刘海年 郑宁 谷艳萍 屈衍静

摘要：随着现代航空发动机复杂程度和集成程度的增加，产品研制过程中出现错误的可能性越来越大，如何通过实施研制过程保证，纠正产品研制中的错误和提升发动机安全性水平已成为航空发动机设计人员关注的重点之一。本文基于SAE ARP 4754A《民用航空产品和系统开发指南》的过程保证方法，提出了航空发动机研制保证等级定义和研制保证等级分配方法，明确了航空发动机不同研制保证等级需求的确认和验证方法，建立了发动机需求确认和验证矩阵，为实施航空发动机研制过程保证提供指导。

关键词：航空发动机；研制过程保证；研制保证等级；需求确认；需求验证

中图分类号：V37文献标识码：ADOI：10.19452/j.issn1007-5453.2021.06.005

随着现代航空发动机复杂程度和集成程度的增加，在实现产品功能、性能和寿命指标提升的同时，也增加了产品的研制难度，导致产品研制过程中出现错误的可能性越来越大，这些研制错误也会最终影响产品的使用安全。对于航空发动机这种高度集成的复杂产品，仅仅通过仿真分析、试验验证来验证和纠正产品研制过程中的错误几乎不可能。因此，国外普遍采用ARP 4754A《民用航空产品和系统开发指南》[1]提供的以研制保证等级为基础的研制过程保证方法，识别和纠正研制错误，实现对研制错误的有效控制，并将其带来的安全性影响降低到可以接受的水平。

本文借鉴《民用航空产品和系统开发指南》的研制过程保证方法，首先，基于发动机的安全性失效影响，建立了发动机失效影响和研制保证等级的对应关系；其次，依据发动机功能危害性分析（FHA）和功能失效集（FFS）的分析结果，以“发动机丧失停车控制功能”为例，阐述了航空发动机研制保证等级的分配方法；最后，基于研制保证等级的分配结果，给出了不同研制保证等级功能需求的确认和验证方法，规范产品研制过程保证，实现对产品研制错误的有效控制。

1国内外现状分析

1.1国外现状分析

ARP 4754A《民用航空产品和系统开发指南》作为航空产品正向开发最佳实践经验的总结，标准中明确了研制保证等级的定义、分配原则和过程保证方法，实现对飞机及复杂系统研制过程中研制错误的有效控制；国外空客、波音、美捷特等先进的飞机企业和机载设备供应商均采用该方法定义产品的研制保证等级，并在产品设计和开发过程中实现对产品研制过程的有效控制。

1.2国内现状分析

国内民用飞机及机载产品的研制中已经开展了研制过程保证控制，并分配了产品研制保证等级[2-3]，国内发动机行业尚处于起步阶段，虽然是按照产品的重要程度来定义产品的不同研制类别，但没有基于产品的研制需求从功能失效的影响程度来定义和分配产品的研制保证等级，且在产品研制过程中对产品研制需求的确认和验证不足，不能实现产品研制过程的有效控制，识别和发现产品研制的错误，进而影响产品研制需求的符合程度，不能保证交付用户满意的产品。

2航空发动机研制保证等级分配方法研究

2.1研制保证等级定義

研制过程保证是通过保证产品研制的规范性，达到避免出现影响发动机安全的研制错误。而研制保证等级则用来表征研制过程保证的严格程度，并依此将研制错误发生的可能性限制在可接受的水平。研制保证等级包括功能的研制保证等级（FDAL）和设备研制保证等级（IDAL），FDAL决定了发动机和系统功能研制的严格程度；IDAL决定了设备所含的软件和硬件的严格程度，其中，FDAL可参考ARP 4754A标准中的相关规定进行确定，IDAL可依据DO-254[4]和DO-178C[5]标准中的相关规定进行确定。

ARP 4754A主要针对飞机及复杂系统考虑失效后对飞机的影响来定义产品研制保证等级，航空发动机作为飞机最重要的复杂系统，其失效影响应根据对飞机的影响进行确定研制保证等级，参考ARP 4754A中的研制保证等级定义，依据航空发动机适航[6]标准要求，航空发动机失效导致的危害性影响主要包括灾难的、危险的、重大的、较小的和无安全性影响，确定发动机功能失效影响与研制保证等级的对应关系见表1，结合发动机功能危害性分析或功能失效集的分析结果，根据功能失效或设备失效导致的顶层功能失效的影响程度，按照表1可以确定航空发动机产品研制保证等级。通过定义研制保证等级，产品研发过程中采用更为严格的设计保证过程，能够更好地降低产品的研制错误，提高发动机产品的安全性。

2.2研制保证等级分配方法

研制保证等级的分配应基于安全性评估过程开展，是一个自上而下的过程。研制保证等级的分配过程起始于发动机整机功能的FDAL分配，然后分配到系统级功能的FDAL，最后分配到零组件层级的IDAL。其中，整机层的工作包括发动机整机级顶层功能FDAL的确定以及向系统级功能的分配；系统级工作包括将系统的FDAL分配给底层的零组件（包括复杂的机电和电子产品），并由此确定相关零组件的IDAL。航空发动机研制保证分配层级和主要工作内容见表2，研制保证等级分配方法主要包括不考虑系统架构和考虑系统架构的研制保证等级分配方法。

2.2.1不考虑系统架构的研制保证等级分配

不考虑系统架构的研制保证等级方法主要根据发动机功能危害性分析结果，根据功能失效导致的最严重的失效影响类别按照表1的内容直接分配功能研制保证等级。

通常情况下，采用此种分配方法可能会导致FDAL和IDAL等级偏高，虽然此时发动机的安全性需求能够得到满足，但是过高的研制保证等级会造成产品开发过程研制成本、研制周期以及资源的浪费，导致产品经济性不好。

2.2.2考虑系统架构的研制保证等级分配

考虑系统架构时，采用功能失效集（FFS）作为产品研制保证等级的系统性分配方法，在初步系统安全性分析中采用故障树的分析方法确定导致顶层失效状态的所有FFS和每个FFS中的成员。

对于FDAL/IDAL的分配，FFS相当于故障树的最小割集，其成员代表了潜在研制错误而并非失效。一个失效状态可以有一个或多个FFS，每个FFS可包括一个或多个成员。借鉴ARP 4754A的分配原则，表3给出了与发动机顶层失效状态类别相关的FFS成员分配FDAL的原则。

2.3航空发动机控制系统DAL分配案例

本文以航空发动机控制系统研制保证等级分配为例，阐述研制保证等级的分配过程。

2.3.1系统描述

发动机控制系统的主要功能如下：主燃油流量控制功能、发动机停车控制功能、风扇进口可调叶片角度控制功能、防冰控制功能、点火控制功能、发动机喷口面积控制功能和防喘/消喘控制功能等。

基于控制系统的功能分解和方案设计，确定航空发动机控制系统由主燃油控制系统、A1及A2控制系统、喷口控制系统、状态监控系统、防冰控制系统、起动控制系统、点火系统和停车系统等组成，通过对风扇进口可变弯度导向叶片、高压压气机进口可调静子叶片角度、主燃烧室燃油流量、喷管喉道面积等可调变量实现对发动机的控制。发动机控制系统功能与结构的关系见表4。

2.3.2控制系统功能危害性分析

控制系统功能危害性分析，用于分析系统的每个功能失效的影响，确定失效状态的危害性等级，某型发动机控制系统功能危害性分析结果见表5。

2.3.3构建功能失效集

依据表3顶层功能FDAL分配的原则和表5提供的功能危害性分析結果，可以确定“发动机丧失停车控制功能”的FDAL为B，以“发动机丧失停车控制功能”为顶事件，依据系统架构采用故障树的分析方法构建“发动机停车控制功能丧失”失效树，如图1所示，确定功能失效集合，将DAL逐层向下分配。

2.3.4研制保证等级分配

根据图1所示的失效树，可以得到以下4种最小失效集合：（1）F1研制错误，且F2研制错误；（2）F1研制错误，且I2研制错误；（3）I1研制错误，且F2研制错误；（4）I1研制错误，且I2研制错误（其中F1代表切油控制功能；F2代表燃油控制功能；I1代表停车电磁阀；I2代表燃油泵-调节器）。根据以上失效集合按照表3推荐的分配原则进行分配，FDAL和IDAL的分配结果见表6。

以上分配方法均符合要求，但从安全的角度考虑，考虑到停车电磁阀不属于高度综合复杂系统，结构简单，较容易实现高可靠性，可以分配较低的研制保证等级；但燃油泵-调节器结构复杂，可以提升产品的研制保证等级。因此，综合考虑安全因素和为了减低研制难度和成本，可采用方案3的分配结果。

需要说明的是，功能/产品FDAL/IDAL的确定应为综合考虑所有顶层失效状态分配的研制保证等级，满足所有DAL分配要求，而不能依据单一的失效状态对功能/产品进行分配。因此，以上分配结果仅为单一失效状态的考虑，非最终分配结果；本文虽以控制系统为例阐述研制保证等级的分配方法，但同样适用于带有复杂电子硬件组成的发动机健康管理系统等其他系统的研制保证等级分配。

3研制过程保证方法研究

ARP 4754A《民用航空产品和系统开发指南》附录A中给出了不同研制保证等级的过程保证方法，其中针对FDAL为A/B的发动机或系统，明确产品开发过程中需要遵循需求捕获和定义、需求分析、功能分解、架构设计、产品实施、安全性评估、需求确认和验证等过程保证，并提供相关的证明材料，实现对产品开发过程的有效管控，最终交付让用户满意的产品。而需求确认和验证是表明产品研制遵循过程保证原则的基本要求，因此，本文基于ARP 4754A的需求确认和需求验证流程，重点介绍不同研制保证等级的需求确认和需求验证的过程保证方法，建立了需求确认矩阵和需求验证矩阵，为发动机研制过程中开展需求确认和需求验证提供指导。

3.1需求确认过程

需求确认过程的目标是保证需求的正确性和完整性。其中，正确性是指需求的描述和属性不存在歧义和错误；完整性是通过建立与顶层的追溯关系，保证全部承接来自顶层或用户的需求[7]。

（1）需求确认的工作流程

需求确认贯穿于整个发动机的研制过程，通过需求分析人员与需求的提出方多次的沟通迭代，不断澄清需求内容，达成一致，提升需求的成熟度；需求确认的工作流程如图2所示。

（2）需求确认计划

需求确认计划主要明确需求确认的人员和责任、确认流程、确认资料以及组织管理规定等，保证需求确认过程的完整性和准确性。

（3）需求确认方法

需求确认方法主要包括追溯性、分析、建模、试验、相似性类比和工程评审等[7]，需求确认所需采用的方法应根据不同需求的研制保证等级进行确定，航空发动机不同研制保证等级的需求确认方法见表7，表7中R表示推荐的方法；A表示可协商的方法；N表示不适用。

从表7中可以看出，对于FDAL为C/D的功能需求，可以仅采用工程评审作为需求确认方法。对于FDALA/B的需求，是直接影响发动机使用安全的关键功能不应仅采用评审的方式进行需求确认，还需要在分析、建模或试验中选择一种方式进行需求确认，保证需求的完整性和准确性。

（4）需求确认矩阵

在DOORS软件中建立需求确认视图，记录并追踪需求定义存在的问题，填写表8需求确认矩阵中各种属性，待需求确认工作达成一致后，形成需求确认矩阵。

（5）需求确认总结

需求确认总结报告对确认的情况进行总体描述，主要包括对确认结果的一致性和遗留问题进行说明。

3.2需求验证过程

需求验证是保证系统的实现是否满足用户的需求[8-9]。需求的验证的严格程度取决于系统实现功能的FDAL，不同FDAL等级的需求验证方法完全不同。

（1）需求验证的工作流程

需求验证通过检查、评审、分析、试验和使用经验等设计验证或试验验证方法，验证需求的满足程度，保证产品设计实现能够满足定义的功能或非功能需求，需求验证的工作流程如图3所示。

（2）需求验证计划

需求验证计划主要明确需求对应的设计验证和试验验证项目、验证方法和验证准则，保证需求的验证按照计划执行。

（3）需求验证方法

航空发动机需求验证的符合性方法见表9，可根据不同研制保证等级的需求类别按照表9的验证方法完成发动机整机、部件系统和零组件层需求验证。

一般来說，针对通用质量特性等非功能需求，本文提出建议的需求验证方法见表10，为发动机各部件、系统和零组件通用质量特性需求的符合性验证提供指导。

（4）需求验证矩阵

在DOORS软件中建立需求验证视图，可以包含表11中属性列，待需求验证工作完成后形成需求验证矩阵。

（5）需求验证总结

需求验证总结应说明需求验证项目的验证结果，确认需求的符合性，针对验证不符合的需求内容提出产品改进和完善的建议。需求验证总结报告应包括以下内容：（1）需求内容，说明验证项目需要满足的需求内容；（2）符合性证明，主要说明试验件状态、试验程序和试验标准等内容；（3）验证结果，说明验证的最终结果；（4）结论，说明对需求的符合情况。

4结束语

本文基于发动机安全性失效影响和研制保证等级的对应关系，以发动机停车控制功能丧失为典型案例建立了航空发动机研制保证等级分配方法；明确了航空发动机不同研制保证等级需求的确认和验证方法，建立了需求确认和验证矩阵，为发动机研制实施过程保证提供了指导，对降低产品研制错误，提升发动机安全性水平具有重要的借鉴意义。

参考文献

[1]Societyof AutomationEngineering.SAE ARP 4754A Guidelines for development of civil aircraft and systems[S]. USA：Society of Automation Engineering S-18 Committee，2010：37-45.

[2]房海涛，刘丹.基于ARP4754的民用飞机复杂系统研制过程保证方法研究[J].航空科学技术，2013，22（1）：52-54. Fang Haitao， Liu Dan. Research on civil aircraft complex system development process assurance method based on ARP 4754[J].Aeronautical Science & Technology，2013，22（1）：52-54.（in Chinese）

[3]黄铭媛，欧旭坡，宋智桃.民用飞机产品研制保证等级分配原则研究[J].航空科学技术，2015，26（7）：6-10. Huang Mingyuan，Ou Xupo， Song Zhitao. Research of development assurance level allocation principles for civil airplane products[J]. Aeronautical Science & Technology，2015，26（7）：6-10.（in Chinese）

[4]Radio Technical Commission for Aeronautics. RTCA DO-254 Design assurance guidance for airborne electronic hardware[S]. USA：Radio Technical Commission for Aeronautics SC-180 Committee，2000：37-45.

[5]Radio Technical Commission for Aeronautics. RTCA DO-178C Software considerations in airborne systems and equipment certification[S].USA：Radio Technical Commission forAeronautics SC-167 Committee，2011：38-55.

[6]中國民用航空局. CCAR-33-R2中国民用航空规章第33部航空发动机适航标准[S].中国：中国民用航空局，2011： 39-42. CivilAviationAdministrationofChina. CCAR-33-R2 Civilation regulation part 33 Aero engineer airworthiness standard[S]. China： Civil Aviation Administration of China， 2011： 39-42.（in Chinese）

[7]席伟俤.基于DOORS的航空发动机FADEC系统需求确认研究与应用[J].航空动力控制，2018，24（3）：27-29. Xi Weidi. Research and application of aero-engine FADEC systemrequirementsconfirmationbasedonDOORS[J]. Journal of Aero-engine Control， 2018， 24（3）：27-29. （in Chinese）

[8]沈腾，孟繁鑫，张浩驰.需求工程方法在机载系统研发中的应用研究[J].航空科学技术，2019，30（12）：23-29.Shen Teng，Meng Fanxin，Zhang Haochi. Application research of requirement engineering method in airborne system development[J]. Aeronautical Science & Technology， 2019， 30（12）：23-29. （in Chinese）

[9]周璇，史肖飞.民用飞机需求变更管理研究[J].航空科学技术，2018，29（10）：70-73. Zhou Xuan， Shi Xiaofei. Research on requirements change management of civil aircraft [J]. Aeronautical Science & Technology，2018，29（10）：70-73.（in Chinese）

[10]中国人民解放军总装备部. GJB 150A军用装备实验室环境试验方法[S].北京：中国标准出版社，2009. PLA General Armaments Department. GJB 150ALaboratory environmental test methods for military materiel[S]. Beijing： standards Press of China，2009. （in Chinese）

[11]Society of Automation Engineering.SAE ARP 4761Guidelines and methods for conducting the safety assessment process on civil airborne system and equipment[S]. USA：Society of Automation Engineering S-18 Committee，1996：37-45.

[12]中国人民解放军总装备部. GJB 899A—2009可靠性鉴定和验收试验[S].北京：总装备部军标出版发行部，2009：27-30. PLA General Armaments Department. GJB 899A—2009 Reliability testing for qualification and production acceptance[S].Beijing：General Armaments Department Military Standard Press，2009：27-30.（in Chinese）

（责任编辑皮卫东）

Research on the Aero-Engine Development Assurance Process Methods

Liu Hainian，Zheng Ning，Gu Yanping，Qu Yanjing

AECC Shenyang Engine Research Institution，Shenyang 110015，China

Abstract： With the increasing complexity and integration of modern aero-engine， the possibility of development errors is more and more higher. How to control the development errors and enhance the aero-engine safety by the development assurance process has become one of the most important focuses for aero-engine developers. This paper illuminates the development assurance process method of aero-engine based on SAE ARP 4754A Guidelines for Development of Civil Aircraft and Systems. The method of the development assurance level definition， development assurance level assignment， requirement validation and requirement verification based on aero-engine are presented to provide guidance for implementing the aero-engine development assurance process.

Key Words： aero-engine； development assurance process； development assurance level； requirement validation； requirement verification