欢迎访问学兔兔标准下载网,学习、交流 分享 !
返回首页 |
ICS 49.090 V 35
HB 8644-2022
民用飞机机载电子硬件设计要求
Design requirements for airborne electronic hardware modules of civil aircraft
2022-04-24 发布 2022-10-01 实施
中华人民共和国工业和信息化部 发 布
前 言
本标准按照 GB/T 1.1-2009《标准化工作导则 第 1 部分:标准的结构和编写》给出的规则起草。本标准由中国航空综合技术研究所归口。
本标准起草单位:北京航空航天大学、中国航空综合技术研究所。
本标准起草人:王 彤、何 锋、王博甲、任文明、王炜信、宋京帅、韩 冰、李二帅、赵 琳。
民用飞机机载电子硬件设计要求
1 范围
本标准规定了民用飞机综合模块化航空电子硬件模块的功能、性能、机柜安装和验证等通用要求。本标准对硬件模块在飞机上执行的功能不作规定。
本标准适用于采用综合模块化航空电子标准硬件模块(包括硬件模块各部件以及用于模块标识的驱动软件和用于装载应用软件的加载软件)的机载电子设备,不适用于传送无线电频率信号等其他机载电子设备。满足本标准要求的硬件模块装载有应用软件时,应满足其他功能 TSO 适航取证规定的所有功能要求。
2 规范性引用文件
下列文件对于本文件的引用是必不可少的。凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
HB 6167(所有部分) 民用飞机机载设备环境条件和试验方法
FAA AC20-170 综合模块化航电研制,验证,集成和批准适航审定要求(Integrated modular avionics development. derification, integration and approval using RTCA/DO-297 and technical standard order C153)
FAA TSO-C153 综合模块化航空电子的硬件单元(Integrated modular avionics hardware elements)
3 术语和定义、缩略语
3.1 术语和定义
下列术语和定义适用于本文件。
3.1.1
飞机功能 aircraft function
在飞机上,由系统的硬件和软件为飞机提供的能力。飞机功能包括飞行控制、自动驾驶、刹车、燃油管理、飞行仪表显示等。为包括所有飞机功能,IMA 可扩展航空电子系统的定义。
3.1.2
功能 TSO functional TSO
适航当局对要取证的执行特定飞机功能的机载设备所做的技术标准规定。
3.1.3
最低性能要求 minimum performance specification
硬件模块功能和性能满足 TSO 授权的条件和试验。
3.1.4
模块 module
可以独自或在 IMA 语境下被认可的一个组件或一组组件的集合。一个模块可由其他多个模块组成。模块可以是软件、硬件或软件和硬件的组合,这些软硬件能为 IMA 系统中驻留应用提供资源。模块既可分布于整个飞机也可集中放在一起。
3.1.5
平台 platform
包括核心软件在内的一个模块或一组模块,在某种意义上而言,其可对资源进行管理以支持至少一种应用。IMA 的硬件资源与核心软件应能为至少一个驻留应用提供计算、通信和接口的能力。平台本身不提供任何飞机功能。平台只是建立了一个计算环境,能支持服务,并提供与平台相关的能力,如健康监控和故障管理。IMA 平台可独立于驻留应用被认可。
3.1.6
应用 application
具有指定接口的软件或者特定应用的硬件,当集成在航电平台后执行某种具体功能。
3.1.7
机柜 rack
包含至少两个硬件模块的物理封装,能对模块提供部分保护功能使其免受环境影响(如屏蔽),并能在不受物理影响/改变其他飞机系统或设备的情况下安装和移除机柜内的模块。
3.1.8
组件 component
一个配套的硬件、软件、数据库或它们的组合,能被受控的配置。组件本身不提供飞机具体功能。 3.1.9
核心软件 core software
通过管理资源为应用程序执行提供环境的操作系统及支持软件。核心软件是平台的必要组件, 通常由一个或多个模块(例如,库、驱动程序、内核、数据加载、引导程序等)组成。
3.1.10
资源/共享资源 resource/shared resource
IMA 平台或应用程序使用的任何对象(处理器,内存,软件,数据等)或组件。资源可由多个应用程序共享或专用于特定的应用程序。资源可是物理存在对象(如硬件设备),也可是逻辑存在对象(如消息)。
3.1.11
使用域 usage domain
确保 IMA 模块持续满足 TSO 最低性能要求时用户需要遵守的详尽条件列表(如配置设置,使用规则等)。遵从这些使用域可保证该模块符合所有规定的功能、性能、安全和环境要求;符合用户手册中的由制造商保障的模块特性,以及符合适航审定要求(包括持续适航方面)。
3.2 缩略语
下列缩略语适用于本文件。
BIT-build-in test,机内自检测;
CBIT-continuous BIT,周期自检测;
IBIT-interruptive BIT,启动自检测;
IMA-integrated modular avionics,综合模块化航空电子;
LRM-line replaceable module,外场可更换模块;
LRU-line replaceable unit,外场可更换单元;
MMU-memory management unit,存储器管理单元;
MPS-minimum performance specification,最低性能要求;
MTP-manufacturing test port,测试与维护接口;
PBIT-power up BIT,上电自检测;
TC-type certificate,型号认证;
TSO-technical standard order,技术标准规定;
WCET-worst case execution time,最坏执行时间。
4 要求
4.1 设计目标
民用飞机机载电子硬件的设计目标为:
a) 满足民用飞机航电开放式系统的要求,促进商业标准和技术的使用;
b) 采用 LRM,支持通用化、标准化和系列化的硬件设计,降低维护和备件支持成本;
c) 提供综合检测和故障隔离,支持容错、故障管理、重新配置和维护,支持软件的可重用性;
d) 支持增量式修改和验证,减少修改带来的影响和成本。
4.2 一般要求
4.2.1 适航性
应提供硬件模块研制及安装的方法,以保证与其他模块和应用软件为特定机型进行系统集成时,不削弱和降低该型飞机的适航性。
4.2.2 FAA AC20-170 符合性
应明确硬件模块是否支持 FAA AC20-170 中的增量式适航策略。
4.2.3 预期功能
应根据系统应用与环境相适用的要求,制定硬件模块的预期功能,同时按照 FAA TSO-C153 适航取证规定的准则制定模块的 MPS。每一硬件模块安装到飞机上后,应执行制造商所定义的预期功能。但是每个硬件模块自身不能完成飞机上的任何功能,只有多个硬件模块集成起来并加载上应用软件之后,才能实现飞机上的功能。单个硬件模块在制造和装配时,仅驻留驱动程序软件和加载软件。
4.2.4 测试影响
硬件模块及其测试流程应设计为在采用特定测试程序时,不会导致任何明显的对硬件模块性能和可靠性有损害的情况。
4.2.5 功能鉴定
应为每类硬件模块制定 MPS。内容包括硬件模块预期的所有 MPS,而且这些要求应使用可度量的术语进行表达。功能鉴定应符合第 5 章的规定。
4.2.6 环境鉴定
应按第 5 章规定的环境验证要求进行硬件模块试验。试验方法可参考 HB 6167。针对 HB 6167 规定的试验程序,制造商应具体指定硬件模块的性能要求。若需要, 可在极限环境情况下另建立一套合格的准则或试验容差范围。如果选择 HB 6167 中适用的试验条件和试验类别,则制造商应制定鉴定试验大纲指导后续试验过程。可将硬件模块组合在一起进行试验,以便更真实地反映硬件实际运行情况。
4.2.7 失效等级分类
失效等级分类依赖于实现的功能和在特定飞机环境上的应用。分类应作为安装批准的一部分,用安全评估法确定。对每一个开发的硬件模块,制造商应规定硬件的设计保证等级和软件等级。对于任何设
定的飞机上的安装、软件和硬件的接口以及操作运行, 均应保持硬件设计保证等级和软件等级,并在安装限制和使用说明中描述。
4.2.8 硬件设计保证
每一硬件模块的设计保证等级应与其主机功能和系统结构的失效等级分类一致。如果硬件模块包含试验和分析无法确切评估的电子装置,则该电子装置的设计保证等级的确定应符合机载电子硬件设计保证相关规范的要求。
4.2.9 软件设计保证
硬件模块可包括加载软件和驱动软件。若有这些软件, 则软件的设计保证等级的确定应符合机载电子软件的设计保证相关规范的要求。
4.2.10 构型管理
应在每一个硬件模块里设计支持健壮、自动的构型管理功能,并满足下列要求:
a) 对于每个硬件模块,应能通过人工手段或自动化的方法来监控集成装配,同时表明更高级别的装配只有按照预定的设计才能进行,并可检查出不正确的装配;
b) 对于需要使用连接件与其他系统设备接口的硬件模块,应能通过人工手段或自动化的方法来监控更高级别的装配,以防止不正确的连接,或在交付之前能检查到不正确的连接;
c) 对有 IMA 系统的飞机进行安全评估时,制造商应针对每一个具体的飞机构型,考虑构型管理设计特性失效的情况。
4.2.11 质量控制
应提供满足本标准硬件模块的质量控制数据资料。此外, 制造的每个硬件模块均应符合已有的设计规范。
4.3 通用功能要求
4.3.1 功能定义
应依据系统应用的要求,按照处理功能的类型来定义硬件模块。硬件模块的类型和数量以及每一单元类型的数量可不同。图 1 给出了 IMA 的架构示例图,若干模块集成于两个机柜中。典型的模块类型有数据处理、电源、数据存储、网络交换、信号处理、图形处理和输入/输出等,一个完整的机载电子系统还包括其他各种各样的控制器、显示器和传感器等。模拟信号、专用通讯总线、系统双向通信数据总线或数据网络的任意组合,可提供 IMA 系统间的通信。可在一个或多个机柜以及其他设备的模块之间分配功能。可将提供资源共享功能的模块视为标准硬件模块,将提供专用功能的模块视为非标准模块。标准硬件模块的具体功能可通过配置实现。
注:通常认为数据处理模块包含数据处理组件(1 个或者多个)、存储组件、接口设备以及关联的核心软件,提供数据处理共享功能,并为应用程序提供运行环境。电源模块包含 1 个或多个电源组件,为驻留在同一个机柜上的其他模块提供受控的电源供给共享功能。数据存储模块包含存储组件(易失存储或者非易失存储)、接口组件和关联的核心软件,提供数据存储共享功能(如:数据库、文件等)。网络交换模块包含标准的输入/输出组件和关联的核心软件,提供信息交互和共享功能,输入/输出接口可以是离散量、模拟量、串行接口, 或数字总线接口等。信号处理模块包含信号处理组件(1 个或多个)、存储组件、接口设备,以及关联的核心软件,提供信号处理共享功能,并可为应用程序执行提供运行环境。图形处理模块包含图形处理组件(1 个或多个)、可选视频处理组件、存储组件、接口设备以及潜在关联的核心软件,提供图像处理和可选视频处理共享功能,并可为应用程序执行提供运行环境。
图 1 IMA 的系统架构示例图
4.3.2 模块嵌入信息
硬件模块应设计包含模块自身特性的特征信息。这些信息应保存在非易失存储器中, 保证断电后信息不丢失。可包含制造商 ID、序列号 ID、硬件版本号、驱动程序版本号、物理接口版本号、网络接口ID、网络接口数量、模块处理 ID、模块处理类型、工作时间、使用历史纪录、维护纪录和模块状态等特征信息。
4.3.3 BIT
模块的软硬件资源应支持下列三种 BIT 功能,以便提供一定的自身故障检测能力:
a) PBIT:应确定硬件模块上的可用资源在应用软件下载前是否完全正常运行;
b) CBIT:应作为硬件模块正常工作时的后台活动任务来运行;
c) IBIT:当有启动命令时,IBIT 被执行,IBIT 启动后,硬件模块的正常操作被中断,IBIT 执行结束后,模块应能返回至正常运行状态。
4.3.4 故障记录
为支持故障管理,应具备故障检测、故障屏蔽和故障限制等功能。例如, 可根据 PBIT 发现模块上电时的故障。硬件模块应提供故障登录手段, 这些信息存储在非易失存储器中。故障记录信息应包含时间戳信息。
4.3.5 时间管理
为支持系统的时间管理功能,应设计一些定时器。例如, 全局时间、本地时间、同步时间、运行小时数等。应支持通过网络消息使用外部时钟源来同步定时器。
4.3.6 模块初始化
硬件模块应具有引导过程和初始化过程,其中,引导过程执行各类模块启动的特定功能。引导状态指所有硬件相继通电,包括 PBIT 在内的引导过程执行完毕,软件设置,准备初始化运行的状态。初始
化过程完成加载软件、读取测试结果、读取状态信息、加载路由表、加载电源配置等功能。不同硬件模块的初始化过程有所不同。
4.3.7 供电特性
硬件模块(电源模块除外)应能接收底板提供的标准直流电压,并将其转换为模块内部要求的特殊工作电压。每个模块至少有两个电源模块提供电源, 可支持冗余电源输入。在正常工作期间, 对来自不同电源模块的供电应进行并联。
4.3.8 总线网络接口
应设计模块的通信功能,完成与总线或网络输入输出的直接连接,网络连接的数量取决于模块的类型及系统的实现。应包含模块内部的通信功能, 实现处理器单元之间、处理器与接口之间的通信。可与网络交换模块一同提供网络配置功能,确保模块内部通信带宽满足外部总线或网络通信的要求。
4.3.9 物理接口
物理接口一般应包含以下接口:
a) 冷却接口;
b) 实现模块功能的光、电等电气接口;
c) 机械连接以及插入、取出装置。
4.3.10 软件接口
软件接口定义了一套服务,提供了操作系统与硬件的独立性,并允许操作系统软件访问硬件资源。应具备这些服务功能,并驻留于硬件模块。服务一般应包括以下内容:
a) 硬件模块的资源信息管理;
b) 存储管理服务,如数据隔离服务、保护、存储器锁存和逻辑到物理转换;
c) 中断处理服务,支持中断链接、中断屏蔽、中断仲裁和中断应答;
d) 硬件异常管理服务,提供访问异常表的能力;
e) BIT 管理服务,如激活测试和访问模块资源的状态;
f) 硬件模块状态信息报告服务,提供模块的状态(运行/暂停,故障描述等);
g) 硬件定时器和时钟管理服务,如基于全局时间的日历、警报器和时钟滴答等;
h) 底层物理接口驱动,如输入输出流、物理设备控制的底层服务和用于网络通信的服务;
i) 支持与操作系统之间的通信服务;
j) 模块控制服务,包括模块的冷启动、禁止和复位等操作;
k) 调试服务,如底层调试服务,包括软件加载、存储器和寄存器的访问、单步运行、软件断点设置、性能测量和资源监控;
l) 故障管理功能,如故障日志访问和看门狗定时器。
4.3.11 测试与维护接口
硬件模块应提供 MTP,以便实现综合测试与维护。使用 MTP 可访问模块的内部资源,例如,应能对模块内部资源进行下列操作:
a) 读取故障记录和擦除故障记录;
b) 读取运行小时数;
c) 激活 PBIT,读取 PBIT 结果;
d) 激活 IBIT,读取 IBIT 结果;
e) 下载更新的驱动程序软件或应用软件;
f) 访问模块中用于调试和监视的资源。
4.4 定义性能要求
4.4.1 性能定义
应根据使用条件和环境定义模块的性能要求。
4.4.2 性能参数
IMA 模块的性能要求应按表 1 中的列表以及每类功能模块的附加性能参数进行特性描述,每一个特性项都应记录在用户指南或安装手册等文档中。
表 1 硬件性能参数
表 1 硬件性能参数(续)
表 1 硬件性能参数(续)
表 1 硬件性能参数(续)
4.4.3 完整性
性能描述应正确和完整。只有当 IMA 模块的全部共有特性均描述后,才可达到完整性。
4.4.4 量化
可量化的性能要求应按最小值、典型值(相关)和最大值以及有关的精度进行量化。
注:当相关时,应考虑环境或异常情况的影响。
4.4.5 使用域
应标识出 IMA 模块有效的使用域。
4.4.6 使用和安装限制
应提供使用和安装时(包括限制状态和激活状态)的所有约束。
4.4.7 共享资源
应提供共享资源部件所有类型的列表、关联属性、可配置性及其性能,以及相关的使用限制。
4.4.8 核心软件/可编程硬件
核心软件/可编程硬件应至少包括以下特征:
a) 核心软件/可编程硬件的标识;
b) 由核心软件/可编程硬件支持的 IMA 模块功能、性能和安全要求;
c) 外部的接口和相关数据耦合/控制耦合信息;
d) 集成和加载过程;
e) 设计保证等级。
4.4.9 最坏执行时间
当宿主软件驻留在 IMA 模块时,应提供评估每个共享模块并发应用程序/线程的 WCET 所需的所有数据。
4.4.10 共享资源管理
应提供每个共享资源的管理机制,包括监控。特别是范围、时序切面和状态转移等。
4.4.11 故障率
应至少对以下故障模式提供故障率:
a) IMA 模块失效;
b) IMA 模块的错误行为;
c) 共享资源单元失效;
d) 共享资源单元的错误行为。
4.4.12 监控覆盖率
应为 IMA 模块标识的故障模式(包括共享和非共享资源、共享机制和健壮分区机制)提供监控覆盖率(PBIT ,CBIT 等)。
4.4.13 安全性
应描述由不良排序、延迟、内部攻击和假冒攻击等带来的安全方面的特性(若适用)。
4.4.14 健康监控
健康监控项目应包括下列内容:
a) 用户提出的接口规则和约束;
b) 健康监控服务列表;
c) 受监控的组件、服务和接口的列表;
d) 对故障的响应;
e) 故障报告属性(内部日志记录、使用共享资源的应用程序指示、模块外部的指示);
f) 配置属性(若有)。
4.4.15 可配置性
如果 IMA 模块可配置,则应包括以下项目:
a) 使用域中的授权配置参数(包括范围、类型,以及组合参数定义);
b) 用户在应用程序开发和 IMA 系统集成期间进行的配置活动(包括配置程序、手段和工具)。
4.4.16 工具
如果安装时需要使用某些工具,则应根据以下内容进行定义:
a) 标识;
b) 工具的用户手册;
c) 在应用程序开发和 IMA 系统集成期间进行的与这些工具相关的活动;
d) 工具的相关使用资质认证;
e) 软件设计保证中定义的工具类别和工具的设计保证等级;
f) 可能会影响工具资质信用,需要由用户分析的工具限制和开放问题报告(若有)。
4.4.17 一致性和混合性
硬件、软件、工具和使用域之间的一致性和混合性程度应作为性能要求的一部分,至少应包括以下方面:
a) 如何验证已授权的混合组合;
b) 已授权混合组合模块对接的一致性评估过程(外部混合性);
c) 为防止不正确的模块组合或软件加载而开发的预防性措施(设计或程序);
d) 给维修人员提供的相关信息。
4.4.18 控制性
应包括 IMA 模块针对检测到的故障应有的控制特性(禁用、复位、重新加载等)。
4.5 机柜安装要求
4.5.1 功能定义
对于符合 TSO-C153 的机柜,至少包含两个硬件模块,对模块能够提供部分保护功能使其免受环境影响(如:FAA),且能在不受物理影响/改变其他飞机系统或设备的情况下安装和移除机柜内的模块。
IMA 机柜可能是一个简单的机械外壳,也可能包含无源通信接口、无源数据和电源交联、主动式/被动式冷却装置,或是这些功能的任意组合。
IMA 机柜预期功能是通过某一机械单元提供安装和防护能力,可分为以下四个方面:
a) 安装(强制性);
b) 屏蔽(可选);
c) 交联(可选);
d) 温控(可选)。
4.5.2 安装要求
4.5.2.1 总则
IMA 机柜为硬件模块提供的安装能力可被细化为:
a) 至少能提供两个插槽,为两个硬件模块提供安装空间;
b) 可人为(可使用工具)操作,在机柜的插槽中直接安装和拆卸硬件模块。
4.5.2.2 功能要求
机柜安装应满足以下功能要求:
a) 允许在其机械结构内安装至少两个硬件模块,其中至少一个是 IMA 标准模块;
b) 确保安装后不同硬件模块之间的物理分区隔离;
c) 对于每种类型的插槽,采用如机械定位销等方法避免非故意的硬件模块错误或不当安装的情况发生;
d) 若符合 MPS 需要额外的机械组件提供支持,且该组件是可分离的,则使用部件号进行标记;
e) 外部机械接口应符合标准规范,插槽可被配置。
4.5.2.3 性能要求
机柜安装应满足以下性能要求:
a) 机柜安装要求应包含下列内容:
1) 大小、质量和重心;
2) 空隙图例;
3) 顶层图样和机械接口;
4) 模块安装图例;
5) 安装和拆除机制;
6) 温控(如:气流,冷却等)性能(若有);
7) 插槽清单和相关性能(物理图例、温控性能、连接器等)。
b) 包含硬件模块安装和拆除的说明和方法。
c) 提供插槽类型的列表、关联属性、可配置性(若有)及规格尺寸(图样),应包含以下方面:
1) 授权或预定义的硬件模块列表;
2) 硬件模块为插入机柜而应遵守的最低要求列表;
3) 插槽安装图例(机械外形/图样)和特性(扭矩,最大插入次数等);
4) 功耗和气流分布。
d) 使用域应足够准确,以允许对已安装硬件模块的预期性能进行规格说明和验证;
e) 包括配置、重量和几何数据,这些数据需要用来评估已安装或部分安装的机柜的质量和重心;
f) 包括符合 MPS 所需的额外附加机械部件的安装说明。
4.5.3 屏蔽要求
4.5.3.1 总则
屏蔽要求是机柜可选子功能,在该情况下,IMA 机柜提供对安装的硬件模块的保护和屏蔽功能。该项要求包括以下内容:
a) 在飞机环境中对已安装的硬件模块的保护级别(包括但不限于高强度辐射场和雷电效应);
b) 机柜内安装的硬件模块之间的环境隔离级别(屏蔽)。
4.5.3.2 功能要求
屏蔽应满足以下功能要求:
a) IMA 机柜应保证安装的硬件模块的环境保护级别(屏蔽),该保护应考虑 IMA 模块(机柜外部)由 HB 6167 确定的安全级别,以及安装在机柜内部硬件模块之间的相互交联单元;
b) IMA 机柜提供的保护性应针对每个插槽进行评估和确认。
4.5.3.3 性能要求
屏蔽应满足以下性能要求:
a) 每个插槽的环境保护等级(屏蔽)应在安装手册中进行说明、界定和记录;
b) 包括在安装时支持 IMA 系统安全分析的故障模式和保护特性(如防雷电等);
c) 包括支持环境保护(屏蔽)的插槽类型和相关特征的列表。包括以下内容:
1) 授权或预定义的硬件模块列表;
2) 硬件模块为了插入机柜而应遵守的最低要求列表;
3) 插槽安装图例(机械外形/隔离/图样);
4) 每个插槽对于 HB 6167 章节约束的隔离级别和屏蔽级别。
d) 包括用于验证安装在机柜中硬件模块的环境测试列表(参见 5.3);
e) 包括可配置插槽允许的所有可能配置;
f) 如果屏蔽功能由附加的机械组件满足,其安装应在安全手册中指定。
4.5.4 交联要求
4.5.4.1 总则
交联要求是机柜可选子功能,在该情况下,IMA 机柜提供对安装的硬件模块之间的交互功能,以允许数据交换和分布式模块供电。
注:为保证已安装硬件模块之间的分布式供电,至少一个电源模块安装在机柜内, 以确保向其他硬件模块提供电源。
4.5.4.2 功能要求
交联应满足以下功能要求:
a) IMA 机柜应提供已安装硬件模块之间的交联功能,由一个或多个交联单元提供的数据总线和/或供电总线实现,这些总线完成数据交换和供电切换的功能;
b) 如果 IMA 机柜提供了多条总线,则由IMA 机柜确保已安装硬件模块使用总线之间的隔离。这种隔离应通过分区分析和环境验证测试来证实;
c) IMA 机柜的接口应符合标准规范;
d) 数据和电源总线不能降低信号传输的性能;
e) IMA 机柜应确保交联功能的正确隔离,防止信号(数据、离散量 I/O、电源总线等)之间的干扰影响数据的完整性、延迟和可控性。
4.5.4.3 性能要求
交联应满足以下性能要求:
a) 包括衰减曲线、信号完整性、串扰和故障容错率,且应被评估和确认;
b) 每种总线的性能应被量化、评估和确认;
c) 至少应对以下故障模式提供故障率:
1) 交联功能失效;
2) 交联功能的错误行为。
d) 包括不良排序、延迟、内部攻击和假冒攻击等安全方面的因素;
e) 包括总线类型列表、相关属性、可配置性,以及尺寸和性能。
4.5.5 温控要求
4.5.5.1 总则
温控要求是机柜可选子功能,在该情况下,IMA 机柜提供对安装的硬件模块的温度控制能力。温度控制可依据以下方式实现:
a) 在飞机环境(机柜外部)和 IMA 机柜安装的硬件模块之间分配气流;
b) 强制制冷单元内的空气对流;
c) 在硬件模块与机柜散热片之间安装热传导装置。
4.5.5.2 功能要求
温控应满足以下功能要求:
a) IMA 机柜应提供对已安装硬件模块的温度控制,该控制将确保插槽处于确定、合理的温度范围;
b) IMA 机柜可提供一种有效的手段(温度控制单元),实现对飞行器环境和已安装硬件模块之间的温度控制。
4.5.5.3 性能要求
温控应满足以下性能要求:
a) 对插槽所提供的热交换性能应在安装手册中量化、评估和确认;
b) 至少应对以下故障模式提供故障率:
1) 有效温度控制功能的失效;
2) 有效温度控制功能的错误行为。
5 验证
5.1 验证流程
5.1.1 验收测试程序
验收测试程序用于在交付之前验证产品是否满足产品设计要求。一般应包括下列内容:
a) 支持的产品件号及版本号;
b) 测试条件及环境要求;
c) 校准;
d) 产品连接加载;
e) 产品启动;
f) 测试启动,加载及运行;
g) 测试步骤及所需操作;
h) 测试记录;
i) 通过/失败判据;
j) 分析失败原因生成分析报告;
k) 结束试验。
5.1.2 一般试验程序
单个硬件模块的测试和验证应独立于飞机功能,一般试验程序包括:
a) 硬件性能测试:应制定在实验室环境下用于验证满足性能要求的试验程序;
b) 环境试验:应制定用于验证满足性能要求的环境试验程序。不同的环境试验可能需要不同的试验程序,应详细规定每个环境试验的试验程序。同时, 对使用简化功能试验代表整个应用范围的性能要求的情况,应给予合理的说明;
c) 安装后测试:制造商可提供在飞机上安装硬件模块时的测试程序(飞机在地面或飞行试验期间)。由于本标准不能覆盖硬件模块特定的飞机系统功能,本节测试请参见相关的 MPS、功能TSO 试验要求和制造商对飞机系统功能补充的试验要求;
d) 工作测试:硬件模块应具有支持运行测试的设计特性,以便确保安装在飞机上能正确履行其功能。当硬件模块不能正常工作时,安装后的系统应能向飞机机组告警。
注:满足验证要求的硬件模块,其结构和应用特征决定了其应与其他硬件模块安装和集成在一起才能提供系统层面或飞机层面的功能。为了提供系统层面的功能,需要在硬件模块中加载应用软件,在这个过程中应验证硬件和软件的集成、系统和飞机的集成、系统和飞机其他交联系统的集成完整性。
5.1.3 详细试验程序
应制定详细的性能和环境试验程序来验证硬件模块,使其满足 MPS 要求。这些试验包括以下方法及类别:
a) 电气电子试验:应包括总线,内存,电源等电气特性试验;
b) BIT 试验:用于验证内建测试功能是否满足模块的设计要求;
c) 目击检查验证程序,对于无法通过试验完成验证的模块要求,通过设计检查验证程序完成要求符合性的声明。对于硬件设计中的安装, 元器件选用,标签标记和禁用材料等要求可通过检查图纸的方式完成验证;
d) 安全性试验:完成对模块的安全性测试(或检查)验证。此类验证应根据安全性分析报告和安全性要求进行。进行此类验证时应辨别测试所用的环境和软件是否需要完成鉴定。试验应包括电源特性,存储安全性,接插件设计,系统时钟,BIT 及其监控,电压监控,商用货架产品复杂
器件的设计验证等;
e) 分析验证程序:此类验证主要针对试验不适用的要求或性能/设计标准。如: 总线隔离,接地设计,故障检测及最大电压/电流承受能力的分析等。
5.1.4 试验仪器要求
应定义在硬件模块性能和环境试验程序中需要的试验仪器。
5.1.5 试验条件
5.1.5.1 电源电压
除另有规定外,应在设计的电源输入电压下进行所有的试验,容差±2%。电源输入电压值应在待测硬件的输入端进行测量。
5.1.5.2 电源频率
电源频率应满足以下要求:
a) 硬件正常工作使用恒频交流电时,电源输入频率应调整到设计频率,容差±2%;
b) 硬件正常工作使用变频交流电时,除另有规定外,电源输入频率应调整到一个选定的频率(此频率在硬件正常工作的设计范围之内),容差±5%。
5.1.5.3 待测硬件调节
待测硬件模块电路应调整至合适的状态。否则在试验开始之前, 需按照硬件制造商推荐的方法进行调节和校准。
5.1.5.4 试验仪器
性能测试中所有使用的仪器应按制造商、型号、串号(若有该项)和最新校准日期进行归类标识。若需要,试验仪器的校准标准应可追溯至国家和/或国际标准。在试验期间应遵守试验仪器的注意事项,防止由于被测硬件输入和输出端错误地连接到电压表、示波器和其他试验设备而引入的测试故障和错误。
5.1.5.5 外界条件
除另有规定外,试验时的外界条件为室内环境的温度、大气压力和湿度。室温不应低于 10℃。
5.1.5.6 负载连接
除另有规定外,试验时硬件连接负载的大小为设计时的标称阻抗值。
5.2 性能验证
5.2.1 性能测试配置
性能配置应满足以下要求:
a) 用于硬件模块性能测试的配置至少应包括:为模块设计的机柜、合适的电源模块(如果模块功能需要)、合适的数据处理模块和网络交换模块(如果模块功能需要)。机柜中所有未用模块的位置应覆盖或用填充物填充;
b) 用于整机性能测试的配置至少应包括:带有集成冷却组件和电源组件的机柜、合适的电源模块、合适的处理模块和网络交换模块;
c) 机柜和模块的配置应包括为其设计的电气接口和机械连接器;
d) 如果按本标准研制的硬件模块可加载应用软件执行飞机具体功能,则制造商应采用专门的测试
软件或功能应用软件来验证硬件模块的功能运行情况,制造商应验证、确认和控制软件的状态以确保测试的有效性。
5.2.2 性能测试参数
作为最低要求,MPS 应遵从表 1 中的硬件参数。如果硬件模块有特定的功能组合,则需要规定其性能参数,并且确保该性能为硬件模块 MPS 的某项实际内容。
5.3 环境验证
5.3.1 环境试验配置
环境试验配置应满足以下要求:
a) 模块的试验配置至少应包括:为模块设计的机柜、合适的电源模块(若模块功能需要)、合适的数据处理模块和网络交换模块(若模块功能需要)。机柜中所有未用模块的位置应覆盖或用填充物填充;
b) 整机环境试验的配置至少应包括:带有集成冷却组件和电源组件的机柜、合适的电源模块、合适的数据处理模块和网络交换模块;
c) 机柜和模块的配置应包括合适的电气接口和机械连接器,以及为机柜和模块准备的屏蔽、背壳、溢流冒口等。设备配置应包括交联电线和电缆(满足 HB 6167 安装程序规定);
d) 如果按本标准研制的硬件模块可加载应用软件执行飞机具体功能,则应采用专门的试验软件或功能软件来验证硬件模块的功能运行情况,制造商应验证、确认和控制软件的状态以确保试验的有效性;
e) 试验前确认被测对象(硬件软件)、试验环境、激励软件、测试程序建立了一致的基线,以确保试验的有效性。
5.3.2 环境试验类型
5.3.2.1 总则
IMA 模块可能是单个 LRU 平台,也可能是位于机柜中的 LRM。根据 IMA 模块的特点,应考虑以下两种情况:
a) IMA 模块是单个 LRU 平台;
b) IMA 模块是安装于机柜中的模块。
5.3.2.2 LRU 测试试验类型
环境验证试验参照表 2 执行。表 2 列出了 HB 6167 中适用的环境试验目录和说明。如果需要多种类型的环境试验,对于每一个类别应分别进行试验。可在环境试验程序中采用类别 X 表明硬件模块的MPS 在该环境条件下未被验证。
IMA 模块的使用域应被定义和维护,以使表 2 列出的环境试验为其他 TC 授权提供完整的可信度。
表 2 LRU 环境试验目录
表 2 LRU 环境试验目录(续)
5.3.2.3 LRM 测试试验类型
环境验证试验参照表 3 执行。只需考虑环境试验的最小子集。如果需要多种类型的环境试验, 对每一类别应分别进行试验。可在环境试验程序中采用类别 X 表明硬件模块的 MPS 在该环境条件下未被验证。
在 TC 授权完成机柜集成后,才能完成所有的环境试验。
IMA 模块的使用域应被定义和维护,以使表 3 列出的环境试验为其他 TC 授权提供部分的可信度。
注:可接受对装有 IMA 模块的机柜进行环境试验,IMA 模块应配置在最差情况下。基于此,试验资格文件(资格试验计划、程序和报告)对于机柜和模块的授权可能是共通的。这些文件应证明所考虑的配置是机柜内授权模块配置的最坏情况。无论使用何种鉴定方法,授权配置均应在安装手册中指明。
此类文件化的授权配置包括安装约束。这些约束均被视为环境试验假设(机柜数量、插槽数量、槽片邻近区域、确认温度等),需在安装手册中明确并由集成商确认,以便可在模块层面上获得环境试验的可信性。
5.3.3 环境试验失效分析
在失效报告中应记录环境试验过程中产生的错误和功能异常,报告还应进一步分析失效原因及纠正措施。根据分析结果以及错误定位来决定修改试验过程,进行再次试验或更改产品设计。
表 3 LRM 环境试验目录
表 3 LRM 环境试验目录(续)
