刘硕

摘要：通过分析通用飞机综合电子系统的设计需求，定义了通用飞机综合电子系统的系统功能，通过开展综合电子系统的系统设计、安全性分析与评估，研究出一套适用于通用飞机综合电子系统的总体设计、安全性评估的流程和方法。通过FHA确定了设备级DAL，并提出系统架构设计建议；PSSA通过FTA分析系统架构，找出薄弱环节，进而改进系统设计；最后在SSA阶段中通过FMEA和定量FTA方法验证系统设计与实现的正确性。

关键词：FHA；PSSA；SSA；通用飞机

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2018）10-0215-04

1 引言

通用航空是民用航空的重要组成部分，是指从事除安全、军事和公共航空运输飞行以外航空活動的飞机，涉及国民经济的众多领域。通用飞机综合电子系统必须具有低成本、通用性的特点，系统没有采用过多的冗余备份，其安全性设计方法值得进行深入研究。

安全性是民用飞机设计时考虑的首要因素，为保证飞机的安全性，民航当局制定了适航规章对民用航空产品的功能、性能提出了基本要求，适航标准是民用航空产品的最低安全标准。关于通用飞机在设计过程中如何满足适航标准的要求，国外已经形成了较为完善的验证民机设计、制造符合要求的理论体系。由于我国通用飞机研制起步较晚，民机安全性设计理念落后，按照适航标准开展通用飞机电子系统设计和安全性方面的研究才刚刚起步，目前需要借鉴国外的民机电子系统设计和安全性设计分析与评估方法，结合国内通用飞机综合电子系统的研制项目开展系统设计和安全性研究。

本文通过开展通用飞机综合电子系统设计及安全性技术研究，提出了一套面向CCAR 23部通用飞机的综合电子系统安全性设计、分析与评估的流程和方法。

2 安全性分析与评估流程

ARP4754规定了复杂机载系统的研制过程、各阶段功能、各阶段直接的关系以及适航考虑；而ARP4761规定了民用航空机载系统安全性评估过程的指南和方法。图1为航空电子系统开发过程，将系统开发过程分为系统设计和安全性分析两条并行主线，系统设计起始于飞机级（系统）需求，经需求分析、功能定义、初步设计、详细设计、系统实现、系统综合、系统验证，止于系统确认；安全性分析始于飞机级功能危害性分析（FHA），然后再对综合电子系统进行系统级FHA。接着进行初步系统安全性评估（PSSA），主要是采用故障树分析法（FTA）将安全要求分配给各分系统，经过反复迭代确定设计方案。最后开展系统安全性评估（SSA）工作，通过对部件、设备和系统的失效模式及其影响分析（FMEA）来计算硬件的理论失效率。并通过故障树进行定量和定性分析，验证在系统设计是否满足安全性所有要求。

3 系统安全性设计

在通用飞机综合电子系统需求分析的基础上，通过FHA分析发现系统中的关键环节，并经过PSSA分析对系统架构进行改进设计及确认，经过多次迭代系统设计满足所有安全性要求。最后利用SSA分析再次验证系统安全性。

3.1 系统初步设计

通用飞机的综合电子系统分为三个层次：人机接口层、任务处理层、传感器/作动器层，其中人机接口层包括了飞行显示器（DU）、多功能显示器（MFD）、显示控制板（DCP）、多功能键盘（MFC）；任务处理层包括了综合显示控制单元（DCU）；传感器/作动器层由通信设备、远程数据采集单元（RIU）组成，通用飞机综合电子系统层次结构见图2所示，在初步系统结构设计中采用了成熟技术和备份冗余，可以提高系统可靠性。

3.4 系统FHA

通用飞机综合电子系统的FHA工作具体包括定义场景、描述失效影响、提出减缓措施、确定危险等级、输出失效状态、提出设计建议。下面以高度指示功能为例，论述这部分工作。

3.2.1 定义场景

考虑到通用飞机通常为轻型飞机，其起飞速度、巡航速度、飞行高度都比较低，合并相应的飞行子阶段，把分析的重点放在起飞、飞行中和降落三个大的阶段，结合高度指示功能的失效模式和飞行阶段组合出7个场景，即：飞行中高度指示功能完全丧失、飞行中高度指示功能部分丧失、起飞时高度指示功能完全丧失、起飞时高度指示功能部分丧失、降落时高度指示功能完全丧失、降落时高度指示功能部分丧失、全阶段高度指示错误。

3.2.2 失效影响与减缓措施

失效影响考虑功能失效后可能对飞机、乘客和机组造成的最大影响。以“飞行中高度指示功能完全丧失”场景为例，该故障不会对飞机与乘客产生直接的安全影响，而飞行员发现电子飞行显示器上无高度信息显示时，会立刻读取机械式高度表上的气压高度指示。因此该功能失效后最大的可能是导致机组无法从显示系统获得高度指示信息，系统功能明显降低。

3.2.3 确定危险等级及发生概率

根据“飞行中高度指示功能完全丧失”造成的失效影响，并参考AC23.1309-1D中的相关建议，将该场景的危险等级确定为“重大的MAJ”，其发生概率要求为<10-5。同理，“飞行中空速指示功能完全丧失”和“飞行中姿态指示功能完全丧失”场景的危险等级为MAJ，其故障发生概率应<10-5。

3.2.4 输出失效状态

在经过FHA后，需要分析其评估的结果，并总结出系统有多少失效状态。在这个分析与归纳的过程中，需要遵循以下原则：

1）安全影响在MIN以下的场景不再作为失效状态，如“飞行中高度指示功能部分丧失”场景；

2）失效模式相同但飞行阶段和安全影响等级不同的场景属于一个失效状态，以最严重的影响来确定其安全等级，如起飞、飞行中和降落三个阶段高度指示功能完全丧失。

按照上述方法依次对各个系统功能进行FHA，可以得到通用飞机综合电子系统的失效状态，如表1所示。

从上表中可以总结出：CAT级失效状态：1个组合功能失效，单一综合电子系统功能失效不会产生CAT影响，但与其他系统功能同时失效会导致该后果；由于失速告警器不属于综合电子系统，因此仅综合电子系统不存在CAT级失效状态。HAZ级失效状态：4个；MAJ级失效状态：10个。

3.3 提出设计建议

根据CS23.1309条款要求和AC23-1309-1D对该条款的解释，对于可能造成CAT或HAZ级别安全影响的功能，其设计应至少满足以下要求：

1）安全等级为CAT的功能，通常采用非相似余度设计避免单点故障，该功能故障发生概率必须<10-9；

2）安全等级为HAZ的功能，其故障发生概率必须<10-7。

从FHA分析中清楚地看到，通用飞机综合电子系统中没有安全等级为CAT的功能，却有一些安全等级为HAZ的功能，它们是空速指示、高度指示、姿态指示、磁航向指示和失速告警。于是在系统设计时需要考虑：

1）安装备份仪表用于空速、高度、姿态、磁航向和失速告警指示功能的冗余，这样可以有效避免单点故障并降低系统级故障发生概率的要求；

2）对于其他功能，如果单项设备的实际故障发生概率大于所要求的概率，可以考虑设计备份冗余；

3）通过增加数据路径，并设计系统重构算法，提高系统的容错重构能力；

4）在ADC、AHRS和失速告警器等设备的设计实现中应考虑其容错能力，包括自检测、余度设计等。

此外FHA证明了综合电子系统初步系统结构中配置两部综合处理机是正确的。如果仅配置一部综合处理机的话，就有可能出现单点故障。

3.3 系统PSSA

在PSSA阶段需要对目前的系统架构进行初步评估，并且分配设備级安全性需求，具体如下：

1）对HAZ级以上的系统失效状态，采用FTA方法，分配设备级安全性需求，表2所示为通用飞机综合电子系统HAZ级以上失效状态的汇总表；

2）评估向下分配的安全性需求是否可行，决定是否将改进系统架构；

3）通过多次迭代调整，最终确定系统架构。

3.4.1 故障树建立

以高度指示错误为例构建故障树，通过定性和定量分析来评估当前的系统结构能否满足系统安全性设计指标，图3至图5为综合电子系统高度指示错误的FTA的各部分，图中可以看到逐级向下分配的安全性指标。电子飞行仪表和机械式高度表均指示高度错误时，将导致综合电子系统高度指示错误，两者属于“与”的关系；FTA的重点集中在电子飞行显示器高度指示错误，可以进一步分解为高度计算错误和高度显示错误，如图3所示。

高度计算错误又分解为GPS高度错误和大气高度错误两种情况，GPS天线失效或GPS卫星网络失效均可导致GPS高度失效，而皮托管失效或ADC失效将导致大气高度错误。由于GPS1和GPS2互为备份，因此GPS1高度和GPS2高度均计算错误显示错误时将导致GPS高度计算错误。而任一部DCU失效均将导致高度显示错误，即GPS高度显示错误和大气高度显示错误。

3.4.2 分配安全性设计指标

根据以往的工程经验为各级失效状态分配所允许的故障发生概率，其中如表3所示，故障树的叶子节点均对应着某个航电设备的功能失效的情况。

为这些叶子节点分配的故障发生概率目标将会转化为具体的软硬件设计需求，用来指导详细设计与产品选型。

3.4.3 故障树定性分析

定性分析的目的是为了找出系统设计中的薄弱环节，检查系统中是否存在单点故障，以及列举出全部最小割集。P（t）表示顶事件的故障率，A表示底事件A的故障率，B表示底事件B的失效率，其他底事件依此类推，应用上行法得到如下的故障树结构函数：

[Pt=A+BA+BC+DC+D+EEEE+F=A+BC+D+E+F（1）=AC+AD+BC+BD+E+F ]

由上述化简结果来看出，在高度指示单元中没有单点故障，其最小割集为：AC、AD、BC、BD、E、F。通过这些割集中每个与门事件分析可以看出，它们之间并不存在共模因素。以AD为例，GPS天线和ADC分别安装在飞机的不同位置，分别由两个独立电源端供电，主电源掉电后系统会自动切换至备用电源，它们之间不存在共模因素。

3.4.4 确定系统DAL

由于高度指示功能的失效状态FC-06和FC-07的安全等级分别为MAJ和HAZ，按照表1中的定义该功能的研制保证等级DAL为B级。同理依据系统失效状态和AC23-1309-1D中安全等级、故障发生概率及DAL关系，为系统功能分配DAL，如下表4所示。

每一个系统功能的DAL最终都是要落实到具体设备上的，在给设备分配DAL时需要注意两点：

1）每个系统功能的DAL决定了实现该功能所需航电设备的DAL；

2）按照“就高不就低”的原则重新核对各个设备的DAL，即不同系统功能对应同一航电设备的DAL可能不同，将选择较高的DAL等级。

以高度指示功能为例，与实现该功能有关的设备有PFD1、PFD2、MFD1、MFD2、DCU1、DCU2、ADC1、ADC2，所以它们的DAL为B级。

3.4.5 FTA结论

应用上述方法将其他几个失效状态进行故障树分析，从分析结果可以发现目前的系统架构设计中不存在单点故障，系统的安全性指标都得到了合理的分配，等待SSA进一步验证系统设计的正确性。

3.5 系统SSA

进入SSA阶段，需要根据零部件厂家由FMEA及FMES分析得出的各零部件的实际故障率（即故障树中底事件的故障率）自下而上地计算故障树中每一层失效状态的发生概率，直至计算出故障树的顶层失效状态的发生概率并确保其满足适航当局的安全性要求。表5列出了高度指示错误故障树中所有底事件的实际故障发生概率λ1及预先分配的故障发生概率λ0。

由于在该故障树中，所有底事件均只出现了一次，因此可以使用“直接分析”法依照故障树中各逻辑门的逻辑关系直接计算顶事件的发生概率。根据以上底事件的失效率和各自的暴露时间，将数值代入1式，计算出顶事件的故障发生概率为4.20E-07，远小于设计之初分配的安全性指标，验证了设计的正确性。

同样应用FMEA和定量FTA方法将其他几个失效状态进行安全性分析，从分析结果可以发现目前的系统架构设计中各个功能单元的故障发生率均低于预先分配的安全性指标，满足安全性要求，进一步验证了系统设计的正确性。表6为综合电子系统各设备的可靠性数据，也可以作为指导其它通用飞机综合电子系统设计的依据。

4 结论

本文应用了民机系统安全性分析与评估的理论，对通用飞机综合电子系统进行安全性设计，通过FHA、PSSA和SSA三个阶段，运行定量与定性FTA、FMEA等方法最终验证系统设计的正确性，探索出来了一条通用飞机综合电子系统架构设计和安全性设计与分析的流程和方法。

参考文献：

[1] A View of Trends in Greneral Aviation Avionics， 2003 AIAA/ICAS International Air and Space Symposium and Exposition： The Next 100 Years， Dayton， OH， July 14-17， 2003.

[2] FAA， AC23.1309-1D System Safety Analysis and Assessment for Part 23 Airplanes， Federal Aviation Administration， 2007.

[3] FAA， AC25.1309-1A System Design and Analysis， Federal Aviation Administration， 2009.

[4] 中國民用航空总局，CCAR-23-R3 正常类、实用类、特技类和通勤类飞机适航规定，2004.

[5] FAA， AC23.1311-1A Installation of Electronic Displays in Part 23 Airplanes， Federal Aviation Administration， 1999.

[6] SAE International. ARP4754 Certification Consideration for Highly Intergated or Complex Aircraft System， The Engineering Society For Advancing Mobility Land Sea Air and Space， 1996.

[7] SAE International. ARP4761 Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment， The Engineering Society For Advancing Mobility Land Sea Air and Space， 1996.

[8] 程明华，姚一平.动态故障树分析方法在软、硬件容错计算机系统中的应用[J].航空学报，2000，21（1）：34-37.

[9] FAA， AC25-11A Electronic Flight Deck Display， Federal Aviation Administration， 2007.

[10] 张磊，林荣超，王国东，等.小型飞机先进综合座舱电子系统架构研究[J].航空计算技术，2010（5）.

[11] 张磊，林荣超，牛文生.小型飞机航空电子系统容错技术研究[J].航空计算技术，2011（1）.