赵长啸，阎 芳，王 鹏

(中国民航大学 天津市民用航空器适航与维修重点实验室，天津 300300)

1 引言

机载电子系统是民用飞机机载系统的重要组成部分，占整个飞机成本的40%以上，承担着许多飞机重要功能，是未来解决航线拥挤，实现全天候、复杂气象条件起降的关键［1］。当前，机载电子系统向高度综合化发展，一体化已成为机载电子系统的发展趋势。“综合模块化航电系统”(Integrated Modular Avionics，IMA)是指采用系统工程方法，通过系统间的深度耦合和协同优化，对信息处理平台、互连网络、传感器及前端系统等进行综合设计，执行多种飞机功能的电子系统［2］。与传统的联合式系统设计相比，综合化系统设计具有体积小、重量轻、功耗低、维修性好、可靠性高的特点，能较大地提高飞机的经济性，在当今民用飞机研制中发挥越来越重要的作用。空客A380、波音787 以及我国C919 都采用了IMA 系统架构［3］。

但其作为新兴技术，在具有诸多好处的同时，也具有统一平台、资源共享、程序调用、强健分区等特性，使得子系统多、功能及逻辑关系复杂，已无法仅通过测试证明其安全性满足要求，并且在没有辅助分析工具的情况下很难了解其逻辑。同时，综合化设计带来信息处理及信息传输的完整性问题以及系统的深度耦合都对传统的航电适航审定方法造成冲击［4］。

我国局方目前尚未颁布针对IMA 系统的审定指导文件，我国的C919 飞机已进入结构总装阶段，并预计2016年首飞，对其IMA 系统的审定将是我国局方目前面临的一个重大技术难题。本文以国外局方、工业方的审定资料为基础，从审定文件体系、符合性验证方法和适航审定要素等方面进行研究，以期为我国的IMA 系统审定提供支持。

2 IMA 系统研制、适航审定文件体系

IMA 通过在一系列标准化通用功能模块上加载与硬件无关的软件，结合机载高速互连网络共同完成航空电子系统各种功能。IMA 系统的出现对航电系统的研制、集成及适航审定都带来了挑战。

为适应机载电子技术的发展，美国联邦航空管理局(Federal Aviation Administration，FAA)于2002年5 月发布了TSO－C153“综合模块化航电硬件单元”［5］，为IMA 硬件提出最低性能标准;2003年发布了AC 20－145［6］“使用TSO－C153 认证硬件单元的综合模块化航电指南”，为使用TSO－C153 认证硬件的IMA 提供装机批准依据。航空无线电技术委员会(Radio Technical Commission for Aeronautics，RTCA)于2005年发布了RTCA DO－297［7］“综合模块化航电(IMA)研制指南和审定考虑”，其中描述为增量式的审定以积累信心最后完成安装批准所需执行的目标、过程和活动。FAA 于2010年10月发布了AC20－170［8］“基于RTCA DO－297 和TSO－C153 的综合模块化航电研制、验证、集成和批准”，正式认可RTCA DO－297，合并AC20－145，并补充其他相关信息。

2.1 IMA 系统研制指导文件

SAE ARP 4754“高度综合或复杂系统的合格审定考虑”［9］自1996年11 月发布以来，一直作为系统层级的过程保证要求指导着现代民机行业的系统研制过程。FAA 也于2003年颁布了AC 25.1309－1B(draft)(2003年)对SAE ARP 4754“高度综合或复杂系统的合格审定考虑”进行了认可。但是，IMA等综合复杂系统的快速发展，使得SAE ARP 4754的适用性问题开始暴露，特别是原文第5.4 节“研制保证等级分配”的使用，难以完全覆盖IMA 系统的安全性需求。于是SAE 选择S－18 委员会开始对此标准进行修订，修订的主要目的之一是改进DAL 分配过程。SAE ARP 4754A［10］扩展了设计保证(Design Assurance)概念在飞机和系统级的应用，并规范研制保证(Development Assurance)术语的使用。引入了飞机和系统的功能研制保证等级(FDAL)，将原文的设计保证等级(Design Assurance Level，DAL)更改为设备研制保证等级(Item Development Assurance Level，IDAL)。在文件体系架构方面引入RTCA DO－297 作为IMA 相关系统的指导文件。

如图1 和图2 所示，SAE ARP 4754A 的改版从系统指导文件层面引入了RTCA DO－297，将其放在了和软件设计指南(DO－178B/C)和硬件设计指南(DO－254)同等重要的位置。

图1 SAE ARP 4754 中研制指导文件Fig.1 Guideline Document from SAE ARP 4754

图2 SAE ARP 4754A 中研制指导文件Fig.2 Guideline Document from SAE ARP 4754A

2.2 IMA 系统审定文件体系

IMA 是一种航电系统的体系架构，其多个航电子系统通过一个“虚拟系统”共享航电资源，各子系统间通过“分区”来进行隔离，各系统的资源耦合更紧密。IMA 系统涉及到系统集成、机载数据总线、软件、硬件等各方面，其中直接与IMA 系统相关的适航审定文件如图3 所示。

图3 IMA 系统适航审定文件体系Fig.3 Airworthiness certification documentation for IMA

2.2.1 AC 20－170

FAA AC20－170 通过认可RTCA DO－297 标准中的目标、过程和活动，合并AC 20－145 及其他相关信息，共同形成了一种针对IMA 系统研制、集成、验证和安装批准的可接受符合性方法。此资讯通告(Advisory Circular，AC)从系统层面提出了IMA系统审定应遵循的原则和方法，其适用于:包含IMA系统和设备的航空器或发动机TC、ATC、STC 或ASTC 申请人;IMA 系统、应用和部件的研制商;TSO－C153(IMA 硬件单元)以及IMA 系统的功能TSO申请人;IMA 系统集成商;航空器IMA 系统的安装人员;IMA 系统批准和持续适航相关的人员。

2.2.2 AC 20－148［11］

随着软件技术的发展，软件研制商想要研制可以按照集成商或申请人要求，与其他系统软件应用共同集成在许多系统目标计算机和环境中的可重用软件部件(Reusable Software Component，RSC)，例如软件库函数、操作系统和通信协议等。此时，RSC 研制商可以只是满足RTCA/DO－178B 中相关的部分目标，集成商或申请人完成并表明对集成软件包、系统方面以及航空器审定的符合性。

此AC 为RSC 研制商、集成商和申请人提供一种符合性方法，以获取局方的接受，并为后续软件的重用累积信任度。确保使用RSC 的系统满足RTCA/DO－178B 中所有相关目标。

2.2.3 TSO C153

此技术标准规定(TSO)规定了综合模块化航电硬件单元为获得批准和使用适用的CTSO 标记进行标识所必须满足的最低性能标准，其中硬件单元包括硬件模块和装载硬件模块的机柜或机架。图4 为典型的集成航电系统框图。根据系统应用的不同需求，所需硬件单元的类型和数量以及每个单元类型的数量都可能是不同的。如图4 所示，机柜或机架中装满了不同类型的模块。典型的模块类型是处理器、供电、数据库和输入/输出模块。除了机柜或机架，一个完整的系统可以由不同的控制器、显示器和传感器构成。任何模拟信号、专用通信总线或系统级双向通信总线的组合均可提供IMA 系统通信。制造商可以将功能分配到一个或多个机柜机架上的模块和其他设备。

图4 包含多个硬件单元的IMA 系统样例Fig.4 IMA system example containing multiple hardware units

此外，该TSO 还分别从IMA 硬件单元MPS、测试条件、安装和运营性能等方面介绍最低性能标准制定规则。

2.2.4 AC 20－156［12］

航空器、发动机和航电制造商想要利用数据总线技术来替代端到端线路和单向数据总线(例如ARINC429 数据总线)来减少航空器重量和研制/生产时间，并增加机载系统性能。此AC 适用于采用高度综合复杂数据总线技术的型号审定或大改。

数据总线在机载现场可更换单元(Line Replaceable Unit，LRU)、现场可更换模块或航电模块间传输信息。航空器和航电系统制造商希望可以使用不同类型的数据总线。随着在航空器或发动机数据源中集成越来越多的航电部件，要求为大量的数据传输提供条件，数据总线也变得越来越复杂。由于机载系统架构、数据单元或数据包、协议、信息传输等都存在大量的物理构型和逻辑构型，使得在配置数据总线时会非常灵活。如果没有外部构型控制，很难确定航空器或发动机的型号设计以及对规章的符合性。

此AC 为航空器和发动机审定申请人提供了一种数据总线技术研制、选择、集成的符合性方法，并获取符合相关要求的批准，其中涵盖了安全性、数据完整性、数据总线性能、软件和硬件保证、电磁兼容、验证和确认、构型管理、保障性等八个方面，申请人必须确定适用于所申请总线的方面，并严格执行。

3 IMA 系统审定符合性验证方法

3.1 研制过程

IMA 系统研制基于通用的，并能被驻留应用共享的IMA 平台。图5 为标明潜在共享资源的典型设计，阴影部分为可以被共享的模块。

图5 潜在共享资源的典型设计示例Fig.5 Typical design examples of potential shared resources

IMA 研制过程应确保以下内容:

(1)分配给指定IMA 系统的飞机功能与系统设计一致;

(2)确定分配给指定IMA 系统的飞机安全和保障需求，并通过IMA 系统设计满足这些需求。这应包括系统研制保证、硬件设计保证和软件等级的分配。这些等级通过飞机级安全性评估过程确定，支持驻留应用实现的飞机功能，同时支持可用性和完整性以及任何工具评估和鉴定的需求;

(3)任何驻留应用的行为都应避免受到IMA 平台设计中其他应用或功能行为的危害影响。平台具有强健分区、资源管理和其他适用于飞机功能和驻留应用的保护方式;

(4)为平台提供健康监控、失效报告处理和故障管理功能，以满足驻留应用和IMA 系统的具体需求;

(5)建立并维护IMA 平台、应用、集成商或审定申请人的构型管理;

(6)实施并验证IMA 系统衍生需求;

(7)实施并验证关于IMA 系统的人为因素需求。

IMA 系统的研制过程应符合SAE ARP4754A。IMA 系统研制过程应该考虑主要的IMA 特性有灵活性、可重用性和协同性，这些特性至少影响以下部分的研制:

(1)IMA 平台——确定可重用和可共享的模块与资源(包括API 接口和健康监控策略);

(2)驻留应用——确定接口和系统交互，以允许应用驻留在平台上;

(3)IMA 系统——将具体的驻留应用组集成到指定IMA 平台中。

3.2 审定任务

DO－297 中2.1.2 节给出如下定义:

(1)接受:局方对模块、应用或系统符合其定义需求的认可。局方一般通过签署的信函或数据单的形式认可接受，表明提交的数据、证明，或者等效的声明满足相关的指南或要求，其目标是在合格审定过程中达到对未来使用的信任度;

(2)增量接受:通过认可IMA 模块、应用和/或未安装的IMA 系统符合其具体需求，不断累积信任度，最终获取批准的过程。增量接受可分解为不同的任务，每个任务中获取的信任度都为整个审定目标提供支持。增量接受能够在IMA 系统中集成并接受新的应用和/或模块，并且维护已有的应用和/或模块，而不需要重新进行认可。

使用RTCA DO－297 中定义的增量接受过程，其主要的好处是可以在IMA 系统中集成和接受新的部件，并维护已有部件，而不需要重新进行接受认可。这允许:

(1)通过提交已完成的审定数据包，在同一审定项目的不同应用中，重用接受的IMA 部件。这减少了当前航空器或发动机适航取证的工作量，但维护了等效的系统安全性;

(2)通过提交以前完成的审定数据包，在后续审定项目中，重用接受的IMA 部件。这减少了后续航空器或发动机适航取证的工作量，但维护了等效的系统安全性。

通常，IMA 系统的审定过程分为6 个任务，任务描述如表1 所示，每个任务都确定相应的增量接受活动，并且都基于之前的任务，即局方在完成底层级接受之前，不会接受基于这些底层任务的更高层任务。例如，为获取IMA 应用的接受，应该首先获取所有支持应用的模块的接受。同理，在接受系统之前，应接受所有构成IMA 系统的应用。

表1 IMA 审定任务概述Table 1 Certification task description of IMA

3.3 安全性评估

IMA 系统的安全性评估，至少应考虑如下内容:

(1)隔离、分割和独立性，避免失效严重程度较低的功能(例如分区、资源管理、故障管理和保护)影响对安全性影响重大的功能;

(2)避免单点失效和可预见的失效组合对多个功能同时产生影响(例如独立性、冗余、健康管理和故障管理以及安全性监控);

(3)在飞机级和系统级执行初步FHA，评估IMA 架构的预期功能、特征和能力;

(4)检查IMA 平台的架构设计和安全性相关能力以及强加于飞机级功能分配和驻留应用的限制。例如，对如下内容产生的需求:应用独立性、分区、保护、冗余、资源需求、接口通信、性能、网络接入、和/或与飞机传感器和作动器的专用连接。该检查结果即IMA PSSA;

(5)对IMA 平台行为问题的检查，包括平台提供的健康监控、资源管理和故障管理能力以及可提供的失效恢复或保护类型;

(6)检查IMA 平台的性能，确保其满足驻留应用的性能需求。

3.4 确认

确认过程应该确保IMA 系统需求是正确的和完整的。该部分为IMA 系统确认提出了总体框架，并补充了ARP4754，典型的确认活动如表2 所示。确认的目标是:

(1)确保IMA 系统所有层级的需求的正确和完整，包括模块、驻留应用、平台和IMA 系统需求。每一层级需求都应优先于下一层级需求进行确认;

(2)评估IMA 系统架构和驻留应用的功能分配;

(3)通过处理器吞吐时间和用法、存储器分配、I/O 设备和总线以及其他共享资源，确保分区保护的强健性;确保冗余、资源管理、健康管理和故障管理需求对于整个IMA 系统是正确和完整的;

(4)确保所有驻留在IMA 系统中应用的安全性、完好性和可靠性需求的兼容;

(5)评估模块和应用间数据耦合与控制耦合;

(6)确保考虑正常运行和降级运行以及它们对飞机安全潜在的影响。

表2 典型确认活动Table 2 Typical validation activities

3.5 验证

验证过程应确保系统设计实现已满足IMA 系统具体需求，典型的验证活动如表3 所示。

表3 典型验证活动Table 3 Typical verification activities

4 IMA 系统审定要素和评审要求

IMA 系统的审定过程涉及系统平台、驻留应用、分区、构型等各方面，本文以检查单的形式对各部分的审定关注点进行了归纳，如表4 所示。

表4 IMA 系统适航审定要素及评审要求Table 4 Airworthiness review and assessment eequirements for IMA system

续表4

5 结论及工作展望

本文分析了现有的针对IMA 系统的研制及审定文件体系，梳理了各适用文件的内容及关注点;根据适航审定要求，分析了IMA 系统的符合性验证活动，对IMA 系统适用的增量审定任务进行了归纳总结，给出了典型的确认、验证活动和安全性分析关注点;最后给出了针对IMA 系统研制、驻留应用研制、资源分配及分区管理和构型管理的审定要素和评审要求。

IMA 系统审定的另一个特点是“增量审定”。通过对IMA 模块、IMA 应用软件、IMA 系统、IMA 飞机级集成、IMA 系统更改及重用等进行增量审定，不断累积信任度，最终实现IMA 系统批准。下一步将针对IMA 系统各审定阶段的评审关注点进行研究，并对IMA 系统特别适用的功能技术标准规定(Functional TSO)进行研究，完善IMA 系统的审定理论体系。

［1］王鹏，赵长啸，马赞.综合模块化航电系统失效模型分析［J］.电讯技术，2013，53(11):1406－1411.WANG Peng，ZHAO Changxiao，MA Zan.Failure Model Analysis of Integrated Modular Avionics System［J］.Telecommunication Engineering，2013，53(11):1406－1411.(in Chinese)

［2］熊华钢，王中华.先进航空电子综合技术［M］.北京:国防工业出版社，2009.XIONG Huagang，WANG Zhonghua.Advanced integrated avionics technology ［M］.Beijing:National Defense Industry Press，2009.(in Chinese)

［3］Itier J B.A380 integrated modular avionics［C］//Proceedings of the ARTIST2 Meeting on Integrated Modular Avionics.Roma，Italy:［s.n.］，2007:72－75.

［4］Boniol F，Wiels V.Towards Modular and Certified Avionics for UAV Aerial Robotics［J］.Aerospace Lab Journal，2014(8):1－8.

［5］TSO－ C153，Integrated Modular Avionics(IMA)Hardware Elements［S］.

［6］FAA AC20－145，Guidance For Integrated Modular Avionics(IMA)that Implement TSO－ C153 Authorized Hardware Elements［S］.

［7］RTCA DO－297，Integrated Modular Avionics(IMA)Development Guidance and Certification Considerations［S］.

［8］FAA AC20－170，Integrated Modular Avionics Development.Verification，Integration and Approval using RTCA/DO－297 and Technical Standard Order C153［S］.

［9］SAE ARP4754，Certification Considerations for Highly－Integrated or Complex Aircraft Systems［S］.

［10］SAE ARP4754A，Guidelines for Development of Civil Aircraft and System［S］.

［11］FAA AC20－148，Reusable Software Components［S］.

［12］FAA AC20－156，Aviation Databus Assurance［S］.