劉海年 鄭寧 谷艷萍 屈衍靜

摘要：隨著現(xiàn)代航空發(fā)動機復雜程度和集成程度的增加，產品研制過程中出現(xiàn)錯誤的可能性越來越大，如何通過實施研制過程保證，糾正產品研制中的錯誤和提升發(fā)動機安全性水平已成為航空發(fā)動機設計人員關注的重點之一。本文基于SAE ARP 4754A《民用航空產品和系統(tǒng)開發(fā)指南》的過程保證方法，提出了航空發(fā)動機研制保證等級定義和研制保證等級分配方法，明確了航空發(fā)動機不同研制保證等級需求的確認和驗證方法，建立了發(fā)動機需求確認和驗證矩陣，為實施航空發(fā)動機研制過程保證提供指導。

關鍵詞：航空發(fā)動機；研制過程保證；研制保證等級；需求確認；需求驗證

中圖分類號：V37文獻標識碼：ADOI：10.19452/j.issn1007-5453.2021.06.005

隨著現(xiàn)代航空發(fā)動機復雜程度和集成程度的增加，在實現(xiàn)產品功能、性能和壽命指標提升的同時，也增加了產品的研制難度，導致產品研制過程中出現(xiàn)錯誤的可能性越來越大，這些研制錯誤也會最終影響產品的使用安全。對于航空發(fā)動機這種高度集成的復雜產品，僅僅通過仿真分析、試驗驗證來驗證和糾正產品研制過程中的錯誤幾乎不可能。因此，國外普遍采用ARP 4754A《民用航空產品和系統(tǒng)開發(fā)指南》[1]提供的以研制保證等級為基礎的研制過程保證方法，識別和糾正研制錯誤，實現(xiàn)對研制錯誤的有效控制，并將其帶來的安全性影響降低到可以接受的水平。

本文借鑒《民用航空產品和系統(tǒng)開發(fā)指南》的研制過程保證方法，首先，基于發(fā)動機的安全性失效影響，建立了發(fā)動機失效影響和研制保證等級的對應關系；其次，依據發(fā)動機功能危害性分析（FHA）和功能失效集（FFS）的分析結果，以“發(fā)動機喪失停車控制功能”為例，闡述了航空發(fā)動機研制保證等級的分配方法；最后，基于研制保證等級的分配結果，給出了不同研制保證等級功能需求的確認和驗證方法，規(guī)范產品研制過程保證，實現(xiàn)對產品研制錯誤的有效控制。

1國內外現(xiàn)狀分析

1.1國外現(xiàn)狀分析

ARP 4754A《民用航空產品和系統(tǒng)開發(fā)指南》作為航空產品正向開發(fā)最佳實踐經驗的總結，標準中明確了研制保證等級的定義、分配原則和過程保證方法，實現(xiàn)對飛機及復雜系統(tǒng)研制過程中研制錯誤的有效控制；國外空客、波音、美捷特等先進的飛機企業(yè)和機載設備供應商均采用該方法定義產品的研制保證等級，并在產品設計和開發(fā)過程中實現(xiàn)對產品研制過程的有效控制。

1.2國內現(xiàn)狀分析

國內民用飛機及機載產品的研制中已經開展了研制過程保證控制，并分配了產品研制保證等級[2-3]，國內發(fā)動機行業(yè)尚處于起步階段，雖然是按照產品的重要程度來定義產品的不同研制類別，但沒有基于產品的研制需求從功能失效的影響程度來定義和分配產品的研制保證等級，且在產品研制過程中對產品研制需求的確認和驗證不足，不能實現(xiàn)產品研制過程的有效控制，識別和發(fā)現(xiàn)產品研制的錯誤，進而影響產品研制需求的符合程度，不能保證交付用戶滿意的產品。

2航空發(fā)動機研制保證等級分配方法研究

2.1研制保證等級定義

研制過程保證是通過保證產品研制的規(guī)范性，達到避免出現(xiàn)影響發(fā)動機安全的研制錯誤。而研制保證等級則用來表征研制過程保證的嚴格程度，并依此將研制錯誤發(fā)生的可能性限制在可接受的水平。研制保證等級包括功能的研制保證等級（FDAL）和設備研制保證等級（IDAL），F(xiàn)DAL決定了發(fā)動機和系統(tǒng)功能研制的嚴格程度；IDAL決定了設備所含的軟件和硬件的嚴格程度，其中，F(xiàn)DAL可參考ARP 4754A標準中的相關規(guī)定進行確定，IDAL可依據DO-254[4]和DO-178C[5]標準中的相關規(guī)定進行確定。

ARP 4754A主要針對飛機及復雜系統(tǒng)考慮失效后對飛機的影響來定義產品研制保證等級，航空發(fā)動機作為飛機最重要的復雜系統(tǒng)，其失效影響應根據對飛機的影響進行確定研制保證等級，參考ARP 4754A中的研制保證等級定義，依據航空發(fā)動機適航[6]標準要求，航空發(fā)動機失效導致的危害性影響主要包括災難的、危險的、重大的、較小的和無安全性影響，確定發(fā)動機功能失效影響與研制保證等級的對應關系見表1，結合發(fā)動機功能危害性分析或功能失效集的分析結果，根據功能失效或設備失效導致的頂層功能失效的影響程度，按照表1可以確定航空發(fā)動機產品研制保證等級。通過定義研制保證等級，產品研發(fā)過程中采用更為嚴格的設計保證過程，能夠更好地降低產品的研制錯誤，提高發(fā)動機產品的安全性。

2.2研制保證等級分配方法

研制保證等級的分配應基于安全性評估過程開展，是一個自上而下的過程。研制保證等級的分配過程起始于發(fā)動機整機功能的FDAL分配，然后分配到系統(tǒng)級功能的FDAL，最后分配到零組件層級的IDAL。其中，整機層的工作包括發(fā)動機整機級頂層功能FDAL的確定以及向系統(tǒng)級功能的分配；系統(tǒng)級工作包括將系統(tǒng)的FDAL分配給底層的零組件（包括復雜的機電和電子產品），并由此確定相關零組件的IDAL。航空發(fā)動機研制保證分配層級和主要工作內容見表2，研制保證等級分配方法主要包括不考慮系統(tǒng)架構和考慮系統(tǒng)架構的研制保證等級分配方法。

2.2.1不考慮系統(tǒng)架構的研制保證等級分配

不考慮系統(tǒng)架構的研制保證等級方法主要根據發(fā)動機功能危害性分析結果，根據功能失效導致的最嚴重的失效影響類別按照表1的內容直接分配功能研制保證等級。

通常情況下，采用此種分配方法可能會導致FDAL和IDAL等級偏高，雖然此時發(fā)動機的安全性需求能夠得到滿足，但是過高的研制保證等級會造成產品開發(fā)過程研制成本、研制周期以及資源的浪費，導致產品經濟性不好。

2.2.2考慮系統(tǒng)架構的研制保證等級分配

考慮系統(tǒng)架構時，采用功能失效集（FFS）作為產品研制保證等級的系統(tǒng)性分配方法，在初步系統(tǒng)安全性分析中采用故障樹的分析方法確定導致頂層失效狀態(tài)的所有FFS和每個FFS中的成員。

對于FDAL/IDAL的分配，F(xiàn)FS相當于故障樹的最小割集，其成員代表了潛在研制錯誤而并非失效。一個失效狀態(tài)可以有一個或多個FFS，每個FFS可包括一個或多個成員。借鑒ARP 4754A的分配原則，表3給出了與發(fā)動機頂層失效狀態(tài)類別相關的FFS成員分配FDAL的原則。

2.3航空發(fā)動機控制系統(tǒng)DAL分配案例

本文以航空發(fā)動機控制系統(tǒng)研制保證等級分配為例，闡述研制保證等級的分配過程。

2.3.1系統(tǒng)描述

發(fā)動機控制系統(tǒng)的主要功能如下：主燃油流量控制功能、發(fā)動機停車控制功能、風扇進口可調葉片角度控制功能、防冰控制功能、點火控制功能、發(fā)動機噴口面積控制功能和防喘/消喘控制功能等。

基于控制系統(tǒng)的功能分解和方案設計，確定航空發(fā)動機控制系統(tǒng)由主燃油控制系統(tǒng)、A1及A2控制系統(tǒng)、噴口控制系統(tǒng)、狀態(tài)監(jiān)控系統(tǒng)、防冰控制系統(tǒng)、起動控制系統(tǒng)、點火系統(tǒng)和停車系統(tǒng)等組成，通過對風扇進口可變彎度導向葉片、高壓壓氣機進口可調靜子葉片角度、主燃燒室燃油流量、噴管喉道面積等可調變量實現(xiàn)對發(fā)動機的控制。發(fā)動機控制系統(tǒng)功能與結構的關系見表4。

2.3.2控制系統(tǒng)功能危害性分析

控制系統(tǒng)功能危害性分析，用于分析系統(tǒng)的每個功能失效的影響，確定失效狀態(tài)的危害性等級，某型發(fā)動機控制系統(tǒng)功能危害性分析結果見表5。

2.3.3構建功能失效集

依據表3頂層功能FDAL分配的原則和表5提供的功能危害性分析結果，可以確定“發(fā)動機喪失停車控制功能”的FDAL為B，以“發(fā)動機喪失停車控制功能”為頂事件，依據系統(tǒng)架構采用故障樹的分析方法構建“發(fā)動機停車控制功能喪失”失效樹，如圖1所示，確定功能失效集合，將DAL逐層向下分配。

2.3.4研制保證等級分配

根據圖1所示的失效樹，可以得到以下4種最小失效集合：（1）F1研制錯誤，且F2研制錯誤；（2）F1研制錯誤，且I2研制錯誤；（3）I1研制錯誤，且F2研制錯誤；（4）I1研制錯誤，且I2研制錯誤（其中F1代表切油控制功能；F2代表燃油控制功能；I1代表停車電磁閥；I2代表燃油泵-調節(jié)器）。根據以上失效集合按照表3推薦的分配原則進行分配，F(xiàn)DAL和IDAL的分配結果見表6。

以上分配方法均符合要求，但從安全的角度考慮，考慮到停車電磁閥不屬于高度綜合復雜系統(tǒng)，結構簡單，較容易實現(xiàn)高可靠性，可以分配較低的研制保證等級；但燃油泵-調節(jié)器結構復雜，可以提升產品的研制保證等級。因此，綜合考慮安全因素和為了減低研制難度和成本，可采用方案3的分配結果。

需要說明的是，功能/產品FDAL/IDAL的確定應為綜合考慮所有頂層失效狀態(tài)分配的研制保證等級，滿足所有DAL分配要求，而不能依據單一的失效狀態(tài)對功能/產品進行分配。因此，以上分配結果僅為單一失效狀態(tài)的考慮，非最終分配結果；本文雖以控制系統(tǒng)為例闡述研制保證等級的分配方法，但同樣適用于帶有復雜電子硬件組成的發(fā)動機健康管理系統(tǒng)等其他系統(tǒng)的研制保證等級分配。

3研制過程保證方法研究

ARP 4754A《民用航空產品和系統(tǒng)開發(fā)指南》附錄A中給出了不同研制保證等級的過程保證方法，其中針對FDAL為A/B的發(fā)動機或系統(tǒng)，明確產品開發(fā)過程中需要遵循需求捕獲和定義、需求分析、功能分解、架構設計、產品實施、安全性評估、需求確認和驗證等過程保證，并提供相關的證明材料，實現(xiàn)對產品開發(fā)過程的有效管控，最終交付讓用戶滿意的產品。而需求確認和驗證是表明產品研制遵循過程保證原則的基本要求，因此，本文基于ARP 4754A的需求確認和需求驗證流程，重點介紹不同研制保證等級的需求確認和需求驗證的過程保證方法，建立了需求確認矩陣和需求驗證矩陣，為發(fā)動機研制過程中開展需求確認和需求驗證提供指導。

3.1需求確認過程

需求確認過程的目標是保證需求的正確性和完整性。其中，正確性是指需求的描述和屬性不存在歧義和錯誤；完整性是通過建立與頂層的追溯關系，保證全部承接來自頂層或用戶的需求[7]。

（1）需求確認的工作流程

需求確認貫穿于整個發(fā)動機的研制過程，通過需求分析人員與需求的提出方多次的溝通迭代，不斷澄清需求內容，達成一致，提升需求的成熟度；需求確認的工作流程如圖2所示。

（2）需求確認計劃

需求確認計劃主要明確需求確認的人員和責任、確認流程、確認資料以及組織管理規(guī)定等，保證需求確認過程的完整性和準確性。

（3）需求確認方法

需求確認方法主要包括追溯性、分析、建模、試驗、相似性類比和工程評審等[7]，需求確認所需采用的方法應根據不同需求的研制保證等級進行確定，航空發(fā)動機不同研制保證等級的需求確認方法見表7，表7中R表示推薦的方法；A表示可協(xié)商的方法；N表示不適用。

從表7中可以看出，對于FDAL為C/D的功能需求，可以僅采用工程評審作為需求確認方法。對于FDALA/B的需求，是直接影響發(fā)動機使用安全的關鍵功能不應僅采用評審的方式進行需求確認，還需要在分析、建?；蛟囼炛羞x擇一種方式進行需求確認，保證需求的完整性和準確性。

（4）需求確認矩陣

在DOORS軟件中建立需求確認視圖，記錄并追蹤需求定義存在的問題，填寫表8需求確認矩陣中各種屬性，待需求確認工作達成一致后，形成需求確認矩陣。

（5）需求確認總結

需求確認總結報告對確認的情況進行總體描述，主要包括對確認結果的一致性和遺留問題進行說明。

3.2需求驗證過程

需求驗證是保證系統(tǒng)的實現(xiàn)是否滿足用戶的需求[8-9]。需求的驗證的嚴格程度取決于系統(tǒng)實現(xiàn)功能的FDAL，不同F(xiàn)DAL等級的需求驗證方法完全不同。

（1）需求驗證的工作流程

需求驗證通過檢查、評審、分析、試驗和使用經驗等設計驗證或試驗驗證方法，驗證需求的滿足程度，保證產品設計實現(xiàn)能夠滿足定義的功能或非功能需求，需求驗證的工作流程如圖3所示。

（2）需求驗證計劃

需求驗證計劃主要明確需求對應的設計驗證和試驗驗證項目、驗證方法和驗證準則，保證需求的驗證按照計劃執(zhí)行。

（3）需求驗證方法

航空發(fā)動機需求驗證的符合性方法見表9，可根據不同研制保證等級的需求類別按照表9的驗證方法完成發(fā)動機整機、部件系統(tǒng)和零組件層需求驗證。

一般來說，針對通用質量特性等非功能需求，本文提出建議的需求驗證方法見表10，為發(fā)動機各部件、系統(tǒng)和零組件通用質量特性需求的符合性驗證提供指導。

（4）需求驗證矩陣

在DOORS軟件中建立需求驗證視圖，可以包含表11中屬性列，待需求驗證工作完成后形成需求驗證矩陣。

（5）需求驗證總結

需求驗證總結應說明需求驗證項目的驗證結果，確認需求的符合性，針對驗證不符合的需求內容提出產品改進和完善的建議。需求驗證總結報告應包括以下內容：（1）需求內容，說明驗證項目需要滿足的需求內容；（2）符合性證明，主要說明試驗件狀態(tài)、試驗程序和試驗標準等內容；（3）驗證結果，說明驗證的最終結果；（4）結論，說明對需求的符合情況。

4結束語

本文基于發(fā)動機安全性失效影響和研制保證等級的對應關系，以發(fā)動機停車控制功能喪失為典型案例建立了航空發(fā)動機研制保證等級分配方法；明確了航空發(fā)動機不同研制保證等級需求的確認和驗證方法，建立了需求確認和驗證矩陣，為發(fā)動機研制實施過程保證提供了指導，對降低產品研制錯誤，提升發(fā)動機安全性水平具有重要的借鑒意義。

參考文獻

[1]Societyof AutomationEngineering.SAE ARP 4754A Guidelines for development of civil aircraft and systems[S]. USA：Society of Automation Engineering S-18 Committee，2010：37-45.

[2]房海濤，劉丹.基于ARP4754的民用飛機復雜系統(tǒng)研制過程保證方法研究[J].航空科學技術，2013，22（1）：52-54. Fang Haitao， Liu Dan. Research on civil aircraft complex system development process assurance method based on ARP 4754[J].Aeronautical Science & Technology，2013，22（1）：52-54.（in Chinese）

[3]黃銘媛，歐旭坡，宋智桃.民用飛機產品研制保證等級分配原則研究[J].航空科學技術，2015，26（7）：6-10. Huang Mingyuan，Ou Xupo， Song Zhitao. Research of development assurance level allocation principles for civil airplane products[J]. Aeronautical Science & Technology，2015，26（7）：6-10.（in Chinese）

[4]Radio Technical Commission for Aeronautics. RTCA DO-254 Design assurance guidance for airborne electronic hardware[S]. USA：Radio Technical Commission for Aeronautics SC-180 Committee，2000：37-45.

[5]Radio Technical Commission for Aeronautics. RTCA DO-178C Software considerations in airborne systems and equipment certification[S].USA：Radio Technical Commission forAeronautics SC-167 Committee，2011：38-55.

[6]中國民用航空局. CCAR-33-R2中國民用航空規(guī)章第33部航空發(fā)動機適航標準[S].中國：中國民用航空局，2011： 39-42. CivilAviationAdministrationofChina. CCAR-33-R2 Civilation regulation part 33 Aero engineer airworthiness standard[S]. China： Civil Aviation Administration of China， 2011： 39-42.（in Chinese）

[7]席偉俤.基于DOORS的航空發(fā)動機FADEC系統(tǒng)需求確認研究與應用[J].航空動力控制，2018，24（3）：27-29. Xi Weidi. Research and application of aero-engine FADEC systemrequirementsconfirmationbasedonDOORS[J]. Journal of Aero-engine Control， 2018， 24（3）：27-29. （in Chinese）

[8]沈騰，孟繁鑫，張浩馳.需求工程方法在機載系統(tǒng)研發(fā)中的應用研究[J].航空科學技術，2019，30（12）：23-29.Shen Teng，Meng Fanxin，Zhang Haochi. Application research of requirement engineering method in airborne system development[J]. Aeronautical Science & Technology， 2019， 30（12）：23-29. （in Chinese）

[9]周璇，史肖飛.民用飛機需求變更管理研究[J].航空科學技術，2018，29（10）：70-73. Zhou Xuan， Shi Xiaofei. Research on requirements change management of civil aircraft [J]. Aeronautical Science & Technology，2018，29（10）：70-73.（in Chinese）

[10]中國人民解放軍總裝備部. GJB 150A軍用裝備實驗室環(huán)境試驗方法[S].北京：中國標準出版社，2009. PLA General Armaments Department. GJB 150ALaboratory environmental test methods for military materiel[S]. Beijing： standards Press of China，2009. （in Chinese）

[11]Society of Automation Engineering.SAE ARP 4761Guidelines and methods for conducting the safety assessment process on civil airborne system and equipment[S]. USA：Society of Automation Engineering S-18 Committee，1996：37-45.

[12]中國人民解放軍總裝備部. GJB 899A—2009可靠性鑒定和驗收試驗[S].北京：總裝備部軍標出版發(fā)行部，2009：27-30. PLA General Armaments Department. GJB 899A—2009 Reliability testing for qualification and production acceptance[S].Beijing：General Armaments Department Military Standard Press，2009：27-30.（in Chinese）

（責任編輯皮衛(wèi)東）

Research on the Aero-Engine Development Assurance Process Methods

Liu Hainian，Zheng Ning，Gu Yanping，Qu Yanjing

AECC Shenyang Engine Research Institution，Shenyang 110015，China

Abstract： With the increasing complexity and integration of modern aero-engine， the possibility of development errors is more and more higher. How to control the development errors and enhance the aero-engine safety by the development assurance process has become one of the most important focuses for aero-engine developers. This paper illuminates the development assurance process method of aero-engine based on SAE ARP 4754A Guidelines for Development of Civil Aircraft and Systems. The method of the development assurance level definition， development assurance level assignment， requirement validation and requirement verification based on aero-engine are presented to provide guidance for implementing the aero-engine development assurance process.

Key Words： aero-engine； development assurance process； development assurance level； requirement validation； requirement verification