民機系統研制中的共模分析方法及發展趨勢

【摘 要】本文描述了民機系統研制中開展共模分析的一般方法與步驟，隨后剖析了隨著民機系統的高度綜合復雜化，共模分析所遇到的挑戰以及可能需要關注的發展方向，同時闡述了適航審查中的難點問題，在上述基礎上總結了對于我國民機系統研制的相關啟示。

【關鍵詞】共模分析；安全性評估；功能失效集；公共資源；綜合模塊化航電（IMA）

【Abstract】The current menthod and steps for conducting common mode analysis（CMA） in civil aircraft development is described in this paper firstly， then challenges for CMA due to civil aircraft systems become highly integrated and complex are analyzed， followed by the introduction of future CMA development trends and key issues in airworthiness. The revelation for the domestic civil aircraft development is then summarized.

【Key words】Common Mode Analysis； Safety Assessment； Functional Failure Set； Common Resource； Integrated Modular Avionics（IMA）

0 引言

共因分析（Common Cause Analysis， CCA）是民機系統安全性評估的一項重要內容，貫穿于飛機設計制造的整個過程。CCA包括特定風險分析（Particular Risks Analysis， PRA）、共模分析（Common Mode Analysis， CMA）和區域安全分析（Zonal Safety Analysis， ZSA）三部分內容。其中，共模分析用于檢驗功能、系統或者組件之間的獨立性以滿足安全性要求，表明對民航規章CCAR/FAR/CS 25.1309條款以及其它特定要求的符合性。共模分析能提供這樣的證據：被假設為獨立的失效確實是獨立的。應從組件設計到飛機級設計的所有層面上實施該項分析，從而確認導致相關失效狀態的失效組合內事件之間的獨立性，識別出可能的共模失效，消除其對于系統架構中獨立性的影響或將之降到最低[1]。

1 當前民機共模分析方法

根據工業標準與民機研制項目實際工程經驗，共模分析是一項定性分析，其基本概念如圖1所示。具體來講CMA的輸入來自于功能危險性分析（Functional Hazard Assessment， FHA）和初步系統安全性評估（Preliminary System Safety Assessment， PSSA），它為系統安全性評估（System Safety Assessment， SSA）提供證明，即所有的獨立性原則在需要時都都得到了應用。應對設計實施、制造、維修中的錯誤以及損害冗余度設計原則的系統部件進行分析。一旦要求的冗余或獨立性受到影響，則需要證明影響的可接受性。PRA和ZSA不屬于CMA的特定部分。但是當PRA和ZSA識別出潛在的共模問題時，CMA應當考慮這些問題[2]。

通常在民機研發工程項目中，共模分析分為建立檢查單、確定獨立性需求清單、進行共模判定三個步驟實施，具體描述如下。

1.1 建立檢查單

應基于相關資料示例和以往的經驗（常識或者相似飛機上的經驗）得出具體的共模檢查單。檢查單的詳細程度取決于所分析技術和系統的復雜程度和新穎程度。在具體工程實施中考慮的共模源通常包括：軟件開發錯誤、硬件研制錯誤、硬件失效、安裝錯誤、環境因素、共同的外部源故障等等。

1.2 確定獨立性要求清單

獨立性要求主要來自于FHA、PSSA和故障樹（Fault Tree Analysis， FTA）的分析當中。對于每一個災難性的（Catastrophic）或危險的（Hazardous）失效狀態，識別每一個“與”門事件（故障樹中的“與”門），并確定相關的設計獨立性原則（為了識別出FTA中“與”門相關事件，一個可接受的方法是檢查包含2個或者更多失效組合的最小割集）。此外，獨立性需求也可能來自于設計中考慮的、需要驗證的獨立性原則或假設。

1.3 進行共模判定

對于1.2中得到的每一個共模分析的獨立性要求，都應當分析與之相關的每個可能的共模失效或錯誤，以驗證對獨立性要求的符合性。對于共模分析不可接受的情況，建議可能的解決辦法并開始設計糾正，持續跟蹤糾正措施，最終確定設計的可接受性。

根據大量工程實施經驗，在對于“與”門事件進行初步判斷時，可以根據“與”門輸入的類型確定分析時需要考慮分析的因素，表1提供了該方面的參考。

共模分析的輸出是CMA報告，對于共模的不可接受情況，需要發布不符合檢查單，共模分析之外開展可接受性程序。共模分析的結果經摘要后將作為SSA報告的一部分，提交適航審查。

2 共模分析的發展趨勢

伴隨技術的發展，民用飛機系統復雜程度愈發提高。譬如，綜合模塊化航電（Integrated Modular Avionics， IMA）系統的應用大幅增加了飛機功能的綜合性和復雜性，大量相同模塊的采用會導致故障傳播可能性提高。目前航空業界愈加強調要降低發生系統性失效和共因失效的風險，其本質在于復雜系統和綜合性的飛機級功能出現研制錯誤和不良或非預期影響的風險會更大[3]。

IMA系統架構與之前的聯邦式系統的一個顯著區別在于，IMA的基礎架構的失效可以影響到共同使用到相關資源的所有系統。這種共享資源的失效可以引起直接使用這些資源的功能的失效、部分失效或者冗余的喪失，這種直接引起的故障稱為“主要影響”，它們往往是可以直接通過分析或試驗確定的。失效的共享資源產生的次要影響（也通常稱作“級聯故障”）通常由直接使用該共享資源的功能與未直接使用該共享資源的功能之間數據彼此相關而導致。更復雜的是，這種數據間的相關性可能在整個鏈路中存在更多的鏈接，因此影響到了多項功能。圖2以IMA系統的設計為例給出了一個案例[4]。

功能A在左右兩個獨立的IMA機柜中駐留，當左側機柜的計算模塊失效時，造成了A功能的冗余度喪失（輸出的左側xyz-L數據喪失）。而功能B正常會使用到功能A駐留在不同的計算模塊中的兩個輸出參數xyz-L和xyz-R，并且為了保證完整性指標，功能B必須要比較這兩個獨立的輸出參數xyz-L和xyz-R。這種情況下，由于xyz-L已經無效，因此功能B的輸出參數abc無效。功能C由于要采用abc進行某些計算，因此也無法正常實現其預期功能。最終，按照設計架構，功能C的失效信息通過機組告警系統送達駕駛艙。

如圖2所示這種級聯失效案例對于之前聯邦式架構同樣存在，但是由于當今民機系統的高度綜合復雜，許多級聯失效效應無法被明顯識別出來，系統間與功能間的潛在交互比之前高出數倍。因此，共模分析除了需要關注之前飛機失效狀態所提出的獨立性要求，還需關注由于系統架構關聯性導致出現的新的失效狀態。不同失效狀態所相關的系統可能共用了組件、架構或者資源，這些共同元素可能會導致產生新的項目前期未定義出的飛機失效狀態。比如，一個單點失效可能對于某幾個系統單獨造成的影響都是較小的（Minor），但當這些較小的失效狀態同時發生時，有可能造成危險的或者災難性的失效狀態?；谏鲜霰尘?，本文提出今后民機系統共模分析的發展趨勢主要包括2.1-2.3這三個方面。

2.1 對功能失效集的研究

隨著新的工業標準SAE ARP 4754A的發布，共模分析的范疇可能從主要面向軟硬件失效的故障樹上有所拓展，還需要研究在研發過程中利用故障樹進行研制保證等級分配時得出的功能失效集（Functional Failure Sets， FFS）是否恰當。如果有失效狀態可能由于單獨的A級成員導致（無論是功能研制保證等級FDAL A還是軟硬件研制保證等級IDAL A），那么必須對該成員詳細描述并重點研究，對出現以上情況的FFS可能需要分析人員與局方審查人員持續關注與反復審查。由于FDAL和IDAL是早期就在初步飛機安全性評估（PASA）和初步系統安全性評估（PSSA）中分配的，這些情況可能分析人員已經知曉并且進行了分析，也有一些情況可能后續在CMA過程中才會繼續加以識別。如圖3所示的研制保證等級分配案例，可以明顯得知該災難性的飛機失效狀態有如下5種最小FFS：{F1錯誤，F2錯誤}、{F1錯誤，I3錯誤}、{I1錯誤，F2錯誤}、{I1錯誤，I3錯誤}、{I2錯誤}，“I2錯誤”構成了單一成員的FFS，其IDAL被分配為A級，必須對其進行詳細的分析與審查工作。

2.2 對公共資源系統的研究

需要確保資源類系統不能破壞任何架構的獨立性要求，并且不產生任何新的飛機級失效狀態。飛機公共資源類系統（電源、液壓源、航電網絡等）的失效對于某一個其它飛機系統的影響應當是清晰的并且在相關SSA中進行闡述，然而可能有多個飛機系統在使用該資源系統，資源系統的失效可能造成多系統產生失效的效應，這樣就可能產生新的飛機失效狀態。正如前文所述，一個資源系統的失效可能對于某幾個系統單獨造成的影響都是較小的，但當這些較小的失效狀態同時發生時，有可能造成危險的或者災難性的失效狀態。

2.3 對分析工具的研究

通過故障樹驗證“與”門獨立性的做法可能在今后應對綜合復雜民機系統設計，尤其是存在多種級聯效應的情況存在一定漏洞，正如前文所述，因為某些通用設計架構的采用可能會導致新的失效狀態。目前業界正在研究的基于模型的安全性分析方法今后可能對傳統的共模分析方面提供一定幫助，除了因其本身具有的使系統設計與安全性分析更加緊密結合，迭代分析更加易于操作等特點之外，主要還因為通過模型的仿真，安全性工程師通過實施相關故障注入可以得到共模失效事件發生時對整個系統造成的影響，并且還可以借助計算機窮舉出各種失效組合與某個失效狀態之間的關聯性。麻省理工學院等研究機構利用STAMP/STPA方法模型對IMA系統的安全性分析已經發表了相關研究成果[5]。

3 適航審查的關注點

共模分析也成為民用飛機適航審查中的關注重點，對于潛在共模失效的設計特征的可接受性往往又是其中的一個難點，歐洲航空安全局EASA和美國聯邦航空局FAA往往對某些技術的采用上也可能存在不同的觀點。

比如，對于共模失效的一項設計防范措施差異性（Diversity）或者叫非相似性（Dissimilarity），歐美工業界的觀點就存在差異。具體舉例而言，歐洲的空中客車公司對于A320、A330和A340的電傳飛控系統設計中就采取了非相似設計的策略。具體舉例來說，空客公司在A320的飛控計算機設計時采用了2種不同類型的計算機（兩種計算機名分別為SEC和ELAC），這兩種計算機由不同的制造商提供，它們的處理器、計算機架構、功能規范都不相同。每一個計算機當中都有一個計算通道和一個監控通道，而每一個通道的軟件程序也不相同。因此，在A320的飛控系統的控制與監控中，總共有4個不同的軟件包在起作用?？湛凸鞠Ｍㄟ^軟硬件的非相似設計來緩解冗余系統中共模失效問題。

然而，FAA對于這種非相似的設計卻有不同的觀點，他們認為由于非相似設計對于系統設計帶來的保護程度是無法量化的，因此采取多樣性或者非相似的設計，僅僅能夠作為一種額外的保護措施，最重要的仍然是對于飛機研發執行足夠嚴酷的研制保證過程。FAA還認為非相似設計某種程度上還會造成系統功能喪失的可能性提高，這是由于非相似的部分之間會比較出某些瞬時的超過相關閾值的差異等等[6]。對于高度綜合復雜系統的相似性設計，FAA會提出很高的適航要求，通?？赡苄枰裼蔑w機制造商使用評審、分析、仿真、試驗等手段，開展各個層級嚴格的確認與驗證活動。

4 小結

綜上，由于目前民機系統日趨高度綜合復雜，共模分析對于飛機安全性評估也顯得格外關鍵。在我國民機研制項目中，需要嚴格對災難性的和危險的飛機失效狀態開展共模分析，尤其針對那些高度綜合復雜系統。在共模分析開展過程中，需要關注軟硬件的設計錯誤對關鍵功能的影響，同時關注飛機公共資源失效造成的全局影響。相應地在設計研發活動當中，可以適當應用SAE ARP 4754A中的流程，將可能的共模錯誤降到可接受的水平。

【參考文獻】

[1]Society of Automotive Engineer（SAE） International. Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S]. 1996.

[2]Zdzislaw H. Klim Marek Balazinski. Methodology for the Common Mode Analysis[C]. AeroTech Congress & Exhibition Los Angeles， California September 17-20， 2007： 1-6.

[3]馮臻，王京婭.民機系統研制中關于限制研制錯誤的考慮[J].科技視界，2015：67，150.

[4]Gregg Bartley， Barbara Lingberg. Certification Concerns of Integrated Modular Avionics（IMA） Systems[C]. 27th Digital Avionics Systems Conference， IEEE， Piscataway， NJ， 2008， pp. 1.E.1-1–1.E.1-12.

[5]Cody Harrison Fleming， Nancy G. Leveson. Improving Hazard Analysis and Certification of Integrated Modular Avionics[J]. Journal of Aerospace Information System， Vol. 11， No. 6， June 2014：397-410.

[6]Jeffrey Voas， Anup Ghosh， Frank Charron， Lora Kassab. Reducing Uncertainty About Common-Mode Failures[R]. 1997： 1-12.

[責任編輯：楊玉潔]