飞机综合电子系统安全性设计研究

1、Word - 6 -飞机综合电子系统安全性设计研究 总结出系统有多少失效状态。在这个分析与归纳的过程中，需要遵从以下原则： 1）平安影响在MIN以下的场景不再作为失效状态，如“飞翔中高度指示功能部分丧失”场景； 2）失效模式相同但飞翔阶段和平安影响等级不同的场景属于一个失效状态，以最严峻的影响来确定其平安等级，如起飞、飞翔中和降临三个阶段高度指示功能彻低丧失。 根据上述办法依次对各个系统功能举行FHA，能够获得通用飞机综合电子系统的失效状态，如表1所示。 从上表中能够总结出：CAT级失效状态：1个组合功能失效，单一综合电子系统功能失效不会产生CAT影响，但与其他系统功能同时失效会导致该后果；因

2、为失速告警器不属于综合电子系统，因此仅综合电子系统不存在CAT级失效状态。HAZ级失效状态：4个；MAJ级失效状态：10个。 3.3 提出设计建议 按照CS23.1309条款要求和AC23-1309-1D对该条款的解释，对于可能造成CAT或HAZ级别平安影响的功能，其设计应至少满足以下要求： 1）平安等级为CAT的功能，通常采纳非相像余度设计避开单点故障，该功能故障发生概率必需10-9； 2）平安等级为HAZ的功能，其故障发生概率必需10-7。 从FHA分析中清晰地看到，通用飞机综合电子系统中没有平安等级为CAT的功能，却有一些平安等级为HAZ的功能，它们是空速指示、高度指示、姿势指示、磁航向

3、指示和失速告警。于是在系统设计时需要考虑： 1）安装备份仪表用于空速、高度、姿势、磁航向和失速告警指示功能的冗余，这样能够有效避开单点故障并降低系统级故障发生概率的要求； 2）对于其他功能，假如单项设备的实际故障发生概率大于所要求的概率，能够考虑设计备份冗余； 3）利用增强数据路径，并设计系统重构算法，提升系统的容错重构本事； 4）在ADC、AHRS和失速告警器等设备的设计实现中应考虑其容错本事，包括自检测、余度设计等。 此外FHA证实了综合电子系统初步系统结构中配置两部综合处理机是正确的。假如仅配置一部综合处理机的话，就有可能浮现单点故障。 3.3 系统PSSA 在PSSA阶段需要对目前的系

4、统架构举行初步评估，并且分配设備级平安性需求，详细如下： 1）对HAZ级以上的系统失效状态，采纳FTA办法，分配设备级平安性需求，表2所示为通用飞机综合电子系统HAZ级以上失效状态的汇总表； 2）评估向下分配的平安性需求是否可行，打算是否将改进系统架构； 3）利用多次迭代调节，终于确定系统架构。 3.4.1 故障树建立 以高度指示错误为例构建故障树，利用定性和定量分析来评估当前的系统结构能否满足系统平安性设计指标，图3至图5为综合电子系统高度指示错误的FTA的各部分，图中能够看到逐级向下分配的平安性指标。电子飞翔仪表和机械式高度表均指示高度错误时，将导致综合电子系统高度指示错误，两者属于“与”

5、的关系；FTA的重点集中在电子飞翔显示器高度指示错误，能够进一步分解为高度计算错误和高度显示错误，如图3所示。 高度计算错误又分解为GPS高度错误和大气高度错误两种状况，GPS天线失效或GPS卫星网络失效均可导致GPS高度失效，而皮托管失效或ADC失效将导致大气高度错误。因为GPS1和GPS2互为备份，因此GPS1高度和GPS2高度均计算错误显示错误时将导致GPS高度计算错误。而任一部DCU失效均将导致高度显示错误，即GPS高度显示错误和大气高度显示错误。 3.4.2 分配平安性设计指标 按照以往的工程阅历为各级失效状态分配所允许的故障发生概率，其中如表3所示，故障树的叶子节点均对应着某个航电

6、设备的功能失效的状况。 为这些叶子节点分配的故障发生概率任务将会转化为详细的软硬件设计需求，用来指导具体设计与产品选型。 3.4.3 故障树定性分析 定性分析的目的是为了找出系统设计中的薄弱环节，检查系统中是否存在单点故障，以及列举出所有最小割集。P（t）表示顶大事的故障率，A表示底大事A的故障率，B表示底大事B的失效率，其他底大事依此类推，应用上行法获得如下的故障树结构函数： Pt=A+BA+BC+DC+D+EEEE+F=A+BC+D+E+F（1）=AC+AD+BC+BD+E+F 由上述化简结果来看出，在高度指示单元中没有单点故障，其最小割集为：AC、AD、BC、BD、E、F。利用这些割集中

7、每个与门大事分析能够看出，它们之间并不存在共模因素。以AD为例，GPS天线和ADC分离安装在飞机的不同位置，分离由两个自立电源端供电，主电源掉电后系统会自动切换至备用电源，它们之间不存在共模因素。 3.4.4 确定系统DAL 因为高度指示功能的失效状态FC-06和FC-07的平安等级分离为MAJ和HAZ，根据表1中的定义该功能的研制保证等级DAL为B级。同理依据系统失效状态和AC23-1309-1D中平安等级、故障发生概率及DAL关系，为系统功能分配DAL，如下表4所示。 每一个系统功能的DAL终于都是要执行到详细设备上的，在给设备分配DAL时需要注重两点： 1）每个系统功能的DAL打算了实现

8、该功能所需航电设备的DAL； 2）根据“就高不就低”的原则重新核对各个设备的DAL，即不同系统功能对应同一航电设备的DAL可能不同，将挑选较高的DAL等级。 以高度指示功能为例，与实现该功能有关的设备有PFD1、PFD2、MFD1、MFD2、DCU1、DCU2、ADC1、ADC2，所以它们的DAL为B级。 3.4.5 FTA结论 应用上述办法将其他几个失效状态举行故障树分析，从分析结果能够发觉目前的系统架构设计中不存在单点故障，系统的平安性指标都获得了合理的分配，等待SSA进一步验证系统设计的正确性。 3.5 系统SSA 进入SSA阶段，需要按照零部件厂家由FMEA及FMES分析得出的各零部件

9、的实际故障率（即故障树中底大事的故障率）自下而上地计算故障树中每一层失效状态的发生概率，直至计算出故障树的顶层失效状态的发生概率并确保其满足适航当局的平安性要求。表5列出了高度指示错误故障树中全部底大事的实际故障发生概率1及预先分配的故障发生概率0。 因为在该故障树中，全部底大事均只浮现了一次，因此能够使用“直接分析”法依照故障树中各规律门的规律关系直接计算顶大事的发生概率。按照以上底大事的失效率和各自的裸露时光，将数值代入1式，计算出顶大事的故障发生概率为4.20E-07，远小于设计之初分配的平安性指标，验证了设计的正确性。 同样应用FMEA和定量FTA办法将其他几个失效状态举行平安性分析，从分析结果能够发觉目前的系统架构设计中各个功能单元的故障发生率均低于预先分配的平安性指标，满足平安性要求，进一步验证了系统设计的正确性。表6为综合电子系统各设备的牢靠性数据，也能够作为指导另外通用