【摘 要】本文描述了民機(jī)系統(tǒng)研制中開展共模分析的一般方法與步驟，隨后剖析了隨著民機(jī)系統(tǒng)的高度綜合復(fù)雜化，共模分析所遇到的挑戰(zhàn)以及可能需要關(guān)注的發(fā)展方向，同時(shí)闡述了適航審查中的難點(diǎn)問題，在上述基礎(chǔ)上總結(jié)了對于我國民機(jī)系統(tǒng)研制的相關(guān)啟示。

【關(guān)鍵詞】共模分析；安全性評估；功能失效集；公共資源；綜合模塊化航電（IMA）

【Abstract】The current menthod and steps for conducting common mode analysis（CMA） in civil aircraft development is described in this paper firstly， then challenges for CMA due to civil aircraft systems become highly integrated and complex are analyzed， followed by the introduction of future CMA development trends and key issues in airworthiness. The revelation for the domestic civil aircraft development is then summarized.

【Key words】Common Mode Analysis； Safety Assessment； Functional Failure Set； Common Resource； Integrated Modular Avionics（IMA）

0 引言

共因分析（Common Cause Analysis， CCA）是民機(jī)系統(tǒng)安全性評估的一項(xiàng)重要內(nèi)容，貫穿于飛機(jī)設(shè)計(jì)制造的整個(gè)過程。CCA包括特定風(fēng)險(xiǎn)分析（Particular Risks Analysis， PRA）、共模分析（Common Mode Analysis， CMA）和區(qū)域安全分析（Zonal Safety Analysis， ZSA）三部分內(nèi)容。其中，共模分析用于檢驗(yàn)功能、系統(tǒng)或者組件之間的獨(dú)立性以滿足安全性要求，表明對民航規(guī)章CCAR/FAR/CS 25.1309條款以及其它特定要求的符合性。共模分析能提供這樣的證據(jù)：被假設(shè)為獨(dú)立的失效確實(shí)是獨(dú)立的。應(yīng)從組件設(shè)計(jì)到飛機(jī)級設(shè)計(jì)的所有層面上實(shí)施該項(xiàng)分析，從而確認(rèn)導(dǎo)致相關(guān)失效狀態(tài)的失效組合內(nèi)事件之間的獨(dú)立性，識別出可能的共模失效，消除其對于系統(tǒng)架構(gòu)中獨(dú)立性的影響或?qū)⒅档阶畹蚚1]。

1 當(dāng)前民機(jī)共模分析方法

根據(jù)工業(yè)標(biāo)準(zhǔn)與民機(jī)研制項(xiàng)目實(shí)際工程經(jīng)驗(yàn)，共模分析是一項(xiàng)定性分析，其基本概念如圖1所示。具體來講CMA的輸入來自于功能危險(xiǎn)性分析（Functional Hazard Assessment， FHA）和初步系統(tǒng)安全性評估（Preliminary System Safety Assessment， PSSA），它為系統(tǒng)安全性評估（System Safety Assessment， SSA）提供證明，即所有的獨(dú)立性原則在需要時(shí)都都得到了應(yīng)用。應(yīng)對設(shè)計(jì)實(shí)施、制造、維修中的錯(cuò)誤以及損害冗余度設(shè)計(jì)原則的系統(tǒng)部件進(jìn)行分析。一旦要求的冗余或獨(dú)立性受到影響，則需要證明影響的可接受性。PRA和ZSA不屬于CMA的特定部分。但是當(dāng)PRA和ZSA識別出潛在的共模問題時(shí)，CMA應(yīng)當(dāng)考慮這些問題[2]。

通常在民機(jī)研發(fā)工程項(xiàng)目中，共模分析分為建立檢查單、確定獨(dú)立性需求清單、進(jìn)行共模判定三個(gè)步驟實(shí)施，具體描述如下。

1.1 建立檢查單

應(yīng)基于相關(guān)資料示例和以往的經(jīng)驗(yàn)（常識或者相似飛機(jī)上的經(jīng)驗(yàn)）得出具體的共模檢查單。檢查單的詳細(xì)程度取決于所分析技術(shù)和系統(tǒng)的復(fù)雜程度和新穎程度。在具體工程實(shí)施中考慮的共模源通常包括：軟件開發(fā)錯(cuò)誤、硬件研制錯(cuò)誤、硬件失效、安裝錯(cuò)誤、環(huán)境因素、共同的外部源故障等等。

1.2 確定獨(dú)立性要求清單

獨(dú)立性要求主要來自于FHA、PSSA和故障樹（Fault Tree Analysis， FTA）的分析當(dāng)中。對于每一個(gè)災(zāi)難性的（Catastrophic）或危險(xiǎn)的（Hazardous）失效狀態(tài)，識別每一個(gè)“與”門事件（故障樹中的“與”門），并確定相關(guān)的設(shè)計(jì)獨(dú)立性原則（為了識別出FTA中“與”門相關(guān)事件，一個(gè)可接受的方法是檢查包含2個(gè)或者更多失效組合的最小割集）。此外，獨(dú)立性需求也可能來自于設(shè)計(jì)中考慮的、需要驗(yàn)證的獨(dú)立性原則或假設(shè)。

1.3 進(jìn)行共模判定

對于1.2中得到的每一個(gè)共模分析的獨(dú)立性要求，都應(yīng)當(dāng)分析與之相關(guān)的每個(gè)可能的共模失效或錯(cuò)誤，以驗(yàn)證對獨(dú)立性要求的符合性。對于共模分析不可接受的情況，建議可能的解決辦法并開始設(shè)計(jì)糾正，持續(xù)跟蹤糾正措施，最終確定設(shè)計(jì)的可接受性。

根據(jù)大量工程實(shí)施經(jīng)驗(yàn)，在對于“與”門事件進(jìn)行初步判斷時(shí)，可以根據(jù)“與”門輸入的類型確定分析時(shí)需要考慮分析的因素，表1提供了該方面的參考。

共模分析的輸出是CMA報(bào)告，對于共模的不可接受情況，需要發(fā)布不符合檢查單，共模分析之外開展可接受性程序。共模分析的結(jié)果經(jīng)摘要后將作為SSA報(bào)告的一部分，提交適航審查。

2 共模分析的發(fā)展趨勢

伴隨技術(shù)的發(fā)展，民用飛機(jī)系統(tǒng)復(fù)雜程度愈發(fā)提高。譬如，綜合模塊化航電（Integrated Modular Avionics， IMA）系統(tǒng)的應(yīng)用大幅增加了飛機(jī)功能的綜合性和復(fù)雜性，大量相同模塊的采用會導(dǎo)致故障傳播可能性提高。目前航空業(yè)界愈加強(qiáng)調(diào)要降低發(fā)生系統(tǒng)性失效和共因失效的風(fēng)險(xiǎn)，其本質(zhì)在于復(fù)雜系統(tǒng)和綜合性的飛機(jī)級功能出現(xiàn)研制錯(cuò)誤和不良或非預(yù)期影響的風(fēng)險(xiǎn)會更大[3]。

IMA系統(tǒng)架構(gòu)與之前的聯(lián)邦式系統(tǒng)的一個(gè)顯著區(qū)別在于，IMA的基礎(chǔ)架構(gòu)的失效可以影響到共同使用到相關(guān)資源的所有系統(tǒng)。這種共享資源的失效可以引起直接使用這些資源的功能的失效、部分失效或者冗余的喪失，這種直接引起的故障稱為“主要影響”，它們往往是可以直接通過分析或試驗(yàn)確定的。失效的共享資源產(chǎn)生的次要影響（也通常稱作“級聯(lián)故障”）通常由直接使用該共享資源的功能與未直接使用該共享資源的功能之間數(shù)據(jù)彼此相關(guān)而導(dǎo)致。更復(fù)雜的是，這種數(shù)據(jù)間的相關(guān)性可能在整個(gè)鏈路中存在更多的鏈接，因此影響到了多項(xiàng)功能。圖2以IMA系統(tǒng)的設(shè)計(jì)為例給出了一個(gè)案例[4]。

功能A在左右兩個(gè)獨(dú)立的IMA機(jī)柜中駐留，當(dāng)左側(cè)機(jī)柜的計(jì)算模塊失效時(shí)，造成了A功能的冗余度喪失（輸出的左側(cè)xyz-L數(shù)據(jù)喪失）。而功能B正常會使用到功能A駐留在不同的計(jì)算模塊中的兩個(gè)輸出參數(shù)xyz-L和xyz-R，并且為了保證完整性指標(biāo)，功能B必須要比較這兩個(gè)獨(dú)立的輸出參數(shù)xyz-L和xyz-R。這種情況下，由于xyz-L已經(jīng)無效，因此功能B的輸出參數(shù)abc無效。功能C由于要采用abc進(jìn)行某些計(jì)算，因此也無法正常實(shí)現(xiàn)其預(yù)期功能。最終，按照設(shè)計(jì)架構(gòu)，功能C的失效信息通過機(jī)組告警系統(tǒng)送達(dá)駕駛艙。

如圖2所示這種級聯(lián)失效案例對于之前聯(lián)邦式架構(gòu)同樣存在，但是由于當(dāng)今民機(jī)系統(tǒng)的高度綜合復(fù)雜，許多級聯(lián)失效效應(yīng)無法被明顯識別出來，系統(tǒng)間與功能間的潛在交互比之前高出數(shù)倍。因此，共模分析除了需要關(guān)注之前飛機(jī)失效狀態(tài)所提出的獨(dú)立性要求，還需關(guān)注由于系統(tǒng)架構(gòu)關(guān)聯(lián)性導(dǎo)致出現(xiàn)的新的失效狀態(tài)。不同失效狀態(tài)所相關(guān)的系統(tǒng)可能共用了組件、架構(gòu)或者資源，這些共同元素可能會導(dǎo)致產(chǎn)生新的項(xiàng)目前期未定義出的飛機(jī)失效狀態(tài)。比如，一個(gè)單點(diǎn)失效可能對于某幾個(gè)系統(tǒng)單獨(dú)造成的影響都是較小的（Minor），但當(dāng)這些較小的失效狀態(tài)同時(shí)發(fā)生時(shí)，有可能造成危險(xiǎn)的或者災(zāi)難性的失效狀態(tài)?；谏鲜霰尘?，本文提出今后民機(jī)系統(tǒng)共模分析的發(fā)展趨勢主要包括2.1-2.3這三個(gè)方面。

2.1 對功能失效集的研究

隨著新的工業(yè)標(biāo)準(zhǔn)SAE ARP 4754A的發(fā)布，共模分析的范疇可能從主要面向軟硬件失效的故障樹上有所拓展，還需要研究在研發(fā)過程中利用故障樹進(jìn)行研制保證等級分配時(shí)得出的功能失效集（Functional Failure Sets， FFS）是否恰當(dāng)。如果有失效狀態(tài)可能由于單獨(dú)的A級成員導(dǎo)致（無論是功能研制保證等級FDAL A還是軟硬件研制保證等級IDAL A），那么必須對該成員詳細(xì)描述并重點(diǎn)研究，對出現(xiàn)以上情況的FFS可能需要分析人員與局方審查人員持續(xù)關(guān)注與反復(fù)審查。由于FDAL和IDAL是早期就在初步飛機(jī)安全性評估（PASA）和初步系統(tǒng)安全性評估（PSSA）中分配的，這些情況可能分析人員已經(jīng)知曉并且進(jìn)行了分析，也有一些情況可能后續(xù)在CMA過程中才會繼續(xù)加以識別。如圖3所示的研制保證等級分配案例，可以明顯得知該災(zāi)難性的飛機(jī)失效狀態(tài)有如下5種最小FFS：{F1錯(cuò)誤，F(xiàn)2錯(cuò)誤}、{F1錯(cuò)誤，I3錯(cuò)誤}、{I1錯(cuò)誤，F(xiàn)2錯(cuò)誤}、{I1錯(cuò)誤，I3錯(cuò)誤}、{I2錯(cuò)誤}，“I2錯(cuò)誤”構(gòu)成了單一成員的FFS，其IDAL被分配為A級，必須對其進(jìn)行詳細(xì)的分析與審查工作。

2.2 對公共資源系統(tǒng)的研究

需要確保資源類系統(tǒng)不能破壞任何架構(gòu)的獨(dú)立性要求，并且不產(chǎn)生任何新的飛機(jī)級失效狀態(tài)。飛機(jī)公共資源類系統(tǒng)（電源、液壓源、航電網(wǎng)絡(luò)等）的失效對于某一個(gè)其它飛機(jī)系統(tǒng)的影響應(yīng)當(dāng)是清晰的并且在相關(guān)SSA中進(jìn)行闡述，然而可能有多個(gè)飛機(jī)系統(tǒng)在使用該資源系統(tǒng)，資源系統(tǒng)的失效可能造成多系統(tǒng)產(chǎn)生失效的效應(yīng)，這樣就可能產(chǎn)生新的飛機(jī)失效狀態(tài)。正如前文所述，一個(gè)資源系統(tǒng)的失效可能對于某幾個(gè)系統(tǒng)單獨(dú)造成的影響都是較小的，但當(dāng)這些較小的失效狀態(tài)同時(shí)發(fā)生時(shí)，有可能造成危險(xiǎn)的或者災(zāi)難性的失效狀態(tài)。

2.3 對分析工具的研究

通過故障樹驗(yàn)證“與”門獨(dú)立性的做法可能在今后應(yīng)對綜合復(fù)雜民機(jī)系統(tǒng)設(shè)計(jì)，尤其是存在多種級聯(lián)效應(yīng)的情況存在一定漏洞，正如前文所述，因?yàn)槟承┩ㄓ迷O(shè)計(jì)架構(gòu)的采用可能會導(dǎo)致新的失效狀態(tài)。目前業(yè)界正在研究的基于模型的安全性分析方法今后可能對傳統(tǒng)的共模分析方面提供一定幫助，除了因其本身具有的使系統(tǒng)設(shè)計(jì)與安全性分析更加緊密結(jié)合，迭代分析更加易于操作等特點(diǎn)之外，主要還因?yàn)橥ㄟ^模型的仿真，安全性工程師通過實(shí)施相關(guān)故障注入可以得到共模失效事件發(fā)生時(shí)對整個(gè)系統(tǒng)造成的影響，并且還可以借助計(jì)算機(jī)窮舉出各種失效組合與某個(gè)失效狀態(tài)之間的關(guān)聯(lián)性。麻省理工學(xué)院等研究機(jī)構(gòu)利用STAMP/STPA方法模型對IMA系統(tǒng)的安全性分析已經(jīng)發(fā)表了相關(guān)研究成果[5]。

3 適航審查的關(guān)注點(diǎn)

共模分析也成為民用飛機(jī)適航審查中的關(guān)注重點(diǎn)，對于潛在共模失效的設(shè)計(jì)特征的可接受性往往又是其中的一個(gè)難點(diǎn)，歐洲航空安全局EASA和美國聯(lián)邦航空局FAA往往對某些技術(shù)的采用上也可能存在不同的觀點(diǎn)。

比如，對于共模失效的一項(xiàng)設(shè)計(jì)防范措施差異性（Diversity）或者叫非相似性（Dissimilarity），歐美工業(yè)界的觀點(diǎn)就存在差異。具體舉例而言，歐洲的空中客車公司對于A320、A330和A340的電傳飛控系統(tǒng)設(shè)計(jì)中就采取了非相似設(shè)計(jì)的策略。具體舉例來說，空客公司在A320的飛控計(jì)算機(jī)設(shè)計(jì)時(shí)采用了2種不同類型的計(jì)算機(jī)（兩種計(jì)算機(jī)名分別為SEC和ELAC），這兩種計(jì)算機(jī)由不同的制造商提供，它們的處理器、計(jì)算機(jī)架構(gòu)、功能規(guī)范都不相同。每一個(gè)計(jì)算機(jī)當(dāng)中都有一個(gè)計(jì)算通道和一個(gè)監(jiān)控通道，而每一個(gè)通道的軟件程序也不相同。因此，在A320的飛控系統(tǒng)的控制與監(jiān)控中，總共有4個(gè)不同的軟件包在起作用?？湛凸鞠Ｍㄟ^軟硬件的非相似設(shè)計(jì)來緩解冗余系統(tǒng)中共模失效問題。

然而，F(xiàn)AA對于這種非相似的設(shè)計(jì)卻有不同的觀點(diǎn)，他們認(rèn)為由于非相似設(shè)計(jì)對于系統(tǒng)設(shè)計(jì)帶來的保護(hù)程度是無法量化的，因此采取多樣性或者非相似的設(shè)計(jì)，僅僅能夠作為一種額外的保護(hù)措施，最重要的仍然是對于飛機(jī)研發(fā)執(zhí)行足夠嚴(yán)酷的研制保證過程。FAA還認(rèn)為非相似設(shè)計(jì)某種程度上還會造成系統(tǒng)功能喪失的可能性提高，這是由于非相似的部分之間會比較出某些瞬時(shí)的超過相關(guān)閾值的差異等等[6]。對于高度綜合復(fù)雜系統(tǒng)的相似性設(shè)計(jì)，F(xiàn)AA會提出很高的適航要求，通?？赡苄枰裼蔑w機(jī)制造商使用評審、分析、仿真、試驗(yàn)等手段，開展各個(gè)層級嚴(yán)格的確認(rèn)與驗(yàn)證活動(dòng)。

4 小結(jié)

綜上，由于目前民機(jī)系統(tǒng)日趨高度綜合復(fù)雜，共模分析對于飛機(jī)安全性評估也顯得格外關(guān)鍵。在我國民機(jī)研制項(xiàng)目中，需要嚴(yán)格對災(zāi)難性的和危險(xiǎn)的飛機(jī)失效狀態(tài)開展共模分析，尤其針對那些高度綜合復(fù)雜系統(tǒng)。在共模分析開展過程中，需要關(guān)注軟硬件的設(shè)計(jì)錯(cuò)誤對關(guān)鍵功能的影響，同時(shí)關(guān)注飛機(jī)公共資源失效造成的全局影響。相應(yīng)地在設(shè)計(jì)研發(fā)活動(dòng)當(dāng)中，可以適當(dāng)應(yīng)用SAE ARP 4754A中的流程，將可能的共模錯(cuò)誤降到可接受的水平。

【參考文獻(xiàn)】

[1]Society of Automotive Engineer（SAE） International. Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S]. 1996.

[2]Zdzislaw H. Klim Marek Balazinski. Methodology for the Common Mode Analysis[C]. AeroTech Congress & Exhibition Los Angeles， California September 17-20， 2007： 1-6.

[3]馮臻，王京婭.民機(jī)系統(tǒng)研制中關(guān)于限制研制錯(cuò)誤的考慮[J].科技視界，2015：67，150.

[4]Gregg Bartley， Barbara Lingberg. Certification Concerns of Integrated Modular Avionics（IMA） Systems[C]. 27th Digital Avionics Systems Conference， IEEE， Piscataway， NJ， 2008， pp. 1.E.1-1–1.E.1-12.

[5]Cody Harrison Fleming， Nancy G. Leveson. Improving Hazard Analysis and Certification of Integrated Modular Avionics[J]. Journal of Aerospace Information System， Vol. 11， No. 6， June 2014：397-410.

[6]Jeffrey Voas， Anup Ghosh， Frank Charron， Lora Kassab. Reducing Uncertainty About Common-Mode Failures[R]. 1997： 1-12.

[責(zé)任編輯：楊玉潔]