1研制保证的相关定义

项目：具有界限和明确定义接口的软件或硬件。功能失效集（FFS）：会导致顶层失效状态的单个成员或被认为相互之间独立的某一组成员。一个FFS相当于故障树的最小割集。功能研制保证等级（FDAL）和项目研制保证等级（IDAL）：功能研制保证等级定义了产生功能需求过程的严格程度。项目研制保证等级指对项目实施的研制保证任务的严重程度等级。功能独立性和项目研制独立性：功能独立性是一种属性，也就是在功能不同的情况下，保证了功能需求不会受到一个公共错误的影响。项目研制独立性也是一种属性，是指在项目不同的情况下，使发生各自研制项目间的共模错误的可能性降到最低程度。

2研制保证等级分配的基本原则和降级分配原则

采用功能失效集（FFS）的概念作为分配研制保证等级的系统性方法。对于灾难性的失效状态如果是由单个成员组成的功能失效集，即一个飞机/系统功能或项目的一个可能的研制错误导致，则该成员的研制保证过程被分配为A级。如果是由多成员组成的功能失效集，即两个或多个独立研制的飞机/系统功能或项目可能的研制错误组合共同导致，则其中任一个研制保证过程被分配为A级，或者其中两个研制保证过程至少被分配为B级。其他独立研制的飞机/系统功能或项目的研制过程等级不低于C级。用以确保两个或多个独立研制的飞机/系统功能或项目独立性的研制保证过程仍应是A级。如果是由单个成员组成的功能失效集，即一个功能或项目的一个可能的研制错误导致，则该成员的研制保证过程至少被分配为B级。如果是由多成员组成的功能失效集，即两个或多个独立研制的飞机/系统功能或项目可能的研制错误组合共同导致，则其中任一个研制保证过程至少被分配为B级，或者其中两个研制保证过程至少被分配为C级。其他的独立研制的飞机/系统功能或项目的研制保证等级不低于D级。用以确保两个或多个独立研制的飞机/系统功能或项目独立性的研制保证过程仍应是B级。对于较大的失效状态如果是由单个成员组成的功能失效集，即一个功能或项目的一个可能的研制错误导致，则该成员的研制保证过程至少被分配为C级。如果由多成员的功能失效集，即两个或多个独立研制的飞机/系统功能或项目可能的研制错误组合共同导致，则其中任一个研制保证过程至少被分配为C级，或者其中两个研制保证过程至少被分配为D级。用以确保两个或多个独立研制的飞机/系统功能或项目独立性的研制保证过程仍应是C级。对于较小的失效状态如果是由单个成员组成的功能失效集，即一个功能或项目的一个可能的研制错误导致，则该成员的研制保证过程至少被分配为D级。如果是由多成员组成的功能失效集，即两个或多个独立研制的功能或项目的研制错误组合共同造成，则其中一个研制保证过程至少被分配为D级。

3研制保证等级分配流程

3.1FDAL和IDAL的分配概述

FDAL和IDAL的分配是一个自上而下的过程。首先，在初步飞机安全性评估（PASA）/初步系统安全性评估（PSSA）中根据功能危害性评估（FHA）的失效状态严重等级分配顶层FDAL。将顶层功能分解成多个子功能后，结合系统架构和独立性，分配子功能的FDAL。将每一个子功能进一步分解或分配给项目，并分配项目的IDAL。如果不考虑系统的架构和独立性，支持顶层功能的所有子功能的FDAL及其架构中所有项目的IDAL的等级都与顶层功能的FDAL相同。该方法是最严格的研制保证等级分配方法。

3.2基于系统架构和独立性的研制保证等级分配

在IDAL分配时，项目本身不包括用于减少潜在研制错误的架构特性。考虑系统架构和独立性的研制保证等级分配步骤如下。确定顶层失效状态，为顶层功能分配研制保证等级。将飞机和/或系统FHA中的失效状态确定为顶层失效状态。顶层失效状态所对应的功能为顶层功能，顶层功能的FDAL等级为顶层失效状态最严重的等级。其中，灾难性失效状态为A级，危险性失效状态为B级，较大的失效状态为C级，较小的失效状态为D级，无安全影响的失效状态为E级。E级顶层失效状态不用进一步分析。确定顶层失效状态的所有功能失效集。对每个顶层失效状态执行故障树分析，故障树的最小割集相当于FFS。只要FFS成员满足功能独立性，可以对给定的FFS成员分配低于顶层失效状态严重等级的FDAL。独立性判断和研制保证等级分配当功能和项目研制都具有独立性时，使用研制保证等级分配中与顶层失效状态类型相对应的降级原则分配FDAL，然后以上层研制保证等级为基准，用相同方法分配IDAL。当功能独立、项目研制不独立时，如果使用非独立的项目（或者部分项目是不独立的）实现独立的功能，并且非独立项目的研制错误可以导致某些或所有功能间的共模错误，则需要将“共同”的非独立项目的IDAL分配为最高的顶层功能FDAL等级。对于以相同设计实现的各个功能应进行隔离，以确定FDAL分配所要求的功能独立性，并避免一个功能研制过程中的错误影响其他相同设计的功能。隔离功能的研制保证等级应分配为与研制中影响最严重的错误相对应的FDAL。如果没有采用隔离或者不能证明这些功能间的独立性，则相同设计的IDAL可以强制将设计中所实现功能的FDAL重新分配为该相同设计的IDAL。当功能不独立、项目研制不独立时，FDAL和IDAL相同且都等于顶层功能的FDAL。当功能不独立、项目研制独立时，顶层功能由一个系统功能实现，该功能由多个相互独立的项目组成。根据基本原则对系统功能FDAL分配顶层功能FDAL。用与顶层失效状态类型相对应的研制保证等级降级分配原则分配项目IDAL。

4应用实例

故障树为例，说明基于独立性的研制保证等级分配方法的实施过程。顶层功能失效状态FC2为灾难性失效状态，由F1功能失效和F2功能失效组合导致。F1和F2具有功能独立性，项目2的研制错误能够导致F1功能和F2功能同时失效，从而导致顶层失效状态发生。具体系统架构和独立性的研制保证等级分配步骤如下。确定顶层失效状态，为顶层功能分配研制保证等级FC2为灾难性顶层失效状态，根据研制保证等级分配的基本原则，FC2的FDAL被分配为A级。确定顶层失效状态的所有功能失效集根据的故障树，得到该故障树的6个最小割集，即功能失效集，分别为F1和F2，F1和I2，F1和I3，F2和I1，F2和I2，I2。3)独立性判断和研制保证等级分配F1功能和F2功能独立，根据研制保证等级的降级分配原则，F1和F2的研制保证等级有三种分配方法，所示。将F1和F2的FDAL分配给项目。由于项目2研制中的错误能够同时起F1和F2功能失效，I2的IDAL应该被分配为最高的顶层功能FDAL等级A级。根据中三种F1和F2的FDAL分配结果和第2节中的研制保证等级的降级分配原则1b，为I1和I3分配IDAL。

5结论

根据导致顶层失效状态的功能失效集中各成员间的功能独立性和项目研制独立性，可以在安全性可接受范围内，根据研制保证等级的降级分配原则将分配给飞机/系统功能和项目的研制保证等级适当的降级，从而能够节约研制成本，缩短研制周期。

作者：李亚男金平单位：中国商飞上海飞机设计研究院