民机机载电子系统共模失效定量分析研究

摘 要：随着民机机载电子系统的综合化发展，多冗余备份设计使得共模失效带来的安全风险愈加显著。当前民机安全性分析技术普遍依赖工程经验，仅对共模失效进行定性分析。本文将α因子与故障树分析方法相结合，对共模失效进行量化。提出共模组划分参考准则，并对机载系统的安全性分析流程进行扩展，将共模失效问题的量化分析方法纳入安全性分析体系，为民机系统安全性分析的深化应用提供支撑。

关键词：共模失效；机载电子系统；α因子模型

中图分类号：V243  文献标识码：A

Abstract：With the comprehensive development of civil aircraft onboard electronic systems，the safety risk of commonmode failure becomes more and more significant due to the multiredundant backup design.The current safety analysis techniques for civil aircraft generally rely on engineering experience and only qualitatively analyze the common mode failure.In this paper，the α parameter model is combined with the fault tree analysis method to quantify the common mode failure.It proposes a reference criterion for the division of common mode group，and expands the safety analysis process of airborne system to incorporate the quantitative analysis method of common mode failure into the safety analysis system，which provides support for the deepening of the application of the safety analysis of the civil aircraft system.

Keywords：common mode failure；airborne electronics；α parameter model

機载电子系统是支持民机安全飞行的关键系统，随着综合化程度的提升，当前民机机载系统普遍采用多冗余备份设计提升系统的可用性。随着微电子技术、信息技术和高性能计算技术的迅猛进步，当前民机机载电子系统和设备呈现出复杂化、高度综合化的整体趋势，综合模块化航空电子（Integrated Modular Avionics，IMA）概念的引入逐渐替代了传统的联合式航电系统［1，2］。IMA平台为各航电功能提供了共享的资源平台，各子系统功能与系统的物理执行部件的界限没有严格限制，不同子系统的功能应用软件有可能会共享同一组数据，并从逻辑上集成在一起，形成一个逻辑上的综合区域，提供了不同航电功能间的非设计性交互与通路，这使得系统中的失效呈现更强的关联性。多设备或模块的相似设计使得飞机功能在可用性提升之余，面临显著的共模失效问题。单一共模事件可能导致飞机多个系统或设备的功能失效存在相关性，降低飞机功能能力和安全裕度。

针对共模失效问题，SAE ARP14761［3］定义了共模失效分析方法。根据机载系统的实际情况，识别可能存在的共模风险项，利用检查单等定性分析手段进行评估。当前民机适航领域的相关组织机构和工业界普遍采用该过程进行评估。

而在定量安全性分析方面，SAE ARP14761推荐的故障树方法的重要基础为独立性假设，即认为故障树中的参与计算的元素的失效事件之间不应有相关关系。而共模失效可能破坏故障树模型的独立性假设，使得机载系统和设备的定量安全性评估结论偏离实际［46］。

本文提出α因子量化模型［7，8］与故障树相结合的分析方法，对多冗余备份的复杂机载电子系统的共模失效进行定量评估。进一步对机载系统的安全性分析流程进行扩展，将共模失效问题的量化分析方法纳入安全性分析体系。

1 共模失效量化算法

1.1 定量共模分析假设

共模失效指在某一共同原因的作用下，系统中2个或2个以上的部件在同一时间或很短的时间间隔中发生失效或异常［4］。

机载电子系统共模失效分析的定量计算模型基于以下假設：

（1）在无共模事件时，机载电子系统中各部件相互独立且寿命服从指数分布；

（2）机载电子系统多个部件同时失效的共模失效事件发生的时间间隔服从指数分布；

（3）导致机载电子系统中多个部件发生共模失效的共模源之间相互独立；

（4）不考虑隐蔽失效，系统中的失效能够被发现。

1.2 共模组失效率分解

对可能受到某一共模事件的系统组件进行划分，称为共模组（Common Mode Group，CMG）。对于某一包含3个冗余模块Y1、Y2、Y3的设备X，其共模组为{Y1，Y2，Y3}，失效率分解如图1所示。对于每一个冗余模块Y1、Y2或Y3而言，其失效事件都被分解为1个单一失效因子、2个二重失效因子和1个全失效因子。此时，设备X失效的故障树如图2所示。

图中Y12、Y13、Y123均为重复事件。每个失效冗余模块Y1、Y2或Y3的失效率都可表示为：

QY=Q（3）1+2Q（3）2+Q（3）3

式中Q（3）k（1k3）表示涉及了k个部件的故障树底事件的失效率。

对于包含n个部件的共模组，部件失效率表示为：

QY=∑nk=1Ck-1n-1Q（n）k（1）

1.3 共模失效量化模型

对于一个包含n个冗余部件的复杂机载电子系统X，k个部件失效的事件失效率Q（n）k（1kn）为：

Q（n）k=1Ck-1n-1λαk（2）

其中，αk=CknQ（n）kQX，表示共模事件导致k个部件失效的事件占总失效事件的比例。

设某系统X中k个部件共模失效次数为ak，其他随机物理失效的次数为bk，αk服从β分布，αn～B（an，bn），则αk的数学期望为：

E（αk）=akak+bk （1kn）（3）

在实际计算中，可以采用类比的方法，先根据相似产品的历史数据确定一组先验的αk0。后期再根据不断丰富的失效数据对αk0～B（a0，b0）进行修正得到αk～B（a0+ak，b0+bk），则αk修正后的数学期望为：

E（αk）=a0+ak（a0+ak）+（b0+bk） （1kn）（4）

其中，ak为积累的失效数据中k个部件发生共模失效的次数，bk为其他类型失效的次数。

2 共模组划分考虑

共模事件源可分为外部共模事件和内部共模事件。外部共模事件指由于安装密集、相似的运行环境，突发外部事件导致多个设备同时失效（如温度变化、强烈振动、雷电风险、冰雪、强风干扰、外来物干扰、撞击物、鸟击等），内部共模事件指多个设备之间由于相同的设计或制造缺陷等原因发生同时失效。可供参考的共模源如下表。

在实际工程中，应根据不同系统的实际情况确定共模源的识别与共模组划分的原则。依据下表中共模源的识别原则，如待分析系统中的某两个或两个以上设备存在任一共模源，则将可能受到共模源影响的设备划分为一个共模组，依据α因子模型对故障树进行扩展，实现共模失效量化分析。

3 考虑定量共模失效评估的民机系统安全性分析流程

当前民机领域系统安全性分析采用SAE APR 4761提出的评估体系。首先依据系统功能清单和飞机级功能危险性评估传递、失效状态描述和安全目标，对系统的功能失效进行分析，分析结果作为系统初步安全性评估的输入。在系统初步安全性评估环节，通过故障树分析、研制保证等级分配、独立性分析、共模分析、内部和环境危险性分析等活动，评估系统架构设计能否满足系统功能危险性评估传递的失效状态安全性目标，向系统设计研发过程反馈评估结果及架构缓解措施，并衍生出各类设备级安全性需求。在系统安全性评估过程中，依据系统和设备的实现情况，进一步验证安全目标的符合性。

在SAE APR 4761提出的安全性分析流程中，共模分析将以共模检查单的形式进行，依据检查单对系统的独立性要求进行分析，反馈检查结果及风险缓解措施。

将共模失效纳入定量分析范畴，作为对故障树分析方法的扩展与初步系统安全性分析过程同步开展，分析过程规避了传统故障树分析方法存在的共模失效破坏独立性假设的问题。

当前复杂机载系统多采用多冗余备份设计以保证飞机功能的可用性，但由于研发周期与成本限制，通常难以保证非相似设计，即内部共模失效难以避免，而考虑定量共模失效的安全性评估能够提供更有力的定量安全性需求的符合性证据支持机载系统适航审定。考虑定量共模失效评估的民机安全性分析体系如图3所示。

图3 考虑定量共模失效评估的民机安全性分析流程

结语

本文针对复杂机载电子系统的共模失效问题，提出基于α因子模型的定量共模失效分析方法，作为对SAE APR 4761安全性分析过程的补充。

（1）提出基于α因子模型的定量故障树分析方法，避免定性分析依赖分析人员工程经验，分析不全面不到位。

（2）提出共模组划分原则与依据，为实际工程研发活动中不同系统的共模分析提供参考。

（3）对民机安全性分析体系进行扩展，将定量共模分析方法纳入初步系统安全性分析范畴，规避故障树分析中独立性假设难以验证的问题。

参考文献：

［１］WANG Tiger，GU QF.Research on distributed integrated modular avionics system architecture design and implementation［C］//2013 IEEE/AIAA 32nd Digital Avionics Systems Conference（DASC）.IEEE，2013：153.

［2］刘嘉琛，董磊，赵长啸，等.基于形式化方法的DIMA动态重构仿真与验证［J］.系统工程与电子技术，2022，44（04）：12821290.

［3］SAE ARP4761.Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment［S］.1996.

［4］王鵬，孙紫荆，张帆，等.考虑概率型共因失效的多阶段任务系统可靠性分析模型［J］.系统工程与电子技术，2022，44（12）：38873898.

［5］YANG HY，SUN YC.A combination method for integrated modular avionics safety analysis［J］.Aircraft engineering and aerospace technology，2023，95（2）：345357.

［6］Nikdel S，Noh S，Shortle J.Common Cause Failure Analysis for Aviation Safety Assessment Models［C］//2021 IEEE/AIAA 40th Digital Avionics Systems Conference（DASC）.IEEE，2021：110.

［7］孔祥芬，王杰，张兆民.基于贝叶斯网络和共因失效的飞机电源系统可靠性分析［J］.航空学报，2020，41（05）：270279.

［8］高莺，王巨汉，张琦，等.基于不同参数模型的安全计算机共因失效分数计算及比较分析［J］.中国铁道科学，2019，40（03）：137143.

作者简介：孙紫荆（1997— ），女，汉族，陕西西安人，硕士，助理工程师，研究方向：民机系统安全性和可靠性。