民用飞机IMA平台安全性评估过程研究

黄劲松

【摘 要】综合模块化航电（IMA）平台在民用飞机领域的应用越来越广泛。IMA平台安全性评估过程是保证系统设计符合飞机安全性要求的基础。本文在研究DO-297等相关规范的基础上，分析了IMA平台安全性评估过程的特点，提出了IMA平台安全性评估过程的目标，并阐述了目标相应的活动和符合性证据。

【关键词】民用飞机；IMA平台；安全性评估；DO-297

中图分类号： V243 文献标识码： A 文章编号： 2095-2457（2018）03-0213-002

Research on Safety Assessment Process of Civil Aircraft IMA Platform

HUANG Jin-song

（Shanghai Aircraft Design and Research Institute， Shanghai， 201210， China）

【Abstract】Integrated Modular Avionics（IMA） is more and more widely used in civil aircraft area. The safety assessment process of IMA platform is the basis for ensuring system design in line with aircraft safety requirements. Based on the research of DO-297 and other related specifications， this paper analyzes the characteristics of IMA platform safety assessment process， puts forward the objectives of IMA platform safety assessment process， and elaborates the activities and compliance evidence of the objectives.

【Key words】Civil Aircraft； IMA Platform； Safety Assessment； DO-297

0 引言

随着民用飞机机载系统复杂度的不断提高，综合模块化航电（IMA）平台越来越广泛地应用在民用飞机领域。IMA平台是包含核心软件的一个或者一组模块，它能够为驻留功能提供计算、通信、接口等公共资源。IMA平台安全性评估过程是保证系统设计符合飞机安全性要求的基础。本文在研究DO-297等相关规范的基础上，分析了IMA平台安全性评估过程的特点，提出了IMA平台安全性评估过程的目标，结合对ARP4754A和ARP4761的研究，给出了平台安全性评估过程目标相应的活动和符合性证据。

在本文的研究中，定义IMA平台为一组模块，同时定义IMA模块为单一模块。因此，IMA平台符合ARP4754A中定义的“系统”概念，IMA平台的安全性评估过程应按照ARP4754A中推荐的系统安全性评估活动进行；而IMA模块由于不具备独立功能，仅需完成部件级安全性评估活动。

1 IMA平台安全性评估过程特点分析

由于IMA系统功能和架构的特殊性，IMA平台安全性评估具有以下特点：

（1）在安全性评估过程中，传统机载系统先根据系统功能进行功能危害度评估（FHA），然后开展初步系统安全性评估（PSSA），采用故障树分析（FTA）等方法向各组件分配失效概率，最后在系统验证阶段开展系统安全性评估（SSA）来评估系统安全性需求是否已满足。但IMA平台只有驻留相关功能后，才会实现或参与实现飞机功能，因此IMA平台无法像传统机载系统一样从FHA开始安全性评估工作。同时，由于IMA平台不完全具备IMA系统级功能，因此在IMA平台级不需要进行FHA评估工作，IMA平台的初步安全性需求可直接在IMA系统FHA中提出。

（2）IMA平台失效的影响取决于使用平台的驻留功能的关键程度。若驻留功能为关键功能，例如飞管功能，那么影响该功能失效的平台失效就应被定义为灾难级；若驻留功能为非基本功能，例如客舱信息系统，平台失效的影响等级就会降低。

（3）IMA平台支持众多不同的驻留功能，因此IMA平台的安全性需求应是通用的，与使用IMA平台的驻留功能架构无关。

（4）IMA平台作为IMA系统的基础，为驻留功能系统提供公共资源，IMA平台应根据其架构和研制保证等级，结合历史开发经验数据，向驻留功能和IMA系统提供IMA平台开发事件清单（DEL），用于支持驻留功能和IMA系统的安全性评估。DEL中应包含对驻留功能可用性和完整性指标有影响的全部IMA平台基础数据。在驻留功能和IMA系统进行故障树分析（FTA）时，DEL可提供故障树子节点数据。

（5）PSSA阶段，IMA平台层面只能通过分析通用的驻留功能架构来进行初始DEL的确认，DEL的最终确认应在驻留功能安全性评估和IMA系统安全性评估结束后完成。

2 IMA平台安全性评估过程的目标、活动和符合性证据

IMA平台安全性评估过程的目标源于对DO-297任务1（IMA平台开发）目标的分析，DO-297任务1的10项目标中有3项涉及到IMA平台安全性评估，分别为：

目标1：平台/模块的设计应形成文件并且要达到安全性要求[1]；

目标2：分区要确保任何驻留应用的行为不会受到任何其它应用或功能的不良影响[1]；

目标3：模块需求、资源需求等符合性要得到证实[1]。

由于IMA平台具有高度综合性，IMA平臺制造商（或者任务1的申请人）应该按照ARP4754A和ARP4761中定义的安全性评估过程来开展IMA平台的安全性评估活动，并产生相应符合性证据文件。

本文将IMA平台研制保证等级按A级考虑，结合ARP4754A和ARP4761中的安全性评估要求，给出了DO-297任务1中的3项安全性相关目标在IMA平台安全评估过程中的具体活动和相应的符合性证据[2-3]，具体如下：

目标1活动：（1）IMA平台DEL定义；（2）IMA平台FTA；（3）IMA平台故障模式和影响分析（FMEA）；（4）IMA平台共因分析（CCA）；（5）IMA平台PSSA；6）IMA平台SSA。

目标1符合性证据：（1）IMA平台DEL报告；（2）IMA平台FTA数据；（3）IMA平台FMEA报告；（4）IMA平台故障模式和影响总结（FMES）；（5）IMA平台CCA报告；（6）IMA平台PSSA报告；（7）IMA平台SSA报告。

目标2活动：（1）IMA平臺分区分析；（2）IMA平台CCA。

目标2符合性证据：（1）IMA平台分区分析报告；（2）IMA平台CCA报告；（3）IMA平台SSA报告。

目标3符活动：（1）IMA平台需求开发；（2）IMA平台PSSA；（3）IMA平台SSA。

目标3符合性证据：（1）IMA平台需求规范；（2）IMA平台PSSA报告；（3）IMA平台SSA报告。

3 结论

本文在研究DO-297等相关规范的基础上，详细分析了IMA平台安全性评估的特点，提出了IMA平台安全性评估过程的目标，结合对ARP4754A和ARP4761的研究，给出了平台安全性评估过程目标相应的活动和符合性证据，指导民用飞机IMA平台安全性分析过程的实施。

【参考文献】

[1]RTCA DO-297， Integrated Modular Avionics （IMA） Development Guidance and Certification Considerations[S].RTCA Inc.， 2005.

[2]SAE ARP4754A，Guidelines for Development of Civil Aircraft and Systems[S].SAE International，2010.

[3]SAE ARP4761，Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S].SAE International，1996.