共模分析技术的应用研究

摘要：共模分析是一种定性的分析方法，在航空器的系统安全性评估过程中常常用于对独立性原则的验证。随着现代航空器机载设备的集成化和复杂化的产生，采用各种冗余方法来提高安全性，而产生共模失效是降低安全性的重要因素之一，因此掌握共模分析方法的应用是必要的。文章结合国内某轻型公务机研制的工程实践针对共模分析技术的应用进行了介绍。

关键词：共模分析技术；航空器；CMA要求；机载设备；共模事件

中图分类号：TP212 文献标识码：A 文章编号：1009-2374（2014）19-0035-03

1 概述

共模故障（common mode failure）是指可能影响多个单元独立性的事件，早在美国核反应堆安全性研究报告（WASH-1400，1975）中就提出了相关的概念。而在SAE ARP 4761-1996对共模分析的方法及其应用案例进行了详细描述，作为民用航空在适航审定过程中推荐使用的系统安全性评估方法之一。

共模分析（CMA）的分析对象主要是那些可能破坏独立性原则而最终导致灾难性失效状态的潜在共模故障、级联故障和多重故障。随着现代航空器机载设备的集成化和复杂化的产生，采用各种冗余方法来提高安全性，而产生共模失效是降低安全性的重要因素之一，因此掌握共模分析方法的应用是必要的。

2 共模分析过程

图1描述了共模分析的过程以及与其他活动的接口关系，共模分析（CMA）可分为CMA要求的产生和CMA要求的验证以及针对设计架构的评估两个过程。

2.1 CMA要求的产生

CMA要求的产生可按照以下四个步骤进行：

（1）由FHA/PSSA失效状态、安全性设计准则（设计规范）以及相似型号的服役经验等确定的独立性设计原则构建CMA要求，并形成清单。

（2）针对独立性原则清单的每个项目选择并确定可能的共模源，并形成CMA检查单作为记录。

（3）对于每一个共模源进行研究并确定导致其发生的共模失效和/或错误。

（4）对避免或减少共模故障影响的设计要求进行确认并将其分配落实。

2.2 CMA要求的验证以及针对设计架构的评估

CMA要求的验证以及针对设计架构的评估又可分为两个步骤：

（1）逐项检查CMA要求的符合性，记录检查结果形成CMA报告。

（2）将检查不符合项及可能产生风险反馈至设计过程和PSSA/SSA过程，并持续跟踪。

图1 共模分析过程

3 分析实例介绍

3.1 研究背景

某轻型公务机航空电子系统，集成了指示与记录、通信和导航系统，主要实现通信和导航、飞行管理、人机控制、综合显示、参数及故障信息记录、告警信息处理、维护等功能。指示记录系统采用三屏配置主要由主飞行显示器（PFD）、多功能显示器（MFD）、发动机/机身参数显示器组成。通信系统主要由音频控制器、甚高频电台及配套天线、耳机话筒、放电刷等组成。导航系统主要由大气数据系统、姿态及方位、无线电导航、卫星导航、飞行管理系统和失速告警系统组成。

3.2 确定系统CMA要求

航空电子系统FHA/PSSA的结果将作为CMA分析的输入，系统FHA（仅部分）摘要见表1：

表1 FHA摘要

综合考虑系统的性能包括设计架构、安装、维修程序等因素，并参考系统PSSA过程认为可能导致影响独立性原则的共模源见表3。

3.3 CMA要求的验证以及针对设计架构的评估

CMA要求的验证主要针对表1所列出的航空电子系统可能导致的灾难性失效状态。具体的验证内容如下：

首先，PFD和MFD姿态信息显示应与地平表应急显示保证独立性/PFD和MFD高度信息显示应与高度表应急显示保证独立性。

（1）主飞行显示器和应急仪表（地平表和高度表）的制造商不同，使用不同的硬件，同时采用独立的电源进行供电。

（2）针对设备的安装环境，航空电子系统的LRU依据DO 160F进行测试，保证设备不会因环境因素导致共模故障的发生。

其次，不应出现导致所有PFD显示误导姿态信息的共模故障。

（1）主飞行显示和多功能显示单元使用不同的、独立安装的I/O，10″和15″之间不同形式的电源、不同使用温度范围的CPU。

（2）主飞行显示器和多功能显示器所占用的电路板与CPU的电路板采用独立的电源，每个电路板都采用了防止短路和触电虚接的设计措施。

（3）采用软件的研制保证等级由AC23.1309-1E的原则进行分配，并采用DO178B的规定进行了测试，证明未出现软件错误。

（4）在系统层面和设备层面按照分别进行了设计需求评审，并持续跟踪需求实现的过程。

（5）大气数据计算机1和2、综合航电单元1和2、航姿基准组件1和2、主飞行显示器和多功能显示器均采用了独立的汇流条供电，并设置了两个电源输入端口。

（6）系统的重要设备布置于驾驶舱仪表板后并采取了必要的通风、冷却措施，保证了设备在比较良好的环境下工作。

（7）航空电子系统的所有LRU都通过测试证明能够满足闪电、HIRF、电压尖峰的防护要求。

（8）航空电子系统供应商取得了ISO9001质量体系认证，质量审查认为产品能够满足设计要求，系统装机前的试验检测系统运行状态是否在正常的范围内。

（9）在产品上设置了永久性的标识以防止维修差错，相关的维修程序也写入飞机维修手册，可以通过手册的使用进行验证。

由以上分析可以不存在可能导致“丧失所有姿态信息显示”、“显示误导的姿态信息”、“丧失所有气压高度信息显示”、“显示误导的高度信息”的共模故障。

4 结语

上文仅针对航空电子系统部分失效状态进行了共模故障分析，并不是完整的分析过程。CMA使用的是一种穷举法，保证共模源的完整是比较困难的，因此分析者丰富的经验十分重要，经验以及对每个产品深入的了解能够帮助我们发现更多的、可能发生的共模

事件。

参考文献

[1] SAE ARP 4754A，Guidelines for Development of Civil Aircraft and Systems，2010.

[2] SAE ARP 4761，Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment，1996.

[3] Advisory Circular23.1309，System Design and Analysis.

作者简介：王涛，中航通飞研究院有限公司助理工程师，研究方向：民机系统安全性评估与验证技术。endprint