【前言】

ARP4754A是指导民机及系统研制非常重要的一份标准。在国内，也是近年来从事民机及系统研制相关人员经常讨论和运用的话题。

究竟ARP4754A对民机研制的要求是什么？为什么ARP4754A会成为适航要求，它又是如何满足系统的安全性要求的？如何在实践中应用该标准指导具体的工程实践等等。这些问题不少人经常困惑，以下试图以问答ARP4754A的形式，对以上大家经常关心的问题进行探讨与阐释。

1、为什么适航要求民用飞机及系统按照ARP4754A定义的流程进行研制？

1.1适航对于系统安全的要求是什么？

适航规章25.1309(b)对系统安全提出了明确的要求：

The aeroplane systems and associated components, considered separately and in relation to other systems, must be designed so that -

(1) Any catastrophic failure condition

(i) is extremely improbable; and

(ii) does not result from a single failure; and

(2) Any hazardous failure condition is extremely remote; and

(3) Any major failure condition is remote.

以上要求明确定义了民机系统安全性目标，既包含明确的量化要求（灾难性失效条件发生概率不大于10E-9、危险的失效条件发生概率不大于10E-7、重大的失效条件发生概率不大于10E-5），也包含明确的定性要求（单点故障不能导致灾难性失效条件发生）

1.2 失效条件（failure condition）是如何发生的？

1.2.1失效条件、失效、研制差错

AMC25.1309对失效条件、失效、研制差错分别给出了如下定义：

失效条件（FAILURE CONDITION）: A condition having an effect on the aircraft and/or its occupants, either direct or consequential, which is caused or contributed to by one or more failures or errors, considering flight phase and relevant adverse
operational or environmental conditions or external events.

失效（FAILURE）: An occurrence which affects the operation of a component, part or element such that it can no longer function as intended, (this includes both loss of function and malfunction). Note: errors may cause Failures, but are not
considered to be Failures.

研制差错（DEVELOPMENT ERROR）: A mistake in requirements determination, design or implementation。

1.2.2哪些因素可能导致失效条件（FC）发生？

从以上定义可以看出，在特定的飞行阶段和运营条件、环境条件下，一个或多个失效和差错将导致对飞机和成员产生不利影响的失效条件。理论上导致每一个失效条件（failure condition）实际发生的每一个最小割集中，都可能包含研制差错。

假设每一个失效条件（failure condition）经FTA分析，经化简后包含若干个（l个）最小割集。每一个割集中包含n个设备或部件的失效（failure）事件和m个由于研发差错（development error）导致的事件。分别指定以下符号代表相应含义：

P_fc：代表失效条件实际发生概率；

P_{cu‍t set k}：第K个割集导致失效条件实际发生的概率；

P_fki：第K个割集中第i项硬件失效的概率；

P_ekj: 第K个割集中第j项研发差错的发生概率。

则失效条件的实际发生概率可以表达为：

_t

从以上分析中我们可以看到，实际导致失效条件发生的因素不仅包括硬件的失效，也包括飞机、系统、软硬件等各层级的研发差错。硬件的失效是可以有具体的量化失效概率的，可以采用ARP4761所定义的结构化的系统安全性分析方法将安全性需求（源自FHA的失效条件及其允许的量化概率要求）逐层向下分解传递到各层级的硬件上去；而研发差错的发生是很难用量化的概率去衡量和要求的，在实际的安全性分析计算中对于研发差错这一部分的发生概率也是不参与计算的，但为了进一步减小由于研发差错而造成的安全性事件概率，AC25.1309和ARP4754A引入了研制保证等级（DAL）概念，根据研发差错对系统安全事件的贡献大小和贡献方式，确定功能、系统、软硬件的研制保证等级，根据不同的研制保证等级，选择不同严格程度的研制保证活动，从而将由于研发差错造成的安全性问题限制在可接受的范围之内。

1.3 如何符合？

从以上的阐述可以看出：失效和研制差错均对失效条件的发生有贡献，系统或设备的失效概率是可以量化度量并进行量化分配的，但研制差错的发生概率是难以用量化的概率指标来衡量，并且由于系统的复杂性，事后也难以通过穷尽试验的方法进行检查和排除。为了尽量将由于研制差错带来的安全性问题限制在最小的可接受的范围内，咨询通报引入了研制保证（development assurance）和研制保证等级（DAL）的概念，规定基于安全性相关程度，按照一定规则，确定不同等级，按照不同等级对系统和复杂电子软硬件的研制过程进行不同的过程控制。

AMC25.1309 对于研制保证给出了以下定义：

研制保证（DEVELOPMENT ASSURANCE）: All of those planned and systematic actions used to substantiate, at an adequate level of confidence, that errors in requirements, design and implementation have been identified and corrected such that the system satisfies the  applicable certification basis. (AMC 25)。而研制保证等级（DAL）则是执行研制保证的严格程度。

AMC25.1309 第9b节中规定，为了表明对25.1309（b）有关量化的安全性要求，除了必须进行定量和定性的安全性分析以外，还必须按照ARP4754满足研制保证的要求（在ARP4754A发布后，通过AC20-174将研制保证的参考文件升级为ARP4754A）。 

2、 ARP4754A的总体内容架构是什么？

2.1  ARP4754A的主体内容包括哪些?

ARP4754A的主体内容分别是计划过程描述（第3节）、系统正向开发技术过程描述(第4节）、系统开发的完整性过程（第5节）。

在ARP4754A的第3节中，对计划的以下几方面进行了阐述：

——定义了计划制定的一般过程；

——计划一般应包含的主要内容；

——研制阶段转换的准则；

——针对各个过程的主要计划

在ARP4754A的第4节中，描述了飞机和系统的正向设计过程，分别包括以下图1所示的6个子过程。

民机及系统的正向设计技术过程 

在ARP4754A的第5节中，对飞机和系统开发的完整性过程进行了描述。针对第4节提出的飞机和系统正向设计过程，从技术分析和管理的角度分别提出了若干子过程。

技术分析相关的过程包括：系统安全性分析过程、研制保证等级分配过程、需求捕获过程、需求确认过程、验证过程。

管理过程包括：构型管理过程、过程保证过程、取证及与局方的联络协调过程。

2.2 2 主要计划与过程之间的关系是什么？

ARP4754A第3、4、5节分别对计划过程、系统开发过程、完整性过程的活动和要求进行了详细描述，三大过程主要内容及彼此之间的关系见下图2：

ARP4754A定义的各过程之间的关系

3、ARP4754A主要思想是什么？

——正向设计：功能及需求自定向下逐渐进行分解分配和定义，再自底向上逐级进行验证

——针对过程进行规划（制定计划）ARP4754A中表1对于计划与过程的关系给出了一种处理方式建议：

——谋定而后动：先制定计划，再实施计划

ARP4754A的表1如下，从中可以看出ARP建议的各过程与计划的关系

ARP4754A的表1（计划与过程的关系）

4、如何基于DAL等级进行研制保证活动选择？

4.1 研制保证活动选择的基本过程

基于研制保证等级的研制保证活动选择按照以下步骤和先后顺序进行：

a)基于FHA，识别最严酷的系统失效状态；

b)基于最严酷失效状态，确定系统的FDAL（参见ARP4754A 表格2；

c)基于系统的PSSA，将FDAL在系统内进行分解分配，确定IDAL（参见ARP4754A 表格3）；

d)按照FDAL选择系统适用的研制保证活动（参见ARP4754A 附录A）；

e)按照IDAL选择软硬件设备适用的研制保证活动（参见DO-178B、DO-254）。

4.2 研制保证活动选择的流程图

将上述步骤和顺序以图示表示如下：

研制保证活动选择的流程

5、如何基于DAL等级进行构型管理活动进行选择？

5.1 系统构型控制类别

系统构型控制类别：构型项目的研制生命周期数据按照构型管理严酷程度可分为两类:SC1和SC2。不同的系统构型类别代表不同的构型控制活动。

适用于SC1类的数据的构型控制活动包括：

——Configuration identification:

——Configuration baseline establishment:

——Problem reporting:

——Change control – integrity assurance:

——Change control – tracking:

——Configuration index establishment:

——Archive and retrieval

适用于SC2类的数据的构型控制活动包括：

——Configuration identification:

——Change control – integrity assurance:

——Configuration index establishment:

——Archive and retrieval 

5.2 基于研制保证等级的构型控制活动选择的一般步骤：

a) 基于DAL等级，识别系统或软硬件设备审定数据（参见ARP4754A 附录A）；

b) 基于DAL等级，对识别出的每一项审定数据确定系统控制类别（参见ARP4754A附录A）；

c)对每一项审定数据，根据确定的系统控制类别实施构型管理活动（参见ARP4754A表8）。

5.3 构型控制活动选择的流程图

将上述构型控制活动选择的步骤和时序以图示表示如下：

构型控制活动选择的流程