綜合模塊化航電系統(tǒng)適航審定要求分析*

趙長嘯，閻 芳，王 鵬

(中國民航大學 天津市民用航空器適航與維修重點實驗室，天津 300300)

1 引言

機載電子系統(tǒng)是民用飛機機載系統(tǒng)的重要組成部分，占整個飛機成本的40%以上，承擔著許多飛機重要功能，是未來解決航線擁擠，實現(xiàn)全天候、復雜氣象條件起降的關鍵［1］。當前，機載電子系統(tǒng)向高度綜合化發(fā)展，一體化已成為機載電子系統(tǒng)的發(fā)展趨勢?！熬C合模塊化航電系統(tǒng)”(Integrated Modular Avionics，IMA)是指采用系統(tǒng)工程方法，通過系統(tǒng)間的深度耦合和協(xié)同優(yōu)化，對信息處理平臺、互連網(wǎng)絡、傳感器及前端系統(tǒng)等進行綜合設計，執(zhí)行多種飛機功能的電子系統(tǒng)［2］。與傳統(tǒng)的聯(lián)合式系統(tǒng)設計相比，綜合化系統(tǒng)設計具有體積小、重量輕、功耗低、維修性好、可靠性高的特點，能較大地提高飛機的經(jīng)濟性，在當今民用飛機研制中發(fā)揮越來越重要的作用?？湛虯380、波音787 以及我國C919 都采用了IMA 系統(tǒng)架構［3］。

但其作為新興技術，在具有諸多好處的同時，也具有統(tǒng)一平臺、資源共享、程序調用、強健分區(qū)等特性，使得子系統(tǒng)多、功能及邏輯關系復雜，已無法僅通過測試證明其安全性滿足要求，并且在沒有輔助分析工具的情況下很難了解其邏輯。同時，綜合化設計帶來信息處理及信息傳輸?shù)耐暾詥栴}以及系統(tǒng)的深度耦合都對傳統(tǒng)的航電適航審定方法造成沖擊［4］。

我國局方目前尚未頒布針對IMA 系統(tǒng)的審定指導文件，我國的C919 飛機已進入結構總裝階段，并預計2016年首飛，對其IMA 系統(tǒng)的審定將是我國局方目前面臨的一個重大技術難題。本文以國外局方、工業(yè)方的審定資料為基礎，從審定文件體系、符合性驗證方法和適航審定要素等方面進行研究，以期為我國的IMA 系統(tǒng)審定提供支持。

2 IMA 系統(tǒng)研制、適航審定文件體系

IMA 通過在一系列標準化通用功能模塊上加載與硬件無關的軟件，結合機載高速互連網(wǎng)絡共同完成航空電子系統(tǒng)各種功能。IMA 系統(tǒng)的出現(xiàn)對航電系統(tǒng)的研制、集成及適航審定都帶來了挑戰(zhàn)。

為適應機載電子技術的發(fā)展，美國聯(lián)邦航空管理局(Federal Aviation Administration，F(xiàn)AA)于2002年5 月發(fā)布了TSO－C153“綜合模塊化航電硬件單元”［5］，為IMA 硬件提出最低性能標準;2003年發(fā)布了AC 20－145［6］“使用TSO－C153 認證硬件單元的綜合模塊化航電指南”，為使用TSO－C153 認證硬件的IMA 提供裝機批準依據(jù)。航空無線電技術委員會(Radio Technical Commission for Aeronautics，RTCA)于2005年發(fā)布了RTCA DO－297［7］“綜合模塊化航電(IMA)研制指南和審定考慮”，其中描述為增量式的審定以積累信心最后完成安裝批準所需執(zhí)行的目標、過程和活動。FAA 于2010年10月發(fā)布了AC20－170［8］“基于RTCA DO－297 和TSO－C153 的綜合模塊化航電研制、驗證、集成和批準”，正式認可RTCA DO－297，合并AC20－145，并補充其他相關信息。

2.1 IMA 系統(tǒng)研制指導文件

SAE ARP 4754“高度綜合或復雜系統(tǒng)的合格審定考慮”［9］自1996年11 月發(fā)布以來，一直作為系統(tǒng)層級的過程保證要求指導著現(xiàn)代民機行業(yè)的系統(tǒng)研制過程。FAA 也于2003年頒布了AC 25.1309－1B(draft)(2003年)對SAE ARP 4754“高度綜合或復雜系統(tǒng)的合格審定考慮”進行了認可。但是，IMA等綜合復雜系統(tǒng)的快速發(fā)展，使得SAE ARP 4754的適用性問題開始暴露，特別是原文第5.4 節(jié)“研制保證等級分配”的使用，難以完全覆蓋IMA 系統(tǒng)的安全性需求。于是SAE 選擇S－18 委員會開始對此標準進行修訂，修訂的主要目的之一是改進DAL 分配過程。SAE ARP 4754A［10］擴展了設計保證(Design Assurance)概念在飛機和系統(tǒng)級的應用，并規(guī)范研制保證(Development Assurance)術語的使用。引入了飛機和系統(tǒng)的功能研制保證等級(FDAL)，將原文的設計保證等級(Design Assurance Level，DAL)更改為設備研制保證等級(Item Development Assurance Level，IDAL)。在文件體系架構方面引入RTCA DO－297 作為IMA 相關系統(tǒng)的指導文件。

如圖1 和圖2 所示，SAE ARP 4754A 的改版從系統(tǒng)指導文件層面引入了RTCA DO－297，將其放在了和軟件設計指南(DO－178B/C)和硬件設計指南(DO－254)同等重要的位置。

圖1 SAE ARP 4754 中研制指導文件Fig.1 Guideline Document from SAE ARP 4754

圖2 SAE ARP 4754A 中研制指導文件Fig.2 Guideline Document from SAE ARP 4754A

2.2 IMA 系統(tǒng)審定文件體系

IMA 是一種航電系統(tǒng)的體系架構，其多個航電子系統(tǒng)通過一個“虛擬系統(tǒng)”共享航電資源，各子系統(tǒng)間通過“分區(qū)”來進行隔離，各系統(tǒng)的資源耦合更緊密。IMA 系統(tǒng)涉及到系統(tǒng)集成、機載數(shù)據(jù)總線、軟件、硬件等各方面，其中直接與IMA 系統(tǒng)相關的適航審定文件如圖3 所示。

圖3 IMA 系統(tǒng)適航審定文件體系Fig.3 Airworthiness certification documentation for IMA

2.2.1 AC 20－170

FAA AC20－170 通過認可RTCA DO－297 標準中的目標、過程和活動，合并AC 20－145 及其他相關信息，共同形成了一種針對IMA 系統(tǒng)研制、集成、驗證和安裝批準的可接受符合性方法。此資訊通告(Advisory Circular，AC)從系統(tǒng)層面提出了IMA系統(tǒng)審定應遵循的原則和方法，其適用于:包含IMA系統(tǒng)和設備的航空器或發(fā)動機TC、ATC、STC 或ASTC 申請人;IMA 系統(tǒng)、應用和部件的研制商;TSO－C153(IMA 硬件單元)以及IMA 系統(tǒng)的功能TSO申請人;IMA 系統(tǒng)集成商;航空器IMA 系統(tǒng)的安裝人員;IMA 系統(tǒng)批準和持續(xù)適航相關的人員。

2.2.2 AC 20－148［11］

隨著軟件技術的發(fā)展，軟件研制商想要研制可以按照集成商或申請人要求，與其他系統(tǒng)軟件應用共同集成在許多系統(tǒng)目標計算機和環(huán)境中的可重用軟件部件(Reusable Software Component，RSC)，例如軟件庫函數(shù)、操作系統(tǒng)和通信協(xié)議等。此時，RSC 研制商可以只是滿足RTCA/DO－178B 中相關的部分目標，集成商或申請人完成并表明對集成軟件包、系統(tǒng)方面以及航空器審定的符合性。

此AC 為RSC 研制商、集成商和申請人提供一種符合性方法，以獲取局方的接受，并為后續(xù)軟件的重用累積信任度。確保使用RSC 的系統(tǒng)滿足RTCA/DO－178B 中所有相關目標。

2.2.3 TSO C153

此技術標準規(guī)定(TSO)規(guī)定了綜合模塊化航電硬件單元為獲得批準和使用適用的CTSO 標記進行標識所必須滿足的最低性能標準，其中硬件單元包括硬件模塊和裝載硬件模塊的機柜或機架。圖4 為典型的集成航電系統(tǒng)框圖。根據(jù)系統(tǒng)應用的不同需求，所需硬件單元的類型和數(shù)量以及每個單元類型的數(shù)量都可能是不同的。如圖4 所示，機柜或機架中裝滿了不同類型的模塊。典型的模塊類型是處理器、供電、數(shù)據(jù)庫和輸入/輸出模塊。除了機柜或機架，一個完整的系統(tǒng)可以由不同的控制器、顯示器和傳感器構成。任何模擬信號、專用通信總線或系統(tǒng)級雙向通信總線的組合均可提供IMA 系統(tǒng)通信。制造商可以將功能分配到一個或多個機柜機架上的模塊和其他設備。

圖4 包含多個硬件單元的IMA 系統(tǒng)樣例Fig.4 IMA system example containing multiple hardware units

此外，該TSO 還分別從IMA 硬件單元MPS、測試條件、安裝和運營性能等方面介紹最低性能標準制定規(guī)則。

2.2.4 AC 20－156［12］

航空器、發(fā)動機和航電制造商想要利用數(shù)據(jù)總線技術來替代端到端線路和單向數(shù)據(jù)總線(例如ARINC429 數(shù)據(jù)總線)來減少航空器重量和研制/生產時間，并增加機載系統(tǒng)性能。此AC 適用于采用高度綜合復雜數(shù)據(jù)總線技術的型號審定或大改。

數(shù)據(jù)總線在機載現(xiàn)場可更換單元(Line Replaceable Unit，LRU)、現(xiàn)場可更換模塊或航電模塊間傳輸信息。航空器和航電系統(tǒng)制造商希望可以使用不同類型的數(shù)據(jù)總線。隨著在航空器或發(fā)動機數(shù)據(jù)源中集成越來越多的航電部件，要求為大量的數(shù)據(jù)傳輸提供條件，數(shù)據(jù)總線也變得越來越復雜。由于機載系統(tǒng)架構、數(shù)據(jù)單元或數(shù)據(jù)包、協(xié)議、信息傳輸?shù)榷即嬖诖罅康奈锢順嬓秃瓦壿嫎嬓?，使得在配置?shù)據(jù)總線時會非常靈活。如果沒有外部構型控制，很難確定航空器或發(fā)動機的型號設計以及對規(guī)章的符合性。

此AC 為航空器和發(fā)動機審定申請人提供了一種數(shù)據(jù)總線技術研制、選擇、集成的符合性方法，并獲取符合相關要求的批準，其中涵蓋了安全性、數(shù)據(jù)完整性、數(shù)據(jù)總線性能、軟件和硬件保證、電磁兼容、驗證和確認、構型管理、保障性等八個方面，申請人必須確定適用于所申請總線的方面，并嚴格執(zhí)行。

3 IMA 系統(tǒng)審定符合性驗證方法

3.1 研制過程

IMA 系統(tǒng)研制基于通用的，并能被駐留應用共享的IMA 平臺。圖5 為標明潛在共享資源的典型設計，陰影部分為可以被共享的模塊。

圖5 潛在共享資源的典型設計示例Fig.5 Typical design examples of potential shared resources

IMA 研制過程應確保以下內容:

(1)分配給指定IMA 系統(tǒng)的飛機功能與系統(tǒng)設計一致;

(2)確定分配給指定IMA 系統(tǒng)的飛機安全和保障需求，并通過IMA 系統(tǒng)設計滿足這些需求。這應包括系統(tǒng)研制保證、硬件設計保證和軟件等級的分配。這些等級通過飛機級安全性評估過程確定，支持駐留應用實現(xiàn)的飛機功能，同時支持可用性和完整性以及任何工具評估和鑒定的需求;

(3)任何駐留應用的行為都應避免受到IMA 平臺設計中其他應用或功能行為的危害影響。平臺具有強健分區(qū)、資源管理和其他適用于飛機功能和駐留應用的保護方式;

(4)為平臺提供健康監(jiān)控、失效報告處理和故障管理功能，以滿足駐留應用和IMA 系統(tǒng)的具體需求;

(5)建立并維護IMA 平臺、應用、集成商或審定申請人的構型管理;

(6)實施并驗證IMA 系統(tǒng)衍生需求;

(7)實施并驗證關于IMA 系統(tǒng)的人為因素需求。

IMA 系統(tǒng)的研制過程應符合SAE ARP4754A。IMA 系統(tǒng)研制過程應該考慮主要的IMA 特性有靈活性、可重用性和協(xié)同性，這些特性至少影響以下部分的研制:

(1)IMA 平臺——確定可重用和可共享的模塊與資源(包括API 接口和健康監(jiān)控策略);

(2)駐留應用——確定接口和系統(tǒng)交互，以允許應用駐留在平臺上;

(3)IMA 系統(tǒng)——將具體的駐留應用組集成到指定IMA 平臺中。

3.2 審定任務

DO－297 中2.1.2 節(jié)給出如下定義:

(1)接受:局方對模塊、應用或系統(tǒng)符合其定義需求的認可。局方一般通過簽署的信函或數(shù)據(jù)單的形式認可接受，表明提交的數(shù)據(jù)、證明，或者等效的聲明滿足相關的指南或要求，其目標是在合格審定過程中達到對未來使用的信任度;

(2)增量接受:通過認可IMA 模塊、應用和/或未安裝的IMA 系統(tǒng)符合其具體需求，不斷累積信任度，最終獲取批準的過程。增量接受可分解為不同的任務，每個任務中獲取的信任度都為整個審定目標提供支持。增量接受能夠在IMA 系統(tǒng)中集成并接受新的應用和/或模塊，并且維護已有的應用和/或模塊，而不需要重新進行認可。

使用RTCA DO－297 中定義的增量接受過程，其主要的好處是可以在IMA 系統(tǒng)中集成和接受新的部件，并維護已有部件，而不需要重新進行接受認可。這允許:

(1)通過提交已完成的審定數(shù)據(jù)包，在同一審定項目的不同應用中，重用接受的IMA 部件。這減少了當前航空器或發(fā)動機適航取證的工作量，但維護了等效的系統(tǒng)安全性;

(2)通過提交以前完成的審定數(shù)據(jù)包，在后續(xù)審定項目中，重用接受的IMA 部件。這減少了后續(xù)航空器或發(fā)動機適航取證的工作量，但維護了等效的系統(tǒng)安全性。

通常，IMA 系統(tǒng)的審定過程分為6 個任務，任務描述如表1 所示，每個任務都確定相應的增量接受活動，并且都基于之前的任務，即局方在完成底層級接受之前，不會接受基于這些底層任務的更高層任務。例如，為獲取IMA 應用的接受，應該首先獲取所有支持應用的模塊的接受。同理，在接受系統(tǒng)之前，應接受所有構成IMA 系統(tǒng)的應用。

表1 IMA 審定任務概述Table 1 Certification task description of IMA

3.3 安全性評估

IMA 系統(tǒng)的安全性評估，至少應考慮如下內容:

(1)隔離、分割和獨立性，避免失效嚴重程度較低的功能(例如分區(qū)、資源管理、故障管理和保護)影響對安全性影響重大的功能;

(2)避免單點失效和可預見的失效組合對多個功能同時產生影響(例如獨立性、冗余、健康管理和故障管理以及安全性監(jiān)控);

(3)在飛機級和系統(tǒng)級執(zhí)行初步FHA，評估IMA 架構的預期功能、特征和能力;

(4)檢查IMA 平臺的架構設計和安全性相關能力以及強加于飛機級功能分配和駐留應用的限制。例如，對如下內容產生的需求:應用獨立性、分區(qū)、保護、冗余、資源需求、接口通信、性能、網(wǎng)絡接入、和/或與飛機傳感器和作動器的專用連接。該檢查結果即IMA PSSA;

(5)對IMA 平臺行為問題的檢查，包括平臺提供的健康監(jiān)控、資源管理和故障管理能力以及可提供的失效恢復或保護類型;

(6)檢查IMA 平臺的性能，確保其滿足駐留應用的性能需求。

3.4 確認

確認過程應該確保IMA 系統(tǒng)需求是正確的和完整的。該部分為IMA 系統(tǒng)確認提出了總體框架，并補充了ARP4754，典型的確認活動如表2 所示。確認的目標是:

(1)確保IMA 系統(tǒng)所有層級的需求的正確和完整，包括模塊、駐留應用、平臺和IMA 系統(tǒng)需求。每一層級需求都應優(yōu)先于下一層級需求進行確認;

(2)評估IMA 系統(tǒng)架構和駐留應用的功能分配;

(3)通過處理器吞吐時間和用法、存儲器分配、I/O 設備和總線以及其他共享資源，確保分區(qū)保護的強健性;確保冗余、資源管理、健康管理和故障管理需求對于整個IMA 系統(tǒng)是正確和完整的;

(4)確保所有駐留在IMA 系統(tǒng)中應用的安全性、完好性和可靠性需求的兼容;

(5)評估模塊和應用間數(shù)據(jù)耦合與控制耦合;

(6)確保考慮正常運行和降級運行以及它們對飛機安全潛在的影響。

表2 典型確認活動Table 2 Typical validation activities

3.5 驗證

驗證過程應確保系統(tǒng)設計實現(xiàn)已滿足IMA 系統(tǒng)具體需求，典型的驗證活動如表3 所示。

表3 典型驗證活動Table 3 Typical verification activities

4 IMA 系統(tǒng)審定要素和評審要求

IMA 系統(tǒng)的審定過程涉及系統(tǒng)平臺、駐留應用、分區(qū)、構型等各方面，本文以檢查單的形式對各部分的審定關注點進行了歸納，如表4 所示。

表4 IMA 系統(tǒng)適航審定要素及評審要求Table 4 Airworthiness review and assessment eequirements for IMA system

續(xù)表4

5 結論及工作展望

本文分析了現(xiàn)有的針對IMA 系統(tǒng)的研制及審定文件體系，梳理了各適用文件的內容及關注點;根據(jù)適航審定要求，分析了IMA 系統(tǒng)的符合性驗證活動，對IMA 系統(tǒng)適用的增量審定任務進行了歸納總結，給出了典型的確認、驗證活動和安全性分析關注點;最后給出了針對IMA 系統(tǒng)研制、駐留應用研制、資源分配及分區(qū)管理和構型管理的審定要素和評審要求。

IMA 系統(tǒng)審定的另一個特點是“增量審定”。通過對IMA 模塊、IMA 應用軟件、IMA 系統(tǒng)、IMA 飛機級集成、IMA 系統(tǒng)更改及重用等進行增量審定，不斷累積信任度，最終實現(xiàn)IMA 系統(tǒng)批準。下一步將針對IMA 系統(tǒng)各審定階段的評審關注點進行研究，并對IMA 系統(tǒng)特別適用的功能技術標準規(guī)定(Functional TSO)進行研究，完善IMA 系統(tǒng)的審定理論體系。

［1］王鵬，趙長嘯，馬贊.綜合模塊化航電系統(tǒng)失效模型分析［J］.電訊技術，2013，53(11):1406－1411.WANG Peng，ZHAO Changxiao，MA Zan.Failure Model Analysis of Integrated Modular Avionics System［J］.Telecommunication Engineering，2013，53(11):1406－1411.(in Chinese)

［2］熊華鋼，王中華.先進航空電子綜合技術［M］.北京:國防工業(yè)出版社，2009.XIONG Huagang，WANG Zhonghua.Advanced integrated avionics technology ［M］.Beijing:National Defense Industry Press，2009.(in Chinese)

［3］Itier J B.A380 integrated modular avionics［C］//Proceedings of the ARTIST2 Meeting on Integrated Modular Avionics.Roma，Italy:［s.n.］，2007:72－75.

［4］Boniol F，Wiels V.Towards Modular and Certified Avionics for UAV Aerial Robotics［J］.Aerospace Lab Journal，2014(8):1－8.

［5］TSO－ C153，Integrated Modular Avionics(IMA)Hardware Elements［S］.

［6］FAA AC20－145，Guidance For Integrated Modular Avionics(IMA)that Implement TSO－ C153 Authorized Hardware Elements［S］.

［7］RTCA DO－297，Integrated Modular Avionics(IMA)Development Guidance and Certification Considerations［S］.

［8］FAA AC20－170，Integrated Modular Avionics Development.Verification，Integration and Approval using RTCA/DO－297 and Technical Standard Order C153［S］.

［9］SAE ARP4754，Certification Considerations for Highly－Integrated or Complex Aircraft Systems［S］.

［10］SAE ARP4754A，Guidelines for Development of Civil Aircraft and System［S］.

［11］FAA AC20－148，Reusable Software Components［S］.

［12］FAA AC20－156，Aviation Databus Assurance［S］.