面向適航認證的IMA架構安全性評估方法*

張　貴，張育平，陳海燕南京航空航天大學 計算機科學與技術學院，南京 210000

面向適航認證的IMA架構安全性評估方法*

張貴+，張育平，陳海燕
南京航空航天大學 計算機科學與技術學院，南京 210000

ZHANG Gui,ZHANG Yuping,CHEN Haiyan.Safety assessment method of IMA architecture supporting airworthiness certification.Journal of Frontiers of Computer Science and Technology,2016,10(8):1063-1071.

摘要：對綜合模塊化航空電子系統（integrated modular avionics，IMA）架構安全性進行準確客觀的評估是民機安全性評估乃至適航工程的重要研究內容。提出了一種面向適航認證的IMA架構安全性定性與定量相結合的綜合評估方法。首先，提出了IMA架構安全性評估框架，在此基礎上建立了安全性多維屬性評估模型與評估指標體系；然后，利用中介真值程度度量（measure of medium truth degree，MMTD）理論對指標得分進行綜合處理與評估；最后，給出架構安全性評估實例，表明該方法可操作性較強，評估結果可量化且有可比性，能有效保障IMA架構安全性評估過程的客觀性和評估結果的準確度。

關鍵詞：適航認證；綜合模塊化航空電子系統（IMA）；安全性評估；中介真值程度度量（MMTD）

1　引言

綜合化是目前航空電子系統發展最重要的方向[1]。航空電子綜合化技術的引入，在使得新一代綜合模塊化航空電子系統（integrated modular avionics，IMA）具有資源高度共享，數據高度融合和軟件高度密集等技術特點的同時，所帶來的安全性方面的隱患也逐漸引起人們的重視。沒有安全性明確及保障的IMA系統架構，就沒有安全可靠的IMA系統，對IMA架構安全性進行準確客觀的評估是民機安全性評估乃至適航工程[2]的重要研究內容。目前，我國綜合化航空電子系統研究還處于起步階段，急需建立IMA架構安全性基礎理論，IMA架構的安全性分析、度量與評估技術，為推動我國新一代綜合化航空電子系統研究奠定了基礎。

安全性評估理論和方法研究，主要包括“標準”和“方法”兩個方面[3]。從嚴格意義上說，兩者具有不同的內涵。“標準”指出了安全評估的目標所在，而“方法”則闡明如何達到安全評估的種種目標，兩者互相聯系又相互獨立。相對于“標準”，“方法”更重視整體的安全評估實施步驟。從當前的研究現狀來看，安全性評估的相關成果主要集中在“標準”上，相關的安全性評估“方法”并不多見[3]。

（1）標準層面上，目前IMA系統在安全性評估和適航認證方面可以參考的標準有DO-297《IMA系統設計指南及審定考慮》[4]、ARP4754A《高度綜合復雜系統的審定考慮》[5]、ARP4761《民用飛機機載系統及設備的安全性評估過程指南和方法》[6]、AC.25.1309（《運輸類飛機適航標準》的解釋和說明性文件）[7]、DO-254《機載電子硬件設計保證指南》[8]、DO-178B/C《機載系統和設備審定的軟件考慮》[9]。這些技術體系標準涉及到系統、軟硬件安全性評估方面的內容，主要從過程控制、設計分析原則、分析方法等方面進行指導[10]，在具體實踐中，需要進一步落實到可操作層面上去。

（2）方法層面上，安全性分析方法主要包括定性分析和定量分析兩大類[11-15]。定性分析用于檢查、分析和確定可能存在的危險，危險可能造成的事故以及可能的影響和防護措施。定量分析用于檢查、分析并確定具體危險、事故及其影響可能發生的概率，比較系統采用安全措施或更改設計方案后概率的變化。但是，目前安全性的定量分析主要是針對隨機概率性事件，應用范圍有局限性。而安全性的定性分析主要依賴工程經驗，是以文字描述的形式進行分析，容易引起理解不一致，使評估結果缺乏客觀性和可比性。

本文就IMA系統的適航認證相關標準、方法和驗證過程進行分析，給出了系統化的架構安全性評估框架，并在該框架的指導下確立評估模型與評估指標體系，采用系統科學中提倡的從定性到定量，定性定量相結合的方法，利用中介真值程度度量（measure of medium truth degree，MMTD）理論[16]計算出IMA架構系統級的安全性綜合評估結果，為IMA架構安全性評估及適航認證提供一定的參考依據。

2　IMA架構安全性評估框架

安全性本身具有定性和定量兩層含義，對于安全性這一重要概念，如果只是孤立地做定性評估或定量評估都有其本身局限性。因此采用系統科學中提倡的定性與定量相結合，從定性到定量的方法，建立安全評估模型，開展架構安全性評估是比較合適的。這個方法能把多學科理論和經驗知識結合起來，把定性研究和定量研究有機結合起來，從多方面的定性評估上升到定量評估。對定性定量相結合的綜合集成法第一次做出完整、系統闡述的，是錢學森和于景元、戴汝為合作發表于1990年《自然雜志》上的“一個科學新領域——開放的復雜巨系統及其方法論”[17]。文章針對定性與定量相結合的綜合集成法著重闡述了提煉、概括的實踐根據、基本內容、實質、特點、應用及其重大意義。

如圖1所示，首先考慮現有安全性設計標準，結合安全性設計原則，建立多屬性安全性評估模型。接著針對模型中各屬性確定對應的評估指標，并區分指標的屬性（定性指標/定量指標）進行相應的評估。最后，利用中介真值程度度量理論確定各級評估指標隸屬度。經過以上步驟獲得的安全性定量評估結果，由航電工程、系統工程、適航工程等方面專家共同再分析、討論和判斷。這里包括了理性的、感性的、科學的和經驗的知識的相互補充與檢驗。其結果可能是可信的，也可能是不可信的。對于不可信的結果，還要修正模型和調整參數，重復上述工作直到各方面專家都認為這些結果是可信的，再做出結論并進行實際評估應用。這時，安全性評估既有定性描述，又有數值根據，已不再是先驗的判斷和猜想，而是有足夠科學根據的結論。

Fig.1　Frame of safety assessment of IMAarchitecture圖1IMA架構安全性評估框架

3　IMA架構安全性評估模型與指標體系

用模型和指標體系來描述評估系統是系統定量研究的有效方式，這種方式在自然科學、系統科學中被廣泛使用[17]。為了科學、全面地對IMA系統架構的安全性做出合理評價，并對安全性的多維屬性及適航認證標準進行研究，提出了一種多維安全屬性的IMA架構安全性評估模型及指標體系。

IMA本質上是一個分布式實時計算機網絡，其主要目標是將分布式體系結構的靈活性擴展到對不同關鍵級別的功能程序的支持上。概括來說，IMA主要具有如下一些特點：系統綜合化、結構層次化、功能軟件化、網絡統一化、產品商用化、調度靈活化、認證累計化、維護中央化等特性[18]。故IMA架構的安全性可以考慮基于物理特性、風險特性、功能特性，通過設計與構造、風險度、可信性3個安全屬性來反映，然后每個安全屬性分解為若干個安全子屬性。進一步在指標層把每個安全子屬性分解為若干個安全度量及相應度量指標以實施安全性評估數據采集。IMA架構安全性評估模型共有3層，如圖2所示。

Fig.2　Model of safety assessment of IMAarchitecture圖2IMA架構安全性評估模型

（1）“設計與構造”是反映架構物理特性方面安全性的屬性，評估體系如表1所示。

開放性：評估IMA架構使用工業標準接口，允許多個供應商提供軟件應用程序和應用程序特定的硬件的特性。IMA結構中的軟硬件盡可能采用COTS （commercial-off-the-shelf）產品，推進產品的標準化、模塊化，有利于產品移植和降低系統壽命周期費用（life cycle cost，LCC）[18]。

建造性：評估IMA架構由設計到建造過程中帶來的安全性問題。

Table 1　“Design and construction”attribute evaluation indexes表1“設計與構造”屬性評估指標

（2）“風險度”是反映架構風險方面的屬性。風險是在某一特定條件下，特定危害事件發生的概率與后果的結合，也是危險、不安全事故發生的可能性與該事故嚴重程度的綜合度量，評估體系如表2所示。

Table 2　“Risk degree”attribute evaluation indexes表2“風險度”屬性評估指標

技術風險：評估IMA架構資源高度共享數據、高度融合和軟件高度密集等新技術所帶來的風險。

認證風險：評估IMA架構的適航認證不成熟帶來的風險。

集成風險：評估IMA架構硬件資源能為應用程序所共享，信息高度融合所帶來的集成風險。

（3）“可信性”是反映架構功能特性方面安全性的屬性。可信性是指長期保持滿足規定要求的能力[19]，評估指標體系如表3所示。

Table 3　“Creditability”attribute evaluation indexes表3“可信性”屬性評估指標

可用性：描述在要求的外部資源得到保證的前提下，IMA架構在規定的條件下和規定的時刻或時間區間內處于可執行規定狀態的能力[19]。

可生存性：描述IMA架構能處理應對復雜航空環境的能力。

可維護性：描述在規定的條件下，按規定的程序和手段實施維護時，IMA架構在規定的使用條件下保持或恢復能執行規定功能狀態的能力[19]。

可測試性：描述IMA架構能及時并準確地確定其狀態（可工作、不可工作或性能下降），并隔離其內部故障的一種設計特性[19]。

可靠性：描述IMA架構在規定的條件下和規定的時間內完成規定功能的能力。

4　IMA架構安全性評估方法

4.1評估指標層的量化及無量綱化處理

指標層的任務是針對上層每一安全子屬性，建立對應評估指標體系。IMA架構的復雜性要求指標的選取必然包括定性指標和定量指標。無量綱化處理即是指為了解決各指標的不同量綱無法進行綜合匯總的問題，一般在完成資料數據的收集工作后，還需要對數據進行同度量處理。其實質就是把不能相加或相乘的指標值轉化成可以匯總相加或相乘的指標值。

（1）定性指標

由于安全性本身的不確定性和模糊性，精確量化是不可行的。而采用等級的劃分，與相關適航標準定義的安全性等級對應，是切實可行的。《運輸類飛機適航標準》規定，危害嚴重程度的劃分通過失效狀態的分類實現。《機載系統和設備的軟件審定考慮》[9]（D0-178B）規定，軟件級別應與軟件失效可能導致的最嚴重的系統安全性影響程度相對應。《機載電子硬件的設計保證指南》[8]（D0-254）亦將硬件級別與失效狀態之間進行了映射。由于系統架構安全性與軟件安全性、硬件安全性有許多相通之處，故類似地將架構安全性級別與失效情況之間作出如表4所示映射關系。

Table 4　Corresponding relationship of safety level of architecture and failure conditions表4　系統架構安全性級別與失效情況對應關系表

因此，安全性定性指標評估應在參照相應的實際安全性數據和外部因素的前提下，專家使用評判集V={A級,B級,C級,D級,E級}（對應的量化得分C= {0,0.5,1.0,1.5,2.0}）對各底層指標進行量化評估。

（2）定量指標

通過建立理想化的最優、最劣基點，比較指標評估值與二者的距離，來完成定量指標的量化和無量綱化處理[20]。正、負理想比較標準是可以在實際測量過程中多次實驗得到的經驗值，也可以是適航標準中的范圍端點值。

對于效益型指標，即指標數值越大，對于評估結果越有利的指標，如平均無故障工作時間（mean time between failures，MTBF），則令量化得分為:

對于成本型指標，即指標數值越大，對于評估結果越有害的指標，如平均修復時間（mean time to repair，MTTR），則令量化得分為:

4.2中介對IMA架構安全性評估的描述

1985年，朱梧槚教授和肖溪安教授建立了中介邏輯系統（medium logic system，ML），提出了介于“真”與“假”的過渡狀態，即“中介”。2006年，洪龍教授以中介邏輯系統為基礎，提出了基于中介真值程度的度量方法。文獻[16]詳細描述了相關概念及定理，該方法已經應用于決策系統、圖像處理、數據處理、評估等多個領域[21-23]，是處理模糊現象，解決度量邊界“不清晰”的有效方法之一。

“安全”和“不安全”是一組反對對立關系，中間存在過渡狀態，符合中介真值程度度量的應用范疇。記謂詞P表示“安全”，則+P表示“很安全”，～P表示過渡狀態“安全性一般”，╕P表示“不安全”，╕+P表示“很不安全”，如圖3所示。

Fig.3　Corresponding relationship between predicate and numerical area in safety assessment of IMAarchitecture圖3IMA架構安全性評估中謂詞和數值區域的對應關系

4.3基于中介真值程度的綜合航電安全性評估方法

步驟1確定安全子屬性的評估向量X。

X=(bij)m,bij=f(cij1,ij2,…,ijk)，其中bij表示安全子屬性Bij的量化得分，cij1,ij2,…,ijk表示隸屬于 Bij的各評估指標得分，m表示安全子屬性的個數。映射函數 f如下所示：

u12,…,uij)T，其中 uij=(αT(ij),αF(ij),εT(ij),εF(ij))。由中介真值程度度量理論可知αT(ij)為 pij的εT(ij)真值（安全）標準度，αF(ij)為 pij的εF(ij)假值（不安全）標準度。確定和優化評估參數是安全性評估實施框架中（圖1）循環迭代的重要環節。

根據中介真值程度度量理論，參照圖3可知[αT(ij)-εT(ij),αT(ij)+εT(ij)]為pij的“真數值區域”，表示“安全”，[αF(ij)-εF(ij),αF(ij)+εF(ij)]為pij的“假數值區域”，表示“不安全”。

步驟2確定安全性謂詞P的評估參數U=(u11,

步驟3構造中介度量向量R=(rij)m，rij=hT(bij)。

其中，hT(bij)表示bij相對于αT(ij)的真值程度，即rij表示評估對象的安全性子屬性Bij具備pij“安全”的真值程度。

步驟4計算綜合評判結果D。

其中，wij表示安全性評價模型中安全性屬性Bij的權重值。

5　IMA架構安全性評估實驗

為了驗證IMA系統架構安全性評估方法的效果，由專家組成員利用本文提出的安全性評估模型及評估指標對IMA架構A、B、C進行安全性評估模擬實驗。設已有多位專家對模型中安全性屬性進行權重評價，利用層次分析法（analytic hierarchy process，AHP）求解安全性屬性權重，限于篇幅，這里不給出具體計算過程。

5.1評估實驗過程

（1）請專家針對表1～表3所列評估指標體系對各定量或定性度量指標進行量化評估，相應評估方法4.1節已給出。

（2）將各指標量化得分利用式（1）進行綜合計算，得出每個安全子屬性量化評估得分，所得實驗數據如表5所示。

（3）確定安全子屬性的評估向量X。

（4）確定評估參數集。為簡化計算，每個安全子屬性的評估參數取值均相同，如表6所示。假定安全性評估實施框架中的迭代過程已完成，已由工程經驗或概率數值確定模型中每一安全子屬性的評估參數。

Table 5　Scores of IMAarchitecture security indexes表5IMA架構安全性指標得分表

Table 6　Values of evaluation parameters表6　評估參數集取值表

（5）構造中介度量向量，計算方法如式（2）所示。

（6）計算綜合評估集見表7，計算方法如式（3）所示。

Table 7　Result of evaluation experiment表7　評估實驗結果表

5.2評估實驗分析

如圖4所示，架構A、B、C安全性各屬性（設計與構造、風險度、可信性）評估結果各有優劣，相對于架構系統級安全性“優”的真值程度分別為0.782 5、0.698 1、0.524 2，由圖3可知對應的安全性級別分別為“安全”、安全”、“安全性一般”。雖然架構A和架構B安全性級別均為安全，但由于架構A的真值程度最大，說明A表現出更優的特性，即架構A相對于架構B的安全性更高。另外，從圖4中可看到，在“可信性”屬性方面，架構A的評估得分還是略低于架構B，因此可借鑒架構B在可信性方面的設計對架構A進行優化，來強化架構A的安全性水平。

Fig.4　Results contrast of IMAarchitecture safety assessment圖4IMA架構安全性評估結果對比圖

實驗表明，本文提出的IMA架構安全性評估方法相較傳統架構安全性評估方法可操作性強，量化評估結果更直觀，有可比性。而真值程度函數的定義具有計算機可以處理的定量形式，且具有客觀性和普適性的特點[16]，較大程度上降低了安全性評估過程中的主觀因素，保障了評估的準確性。

6　結束語

IMA系統架構安全性評估是一個重要而又困難的研究課題，是民機安全性評估乃至適航認證中迫切需要解決的一個難題。本文針對IMA系統架構安全性評估問題的不確定性、復雜性，提出了一種面向適航認證的IMA架構安全性評估方法，將中介真值程度度量、多屬性決策的理論和方法引入IMA架構安全性評估問題中，采用系統科學中提倡的從定性到定量的方法，具有可操作性較強，評估結果可量化有可比性等特點，在較大程度上降低了評估過程中的主觀因素，有助于進一步提高評估結果的準確性。為IMA系統架構安全性評估和適航工程研究引入了新的思想，探索了提高安全性評估效果及適航認證的新途徑。

完善的評估體系是保證評估的合理性、全面性和科學性的最基本條件，IMA架構數據采集得越廣泛越全面，利用本文方法得到的結果就越準確。進一步的工作主要是在現有安全性評估指標體系的基礎上進行更加深入細致的研究改進，使IMA架構安全性評估的結論更全面可信，對民機安全性評估及適航工程更有指導意義。

References:

[1]Wang Guoqing,Gu Qingfan,Wang Miao,et al.Research on the architecture technology for new generation integrated avionics system[J].Acta Aeronautica ET Astronautica Sinica, 2014,35(6):1473-1486.

[2]Zhao Yuerang.The concept and principle of airworthiness[M]. Shanghai:Profile of Shanghai Jiao Tong University,2013:1-2.

[3]Liu Fang.Research on the theories and key technologies of information system safety evaluation[D].Changsha:National University of Defense Technology,2005.

[4]RTCA.DO-297 Integrated modular avionics(IMA)development guidance and certification considerations[S].Washington:RTCAInc,2005.

[5]SAE.ARP4754A Guidelines for development of civil aircraft and systems[S].Warrendale:SAE International,2010.

[6]SAE.ARP4761 Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[S].Warrendale:SAE International,1996.

[7]FAA.AC.25.1309-1A[Z].1988.

[8]RTCA.DO-254 Design assurance guidance for airborne electronic hardware[S].Washington:RTCAInc,2000.

[9]RTCA.DO-178C Software considerations in airborne systems and equipment certification[S].Washington:Radio Technical Commission forAeronautics,Inc,2008.

[10]Huang Jun,Wu Zhe,Sun Huizhong,et al.Study on evaluation criteria and assessment methodology for conceptual/ preliminary design of combat aircraft[J].Acta Aeronautica ETAstronautica Sinica,2000,21(1):70-74.

[11]Janic M.An assessment of risk and safety in civil aviation[J]. Journal ofAir Transport Management,2000,6(1):43-50.

[12]Tamasi G,Demichela M.Risk assessment techniques for civil aviation security[J].Reliability Engineering&System Safety,2011,96(8):892-899.

[13]Du Changxiao,Li Xiaohong,Shi Hong,et al.Security evaluation method for the architecture of J2EE applications[J]. Journal of Frontiers of Computer Science and Technology, 2014,8(5):572-581.

[14]Ma Guozhong,Mi Wenyong,Liu Xiaodong.Multi-level fuzzy evaluation method for civil aviation system safety[J].Journal of Southwest Jiaotong University,2007,42(1):104-109.

[15]Gu Qingfan,Wang Guoqing,Zhang Lihua,et al.Research on model based safety analysis technology for avionics system[J].Computer Science,2015,42(3):124-127.

[16]Hong Long,Xiao Xi?an,Zhu Wujia.Measure of medium truth scale and its application(I)[J].Chinese Journal of Computers,2006,29(12):2186-2193.

[17]Qian Xuesen,Yu Jingyuan,Dai Ruwei.A new discipline of science—the study of open complex giant system and its methodology[J].Chinese Journal of Nature,1990(1):3-10.

[18]Zhu Wenkui,Zhang Fengming,Fan Xiaoguang.Overview on software architecture of integrated modular avionic systems[J].Acta Aeronautica ET Astronautica Sinica,2009,30 (10):1912-1917.

[19]He Guowei.Credibility engineering(reliability,maintainability,repair and maintenance)[M].Beijing:China Standard Press,2008:1-25.

[20]Lu Zhiyong,Feng Chao,Yu Hui,et al.Astudy of the quantitative еvaluation model for network security[J].Computer Engineering and Science,2009,31(10):18-22.

[21]Yang Zherui,Cheng Weiqing.Improvement of network application type Identification based on measure of medium truth degree[J].Journal of Nanjing University of Posts and Telecommunications:Natural Science,2012,32(5):123-129.

[22]Zhang Gui,Zhang Yuping,Chen Haiyan.An evaluation method for ERP selection based on measure of medium truth degree[J].Computer and Modernization,2015(2):40-43.

[23]Zhou Ningning,Hong Long.Theoretical study of image processing based on medium mathematics systems[J].Journal of Nanjing University of Posts and Telecommunications:Natural Science,2010,30(3):21-27.

附中文參考文獻：

[1]王國慶,谷青范,王淼,等.新一代綜合化航空電子系統構架技術研究[J].航空學報,2014,35(6):1473-1486.

[2]趙越讓.適航理論與原則[M].上海:上海交通大學出版社,2013:1-2.

[3]劉芳.信息系統安全評估理論及其關鍵技術研究[D].長沙:國防科學技術大學,2005.

[10]黃俊,武哲,孫惠中,等.作戰飛機總體設計評價準則和評估方法研究[J].航空學報,2000,21(1):70-74.

[13]杜長霄,李曉紅,石紅,等.J2EE應用軟件的架構安全評估方法[J].計算機科學與探索,2014,8(5):572-581.

[14]馬國忠,米文勇,劉曉東.民航系統安全的多層次模糊評估方法[J].西南交通大學學報,2007,42(1):104-109.

[15]谷青范,王國慶,張麗花,等.基于模型驅動的航電系統安全性分析技術研究[J].計算機科學,2015,42(3):124-127.

[16]洪龍,肖奚安,朱梧槚.中介真值程度的度量及其應用(I) [J].計算機學報,2006,29(12):2186-2193.

[17]錢學森,于景元,戴汝為.一個科學新領域——開放的復雜巨系統及其方法論[J].自然雜志,1990(1):3-10.

[18]褚文奎,張鳳鳴,樊曉光.綜合模塊化航空電子系統軟件體系結構綜述[J].航空學報,2009,30(10):1912-1917.

[19]何國偉.可信性工程（可靠性、維修性、維修保障性）[M].北京:中國標準出版社,2008:1-25.

[20]魯智勇,馮超,余輝,等.網絡安全性定量評估模型研究[J].計算機工程與科學,2009,31(10):18-22.

[21]楊哲睿,成衛青.一種改進的基于MMTD的網絡應用類型識別方法[J].南京郵電大學學報:自然科學版,2012,32 (5):123-129.

[22]張貴,張育平,陳海燕.基于中介真值程度度量的ERP軟件選型評估方法[J].計算機與現代化,2015(2):40-43.

[23]周寧寧,洪龍.基于中介真值程度度量處理圖像的應用理論研究[J].南京郵電大學學報:自然科學版,2010,30(3):21-27.

ZHANG Gui was born in 1989.He is an M.S.candidate at College of Computer Science and Technology,Nanjing University of Aeronautics and Astronautics.His research interests include software engineering and credibility engineering,etc.

張貴（1989—），男，江蘇徐州人，南京航空航天大學計算機科學與技術學院碩士研究生，主要研究領域為軟件工程，可信性工程等。

ZHANG Yuping was born in 1959.He is an associate professor at College of Computer Science and Technology, Nanjing University of Aeronautics and Astronautics.His research interests include software engineering and component technology,etc.

張育平（1959—），男，江蘇宜興人，南京航空航天大學計算機科學與技術學院副教授，主要研究領域為軟件工程，構件技術等。

CHEN Haiyan was born in 1979.She is a lecturer at College of Computer Science and Technology,Nanjing University ofAeronautics andAstronautics.Her research interests include evaluation algorithm and credibility engineering,etc.

陳海燕（1979—），女，江蘇南京人，南京航空航天大學計算機科學與技術學院講師，主要研究領域為評估算法，可信性工程等。

*The National Basic Research Program of China under Grant No.2014CB744900(國家重點基礎研究發展計劃(973計劃)). Received 2015-09,Accepted 2015-11.

CNKI網絡優先出版:2015-12-03,http://www.cnki.net/kcms/detail/11.5602.TP.20151203.1505.008.html

文獻標志碼：A

中圖分類號：TP311

doi:10.3778/j.issn.1673-9418.1509055

Safety Assessment Method of IMAArchitecture Supporting Airworthiness Certification*

ZHANG Gui+,ZHANG Yuping,CHEN Haiyan
College of Computer Science and Technology,Nanjing University ofAeronautics andAstronautics,Nanjing 210000,China +Corresponding author:E-mail:zglongteng@126.com

Abstract:It is an important research content for safety assessment of civil aircraft and airworthiness engineering to assess the safety of IMA(integrated modular avionics)architecture accurately and objectively.This paper presents a new synthetic method of combining safety assessment and quantitative analysis for IMA architecture supporting airworthiness certification.Firstly,this paper proposes an IMA architecture safety assessment model of multi-attributes and an evaluation indicator system based on an implementation framework of safety assessment.Then,this paper uses the theory of MMTD(measure of medium truth degree)to treat and evaluate the scores of the indicators.At last,an example of evaluation is carried out and shows that this method can be easily operated,the results can be quantified and comparable,and it can effectively ensure the objectivity of the process and the accuracy of the results of the safety assessment of IMAarchitecture.

Key words:airworthiness engineering;integrated modular avionics(IMA);assessment of safety;measure of medium truth degree(MMTD)