維護(hù)需求。確保在飛機(jī)的生命期內(nèi)通過適當(dāng)?shù)木S護(hù)需求來維持審定的安全水平等級。維護(hù)需求主要明確應(yīng)該執(zhí)行哪些任務(wù)，何時應(yīng)該執(zhí)行，目的是在設(shè)計的基礎(chǔ)上保持資產(chǎn)的可靠性。維護(hù)需求應(yīng)被歸檔并記錄。所有對維護(hù)需求的變更都應(yīng)進(jìn)行批準(zhǔn)。

2.3.3需求確認(rèn)

ARP 4754A中規(guī)定“對需求的確認(rèn)是確保指定需求足夠正確和完整的過程，從而使產(chǎn)品能夠滿足客戶、用戶、供應(yīng)商、維護(hù)人員和審定機(jī)構(gòu)以及飛機(jī)、系統(tǒng)和項目開發(fā)人員的需求”。需求語句的正確性意味著在其需求屬性中沒有歧義或錯誤。正確性檢查對需求確認(rèn)的內(nèi)容包括：明確的；符合上一級需求；可實現(xiàn)的、可驗證的；與安全分析相一致；從分析中得出、糾正并提供支持。

需求語句的完整性意味著一組需求沒有刪除任何屬性。完整性檢查對需求的確認(rèn)內(nèi)容包括：所有預(yù)期的功能和接口均被覆蓋；所有高層級需求及使用規(guī)范均已涵蓋；所有標(biāo)準(zhǔn)規(guī)格書的要求均已涵蓋；所有系統(tǒng)架構(gòu)被定義，所有的需求分配給硬件或軟件；所有的假設(shè)都被確定；所有安全需求均已處理（FHA、PSSA）；所有的環(huán)境限制被規(guī)定；所有被禁止的行為特征都明確規(guī)定；所有的可測試性要求都得到解決。

需求的確認(rèn)方法主要包括：（1）追溯：可追溯性；（2）分析：采用不同的分析方法和技術(shù)來確定需求的可接受性；（3）仿真：功能行為的動態(tài)表現(xiàn)；（4）建模：數(shù)據(jù)之間關(guān)系的靜態(tài)表示；（5）原型：原型設(shè)計；（6）測試：物理測試；（7）相似性和經(jīng)驗：與審定系統(tǒng)的需求進(jìn)行比較；（8）工程判斷；（9）評審，如圖4所示，一般包括：概念設(shè)計評審（CoDR）；系統(tǒng)需求評審（SRR）；初步設(shè)計評審（PDR）；關(guān)鍵設(shè)計評審（CDR）。

ARP 4754A提出了這些方法，但并沒有說明如何應(yīng)用。因此，在實際工程應(yīng)用中需要對這些方法進(jìn)行研究，以了解如何將這些方法有效地應(yīng)用于高等級安全性需求的確認(rèn)過程中。

2.3.4需求驗證

需求驗證的目的是確定每個級別設(shè)計實現(xiàn)滿足其指定的需求。需求驗證過程則是確保系統(tǒng)實現(xiàn)滿足驗證的需求。

需求驗證方法主要有：（1）檢查或?qū)彶椋耗恳暀z查；（2）分析；（3）測試；（4）相似性和服務(wù)經(jīng)驗；（5）評審，一般包括：測試準(zhǔn)備評審（TRR）；首飛評審（FFR）；系統(tǒng)審定評審（SCR），如圖5所示。

2.4構(gòu)型管理

2.4.1構(gòu)型管理目標(biāo)

構(gòu)型管理（CM）目標(biāo)包括：（1）確立構(gòu)型管理計劃；（2）控制符合系統(tǒng)要求構(gòu)型的技術(shù)、構(gòu)成系統(tǒng)的部件，以及適用的審定數(shù)據(jù)、測試設(shè)施、系統(tǒng)開發(fā)計劃以及審查報告等；（3）控制對系統(tǒng)構(gòu)型或?qū)彾〝?shù)據(jù)的更改；（4）建立系統(tǒng)/設(shè)備及文件的識別規(guī)則；（5）保證在整個產(chǎn)品生命周期內(nèi)，對系統(tǒng)和設(shè)備數(shù)據(jù)進(jìn)行存檔和恢復(fù)；（6）系統(tǒng)的演示或組件符合其要求。

構(gòu)型管理過程（CMP）將在系統(tǒng)構(gòu)型管理計劃（SCMP）中定義。根據(jù)SCMP覆蓋的項目階段，深度和細(xì)節(jié)的級別可能會有所不同。SCMP可能在整個系統(tǒng)生命周期中逐步迭代更新。

2.4.2構(gòu)型管理活動

ARP 4754A定義的構(gòu)型管理過程主要包括：構(gòu)型管理計劃；構(gòu)型標(biāo)識；基線編制、變更控制及問題報告；變更控制和問題報告；存檔和檢索活動。

（1）構(gòu)型管理計劃（CMP）。構(gòu)型管理計劃建立了用于在整個系統(tǒng)開發(fā)生命周期中實現(xiàn)構(gòu)型管理過程目標(biāo)的方法。構(gòu)型管理可以定義為對產(chǎn)品的硬件、軟件和/或文檔進(jìn)行的更改的控制。該計劃應(yīng)該包括對構(gòu)型管理環(huán)境的描述，包括過程、工具、方法、標(biāo)準(zhǔn)、組織響應(yīng)能力和接口等。

（2）構(gòu)型識別。構(gòu)型識別活動的目標(biāo)是對每個構(gòu)型項進(jìn)行明確的標(biāo)記，以便為控制和引用建立一個基礎(chǔ)。識別規(guī)則應(yīng)該在系統(tǒng)構(gòu)型管理計劃中定義。構(gòu)型項的集合應(yīng)該作為歸檔和檢索活動的一部分記錄下來。

（3）構(gòu)型基線建立。基線在時間點上確定了系統(tǒng)的約定定義，并提供了一個已知的可供更改的構(gòu)型?；€是對后續(xù)更改控制的出發(fā)點?；€應(yīng)在整個系統(tǒng)生命周期中建立，允許創(chuàng)建和維護(hù)構(gòu)型項的控制和可跟蹤性。

（4）更改控制（CC）和問題報告（PR）。變更控制和問題報告的目標(biāo)是記錄在評審、測試或服務(wù)及其評審過程中發(fā)現(xiàn)的變更或問題。

在處理變更控制時，應(yīng)符合以下要求：變更和問題的解決應(yīng)該被記錄下來；任何對系統(tǒng)/項目的變更都應(yīng)該通過更改其構(gòu)型來適當(dāng)?shù)刈R別；變更控制應(yīng)該保護(hù)系統(tǒng)/項目的完整性，以防止未經(jīng)授權(quán)的更改。

（5）歸檔和檢索活動。歸檔和檢索活動的目標(biāo)是確?？梢詸z索構(gòu)型項，構(gòu)型項數(shù)據(jù)保留程序滿足適航性要求。

2.5過程保證

過程保證活動貫穿整個生命周期，包括產(chǎn)品概念、設(shè)計、生產(chǎn)、運行和維護(hù)階段。過程保證將檢測、記錄、評估、批準(zhǔn)、跟蹤和解決與批準(zhǔn)的計劃和程序的偏差。對于每個生命周期階段，過程保證確保執(zhí)行計劃，以及每個階段的產(chǎn)品都是正確和完整的，如圖6所示。

過程保證活動的目的包括：（1）確保制訂必要的計劃，涵蓋飛機(jī)、系統(tǒng)和部件研制的所有方面；（2）在系統(tǒng)過程保證計劃中明確過程保障策略；（3）確保研制活動和過程按照計劃進(jìn)行；（4）建立證據(jù)，表明所有活動和過程都遵循計劃進(jìn)行。

為了提供過程保證，需建立一個過程保證計劃來描述在系統(tǒng)開發(fā)過程中應(yīng)用的實施和程序方法，對項目計劃的評審進(jìn)行規(guī)劃。評審的目的是確保系統(tǒng)開發(fā)與項目計劃的一致性，應(yīng)提供過程保證的證據(jù)。這些一致性證據(jù)可以包括日期和批準(zhǔn)的項目計劃、評審的摘要、過程評審的確認(rèn)等。

2.6審定

審定過程的目標(biāo)是證實飛機(jī)及其系統(tǒng)符合適用的適航規(guī)章。

2.6.1審定計劃

審定計劃能夠系統(tǒng)地控制和管理適航取證過程，以達(dá)到及時完成符合性證明的目的。審定計劃主要包含以下要素。

（1）審定基礎(chǔ)包含所有相關(guān)的適航規(guī)章，這些規(guī)章從申請適航批準(zhǔn)的日期到預(yù)計取得型號合格證（TC）的期間內(nèi)都是有效的。

（2）符合申請人期望的符合性方法（工程評估、測試、檢查、設(shè)備取證等）。符合性的方法定義了飛機(jī)、系統(tǒng)或部件的研制如何滿足適用的審定基礎(chǔ)。

（3）為項目提供時間表。在型號審定過程中，計劃和協(xié)調(diào)是至關(guān)重要的。能夠建立申請人與局方之間的有效溝通，就預(yù)期飛機(jī)及其系統(tǒng)、部件表明對特定的監(jiān)管要求和行業(yè)標(biāo)準(zhǔn)的符合性方法達(dá)成一致。

2.6.2審定文件

審定過程中應(yīng)提供審定數(shù)據(jù)，如審定計劃、設(shè)計描述、構(gòu)型管理計劃等。向?qū)彾ň址教峤坏膶彾〝?shù)據(jù)主要包括以下幾個方面：（1）審定計劃應(yīng)該同時解決系統(tǒng)和飛機(jī)環(huán)境的使用。可參考ARP 4754A文件中提出的審定計劃修訂的指導(dǎo)方針；（2）系統(tǒng)構(gòu)型索引標(biāo)識所有的構(gòu)型項，這些構(gòu)型項的組合形成了整個系統(tǒng)。此外，還包括了系統(tǒng)安全性不可或缺的程序和限制等?？蓞⒖糀RP 4754A文檔中詳述的一個典型的系統(tǒng)構(gòu)型索引；（3）研制計劃應(yīng)該確定計劃使用的頂層流程，標(biāo)記研制周期的關(guān)鍵事件，以及支持研制的組織結(jié)構(gòu)和關(guān)鍵的領(lǐng)導(dǎo)職責(zé)；（4）設(shè)計描述提供，以促進(jìn)局方和工業(yè)方對飛機(jī)功能以及系統(tǒng)、系統(tǒng)操作環(huán)境以及系統(tǒng)功能等技術(shù)內(nèi)容的共同理解。

3結(jié)束語

本文旨在對基于ARP 4754A的民用飛機(jī)研制生命周期的符合性應(yīng)用實踐開展研究。民用飛機(jī)研制過程應(yīng)按照ARP 4754A的要求進(jìn)行。本文基于ARP 4754A各個研制過程的研究，提出了在民用飛機(jī)研制過程中對于ARP 4754A標(biāo)準(zhǔn)的實施和部署建議，以確保所有的研制過程和工具集與整個適航程序和審定要求相適應(yīng)，能夠符合21/25部的要求，確保進(jìn)入運營服務(wù)（EIS）的飛機(jī)、系統(tǒng)和設(shè)備成熟度等級，確保按系統(tǒng)工程進(jìn)行的項目研制進(jìn)度與取證要求一致。

參考文獻(xiàn)

[1]SAE International. ARP 4754A Guidelines for development of civil aircraft and systems[S]. USA：SAE International，2010.

Research on Compliance Application Implementation of Civil Aircraft Development Process Based on ARP 4754A

Gong Qi，Zhang Donghui

AVIC China Aero-Polytechnology Establishment，Beijing 100028，China

Abstract： Based on the requirements of ARP 4754A for the civil aircraft development process， combined with the current status of civil aircraft development in China， this paper mainly analyzes and studies the compliance of development planning， safety， requirement engineering， configuration management， process assurance and certification process， and the application and implementation of these process to meet the compliance. Recommendations for the implementation and deployment of the ARP 4754A standard during the development of civil aircraft are presented. It ensures that all development processes and toolsets are consistent with the overall airworthiness procedures and certification requirements.

Key Words： civil aircraft； ARP 4754A； development process； conformance application