通用飞机综合电子系统安全性设计研究

总结出系统有多少失效状态。在这个分析与归纳的过程中，需要遵循以下原则：

1）安全影响在MIN以下的场景不再作为失效状态，如“飞行中高度指示功能部分丧失”场景；

2）失效模式相同但飞行阶段和安全影响等级不同的场景属于一个失效状态，以最严重的影响来确定其安全等级，如起飞、飞行中和降落三个阶段高度指示功能完全丧失。

按照上述方法依次对各个系统功能进行FHA，可以得到通用飞机综合电子系统的失效状态，如表1所示。

从上表中可以总结出：CAT级失效状态：1个组合功能失效，单一综合电子系统功能失效不会产生CAT影响，但与其他系统功能同时失效会导致该后果；由于失速告警器不属于综合电子系统，因此仅综合电子系统不存在CAT级失效状态。HAZ级失效状态：4个；MAJ级失效状态：10个。

3.3 提出设计建议

根据CS23.1309条款要求和AC23-1309-1D对该条款的解释，对于可能造成CAT或HAZ级别安全影响的功能，其设计应至少满足以下要求：

1）安全等级为CAT的功能，通常采用非相似余度设计避免单点故障，该功能故障发生概率必须<10-9；

2）安全等级为HAZ的功能，其故障发生概率必须<10-7。

从FHA分析中清楚地看到，通用飞机综合电子系统中没有安全等级为CAT的功能，却有一些安全等级为HAZ的功能，它们是空速指示、高度指示、姿态指示、磁航向指示和失速告警。于是在系统设计时需要考虑：

1）安装备份仪表用于空速、高度、姿态、磁航向和失速告警指示功能的冗余，这样可以有效避免单点故障并降低系统级故障发生概率的要求；

2）对于其他功能，如果单项设备的实际故障发生概率大于所要求的概率，可以考虑设计备份冗余；

3）通过增加数据路径，并设计系统重构算法，提高系统的容错重构能力；

4）在ADC、AHRS和失速告警器等设备的设计实现中应考虑其容错能力，包括自检测、余度设计等。

此外FHA证明了综合电子系统初步系统结构中配置两部综合处理机是正确的。如果仅配置一部综合处理机的话，就有可能出现单点故障。

3.3 系统PSSA

在PSSA阶段需要对目前的系统架构进行初步评估，并且分配设備级安全性需求，具体如下：

1）对HAZ级以上的系统失效状态，采用FTA方法，分配设备级安全性需求，表2所示为通用飞机综合电子系统HAZ级以上失效状态的汇总表；

2）评估向下分配的安全性需求是否可行，决定是否将改进系统架构；

3）通过多次迭代调整，最终确定系统架构。

3.4.1 故障树建立

以高度指示错误为例构建故障树，通过定性和定量分析来评估当前的系统结构能否满足系统安全性设计指标，图3至图5为综合电子系统高度指示错误的FTA的各部分，图中可以看到逐级向下分配的安全性指标。电子飞行仪表和机械式高度表均指示高度错误时，将导致综合电子系统高度指示错误，两者属于“与”的关系；FTA的重点集中在电子飞行显示器高度指示错误，可以进一步分解为高度计算错误和高度显示错误，如图3所示。

高度计算错误又分解为GPS高度错误和大气高度错误两种情况，GPS天线失效或GPS卫星网络失效均可导致GPS高度失效，而皮托管失效或ADC失效将导致大气高度错误。由于GPS1和GPS2互为备份，因此GPS1高度和GPS2高度均计算错误显示错误时将导致GPS高度计算错误。而任一部DCU失效均将导致高度显示错误，即GPS高度显示错误和大气高度显示错误。

3.4.2 分配安全性设计指标

根据以往的工程经验为各级失效状态分配所允许的故障发生概率，其中如表3所示，故障树的叶子节点均对应着某个航电设备的功能失效的情况。

为这些叶子节点分配的故障发生概率目标将会转化为具体的软硬件设计需求，用来指导详细设计与产品选型。

3.4.3 故障树定性分析

定性分析的目的是为了找出系统设计中的薄弱环节，检查系统中是否存在单点故障，以及列举出全部最小割集。P（t）表示顶事件的故障率，A表示底事件A的故障率，B表示底事件B的失效率，其他底事件依此类推，应用上行法得到如下的故障树结构函数：

[Pt=A+BA+BC+DC+D+EEEE+F=A+BC+D+E+F（1）=AC+AD+BC+BD+E+F ]

由上述化简结果来看出，在高度指示单元中没有单点故障，其最小割集为：AC、AD、BC、BD、E、F。通过这些割集中每个与门事件分析可以看出，它们之间并不存在共模因素。以AD为例，GPS天线和ADC分别安装在飞机的不同位置，分别由两个独立电源端供电，主电源掉电后系统会自动切换至备用电源，它们之间不存在共模因素。

3.4.4 确定系统DAL

由于高度指示功能的失效状态FC-06和FC-07的安全等级分别为MAJ和HAZ，按照表1中的定义该功能的研制保证等级DAL为B级。同理依据系统失效状态和AC23-1309-1D中安全等级、故障发生概率及DAL关系，为系统功能分配DAL，如下表4所示。

每一个系统功能的DAL最终都是要落实到具体设备上的，在给设备分配DAL时需要注意两点：

1）每个系统功能的DAL决定了实现该功能所需航电设备的DAL；

2）按照“就高不就低”的原则重新核对各个设备的DAL，即不同系统功能对应同一航电设备的DAL可能不同，将选择较高的DAL等级。

以高度指示功能为例，与实现该功能有关的设备有PFD1、PFD2、MFD1、MFD2、DCU1、DCU2、ADC1、ADC2，所以它们的DAL为B级。

3.4.5 FTA结论

应用上述方法将其他几个失效状态进行故障树分析，从分析结果可以发现目前的系统架构设计中不存在单点故障，系统的安全性指标都得到了合理的分配，等待SSA进一步验证系统设计的正确性。

3.5 系统SSA

进入SSA阶段，需要根据零部件厂家由FMEA及FMES分析得出的各零部件的实际故障率（即故障树中底事件的故障率）自下而上地计算故障树中每一层失效状态的发生概率，直至计算出故障树的顶层失效状态的发生概率并确保其满足适航当局的安全性要求。表5列出了高度指示错误故障树中所有底事件的实际故障发生概率λ1及预先分配的故障发生概率λ0。

由于在该故障树中，所有底事件均只出现了一次，因此可以使用“直接分析”法依照故障树中各逻辑门的逻辑关系直接计算顶事件的发生概率。根据以上底事件的失效率和各自的暴露时间，将数值代入1式，计算出顶事件的故障发生概率为4.20E-07，远小于设计之初分配的安全性指标，验证了设计的正确性。

同样应用FMEA和定量FTA方法将其他几个失效状态进行安全性分析，从分析结果可以发现目前的系统架构设计中各个功能单元的故障发生率均低于预先分配的安全性指标，满足安全性要求，进一步验证了系统设计的正确性。表6为综合电子系统各设备的可靠性数据，也可以作为指导其它通用飞机综合电子系统设计的依据。

4 结论

本文应用了民机系统安全性分析与评估的理论，对通用飞机综合电子系统进行安全性设计，通过FHA、PSSA和SSA三个阶段，运行定量与定性FTA、FMEA等方法最终验证系统设计的正确性，探索出来了一条通用飞机综合电子系统架构设计和安全性设计与分析的流程和方法。

参考文献：

[1] A View of Trends in Greneral Aviation Avionics， 2003 AIAA/ICAS International Air and Space Symposium and Exposition： The Next 100 Years， Dayton， OH， July 14-17， 2003.

[2] FAA， AC23.1309-1D System Safety Analysis and Assessment for Part 23 Airplanes， Federal Aviation Administration， 2007.

[3] FAA， AC25.1309-1A System Design and Analysis， Federal Aviation Administration， 2009.

[4] 中國民用航空总局，CCAR-23-R3 正常类、实用类、特技类和通勤类飞机适航规定，2004.

[5] FAA， AC23.1311-1A Installation of Electronic Displays in Part 23 Airplanes， Federal Aviation Administration， 1999.

[6] SAE International. ARP4754 Certification Consideration for Highly Intergated or Complex Aircraft System， The Engineering Society For Advancing Mobility Land Sea Air and Space， 1996.

[7] SAE International. ARP4761 Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment， The Engineering Society For Advancing Mobility Land Sea Air and Space， 1996.

[8] 程明华，姚一平.动态故障树分析方法在软、硬件容错计算机系统中的应用[J].航空学报，2000，21（1）：34-37.

[9] FAA， AC25-11A Electronic Flight Deck Display， Federal Aviation Administration， 2007.

[10] 张磊，林荣超，王国东，等.小型飞机先进综合座舱电子系统架构研究[J].航空计算技术，2010（5）.

[11] 张磊，林荣超，牛文生.小型飞机航空电子系统容错技术研究[J].航空计算技术，2011（1）.