别再手动移植算法了!保姆级教程:用MATLAB Coder App把.m文件一键转成C静态库
2026/5/28 22:14:14
这部分正式进入了航空适航体系的核心“方法论”深水区。对于汽车工程师来说,ISO 26262 的核心是 HARA(危害分析与风险评估),而航空业的“圣经”则是基于 SAE ARP4754A(系统开发过程)与 ARP4761(安全性评估过程)的双剑合璧。
这不仅仅是几份文档的替换,而是从“评估概率”到“架构兜底”的灵魂重塑。
第二篇:适航开发体系与核心标准簇 (The DO-Series)
如果说第一篇讲述的是适航的法律边界与生命周期,那么从本篇开始,我们将真正拿起适航工程师的手术刀,解剖一架 eVTOL 的内脏。在航空业,没有任何一行代码或一块电路板是凭空出现的,它们的诞生必须遵循一套由顶至下的极其严密的逻辑推导。
统御这套逻辑的“宪法”,就是 SAE ARP4754A(民用飞机及系统开发指南)与 ARP4761(民用机载系统和设备安全性评估指南)。它们定义了如何用数学和逻辑,去编织一张名为“安全”的大网。
第 3 章:系统级开发与安全性评估(ARP4754A / ARP4761)
在智能汽车的开发中,我们习惯于“先有硬件架构,再做功能安全分析”。系统工程师往往先决定使用双 Orin-X 芯片,然后再去跑一遍 FMEDA,看看能不能凑出 ASIL D 的指标。
但在航空业,这个顺序是绝对倒置的:先有对“灾难”的定义,然后才有架构的诞生。这一过程被严密地划分为 FHA、PSSA 和 SSA 三个渐进的审查阶段。
3.1 飞行器级功能危害评估(FHA)与系统安全性评估(SSA)
无论是底盘域控还是智能座舱,汽车工程师在做功能安全(ISO 26262)时,起手式必然是 HARA(Hazard Analysis and Risk Assessment,危害分析与风险评估)。而在航空业,对应的起手式叫做FHA(Functional Hazard Assessment,功能危害评估)。这两者在名字上看似孪生兄弟,但在判定生死的逻辑上却有着天壤之别。
1. FHA:无视“人类可控度”的残酷审判
FHA 发生在项目的最早期(概念阶段),它的唯一目的是:找出飞机可能执行的所有“功能”,并假设这些功能在最糟糕的阶段失效,然后评定其物理后果。
汽车 HARA 的温情:
汽车 HARA 在评估风险时,有一个关键因子叫“可控度(Controllability)”。比如电子助力转向(EPS)在直道行驶时突然失效,工程师会认为大多数驾驶员只要用力握紧方向盘就能控制住车辆,因此将其危害等级降级。
航空 FHA 的冷酷无情:
航空 FHA 彻底剥夺了“人类挽救局势”的权重。对于 eVTOL 而言,FHA 会提出这样的假设:“如果在 100 米低空,处于垂直降落阶段(最恶劣飞行剖面),飞控系统完全失去对四组旋翼的推力分配控制,会发生什么?”
答案是明确的:飞机将立刻翻滚坠毁,导致机毁人亡。在 FHA 的定义中,这直接被判定为最高等级的Catastrophic(灾难性),对应飞行器级目标为 10^{-9}/飞行小时。
在这里,FHA 不关心你用什么硬件,不关心软件写得有多好,它只定义“如果失效,后果多惨”。这个后果,将直接决定该功能对应的DAL(设计保证等级)。
2. PSSA(初步系统安全性评估):架构工程师的“绝望与逢生”
当 FHA 定义了“失去推力分配是灾难性的(Catastrophic)”之后,压力就来到了系统架构师这边。如何用真实的硬件和软件去承载这个 10^{-9} 的目标?这就是PSSA(Preliminary System Safety Assessment)的核心工作。
PSSA 发生在初步设计阶段(PDR)。它不仅是安全性评估,更是架构设计的指挥棒。
DAL 的向下分配(Allocation):没有任何单点硬件(比如一颗车规级 SoC 或单个电机)能在物理上达到 10^{-9} 的可靠性。PSSA 会运用故障树分析(FTA),通过架构的冗余设计,将顶层的 DAL A 目标“分解”给下层的子系统。
余度与隔离:例如,架构师在 PSSA 中提出设计方案——采用三套完全独立的飞控计算机(FCC)。通过马尔可夫链或 FTA 计算,如果每套 FCC 能做到 10^{-4} 的可靠性,且它们之间实现了绝对的电气隔离与非相似性(避免共因失效),那么 10^{-4} \times 10^{-4} \times 10^{-4} = 10^{-12},这就满足甚至超越了 10^{-9} 的目标。
PSSA 的输出:PSSA 的最终产物,是给下游的软/硬件团队下达死命令:“你,飞控板硬件团队,必须按照 DO-254 DAL A 的标准去画板子;你,降落伞触发软件团队,必须按照 DO-178C DAL B 的标准去写代码。”
3. SSA(系统安全性评估):最终的闭环判决
如果说 PSSA 是对未来的“承诺”,那么SSA(System Safety Assessment)就是在系统完工后交付的“证据”。
SSA 发生在详细设计完成、进入适航取证(TIA/TC)的末期。它是一个自下而上(Bottom-Up)的验证过程:
收集证据:系统工程师拿着从硬件团队收到的 FMEA(失效模式与影响分析)、从软件团队收到的结构覆盖率报告、从铁鸟台收到的故障注入测试(Fault Insertion Test)结果,一项一项地填入故障树(FTA)的最底端节点。
算总账:将所有真实测得的失效率数据、软件 DO-178C 的合规报告汇总,重新向上计算。如果最终整架飞机的灾难性失效概率确实小于等于 10^{-9},并且没有任何单点失效能导致机毁人亡,那么 SSA 宣告闭环。
适航局方的最终审计:局方审查的本质,就是核对你的 FHA(你承诺不死的底线)、PSSA(你设计的防死方案)和 SSA(你证明自己没死的证据)是否完美咬合,无懈可击。
关键洞察:
从智能汽车的 ASIL 向 eVTOL 的 DAL 跃迁,核心在于放弃“硬件堆料即安全”的错觉。车规级芯片算力再高,如果不经过 FHA 的严酷审判,不通过 PSSA 进行独立性架构分解,最后在 SSA 中拿不出系统级隔离的证据,它就永远只是一块算力强大的“废铁”。在 ARP4754A 的世界里,安全性不是被制造出来的,而是被严密的系统工程推导出来的。