摘要：共模分析是一種定性的分析方法，在航空器的系統(tǒng)安全性評估過程中常常用于對獨立性原則的驗證。隨著現(xiàn)代航空器機載設(shè)備的集成化和復(fù)雜化的產(chǎn)生，采用各種冗余方法來提高安全性，而產(chǎn)生共模失效是降低安全性的重要因素之一，因此掌握共模分析方法的應(yīng)用是必要的。文章結(jié)合國內(nèi)某輕型公務(wù)機研制的工程實踐針對共模分析技術(shù)的應(yīng)用進行了介紹。

關(guān)鍵詞：共模分析技術(shù)；航空器；CMA要求；機載設(shè)備；共模事件

中圖分類號：TP212 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-2374（2014）19-0035-03

1 概述

共模故障（common mode failure）是指可能影響多個單元獨立性的事件，早在美國核反應(yīng)堆安全性研究報告（WASH-1400，1975）中就提出了相關(guān)的概念。而在SAE ARP 4761-1996對共模分析的方法及其應(yīng)用案例進行了詳細(xì)描述，作為民用航空在適航審定過程中推薦使用的系統(tǒng)安全性評估方法之一。

共模分析（CMA）的分析對象主要是那些可能破壞獨立性原則而最終導(dǎo)致災(zāi)難性失效狀態(tài)的潛在共模故障、級聯(lián)故障和多重故障。隨著現(xiàn)代航空器機載設(shè)備的集成化和復(fù)雜化的產(chǎn)生，采用各種冗余方法來提高安全性，而產(chǎn)生共模失效是降低安全性的重要因素之一，因此掌握共模分析方法的應(yīng)用是必要的。

2 共模分析過程

圖1描述了共模分析的過程以及與其他活動的接口關(guān)系，共模分析（CMA）可分為CMA要求的產(chǎn)生和CMA要求的驗證以及針對設(shè)計架構(gòu)的評估兩個過程。

2.1 CMA要求的產(chǎn)生

CMA要求的產(chǎn)生可按照以下四個步驟進行：

（1）由FHA/PSSA失效狀態(tài)、安全性設(shè)計準(zhǔn)則（設(shè)計規(guī)范）以及相似型號的服役經(jīng)驗等確定的獨立性設(shè)計原則構(gòu)建CMA要求，并形成清單。

（2）針對獨立性原則清單的每個項目選擇并確定可能的共模源，并形成CMA檢查單作為記錄。

（3）對于每一個共模源進行研究并確定導(dǎo)致其發(fā)生的共模失效和/或錯誤。

（4）對避免或減少共模故障影響的設(shè)計要求進行確認(rèn)并將其分配落實。

2.2 CMA要求的驗證以及針對設(shè)計架構(gòu)的評估

CMA要求的驗證以及針對設(shè)計架構(gòu)的評估又可分為兩個步驟：

（1）逐項檢查CMA要求的符合性，記錄檢查結(jié)果形成CMA報告。

（2）將檢查不符合項及可能產(chǎn)生風(fēng)險反饋至設(shè)計過程和PSSA/SSA過程，并持續(xù)跟蹤。

圖1 共模分析過程

3 分析實例介紹

3.1 研究背景

某輕型公務(wù)機航空電子系統(tǒng)，集成了指示與記錄、通信和導(dǎo)航系統(tǒng)，主要實現(xiàn)通信和導(dǎo)航、飛行管理、人機控制、綜合顯示、參數(shù)及故障信息記錄、告警信息處理、維護等功能。指示記錄系統(tǒng)采用三屏配置主要由主飛行顯示器（PFD）、多功能顯示器（MFD）、發(fā)動機/機身參數(shù)顯示器組成。通信系統(tǒng)主要由音頻控制器、甚高頻電臺及配套天線、耳機話筒、放電刷等組成。導(dǎo)航系統(tǒng)主要由大氣數(shù)據(jù)系統(tǒng)、姿態(tài)及方位、無線電導(dǎo)航、衛(wèi)星導(dǎo)航、飛行管理系統(tǒng)和失速告警系統(tǒng)組成。

3.2 確定系統(tǒng)CMA要求

航空電子系統(tǒng)FHA/PSSA的結(jié)果將作為CMA分析的輸入，系統(tǒng)FHA（僅部分）摘要見表1：

表1 FHA摘要

綜合考慮系統(tǒng)的性能包括設(shè)計架構(gòu)、安裝、維修程序等因素，并參考系統(tǒng)PSSA過程認(rèn)為可能導(dǎo)致影響?yīng)毩⑿栽瓌t的共模源見表3。

3.3 CMA要求的驗證以及針對設(shè)計架構(gòu)的評估

CMA要求的驗證主要針對表1所列出的航空電子系統(tǒng)可能導(dǎo)致的災(zāi)難性失效狀態(tài)。具體的驗證內(nèi)容如下：

首先，PFD和MFD姿態(tài)信息顯示應(yīng)與地平表應(yīng)急顯示保證獨立性/PFD和MFD高度信息顯示應(yīng)與高度表應(yīng)急顯示保證獨立性。

（1）主飛行顯示器和應(yīng)急儀表（地平表和高度表）的制造商不同，使用不同的硬件，同時采用獨立的電源進行供電。

（2）針對設(shè)備的安裝環(huán)境，航空電子系統(tǒng)的LRU依據(jù)DO 160F進行測試，保證設(shè)備不會因環(huán)境因素導(dǎo)致共模故障的發(fā)生。

其次，不應(yīng)出現(xiàn)導(dǎo)致所有PFD顯示誤導(dǎo)姿態(tài)信息的共模故障。

（1）主飛行顯示和多功能顯示單元使用不同的、獨立安裝的I/O，10″和15″之間不同形式的電源、不同使用溫度范圍的CPU。

（2）主飛行顯示器和多功能顯示器所占用的電路板與CPU的電路板采用獨立的電源，每個電路板都采用了防止短路和觸電虛接的設(shè)計措施。

（3）采用軟件的研制保證等級由AC23.1309-1E的原則進行分配，并采用DO178B的規(guī)定進行了測試，證明未出現(xiàn)軟件錯誤。

（4）在系統(tǒng)層面和設(shè)備層面按照分別進行了設(shè)計需求評審，并持續(xù)跟蹤需求實現(xiàn)的過程。

（5）大氣數(shù)據(jù)計算機1和2、綜合航電單元1和2、航姿基準(zhǔn)組件1和2、主飛行顯示器和多功能顯示器均采用了獨立的匯流條供電，并設(shè)置了兩個電源輸入端口。

（6）系統(tǒng)的重要設(shè)備布置于駕駛艙儀表板后并采取了必要的通風(fēng)、冷卻措施，保證了設(shè)備在比較良好的環(huán)境下工作。

（7）航空電子系統(tǒng)的所有LRU都通過測試證明能夠滿足閃電、HIRF、電壓尖峰的防護要求。

（8）航空電子系統(tǒng)供應(yīng)商取得了ISO9001質(zhì)量體系認(rèn)證，質(zhì)量審查認(rèn)為產(chǎn)品能夠滿足設(shè)計要求，系統(tǒng)裝機前的試驗檢測系統(tǒng)運行狀態(tài)是否在正常的范圍內(nèi)。

（9）在產(chǎn)品上設(shè)置了永久性的標(biāo)識以防止維修差錯，相關(guān)的維修程序也寫入飛機維修手冊，可以通過手冊的使用進行驗證。

由以上分析可以不存在可能導(dǎo)致“喪失所有姿態(tài)信息顯示”、“顯示誤導(dǎo)的姿態(tài)信息”、“喪失所有氣壓高度信息顯示”、“顯示誤導(dǎo)的高度信息”的共模故障。

4 結(jié)語

上文僅針對航空電子系統(tǒng)部分失效狀態(tài)進行了共模故障分析，并不是完整的分析過程。CMA使用的是一種窮舉法，保證共模源的完整是比較困難的，因此分析者豐富的經(jīng)驗十分重要，經(jīng)驗以及對每個產(chǎn)品深入的了解能夠幫助我們發(fā)現(xiàn)更多的、可能發(fā)生的共模

事件。

參考文獻(xiàn)

[1] SAE ARP 4754A，Guidelines for Development of Civil Aircraft and Systems，2010.

[2] SAE ARP 4761，Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment，1996.

[3] Advisory Circular23.1309，System Design and Analysis.

作者簡介：王濤，中航通飛研究院有限公司助理工程師，研究方向：民機系統(tǒng)安全性評估與驗證技術(shù)。endprint