SAE-ARP4754A民用飞机和系统开发指南翻译稿.pdf
《SAE-ARP4754A民用飞机和系统开发指南翻译稿.pdf》由会员分享,可在线阅读,更多相关《SAE-ARP4754A民用飞机和系统开发指南翻译稿.pdf(128页珍藏版)》请在冰豆网上搜索。
I目录1.范围(Scope).11.1目的(Purpose).21.2文件背景(DocumentBackground).32.引用文件(References).52.1适用文件(ApplicableDocuments).52.1.1SAE出版物.52.1.2FAA出版物.52.1.3EASA出版物.62.1.4RTCA出版物.62.1.5EUROCAE出版物.62.2定义(Definitions).72.3缩写(AbbreviationsAndAcronyms).123.研制计划(DevelopmentPlanning).143.1计划过程(PlanningProcess).143.2过渡准则(TransitionCriteria).153.2.1偏离计划.164飞机和系统研制过程(AircraftAndSystemDevelopmentProcess).164.1飞机/系统概念研制阶段(ConceptualAircraft/SystemDevelopmentProcess).174.1.1研制保证.184.1.2研制保证过程的介绍.184.1.3源自安全性分析家等级安全性要求的介绍.194.1.4飞机级功能、功能要求和功能接口的识别.204.1.5飞机功能到系统的分配.20II4.1.6系统构架研制.214.1.7系统要求到项目的分配.214.1.8系统实施.214.2飞机功能研制(AircraftFunctionDevelopment).214.3飞机功能到系统的分配(AllocationofAircraftFunctionstoSystems).234.4系统构架的研制(DevelopmentofSystemArchitecture).244.5项目系统要求的分配(AllocationofSystemRequirementstoItems).244.6系统实施(SystemImplementation).254.6.1信息流-从系统过程到项目过程&从项目过程到系统过程.254.6.2硬件和软件设计/建造.274.6.3电子硬件/软件集成.274.6.4飞机/系统集成.275集成过程(IntegralProcess).285.1安全性评估(SafetyAssessment).285.1.1功能危害性评估.305.1.2初始飞机/系统安全性评估.315.1.3飞机/系统安全性评估.325.1.4共因分析.335.1.5安全性项目计划.345.1.6安全性相关的飞行操作或维修任务.345.1.7服务中安全性的关系.355.2研制保证等级分配(AssignmentofDevelopmentAssuranceLevel).355.2.1一般准则研制保证等级分配的介绍.365.2.2功能研制保证等级和项目研制保证等级(FDAL和IDAL).375.2.3详细的FDAL和IDAL分配指南.375.2.4考虑外部事件的FDAL分配.505.3要求捕获(RequirementsCapture).515.3.1要求类型.525.3.2安全性分析的导出安全性相关要求.55III5.3.3使用中捕获维修要求.555.4要求确认(RequirementsValidation).565.4.1过程目标.575.4.2确认过程模型.575.4.3正确性检查.615.4.4完整性检查.625.4.5确认的严酷度.645.4.6确认方法.655.4.7确认资料.675.5执行验证(ImplementationVerification).685.5.1验证过程目标.685.5.2验证过程模型.695.5.3验证严酷度.705.5.4验证计划.705.5.5验证方法.715.5.6验证资料.745.6构型管理(ConfigurationManagement).765.6.1构型管理过程目标.765.6.2构型管理过程活动:
.775.7过程保证(ProcessAssurance).795.7.1过程目标.795.7.2过程保证计划.805.7.3项目计划评审.805.7.4过程保证的证据.805.8适航审定和管理活动的协调(CertificationandRegulatoryAuthorityCoordination).815.8.1适航合格审定策划.815.8.2关于建议的符合性方法的规定.815.8.3符合性证明.825.8.4适航合格审定资料.82IV6.飞机或系统改型(ODIFICATIONSTOAIRCRAFTORSYSTEMS).856.1改型过程概述(ModificationProcessOverview).866.2改型管理过程(ModificationManagementProcess).866.3改型影响分析(ModificationImpactAnalysis).876.4改型分类和管理(ModificationCategorizationandAdministration).886.5接受改型的证据(EvidenceforAcceptabilityofaModification).886.5.1利用历史使用经验.896.6改型考虑(ConsiderationsforModifications).896.6.1新增加一个飞机级功能.906.6.2用其它飞机的项目或系统替换现在的项目或系统.906.6.3使现在的项目或系统适合不同的飞机型号.926.6.4不增加新功能而改型项目或系统.936.6.5补充型号合格证(STC)介绍.947注意(NOTES).957.1.957.2.95附录A-过程目标资料.96附录B安全性项目计划.104附录C功能研制保证等级(FDAL)/项目研制保证等级(IDAL)分配过程实例.11911.范围范围(Scope)本文讨论的飞机系统的开发过程,全面考虑了整个飞机的运行环境和功能,包括审定和产品保证过程中的要求确认过程和设计实施验证过程。
它提供了一种和相关规章和服务相一致的推荐标准来帮助进行设计开发以及满足其内部标准。
本指导材料是按14CFR25部(Title14CodeofFederalRegulationsPart25)和EASACS-25部(欧洲航空安全局审定说明25部)制定的,也可用于其它条例,例如23部、27部、29部、33部和35部(CS-23,CS-27,CS-29,CS-E,CS-P)。
本文覆盖了实施飞机级功能的飞机和系统的全寿命周期,不包括某些特定的内容:
详细的软件或电子硬件开发、安全性评估过程、运行中的安全性活动、飞机结构开发、主最小设备清单(MMEL)和构架导出清单(CDL)。
同时,本指南详细地覆盖了RTCA文件的DO-178B“航空系统和设备审定的软件考虑”开发中的软件方面和欧洲EUROCAE的ED-12B。
RTCA的DO-254和欧洲EUROCAEED-80“航空电子系统设计保证指南”里包含了电子硬件开发设计方面的详细信息。
RTCA/EUROCAE里的DO-297/ED-124包含了集成模块航空电子的设计指南和审定考虑。
SAEARP4761“实施民用航空系统和设备实施安全性评估过程指南和方法”概要了安全性评估过程的方法理论。
ARP5150“商业运输飞机的安全性评估”和ARP5151“商用一般飞机和旋翼机的安全性评估”里详细描述了服务中的安全性评估细节。
本文第6节覆盖了已经审定的活动(对审定过的产品进行修改)。
各国的开发和支持MMEL的规章和进程各有不同。
指导MMEL开发的指南应寻求适航当局的帮助。
图1表示了这些文件的相互关系。
这些文件是安全性评估、硬件和软件生命周期过程和系统开发过程的指南。
2安全性评估过程指南&方法(ARP4761)飞机&系统开发过程(ARP4754/ED-79)软件开发生命周期(DO-178B/ED-12B)航空电子集成模块指南(DO-297/ED-124)电子硬件开发生命周期(DO-254/ED-80)商用飞机安全性评估(ARP5150/5151)运行集成飞机功能功能、故障&安全性信息系统设计信息功能性系统开发阶段服务/运行阶段图1开发和服务/运行阶段指南文件1.1目的(目的(Purpose)本指南主要针对支持飞机级功能的系统,而且其潜在的失效模式会导致飞机出现不安全的情况。
典型地,这些系统在更大的集成环境中与其它系统有重要的相互作用。
通常,系统中的重要元素由独立的个人、集团和组织研制。
这些系统需要额外的设计准则和开发结构以确保安全性和使用要求的实现和验证。
从飞机级向下的自顶向下迭代法是初始化过程的关键。
文件的内容是建议性的,不具强制性。
因此,文中避免使用将和必须这样的词。
我们已经意识到,组织可以使用与本文件不同的方法进行高度集成或复杂飞机系统的适航合格审定。
本文件既不为单独的组织结构提供指导,也不为如何划分适航合格审定责任提供指导。
这种指南不应从提供的文件中推导出来。
31.2文件文件背景背景(DocumentBackground)在RTCA/EUROCAE制定DO-178/ED-12的修订版B版时,要求把系统级信息作为软件开发过程的输入。
许多系统级的决策是飞机系统安全性和功能的基础,因此需要必要和合适的过程管理要求和与决策相关的结果。
本文件是应FAA对SAE的请求制定的。
FAA要求SAE规定系统级信息(证明高度集成或复杂航空电子系统满足条例要求)的合适的性质和范围。
SAE成立系统集成要求任务组(SIRT),制定FAA要求的ARP文件。
SAE开始就认识到此文件国际协调的重要性,强烈希望FAA和JAA派代表参加SIRT。
欧洲成立了EUROCAEWG-12伙伴工作组,协调欧洲在此方面的意见。
任务组包括在飞机设计和支持方面有直接经验的人员,包括大型商业飞机、通勤类飞机、商业和通用航空电子设备、喷气发动机、发动机控制。
有各种背景和代表各种利益的管理人员,也参加了工作组。
工作组与RTCA专业委员会(SC-167和SC-180)及SAE的S-18委员会,建立并保持正式和非正式联系。
文件制定期间一直与14CFR/CS25.1309协调工作组进行沟通。
文件制定期间一直反复讨论文件的性质。
有人强烈建议规定特定的合格审定步骤目录检查单。
同样有人强烈建议集中注意主要的问题,允许申请人和适航当局剪裁特定系统的细节。
应当认识到,不论是整个适航合格审定还是大部分理想系统,都需要双方进行重要的工程判断。
对基本准则有了共同的理解和关注,才能保证判断的质量。
由于其它多种因素的作用,做出了现在的决定。
这些因素包括:
潜在系统申请人的多样性、快速发展的系统工程、DO-178、DO-178A/ED-12A里包含的有关的工程经验以及DO-178B/ED-12B的特殊重要性。
系统设计的目前趋势是飞机功能和实施飞机功能的系统间集成化水平的不断增加。
然而,在考虑到系统间集成化所带来的意义时,复杂性的增加也会带来错误概率的增加,尤其是和多系统交叉实施功能时这种情况更加明显。
遵照航空规章制定及咨询委员会(ARAC)给集成化水平的增长提出的建议,飞机审定文件ARP4754/ED-79的使用越来越广泛。
这些集成化水平的增长参考了咨询文件里的ARP4754/ED-79以服从14CFR/CS23.1309(参考2009年出版的AC23.1309-1D)和25.1309(参考2003年出版的AMC25.1309和AC25.1309兵工厂草案)。
随着初版ARP4754研制保证等级任务里的5.4节使用的增加,产生了很多有关该指南力4度的强硬性和软弱性的观点和见解。
初版ARP4754里5.4节简洁地描述了以下潜在的见解:
“如果PSSA表明系统构架包含设计错误的影响,而这些错误的飞机级影响是足够安全的,那么应该在构架容积边界范围内以一个对整个系统项目来说过程严格度减轻的等级来开展研制保证活动。
”经验表明确定容限的过程和定义已经产生了不同的解释和基本观点的应用。
研制保证等级任务过程的改进是这次修订主要特征之一,这次修订提供了一套方法理论确保正确的研制保证等级。
初版ARP4754/ED-79在1996年出版的同时,SIRT和WG-42也同时解散了。
需要一组在飞机级领域具有丰富经验的专家进行初版ARP4754/ED-79的修订工作。
最终选择了SAES-18飞机安全委员会来执行这项工作,是因为他们对源文件和他们制定的文件以及ARP非常熟悉。
许多S-18委员会的成员是制定初版ARP4754文件的SIRT成员。
同时,EUROCAE特许了一个工作组去更新ED-79。
WG-63联合了WG-42工作组的成员,同时代表了来自欧洲航空工业的一大批工业界和学术界的参与者。
WG-63和S-18共同保管了本文件的备忘录,确保ED-79A和ARP4754A逐字相同。
附录A包括了过去的多年内由于工业的演变而对文件进行的更新工作。
特别强调了ARP4754/ED-79和ARP4761之间的关系以及与DO-178B/ED-12B和DO-254/ED-80之间的关系,并且指出了初始版本和修订版本间的不一致之处。
附录A同时也扩展了应用在飞机和系统级的设计保证概念和设计保证期间的标准化。
因此,针对飞机和系统引进了功能研制保证等级(PDAL)的概念,术语设计保证等级thetermdesignassurancelevel重新命名为项目设计保证等级(IDAL)。
同时包含了第一版后来自工业界的反馈所进行的不断改进和充实。
此外,S-18/WG-63和RTCA专门委员会205(SC-205)/EUROCAEEG-71一道努力进行修订确保使用的术语方法和更新DO-178B/ED-12B所使用的术语和方法相一致。
52.引用文件引用文件(References)2.1适用文件适用文件(ApplicableDocuments)本文件中参考了下列文件。
参考文件的适用版是在本节注释的修订版。
这些文件后续版本可用的地方,申请者应核实它们的可用性。
参考文件修订的程度除非相关否则不用标注。
2.1.1SAE出版物出版物从SAE国际处获得:
400联邦体、Warrendale、PA15096-0001。
电话:
877-606-7323(美国和加拿大国内)或724-776-4970(美国国外)。
网址:
www.sae.rog。
ARP4761民用航空机载系统安全性评估过程的指南和方法。
ARP5150商业运输机安全性评估。
ARP5151商用一般飞机和旋翼机安全性评估。
2.1.2FAA出版物出版物从FAA获得:
800IndependenceAvenue,SW,Washington,DC20591。
电话:
866-835-5322,网址:
www.faa.gov。
14CFR21部产品和零件审定程序。
14CFR23部适航性标准:
正常的、有效性、特技类和通勤类飞机。
14CFR25部适航性标准:
运输类飞机。
14CFR27部适航性标准:
正常旋翼机。
14CFR29部适航性标准:
运输类旋翼机。
14CFR33部适航性标准:
飞机发动机。
14CFR35部适航性标准:
螺旋桨。
AC23.1309-1D23部飞机系统安全性分析和评估。
AC25.19审定维修要求AC25.1309-1A系统设计和分析,咨询通告。
62.1.3EASA出版物出版物从EASA获得:
OttoPlatz1,Postfach101253,D-50452,Cologne,Germany,网址:
www.easa.eu.int。
IR-21飞机和相关产品和零件审定程序CS-23正常的、实用的、特技飞行的和通勤类飞机审定说明CS-25大型飞机审定说明CS-27小型旋翼机审定说明CS-29大型旋翼机审定说明CS-E发动机审定说明CS-P螺旋桨审定说明AMC25.19审定维修要求AMC25.1309EASA可接受的设备、系统合格安装方式2.1.4RTCA出版物出版物从RTCA公司获得:
1828LStreet,NW,Suite805,Washington,DC20036,电话:
202-833-9339,网址:
www.rtca.org。
DO-178飞机系统和设备合格审定中的软件考虑DO-178A飞机系统和设备合格审定中的软件考虑DO-178B飞机系统和设备合格审定中的软件考虑DO-254机载航空电子硬件的设计保证指南DO-297集成航空模块设计指南和合格审定考虑2.1.5EUROCAE出版物出版物从EUROCAE出获得:
102rueEtienneDolet92240,Malakoff,France。
ED-12A飞机系统和设备合格审定中的软件考虑ED-12B飞机系统和设备合格审定中的软件考虑ED-80飞机电子硬件设计保证指南ED-124集成航空模块设计指南和合格审定考虑72.2定义定义(Definitions)本节定义了本文用到的术语。
在本文使用的工业材料给出了引用并和参考原材料中的定义一致。
接受接受(ACCEPTANCE):
适航当局承认提交的数据、理由和声明满足可用的要求。
同意同意(AGREEMENT):
适航当局承认某个计划或提议和系统或元件的可用性相关或支持某个系统或元件,是一种考虑到可用要求的可接受的陈述。
适航性适航性(AIRWORTHINESS):
飞机、飞机系统或元件在其运营条件下以一种安全的方式完成其预期的功能。
分析分析(ANALYSIS):
基于将复杂系统分解成简单元件的一种评估。
批准批准(APPROVAL):
适航当局实施的正式批准行动。
批准批准的的(APPROVED):
为满足特定目的适航当局所接受的行为。
评估评估(ASSESSMENT):
基于工程推断的评价。
假定假定(ASSUMPTIONS):
没有依据的陈述、原则和(或)提出的猜想。
保证保证(ASSURANCE):
对产品或过程满足给定的要求提供足够信心和依据的有计划的、系统的行为(RTCADO-178B/ED-12B)。
当局当局(AUTHORITY):
负责可用要求审定的国内组织或人员。
适用性适用性(AVAILABILITY):
功能状态系统或项目在给定时间点的定性或定量特性。
不适用性表示系统(项目)不能提供输出的概率。
合格合格审定审定(CERTIFICATION):
产品、服务、组织或个人服从可用要求的法定认定。
这种审定包括了检查产品、服务、组织或个人的技术上的活动以及通过证书、许可、支持或国家法律和程序要求的其它文件服从可用要求的认定。
适航当局适航当局(CERTIFICATIONAUTHORITY):
授予批准可用规章的组织或人员。
分类(分类(失效失效条件)条件)(CLASSIFICATION(FAILURECONDITION)):
失效条件影响严酷度的离散编目方法。
分类等级在可用的CFR/CS咨询材料(1309节)里进行定义:
灾难的、危险的/严重的、主要的、微小的、或无安全影响。
共因分析共因分析(COMMONCAUSEANALYSIS):
包括区域安全性分析、特定风险分析和共模分析的一般术语。
8共共模分析模分析(CommonModeAnalysis):
用来验证ASA/SSA里的失效事件在实际实施过程中是独立的一种分析。
共模错误共模错误(COMMONMODEERROR):
影响除了独立元素以外的一系列元素的错误。
复杂性复杂性(COMPLEXITY):
功能、系统或项目的一种特性,不借助于分析方法很难去理解它们的运行、失效模式或失效影响的一种特性。
符合性符合性(COMPLIANCE):
所有委托活动的成功实施;期望或指定结果与实际结果间的一致性。
部件部件(COMPONENT):
任何对系统的运营实施特定必要功能的独立零件、零件的组合、组装或单元。
构型构型基线基线(CONFIGURATIONBASELINE):
采取的变化过程违反已知的飞机、系统或项目的配置。
构型构型项目项目(CONFIGURATIONITEM):
配置控制下的飞机、系统、项目和相关数据。
一致性一致性(CONFORMANCE):
证实参考标准、说明或图纸的正确性。
证明证明(DEMONSTRATION):
通过观察证实性能的一种方法。
导出要求导出要求(DERIVEDREQUIREMENTS):
在不能追踪到高层级要求的设计过程中源自于设计或实施决策的额外需求。
研制研制保证保证(DEVELOPMENTASSURANCE):
所有策划的系统性活动。
用于证明(在足够可信度的情况下)已经识别和纠正了研制错误,进而系统满足适用的合格审定基础。
(AMC25)。
研制错误研制错误(DEVELOPMENTERROR):
在需求决策、设计或实施过程中的错误。
错误错误(ERROR):
机组成员或维修人员的一种疏忽或不正确的活动,或在需求、设计或实施过程中的错误。
外部事件外部事件(EXTERNALEVENT):
检查过程中的飞机或系统发生的与其起源不同的事件,例如大气条件(强风、剪力、温度变化、结冰、闪电)、运行环境(飞行条件、通讯条件、导航和监视服务)、机舱和行李着火和鸟撞。
该术语不包括蓄意破坏。
9失效失效(FAILURE):
影响元件、零件或设备运行而不能完成预期功能的行为(包括功能丧失和功能失调)。
注意:
错误可能导致失效,但不能认为是失效(AMC25.1309)。
失效失效条件条件(FAILURECONDITION):
考虑飞行阶段和相关不利的运营或环境条件或外部事件,直接或间接导致一个或多个失效或错误的、对飞机和(或)其使用者产生影响的条件(AMC25.1309)。
失效失效影响影响(FAILUREEFFECT):
描述某失效对系统或项目的运营情况的影响,例如,失效模式对系统或项目的运行、功能或状态的影响。
失效失效模式模式(FAILUREMODE):
系统或项目失效发生的方式。
失效失效率率(FAILURERATE):
时刻t时的可靠性分布函数与失效分布函数的比值,()()/(1()tFtFt故障故障(FAULT):
项目或系统的某种错误导致失效的一种描述。
功能功能(FUNCTION):
基于定义的一系列实施要求的产品的预期行为。
功能功能研制研制保证等级保证等级(FUNCTIONDevelopmentAssuranceLevel):
研制保证任务实施功能的严格等级。
(注意:
功能研制保证等级用来识别满足飞机或系统功能的ARP4754/ED-79目标)功能失效功能失效集集(FUNCTIONALFAILURESET):
导致失效顶事件的相互独立的单个事件或一组特定事件的集合。
功能功能危险性危险性评估评估(FUNCTIONALHAZARDASSESSMENT):
根据功能的重要性进行失效条件识别和分类的系统的、综合的功能检查。
功能独立性功能独立性(FUNCTIONALINDEPENDENCE):
在减小某种一般要求错误的可能性方面具有差异性的功能的特性。
指导指导(GUIDANCE):
和相关规章一致的推荐程序。
指南指南(GUIDELINE):
有帮助但并非指导的支撑信息。
硬件硬件(
升级会员 