基于構型項目分類的民機系統適航符合性證據體系結構研究

盧 藝 郝 蓮 李承立 張曙光 /

(1. 上海飛機設計研究院，上海201210;2. 北京航空航天大學，北京100191)

基于構型項目分類的民機系統適航符合性證據體系結構研究

盧 藝1,2郝 蓮1李承立1張曙光2/

(1. 上海飛機設計研究院，上海201210;2. 北京航空航天大學，北京100191)

民機型號合格審定程序要求型號申請人通過系統性規劃和實施型號研制過程，向局方提出正確、完整和可追溯的適航符合性證據，用“設計保證”確保產品符合適航規章要求。基于系統工程中“雙V模型”(Validation & Verification, 簡稱“雙V模型”)理論，以“研制規劃保證回路”和“研制過程回路”為兩條核心路徑，辨識了證據體系與構型管理、民機系統研制過程及型號合格審定過程之間的接口關系，以飛機、系統和設備層級下的構型項目類型為框架，提出了以 “規劃保證”、“需求定義”、“邏輯/物理方案實現”、“確認數據”和“驗證數據”五個維度構成的符合性證據體系，明確了證據鏈數據間的傳遞關系。

型號合格審定；適航要求；符合性證據體系；構型項目

0 引言

大型客機適航取證是確保大型客機滿足按公眾要求制定的、可接受的最低安全標準(適航標準)的管理和技術實現過程[1]。現代民機是一個高度復雜的系統，由大量的適航規章條款、等效安全、專有條件等構成飛機型號的合格審定基礎[2-3]。滿足復雜的飛機級功能需要大量的交互的復雜系統來共同達成，而各子系統往往執行或貢獻于多個飛機級功能；這使得民機產品在向適航審定局方表明規章符合性存在不利的后果：復雜系統行為和失效模式很難通過傳統解耦分析和分離部件試驗獲知，難以保證最終產品的安全性，尤其是需求和設計錯誤無法通過“試錯法”予以窮舉，對于這類系統的規章符合性應綜合使用“設計保證”來表明[4-5]。然而在實際工程中，面向局方針對民機產品研制 所提出的“過程控制”與 “構型管理”要求，申請人雖然擬定了如構型管理文件體系計劃、設計保證手冊等相應的規劃文檔，但由于型號設計文件(過程)與需求文檔(計劃)關系不清、需求描述滯后和完整性缺陷等問題的存在，尚未形成系統性、結構化的合格審定證據，可能為民機系統適航取證帶來難以承受的額外時間和經濟成本。

面對上述問題，本文基于系統工程理論，結合局方認可的面向合格審定建議方法的工業指南，建立適航合格審定符合性證據體系，提出構建適航符合性證據體系的結構化框架和元素類型，為通過系統性策劃和管控民機研制過程研制數據，為確保適航符合性證據構建過程的合理性、完整性與準確性提供建議，推動民機型號研制適航取證工作的順利開展。

1 民機系統工程“雙V模型”概述

構建適航符合性證據體系的基礎是應用于民機研發領域的系統工程理論和方法[6-8]。目前國內外相關組織總結了大量復雜系統研制經驗，提出了基于系統工程的復雜系統設計保證方法指南，例如：(1)ISO/IEC-15288《系統和軟件工程-系統生命周期過程》，其應用范圍更廣但方法細節度較低[9]；(2)IEEE-1220 《系統工程過程的應用和管理標準》，其方法細節度較高但應用領域范圍較小[10]；(3)EIA-632《系統工程過程》的定位處于上述二者之間[11]。在民機和系統研制領域，最常用的是描述飛機系統研制過程的系統工程“雙V模型”(雙“V”是指Validation & Verification)，如圖1所示。雙V左臂建立了在飛機、系統和設備各層級中持續迭代的需求定義/分解，驅動系統設計的實施和同步持續的各層級實施過程向需求的確認活動。雙V右臂開展了圍繞各層級綜合過程的驗證活動。上述雙V過程使“研制錯誤”能在項目初期就得到盡早發現，避免其向綜合和驗證階段的累積。

以波音公司自1990年起研制的波音777大型客機為例，該機相對于之前的型號具有更為復雜的功能需求和設計特征，如ARINC629電子總線、電傳飛控及高集成度儀表等。波音基于以“雙V模型”為路徑的系統工程方法規劃和確保了適航符合性證據的完整、正確和可追溯性，該機在1995年獲得TC證和交付運營[13]：在型號研制技術成功的同時也實現了商業的成功。1996年，國際自動機工程師協會(SAE)總結了以波音777為代表系統工程在民機領域的實踐經驗，提出了基于系統工程的復雜系統面向適航審定的工業指南SAE ARP-4754[14-16]，并在2010年更新為ARP-4754A。目前國內外適航當局建議型號申請人采用ARP-4754A方法系統性規劃民機研制，使需求和設計中的錯誤降低至最小，保證產品系統安全性符合適航要求；作為技術指南配套文件的ARP-4761對具體的系統安全性分析和評估提供了方法性指南，下屬文件DO-254和178B對硬件和軟件的開發保證進行了指導。上述指南的集合形成了一整套基于系統工程理論的復雜飛機系統開發保證流程建議，為民機適航符合性證據體系的構建提供了理論基礎。

2 民機系統適航符合性證據體系框架

為明確型號合格審定的流程和關鍵環節，中國民用航空局(CAAC)制定了AP-21-AA-2011-03-R4《航空器型號合格審定程序》，要求型號申請人依據已批準的審定計劃，針對審定基礎提供相關證據，形成“符合性驗證資料(CD)”，表明對相應適航要求的符合性，該程序定義了生成符合性驗證數據(或資料)的四個途徑：(1)工程驗證試驗；(2)工程符合性檢查；(3)分析；(4)申請人飛行試驗。申請人所提供的符合性證據應依據從適航要求出發直到產生符合性聲明結論的邏輯順序，解釋說明證據間內在聯系，通過符合性論證使審查代表信服適航要求已得到滿足。尤為重要的是，符合性驗證資料的基礎是民機型號設計資料，對此CCAR-21-R3《民用航空產品和零部件合格審定規定》第21.31款明確了“型號設計資料”包括四類[17]：(1)定義構型和設計特征符合相關適航規章和環境保護要求所需的圖紙、技術規范和清單；(2)確定結構強度所需的尺寸、材料和工藝；(3)持續適航文件中適航性限制部分；(4)通過對比確定同一型號后續適航性和使用環境保護要求。

型號申請人通過系統性規劃和實施研制過程并向適航局方提出正確、完整和可追溯的適航符合性證據，保證最終產品符合適航規章要求。民機系統研制過程可以分為飛機、系統、設備(軟、硬件)三個層級的工作，每一個層級活動分別都由計劃、執行過程、設計數據、確認/驗證數據等構成。結合系統工程的“雙V模型”理論，上述“型號設計資料(Type Design, 簡稱TD)”屬于雙V左臂部分開展的民機產品各層級從“自頂向下”設計需求分解和設計實施與需求確認過程中產出的相關證據，而“符合性驗證資料(Compliance Data，簡稱CD)”位于雙V右臂，描述了民機產品各層級“自底向上”的系統測試與集成、飛行試驗的過程與文檔化結果，是產品實施相對于設計實施與綜合(集成)面向需求進行驗證過程產出的相關證據[18]。為了辨識、記錄和控制符合性證據相關數據，民機型號申請人依照局方規定策劃和管控“構型管理”過程，辨識以系統需求、合格審定資料等為主體的構型項目內容和內在聯系，建立和控制民機系統全壽命周期研制和試驗過程的“構型基線”，控制構型項的產生、更改和更新過程[16]。對型號設計和符合性驗證資料的系統性、結構化是構型管理的核心，既是系統研制也是一項合格審定工作。構型基線的管控對象主要為適航審定計劃與總結、研制過程和需求、安全性評估過程、驗證程序、構型索引等構型項目，其提煉了系統研制、試驗數據，為適航符合性證據的構建提供了基礎。

參照EIA-632標準對技術研發過程的分解描述，民機系統的研發過程可視為“自頂向下”在飛機、系統和設備分層級中的一系列“提問—解問”過程，進而獲得各層級的物理解決方案，以需求和設計結果為主要內容的構型項目形成了“構型基線”的主要控制對象。適航符合性證據體系在構型基線數據的基礎上，依據構型項目的層級分類，開展面向需求的確認和面向實施的驗證活動，生成面向規劃的過程保證數據，構建符合性證據鏈，表明面向適航規章要求的預期系統功能和安全性達成。

3 基于構型項目類型的適航符合性證據體系關系鏈

基于民機構型管理所控制的構型項目的分類，本文基于民機和系統產品“研制規劃保證回路”和“研制過程回路”兩部分從“規劃保證”、“需求定義”、“邏輯/物理方案實現”、“確認數據”、“驗證數據”五個構型項目類型維度來描述符合性證據體系結構中的證據關系鏈。

3.1 基于計劃實施的研制規劃保證回路

通過研制規劃過程在項目之初就明確民機系統的研制、試驗和取證的過程和方法，確保必要的計劃得以執行的保持，是系統工程在民機領域應用的重要特征。通過考慮民機系統的預期功能和使用環境，對相關的研制階段、評審節點進行規劃，“研制規劃(Development Process)”過程明確了應滿足的系統審定基礎，飛機/系統的安全性目標、初步系統研制保證等級(DAL)等，并明確支持研制工作的組織架構和關鍵人員職責。基于已制定的計劃開展“過程保證(Process Assurance，PA)”過程確保研制工作和過程是嚴格按照計劃進行，并提供計劃一致性的相應證據。上述規劃保證回路與“研制過程回路”之間的交互關系體現在對研制、確認和驗證活動的計劃和保證上(見圖2)，所產生的的合格審定計劃、研制計劃、過程保證計劃、確認計劃、驗證計劃、過程保證數據等是構型項目的控制對象，形成了符合性證據體系結構的“規劃保證”維度。

3.2 基于“雙V模型”的型號研制過程回路

3.2.1 基于RFLP關系的型號設計資料(TD)支路

系統工程的雙V模型左臂是民機系統產品研制“自頂向下”的設計過程，其通過“需求—功能—邏輯方案—物理方案(即RFLP)”的順序實現系統研制過程[11]。基于在該支路中的構型項目的類型，區分飛機、系統和設備三個層級，建立“需求定義”、“邏輯/物理方案實現”以及“確認數據”三個構型項目類型下的符合性證據體系。

型號設計資料支路起始于需要(Needs)辨識和需求(Requirement)定義(統稱Requirement，R階段)。需要(Needs)描述了期望的產品屬性，是產品用戶從使用和綜合的角度定義的產品黑盒狀態的技術約束，其中包括了自身需要、規范和標準、技術能力等約束。需求(Requirements)是對產品實現的可識別約束，但一般不包括具體的設計實現方式。產品的設計過程是一個求解黑盒為白盒的過程，通常使用產品的需求文檔(RD)描述產品黑盒，主要從功能、性能、安全性、安裝和維護、接口和使用、適航等方面建立需求。適航規章要求通過功能分析和需求捕獲逐級分解、分配到上述幾類需求中。高層級的需求在功能架構分析過程中分解、分配，從飛機級進入系統級最終到達設備層級的軟/硬件。伴隨設計開展的需求分析形成的各層級的需求和規范的集合是構型項目的控制對象，如：頂層飛機級需求TLAR、飛機/系統/設備級功能需求文檔AFRD/SRD/ERD、飛機/系統/設備級設計規范ATS/STS/PTS等，形成了符合性證據的“需求定義”維度。

基于需求開展的設計活動起始于功能分析(Function，F階段)，是產生解決方案逐步滿足需求的過程(即黑盒解白)。功能架構的產生及即邏輯解決方案(Logical Solution， 即L階段)的形成，如飛機/系統級功能描述文檔AFDD/SFDD和接口文檔AFICD/SFICD等是構型項目中“設計描述”的控制對象。為滿足各層級功能架構所預期達成的需求，驅動物理架構的產生，即物理解決方案(Physical Solution，P階段)，如飛機/系統/設備級設計描述文檔ADD/SDD/EDD及詳細的接口描述文檔等，這也是構型項目中“設計描述”的控制對象，形成了符合性證據的“邏輯/物理實現”維度。

尤為重要的是，伴隨上述過程在各個層級中反饋驅動需求的更新和確認過程(Validation Process)，確保各層級所需滿足的需求和設計分析中產生的衍生需求足夠正確和完整。確認的方法主要包括：試驗、分析、建模、計算、相似性比較、評審、工程判斷和追溯檢查，逐步形成完整的技術需求集，成為相應的解決方案的輸入和約束。基于構型項目類型，“確認數據”維度的符合性證據主要包括飛機/系統級的特性數據、載荷報告、系統級FTA/CCA/CMA安全性分析報告、PASA/PSSA安全性評估報告、各研制階段評審報告等。

3.2.2 面向需求實施的符合性驗證資料(CD)支路

在系統各層級確立相應需求后，預期的功能通過所計劃的解決方案予以實施，為確保該實現的正確性及對應需求已滿足，尤其是安全性分析的有效性，應在各層級內開展驗證過程(Verification Process)。驗證活動對應驗證計劃所確定的待驗證的系統或設備的構型，明確具體的試驗設施、判定準則和工作順序，驗證的嚴酷度對應于系統研發過程中的功能開發保證等級(FDAL)和項目保證等級(IDAL)，主要驗證方法包括：檢查評審、分析、試驗或演示及使用經驗等，結構化記錄的驗證程序和驗證結果用以表明追溯驗證過程的狀態。基于構型項目類型，本體系中“驗證數據”維度的適航符合性證據主要包括飛機/系統級靜力、試驗室、地面、機上(如OATP)和飛行試驗大綱、分析報告、ASA/SSA/CCA安全性評估報告、設備級鑒定/驗收試驗等。

與面向民機型號合格審定的民機系統工程雙V圖相關聯，在飛機、系統和設備層級中“研制規劃保證回路”和“研制過程回路”的上述適航符合性體系的各維度之間關系如圖2所示，其中“需求定義”和“邏輯/物理方案實現”維度共同構成“RFLP過程”。

4 結論

民機研制始于頂層飛機級需求搜集和定義，其依據是用戶需要、技術約束及工程經驗，通過“自頂向下”的功能分析形成邏輯解決方案從而捕獲需求，進而分解形成系統級設計需求并向子系統和設備級分配，各層級確認相應需求的正確性和完整性，驅動物理解決方案的構建和實施，基于物理實物開展“自底向上”的設備、系統綜合試驗驗證預期的功能的實現，確保所有相關適航要求得以滿足。依照上述原理，本研究明確了民機和系統研制、試驗活動關鍵數據與適航符合性證據的接口，基于民機和系統產品“研制規劃保證過程回路”和“研制過程回路”入手，基于構型項目分類，提出了由“規劃保證”、“需求定義”、“邏輯/物理方案實現”、“確認數據”、“驗證數據”五個維度所構成的符合性證據體系框架，分飛機、系統和設備三個層級辨識了證據數據類型及其內在聯系。

[1] 郝蓮. 民機研制適航取證總體技術方案探討[J]. 航空制造技術, 2012, 22: 62-65

[2] 陸中, 孫友朝, 周伽.民用飛機適航符合性驗證方法與程序研究[J]. 航空標準化與質量, 2007, 4: 6-8,19.

[3] CAAC. CCAR-25-R4中國民用航空規章第25部：運輸類飛機適航標準[S]. 北京: 中國民用航空局適航審定司, 2011.

[4] 郝蓮, 哈紅艷. 中國民用飛機主制造商設計保證系統的建立[J]. 中國民用航空, 2013, 9:32-34.

[5] CAAC. AP-21-AA-2011-03-R4 航空器型號合格審定程序[S]. 北京: 中國民用航空器適航審定司, 2011.

[6] Dickerson CE, Mavris DN. Architecture and Principles of Systems Engineering [M]. CRC Press， 2010.

[7] Checkland P. 系統論的思想與實踐[M]. 左曉斯, 史然譯. 北京:華夏出版社， 1990.

[8] 上海交通大學錢學森研究中心. 智慧的鑰匙—錢學森論系統科學[M]. 上海:上海交通大學出版社， 2005.

[9] ISO/IEC 15288. Systems and Software Engineering-System Life Cycle Processes[S]. UK: Cranfield University， 2008.

[10] IEEE. IEEE Std1220 Standard for the Application and Management of the Systems Engineering Process[S]. USA: Institute of Electrical and Electronics Engineers， 1998.

[11] AMSI/GEIA. EIA-632. Process for Engineering a System[S]. USA: Electronic Industries Alliance， 2003.

[12] Jackson S. Systems Engineering for Commercial Aircraft-A Domain-Specific Adaptation. [M]. Burlington, VT, USA: Ashgate Publishing Company， 2015: 56-57.

[13] Petersen TJ, Sutcliffe PL. Systems Engineering as Applied to the Boeing 777[C]. AIAA 92-1010， 1992.

[14] SAE. ARP 4754 Certification Considerations for Highly-integrated or Complex Aircraft Systems[S]. USA: Warrendale， 1996.

[15] SAE. ARP 4761 Guideline and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S]. USA: Warrendale， 1996.

[16] SAE. ARP 4754A Guidelines for Development of Civil Aircraft and Systems[S]. USA: SAE International， 2010.

[17] CAAC. CCAR-21-R3民用航空產品和零部件合格審定規定[S]. 北京：中國民用航空局適航審定司， 2011.

[18] 李承立. 需求驅動的民機系統研制過程及構型數據結構[C]// 第六屆中國航空學會青年科技論壇文集. 北京: 航空工業出版社， 2014: 743-752.

Research on Configuration Item Classification Based on Civil Aircraft System Airworthiness Compliance Evidence System Structure

LU Yi HAO Lian LI Chengli ZHANG Shuguang

(1.Shanghai Aircraft Design and Research Institute, Shanghai 201210, China; 2. Beijing University of Aeronantics and Astronautics, Beijing 100191, China)

Civil aircraft type certification procedure requires the type applicant to submit correct, complete and traceable airworthiness compliance evidences to the certification authority, following the systematic planning and implementation of type development processes. Such evidences show the development assurance on products against airworthiness regulation requirements. Based on the Vee model theory of the system engineering, this paper chooses the development planning and assurance loop and development process loop as two core routines to identify the interfaces of evidence system with the configuration management, system development and type certification processes. Using the configuration item type classification under the aircraft, system and equipment levels as a framework, a compliance evidence system consisted by five dimensions of plan assurance, requirement definition, logical/physical solution, validation data and verification data is proposed, which specifies the transferring relationship between the data links.

type certification; airworthiness requirements; compliance evidence system; configuration items

10.19416/j.cnki.1674-9804.2017.03.005

V221+.91

：A