【摘 要】本文描述了民机系统研制中开展共模分析的一般方法与步骤，随后剖析了随着民机系统的高度综合复杂化，共模分析所遇到的挑战以及可能需要关注的发展方向，同时阐述了适航审查中的难点问题，在上述基础上总结了对于我国民机系统研制的相关启示。

【关键词】共模分析；安全性评估；功能失效集；公共资源；综合模块化航电（IMA）

【Abstract】The current menthod and steps for conducting common mode analysis（CMA） in civil aircraft development is described in this paper firstly， then challenges for CMA due to civil aircraft systems become highly integrated and complex are analyzed， followed by the introduction of future CMA development trends and key issues in airworthiness. The revelation for the domestic civil aircraft development is then summarized.

【Key words】Common Mode Analysis； Safety Assessment； Functional Failure Set； Common Resource； Integrated Modular Avionics（IMA）

0 引言

共因分析（Common Cause Analysis， CCA）是民机系统安全性评估的一项重要内容，贯穿于飞机设计制造的整个过程。CCA包括特定风险分析（Particular Risks Analysis， PRA）、共模分析（Common Mode Analysis， CMA）和区域安全分析（Zonal Safety Analysis， ZSA）三部分内容。其中，共模分析用于检验功能、系统或者组件之间的独立性以满足安全性要求，表明对民航规章CCAR/FAR/CS 25.1309条款以及其它特定要求的符合性。共模分析能提供这样的证据：被假设为独立的失效确实是独立的。应从组件设计到飞机级设计的所有层面上实施该项分析，从而确认导致相关失效状态的失效组合内事件之间的独立性，识别出可能的共模失效，消除其对于系统架构中独立性的影响或将之降到最低[1]。

1 当前民机共模分析方法

根据工业标准与民机研制项目实际工程经验，共模分析是一项定性分析，其基本概念如图1所示。具体来讲CMA的输入来自于功能危险性分析（Functional Hazard Assessment， FHA）和初步系统安全性评估（Preliminary System Safety Assessment， PSSA），它为系统安全性评估（System Safety Assessment， SSA）提供证明，即所有的独立性原则在需要时都都得到了应用。应对设计实施、制造、维修中的错误以及损害冗余度设计原则的系统部件进行分析。一旦要求的冗余或独立性受到影响，则需要证明影响的可接受性。PRA和ZSA不属于CMA的特定部分。但是当PRA和ZSA识别出潜在的共模问题时，CMA应当考虑这些问题[2]。

通常在民机研发工程项目中，共模分析分为建立检查单、确定独立性需求清单、进行共模判定三个步骤实施，具体描述如下。

1.1 建立检查单

应基于相关资料示例和以往的经验（常识或者相似飞机上的经验）得出具体的共模检查单。检查单的详细程度取决于所分析技术和系统的复杂程度和新颖程度。在具体工程实施中考虑的共模源通常包括：软件开发错误、硬件研制错误、硬件失效、安装错误、环境因素、共同的外部源故障等等。

1.2 确定独立性要求清单

独立性要求主要来自于FHA、PSSA和故障树（Fault Tree Analysis， FTA）的分析当中。对于每一个灾难性的（Catastrophic）或危险的（Hazardous）失效状态，识别每一个“与”门事件（故障树中的“与”门），并确定相关的设计独立性原则（为了识别出FTA中“与”门相关事件，一个可接受的方法是检查包含2个或者更多失效组合的最小割集）。此外，独立性需求也可能来自于设计中考虑的、需要验证的独立性原则或假设。

1.3 进行共模判定

对于1.2中得到的每一个共模分析的独立性要求，都应当分析与之相关的每个可能的共模失效或错误，以验证对独立性要求的符合性。对于共模分析不可接受的情况，建议可能的解决办法并开始设计纠正，持续跟踪纠正措施，最终确定设计的可接受性。

根据大量工程实施经验，在对于“与”门事件进行初步判断时，可以根据“与”门输入的类型确定分析时需要考虑分析的因素，表1提供了该方面的参考。

共模分析的输出是CMA报告，对于共模的不可接受情况，需要发布不符合检查单，共模分析之外开展可接受性程序。共模分析的结果经摘要后将作为SSA报告的一部分，提交适航审查。

2 共模分析的发展趋势

伴随技术的发展，民用飞机系统复杂程度愈发提高。譬如，综合模块化航电（Integrated Modular Avionics， IMA）系统的应用大幅增加了飞机功能的综合性和复杂性，大量相同模块的采用会导致故障传播可能性提高。目前航空业界愈加强调要降低发生系统性失效和共因失效的风险，其本质在于复杂系统和综合性的飞机级功能出现研制错误和不良或非预期影响的风险会更大[3]。

IMA系统架构与之前的联邦式系统的一个显著区别在于，IMA的基础架构的失效可以影响到共同使用到相关资源的所有系统。这种共享资源的失效可以引起直接使用这些资源的功能的失效、部分失效或者冗余的丧失，这种直接引起的故障称为“主要影响”，它们往往是可以直接通过分析或试验确定的。失效的共享资源产生的次要影响（也通常称作“级联故障”）通常由直接使用该共享资源的功能与未直接使用该共享资源的功能之间数据彼此相关而导致。更复杂的是，这种数据间的相关性可能在整个链路中存在更多的链接，因此影响到了多项功能。图2以IMA系统的设计为例给出了一个案例[4]。

功能A在左右两个独立的IMA机柜中驻留，当左侧机柜的计算模块失效时，造成了A功能的冗余度丧失（输出的左侧xyz-L数据丧失）。而功能B正常会使用到功能A驻留在不同的计算模块中的两个输出参数xyz-L和xyz-R，并且为了保证完整性指标，功能B必须要比较这两个独立的输出参数xyz-L和xyz-R。这种情况下，由于xyz-L已经无效，因此功能B的输出参数abc无效。功能C由于要采用abc进行某些计算，因此也无法正常实现其预期功能。最终，按照设计架构，功能C的失效信息通过机组告警系统送达驾驶舱。

如图2所示这种级联失效案例对于之前联邦式架构同样存在，但是由于当今民机系统的高度综合复杂，许多级联失效效应无法被明显识别出来，系统间与功能间的潜在交互比之前高出数倍。因此，共模分析除了需要关注之前飞机失效状态所提出的独立性要求，还需关注由于系统架构关联性导致出现的新的失效状态。不同失效状态所相关的系统可能共用了组件、架构或者资源，这些共同元素可能会导致产生新的项目前期未定义出的飞机失效状态。比如，一个单点失效可能对于某几个系统单独造成的影响都是较小的（Minor），但当这些较小的失效状态同时发生时，有可能造成危险的或者灾难性的失效状态。基于上述背景，本文提出今后民机系统共模分析的发展趋势主要包括2.1-2.3这三个方面。

2.1 对功能失效集的研究

随着新的工业标准SAE ARP 4754A的发布，共模分析的范畴可能从主要面向软硬件失效的故障树上有所拓展，还需要研究在研发过程中利用故障树进行研制保证等级分配时得出的功能失效集（Functional Failure Sets， FFS）是否恰当。如果有失效状态可能由于单独的A级成员导致（无论是功能研制保证等级FDAL A还是软硬件研制保证等级IDAL A），那么必须对该成员详细描述并重点研究，对出现以上情况的FFS可能需要分析人员与局方审查人员持续关注与反复审查。由于FDAL和IDAL是早期就在初步飞机安全性评估（PASA）和初步系统安全性评估（PSSA）中分配的，这些情况可能分析人员已经知晓并且进行了分析，也有一些情况可能后续在CMA过程中才会继续加以识别。如图3所示的研制保证等级分配案例，可以明显得知该灾难性的飞机失效状态有如下5种最小FFS：{F1错误，F2错误}、{F1错误，I3错误}、{I1错误，F2错误}、{I1错误，I3错误}、{I2错误}，“I2错误”构成了单一成员的FFS，其IDAL被分配为A级，必须对其进行详细的分析与审查工作。

2.2 对公共资源系统的研究

需要确保资源类系统不能破坏任何架构的独立性要求，并且不产生任何新的飞机级失效状态。飞机公共资源类系统（电源、液压源、航电网络等）的失效对于某一个其它飞机系统的影响应当是清晰的并且在相关SSA中进行阐述，然而可能有多个飞机系统在使用该资源系统，资源系统的失效可能造成多系统产生失效的效应，这样就可能产生新的飞机失效状态。正如前文所述，一个资源系统的失效可能对于某几个系统单独造成的影响都是较小的，但当这些较小的失效状态同时发生时，有可能造成危险的或者灾难性的失效状态。

2.3 对分析工具的研究

通过故障树验证“与”门独立性的做法可能在今后应对综合复杂民机系统设计，尤其是存在多种级联效应的情况存在一定漏洞，正如前文所述，因为某些通用设计架构的采用可能会导致新的失效状态。目前业界正在研究的基于模型的安全性分析方法今后可能对传统的共模分析方面提供一定帮助，除了因其本身具有的使系统设计与安全性分析更加紧密结合，迭代分析更加易于操作等特点之外，主要还因为通过模型的仿真，安全性工程师通过实施相关故障注入可以得到共模失效事件发生时对整个系统造成的影响，并且还可以借助计算机穷举出各种失效组合与某个失效状态之间的关联性。麻省理工学院等研究机构利用STAMP/STPA方法模型对IMA系统的安全性分析已经发表了相关研究成果[5]。

3 适航审查的关注点

共模分析也成为民用飞机适航审查中的关注重点，对于潜在共模失效的设计特征的可接受性往往又是其中的一个难点，欧洲航空安全局EASA和美国联邦航空局FAA往往对某些技术的采用上也可能存在不同的观点。

比如，对于共模失效的一项设计防范措施差异性（Diversity）或者叫非相似性（Dissimilarity），欧美工业界的观点就存在差异。具体举例而言，欧洲的空中客车公司对于A320、A330和A340的电传飞控系统设计中就采取了非相似设计的策略。具体举例来说，空客公司在A320的飞控计算机设计时采用了2种不同类型的计算机（两种计算机名分别为SEC和ELAC），这两种计算机由不同的制造商提供，它们的处理器、计算机架构、功能规范都不相同。每一个计算机当中都有一个计算通道和一个监控通道，而每一个通道的软件程序也不相同。因此，在A320的飞控系统的控制与监控中，总共有4个不同的软件包在起作用。空客公司希望通过软硬件的非相似设计来缓解冗余系统中共模失效问题。

然而，FAA对于这种非相似的设计却有不同的观点，他们认为由于非相似设计对于系统设计带来的保护程度是无法量化的，因此采取多样性或者非相似的设计，仅仅能够作为一种额外的保护措施，最重要的仍然是对于飞机研发执行足够严酷的研制保证过程。FAA还认为非相似设计某种程度上还会造成系统功能丧失的可能性提高，这是由于非相似的部分之间会比较出某些瞬时的超过相关阈值的差异等等[6]。对于高度综合复杂系统的相似性设计，FAA会提出很高的适航要求，通常可能需要民用飞机制造商使用评审、分析、仿真、试验等手段，开展各个层级严格的确认与验证活动。

4 小结

综上，由于目前民机系统日趋高度综合复杂，共模分析对于飞机安全性评估也显得格外关键。在我国民机研制项目中，需要严格对灾难性的和危险的飞机失效状态开展共模分析，尤其针对那些高度综合复杂系统。在共模分析开展过程中，需要关注软硬件的设计错误对关键功能的影响，同时关注飞机公共资源失效造成的全局影响。相应地在设计研发活动当中，可以适当应用SAE ARP 4754A中的流程，将可能的共模错误降到可接受的水平。

【参考文献】

[1]Society of Automotive Engineer（SAE） International. Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment[S]. 1996.

[2]Zdzislaw H. Klim Marek Balazinski. Methodology for the Common Mode Analysis[C]. AeroTech Congress & Exhibition Los Angeles， California September 17-20， 2007： 1-6.

[3]冯臻，王京娅.民机系统研制中关于限制研制错误的考虑[J].科技视界，2015：67，150.

[4]Gregg Bartley， Barbara Lingberg. Certification Concerns of Integrated Modular Avionics（IMA） Systems[C]. 27th Digital Avionics Systems Conference， IEEE， Piscataway， NJ， 2008， pp. 1.E.1-1–1.E.1-12.

[5]Cody Harrison Fleming， Nancy G. Leveson. Improving Hazard Analysis and Certification of Integrated Modular Avionics[J]. Journal of Aerospace Information System， Vol. 11， No. 6， June 2014：397-410.

[6]Jeffrey Voas， Anup Ghosh， Frank Charron， Lora Kassab. Reducing Uncertainty About Common-Mode Failures[R]. 1997： 1-12.

[责任编辑：杨玉洁]