通用飛機(jī)綜合電子系統(tǒng)安全性設(shè)計(jì)研究

劉碩

摘要：通過分析通用飛機(jī)綜合電子系統(tǒng)的設(shè)計(jì)需求，定義了通用飛機(jī)綜合電子系統(tǒng)的系統(tǒng)功能，通過開展綜合電子系統(tǒng)的系統(tǒng)設(shè)計(jì)、安全性分析與評(píng)估，研究出一套適用于通用飛機(jī)綜合電子系統(tǒng)的總體設(shè)計(jì)、安全性評(píng)估的流程和方法。通過FHA確定了設(shè)備級(jí)DAL，并提出系統(tǒng)架構(gòu)設(shè)計(jì)建議；PSSA通過FTA分析系統(tǒng)架構(gòu)，找出薄弱環(huán)節(jié)，進(jìn)而改進(jìn)系統(tǒng)設(shè)計(jì)；最后在SSA階段中通過FMEA和定量FTA方法驗(yàn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)的正確性。

關(guān)鍵詞：FHA；PSSA；SSA；通用飛機(jī)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）10-0215-04

1 引言

通用航空是民用航空的重要組成部分，是指從事除安全、軍事和公共航空運(yùn)輸飛行以外航空活動(dòng)的飛機(jī)，涉及國民經(jīng)濟(jì)的眾多領(lǐng)域。通用飛機(jī)綜合電子系統(tǒng)必須具有低成本、通用性的特點(diǎn)，系統(tǒng)沒有采用過多的冗余備份，其安全性設(shè)計(jì)方法值得進(jìn)行深入研究。

安全性是民用飛機(jī)設(shè)計(jì)時(shí)考慮的首要因素，為保證飛機(jī)的安全性，民航當(dāng)局制定了適航規(guī)章對(duì)民用航空產(chǎn)品的功能、性能提出了基本要求，適航標(biāo)準(zhǔn)是民用航空產(chǎn)品的最低安全標(biāo)準(zhǔn)。關(guān)于通用飛機(jī)在設(shè)計(jì)過程中如何滿足適航標(biāo)準(zhǔn)的要求，國外已經(jīng)形成了較為完善的驗(yàn)證民機(jī)設(shè)計(jì)、制造符合要求的理論體系。由于我國通用飛機(jī)研制起步較晚，民機(jī)安全性設(shè)計(jì)理念落后，按照適航標(biāo)準(zhǔn)開展通用飛機(jī)電子系統(tǒng)設(shè)計(jì)和安全性方面的研究才剛剛起步，目前需要借鑒國外的民機(jī)電子系統(tǒng)設(shè)計(jì)和安全性設(shè)計(jì)分析與評(píng)估方法，結(jié)合國內(nèi)通用飛機(jī)綜合電子系統(tǒng)的研制項(xiàng)目開展系統(tǒng)設(shè)計(jì)和安全性研究。

本文通過開展通用飛機(jī)綜合電子系統(tǒng)設(shè)計(jì)及安全性技術(shù)研究，提出了一套面向CCAR 23部通用飛機(jī)的綜合電子系統(tǒng)安全性設(shè)計(jì)、分析與評(píng)估的流程和方法。

2 安全性分析與評(píng)估流程

ARP4754規(guī)定了復(fù)雜機(jī)載系統(tǒng)的研制過程、各階段功能、各階段直接的關(guān)系以及適航考慮；而ARP4761規(guī)定了民用航空機(jī)載系統(tǒng)安全性評(píng)估過程的指南和方法。圖1為航空電子系統(tǒng)開發(fā)過程，將系統(tǒng)開發(fā)過程分為系統(tǒng)設(shè)計(jì)和安全性分析兩條并行主線，系統(tǒng)設(shè)計(jì)起始于飛機(jī)級(jí)（系統(tǒng)）需求，經(jīng)需求分析、功能定義、初步設(shè)計(jì)、詳細(xì)設(shè)計(jì)、系統(tǒng)實(shí)現(xiàn)、系統(tǒng)綜合、系統(tǒng)驗(yàn)證，止于系統(tǒng)確認(rèn)；安全性分析始于飛機(jī)級(jí)功能危害性分析（FHA），然后再對(duì)綜合電子系統(tǒng)進(jìn)行系統(tǒng)級(jí)FHA。接著進(jìn)行初步系統(tǒng)安全性評(píng)估（PSSA），主要是采用故障樹分析法（FTA）將安全要求分配給各分系統(tǒng)，經(jīng)過反復(fù)迭代確定設(shè)計(jì)方案。最后開展系統(tǒng)安全性評(píng)估（SSA）工作，通過對(duì)部件、設(shè)備和系統(tǒng)的失效模式及其影響分析（FMEA）來計(jì)算硬件的理論失效率。并通過故障樹進(jìn)行定量和定性分析，驗(yàn)證在系統(tǒng)設(shè)計(jì)是否滿足安全性所有要求。

3 系統(tǒng)安全性設(shè)計(jì)

在通用飛機(jī)綜合電子系統(tǒng)需求分析的基礎(chǔ)上，通過FHA分析發(fā)現(xiàn)系統(tǒng)中的關(guān)鍵環(huán)節(jié)，并經(jīng)過PSSA分析對(duì)系統(tǒng)架構(gòu)進(jìn)行改進(jìn)設(shè)計(jì)及確認(rèn)，經(jīng)過多次迭代系統(tǒng)設(shè)計(jì)滿足所有安全性要求。最后利用SSA分析再次驗(yàn)證系統(tǒng)安全性。

3.1 系統(tǒng)初步設(shè)計(jì)

通用飛機(jī)的綜合電子系統(tǒng)分為三個(gè)層次：人機(jī)接口層、任務(wù)處理層、傳感器/作動(dòng)器層，其中人機(jī)接口層包括了飛行顯示器（DU）、多功能顯示器（MFD）、顯示控制板（DCP）、多功能鍵盤（MFC）；任務(wù)處理層包括了綜合顯示控制單元（DCU）；傳感器/作動(dòng)器層由通信設(shè)備、遠(yuǎn)程數(shù)據(jù)采集單元（RIU）組成，通用飛機(jī)綜合電子系統(tǒng)層次結(jié)構(gòu)見圖2所示，在初步系統(tǒng)結(jié)構(gòu)設(shè)計(jì)中采用了成熟技術(shù)和備份冗余，可以提高系統(tǒng)可靠性。

3.4 系統(tǒng)FHA

通用飛機(jī)綜合電子系統(tǒng)的FHA工作具體包括定義場(chǎng)景、描述失效影響、提出減緩措施、確定危險(xiǎn)等級(jí)、輸出失效狀態(tài)、提出設(shè)計(jì)建議。下面以高度指示功能為例，論述這部分工作。

3.2.1 定義場(chǎng)景

考慮到通用飛機(jī)通常為輕型飛機(jī)，其起飛速度、巡航速度、飛行高度都比較低，合并相應(yīng)的飛行子階段，把分析的重點(diǎn)放在起飛、飛行中和降落三個(gè)大的階段，結(jié)合高度指示功能的失效模式和飛行階段組合出7個(gè)場(chǎng)景，即：飛行中高度指示功能完全喪失、飛行中高度指示功能部分喪失、起飛時(shí)高度指示功能完全喪失、起飛時(shí)高度指示功能部分喪失、降落時(shí)高度指示功能完全喪失、降落時(shí)高度指示功能部分喪失、全階段高度指示錯(cuò)誤。

3.2.2 失效影響與減緩措施

失效影響考慮功能失效后可能對(duì)飛機(jī)、乘客和機(jī)組造成的最大影響。以“飛行中高度指示功能完全喪失”場(chǎng)景為例，該故障不會(huì)對(duì)飛機(jī)與乘客產(chǎn)生直接的安全影響，而飛行員發(fā)現(xiàn)電子飛行顯示器上無高度信息顯示時(shí)，會(huì)立刻讀取機(jī)械式高度表上的氣壓高度指示。因此該功能失效后最大的可能是導(dǎo)致機(jī)組無法從顯示系統(tǒng)獲得高度指示信息，系統(tǒng)功能明顯降低。

3.2.3 確定危險(xiǎn)等級(jí)及發(fā)生概率

根據(jù)“飛行中高度指示功能完全喪失”造成的失效影響，并參考AC23.1309-1D中的相關(guān)建議，將該場(chǎng)景的危險(xiǎn)等級(jí)確定為“重大的MAJ”，其發(fā)生概率要求為<10-5。同理，“飛行中空速指示功能完全喪失”和“飛行中姿態(tài)指示功能完全喪失”場(chǎng)景的危險(xiǎn)等級(jí)為MAJ，其故障發(fā)生概率應(yīng)<10-5。

3.2.4 輸出失效狀態(tài)

在經(jīng)過FHA后，需要分析其評(píng)估的結(jié)果，并總結(jié)出系統(tǒng)有多少失效狀態(tài)。在這個(gè)分析與歸納的過程中，需要遵循以下原則：

1）安全影響在MIN以下的場(chǎng)景不再作為失效狀態(tài)，如“飛行中高度指示功能部分喪失”場(chǎng)景；

2）失效模式相同但飛行階段和安全影響等級(jí)不同的場(chǎng)景屬于一個(gè)失效狀態(tài)，以最嚴(yán)重的影響來確定其安全等級(jí)，如起飛、飛行中和降落三個(gè)階段高度指示功能完全喪失。

按照上述方法依次對(duì)各個(gè)系統(tǒng)功能進(jìn)行FHA，可以得到通用飛機(jī)綜合電子系統(tǒng)的失效狀態(tài)，如表1所示。

從上表中可以總結(jié)出：CAT級(jí)失效狀態(tài)：1個(gè)組合功能失效，單一綜合電子系統(tǒng)功能失效不會(huì)產(chǎn)生CAT影響，但與其他系統(tǒng)功能同時(shí)失效會(huì)導(dǎo)致該后果；由于失速告警器不屬于綜合電子系統(tǒng)，因此僅綜合電子系統(tǒng)不存在CAT級(jí)失效狀態(tài)。HAZ級(jí)失效狀態(tài)：4個(gè)；MAJ級(jí)失效狀態(tài)：10個(gè)。

3.3 提出設(shè)計(jì)建議

根據(jù)CS23.1309條款要求和AC23-1309-1D對(duì)該條款的解釋，對(duì)于可能造成CAT或HAZ級(jí)別安全影響的功能，其設(shè)計(jì)應(yīng)至少滿足以下要求：

1）安全等級(jí)為CAT的功能，通常采用非相似余度設(shè)計(jì)避免單點(diǎn)故障，該功能故障發(fā)生概率必須<10-9；

2）安全等級(jí)為HAZ的功能，其故障發(fā)生概率必須<10-7。

從FHA分析中清楚地看到，通用飛機(jī)綜合電子系統(tǒng)中沒有安全等級(jí)為CAT的功能，卻有一些安全等級(jí)為HAZ的功能，它們是空速指示、高度指示、姿態(tài)指示、磁航向指示和失速告警。于是在系統(tǒng)設(shè)計(jì)時(shí)需要考慮：

1）安裝備份儀表用于空速、高度、姿態(tài)、磁航向和失速告警指示功能的冗余，這樣可以有效避免單點(diǎn)故障并降低系統(tǒng)級(jí)故障發(fā)生概率的要求；

2）對(duì)于其他功能，如果單項(xiàng)設(shè)備的實(shí)際故障發(fā)生概率大于所要求的概率，可以考慮設(shè)計(jì)備份冗余；

3）通過增加數(shù)據(jù)路徑，并設(shè)計(jì)系統(tǒng)重構(gòu)算法，提高系統(tǒng)的容錯(cuò)重構(gòu)能力；

4）在ADC、AHRS和失速告警器等設(shè)備的設(shè)計(jì)實(shí)現(xiàn)中應(yīng)考慮其容錯(cuò)能力，包括自檢測(cè)、余度設(shè)計(jì)等。

此外FHA證明了綜合電子系統(tǒng)初步系統(tǒng)結(jié)構(gòu)中配置兩部綜合處理機(jī)是正確的。如果僅配置一部綜合處理機(jī)的話，就有可能出現(xiàn)單點(diǎn)故障。

3.3 系統(tǒng)PSSA

在PSSA階段需要對(duì)目前的系統(tǒng)架構(gòu)進(jìn)行初步評(píng)估，并且分配設(shè)備級(jí)安全性需求，具體如下：

1）對(duì)HAZ級(jí)以上的系統(tǒng)失效狀態(tài)，采用FTA方法，分配設(shè)備級(jí)安全性需求，表2所示為通用飛機(jī)綜合電子系統(tǒng)HAZ級(jí)以上失效狀態(tài)的匯總表；

2）評(píng)估向下分配的安全性需求是否可行，決定是否將改進(jìn)系統(tǒng)架構(gòu)；

3）通過多次迭代調(diào)整，最終確定系統(tǒng)架構(gòu)。

3.4.1 故障樹建立

以高度指示錯(cuò)誤為例構(gòu)建故障樹，通過定性和定量分析來評(píng)估當(dāng)前的系統(tǒng)結(jié)構(gòu)能否滿足系統(tǒng)安全性設(shè)計(jì)指標(biāo)，圖3至圖5為綜合電子系統(tǒng)高度指示錯(cuò)誤的FTA的各部分，圖中可以看到逐級(jí)向下分配的安全性指標(biāo)。電子飛行儀表和機(jī)械式高度表均指示高度錯(cuò)誤時(shí)，將導(dǎo)致綜合電子系統(tǒng)高度指示錯(cuò)誤，兩者屬于“與”的關(guān)系；FTA的重點(diǎn)集中在電子飛行顯示器高度指示錯(cuò)誤，可以進(jìn)一步分解為高度計(jì)算錯(cuò)誤和高度顯示錯(cuò)誤，如圖3所示。

高度計(jì)算錯(cuò)誤又分解為GPS高度錯(cuò)誤和大氣高度錯(cuò)誤兩種情況，GPS天線失效或GPS衛(wèi)星網(wǎng)絡(luò)失效均可導(dǎo)致GPS高度失效，而皮托管失效或ADC失效將導(dǎo)致大氣高度錯(cuò)誤。由于GPS1和GPS2互為備份，因此GPS1高度和GPS2高度均計(jì)算錯(cuò)誤顯示錯(cuò)誤時(shí)將導(dǎo)致GPS高度計(jì)算錯(cuò)誤。而任一部DCU失效均將導(dǎo)致高度顯示錯(cuò)誤，即GPS高度顯示錯(cuò)誤和大氣高度顯示錯(cuò)誤。

3.4.2 分配安全性設(shè)計(jì)指標(biāo)

根據(jù)以往的工程經(jīng)驗(yàn)為各級(jí)失效狀態(tài)分配所允許的故障發(fā)生概率，其中如表3所示，故障樹的葉子節(jié)點(diǎn)均對(duì)應(yīng)著某個(gè)航電設(shè)備的功能失效的情況。

為這些葉子節(jié)點(diǎn)分配的故障發(fā)生概率目標(biāo)將會(huì)轉(zhuǎn)化為具體的軟硬件設(shè)計(jì)需求，用來指導(dǎo)詳細(xì)設(shè)計(jì)與產(chǎn)品選型。

3.4.3 故障樹定性分析

定性分析的目的是為了找出系統(tǒng)設(shè)計(jì)中的薄弱環(huán)節(jié)，檢查系統(tǒng)中是否存在單點(diǎn)故障，以及列舉出全部最小割集。P（t）表示頂事件的故障率，A表示底事件A的故障率，B表示底事件B的失效率，其他底事件依此類推，應(yīng)用上行法得到如下的故障樹結(jié)構(gòu)函數(shù)：

[Pt=A+BA+BC+DC+D+EEEE+F=A+BC+D+E+F（1）=AC+AD+BC+BD+E+F ]

由上述化簡(jiǎn)結(jié)果來看出，在高度指示單元中沒有單點(diǎn)故障，其最小割集為：AC、AD、BC、BD、E、F。通過這些割集中每個(gè)與門事件分析可以看出，它們之間并不存在共模因素。以AD為例，GPS天線和ADC分別安裝在飛機(jī)的不同位置，分別由兩個(gè)獨(dú)立電源端供電，主電源掉電后系統(tǒng)會(huì)自動(dòng)切換至備用電源，它們之間不存在共模因素。

3.4.4 確定系統(tǒng)DAL

由于高度指示功能的失效狀態(tài)FC-06和FC-07的安全等級(jí)分別為MAJ和HAZ，按照表1中的定義該功能的研制保證等級(jí)DAL為B級(jí)。同理依據(jù)系統(tǒng)失效狀態(tài)和AC23-1309-1D中安全等級(jí)、故障發(fā)生概率及DAL關(guān)系，為系統(tǒng)功能分配DAL，如下表4所示。

每一個(gè)系統(tǒng)功能的DAL最終都是要落實(shí)到具體設(shè)備上的，在給設(shè)備分配DAL時(shí)需要注意兩點(diǎn)：

1）每個(gè)系統(tǒng)功能的DAL決定了實(shí)現(xiàn)該功能所需航電設(shè)備的DAL；

2）按照“就高不就低”的原則重新核對(duì)各個(gè)設(shè)備的DAL，即不同系統(tǒng)功能對(duì)應(yīng)同一航電設(shè)備的DAL可能不同，將選擇較高的DAL等級(jí)。

以高度指示功能為例，與實(shí)現(xiàn)該功能有關(guān)的設(shè)備有PFD1、PFD2、MFD1、MFD2、DCU1、DCU2、ADC1、ADC2，所以它們的DAL為B級(jí)。

3.4.5 FTA結(jié)論

應(yīng)用上述方法將其他幾個(gè)失效狀態(tài)進(jìn)行故障樹分析，從分析結(jié)果可以發(fā)現(xiàn)目前的系統(tǒng)架構(gòu)設(shè)計(jì)中不存在單點(diǎn)故障，系統(tǒng)的安全性指標(biāo)都得到了合理的分配，等待SSA進(jìn)一步驗(yàn)證系統(tǒng)設(shè)計(jì)的正確性。

3.5 系統(tǒng)SSA

進(jìn)入SSA階段，需要根據(jù)零部件廠家由FMEA及FMES分析得出的各零部件的實(shí)際故障率（即故障樹中底事件的故障率）自下而上地計(jì)算故障樹中每一層失效狀態(tài)的發(fā)生概率，直至計(jì)算出故障樹的頂層失效狀態(tài)的發(fā)生概率并確保其滿足適航當(dāng)局的安全性要求。表5列出了高度指示錯(cuò)誤故障樹中所有底事件的實(shí)際故障發(fā)生概率λ1及預(yù)先分配的故障發(fā)生概率λ0。

由于在該故障樹中，所有底事件均只出現(xiàn)了一次，因此可以使用“直接分析”法依照故障樹中各邏輯門的邏輯關(guān)系直接計(jì)算頂事件的發(fā)生概率。根據(jù)以上底事件的失效率和各自的暴露時(shí)間，將數(shù)值代入1式，計(jì)算出頂事件的故障發(fā)生概率為4.20E-07，遠(yuǎn)小于設(shè)計(jì)之初分配的安全性指標(biāo)，驗(yàn)證了設(shè)計(jì)的正確性。

同樣應(yīng)用FMEA和定量FTA方法將其他幾個(gè)失效狀態(tài)進(jìn)行安全性分析，從分析結(jié)果可以發(fā)現(xiàn)目前的系統(tǒng)架構(gòu)設(shè)計(jì)中各個(gè)功能單元的故障發(fā)生率均低于預(yù)先分配的安全性指標(biāo)，滿足安全性要求，進(jìn)一步驗(yàn)證了系統(tǒng)設(shè)計(jì)的正確性。表6為綜合電子系統(tǒng)各設(shè)備的可靠性數(shù)據(jù)，也可以作為指導(dǎo)其它通用飛機(jī)綜合電子系統(tǒng)設(shè)計(jì)的依據(jù)。

4 結(jié)論

本文應(yīng)用了民機(jī)系統(tǒng)安全性分析與評(píng)估的理論，對(duì)通用飛機(jī)綜合電子系統(tǒng)進(jìn)行安全性設(shè)計(jì)，通過FHA、PSSA和SSA三個(gè)階段，運(yùn)行定量與定性FTA、FMEA等方法最終驗(yàn)證系統(tǒng)設(shè)計(jì)的正確性，探索出來了一條通用飛機(jī)綜合電子系統(tǒng)架構(gòu)設(shè)計(jì)和安全性設(shè)計(jì)與分析的流程和方法。

參考文獻(xiàn)：

[1] A View of Trends in Greneral Aviation Avionics， 2003 AIAA/ICAS International Air and Space Symposium and Exposition： The Next 100 Years， Dayton， OH， July 14-17， 2003.

[2] FAA， AC23.1309-1D System Safety Analysis and Assessment for Part 23 Airplanes， Federal Aviation Administration， 2007.

[3] FAA， AC25.1309-1A System Design and Analysis， Federal Aviation Administration， 2009.

[4] 中國民用航空總局，CCAR-23-R3 正常類、實(shí)用類、特技類和通勤類飛機(jī)適航規(guī)定，2004.

[5] FAA， AC23.1311-1A Installation of Electronic Displays in Part 23 Airplanes， Federal Aviation Administration， 1999.

[6] SAE International. ARP4754 Certification Consideration for Highly Intergated or Complex Aircraft System， The Engineering Society For Advancing Mobility Land Sea Air and Space， 1996.

[7] SAE International. ARP4761 Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment， The Engineering Society For Advancing Mobility Land Sea Air and Space， 1996.

[8] 程明華，姚一平.動(dòng)態(tài)故障樹分析方法在軟、硬件容錯(cuò)計(jì)算機(jī)系統(tǒng)中的應(yīng)用[J].航空學(xué)報(bào)，2000，21（1）：34-37.

[9] FAA， AC25-11A Electronic Flight Deck Display， Federal Aviation Administration， 2007.

[10] 張磊，林榮超，王國東，等.小型飛機(jī)先進(jìn)綜合座艙電子系統(tǒng)架構(gòu)研究[J].航空計(jì)算技術(shù)，2010（5）.

[11] 張磊，林榮超，牛文生.小型飛機(jī)航空電子系統(tǒng)容錯(cuò)技術(shù)研究[J].航空計(jì)算技術(shù)，2011（1）.