随着飞机对航电系统需求的不断增长,机载系统的功能和性能要求不断提高,现代航空电子系统越来 越呈现复杂系统特征,联合式架构已远不能满足航电系统的发展要求。为解决上述问题,20世纪90年代国外开始了综合模块化航空电子系统的研究工作,并很快取得技术突破;而微电子技术和集成电路的迅速发展,强大的微处理器技术、集成电路集成度的不断增长和成本降低,大大促进了综合模块化航空电子(Integrated Modular Avionics,IMA)架构的推广应用,IMA架构成为大型民用飞机系统的典型架构。

目前IMA 技术的发展日趋成熟,开放式IMA系统架构能够满足大型客机对航空电子系统高灵活性、高可靠性以及便于升级换代的要求,综合化航电系统得到了广泛关注,并逐步成为民用客机航空电子系统发展的主流趋势。典型代表包括美国波音公司B787飞机、欧洲空客公司的A380飞机和A350飞机等先进干线飞机。我国的大型客机C919也采用IMA系统架构。

DO-297中对IMA的定义是:“IMA是一组灵活的、可重用的、可互操作的共享硬件和软件资源,当把这些资源综合在一起时可以构建一个平台,该平台按一组确定的安全和性能需求进行设计和验证,能提 供各种服务,并驻留执行飞机功能的应用”。

由此可见,IMA系统由IMA平台以及一组驻留应用组成,其中IMA 平台通常包含1个或多个模块/组件,驻留应用通常也包含1个或多个组件。

联合式架构下,每个航电功能都有各自特定的独享的计算资源(处理器、数据通信和接口),这些计算资源驻留在各自独立的现场可更换单元(Line Replaceable Unit,LRU)中。

IMA系统架构为高度集成的实时系统提供所必需的核心资源框架,提供公共硬件计算模块的集中计算资源,为航电系统的通用处理功能构建了一个独立的通用处理平台,提供公共硬件计算模块的集中计算资源。

IMA 架构为多个飞机功能的驻留提供了公共计算资源,取代了联合式架构中航电功能面向任务的专用计算机。以前联合式航空电子应用软件嵌入在面向任务的专用计算机中,现在则驻留在IMA 系统的公共核心计算资源上,提高了系统资源的利用率和可用性。

IMA 平台属复杂机载设备,为飞机功能提供支持通用功能的公共平台,如计算功能、网络传输功能、数据转换功能;而且,IMA 平台与机上多个驻留应用软件、机载设备/组件(如传感器、控制器、显示器、作动器等)进行交互,并为驻留应用软件提供支持其运行的执行环境,包括硬件资源和平台基础服务。虽然IMA 平台可以驻留多个飞机功能,但是IMA平台本身并不具备专用的飞机功能。因此,开发IMA 平台可独立于专用飞机功能和驻留应用进行定义与开发。

由于IMA系统驻留多个飞机功能,因此IMA系统的综合化程度、系统内和系统间的相互关系的复杂度相对于单一功能实现方式的联合式架构均有了很大的提升,联合式架构的开发方法很难适用于IMA架构的开发。

IMA 系统的开发涉及与飞机制造商的交互、现有技术的应用、安装位置的环境、维护人员的操作等多方 利益相关者提出的约束。

其主要可划分为两个方面: 

一是与飞机制造商的交互,IMA系统供应商可捕获飞机级任务的运行场景和飞机功能需求,并参与飞机系统联合设计即飞机功能的划分和分配、迭代,协商可驻留在IMA 平台上的飞机功能,确定IMA系统的功能、性能需求;

二是技术、环境、利益相关者等多方提出的约束,包括IMA成熟技术复用、适航条款、维修性要求、装机环境要求、人为因素、公司战略等方面的约束要求。这两个方面与IMA系 统 开发的关系如图1所示。

图1 IMA 系统开发输入因素之间的关系

图1中,垂直方向代表自顶向下分解的功能/性能维度,水平方向代表IMA 系统开发的约束集(图1黑斜线外侧的区域),这两个维度的交集(黑斜线内侧的区域)是可接受的方案设计。显而易见,功能/性能需求和开发约束集这两个方面决定了IMA 系统的解决方案,IMA系统开发不但要考虑飞机级自顶向下分解出IMA 系统的功能/性能需求,还要考虑这些约束集对方案设计的“限制”,才能交付出满足装机要求的IMA 系统。

一、功能/性能需求

随着飞机任务复杂度的提升,飞机功能和系统功能之间并不是简单的一对一的分配关系,一个飞机级功能可能由多个系统完成,一个系统也可能完成多个飞机级功能。飞机级功能分配的过程也是确定飞机级系统架构的过程,需要对多种因素进行设计权衡。飞机级功能分配首先应确定初步飞机级系统架构,然后 根据初步飞机级系统架构将飞机级功能分配到相关系统,经过多次迭代安全性评估结果以及与系统供应商的协商结果,确定最终的飞机级系统架构及分配给特定系统的功能。

飞机功能分配阶段,飞机制造商自顶向下分解来自飞机系统的功能,确定驻留在IMA平台上的飞机功能,形成IMA系统的顶层需求。IMA系统开发商应积极联系飞机制造商、参与飞机系统设计过程即联合设计阶段,向飞机制造商提供来自IMA的技术支持(包括IMA 架构、模块设计、硬件设计、软件设计、安全性评估、平台资源、运行效率等),以实现航空电子系统逻辑架构到IMA 公共处理资源的映射,通过双方协商联合设计IMA 系统初步架构确保满足飞机级系统架构的要求。

同时,联合设计还有助于IMA 系统开发商更好地了解飞机级顶层需求、确定IMA 系统需求并向下分解、制定公司战略、将系统级需求作为开发下一代可认证IMA 平台的输入等工作,为IMA 系统开发奠定了基础。

IMA 平台为多个飞机功能提供公共计算资源以及通用接口资源,支持同时驻留多个飞机功能,其开发涉及多个机载系统的参与。基于IMA 架构的飞机级功能分配过程中,飞机系统被划分为计算处理功能和系统专用功能两部分,其中飞机系统的计算处理功能可被分配到IMA 系统中实现,系统专用功能则必须保留由具有特殊接口的专用设备完成;

由于IMA 系统主要提供公共计算资源以及通用接口资源,不能满足所有驻留功能的需求,对于一些需要特殊资源的系统功能, 需要IMA 系统和系统专用设备共同实现。此外,基于IMA  架构下除完成联合式架构下飞机级功能分配工作外,还需要通过对安全性、平台资源、运行效率等多种因素进行权衡,确 定可驻留在IMA平台中的系统功能。

飞机功能分配到IMA 系统后,需要再多次逐级向下进行功能分解,一直分解到软硬件可进行设计实现的程度。功能/性能的需求在层与层之间的追踪关系必须严格得到保证,即设计过程中任何层级的描述和考虑始终对最顶层———任务层负责,这样才能确保最终的设计实现与飞机任务需求。

二、约束集

IMA系统开发不但要考虑飞机级自顶向下分解出IMA系统的功能/性能需求,还要考虑这些约束集对方案设计的“限制”。“约束”经常以需求的形式出现,例如认证需求,同样,来自于顶层飞机级任务的功能/性能需求将逐级分解到底层———实现层,以驱动底层需求生成某种形式的解决方案。对于IMA开发商,识别飞机级任务的需求与约束之间的差异性非常重要,在 多方协商以及解决方案的“权衡”中起到至关重要的作用。

1、适航认证需求

适航认证需求源自飞机级的定义,是飞机制造商与适航认证的局方达成一致的结果,中国民用航空局发布的适航规章(或者美国联邦航空管理局或欧洲航空安全局使用。例 如,中国民 用航空规章第25部适用于航空运输类飞机的适航认证。国内民用飞机以CCAR 25部为审定基础,但考虑到型号后续发展以取得FAA 和EASA颁发的型号合格证的需要,因此在设计过程中往往会同时考虑FAA 颁发的适航规章14CFR 25和EASA颁发的适航认证规范CS 25的要求。

下面以CCAR 25条款为例说明适航认证需求到飞机系统和航电系统的分解。条款 §25.1301 规定,

“(a)所安装的每项设备必须符合下列要求:(1)其种类和设计与预定功能相适应。”其中设备的设计与安装符合“预定功能”是指在飞机的运行和环境条件下,设 备功能正常。在研制过程中设备的功能及性能指标通常在设备规范中明确,作为后续研制的依据。此需求是通过符合技术标准规定来满足的,而TSO 又会调用一系列行业标准,例如美国航空无线电技术委员会 发布的相关最低操作性能标准,这些需求都需要与认证机构进行讨论并达成一致。

此外,功能/性能需求和适航需求生成的约束均对系统/子系统的可靠性需求产生影响。通常,飞机任务成功率的目标是电子设备可靠性要求的关键驱动因素。但是,适航规章的安全性段落也包括可靠性需求。例如,适航规章 CCAR 25中安全性相关条款§25.1309以相应可接受的符合性方法 AC 25.13091A描述安全性需求及其与可靠性需求之间的关系。飞机安全性相关的失效状况影响与可靠性之间的关系如表1所列。

表1 功能危害性影响分类

由于飞机功能的失效可能会对飞机性能产生不利影响,所以必须评估飞机功能的失效影响。如果失效影响涉及到机组人员和/或乘客,那么相关飞机功能的失效概率必须是远不可能发生的。例如:如果某飞机功能失效对飞机乘员的影响包括对少数乘客或机组人员造成严重的致命的伤害,那么该飞机功能的失效概率不能高于1×10-7/飞行小时。由此可见,飞机级的安全性要求被转换成功能/子功能级的可靠性需求。

在功能层及以下层级不存在“安全性”需求,只有可靠性需求;这些可靠性需求将伴随着功能一起逐级向下分解,以确保满足顶层功能级的初始可靠性需求。因此,系统/子系统的可靠性指标必须同时满足顶层任务分解的可靠性需求和来自适航安全性的可靠性需求。

2、运营需求

飞机运营必须考虑要求强制执行的功能和性能需求。如欧洲颁发规章作为“委任规章 No.965/2012”,根据欧洲议会和理事会的 No.216/2008规定,制定航空运营相关的技术需求和行政程序。飞机运营要求由局方发布规章制定航空运营相关的技术需求和行政程 序,这些规章包括对运营组织方的不同类型的需求。对于飞机功能,为了进行特定类别的操作飞机必须装备机载电子设备,如“商用航空运输”。

常见的相关飞机功能包括,高度告警系统、地形识别及告警系统、防碰撞系统、天气探测设备、飞行机组对讲系统、座舱语音及飞行数据记录仪、最小无线电导航与通信功能等。这些功能来自飞机运营的需求,而不是适航;而且,这些设备的装机必须满足适航认证的要求,即满足安全性、可靠性的要求。

3、行业标准和推荐实践

所有航电设备和相关功能的分配和实现都应与行业标准、规定保持一致,分别规定并逐项详细说明,以获取认可和航空可批准的性能(即适航性),行业互换性符合航空实践(即考虑人为因素,材料,表面处理,制造工艺)以及与通用航空领域规定保持一致。常用行业标准和推荐实践包括:

(1) RTCA,美国航空无线电技术委员会,协调MOPS和最低航空系统性能标准并达成共识。符合MOPS和MASPS的标准通常由TSO 提出,因此TSO是设备获得FAA认可、装机使用资格的基础。

（2）EUROCAE ,欧洲民航设备组织,是欧洲相当于RTCA的机构,负责制定欧洲的航空标准。EUROCAE标准是设备获得EASA 认可、装机使用资格的基础。

（3）SAE ,汽车工程学会,负责航空电子相关功能和性能领域的航空航天标准和航空航天推荐实践的编写和汇总,如飞行操纵和飞行控制、飞行座舱显示和信号、维护实践、应用人为因素。

（4）ARINC，航空无线电公司,由航空公司电子工程委员会组成,根据电子设备特性制定类型、尺寸和功能约定,是设备之间独 立于系统制造商实现互换性所必需的。该特性定义了设备的功能/性能、系统间和控制/显示接口的连接器引脚层等规定。

4、时间和成本目标

与航电功能相关的时间和成本目标必须在飞机级 的设计和开发过程中被识别,并向下分解到系统级作为系统供应商的成本目标或预算,IMA 系统开发需关注开发周期、开发成本、飞行和维护机组的培训费用、维护成本等因素。

5、企业标准

企业标准可能需要在开发过程中进行特定的考 虑,如首选工具、首选开发功能、特殊开发软件的使用、特定的命名、归档、记录规定等。这些标准可能会偏离 或增加以其他方式或从行业通用实践中获得的标准, 由其他项目应用或因成本的考虑等因素产生的标准。

6、最低性能要求(MPS)

航电设备包研发过程中的一个关键参数是各功能 的性能要求。性能要求将适用于每个航电设备功能, 因此每个航电设备功能必须毫无例外地派生出所需的 性能 指 标 值,MPS源 于认证和操作批准需求,例 如IMA模块MPS来自TSO 153。

7、复用需求

复用需求与公司战略和公司标准密切相关。根据 公司制定的商业计划和技术发展战略,航空电子设备研发项目可能是公司已经参与或者希望在未来参与的多个类似项目之一。在这种情况下,可应用到多个项目的技术复用会为公司节约开发成本,提高利润。

反过来说,技术复用也可能会在设计方面规定约束,包括文档、功能分区、系统性能、系统成本,甚至系统功能。当前项目可能只需要这些功能的一个子集,但是将来的技术重用的需求可能会更为广泛。

而且,复用需求可能会迫使公司使用专用的项目管理和财务功能,由于公司项目管理和财务工作只能 在当前项目上收取部分费用,其余工作的收费将在复用项目中产生。

8、环境

目标飞机为航电设备提供装机环境,航电功能必须在机上运行性能必需的等级。环境特性包括:温度、高度(气压)、空气质量和湿度、振动和冲击、气压梯度(爆炸)、电磁特性和对射频信号的敏感性、闪电效应的敏感性等。实际的飞机环境为每种试验“类型”给出一组特定的值和参数,因此必须从标准RTCA DO 160中选出适用环境特性的相关章节。

环境适应性设计是航电设备研发工作中非常重要和相当严苛的一个方面,因为设备装机环境需求方面 出现错误将会导致已完成研发的设备无法应用到预期的装机环境中,而设计更改到位后,代价高昂的试验和评估功能的工作可能必须重新开展。

例如,IMA系统开发者对装机环境要求的理解出错,温度范围未完全覆盖,那么元器件的选型就会出错,设备的散热/加热设计、结构设计可能不满足散热要求。

9、重量

飞机制造商在飞机初步设计中确定了飞机的总体重量,以及分配给各系统和航电设备包的重量“预算”,并向下分解到各子功能。IMA 架构下,因为IMA 硬件可能是整个系统架构中的通用公共计算资源,而IMA 平台的重量可能与驻留应用的数量不存在线性关系, 因此重量设计具有一定的优势,而“正确的”初步系统架构定义则变得非常重要。

从飞机设计的视角来看,超过或低于重量预算都可能是不利于飞机设计的,因此设备重量设计出现偏 差应该及时与飞机制造商进行协商。

10、功耗

与重量预算类似,飞机制造商在飞机初步设计中将功耗预算分配给系统和航电设备包,这些将作为整体飞机功耗组成的一部分。

功耗不超出预算非常重要,因此在航电系统设计阶段初期,分配给各系统的功耗预算必须被尽可能精确地分配,以便飞机功能初步验证架构设计的可行性。在IMA架构下,面向软件的飞机应用与硬件需求不存在线性关系,这是IMA架构的优点,但它以更复杂的设计迭代和系统复杂性为代价。

11、散热

散热预算与功耗预算相辅相成。散热需要设计机械接口,根据设备装机运行环境的温度和湿度,与航电系统设计工作进行协调,选择正确散热方式(如自然散热、强迫风冷散热、传导散热、液体冷却等)是至关重要的。

散热在很大程度上影响了航电设备的平均故障间隔时间(MTBF),而航电设备硬件的内部热分布需要根据实际硬件设计进行专用的/特殊的热设计,通过在设备内部设计专用的热传递路径,包括热布局、散热方式、散热介质、热传输路径、风道、液冷通道等,以便将设备内部的热量传导到散热区。

任何散热需求都可能规定后续具体的要求,例如大气洁净度、大气温度、压力和湿度;而且考虑到飞机 服役寿命和设备将来潜在的功能升级或设计更改,可能会提出更高的散热需求。

12、维护和修理需求

维护和修理需求是考虑从机场外场维护到车间维修等各种维修场景、不同维护级别的维护、修理需求。

由于IMA 系统驻留多个飞机功能,因此IMA 系统的综合化程度、系统内和系统间的相互关系的复杂度相对于单一功能实现方式的联合式架构均有了很大的提升,IMA 系统开发除了完成传统的飞机级功能分配外,还需要通过安全性、平台资源、运行效率等多种因素权衡确定哪些系统驻留在IMA 平台中以及IMA 系统与驻留 ATA 系统的关系等。

为了便于理解本文介绍的IMA 系统开发方法,本外场维护需要设备具有一定的故障报告和诊断的能力,既有与飞机操作人员的数据链路,也有与飞行机组人员到达后的沟通交流,以便航线维护人员在规定的时间内做出响应。

因此,飞机航线维护规定内部航电设备失效状态和飞机级安装问题(如线缆、连接器、系统内部通信故 障)并汇总形成通用语言的故障报告,既可以通过维护电脑的诊断功能输出,也可以通过与飞行机组人机 接口输出,用于航线维护人员成功响应故障并保持低概率无故障发现 (NFF)状况。

一旦设备从飞机上拆除,假定设备具备良好的故节以起落架系统、座舱显示系统、飞行管理系统和机上维护系统到IMA 系统的驻留为例,通过飞机系统功能IMA 平台通用资源的分配以及对约束的权衡来进一步说明IMA 系统开发方法。LGS由起落架收放系统、刹车控制系统、车轮转向控制系统、起 落 架 监 控 系 统四个功能子系统以及三个独立的起落架组成。

LGERS负责起落架的控制以及监控功能,由 LG-ERS命令通道和自检测通道组成;BCS负责飞机刹车控制以及监控功能,由BCS命令通道、监控通道和自检测通道组成;WSCS负责起落架前轮转向控制液压伺服阀的控制和监控功能,由 WSCS命令通道和监控通道组成;LGMS负责刹车温度监控与指示、胎压检测与指示、刹车散热风扇的控制功能,由 LGMS控制功能和自检测功能组成;以上各子系统命令通道的开发保证等级(DAL)均为 A 级,监控通道的开发保证等级均为B级,且必须考虑命令通道与监控通道的隔离性。其中IMA 平台通用处理资源可以满足LGS各应用软件的处理需求,四个功能子系统可以驻留在IMA平台上;但是起落架需要特殊的飞机接口来实现,因此不能驻留在IMA平台上。

CDS由6 个显示单元和2 个键盘控制单元组成CDS软件驻留在每个显示单元上,IMA 平台仅提供通用数据传输和接口的驻留。

FMS包括飞行计划、飞行优化与预测、导航和飞行指引四部分功能,均由应用软件实现。因此,FMS的应用软件均驻留在IMA 系统中,飞行管理功能由IMA系统实现。

OMS包括数据加载与配置管理、中央维护系统、飞机状况监控系统三部分功能。IMA 平台的硬件资源可以满足这三部分的功能需求,因此OMS所有功能都驻留在IMA 平台上。

初步飞机级功能到IMA 的分配示意如图2所示。

图2 IMA 系统中飞机级功能分配示意图

从图2可以看出,FMS、OMS这两个系统均由软件实现,因此均驻留在IMA系统上,与IMA系统一起实现系统功能;LGS的应用软件部分均驻留在IMA系统上,与各自系统的专用设备一起实现系统功能;CDS的通信功能和接口数据转换功能驻留在IMA 系统上, 与CDS系统的专用设备、显示器与键盘控制单元,一起实现显示系统的功能。

飞机级功能分配阶段,IMA平台供应商首先需要考虑使用能够满足各系统应用软件驻留的要求,其次 要初步评估平台性能以确保满足各系统驻留应用的运行需求,还需要详细考虑2.2节描述的各项约束,逐步实现IMA 系统的开发,例如:

(1)适航认证约束:识别适航认证需求,即必须满足的适航规章,如大型运输类飞机以CCAR 25部为审定基础。

(2)适航符合性约束:确定IMA系统适航方法,如采用DO 297作为IMA系统开发和认证的可接受的符合性方法,IMA系统通过增量式认可方法获得安装批准。

(3)安全性约束:如驻留应用 DAL A级的安全性要求、命令通道与监控通道的隔离性要求等。

(4)供电约束:余度供电的隔离性要求以及应急供电的要求等。

(5)环境约束:根据 LGS的需求,确定IMA平台,尤其关注执行 LGS接口数据转换功能的远程接口单元的安装环境、安装方式、功耗及散热条件等。

(6)MPS:TSO是局方颁布的民用航空器上所用的特定零部件的最低性能标准。IMA 系统相关的TSO分为两大类:

(7) 复用: 考虑到开发周期、认证成本、研制风险等因素,IMA 系统开发首选采纳成熟技术的复用,包括驻留系统以及IMA 平台技术的复用。

(8) 维修保障性约束: 确定平均修复性时间、维修间隔等。

通过考虑这些约束集对IMA 系统方案设计的“限制”,系统设计人员将来自于顶层飞机级任务的功能/性能需求逐级分解到底层实现层,最终以驱动底层需求生成具体的解决方案。

以驻留在IMA 系统的飞行管理系统为例,其飞机功能分配到IMA 系统的功能/性能需求层次结构如图3深色图框所示。最顶层的任务描述与最底层的设计实现从不同的角度描述了同一个飞机功能,“最顶层”是从飞机级任务的角度抽象地描述整个飞机的预期操作;“最底层”的设计实现层则是从软硬件设计实现的角度,描述飞机级任务的最终实现。“设计实现层”描述的是具体的设计“需求”,可以逐级向上追溯到最顶层的“任务”描述,即最底层的需求是从最顶层的任务分解而捕获到的。

图3 功能/性能需求层次结构示意图

由图3可以看出,设计实现层的软件和硬件模块组成了飞行指引功能,逐级向上看,飞行指引功能是飞行管理功能的组成部分,飞行管理功能是航电系统的组成部分,航电系统是飞机系统的组成部分。一般情况下,从飞机层到最终的设计实现层之间会包括7~10层级(某些复杂系统可能会超过10层),相邻层与层之间的功能/性能需求存在一一对应的关系,需求自顶向下逐层分解,而底层设计实现逐层向上集成,最终支持顶层飞机级任务功能的实现。

无论是基于传统的联合式架构还是复杂可复用的IMA 架构的航电设备研发,都与飞机整体定义密切相关,都需要满足飞机的功能/性能要求以及各种“限制因素”。本文通过研究IMA 系统开发中与飞机制造商的交互、现有技术的应用、安装位置的环境、维护人员的操作等多方利益相关者提出的约束,帮助开发人员深入了解这些利益相关者对IMA的影响,为IMA系统开发提供参考。