民机系统研制中关于限制研制错误考虑.docVIP

民机系统研制中关于限制研制错误考虑 　　【摘 要】本文针对民机综合复杂系统研制中出现研制错误的风险，阐述了目前工业界在限制研制错误方面取得良好实施效果的实践方法，包括研制保证过程与架构减缓等方面，在此基础上总结了对于我国民机系统研制的相关启示。 　　【关键词】研制错误；研制保证；架构减缓；民机系统 　　【Abstract】Due to civil aircraft systems become highly integrated and complex， there is an increasing risk of the existence of development errors. The best practice for development errors limitation in current industry is described in this paper， including development assurance process and architecture mitigation technique. The revelation for the domestic civil aircraft development is then summarized. 　　【Key words】Development Error；Development Assurance；Architecture Mitigation；Civil Aircraft 　　0 引言 　　伴随技术的发展，民用飞机系统复杂程度愈发提高。譬如，综合模块化航电（Integrated Modular Avionics， IMA）系统的应用大幅增加了飞机功能的综合性和复杂性，大量相同模块的采用会导致故障传播可能性提高。目前航空业界愈加强调要降低发生系统性失效和共因失效的风险，其本质在于复杂系统和综合性的飞机级功能出现研制错误和不良或非预期影响的风险会更大。 　　为了将民用飞机安全性维持在一个可接受的水平，需要在研制中采用能够限制研制错误的技术手段，这对于民机适航合格审定也是一项重点关注的问题。由于为高度综合和复杂系统开发出有限的测试程序通常是不实际的，而错误出现的概率又无法量化，所以无法研究出一个恰当的数值计算方法来评估。目前在实践中，通常采用定性的方法和一些设计架构方面的技术，主要包括： 　　1）研制保证――研制保证过程能够帮助确保系统研制已经以足够严格和科学的方式完成，能够限制可能影响到飞机安全性的研制错误发生的可能性。 　　2）架构减缓――通过架构设计的途径可以限制研制错误和系统部件失效出现的后果以及它们影响飞机安全的可能性。 　　本文将对上述方法和技术进行阐述。 　　1 研制保证过程 　　美国航空无线电协会发布的工业标准DO-178B和DO-254中所提及的工作目前已作为实现机载软件和电子硬件研制保证严酷度的手段。而2010年美国汽车工程师协会新发布的ARP 4754A中进一步提出，如果没有一个从飞机级（Aircraft Level）到项目级（Item Level）的研制保证过程，则这些仅仅与软件和电子硬件相关的过程不足以减少飞机或系统错误。因此，ARP4754A中建议了这样一种过程，它可以将可能导致功能危险性评估（Functional Hazard Assessment， FHA）当中所确定的失效状态（Failure Condition）的研制错误降至适当严酷度的置信度，这个过程被称为研制保证过程。可以通过所分配的功能研制保证严酷度（Function Development Assurance Level， FDAL）和某些计算分析的方法来满足与失效状态等级相关的安全性目标，这种与具体飞机或系统功能相关的FDAL与传统安全性分析当中的数值概率没有直接的关联，FDAL根据严酷度的高低可分为A、B、C、D、E五个等级。 　　1.1 研制保证等级分配举例 　　在图1所示的由故障树形式所表现的系统架构分配案例中，顶层功能F由功能F1和F2同时作用实现，而功能F1和F2分别由驻留在相同硬件HW1中的软件SW1和SW2实现。由于SW1和SW2没有进行分隔处理，因此在功能F1或者SW1研制中的错误可能造成F2或者SW2的失效。根据4754A中的分配原则，HW1、SW1和SW2的IDAL（Item Development Assurance Level）都被分配为与顶层FDAL同等严酷级别。 　　图 1 研制保证等级的分配举例 　　此外，对于非复杂的软硬件，当其研制可以被完整的测试和分析手段所保证时，可以认为其达到了IDAL A的研制保证等级，但是与其相关的需求也须在与之对应的FDAL严酷等级下进行确认。