民用飛機IMA平臺安全性評估過程研究

黃勁松

【摘 要】綜合模塊化航電（IMA）平臺在民用飛機領域的應用越來越廣泛。IMA平臺安全性評估過程是保證系統設計符合飛機安全性要求的基礎。本文在研究DO-297等相關規范的基礎上，分析了IMA平臺安全性評估過程的特點，提出了IMA平臺安全性評估過程的目標，并闡述了目標相應的活動和符合性證據。

【關鍵詞】民用飛機；IMA平臺；安全性評估；DO-297

中圖分類號： V243 文獻標識碼： A 文章編號： 2095-2457（2018）03-0213-002

Research on Safety Assessment Process of Civil Aircraft IMA Platform

HUANG Jin-song

（Shanghai Aircraft Design and Research Institute， Shanghai， 201210， China）

【Abstract】Integrated Modular Avionics（IMA） is more and more widely used in civil aircraft area. The safety assessment process of IMA platform is the basis for ensuring system design in line with aircraft safety requirements. Based on the research of DO-297 and other related specifications， this paper analyzes the characteristics of IMA platform safety assessment process， puts forward the objectives of IMA platform safety assessment process， and elaborates the activities and compliance evidence of the objectives.

【Key words】Civil Aircraft； IMA Platform； Safety Assessment； DO-297

0 引言

隨著民用飛機機載系統復雜度的不斷提高，綜合模塊化航電（IMA）平臺越來越廣泛地應用在民用飛機領域。IMA平臺是包含核心軟件的一個或者一組模塊，它能夠為駐留功能提供計算、通信、接口等公共資源。IMA平臺安全性評估過程是保證系統設計符合飛機安全性要求的基礎。本文在研究DO-297等相關規范的基礎上，分析了IMA平臺安全性評估過程的特點，提出了IMA平臺安全性評估過程的目標，結合對ARP4754A和ARP4761的研究，給出了平臺安全性評估過程目標相應的活動和符合性證據。

在本文的研究中，定義IMA平臺為一組模塊，同時定義IMA模塊為單一模塊。因此，IMA平臺符合ARP4754A中定義的“系統”概念，IMA平臺的安全性評估過程應按照ARP4754A中推薦的系統安全性評估活動進行；而IMA模塊由于不具備獨立功能，僅需完成部件級安全性評估活動。

1 IMA平臺安全性評估過程特點分析

由于IMA系統功能和架構的特殊性，IMA平臺安全性評估具有以下特點：

（1）在安全性評估過程中，傳統機載系統先根據系統功能進行功能危害度評估（FHA），然后開展初步系統安全性評估（PSSA），采用故障樹分析（FTA）等方法向各組件分配失效概率，最后在系統驗證階段開展系統安全性評估（SSA）來評估系統安全性需求是否已滿足。但IMA平臺只有駐留相關功能后，才會實現或參與實現飛機功能，因此IMA平臺無法像傳統機載系統一樣從FHA開始安全性評估工作。同時，由于IMA平臺不完全具備IMA系統級功能，因此在IMA平臺級不需要進行FHA評估工作，IMA平臺的初步安全性需求可直接在IMA系統FHA中提出。

（2）IMA平臺失效的影響取決于使用平臺的駐留功能的關鍵程度。若駐留功能為關鍵功能，例如飛管功能，那么影響該功能失效的平臺失效就應被定義為災難級；若駐留功能為非基本功能，例如客艙信息系統，平臺失效的影響等級就會降低。

（3）IMA平臺支持眾多不同的駐留功能，因此IMA平臺的安全性需求應是通用的，與使用IMA平臺的駐留功能架構無關。

（4）IMA平臺作為IMA系統的基礎，為駐留功能系統提供公共資源，IMA平臺應根據其架構和研制保證等級，結合歷史開發經驗數據，向駐留功能和IMA系統提供IMA平臺開發事件清單（DEL），用于支持駐留功能和IMA系統的安全性評估。DEL中應包含對駐留功能可用性和完整性指標有影響的全部IMA平臺基礎數據。在駐留功能和IMA系統進行故障樹分析（FTA）時，DEL可提供故障樹子節點數據。

（5）PSSA階段，IMA平臺層面只能通過分析通用的駐留功能架構來進行初始DEL的確認，DEL的最終確認應在駐留功能安全性評估和IMA系統安全性評估結束后完成。

2 IMA平臺安全性評估過程的目標、活動和符合性證據

IMA平臺安全性評估過程的目標源于對DO-297任務1（IMA平臺開發）目標的分析，DO-297任務1的10項目標中有3項涉及到IMA平臺安全性評估，分別為：

目標1：平臺/模塊的設計應形成文件并且要達到安全性要求[1]；

目標2：分區要確保任何駐留應用的行為不會受到任何其它應用或功能的不良影響[1]；

目標3：模塊需求、資源需求等符合性要得到證實[1]。

由于IMA平臺具有高度綜合性，IMA平臺制造商（或者任務1的申請人）應該按照ARP4754A和ARP4761中定義的安全性評估過程來開展IMA平臺的安全性評估活動，并產生相應符合性證據文件。

本文將IMA平臺研制保證等級按A級考慮，結合ARP4754A和ARP4761中的安全性評估要求，給出了DO-297任務1中的3項安全性相關目標在IMA平臺安全評估過程中的具體活動和相應的符合性證據[2-3]，具體如下：

目標1活動：（1）IMA平臺DEL定義；（2）IMA平臺FTA；（3）IMA平臺故障模式和影響分析（FMEA）；（4）IMA平臺共因分析（CCA）；（5）IMA平臺PSSA；6）IMA平臺SSA。

目標1符合性證據：（1）IMA平臺DEL報告；（2）IMA平臺FTA數據；（3）IMA平臺FMEA報告；（4）IMA平臺故障模式和影響總結（FMES）；（5）IMA平臺CCA報告；（6）IMA平臺PSSA報告；（7）IMA平臺SSA報告。

目標2活動：（1）IMA平臺分區分析；（2）IMA平臺CCA。

目標2符合性證據：（1）IMA平臺分區分析報告；（2）IMA平臺CCA報告；（3）IMA平臺SSA報告。

目標3符活動：（1）IMA平臺需求開發；（2）IMA平臺PSSA；（3）IMA平臺SSA。

目標3符合性證據：（1）IMA平臺需求規范；（2）IMA平臺PSSA報告；（3）IMA平臺SSA報告。

3 結論

本文在研究DO-297等相關規范的基礎上，詳細分析了IMA平臺安全性評估的特點，提出了IMA平臺安全性評估過程的目標，結合對ARP4754A和ARP4761的研究，給出了平臺安全性評估過程目標相應的活動和符合性證據，指導民用飛機IMA平臺安全性分析過程的實施。

【參考文獻】

[1]RTCA DO-297， Integrated Modular Avionics （IMA） Development Guidance and Certification Considerations[S].RTCA Inc.， 2005.

[2]SAE ARP4754A，Guidelines for Development of Civil Aircraft and Systems[S].SAE International，2010.

[3]SAE ARP4761，Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].SAE International，1996.