民用飞机产品研制保证等级分配原则研究

三线航空人 2017-05-01

展开全文

航空科学技术航空科学技术 Jul. 15 2015 Vol. 26 No.076 Jul. 15 2015 Vol. 26 No.07 06-10 Aeronautical Science Technology&

民用飞机产品研制保证等级分配原则研究

*黄铭媛，欧旭坡，宋智桃

中国民航上海航空器适航审定中心，上海 200335

摘要:研制保证等级是民用飞机研制过程的关键技术。研究了民用飞机产品项目研制保证等级定义,解读并分析了SAE ARP 4754A、RTCA DO-178B以及DO-254各标准有关项目研制保证等级的分配要求差异及产生差异的原因。为解决各标准要求差异导致分配结果不一致的问题,在研究研制保证的目的、解决方法以及相关政策要求的基础上,提出关于民用飞机产品项目研制保证等级若干通用分配原则建议,用于指导项目研制保证等级分配的实际应用。并且,通过应用案例表明该分配原则的可行性。

关键词:民用飞机;产品研制;研制保证等级;项目研制保证等级;系统安全性评估;适航

中图分类号:V37 文献标识码:A 文章编号:1007-5453:2015:07-0006-05

现代民用飞机产品集成水平日益提高,在获益的同时在功能研制阶段和项目研制阶段,研制保证等级可分为

功能研制保证等级:Functional Development Assurance Level, 也增加了产品复杂度,这导致产生研制差错的可能性增大。

对于民用飞机这类高度集成的复杂系统,已无法仅依靠传统 FDAL:和项目研制保证等级:Item Development Assurance

FDAL定义了产生功能需求过程的严格程度, Level,IDAL:。的试验、机上检查等直接验证方法来检测和纠正研制过程中

IDAL定义了项目:包括软件或航空电子硬件项目:研制过程可能产生的差错。因此,需要应用以研制保证等级为基础的

的严格程度。研制保证过程技术,以识别和纠正研制差错,并将其造成的

安全性影响降低到可以接受的水平。其中,各FDAL等级应满足的目标和要求可在民用

[2]然而,SAE ARP 4754A、RTCA DO-178B以及DO-254标中获得,并适用于飞机与系统研制指南SAE ARP 4754A

飞机和系统准有关项目研制保证等级的分配要求存在差异,从而导致在。软件和航空电子硬件IDAL则需分别满足软

[3]具体应用过程中产生不同引发争议。因此,本文深入研究和件指南 RTCA DO-178B和航空电子硬件指南RTCA DO-

[4]分析各标准有关项目研制保证等级的要求及差异,并提出研 254设定

制保证等级通用分配原则建议,以指导实际应用。的目标和要求。

2 各标准有关IDAL的要求解读 1 项目研制保证等级

SAE ARP 4754A,RTCA DO-178B和RTCA DO-254分别研制保证过程是一种基于过程管理的方法,可为飞机、

给出飞机系统、软件和电子硬件的研制过程指南。系统和软硬件的研制建立置信度,确保其以规范的方式来完

成,并限制研制差错的产生及安全性影响。研制保证等级则 2.1 SAE ARP 4754A DAL分配要求解读

根据SAE ARP 4754A要求,IDAL的分配在FDAL确定用来表征和度量研制保证过程的管理严格程度,是实施研制

之后进行。在确保功能危险性评估分析完整和正确的基础保证过程的基础和关键技术。通过确定和分配系统、软硬件

上, 为顶层功能的FDAL分配对应顶层失效状态最严重的相应的研制保证等级,并实施不同严格程度的研制保证过程

级别, 如不考虑系统架构,分配要求如表1所示。管理达到减少研制差错的目的。

然而,如果考虑系统架构,且系统能够充分证明所有功

收稿日期:2015-02-03; 退修日期:2015-03-09; 录用日期:2015-03-12

*通讯作者. Tel.: 021-22321436 E-mail: huangmingyuan_hd@caac.gov.cn

引用格式:HUANG Mingyuan,OU Xupo, SONG Zhitao. Research of development assurance level allocation principles for civil

airplane products [J]. Aeronautical Science & Technology,2015,2:6 07::06-10.黄铭媛,欧旭坡,宋智桃. 民用飞机产品研

,2015,26 07:::06-10. 制保证等级分配原则研究[J].航空科学技术

1/6页

[4,5]表1 顶层功能分配要求FDAL IDAL的分配方法与SAE ARP 4754A相同。 Table 1 The top-level function FDAL assignment requirement 顶层失效状态严重性分类相应顶层功能FDAL 3 各标准差异及原因分析

A级灾难性的危险的/SAE ARP4754A要求,如果证明FFS具有项目研制独立

B级极其严重的较大的性,在分配IDAL时允许部分成员降级,即允许在某些条件 C级较小的无安全

下,其他对顶层失效状态有贡献的成员,其FDAL可以设为性影响的 D级导致最严重的单个影响相对应的等级,而非该项目成员相关 E级

顶层失效状态中最严酷的等级。RTCA DO-178B在定义软

件

[2]IDAL要求时,使用的术语是“引起系统功能失效,或对系统 FFS:中各个项目的研制独立性,则应用基于能失效集合:

功能失效有贡献”。该术语被解读为无论系统架构如何,软件考虑系统架构的原则考虑来分配和确定IDAL,分配的过

[2]IDAL分配不仅仅与丧失系统功能相关,且与系统故障导致程和要求与FDAL相同,具体要求如表2所示。

的失效状态级别相关,即应分配与相关失效状态中最严酷级 2.2 RTCA DO-178B DAL分配要求解读

别相对应的软件IDAL。因此,依据RTCA DO-178B的分配RTCA DO-178B定义软件IDAL时要求,需基于在系

要求将可能得出比依据SAE ARP 4754A更为保守的软件统安全性评估过程中对潜在失效状态有贡献的软件进行定

[3]IDAL。级, 具体要求如表3所示。

通过以上解读并分析各标准的要求可知,有关项目研 2.3 RTCA DO-254 DAL分配要求解读

制保证等级分配要求的差异主要集中在SAE ARP 4754ARTCA DO-254要求航空电子硬件IDAL的定义需与

与 RTCA DO-178B之间,即是否允许应用基于考虑系统架SAE ARP 4754和RTCA DO-178B协调一致。DO-254有

构的原则来分配和确定软件IDAL。关硬件

表2 考虑系统架构的IDAL分配要求

Table 2 IDAL assignment requirement with system architecture consideration 研制保证等级顶层失效多成员的功能失效集单一成员状态划分功能失效集选项1 选项2 将其中某一成员设为IDAL A;其他对顶层失效状态有贡献将其中两个导致顶层失效状态成员设为IDAL B;其他成员的的成员,其IDAL可以设为在所有适用顶层失效状态情况 IDAL可以设为在所有适用顶层失效状态情况下,其研制过程灾难性的 IDAL A 下,其研制过程差错导致最严重的单个影响相对应的等级, 差错导致最严重的单个影响相对应的等级,且不能低于C 且不能低于C 将其中两个导致顶层失效状态成员设为IDAL C;其他成员的将其中某一成员设为IDAL B;其他对顶层失效状态有贡献 IDAL可以设为在所有适用顶层失效状态情况下,其研制过程危险的/极其的成员,其IDAL可以设为在所有适用顶层失效状态情况差错导致最严重的单个影响相对应的等级,且不能低于D IDAL B 下,其研制过程差错导致最严重的单个影响相对应的等级, 严重的将其中两个导致顶层失效状态成员设为IDAL D;其他且不能低于D 成员的IDAL可以设为在所有适用顶层失效状态情况将其中某一成员设为IDAL C,其他对顶层失效状态有贡下,其研制过程差错导致最严重的单个影响相对应的等较大的 IDAL C 献的成员,其IDAL可以设为在所有适用顶层失效状态情级况下,其研制过程差错导致最严重的单个影响相对应的等

级

较小的无将其中某一成员设为IDAL D,其他对顶层失效状态有贡献的成员的IDAL,可以设为在所有适用顶层失效状态情况下, IDAL D 其研制过程差错导致最严重的单个影响相对应的等级安全性影响的 IDAL E IDAL E

表3 DO-178B软件IDAL分配要求

Table 3 DO-178B software IDAL assignment requirement 软件分配要求 IDAL

A级系统安全性评估过程表明,该软件的异常行为将引起飞机灾难性失效状态,或对导致飞机灾难性失效状态的系统功能失效有贡献 B级系统安全性评估过程表明,该软件的异常行为将引起飞机危险的/极其严重的失效状态,或对导致飞机危险的/极其严重的失效状态的系统功能失效有贡献 C级系统安全性评估过程表明,该软件的异常行为将引起飞机较大的失效状态,或对导致飞机较大的失效状态的系统功能失效有贡献 D级系统安全性评估过程表明,该软件的异常行为将引起飞机较小的失效状态,或对导致飞机较小的失效状态的系统功能失效有贡献 E级系统安全性评估过程表明,该软件的异常行为将引起系统功能失效,或对系统功能失效有贡献,这些系统功能失效不会影响飞机运行能力或驾驶员工作负担

2/6页

产生该差异的主要原因是,4754A是源于高度集成和复别,分配要求如表1和表3所示。即对应灾难性的失效状态

杂系统的研制过程制定的标准,并不包含软件和硬件的确分配IDAL A级,危险性的/极其严重的失效状态分配

认和验证过程的准则要求。而DO-178B标准针对对象是软件 IDAL B 级,较大的失效状态分配IDAL C级,较小的失

效状态分配 IDAL D级,无安全性影响的失效状态分配合格审定,且主要是基于联邦式系统架构进行制定,并没有

[5]IDAL E级。对于使用冗余等满足独立性架构的系统来说,考虑高度集成和复杂系统。此外,这两份标准的发布存在

该分配原则可能会得出较为保守的软硬件IDAL等级。时间差也是导致差异的原因之一。DO-178B于1992年发布,

[8]:3:基于独立性的分配原则。如果系统架构中的软硬件 4754A在2010年发布,之前的4754版本于1996年发布。系

项目研制能够充分证明独立性,如使用不同的研制技术、不统标准发布于软件标准之后,且系统的考虑因素较之软件

同操作系统、不同软件编程语言、不同处理器、不同研制团队更多因此导致差异。而DO-254相对发布时间最晚,因此考

和过程等独立性方法,则可以使用SAE ARP 4754A相关分虑了 DO-178B和ARP 4754的要求。

配原则,如表2所示适当降低相关项目的IDAL等级。如果不能充分证明系统架构和项目验证的独立性,则需要使4 IDAL通用分配原则建议

用直接对应分配原则和DO-178B的原则分配IDAL。提出研制保证过程的主要目的是为了减小研制过程中

:4:共模分配原则。如果存在共模设计差错导致灾难性差错的安全性影响。而功能/项目研制保证等级则是对实施

失效状态的情况,相应的软硬件应分配IDAL A级。如果后研制保证过程严酷度的度量,不同的失效状态安全性等级可

续更改系统架构设计且通过系统安全性评估等能够证实能需要相应严格程度的研制保证等级。因此,功能/项目研制

更改后的系统架构设计可以减缓潜在的灾难性失效状态,保证等级的定义、实施和证明是表明对安全性需求以及审定

[9]则可以考虑使用原则:3:基于独立性的分配原则,来适当要求:如CCAR 25.1309:的适航符合性的手段之一。

DAL等级。降低软硬件I为了达到该目的,除使用研制保证外,还可以使用失

效—安全设计策略、结构化分析方法以及其他研制保证技术 [1,7]等来证明。其中,失效—安全设计策略就包括有冗余、隔 5 应用案例

以某型高升力系统为例,说明如何应用上述IDAL通离以及非相似等等独立性的系统架构考虑,因此,SAE ARP

用分配原则。 4754A提出基于独立性的系统架构设计考虑来分配定义

5.1 系统描述研制保证等级是合理的。

某型高升力系统的主要功能是通过改变机翼面积和弯同时 ,美国联邦航空局: FA A :和欧洲航空安全局

[1,7]度,在起飞和着陆过程中调节飞机升力和阻力。飞行员通过 :EASA:在25.1309相关咨询通告/可接受的符合性方法中

操纵襟/缝翼手柄发出指令,操纵手柄组件输出4个电位计也认为考虑系统架构来分配软硬件IDAL是合适的,但是如

[8]信号给襟/缝翼电子控制装置:FSECU:,FSECU由两台相果不满足SAE 4754所列的分配条件准则,如独立性要求,

同的计算机组成,每个计算机接收两路手柄信号,接收信则需要遵照RTCA DO-178B的分配要求。中国民用航空局

号后进行计算产生襟翼、缝翼控制指令,控制指令控制襟:CAAC:目前在在审机型上使用的问题纪要表明,在该问题

缝翼系统动力驱动装置:PDU:和左右翼尖刹车:WTB:。上CAAC立场与FAA和EASA保持一致。

PDU产生旋转运动控制驱动线系运动,将襟翼和缝翼按设因此,基于以上分析并综合考虑各标准的要求,提出项

计顺序放下或收回。位于传动系统两端的双余度位置传感目研制保证等级分配若干通用原则,如下:

器将翼面位置反馈给FSECU,当襟/缝翼到达指令位置时,:1:安全性评估保证。由于IDAL的确定主要基于飞

计算机发出锁定指令给WTB将翼面锁定在指令位置。机级和系统级失效状态严重等级,且是安全性评估工作的

同时,该高升力FSECU控制计算机具有如下设计特征: 关键步骤。因此,正确执行功能危险性评估:FHA:和飞机/

:1:FSECU拥有两个子系统控制模块S:a 襟翼子系统模系统初步安全性评估:PASA/PSSA:是进行IDAL分配的

基础和前

提条件。同时在使用分配原则时需综合考虑所有顶层失效状块:和Sb:缝翼子系统模块:,且分别执行F襟翼伸出和收

的级态分配的FDAL/IDAL,协调统一,满足所有DAL分配要求。 :2:直接对应分配原则。软硬件IDAL可以分配与其

相关:引起或对其有贡献:最严重的失效状态等级相对应

3/6页

回功能:以及Fb:缝翼伸出和收回功能:两个独立功能。

,隔离保护功能由:2:Fa和Fb功能均由软件实现

软件实现。

4/6页

:3:Sa子系统模块和Sb子系统模块分别具有指令通Sb,因此将Sa子系统模块FDAL和软硬件IDAL分配为A道和监控通道。级, Sb子系统模块FDAL和软硬件IDAL分配为C级。 :4:Sa和Sb集成于同一计算机系统,该计算机通过相:b:针对缝翼非对称运动过限为灾难性的失效状态,根

据缝翼的监控功能由Sb软件实施,因此需将Sb子系统模同通道提供多个功能。

块 FDAL和软件IDAL分配为A级。 5.2 安全性分析

:c:综合考虑并协调所有顶层失效状态的FDAL分配通过对系统架构及功能分析,丧失单个襟翼伸出和收

结果,Sb子系统模块FDAL分配为A级,软件IDAL应分回功能可能会造成空气阻力增加升力不足,增加一定机组负

配A级。担的影响,因此影响等级通常是较大的。但是,若未通告的丧

:4:应用共模分配原则:虽然系统采取了独立性架构失襟翼伸出和收回功能以及缝翼非对称运动过限,会造成结

措施,但Sa和Sb集成于同一FSECU计算机系统,可能构舵面破坏影响飞机操稳性能的风险,因此定义为灾难性。

存在潜在的硬件共模问题导致灾难性后果,需将Sb的硬执行正确的安全性评估结果如表4所示。

件IDAL 设置为A级。并且虽然整个系统使用了两台表4 系统安全性评估结论 FSECU,但两台 FSECU完全相同,因此仍然适用共模分配Table 4 Result of system safety assessment

原则,赋予FSECU 为A级。失效状态影响等级因此,通过上述综合应用该四项分配原则的分析过程, 未检测到的Fa和Fb功能故障灾难性的

可获得如表5所示的系统FDAL和软硬件IDAL结论。单个Fa功能丧失较大的 FHA 单个Fb功能丧失较大的表5 DAL分配结论

Table 5 Result of DAL assignment 单个Fb功能故障:缝翼非对称运动过限灾难性的系统FDAL 软件IDAL 硬件 (1)分配给Sa的DAL需高于Sb的DAL;(2)通道1失效的严重性影 PSSA 响:较大;(3)通道2失效的严重性影响:较大 IDAL 整个FSECU A+独立性架构 — —

Sa子系统模块 A — — - Sa的软件 — A — 综合应用通用分配原则,分析过程如下:

- Sa的硬件 — — A :1:安全性评估保证。首先确认表4给出FHA和PSSA

Sb子系统模块 A — — 的分配结论正确,在此前提下进行应用。并且在使用以下分- Sb的软件 — A — 配原则时需综合考虑所有顶层失效状态分配的- Sb的硬件 — — A FDAL/IDAL, 协调统一,满足所有分配要求。 FSECU选择和检测功能 A — — :2:应用直接对应分配原则:由于FHA分析得出“未检隔离软件 — A — 测到的Fa和Fb功能故障为灾难性的”,应用直接分配原则, 将整个系统FDAL分配A级,系统选择和检测功能FDAL分