常向廷 董 偉 楊雨薇

（中國航空工業(yè)集團(tuán)公司西安航空計算技術(shù)研究所，陜西 西安 710068）

0 引言

伴隨著民用航空技術(shù)的進(jìn)一步發(fā)展以及低空城市空中交通場景的逐步到來，適航性對于我國的民航事業(yè)變得越來越重要。通過前一階段的積累，我國對航空器產(chǎn)品的適航取證有了一定的經(jīng)驗，并且對機(jī)載電子設(shè)備適航的相關(guān)研究也逐漸展開[1]。隨著民用航空發(fā)展戰(zhàn)略的持續(xù)推進(jìn)，需要進(jìn)一步在機(jī)載電子設(shè)備適航領(lǐng)域形成適合自身發(fā)展情況的理論方法，并開展相關(guān)的實(shí)踐活動，以提升機(jī)載電子設(shè)備的研制和適航取證技術(shù)水平。

結(jié)構(gòu)設(shè)計是機(jī)載電子設(shè)備研制的重要組成部分，其內(nèi)容主要包括外形設(shè)計、熱設(shè)計、強(qiáng)度設(shè)計、電磁兼容設(shè)計和防護(hù)設(shè)計等。由于當(dāng)前的復(fù)雜電子設(shè)備在飛行關(guān)鍵系統(tǒng)中承擔(dān)著越來越多的功能，且隨著產(chǎn)品應(yīng)用場景的逐漸豐富和小型化、輕量化的不斷推進(jìn)，機(jī)載電子設(shè)備結(jié)構(gòu)設(shè)計正面臨越來越大的挑戰(zhàn)。為了提高設(shè)備的可靠性和安全性，降低后期出錯的概率和維護(hù)成本，需要在設(shè)備設(shè)計過程中引入一些滿足適航標(biāo)準(zhǔn)的開發(fā)要求，以期在早期消除或減少設(shè)計錯誤[2]。而且，基于適航要求開展機(jī)載電子設(shè)備結(jié)構(gòu)設(shè)計對于推動相關(guān)產(chǎn)品的系列化和標(biāo)準(zhǔn)化，提升產(chǎn)品質(zhì)量和市場競爭力均具有重要的意義。

因此，本文主要針對當(dāng)前機(jī)載電子設(shè)備發(fā)展的實(shí)際情況，結(jié)合適航相關(guān)的規(guī)程、標(biāo)準(zhǔn)和指南，對機(jī)載電子設(shè)備結(jié)構(gòu)設(shè)計的標(biāo)準(zhǔn)化流程和適航符合性驗證進(jìn)行了詳細(xì)剖析，旨在為相關(guān)設(shè)備產(chǎn)品的研發(fā)和適航取證工作提供借鑒。

1 機(jī)載電子設(shè)備研發(fā)生命周期

早期的機(jī)載電子設(shè)備結(jié)構(gòu)和功能相對簡單，一般通過最終的產(chǎn)品測試可以發(fā)現(xiàn)并消除設(shè)計錯誤。然而，由于當(dāng)前的機(jī)載電子設(shè)備結(jié)構(gòu)和功能變得越來越復(fù)雜，一方面，導(dǎo)致設(shè)計過程中引入設(shè)計錯誤的可能性大大增加，另一方面，通過后期簡單的狀態(tài)測試難以發(fā)現(xiàn)所有設(shè)計缺陷，這就要求研發(fā)人員在產(chǎn)品測試之外，還要采用標(biāo)準(zhǔn)化的研制流程來提高設(shè)備的安全性和可靠性。除了減少設(shè)計錯誤，采用標(biāo)準(zhǔn)化研制流程還有一個好處，就是在需求、設(shè)計和驗證測試之間建立可追溯性，良好的可追溯性能為產(chǎn)品的安全使用和后期維護(hù)提供了有力保障。

2002年，RTCA（航空無線電委員會）和EUROCAE（歐洲民用航空設(shè)備組織）共同制定并發(fā)布了DO-254標(biāo)準(zhǔn)《機(jī)載電子硬件設(shè)計保證指南》[3]，DO-254為機(jī)載電子硬件提供了標(biāo)準(zhǔn)化的設(shè)計保證指南，于2005年被FAA（美國聯(lián)邦航空局）頒布的咨詢公告AC 20-152正式認(rèn)可。本文也通過DO-254來說明機(jī)載電子設(shè)備的研制流程。

根據(jù)DO-254，機(jī)載電子設(shè)備的研發(fā)生命周期可以大體分為前期過程、設(shè)計過程、支持過程和后期過程四部分（圖1）。前期過程主要包括對設(shè)備的安全性評估過程和制定總體研制計劃的過程；設(shè)計過程是設(shè)備研制的主體部分，包括需求分析、概要設(shè)計、詳細(xì)設(shè)計、實(shí)現(xiàn)和生產(chǎn)轉(zhuǎn)換等過程；支持過程包括確認(rèn)與驗證、構(gòu)型管理、過程保證和適航聯(lián)絡(luò)，它們共同為設(shè)備的設(shè)計過程提供保障，以確保各項適航要求和技術(shù)目標(biāo)得以滿足；后期過程主要指對設(shè)計生產(chǎn)的產(chǎn)品進(jìn)行最終的驗收測試，并推動產(chǎn)品的系列化。

圖1 機(jī)載電子設(shè)備的研發(fā)生命周期

結(jié)構(gòu)設(shè)計作為機(jī)載電子設(shè)備研制的一個重要組成部分，其相關(guān)活動同樣應(yīng)該按照圖1所示的流程開展。值得注意的是，圖1所列的研制流程只代表了大體上的順序，各個過程本質(zhì)上是不斷循環(huán)和迭代的。在整個機(jī)載電子設(shè)備結(jié)構(gòu)設(shè)計周期中，工作的重點(diǎn)和難點(diǎn)主要有安全性評估、需求分析、確認(rèn)與驗證和適航符合性驗證（適航聯(lián)絡(luò)）等幾個部分，下文將一一進(jìn)行說明。

2 適航條款解讀和安全性評估

在CCAR-23-R3和CCAR-25-R4中，沒有專門針對機(jī)載電子設(shè)備結(jié)構(gòu)的條款，與其有關(guān)聯(lián)的適航條款主要為D章（設(shè)計與構(gòu)造）和F章（設(shè)備）。D章針對民航產(chǎn)品的材料、制造方法、緊固件、結(jié)構(gòu)保護(hù)、可達(dá)性措施、材料強(qiáng)度性能和設(shè)計值以及裝配相關(guān)的系數(shù)等給出了安全性要求，這些要求對于作為民航產(chǎn)品其中一部分的機(jī)載電子設(shè)備同樣適用。在實(shí)際工作中，這些條款需要與機(jī)載電子設(shè)備的工藝、安裝鎖緊、三防、更換維護(hù)和強(qiáng)度等結(jié)構(gòu)設(shè)計方面的工作相匹配，并通過技術(shù)指南或規(guī)范，將這些要求融合到具體的設(shè)計過程中。除上述專用條款之外，CCAR-23-R3的F章總則中的23.1301和23.1309條款分別對機(jī)載設(shè)備的功能、安裝以及安全性提出了通用的要求。這是兩條特殊的適航條款，尤其是23.1309條款，不僅對設(shè)備的安全性提出了綱領(lǐng)性的要求，明確了需要控制的各類安全風(fēng)險，同時也規(guī)定了為表明設(shè)備滿足安全性要求而采用的驗證方法。所有的機(jī)載設(shè)備除滿足其本身特定功能相關(guān)的適航條款外，還都必須滿足23.1301和23.1309條款的要求。所以這兩條條款需要在設(shè)備結(jié)構(gòu)設(shè)計和符合性驗證過程中重點(diǎn)關(guān)注。對于這兩條條款，文獻(xiàn)[4]進(jìn)行了詳細(xì)的分析解讀。

安全性評估工作是在對適航條款深入解讀的基礎(chǔ)上完成的，用來證明民用飛機(jī)與系統(tǒng)符合審定要求和制造商內(nèi)部安全標(biāo)準(zhǔn)。對于系統(tǒng)來說，安全性評估的內(nèi)容主要包括功能危險性評估（FHA）、初步系統(tǒng)安全性評估（PSSA）、系統(tǒng)安全性評估（SSA）和共因分析（CA）。通過多個階段系統(tǒng)層級PSSA的進(jìn)行，在最低層級，可以確定與硬件安全性有關(guān)的設(shè)計要求。

對于具體的機(jī)載電子硬件而言，其安全性評估是與SSA過程一起進(jìn)行的，并用于支持SSA過程。SSA過程將安全性目標(biāo)轉(zhuǎn)換為設(shè)備的安全性要求，這些要求包括基本安全性目標(biāo)和關(guān)于設(shè)備功能與結(jié)構(gòu)的安全屬性。通過這一過程，來證明硬件設(shè)備已經(jīng)滿足適用的飛機(jī)鑒定要求的安全性需求。通過硬件的安全性評估，可以得到每種結(jié)構(gòu)相關(guān)的硬件失效狀態(tài)及其研制保證等級，而后者作為初始輸入將開啟設(shè)備的設(shè)計過程。

整體的安全性評估是在具體設(shè)計工作開展之前完成的。不過，在整個研發(fā)生命周期中，安全性評估工作是始終存在并不斷推進(jìn)的，直到最終的設(shè)計滿足相應(yīng)的安全性標(biāo)準(zhǔn)。對于機(jī)載電子設(shè)備結(jié)構(gòu)相關(guān)安全性評估工作的具體開展，需要結(jié)構(gòu)設(shè)計人員、適航聯(lián)絡(luò)人員和局方不斷溝通交流，確定具體的方案，以確保所有相關(guān)的適航要求能在機(jī)載電子設(shè)備結(jié)構(gòu)層級被落實(shí)。

3 需求分析

機(jī)載電子設(shè)備研制生命周期的頂層包括這些設(shè)備功能的識別和與這些功能相關(guān)的需求以及其他方面的需求。按照來源不同分類，機(jī)載電子設(shè)備的需求分為安全性需求、功能性需求、補(bǔ)充的合格審定需求和衍生需求（表1），其中安全性需求來源于安全性評估過程。對機(jī)載電子設(shè)備結(jié)構(gòu)專業(yè)來說，需求分析著重指安全性需求和功能性需求。安全性和功能性方面的部分需求是直接由主機(jī)或其他客戶基于自身的使用場景提出的，主要是重量、機(jī)械接口、散熱、強(qiáng)度、表面防護(hù)或電磁兼容等方面的需求。另外一部分需求是結(jié)構(gòu)設(shè)計專業(yè)本身基于產(chǎn)品安全使用、安裝和維護(hù)等提出的通用設(shè)計要求。

表1 機(jī)載電子設(shè)備的需求分類

與安全性評估類似，需求分析過程也是貫穿于整個設(shè)備研發(fā)生命周期。在研制初始階段，基于對問題的初步理解，形成初始的需求分析結(jié)果，隨著研制過程的進(jìn)行，對問題的理解更加深入，識別的需求可能發(fā)生變更。所以，設(shè)備研制部門應(yīng)該明確需求分析流程，建立完整的需求管理制度。在設(shè)備開發(fā)周期中，需求分析和管理要與研制工作協(xié)調(diào)進(jìn)行，確保每一條需求在設(shè)計和制造的產(chǎn)品中得以滿足。

4 確認(rèn)與驗證

確認(rèn)與驗證是支持過程中的核心內(nèi)容之一，它們既是保證電子設(shè)備研發(fā)過程符合規(guī)章要求的方法，也是設(shè)備合格審定的關(guān)鍵。確認(rèn)的目的是評估產(chǎn)品需求是否正確和完整，各種需求是否適合產(chǎn)品的研發(fā)過程。驗證的目的是評估實(shí)現(xiàn)的產(chǎn)品是否符合預(yù)定的需求，產(chǎn)品研發(fā)的每個階段是否符合需求所確定的程序和標(biāo)準(zhǔn)。確認(rèn)的目標(biāo)是各類需求，驗證的目標(biāo)是產(chǎn)品質(zhì)量。

確認(rèn)的方法包括可追溯性、分析、建模、仿真、試驗、相似性（經(jīng)驗）、工程評審等，驗證的方法包括檢查或評審、分析、建模、試驗或演示等。ARP-4754和RTCA/DO-254對這些方法進(jìn)行了描述，但并未說明這些方法如何選擇和使用。對于某一具體的電子設(shè)備產(chǎn)品，其伴隨產(chǎn)品結(jié)構(gòu)設(shè)計的確認(rèn)和驗證模型如圖2所示。

圖2 產(chǎn)品研制過程中的確認(rèn)和驗證活動

需求確認(rèn)是在設(shè)計過程中不斷進(jìn)行的，而驗證活動需要針對不同的產(chǎn)品層級和研制階段逐步進(jìn)行。例如，對于產(chǎn)品的概要設(shè)計，可以通過分析、評審等方法對概要設(shè)計方案進(jìn)行初步的驗證。對于詳細(xì)設(shè)計得到的產(chǎn)品方案和實(shí)物，需要通過分析、仿真、試驗和評審方法等進(jìn)行詳細(xì)的驗證。通過這種分層級和分階段的確認(rèn)和驗證過程，以確保各類需求是正確的，并在產(chǎn)品中得到了具體滿足。對于機(jī)載電子設(shè)備結(jié)構(gòu)設(shè)計部門而言，要努力發(fā)展散熱、強(qiáng)度、電磁兼容等方面的分析、仿真、試驗方法，同時建立產(chǎn)品可追溯性和各項評審機(jī)制，提升確認(rèn)和驗證能力。對于不同的產(chǎn)品，要根據(jù)其具體需求和產(chǎn)品特點(diǎn)，選擇合適的方法，并經(jīng)過長期的實(shí)踐和經(jīng)驗積累，不斷完善需求確認(rèn)和產(chǎn)品驗證的方法及選用準(zhǔn)則。

5 適航審定和符合性驗證

民機(jī)產(chǎn)品機(jī)載設(shè)備的適航批準(zhǔn)方式主要有三種：技術(shù)標(biāo)準(zhǔn)規(guī)定項目批準(zhǔn)（CTSOA）、零部件制造人批準(zhǔn)（PMA）和隨機(jī)批準(zhǔn)[5]，它們適用于不同的產(chǎn)品類型。早期和現(xiàn)階段的機(jī)載設(shè)備絕大部分是采用隨機(jī)批準(zhǔn)的方式進(jìn)行的，這種方式雖然成本低，流程簡單，但得到的批準(zhǔn)沒有適航證書，對應(yīng)的電子設(shè)備產(chǎn)品不具有通用性。隨著機(jī)載電子設(shè)備復(fù)雜性和重要性的日益凸顯，CTSOA和PMA批準(zhǔn)將會越來越受重視，且在民航器零部件批準(zhǔn)中的占比也必將大幅度提升。

中國民用航空局（CAAC）在2020年發(fā)布的AP-21-AA-2020-12 和AP-21-AA-2020-13 中分別規(guī)定了CTSOA和PMA取證方式的合格審定流程?？傮w而言，二者的審定流程均包括申請、受理、審查、頒證和證后管理等五個環(huán)節(jié)。具體來說，申請和受理的目的是確定審定基礎(chǔ)，審查的目的是驗證符合性。這幾個方面也是整個適航審定工作的重點(diǎn)。圖3是由AP-21-AA-2020-12給出的CTSOA取證流程圖[6]。

圖3 CTSOA合格審定流程

在整個審查流程中，對于機(jī)載電子設(shè)備結(jié)構(gòu)來說，工作的重點(diǎn)和難點(diǎn)是符合性方法的選用和符合性驗證的實(shí)施。為了統(tǒng)一審查雙方的認(rèn)識，便于信息交流，AP-21-AA-2011-03-R4匯總了局方認(rèn)可的適用于民航器及其零部件的符合性驗證方法，并以代碼MC0-MC9表示[7]。在這其中，適用于機(jī)載電子設(shè)備產(chǎn)品的方法主要有MC0（符合性聲明）、MC1（說明性文件）、MC2（分析/計算）、MC3（安全評估）、MC4（試驗室試驗）和MC6（飛行試驗）等。表2從機(jī)載電子設(shè)備結(jié)構(gòu)設(shè)計角度給出了這些方法的使用說明。具體實(shí)施中，應(yīng)針對不同的設(shè)備特點(diǎn)和需要驗證的內(nèi)容，選用不同的符合性驗證方法。例如，對于產(chǎn)品結(jié)構(gòu)所用材料，可通過建立并提供穩(wěn)定、成熟的材料規(guī)范（MC1）和工藝規(guī)范（MC1）進(jìn)行符合性驗證。對于服役環(huán)境對設(shè)備結(jié)構(gòu)的影響，可以采用高低溫試驗、振動試驗、沖擊試驗等環(huán)境試驗（MC4）進(jìn)行符合性驗證。需要注意的是，符合性驗證方法選用的基本原則是既要保證產(chǎn)品設(shè)計各項指標(biāo)滿足符合性驗證基礎(chǔ)的要求，也要盡可能地降低適航符合性驗證成本，縮短驗證時間。對于符合性驗證，設(shè)備研制部門應(yīng)通過相關(guān)的實(shí)踐活動，積累驗證方法選用的經(jīng)驗，全方位提升驗證能力。

表2 機(jī)載電子設(shè)備的符合性方法和使用說明

6 結(jié)束語

本文基于DO-254對機(jī)載電子設(shè)備的標(biāo)準(zhǔn)化研制流程進(jìn)行了研究，對其中的適航條款解讀和安全性評估、需求分析、確認(rèn)與驗證、適航符合性驗證等重難點(diǎn)工作進(jìn)行了深入剖析，并就如何應(yīng)對這些問題從機(jī)載電子設(shè)備結(jié)構(gòu)設(shè)計的專業(yè)角度給出了建議性的應(yīng)對措施。推動面向適航要求的機(jī)載電子設(shè)備結(jié)構(gòu)設(shè)計有助于機(jī)載電子設(shè)備適航體系的建設(shè)，進(jìn)而提升民機(jī)電子設(shè)備的產(chǎn)品競爭力，對于推進(jìn)我國民用航空發(fā)展具有重要意義。