《机载维护系统通用要求》

1HB8691—2021机载维护系统通用要求本标准规定了机载维护系统（以下简称OMS）的要求和验证。本标准适用于民用运输类飞机，其它飞机可参考使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包含勘误的内容）或修订版均不适用于本标准。凡是不注日期的引用文件，其最新版本适用于本标准。CCAR-25-R4中国民用航空规章第25部〈运输类飞机适航标准〉GB/T16251-2008工作系统设计的人类工效学原则GJB451A可靠性维修性保障性术语GJB3385测试与诊断术语HB5940-1986飞机系统电磁兼容性要求HB6167-2014机载设备环境条件和试验方法HB6892航空飞行器零部件的互换性和替换性HB7704民用飞机综合模块化航空电子系统封装与接口HB8437民用飞机飞行控制系统通用要求HB20097-2012航空装备信息显示人机工程设计准则HB/Z295-1996机载系统和设备合格审定中的软件考虑HB/Z402-2013民用飞机综合模块化航空电子系统设计指南HB/Z415-2014民用飞机机载电子设备通用指南HB/Z420-2014民用飞机机载电子硬件合格审定保证指南HB/Z422-2014民用飞机综合模块化航空电子系统开发与认证指南ARINC604-1-88自检测设备设计使用指南（Guidancefordesignanduseofbuilt-intestequipment）DO-160/EUROCAEED-14机载设备的环境条件和测试程序（Environmentalconditionsandtestproceduresforairborneequipment）DO-178/EUROCAEED-12机载系统和设备认证中的软件考虑（Softwareconsiderationsinairbornesystemsandequipmentcertification）DO-254机载电子硬件设计保证指南（Designassuranceforairborneelectronichardware）SAEARP4754高度综合或复杂飞机系统的适航取证考虑（Certificationconsiderationsforhighly-integratedorcomplexaircraftsystems）SAEARP4761民用飞机机载系统和设备安全性评估过程的指南和方法（Guidelinesandmethodsforconductingthesafetyassessmentprocessoncivilairbornesystemsandequipment）3术语、定义和缩略语3.1术语和定义下列术语和定义适用于本文件。2HB8691—20213.1.1级联效应cascadedeffect由于发生故障的单元或模块的输出因故障出现异常继而影响下游单元或模块功能正常执行的效应。3.1.2机载维护系统onboardmaintenancesystem机载维护系统以综合显示方式为机组维护人员提供飞机维护信息的显示，以集中化的控制方式为机载维护人员提供飞机维护操作的触发。主要完成飞机上成员系统的故障状态信息、构型信息、状态监视信息的采集（可借助ARINC664、ARINC429等总线）；根据故障诊断模型，解算故障状态数据，生成、存储故障报告数据；识别构型信息的更改状态，生成、存储构型报告数据；根据状态监控模型，解算状态监视数据，生成、存储状态监视记录数据、状态监视报告数据；支持维护记录数据的打印、下载；支持成员系统的交互式维护测试（IBIT）；支持符合现场加载规范要求的成员系统可加载项的现场加载；通过维护访问终端，为用户提供维护操作的人机交互接口，用以支持维护信息的查询、维护操作的触发。3.1.3扩展维护extendedmaintenance识别或证实故障状态，隔离故障到单个LRU/LRM，更换、调整或修理有故障的单元或模块，验证系统恢复正常运行，用比通常更多的时间完成维护。3.1.4容错faulttolerance系统或LRU/LRM的内置能力，允许系统带一定数量的故障继续履行规定的功能。故障的数量取决于系统的冗余和可靠性要求，但引起失效的故障至少为2个。3.1.5驾驶舱效应flightdeckeffect用于向飞机机组成员告知飞机功能失效状态的视觉或听觉指示。3.1.6地面测试groundtest操作员通过中央维护功能的控制面板输入启动的规程。3.1.7隔离isolation把故障确定到实施修理所要求的产品层次的过程。3.1.8航线维护linemaintenance识别或证实故障状态，隔离故障到单个LRU/LRM，更换、调整或修理有故障的单元或模块，验证系统恢复正常运行。3.1.9成员系统membersystem直接或通过数据网关向中央维护功能进行报告的系统。3.2缩略语下列缩略语适用于本文件。ACARS——飞机通信寻址和报告系统（aircraftcommunicationsaddressingandreportingsystemACMF——飞机状态监控功能（aircraftconditionmonitoringfunction）；ACRF——飞机构型报告功能（aircraftconfigurationreportingfunctionADN——飞机数据网络（aircraftdatanetwork）；AMI——飞机/航线可更改信息（aircraft/airlinemodifiableinformationARINC——航空无线电公司（aeronauticalradioincorporation）；ATA——航空运输协会（airtransportassociation）；BIT——机内测试（built-intest）；BITE——机内自检测设备（built-intestequipment）；3HB8691—2021CDA——驾驶舱显示应用（cockpitdisplayapplication）；CMF——中央维护功能（centralmaintenancefunction）；DAM——数据访问管理器（dataaccessmanagerDLF——数据加载功能（dataloadfunction）；ELS——电子库系统（electroniclibrarysystem）；FDE——驾驶舱效应（flightdeckeffect）；FLS——现场可加载软件（fieldloadablesoftware）；GBSS——地面支持软件（groundbasedsupportsoftware）；HIRF——高强度辐射区域（highintensityradiatedfields）；HTTPS——超文本传输安全协议（hypertexttransferprotocoloversecuresocketlayerIBIT——启动BIT（initiatedBIT）；IMA——综合模块化航空电子（integratedmodularavionics）；LRM——航线可更换模块（linereplaceablemodule）；LRU——航线可更换单元（linereplaceableunit）；MAT——维护访问终端（maintenanceaccessterminal）；MCM——维护通信管理器（maintenancecommunicationmanagerMFD——多功能显示器（multi-functiondisplay）；MS——成员系统（memberssystem）；MTBF——平均故障间隔时间（meantimebetweenfailures）；NVM——非易失性存储器（non-volatilememoryOMD——机载维护文档（onboardmaintenancedocumentation）；OMS——机载维护系统（onboardmaintenancesystem）；OMSF——机载维护支持功能（onboardmaintenancesupportfunction）；PAA——参数存取应用（parameteraccessapplication）；PDA——维护数据提供显示应用（PMATdisplayapplication）；PMAT——便携式维护访问终端（portablemaintenanceaccessterminal）；PMD——维护数据提供（provisionofmaintenancedata）；SATCOM——卫星通信（satellitecommunication）；SRU——内场可更换单元（shopreplaceableunit）；SSM——标志状态矩阵（signstatusmatrix）；UTC——世界标准时（coordinateduniversaltime）。4要求4.1尺寸系统各部件的尺寸应满足专用规范要求。4.2重量应结合具体设计需求，在保证强度、刚度要求和安全性相关的功能、性能的条件下，使系统和各部件的重量最小。4.3外观质量系统各部件的外表面不应有目视可见的影响外观质量的锈蚀、划伤、压痕、漆层脱落、变形、气孔、裂纹等缺陷，且无锐边、棱角及尖锐凸起，引出线及连接器应完整无损。4.4材料材料的选用应根据以下原则：4HB8691—2021a)当某些材料都能满足设备要求时，应选择使用特性范围最广和允许公差最大的材料；b)当某些材料的质量高于设备所要求的质量时，在不增加成本时，可以采用这些材料；c)尽量不采用聚氯乙烯(PVC)材料；d)尽量采用阻燃材料；e)在符合可靠性，安全性的前提下,尽量选用无铅材料；f)不得采用有毒和含有其他危险物质的材料；g)应根据HB/Z415-2014中4.3e的优先次序选用标准材料。4.5设备指示灯如果在驾驶舱内装有和OMS相关的警告灯、戒备灯和提示灯，除适航当局另行批准外，灯的颜色应符合下列规定：a)红色，用于警告灯；b)琥珀色，用于戒备灯；c)绿色，用于安全工作灯；d)任何其他颜色，用于本条a)至c)未作规定的灯，该颜色要足以同a)至c)规定的颜色相区别，以避免混淆。4.6安装OMS设备安装的要求有：a)OMS必须保证在各种可预期的运行条件下能完成预定功能；b)飞机系统与有关部件的设计，在单独考虑以及与其他系统一同考虑的情况下，符合以下规定：c)发生任何妨碍飞机继续安全飞行与着陆的失效状态的概率为极不可能；d)发生任何降低飞机能力或机组处理不利运行条件能力的其他失效状态的概率为不可能。e)必须通过分析，必要时通过适当的地面、飞行或模拟器试验，来表明符合b）的规定；f)在表明设备的设计和安装符合a）和b）的规定时，必须考虑临界环境条件；g)必须按照CCAR-25-R4.1709条的要求对电气线路互联系统进行评估。4.7供电OMS应满足：当由于电源供电瞬变或其他原因产生的瞬变时,不会导致重要负载不工作。4.8组成及架构4.8.1联合式航电系统中OMS的组成联合式航电系统中的OMS组成一般包括：a)中央维护计算机，驻留CMF、ACMF和ACRF；b)每个MS的LRU中故障检测与机内自检测设备（BITE）的硬件及软件；c)MS和中央维护计算机间的接口；d)驾驶舱的维护访问终端（MAT）；e)电子库系统（ELS）；f)机载打印机；g)可选择的一个或多个远程PMAT。典型航电系统的OMS架构如图1所示。5HB8691—2021图1联合式航电系统中的OMS架构4.8.2IMA系统中OMS的组成IMA系统可由以下设备组成：a)驻留了4.8.1中功能a)至e)的多个通用处理模块；b)每个MS的LRU/LRM中故障检测与BITE的硬件及软件；c)将MS的数据进行处理和传输的远程数据接口单元和网络交换机；d)其他设备要求与4.8.1中d)至g)要求相同。IMA中机载维护系统架构如图2所示。图2IMA系统中的OMS架构6HB8691—20214.9功能要求4.9.1功能概述机载维护系统一般包括以下功能：a)中央维护功能（CMF）；b)飞机状态监控功能（ACMF）；c)维护数据提供（PMD）；d)飞机构型报告功能（ACRF）；e)数据加卸载功能（DLF）；f)成员系统（MS）机内自检测；g)机载维护支持功能（OMSF）。4.9.2中央维护功能（CMF）基本功能CMF应实现如下功能：a)自动测试和隔离：CMF应持续地监控每个MS，接收MS故障报告，分类、综合故障和失效数据，结合维护文档和MS失效信息格式化故障和失效数据，生成失效报告，形成维护建议，可用于存储、显示和下传；b)地面测试：请求指定的成员系统进行地面测试，例如LRU/LRM替换验证测试、系统运行测试、系统功能测试、调整和锁定，接收并显示从成员系统反馈的硬件和软件构型识别数据；c)CMF配置；d)其他附加功能，包括CMF相关的存储、CMF的运行监控、CMF与MS的接口以及信息交互。自动测试和隔离.1不间断的BITE监测和数据收集不间断的BITE监测和数据收集需满足以下要求：a)不断监测所有的MS输入及自身的故障状态；b)从上电自检后一直到断电一直保持不间断监测（MS状态发送速率通常在0.5Hz左右），CMF应包含上电自检功能，这个过程也可以由操作员命令启动；c)CMF用于检测和记录所有的内部故障及接口故障（输入/输出故障）；d)应收集的数据内容包括：1)从MS收集的故障数据；2)从MS收集到的构型信息；3)驾驶舱告警系统显示的故障指示或FDE；4)飞行阶段和航段；5)时间和日期；6)航班编号和来往城市或航线编号；7)飞机标识；8)支持驾驶员报告和/或故障分析的飞行参数，例如高度、空速等；9)电源中断状态（如果可用）。e)数据收集应具备只读数据的功能，从而实现对中央维护的输入监测。.2BITE数据综合和处理BITE数据综合和处理需满足以下要求：a)MS的故障检测和BITE是CMF检测隔离LRU/LRM内部故障、系统内部故障和外部接口故障时所用数据的主要来源；7HB8691—2021b)故障数据综合的程度直接决定CMF的复杂性；c)CMF应处理所有MS的BITE输入的数据，通过解析会引起歧义的故障报告，实现MS发送数据的综合、故障数据存储以及驾驶舱效应与失效数据的关联；d)剔除冗余信息（移除级联效应）；e)可通过CMF对部分非MS执行故障和失效自动隔离；f)针对不同系统故障提供特定维护消息；g)当对故障报告的简单分析无法明确维修建议时，CMF可利用其他分析技术来细化相关建议。如：可以结合与可能原因相关的背景数据进行概率推理，从而对维护操作进行排序；h)基于飞行阶段确定故障是否应被存储和处理，由于飞机制造商对不同飞行阶段MS上报的故障信息的存储和处理要求不一样，需要供应商划分不同的飞行阶段，以决定MS上报的故障信息可否被存储，或处理该故障信息时采取何种模型或算法进行处理；i)CMF应有足够的NVM，用来存储多次飞行中从各MS传送来的经过综合的故障数据，数据包括：1)驾驶舱效应；2)失效LRU/LRM的部件号和序列号，或接口；3)机载维护文档参考和ATA参考；4)航班编号和来往城市或航线编号；5)飞行阶段；6)飞机标识；7)故障或失效发生的日期和时间；8)电源中断状态（如果可用）；9)其他飞行参数，如：高度、空速、姿态数据。地面测试（用户启动测试）.1基本要求地面测试的基本要求包括：a)地面测试是由操作员通过CMF的控制面板输入，且由人工启动的测试规程；b)CMF应提供启动全部MS地面测试的能力；c)“地面测试”选项应为每一个MS提供可用的测试，按照便于维护的ATA章节进行组织；d)所有的地面测试都应按照模块化方式进行设计，以支持每一种类型的地面测试，并允许为MS和通信链路选择特定的测试；e)所有地面测试的设计都应使地面支持设备的数量最少化，这将对减少飞机维护时间和后勤需求产生影响；f)地面测试应支持在外场维护及扩展维护情况下进行快速的系统完整性判断；g)地面测试应通过CMF用户界面的选择来决定可否执行，次一级的选择项应允许操作员选择飞机系统、地面测试的类型、以及具体的测试；h)只有飞机停在地面上并且满足适当的互锁，才可以进行地面测试。互锁因系统而异，MS应在CMF错误发出地面测试命令时保护自己；i)对每一个测试来说，测试的参数和“通过/失败”的标准应包含在MS内部；j)地面测试应是自动的，以增加准确性、有效性，减少测试时间及费用。必须由操作员评估“通过/失败”标准的情况应减到最少；k)针对手动测试结果，通过或不通过由测试人员确定，该类测试通常包括人机接口部件（如旋钮、开关、按键和显示设备），要求维护人员评估物理项的性能，并确定性能可否被接受；l)可由用户启动的地面测试相关功能详细规定见.2-.8。8HB8691—20.2操作测试操作测试应确定系统已安装其所有组件(包括冗余通道和通信链路)，并且能做出正常响应。通常，测试由系统内的操作监控完成。具体特点如下：a)简单扼要（机组飞行前测试相比较）；b)不需要地面支持设备；c)自动化（如果有可能）。.3LRU/LRM替换验证测试LRU/LRM替换验证测试应验证被替换的或修理过的LRU/LRM的基本运行能力和接口的完整性。.4系统测试系统测试应证明系统满足规定的设计规范和容差要求，适用于初次安装或大修。护是在一个与工厂制造或设计实验室完全不同的环境下进行的。一架运营的飞机的系统操作规范应允许连续使用条件检验操作“符合规范”的测试也许更复杂，有些情况下，也许需要独立的、校准过的测量标准。为了完成系统测试，必要时可以使用地面支持设备，尽管目标仍然是最少使用。如果使用地面支持设备，则不应要求任何的设备拆卸。.5交互式故障定位和测试结果确认交互式故障定位和测试结果确认包含：a)在自动BITE无法定位故障组件的多组件系统中，需要定位故障的组件时，CMF应提供方法来选择和执行交互式测试；b)在显示器上向维护人员提供反馈，从而实现逐步的故障隔离；c)对于手动测试，其测试结果的通过与否由测试人员确定。该类测试通常包括人机接口部件（如旋钮、开关、按键和显示设备）。.6调整和锁定测试调整和锁定测试要求：a)CMF应通过MS提供驱动输出和反馈位置，在不需要特殊测试设备的条件下，能调整和锁定；b)MS应针对需要调整和/或锁定的系统组件进行适当的测量并把限制数据传送给CMF。.7接口监控CMF应提供可选择的能力，监控、解码和显示从与CMF所驻留的计算机交联的任何数字总线上所选择的数据字。.8硬件和软件构型识别MS可以按请求向CMF传送硬件及软件构型识别的数据。这些数据应包括硬件和软件的部件号或组合部件号、序列号、修改状态和可编程的选项（例如引脚的可编程选项）。.9地面测试中的LRU/LRM故障存储地面测试中的LRU/LRM故障存储包含：a)内部故障和失效应被存储在MS自己的NVM中以便恢复；b)CMF可查询MS的NVM中的故障历史信息内容进行发送，并存储到CMF数据存储中以便进一步从飞机层消除故障。CMF配置CMF配置要求包含：a)无需拆卸CMF所驻留的计算机，就可以对其操作软件进行更新；b)故障数据处理软件应为可加载的；c)CMF应通过修改可加载的故障处理算法定义内部功能的运行；d)航线运营商可通过地面软件工具修改航线可更改信息（AMI），并将软件重加载至飞机（利用机载数据加卸载功能）来对CMF的某些功能进行重配置；9HB8691—2021e)配置数据应提供给ACRF。.1CMF相关的存储要求CMF应有足够的NVM来存储失效LRU的软硬件配置识别以及航线特有的数据，例如航线特殊装备的部件号和说明。注意：CMF的NVM与MS中的NVM存储内容是不同的（见.4每个NVM域中的信息都是独特的。像CMF一样，每个MS都应按先进先出方法收集内部的故障数据存储在NVM中。CMF的运行监控CMF的运行监控要求包含：a)CMF所驻留的计算机应自含机内自检测能力；b)CMF所驻留计算机的BITE设计应遵守MS的BITE的通用要求；c)相关要求可参考4.9.8。CMF与MS的接口CMF与各MS之间通信，推荐的方法是使用数据总线。CMF应提供下列数据供MS使用：a)飞行阶段和航段；b)时间和日期；c)航班编号和来往城市或航线编号；d)飞机标识；e)支持驾驶员报告和/或故障分析的飞行参数，例如高度、空速等；f)事件功能激活。CMF应从所有的MS接收编码数据。CMF应对这些编码数据进行解释，并翻译成预先定义的简明消息显示给维护人员。应允许CMF(操作员)删除指定的MSNVM中存储的故障数据。CMF也应可以读取MSLRU的内场故障数据，使这些数据不仅能在车间里，也能在飞机驾驶舱上使用。最好CMF还能查询MS中存储的软件捕获信息，使扩展维护和工程故障分析不仅能在车间内完成，也能在飞机上完成。故障数据备份CMF应能把所有的故障数据转储到电子存储设备中，这适用于存储在CMC驻留的计算机和成员系统的BITE内存中的数据。信息交互.1当前故障信息显示CMF的当前故障信息显示包括以下内容：a)如果用户请求显示“当前故障”信息，那么所有被MS的BITE检测到并报告给CMF的当前故障应在相应页面显示，显示信息应包括：1)故障指示或驾驶舱效应（如果有）；2)失效的功能；3)失效的LRU/LRM、部件号和序列号或接口；4)ATA编号；5)机载维护文档。b)如果需要打印、备份或下传，应增加以下信息：1)失效日期和时间；2)飞行阶段；3)飞机标识；4)航班编号和来往城市或航线编号。从“当前故障”页，应可读取其他的维护数据和文档。.2当前航段故障显示HB8691—2021在当前飞行中，每个MS的BITE检测到的故障应已经传给CMF。在用户选择时，CMF应格式化并显示相应页（“当前航段故障”页）。其基本信息应包括：a)故障指示或驾驶舱效应（如果有）；b)失效的功能；c)失效的LRU/LRM、部件号和序列号或接口；d)ATA参考；e)机载维护文档参考；f)失效日期和时间；g)飞行阶段。如果需要打印、备份或下传，应增加信息“飞机标识”和“航班编号和来往城市或航线编号”。故障应标识为硬故障或间歇性故障。从“当前航段故障”页，应可读取其他的维护数据和文档。.3最近航段故障在结束“当前航段”后，前一条所描述的信息应作为“最近航段故障”，该信息是可读取的。.4故障历史CMF应显示所有MS的BITE报告的以往故障。在操作员要求时，可以按系统（ATA分类）、航段、日期和时间等不同分类方式提供这些故障数据。显示的数据应包括至少最后100个航段或总共512个故障的故障历史，以及采取的维护措施（如果有记录）。.5地面测试交互信息地面测试交互信息包括：a)根据来自驾驶舱显控系统的指令，CMF请求来自数据访问管理功能可应用的MS测试页面，并将其发送至驾驶舱显控系统以便显示给飞机维护人员；b)CMF接收从驾驶舱显示功能到MS测试页的响应，并实施合适的行动，包括后续指令至MS以执行触发测试；c)MS进行校验以确认没有阻碍测试的安全实施的情况，然后执行被请求测试；d)CMF接收测试结果，并将重新找回的数据发送至驾驶舱显控系统以便显示给维护者；e)在接到来自驾驶舱显控系统的指令时，CMF向数据访问管理器请求失效数据，这些数据由CMF接收并发送给飞机驾驶舱显示器中的一个进行显示或者驾驶舱打印机进行打印，如果数据用于显示，那么将发送给驾驶舱显控系统进行显示，即如果数据用于打印，那么将发送给信息系统进行打印。4.9.3飞机状态监控功能（ACMF）基本功能由地面支持软件（GBSS）支持的飞机及其飞行性能监控，监视和记录与飞机维护、性能、故障分析和趋势相关的有可选择的飞机数据；从飞机状态数据所确定的性能变化趋势，可以用来监视需要降级运行的系统的状况；提供必要的信息，以提前报告潜在的功能障碍，让用户及时安排维护行动，加快飞机再运行，避免非计划维护行动而影响飞机服务；面向个性化的工程分析，ACMF必须允许每个用户提出定制特征；用户定义的应用可以通过数据加载器或数据链由ACMF加载；ACMF应利用硬件和/或软件划分，确保遵守适用的认证指南。ACMF应包括如下功能：a)数据采集/处理b)事件监控c)数据记录d)报告生成e)报告管理f)报告分发g)报告显示h)数据链通信HB8691—2021i)报告存取j)输出k)ACMF配置和更新数据采集/处理数据采集/处理包括：a)可以读取模拟和离散的数据以及飞机数据总线，应有能力获取用于事件监控、数据记录和报告生成的有选择的多组数据；b)应能够判断数据的有效性，并将其作为来源的选择标准，应能以多个速率获得数据，它应将原始数据转变为工程单位，并执行基本过滤功能，例如去抖动、锁定和数据平滑；c)应能读取容错系统的冗余状态，由于保证系统运作的多层次功能冗余的工程应用，所以需要降级状态报告，基于此类数据，在最低限度冗余水平达到之前，操作员就可以为维护工作做准备；d)向数据存储实体请求已经存储的MS故障报告和配置信息。事件监控事件监控包括：a)应能监视一组选择后的飞机数据，用于布尔逻辑和算术计算；b)监控算法能用于判断计算，从而判断事件的发生，进而依次开始进一步的行动，例如数据记录、生成报告和分发报告，系统应能支持在不同速率上进行独立的算法评估；c)监控的具体内容包括：1)飞机性能监控；2)趋势分析，趋势分析的对象可包括发动机、飞机气动特性、辅助动力装置、发电机和环境控制系统；3)运行状态监控；4)重要事件分析；5)故障隔离分析协助。d)可进行增强BIT上报、检测异常行为和确定飞机系统总体健康状态；e)可以进行简单的基于逻辑的状态监测算法，用于确定飞机或其子系统的运行状态；f)监控可提供数据使航空公司能分析其整个飞机机队的运行状况，提高其运行效率。数据记录数据记录包括：a)应能记录得到的数据，应支持以用户定义的格式将数据记录到大容量存储设备，例如光盘、磁性或固态记录器；b)应能够对参数进行选择，并能连续记录所选参数集合；c)数据可存入信息系统中；d)由AMI定义的连续记录数据应存储在大容量存储设备中，以便后续下载；e)飞机上的电源开启时，ACMF启动，将指令传送至数据收集子功能以便进行数据记录，并控制记录时间进行控制；f)ACMF依据定义好的触发器来记录数据，正常触发器，如发动机起飞推力触发、稳定巡航触发、下降顶点触发等；非正常触发器，如发动机超限触发、飞机过速触发等；g)数据记录功能本身不生成报告。报告生成报告生成包括：HB8691—2021a)ACMF应搜集和存储数据，再分送到不同的输出设备（这些存储数据此后会当作一份报告来引）；b)应能够在指定时期内搜集涉及指定事件的数据，涉及的事件可能有以下含义：1)飞行剖面中一个常规的给定事件点；2)一个例外算法,由内部逻辑、乘员告警事件或者驾驶舱人工事件按钮触发。c)所提及的时期可能是一个瞬间，也可能是一段有始有终的持续时间，一段时期可能跨越事件，也可能出现在事件前或事件后；d)每份报告都应有一个标题，可以包含下列内容：1)报告标识符；飞机标识符；日期和时间；4)航班编号；6)飞行阶段；软件编号。e)应能够生成含有其他存储报告(例如趋势报告）数据的报告；f)ACMF应有方法标记无效的数据，该功能应能区分不同类型的无效数据，并提供该信息作为报告的一部分；g)ACMF可对报告进行格式化，并向指定目标发送报告，目标可以由AMI进行设置；h)报告可用于地面分析，从而监控发动机、辅助动力单元和其他飞机系统异常事件，实现性能和趋势分析；i)报告生成可以由GBSS设置。报告管理报告管理包括：j)ACMF应能将报告存储在NVM中，并且按规定的参数来管理报告的保存，如：1)每个航段存储的一个报告出现的数目；2)保留最先产生或者最后出现的报告；3)保留一个报告每次出现的航段数目；4)每个报告出现的最大数目。k)ACMF应可以根据用户请求从NVM中删除报告。报告分发报告分发包括：a)ACMF应能将报告发送到指定的输出设备。输出设备包括：1)MAT；2)机载打印机；3)通过数据链(例如ACARS、SATCOM等）发送至相应终端；4)数据/软件加载器；5)海量存储设备（例如：快速存取记录器）。HB8691—2021b)应有能力响应维护访问终端、数据链命令、或者监控事件的请求而发送文件，报告的格式可以由GBSS编程或定制；c)可通过AMI配置报告管理的运行，如报告格式、报告输出路径、报告输出条件等。报告显示报告显示包括：a)ACMF菜单、显示和命令的机上控制通过MAT完成。像OMS其他功能一样，显示由菜单驱动；b)显示的分析结果包括：1)软硬件异常告警；2)系统/设备的健康状态和性能趋势；3)对各类失效和异常行为的响应；4)各种报告和数据。c)显示接口为：1)电子飞行包显示单元；2)PMAT；3)ACMF的菜单显示包括了ACMF的软件部件号、ACMF的下拉菜单选择；4)ACMF的显示内容包括了报告浏览和实时数据浏览。d)当飞机在地面时，显示控制功能软件为机组提供了查看ACMF结果的接口；数据链通信可以通过数据链传送数据。ACMF应输出用户选择的报告，并应符合约定的协议：a)在通信系统准备就绪时传送；b)在驾驶员检査后传送；c)数据链上传获取下一个可用报告的请求。0报告存取ACMF提供存储器中报告的显示手段。该系统可以按访问优先权控制用户访问所选择的显示。通过显示画面，报告可以发送到输出设备或从存储器中删除。1输出输出途径包括：a)维护显控功能，接口见；b)主干网络（信息系统）；c)飞机通信寻址和报告系统（ACARS）；d)终端无线局域网单元（TLWU）。2ACMF配置和更新功能配置和更新包括：a)ACMF应能修改用户定义的参数，这些参数一般用于事件监控算法；b)ACMF也允许第三方供应商以可执行模块的形式，提供更复杂的算法；c)通过MAT或数据链，提供机上可编程性；d)ACMF应有能力创建机上可编程报告，报告中可由用户控制的属性包括：1)事件监控能力；2)要采集的参数；3)数据采集速率；4)数据采集周期及其开始/结束逻辑；HB8691—20215)数据记录的启动；6)输出设备的选择，包括数据的存储和显示；7)报告有效期。e)以上属性的修改可通过AMI进行配置；f)可通过GBSS修改AMI；g)可以根据用户请求在MAT上静态或动态地显示信号和用户定义的参数，该系统提供缺省显示格式和显示更新速率，工程单位和二进制数都可以被有效的显示。3GBSSGBSS功能包括：a)GBSS支持定制用户定义的应用功能，包括：参数定义、控制逻辑、报告生成、数据记录和PMAT显示；b)参数定义功能使得用户能对用户定义的应用及组成部分进行配置管理。每一次软件更新都要用软件版本号标识，版本号在的菜单首页可见；c)GBSS应执行输入数据和语法的检查；d)GBSS支持对有效输入信号的定义，并提供这些信号显示；e)每个输入信号都已包含了ACMF和用户定义应用要求的信号处理属性，部分属性可以由用户修f)除了输入信号，GBSS还提供创建用户定义参数的手段，用户定义的参数可以提供计算数值、存储中间结果、或从输入信号提取数据字段；g)输入信号和用户定义的参数可用于事件监控、报告生成、数据记录和数据显示；h)控制逻辑设定由ACMF提供的工具实现，从而使用户可以规定事件监控需要的算法，也可以控制其他ACMF功能；i)定制工具有下列特征：1)支持布尔逻辑和算术运算的语法和运算符；2)数学和统计函数库；3)数据记录控制；4)报告生成、分发和删除控制；5)调试功能。j)报告生成功能可以规定一个报告的特征，报告特征包括：1)输入信号和用户定义参数的清单；2)数据采集的时期；3)报告保留标准；4)报告格式，包括输出设备、数据及嵌入式正文的布局和形式、报告标题、ASCII控制符、数据链路由信息以及数据中小数点的移除选择。k)GBSS应能规定海量存储设备的记录格式；l)GBSS应提供为MAT定制显示画面的能力；m)显示画面允许以文字或图像的格式进行：1)数据显示；2)菜单显示；3)报告显示；HB8691—20214)ACMF功能选择（例如，生成和分发报告、修改用户定义的参数）。n)GBSS允许用户为每个画面建立相应的安全级别；o)为了实现整个飞机的ACMF，应考虑在飞机上安排必要的、专用的状态监控传感器，特别应着重关注设备区域，例如发动机、辅助动力装置，或是环境控制系统设备例如空调器。4.9.4维护数据提供（PMD）基本功能维护数据提供的主要目的是允许机载维护系统终端用户通过信息访问操作获得维护数据。为此，应包含如下功能：a)驾驶舱显示应用；b)维护通信管理器；c)PMAT显示应用；d)数据访问管理器；e)参数访问应用；f)机载维护文档。此外，机载维护文档（OMD）是驾驶舱显示应用和PMAT显示应用的重要信息源，其基本功能需求在中作出规定。驾驶舱显示应用(CDA)CDA功能要求包括：a)正常模式：当飞机在该模式时，CDA可提供接口便于机组查看ACMF结果；b)维护模式：当飞机在该模式时，维护模式只能通过人工授权启动，在该模式下，CDA提供飞机维护人员能够执行相关任务的接口。针对OMS的目的，CDA连接到称为MFD（可由ARINC661驱动）的显示装置，每个装置包含一组用户应用定义文件。CDA功能通过ADN（可通过A664p7实现）与显示器交互，CDA提供给飞机维护人员能够执行相关任务的接口如下：a)查看并清除CMF的失效消息；b)执行启动机内自测和锁定测试；c)查看ACMF结果；d)查看参数和离散数据；e)查看OMD；f)查看ACRF的航电构型；g)查看可用的保存的FLS；h)执行数据加载；i)执行数据保存。维护通信管理器(MCM)MCM的基本功能包括：a)空中模式：在该模式下，MCM将只服务于传输OMS数据的请求，所有写入数据存储的数据实体都要进行传输属性检查,对建立了飞行配置规则的实体，MCM将实体按优先级进行排列，并传送这些数据到飞机通信管理应用以通过飞机数据无线电进行传输；b)地面模式下，有三个功能要求：1)下传，对那些建立了地面配置规则的实体，MCM将其按优先级进行排列，从数据存储提取必需的数据并按配置规则，从而实现到远程用户接口的传送；2)网络服务请求，MCM会处理授权的HTTPS请求，并传回用于传送的所选数据；3)上传，MCM会处理授权的文件传输请求，MCM会确保只有一个连接到PMAT的以太网可以传输FLS至数据存储。根据安全需要，MCM可禁止借助无线数据网络从PMAT传输FLS。HB8691—2021c)MCM对于OMS输出信息传输，实现适当的通信服务和必要的通信配置所需要的优先级排序、格式化和信息分发；d)对于输入传输，MCM提供了数据优先存储的证明和确认，或决定对数据存储的数据请求优先回复的访问权限。PMAT显示应用(PDA)PMAT显示应用基本功能包括：a)正常模式：在该模式下，无功能要求；b)维护模式：当飞机在地面时，维护模式只能够通过人工授权启动。在该模式下，PDA提供飞机维护人员能够处理任务的接口如下：1)查看并清除CMF的失效信息；2)查看ACMF结果；3)查看参数和离散数据；4)查看OMD；5)查看ACRF的航电配置；6)查看可用的存储FLS；7)管理数据存储（不含删除）。c)PMAT显示应用将为PMAT提供图形用户接口服务。数据访问管理器(DAM)OMS具有其自身的数据存储能力，也就是数据存储功能，它用于存储大量的OMS相关的产品例如FLS、交互式电子技术手册以及OMS功能数据。通过DAM，OMS提供了严格的存储管理和数据获取管理功能。数据存储和数据获取管理器提供了在OMS的地面阶段功能，包括无线网络和PMAT，与机上和航电系统交联的OMS功能之间的隔离。OMS的地面功能是向数据存储（DataStore）功能中存放或获取数据，OMS的机载功能也一样。但是，数据不能从OMS地面功能直接向OMS机载功能发送或获取，反之亦然。DAM功能要求包括：a)DAM功能要求由操作的当前模式进行判定；b)访问DAM的操作有两种模式，即正常模式和维护模式；c)DAM能够自动或由飞行平台显示器、PMAT和无线网络的用户请求存储数据。参数访问应用(PAA)PAA功能要求包括：a)PAA从ADN持续接收参数数据，并且往DAM持续发送过滤数据用于存储供某些功能的使用（如ACMF等功能）；b)在IMA系统中，参数获取应用是一个驻留软件应用，驻留在IMA中的每个GPM上，它监测GPM上的可用参数数据并将选取的部分参数数据传送到CMF所驻留的模块或单元上；机载维护文档(OMD)OMD应具备如下基本功能：a)按规则存储数据的手段；b)通过操作员人员控制的直接信息检索；c)通过与其他系统之间接口的间接数据库检索；d)在一个或多个MAT上显示信息；e)打印需要的信息；f)OMD可存在于ELS中，其具体组成可由一个或多个MAT、ELS计算机、海量存储设备和高分辨率打印机构成。OMD具体内容和OMS提供的两类索引具体如下：HB8691—2021g)OMD应具有如下具体内容：1)飞机维护手册和维护说明书；2)图解零件目录手册；3)飞机线路图；4)飞机原理图；5)放飞偏离指南；6)维护记录；7)操作员需要的其他维护数据。h)基于OMS隔离故障的能力，OMS应能向OMD所在的ELS提供两类索引，如下：1)航线可更换单元（LRU）的更换信息如果OMS能隔离到单个LRU，那么OMS应向OMD所在的ELS提供唯一的识别该LRU的方法。当OMD收到这个唯一的识别标志后，OMD所在的ELS应根据命令显示或打印下列信息：（1）需要的工具；（2）接近的方法：需要的梯子或平台、用图样或图片定位、必需移开的任何障碍，否则会遮挡被维修项目；（3）拆卸规程，包括适当的警告、提示和记录；（4）安装规程，包括必要的调整、锁定和再标定等；（5）必要的恢复测试。2)故障隔离信息如果OMS不能将故障隔离到一个具体的LRU，那么OMS应向OMD所在的ELS提供一个唯一的故障分析规程标志。当OMD所在的ELS收到这个唯一的故障分析规程标志时，OMD根据命令应显示或打印下列信息：（1）有助于隔离到单个LRU的详细故障分析规程；（2）需要的工具；（3）接近的方法：需要的梯子或平台、用图样或图片定位、必需移开的任何障碍，否则会遮挡被维修项目。信息交互PMD信息交互的要求如下：a)CDA功能与OMS的ACRF、ACMF、DLF和CMF交互；b)MCM的信息交互包括：1)MCM与DAM的进行信息交互以便从数据存储中存储和提取数据；2)MCM与无线数据网络进行信息交互以便进行向上传输和向下传输数据；3)MCM与飞机数据无线电进行信息交互，用于数据传输。c)PDA功能与OMS的三个功能DAM、CMF和MCM进行信息交互。d)DAM与OMS的CMF、ACMF、DCA、DLF、MCM和PDA功能进行交互。e)PAA主要将参数和离散数据信息发送给OMS的DAM，从而便于CMF和ACMF的使用。f)在不同情况下，OMS应提供以下交互信息：1)OMS的其他功能与OMD所在的ELS之间进行交互时，维护或故障分析规程的确认和选择；2)当OMS隔离到单个失效部件时，OMS应提供“维修选项”；HB8691—20213)当OMS不能隔离到单个失效部件时，OMS应提供“隔离”选项。4.9.5飞机构型管理功能（ACRF）基本功能ACRF应报告从飞机各系统中收集的构型数据，并检测构型的改变。ACRF功能应包括以下功能：a)接收MS发送的设备识别状态，其中应包括每个MS的硬件/软件状态；b)通过显示系统向维护人员显示各系统构型状态,并提供构型管理接口；c)向DAM发送硬件/软件构型信息，并存至数据存储器；d)能够识别MS构型改变。信息交互ACRF的信息交互的要求如下：a)和MS的交互—ACRF应接收MS的设备识别状态信息，包括硬件/软件状态；b)和显控系统的交互—ACRF应接收并响应显控系统的命令，并将数据存储中飞机构型报告发送显控系统便于维护人员查看；c)和数据存储的交互—ACRF应能识别构型改变，并向数据存储发送改变后的构型信息。4.9.6数据加卸载功能（DLF）基本功能DLF功能要求如下：a)加载到飞机上的所有MS的数据将通过OMS的DLF执行加卸载；b)DLF还应负责CMF和ACMF的数据及报告下载；c)数据加载应只在地面维护模式下有效，由维护人员通过人机界面（如CDA等）发出命令；d)OMS应支持不同的MS使用不同的加载协议实现FLS的加载；e)加载结果也应发送给OMS，供维护人员查看。f)数据加载的中止条件为：1)OMS发出的数据包超时；2)出现了LRU或LRM内部失效；3)软件部件被毁坏或不兼容。信息交互DLF和OMS其他功能间应该至少包括如下交互信息：a)DLF和MS之间进行FLS加卸载、故障数据传输等信息的交互；b)DLF需要访问DAM获取可用的FLS；c)DLF通过显示应用（如CDA）启动数据加卸载操作。4.9.7成员系统BIT（MS）故障检测MS的BITE应负责识别MS的任何故障状况，以及与其他MS和传感器之间外部接口的故障状况。利用正常的不间断运行监测的结果可以完成上述识别，这是每个MS的基本操作功能之一。为提高故障检测的完整性，可以增加上电自检和用户启动测试。对于容错的MS，应能评定其降级使用的状况。BITE应能使用降级数据。对于有多个LRU/LRM的系统，最好能监测所有的单元/模块。这可由每个LRU/LRM自监测系统独自完成，也可由一个中心LRU对一些不复杂的外围设备同时监测来完成。故障隔离在多LRU系统中，BITE应能准确指示发生故障的LRU/LRM。如果开始时信息不够充分，为提高故障隔离准确率，需要BITE有运行自检的能力。恢复运行测试HB8691—2021设计BITE应有助于更换LRU/LRM后飞机快速的恢复服役。LRU/LRM更换后进行的LRU/LRM或系统测试，应充分表明飞机系统的可用性。MS上电测试的设计目标应足以作为恢复服役测试。在不需要定期工作的电路断路器的条件下，CMF应能启动相同或相似的测试。如果飞机状态不允许这样的测试，那么MS应确保不会进人恢复服役测试模式（即使CMF发出命令）。在不从飞机拆除LRU/LRM的情况下，MS应有足够的适应性参与相关的测试。所需的专用地面支持设备应尽可能少。飞机构型支持MS应向CMF提供构型数据，用于机上LRU/LRM的配置管理。这部分信息详见第.8。地面支持功能为支持系统测试.4，MS应考虑必要的地面支持设备接口，但应尽量减少专用接口的使用。BITE的NVM.1基本要求航空电子LRU/LRM应装有NVM，用于存储各种内部的故障/失效数据，包括容错LRU/LRM内的故障数据和软件异常数据。在维修车间可以读出这些数据，或飞机停飞时在飞机上读出这些数据。.2详细故障数据存储详细故障数据存储要求如下：a)发生故障的航段的标题应存储，包括：1)来往城市或航线编号；2)航班编号；4)飞机标识；5)航段编号；6)LRU/LRM位置；7)软件部件号；8)选中的选项。b)下列信息应与每个故障同时存储：1)检测故障的监测设备的标识和相应的故障代码；2)硬故障或间歇性故障的分类；3)每个航段故障发生的次数，至少要预留4次的存储空间；4)故障发生对应的飞行阶段和UTC；5)故障隔离到一个SRU的水平；6)用于故障分析的辅助参数，例如，发现故障时系统的状态。MS应利用CMF发送的飞行阶段信息，提供选择的故障存储数据。.3软件异常MS的软件发现错误状态已经发生时，应尽量捕捉必要的信息以分析错误发生的原因。被监测的错误包括：a)软件复位；b)看门狗超时；c)处理器陷阱（例如：除以0、非法地址等）。捕获数据应作为工程数据自动触发并存储在NVM中。软件错误捕获NVM数据至少要有存储5个“捕获”事件的空间。这种软件功能必须不影响系统其他功能的正常运行。HB8691—20.4系统事件监测已觉察到的系统异常经常在系统使用时被报告出来。导致这些事件的原因可能是：设计错误、软件错误、偶发事件、或误解系统设计和操作。用户希望MS在这样的事件中具备捕获软件数据的性能。这种功能可由驾驶舱的事件按钮的激活来触发，或由MS中预设某种条件自动的触发，或由于响应CMF命令来触发。这种功能必须不影响系统其他任何功能的正常运行。.5NVM的容量LRU/LRM应具备存储至少来自100个航段的数据的容量，每个航段可能会产生一个或多个故障或维护报告。要提供最少512个故障存储容量。每个故障要存储的数据在第.2条中规定。.6NVM的擦除NVM中存储的数据可以在车间内擦除，也可以在有安全措施的条件下在飞机上擦除。.7NVM的先进先出数据存储当存满时，最早存储的数据将被放弃。系统BITE和CMF的通信系统BITE通信协议应用编码发送故障数据。编码的定义见相应的ARINC规范（如果有）。CMF翻译来自不同的MS的编码后，经过数据综合，最后用清晰的消息显示给维修工程师。可以读取驾驶舱效应数据的MS应能把这些信息发送给CMF，以使与CMF检测到的故障相关联（见.1）。MS监测到的故障应立即报告给CMF。如果当前故障消失，也应立即向CMF报告。内场维护中BITE的使用BITE的第二个目标是为了提高内场维修的效率和降低成本。在车间里，BITE内存储的故障历史信息和BITE提供的自检功能可以加快故障LRU/LRM的修理和测试。作为一个设计目标，LRU/LRM的BITE应能确定LRU/LRM是可供使用的。BITE详细要求MS故障监测和BITE功能应能满足下列要求：a)导致系统功能丧失或严重降级的所有内部故障和失效都要被完整地监测；b)没有故障和失效存在时，不应产生错误或失效的指示；c)电源的瞬变过程不会引起故障的伪指示；d)尽可能通过不间断运行监测实现故障检测，当连续监测不可用时，为满足完整性要求，应增加系统上电BITE测试；e)外部故障或失效不应引起内部故障或失效的伪指示；f)故障监测设计应考虑容差和时间筛选，从而与需要的功能以及操作环境兼容；g)BITE的完整性应通过使用中的表现来证实；h)在对一个LRU/LRM不用的功能进行监测时，检测到的故障结果可以内部记录，但不应引起任何系统故障指示和不应向CMF报告；i)为满足测试完整性要求，轮回式测试应对LRU/LRM的输入和输出有必要的覆盖范围。0接口故障检测及其分类接口故障检测主要有总线和模拟2类，其中总线类包括ARINC429、ARINC629信号、ARINC664信号，模拟信号不包括离散信号，具体内容如下：a)ARINC429信号输入故障应被检测、分类和报告如下：1）总线故障，如果8进制标号377没有收到；2）信号故障，表示其他系统故障，例如SSM=FAIL，奇偶校验错误，合理性或对比监测。故障的LRU/LRM应通过在受影响的标志上发送SSM=FAIL指明这种状态。b)ARINC629信号数据故障应被检测、分类和报告如下：1）整个总线故障，如果没有从任何LRU/LRM收到输入信号；HB8691—20212）单个LRU/LRM总线故障，如果只有一个LRU/LRM信号没有收到；3）信号故障，表示其他系统故障。c)ARINC664信号数据故障类型通过每个DS对应的FSB标识：1）0x00：NoData无效状态；2）0x03：Normaloperation有效状态-普通数据3）0x0C：FunctionalTest有效状态-功能测试；4）0x30：non-computedData无效状态-无计算数据。d)模拟信号（不包括离散信号）输入故障应检测、分类和报告如下：1）开路或接地；2）信号故障，表示其他检测到的故障，例如合理性或对比监测。1电源中断报告MS的LRU/LRM从一个电源中断恢复之后，应向CMF报告。4.9.8机载维护支持功能（OMSF）基本功能OMSF的要求如下：a)OMSF功能提供了OMS相关设备的BIT能力，该能力确定OMS是否正常运行；b)OMS相关设备的BITE设计应遵守4.9.7中MS的BITE设计准则；c)IMA系统中，OMS应利用通用处理模块中驻留的PAA功能进行健康报告；d)OMS相关设备的BIT结果应持续上报至CMF；e)当OMS相关设备不在数据加载模式下运行时，其内部BITE作为一个MS提供给CMF，除自检测状态报告外，该功能也可以根据需要将参数和离散数据传输给ACMF，将设备构型数据提供给ACRF。信息交互OMSF的信息交互关系如下：a)作为一个MS，OMSF与CMF、ACMF和ACRF进行交互。b)交互内容见、和。4.10标识a)设备和零部件上的标志(包括文字、符号、代号、图形、颜色等)应按产品规范的规定，且简明、清晰、耐久、明显、易读，标识不应影响设备的机械和电气性能；b)应至少有一个主要设备和零部件上的标识是易读的和永久的，标识应包括序列号和与其功能相对应的功能设备等级；c)设备标识应标有设备名称、型号、生产厂、出厂编号、出场时间等内容；d)如果设备和零件包含替代或等效符合性方法造成与标准的偏离，标志应包括表明批准的偏离方法。4.11接口OMS应具备如下接口：a)与地面进行信息交互的接口—用于在飞行中向地面传输数据和报告，以提前启动和准备必要的维护措施，同时，也可接收来自地面的数据请求；b)MS向OMS报告故障信息的接口—故障信息为从ATA21章至ATA80章包含的电子可探测的、可传输的故障数据，某些飞机系统还提供补充的故障信息；HB8691—2021c)提供信息显示输出接口。4.12通信OMS应满足如下通信要求：a)OMS内部通信—OMS内各功能之间通信应符合已有航电通信网络要求；b)与MS或其他飞机系统的通信—应根据系统需求选取不同的网络通信协议；c)OMS的相关维护信息应能够借助数据链传输至地面站。4.13工作模式为了更清晰的描述OMS实现的功能，对OMS的工作模式进行如下规定：a)正常的工作模式—OMS主要的操作状态，当系统上电BIT以及初始化完成后，自动进入此模式，直到断电。在本模式下，OMS实现故障的检测和定位、异常监测、健康状态的评估、性能趋势、故障预测和构型报告等功能；b)地面维护模式—飞机停在地面，且满足系统一些安全约束的配置信息后，需要被授权地勤人员激活的一种操作状态。在此模式下，OMS实现启动测试，故障历史检索与复位，数据加载等功能。4.14人机交互OMS的操作方式、界面、警告等应遵循GB/T16251-2008提供的人机工程设计准则，符合驾驶舱操作规则。OMS人机交互应满足如下要求：a)信息操作功能，即机组人员或维护人员能做进一步的请求或选择，此外，通过人机界面触发启动BIT（IBIT），以及进行软件加载等操作；b)在进行信息显示页面设计时，应当考虑界面的友好性，设计和布局尽量简单易操作，不容易使驾驶员出现操作差错，数值一般应以十进制显示，维护、排故或配置任务可使用其他制式(如二进制、八进制或十六进制)。4.15可靠性OMS的可靠性应满足如下要求：a)在IMA系统的计算资源中，宜将中央维护作为相关软件功能，并以主、备件形式驻留在计算资源的不同处理模块中，以提高可靠性；b)OMS中相关功能所驻留的计算资源应提供必要的保护，防止误操作带来的破坏；c)OMS中的软件按照DO-178对D或C等级要求的流程根据开发（DO-178规定的软件开发流程管控）；d)OMS的可靠性问题不能影响飞机系统正常运营的目标；e)OMS及其部件应符合飞机级分配的MTBF。4.16维修性OMS的维修性一般应满足下列要求：a)基本依据：HBZ415-2014中的维修性要求应为OMS维修性要求的基本依据；b)系统的维修性应考虑视情维护、监控维护和定期维护的要求；c)系统应能进行机上人工初始测试以确保系统部件已经正确安装；d)系统应能提供机内自检测，给维护人员提供相应的数据以支持故障诊断；e)对于IMA系统中相关模块及功能软件组成的机载维护系统，其维修性具体要求可参照HB/Z402-2013中“10测试性和维修性”的相关内容。HB8691—20214.17可达性可达性的要求应满足HB/Z415-2014的相关规定。相关要求为：a)兼容性：在操作、维修、电磁兼容性和封装要求不相矛盾的前提下，应设计成具有最佳的可达性；b)进出口：在设备（如中央维护计算机或CMF所驻留的计算模块）和主要部件壳体（如中央维护计算机壳体或中央维护计算机所在的IMA壳体）上提供必要的进出口或检修窗口以便检查、拆卸和更换；c)零部件：定期更换的LRU/LRM以及其他零部件应易于更换。4.18互换性互换性应满足以下要求：a)可互换产品（单元体、零部件和元器件）应满足规定的互换性要求；b)对于再订购设备，不论供货来源是否一致，其可互换的产品仍应满足原有互换性要求；c)设计时应对有互换性要求的公差做出规定，以便对产品规范所允许的尺寸和特性的产品进行更换，而不影响设备的性能；d)当元器件、零部件和材料的标准提供的特性和公差不只一种时，应优先采用满足设备性能要求的、使用特性范围最宽、公差范围最大的产品；e)应采用标准的元器件、零部件。若无合适的标准件，允许设计非标准件，但应为将来用标准件替换提供条件。用作替换的标准件，应在合同中注明；f)连接形式、功能和特性都等于或优于设备目录中规定的元器件、零部件，可以用作替换件。质量和可靠性都优于规定值的替换件，不得用于进行鉴定检验、首件检验的设备。4.19测试性测试性的要求应根据HB/Z415-2014中4.2.7的要求。如果OMS在IMA系统中实现，则应进一步依据HB/Z402-2013中“10测试性和维修性”的相关规定。OMS的故障监控应根据功能危害性分析设置故障监控等级和监控点，通过机内自检测实现飞行前、飞行中、维修过程中对存在故障的诊断和监控。机内自检测应将故障隔离到LRU/LRM这一级。机内自检测的激励信号不应超过系统任何部件的工作范围，或降低其耐久性或疲劳寿命。机内自检测结束后应保证所有激励信号全部消除，系统恢复到正常工作状态。OMS的测试性相关具体功能实现主要通过OMS功能实现，具体规定见4.9.8。测试性的通用要求可参考HBZ420-2014。4.20安全性4.20.1基本要求基本依据：SAEARP4754A和SAEARP4761是指导安全性设计、编制安全性大纲和合同的基本依据，同时也可参照HB/Z295、HB/Z420-2014。在单独和与其他系统一同考虑的情况下，对任何降低飞机运行能力或安全裕度的情况，OMS及其部件的设计应满足其任何失效状态应是微小的。应明确设备的安全性等级，并给出完整的安全性评估过程。4.20.2纠正措施应提供告警信息，向机组指出分系统的不安全工作情况并能使机组成员采取适当的纠正动作，监控与告警装置的设计应尽量减少可能增加危险的机组失误。HB8691—2021OMS应具备自身安全防护能力。4.20.3软件和硬件OMS所属的分系统软件和硬件的研制应符合HB/Z295-1996中2.2和HB/Z420-2014中第2章的规定，参见SAEARP4761、SAEARP4754A合理确定系统的软件危险等级和硬件设计保证等级。OMS软件可提供防止人为错误的防护：a)为终端用户提供通过方便友好的登录方法（例如用户名加密码）以获取操作OMS系统的能力；b)OMS显示单元加入“空地状态”现在逻辑；当“空地状态”地空时，禁止任何人机操作的响应；c)OMS核心处理功能加入“空地状态”现在逻辑；当“空地状态”地空时，禁止任何人机操作的4.21环境适应性环境适应性的要求应根据DO-160和HB6167-2014制定。4.21.1自然环境OMS的相关设备应能够承受温度、压力、霉菌、盐雾、湿热、砂尘和其他自然环境的极限条件，并在使用寿命期间内能够正常工作。4.21.2诱发环境在飞机诱发的振动、噪声、冲击、加速度和爆炸等机械环境条件下，应保证OMS能够正常工作。4.22电磁兼容性在电磁干扰、闪电、高强磁场等环境下，系统应满足HB5940-1986、HB6167-2014的要求，具体要求为：a)OMS设备的设计和安装，必须保证在飞机遭遇闪电环境时，执行这些功能的系统的工作与工作能力不受不利影响。b)必须按照遭遇严重闪电环境来表明对于上一条的闪电防护准则的符合性，需通过下列办法来设计并验证OMS系统对闪电影响的防护能力：1）建立闪击区的外部闪电环境；2）建立内部环境；3）判定必须满足要求的OMS在飞机的位置；4）确定系统对内部和外部闪电环境的敏感度；5）设计防护措施；6）验证防护措施的充分性。c)由于OMS的功能失效不会降低飞机性能，但会降低飞行机组对不利条件的运行能力，则OMS设备暴露于CCAR-25-R4的附录L中描述的HIRF设备测试水平3时，系统不会受到不利影响。5验证5.1总则应进行分析、检查、实验室试验、地面试验和飞行试验，验证OMS满足第4章的要求。如果OMS是联合式航电的一部分，相关设备应作为机载电子设备根据HB/Z415-2014中的要求进行验证。如果OMS作为IMA系统的一部分，则其验证应满足HB/Z422-2014中“6认证任务”和“7完整过程”中规定的认证要求。具体到OMS，由于现有系统主要为驻留在航空电子硬件上的功能软件，因此硬件验证可依据HBHB8691—2021Z420-2014《民用飞机机载电子硬件合格审定保证指南》中的“8确认与验证过程”，软件验证可依据HBZ421-2014《民用飞机机载系统和设备软件合格审定保证指南》中的“8软件验证过程”进行验证。机载维护系统验证的具体策略旨在“机载维护系统”级和“LRU/驻留功能”级进行功能性验证，并在可行的情况下，在“其他”级（如低级组件）进行验证。“其他”级应该为较低级。为实施本策略，对各“机载维护系统”级和“LRU/驻留功能”级需求进行同行评审，并建立对应测试用例。分配需求属性后，对机载维护系统/LRU/驻留功能分阶段开展验证活动。进行功能性验证时，根据所分配的“相关功能”对机载维护系统/LRU/驻留功能进行分组。然后，将这组需求“作为一个整体”进行审查，并开发测试用例和规程以充分发挥功能作用。正式运行测试用例和相关测试程序及脚本，以获得