：飞机的安全性历史和相关标准方案.pptVIP

从一个装置的硬件层级上讲，DO-254对复杂航电硬件的设 计保证和设计过程定义为： ●设计保证：所有用于验证的那些计划的和系统的措施， 并且这些措施既要在一个足够的可信度水平水平上进行，也要 能够找出并纠正设计错误，以使硬件满足适用的审定基础。 ●设计过程：用确定需求，概念设计，详细设计，执行 （制造及其控制过程），产品交付等程序产生一个“硬件项目”的 过程。 “硬件项目”可以是一个航空公司可更换部件（LRU）、一个 电路板组件或一个部件。设计过程可以用在任何层级的硬件项 目上，例如LRU、电路板组件或器件、专用集成电路和可编程逻 辑器件等。 DO-254发布于2000年，并且FAA在2005年予以认可。由于经 历的时间较短，业界普遍感到作为指导性材料的DO-254缺乏足 够使用经验的支持，并且其中提出的理念较新，而对提出的有 关目标没有相应的执行方法和程序，因此使用有些困难。即便 如此，作为当今的发展方向，尤其在新飞机的研制和审定过程 中，DO-254作为基本要求文件已经是毋庸质疑的事实。 254 ARP （7）四个文件之间的关系如下 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * （3）ARP4754（关于高度综合或复杂飞机系统的合格审定考 虑） 飞机越来越多地使用大大增强了功能的和更加复杂接口的系 统（如玻璃驾驶舱综合显示系统、飞行控制、飞行管理、危险 回避、通讯管理等系统），并且这些高度综合或复杂系统的研发 过程总会出现错误。仅用试验的方法已不能发现所有需要考虑的 问题，即不能100%地由试验证明高度综合或复杂的系统功能是否 正确。例如： 一个“与”门有2个输入端，每个输入端有“1”和“0”二种状态， 则该“与”门输出共有2的2次方种可能；如果有n个输入端，则输 出共有2的n次方种可能。 现代复杂系统/子系统/设备的输入量很多，所以不可能由 试验验证所有输出结果。为此，工业界一致认为应该制定该文 件，目的是用系统的过程控制方法对复杂和高度综合系统的研 制过程进行控制。这也是制定DO-178B和DO-254的根本原因。 可以用ARP4754中提供的相应方法为高度综合或复杂的飞 机系统、子系统、设备、硬件、软件、零部件等项目进行分配 DAL。 如果欲使用的DAL比按下面介绍的“推导的构架保证水平及 其限制”例子确定的DAL低，申请人应该尽早以建议的PSSA结果 获得局方的同意。 如果ARP4754的标准尚不另人满意，可能需要按DO-178B及 DO-254给出的指导将DAL确定为更高等级。 ARP4754给出的“构架保证水平及其限制”的例子： 序号 构架（见注1） 故障条件类别： 灾难性的 故障条件类别： 危险的 1 分隔设计 （多重故障类） 每个被分隔部分 包含分隔措施的整个系统为 A级。 被分隔部分采用最严重故障条件类别的A级 包含分隔措施的整个系统为 B级。 被分隔部分采用最严重故障条件类别B级 2 ＃ 采用非相似的和独立的构架设计执行一个飞机级功能（注2和3 ） 各部分（注4） 包含非相似性和独立性措施的整个系统为A级。 B级（注5和ARP4754的5.4.1.2） 包含非相似性和独立性措施的整个系统为B级。 C级（注5和ARP4754的5.4.1.2 ） 3 采用非相似的构架设计执行一个飞机级功能 （注2） 主要部分 次要部分 包含各部分之间分隔措施的整个系统为A级。 A级 B级(注5和ARP4754的5.4.1.3） 包含各部分之间分隔措施的整个系统为B级。 B级 C级(注5和ARP4754的5.4.1.3） 序号 构架（见注1） 故障条件类别： 灾难性的 故障条件类别： 危险的 4 主动功能/监测功能并联构架设计（注2） 主动功能/监测功能部分 整个系统为A级 至少一个功能为A级；另一功能至少为C级。（注5和6） 整个系统为B级 至少一个功能为B级；另一功能至少为C级。（注5和6） 5 并联备份功能（注2） 主要部分 备份部分 整个系统为A级 A级 C级（注5 ） 整个系统为B级 B级 D级（注5 ） 注1：这些构架说明了具体的研制保证情况；实际系统可能使用一个大范围的替代构架。 注2：确定各元素之间转换/投票/故障探测的逻辑应该按适当的