民机系统研制中关于限制研制错误的考虑

冯臻　王京娅

【摘 要】本文针对民机综合复杂系统研制中出现研制错误的风险，阐述了目前工业界在限制研制错误方面取得良好实施效果的实践方法，包括研制保证过程与架构减缓等方面，在此基础上总结了对于我国民机系统研制的相关启示。

【关键词】研制错误；研制保证；架构减缓；民机系统

【Abstract】Due to civil aircraft systems become highly integrated and complex， there is an increasing risk of the existence of development errors. The best practice for development errors limitation in current industry is described in this paper， including development assurance process and architecture mitigation technique. The revelation for the domestic civil aircraft development is then summarized.

【Key words】Development Error；Development Assurance；Architecture Mitigation；Civil Aircraft

0 引言

伴随技术的发展，民用飞机系统复杂程度愈发提高。譬如，综合模块化航电（Integrated Modular Avionics， IMA）系统的应用大幅增加了飞机功能的综合性和复杂性，大量相同模块的采用会导致故障传播可能性提高。目前航空业界愈加强调要降低发生系统性失效和共因失效的风险，其本质在于复杂系统和综合性的飞机级功能出现研制错误和不良或非预期影响的风险会更大。

为了将民用飞机安全性维持在一个可接受的水平，需要在研制中采用能够限制研制错误的技术手段，这对于民机适航合格审定也是一项重点关注的问题。由于为高度综合和复杂系统开发出有限的测试程序通常是不实际的，而错误出现的概率又无法量化，所以无法研究出一个恰当的数值计算方法来评估。目前在实践中，通常采用定性的方法和一些设计架构方面的技术，主要包括：

1）研制保证——研制保证过程能够帮助确保系统研制已经以足够严格和科学的方式完成，能够限制可能影响到飞机安全性的研制错误发生的可能性。

2）架构减缓——通过架构设计的途径可以限制研制错误和系统部件失效出现的后果以及它们影响飞机安全的可能性。

本文将对上述方法和技术进行阐述。

1 研制保证过程

美国航空无线电协会发布的工业标准DO-178B和DO-254中所提及的工作目前已作为实现机载软件和电子硬件研制保证严酷度的手段。而2010年美国汽车工程师协会新发布的ARP 4754A中进一步提出，如果没有一个从飞机级（Aircraft Level）到项目级（Item Level）的研制保证过程，则这些仅仅与软件和电子硬件相关的过程不足以减少飞机或系统错误。因此，ARP4754A中建议了这样一种过程，它可以将可能导致功能危险性评估（Functional Hazard Assessment， FHA）当中所确定的失效状态（Failure Condition）的研制错误降至适当严酷度的置信度，这个过程被称为研制保证过程。可以通过所分配的功能研制保证严酷度（Function Development Assurance Level， FDAL）和某些计算分析的方法来满足与失效状态等级相关的安全性目标，这种与具体飞机或系统功能相关的FDAL与传统安全性分析当中的数值概率没有直接的关联，FDAL根据严酷度的高低可分为A、B、C、D、E五个等级。

1.1 研制保证等级分配举例

在图1所示的由故障树形式所表现的系统架构分配案例中，顶层功能F由功能F1和F2同时作用实现，而功能F1和F2分别由驻留在相同硬件HW1中的软件SW1和SW2实现。由于SW1和SW2没有进行分隔处理，因此在功能F1或者SW1研制中的错误可能造成F2或者SW2的失效。根据4754A中的分配原则，HW1、SW1和SW2的IDAL（Item Development Assurance Level）都被分配为与顶层FDAL同等严酷级别。

图 1 研制保证等级的分配举例

此外，对于非复杂的软硬件，当其研制可以被完整的测试和分析手段所保证时，可以认为其达到了IDAL A的研制保证等级，但是与其相关的需求也须在与之对应的FDAL严酷等级下进行确认。

1.2 研制保证过程的局限性

通过应用研制保证过程可建立消除研制错误的信心，但是研制保证还无法保证万无一失。在ARP 4754A的表5.2注释1中提到：“对于灾难性的失效状态，通过分配FDAL A限制研制错误这种方式如果能被审定方接受的话，还需要配以足够独立的确认验证活动、技术、完成标准等等[1]。”这段注释反映出目前业界对以下两点依旧持有疑问：

1）在当今民机系统研发周期当中，无论所设计的架构复杂度如何，可能无法保证有足够独立的确认和验证活动来确保达到了所分配的FDAL A的严酷程度。

2）即使研发流程被声明为是按照FDAL A来执行的，根据目前飞机功能或者系统的复杂程度，用一套有限的程序来确保复杂的机载系统肯定排除了可能会造成灾难性后果的研制错误可能是难以实现的。

这些问题都需要民机主制造商来进行回答，同样也被民机审查方高度关注。

2 限制研制错误的安全性设计理念与技术

目前，国际航空业界已经意识到，仅仅依靠研制保证已经无法充分保证在软件或者复杂硬件中所实现的复杂与关键功能的安全性。目前有许多良好的实践经验表明能够提供对于研制错误以及共同失效模式的限制。民机的运营经验同样表明，传统的安全性评估技术仅仅能够识别出实际运营环境中能够发生的一小部分的失效模式。因此，架构缓解的手段，作为对研制保证过程方法的补充，目前在高度综合复杂飞机系统的研制中已不可或缺。

2.1 四种基本的安全性技术

以美国FAA为代表的业界认为，目前在架构设计时有四种类型的技术可以帮助显著提高安全性，它们彼此相关，通常需要组合使用产生良好的效果[2]。这四种技术分别如下所述：

1）故障容忍（Fault Tolerance）

故障容忍是“失效-安全（Fail-Safe）”技术在系统设计中的应用，它可以增强系统在故障出现时的鲁棒性，使得系统（下转第170页）（上接第67页）仍能够保持功能。故障容忍的例子包括：预防性程序、故障隔离或者故障限制、冗余性、其它一些失效-安全的设计理念与技术、硬件中断、非相似性和恢复性数据块等。故障容忍的原则应当在关键和复杂系统的实施当中应用，该手段可以缓解系统失效、硬件失效或者研制错误的影响，使得当失效、故障或者错误开始出现时能够保证继续安全的飞行。

2）故障探测（Fault Detection）

故障探测是一种能够探测故障以及触发相关反应的安全技术。故障探测的方式包括有：自检测（Built-In-Test， BIT）、比较、系统监控器等。触发的相关反应包括有：切换到无故障的通道（并行的或者备份的）、隔离失效的部件、忽略故障通道的输出、切换到系统的降级模式等。

故障探测与故障容忍密切相关。如果一个系统能探测相关错误并且触发恰当的系统机制，这个系统就可以称为是故障容忍的。故障探测机制如果足够独立，并且与被监控的系统是非相似的，故障探测就会非常有效。因此，独立性与非相似的应用可以用来表明故障探测的有效性。不同的通道间的独立性通常用来证明故障的容忍和探测能力以及安全性的裕度。比较不同通道的输出也是常用的一种故障探测手段，但是这种架构的缺陷是可能无法消除共同的研制错误。

3）故障消除（Fault Removal）

故障消除是设计时采用的消除故障的安全性技术。其例子包括：错误的探测与纠正功能、自检测、开展各类确认与验证活动（包括检查、评审、试验、模型检查、分析等方式）。故障消除依赖于过程保证的方法。

4）故障规避（Fault Avoidance）

故障规避是研制中用来规避可能会引发系统故障的错误的一种安全性技术。其例子包括：选择一个合适的语言子集、防卫程序、减少或分隔安全性关键代码、最小化设计中的错误、使用合适的生命周期中的方法和技术等等。

2.2 工程实践样例

1）大气数据系统

某飞机大气数据系统由4个带有嵌入式软件的智能探头组成，可以进行数据的采集与处理。针对这些探头中运行的软件可能产生的系统性失效，研制中采用了两种非相似的硬件板路上两种非相似的软件，通过这种途径增强系统的鲁棒性。

2）舱门控制器

考虑到在空中打开或者滑动的可能性，飞机舱门控制器系统被认为是非常关键的。因此在研制中，对于已经采用研制保证等级A的实现相关关键功能的软件，同时设计了一个可编程组件作为简单模拟表决器，对软件的发出的控制指令进行确认，其研制保证等级同样为A。

3 结论以及对我国民机研制的启示与挑战

对于未来的民机系统，由于功能的集成度和复杂性大幅度增加，将使得因为大量采用通用模块而引发故障传播的可能性极大增加，如果不在这些类型的系统内采用缓解失效影响的措施，将可能使先前联合式系统所能达到的安全性水平降低，航空规章和政策也将对于此提出越来越高的要求。

对于我国民机研制项目而言，这既是重要启示也是巨大挑战。需要明确对于高度综合复杂系统，采用与ARP 4754A一致的研制过程，将系统中不完整不正确的需求降到最低，应用评审、分析、仿真、实验室实验和飞行试验等多种手段开展多层级的确认工作。同时，要积极了解并应用国内外从工业实践中获得的成功经验，指导开展具体的系统架构设计工作，以满足或者超越ARP 4754A中的要求。对于存在可能导致灾难性事件的共模故障，积极研究能够限制研制错误，减缓共模故障的设计方法。这样才能在追求先进性的同时，确保国产民机的安全性，也有利于相关适航合格审定工作的顺利开展。

【参考文献】

[1]SAE Aerospace， Guidelines for Development of Civil Aircraft and Systems[S].2010.12： 43-44

[2]FAA Certification Authorities Software Team， Reliance on Development Assurance Alone when performing a Complex and Full-time Critical Function[R]. 2006.3： 4-7.

[责任编辑：曹明明]