民用飛機IMA平臺安全性評估過程研究

黃勁松

（上海飛機設計研究院，中國 上海 201210）

0　引言

隨著民用飛機機載系統復雜度的不斷提高，綜合模塊化航電（IMA）平臺越來越廣泛地應用在民用飛機領域。IMA平臺是包含核心軟件的一個或者一組模塊，它能夠為駐留功能提供計算、通信、接口等公共資源。IMA平臺安全性評估過程是保證系統設計符合飛機安全性要求的基礎。本文在研究DO-297等相關規范的基礎上，分析了IMA平臺安全性評估過程的特點，提出了IMA平臺安全性評估過程的目標，結合對ARP4754A和ARP4761的研究，給出了平臺安全性評估過程目標相應的活動和符合性證據。

在本文的研究中，定義IMA平臺為一組模塊，同時定義IMA模塊為單一模塊。因此，IMA平臺符合ARP4754A中定義的“系統”概念，IMA平臺的安全性評估過程應按照ARP4754A中推薦的系統安全性評估活動進行；而IMA模塊由于不具備獨立功能，僅需完成部件級安全性評估活動。

1　IMA平臺安全性評估過程特點分析

由于IMA系統功能和架構的特殊性，IMA平臺安全性評估具有以下特點：

（1）在安全性評估過程中，傳統機載系統先根據系統功能進行功能危害度評估（FHA），然后開展初步系統安全性評估（PSSA），采用故障樹分析（FTA）等方法向各組件分配失效概率，最后在系統驗證階段開展系統安全性評估（SSA）來評估系統安全性需求是否已滿足。但IMA平臺只有駐留相關功能后，才會實現或參與實現飛機功能，因此IMA平臺無法像傳統機載系統一樣從FHA開始安全性評估工作。同時，由于IMA平臺不完全具備IMA系統級功能，因此在IMA平臺級不需要進行FHA評估工作，IMA平臺的初步安全性需求可直接在IMA系統FHA中提出。

（2）IMA平臺失效的影響取決于使用平臺的駐留功能的關鍵程度。若駐留功能為關鍵功能，例如飛管功能，那么影響該功能失效的平臺失效就應被定義為災難級；若駐留功能為非基本功能，例如客艙信息系統，平臺失效的影響等級就會降低。

（3）IMA平臺支持眾多不同的駐留功能，因此IMA平臺的安全性需求應是通用的，與使用IMA平臺的駐留功能架構無關。

（4）IMA平臺作為 IMA系統的基礎，為駐留功能系統提供公共資源，IMA平臺應根據其架構和研制保證等級，結合歷史開發經驗數據，向駐留功能和IMA系統提供IMA平臺開發事件清單（DEL），用于支持駐留功能和IMA系統的安全性評估。DEL中應包含對駐留功能可用性和完整性指標有影響的全部IMA平臺基礎數據。在駐留功能和IMA系統進行故障樹分析（FTA）時，DEL可提供故障樹子節點數據。

（5）PSSA階段，IMA平臺層面只能通過分析通用的駐留功能架構來進行初始DEL的確認，DEL的最終確認應在駐留功能安全性評估和IMA系統安全性評估結束后完成。

2　IMA平臺安全性評估過程的目標、活動和符合性證據

IMA平臺安全性評估過程的目標源于對DO-297任務 1（IMA平臺開發）目標的分析，DO-297任務 1的10項目標中有3項涉及到IMA平臺安全性評估，分別為：

目標1：平臺/模塊的設計應形成文件并且要達到安全性要求[1]；

目標2：分區要確保任何駐留應用的行為不會受到任何其它應用或功能的不良影響[1]；

目標3：模塊需求、資源需求等符合性要得到證實[1]。

由于IMA平臺具有高度綜合性，IMA平臺制造商（或者任務1的申請人）應該按照ARP4754A和ARP4761中定義的安全性評估過程來開展 IMA平臺的安全性評估活動，并產生相應符合性證據文件。

本文將IMA平臺研制保證等級按A級考慮，結合ARP4754A和ARP4761中的安全性評估要求，給出了DO-297任務1中的3項安全性相關目標在IMA平臺安全評估過程中的具體活動和相應的符合性證據[2-3]，具體如下：

目標 1活 動：（1）IMA 平臺 DEL 定義；（2）IMA 平臺 FTA；（3）IMA平臺故障模式和影響分析（FMEA）；（4）IMA 平臺共因分析 （CCA）；（5）IMA 平臺 PSSA；6）IMA平臺 SSA。

目標1符合性證據：（1）IMA平臺 DEL報告；（2）IMA平臺 FTA數據；（3）IMA平臺 FMEA報告；（4）IMA平臺故障模式和影響總結 （FMES）；（5）IMA平臺 CCA報 告 ；（6）IMA 平 臺 PSSA 報 告 ；（7）IMA 平 臺 SSA 報告。

目標 2活動：（1）IMA平臺分區分析；（2）IMA平臺CCA。

目標2符合性證據：（1）IMA平臺分區分析報告；（2）IMA平臺 CCA報告；（3）IMA平臺 SSA報告。

目標 3符活動：（1）IMA平臺需求開發；（2）IMA平臺 PSSA；（3）IMA 平臺 SSA。

目標 3符合性證據：（1）IMA平臺需求規范；（2）IMA平臺 PSSA報告；（3）IMA平臺 SSA報告。

3　結論

本文在研究DO-297等相關規范的基礎上，詳細分析了IMA平臺安全性評估的特點，提出了IMA平臺安全性評估過程的目標，結合對ARP4754A和ARP4761的研究，給出了平臺安全性評估過程目標相應的活動和符合性證據，指導民用飛機IMA平臺安全性分析過程的實施。

【參考文獻】

［1］RTCA DO-297,Integrated Modular Avionics (IMA)Development Guidance and Certification Considerations[S].RTCA Inc.,2005.

［2］SAE ARP4754A,Guidelines for Development of Civil Aircraft and Systems[S].SAE International,2010.

［3］SAE ARP4761,Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].SAE International,1996.