面向适航认证的IMA架构安全性评估方法*

张　贵，张育平，陈海燕南京航空航天大学 计算机科学与技术学院，南京 210000

面向适航认证的IMA架构安全性评估方法*

张贵+，张育平，陈海燕
南京航空航天大学 计算机科学与技术学院，南京 210000

ZHANG Gui,ZHANG Yuping,CHEN Haiyan.Safety assessment method of IMA architecture supporting airworthiness certification.Journal of Frontiers of Computer Science and Technology,2016,10(8):1063-1071.

摘要：对综合模块化航空电子系统（integrated modular avionics，IMA）架构安全性进行准确客观的评估是民机安全性评估乃至适航工程的重要研究内容。提出了一种面向适航认证的IMA架构安全性定性与定量相结合的综合评估方法。首先，提出了IMA架构安全性评估框架，在此基础上建立了安全性多维属性评估模型与评估指标体系；然后，利用中介真值程度度量（measure of medium truth degree，MMTD）理论对指标得分进行综合处理与评估；最后，给出架构安全性评估实例，表明该方法可操作性较强，评估结果可量化且有可比性，能有效保障IMA架构安全性评估过程的客观性和评估结果的准确度。

关键词：适航认证；综合模块化航空电子系统（IMA）；安全性评估；中介真值程度度量（MMTD）

1　引言

综合化是目前航空电子系统发展最重要的方向[1]。航空电子综合化技术的引入，在使得新一代综合模块化航空电子系统（integrated modular avionics，IMA）具有资源高度共享，数据高度融合和软件高度密集等技术特点的同时，所带来的安全性方面的隐患也逐渐引起人们的重视。没有安全性明确及保障的IMA系统架构，就没有安全可靠的IMA系统，对IMA架构安全性进行准确客观的评估是民机安全性评估乃至适航工程[2]的重要研究内容。目前，我国综合化航空电子系统研究还处于起步阶段，急需建立IMA架构安全性基础理论，IMA架构的安全性分析、度量与评估技术，为推动我国新一代综合化航空电子系统研究奠定了基础。

安全性评估理论和方法研究，主要包括“标准”和“方法”两个方面[3]。从严格意义上说，两者具有不同的内涵。“标准”指出了安全评估的目标所在，而“方法”则阐明如何达到安全评估的种种目标，两者互相联系又相互独立。相对于“标准”，“方法”更重视整体的安全评估实施步骤。从当前的研究现状来看，安全性评估的相关成果主要集中在“标准”上，相关的安全性评估“方法”并不多见[3]。

（1）标准层面上，目前IMA系统在安全性评估和适航认证方面可以参考的标准有DO-297《IMA系统设计指南及审定考虑》[4]、ARP4754A《高度综合复杂系统的审定考虑》[5]、ARP4761《民用飞机机载系统及设备的安全性评估过程指南和方法》[6]、AC.25.1309（《运输类飞机适航标准》的解释和说明性文件）[7]、DO-254《机载电子硬件设计保证指南》[8]、DO-178B/C《机载系统和设备审定的软件考虑》[9]。这些技术体系标准涉及到系统、软硬件安全性评估方面的内容，主要从过程控制、设计分析原则、分析方法等方面进行指导[10]，在具体实践中，需要进一步落实到可操作层面上去。

（2）方法层面上，安全性分析方法主要包括定性分析和定量分析两大类[11-15]。定性分析用于检查、分析和确定可能存在的危险，危险可能造成的事故以及可能的影响和防护措施。定量分析用于检查、分析并确定具体危险、事故及其影响可能发生的概率，比较系统采用安全措施或更改设计方案后概率的变化。但是，目前安全性的定量分析主要是针对随机概率性事件，应用范围有局限性。而安全性的定性分析主要依赖工程经验，是以文字描述的形式进行分析，容易引起理解不一致，使评估结果缺乏客观性和可比性。

本文就IMA系统的适航认证相关标准、方法和验证过程进行分析，给出了系统化的架构安全性评估框架，并在该框架的指导下确立评估模型与评估指标体系，采用系统科学中提倡的从定性到定量，定性定量相结合的方法，利用中介真值程度度量（measure of medium truth degree，MMTD）理论[16]计算出IMA架构系统级的安全性综合评估结果，为IMA架构安全性评估及适航认证提供一定的参考依据。

2　IMA架构安全性评估框架

安全性本身具有定性和定量两层含义，对于安全性这一重要概念，如果只是孤立地做定性评估或定量评估都有其本身局限性。因此采用系统科学中提倡的定性与定量相结合，从定性到定量的方法，建立安全评估模型，开展架构安全性评估是比较合适的。这个方法能把多学科理论和经验知识结合起来，把定性研究和定量研究有机结合起来，从多方面的定性评估上升到定量评估。对定性定量相结合的综合集成法第一次做出完整、系统阐述的，是钱学森和于景元、戴汝为合作发表于1990年《自然杂志》上的“一个科学新领域——开放的复杂巨系统及其方法论”[17]。文章针对定性与定量相结合的综合集成法着重阐述了提炼、概括的实践根据、基本内容、实质、特点、应用及其重大意义。

如图1所示，首先考虑现有安全性设计标准，结合安全性设计原则，建立多属性安全性评估模型。接着针对模型中各属性确定对应的评估指标，并区分指标的属性（定性指标/定量指标）进行相应的评估。最后，利用中介真值程度度量理论确定各级评估指标隶属度。经过以上步骤获得的安全性定量评估结果，由航电工程、系统工程、适航工程等方面专家共同再分析、讨论和判断。这里包括了理性的、感性的、科学的和经验的知识的相互补充与检验。其结果可能是可信的，也可能是不可信的。对于不可信的结果，还要修正模型和调整参数，重复上述工作直到各方面专家都认为这些结果是可信的，再做出结论并进行实际评估应用。这时，安全性评估既有定性描述，又有数值根据，已不再是先验的判断和猜想，而是有足够科学根据的结论。

Fig.1　Frame of safety assessment of IMAarchitecture图1IMA架构安全性评估框架

3　IMA架构安全性评估模型与指标体系

用模型和指标体系来描述评估系统是系统定量研究的有效方式，这种方式在自然科学、系统科学中被广泛使用[17]。为了科学、全面地对IMA系统架构的安全性做出合理评价，并对安全性的多维属性及适航认证标准进行研究，提出了一种多维安全属性的IMA架构安全性评估模型及指标体系。

IMA本质上是一个分布式实时计算机网络，其主要目标是将分布式体系结构的灵活性扩展到对不同关键级别的功能程序的支持上。概括来说，IMA主要具有如下一些特点：系统综合化、结构层次化、功能软件化、网络统一化、产品商用化、调度灵活化、认证累计化、维护中央化等特性[18]。故IMA架构的安全性可以考虑基于物理特性、风险特性、功能特性，通过设计与构造、风险度、可信性3个安全属性来反映，然后每个安全属性分解为若干个安全子属性。进一步在指标层把每个安全子属性分解为若干个安全度量及相应度量指标以实施安全性评估数据采集。IMA架构安全性评估模型共有3层，如图2所示。

Fig.2　Model of safety assessment of IMAarchitecture图2IMA架构安全性评估模型

（1）“设计与构造”是反映架构物理特性方面安全性的属性，评估体系如表1所示。

开放性：评估IMA架构使用工业标准接口，允许多个供应商提供软件应用程序和应用程序特定的硬件的特性。IMA结构中的软硬件尽可能采用COTS （commercial-off-the-shelf）产品，推进产品的标准化、模块化，有利于产品移植和降低系统寿命周期费用（life cycle cost，LCC）[18]。

建造性：评估IMA架构由设计到建造过程中带来的安全性问题。

Table 1　“Design and construction”attribute evaluation indexes表1“设计与构造”属性评估指标

（2）“风险度”是反映架构风险方面的属性。风险是在某一特定条件下，特定危害事件发生的概率与后果的结合，也是危险、不安全事故发生的可能性与该事故严重程度的综合度量，评估体系如表2所示。

Table 2　“Risk degree”attribute evaluation indexes表2“风险度”属性评估指标

技术风险：评估IMA架构资源高度共享数据、高度融合和软件高度密集等新技术所带来的风险。

认证风险：评估IMA架构的适航认证不成熟带来的风险。

集成风险：评估IMA架构硬件资源能为应用程序所共享，信息高度融合所带来的集成风险。

（3）“可信性”是反映架构功能特性方面安全性的属性。可信性是指长期保持满足规定要求的能力[19]，评估指标体系如表3所示。

Table 3　“Creditability”attribute evaluation indexes表3“可信性”属性评估指标

可用性：描述在要求的外部资源得到保证的前提下，IMA架构在规定的条件下和规定的时刻或时间区间内处于可执行规定状态的能力[19]。

可生存性：描述IMA架构能处理应对复杂航空环境的能力。

可维护性：描述在规定的条件下，按规定的程序和手段实施维护时，IMA架构在规定的使用条件下保持或恢复能执行规定功能状态的能力[19]。

可测试性：描述IMA架构能及时并准确地确定其状态（可工作、不可工作或性能下降），并隔离其内部故障的一种设计特性[19]。

可靠性：描述IMA架构在规定的条件下和规定的时间内完成规定功能的能力。

4　IMA架构安全性评估方法

4.1评估指标层的量化及无量纲化处理

指标层的任务是针对上层每一安全子属性，建立对应评估指标体系。IMA架构的复杂性要求指标的选取必然包括定性指标和定量指标。无量纲化处理即是指为了解决各指标的不同量纲无法进行综合汇总的问题，一般在完成资料数据的收集工作后，还需要对数据进行同度量处理。其实质就是把不能相加或相乘的指标值转化成可以汇总相加或相乘的指标值。

（1）定性指标

由于安全性本身的不确定性和模糊性，精确量化是不可行的。而采用等级的划分，与相关适航标准定义的安全性等级对应，是切实可行的。《运输类飞机适航标准》规定，危害严重程度的划分通过失效状态的分类实现。《机载系统和设备的软件审定考虑》[9]（D0-178B）规定，软件级别应与软件失效可能导致的最严重的系统安全性影响程度相对应。《机载电子硬件的设计保证指南》[8]（D0-254）亦将硬件级别与失效状态之间进行了映射。由于系统架构安全性与软件安全性、硬件安全性有许多相通之处，故类似地将架构安全性级别与失效情况之间作出如表4所示映射关系。

Table 4　Corresponding relationship of safety level of architecture and failure conditions表4　系统架构安全性级别与失效情况对应关系表

因此，安全性定性指标评估应在参照相应的实际安全性数据和外部因素的前提下，专家使用评判集V={A级,B级,C级,D级,E级}（对应的量化得分C= {0,0.5,1.0,1.5,2.0}）对各底层指标进行量化评估。

（2）定量指标

通过建立理想化的最优、最劣基点，比较指标评估值与二者的距离，来完成定量指标的量化和无量纲化处理[20]。正、负理想比较标准是可以在实际测量过程中多次实验得到的经验值，也可以是适航标准中的范围端点值。

对于效益型指标，即指标数值越大，对于评估结果越有利的指标，如平均无故障工作时间（mean time between failures，MTBF），则令量化得分为:

对于成本型指标，即指标数值越大，对于评估结果越有害的指标，如平均修复时间（mean time to repair，MTTR），则令量化得分为:

4.2中介对IMA架构安全性评估的描述

1985年，朱梧槚教授和肖溪安教授建立了中介逻辑系统（medium logic system，ML），提出了介于“真”与“假”的过渡状态，即“中介”。2006年，洪龙教授以中介逻辑系统为基础，提出了基于中介真值程度的度量方法。文献[16]详细描述了相关概念及定理，该方法已经应用于决策系统、图像处理、数据处理、评估等多个领域[21-23]，是处理模糊现象，解决度量边界“不清晰”的有效方法之一。

“安全”和“不安全”是一组反对对立关系，中间存在过渡状态，符合中介真值程度度量的应用范畴。记谓词P表示“安全”，则+P表示“很安全”，～P表示过渡状态“安全性一般”，╕P表示“不安全”，╕+P表示“很不安全”，如图3所示。

Fig.3　Corresponding relationship between predicate and numerical area in safety assessment of IMAarchitecture图3IMA架构安全性评估中谓词和数值区域的对应关系

4.3基于中介真值程度的综合航电安全性评估方法

步骤1确定安全子属性的评估向量X。

X=(bij)m,bij=f(cij1,ij2,…,ijk)，其中bij表示安全子属性Bij的量化得分，cij1,ij2,…,ijk表示隶属于 Bij的各评估指标得分，m表示安全子属性的个数。映射函数 f如下所示：

u12,…,uij)T，其中 uij=(αT(ij),αF(ij),εT(ij),εF(ij))。由中介真值程度度量理论可知αT(ij)为 pij的εT(ij)真值（安全）标准度，αF(ij)为 pij的εF(ij)假值（不安全）标准度。确定和优化评估参数是安全性评估实施框架中（图1）循环迭代的重要环节。

根据中介真值程度度量理论，参照图3可知[αT(ij)-εT(ij),αT(ij)+εT(ij)]为pij的“真数值区域”，表示“安全”，[αF(ij)-εF(ij),αF(ij)+εF(ij)]为pij的“假数值区域”，表示“不安全”。

步骤2确定安全性谓词P的评估参数U=(u11,

步骤3构造中介度量向量R=(rij)m，rij=hT(bij)。

其中，hT(bij)表示bij相对于αT(ij)的真值程度，即rij表示评估对象的安全性子属性Bij具备pij“安全”的真值程度。

步骤4计算综合评判结果D。

其中，wij表示安全性评价模型中安全性属性Bij的权重值。

5　IMA架构安全性评估实验

为了验证IMA系统架构安全性评估方法的效果，由专家组成员利用本文提出的安全性评估模型及评估指标对IMA架构A、B、C进行安全性评估模拟实验。设已有多位专家对模型中安全性属性进行权重评价，利用层次分析法（analytic hierarchy process，AHP）求解安全性属性权重，限于篇幅，这里不给出具体计算过程。

5.1评估实验过程

（1）请专家针对表1～表3所列评估指标体系对各定量或定性度量指标进行量化评估，相应评估方法4.1节已给出。

（2）将各指标量化得分利用式（1）进行综合计算，得出每个安全子属性量化评估得分，所得实验数据如表5所示。

（3）确定安全子属性的评估向量X。

（4）确定评估参数集。为简化计算，每个安全子属性的评估参数取值均相同，如表6所示。假定安全性评估实施框架中的迭代过程已完成，已由工程经验或概率数值确定模型中每一安全子属性的评估参数。

Table 5　Scores of IMAarchitecture security indexes表5IMA架构安全性指标得分表

Table 6　Values of evaluation parameters表6　评估参数集取值表

（5）构造中介度量向量，计算方法如式（2）所示。

（6）计算综合评估集见表7，计算方法如式（3）所示。

Table 7　Result of evaluation experiment表7　评估实验结果表

5.2评估实验分析

如图4所示，架构A、B、C安全性各属性（设计与构造、风险度、可信性）评估结果各有优劣，相对于架构系统级安全性“优”的真值程度分别为0.782 5、0.698 1、0.524 2，由图3可知对应的安全性级别分别为“安全”、安全”、“安全性一般”。虽然架构A和架构B安全性级别均为安全，但由于架构A的真值程度最大，说明A表现出更优的特性，即架构A相对于架构B的安全性更高。另外，从图4中可看到，在“可信性”属性方面，架构A的评估得分还是略低于架构B，因此可借鉴架构B在可信性方面的设计对架构A进行优化，来强化架构A的安全性水平。

Fig.4　Results contrast of IMAarchitecture safety assessment图4IMA架构安全性评估结果对比图

实验表明，本文提出的IMA架构安全性评估方法相较传统架构安全性评估方法可操作性强，量化评估结果更直观，有可比性。而真值程度函数的定义具有计算机可以处理的定量形式，且具有客观性和普适性的特点[16]，较大程度上降低了安全性评估过程中的主观因素，保障了评估的准确性。

6　结束语

IMA系统架构安全性评估是一个重要而又困难的研究课题，是民机安全性评估乃至适航认证中迫切需要解决的一个难题。本文针对IMA系统架构安全性评估问题的不确定性、复杂性，提出了一种面向适航认证的IMA架构安全性评估方法，将中介真值程度度量、多属性决策的理论和方法引入IMA架构安全性评估问题中，采用系统科学中提倡的从定性到定量的方法，具有可操作性较强，评估结果可量化有可比性等特点，在较大程度上降低了评估过程中的主观因素，有助于进一步提高评估结果的准确性。为IMA系统架构安全性评估和适航工程研究引入了新的思想，探索了提高安全性评估效果及适航认证的新途径。

完善的评估体系是保证评估的合理性、全面性和科学性的最基本条件，IMA架构数据采集得越广泛越全面，利用本文方法得到的结果就越准确。进一步的工作主要是在现有安全性评估指标体系的基础上进行更加深入细致的研究改进，使IMA架构安全性评估的结论更全面可信，对民机安全性评估及适航工程更有指导意义。

References:

[1]Wang Guoqing,Gu Qingfan,Wang Miao,et al.Research on the architecture technology for new generation integrated avionics system[J].Acta Aeronautica ET Astronautica Sinica, 2014,35(6):1473-1486.

[2]Zhao Yuerang.The concept and principle of airworthiness[M]. Shanghai:Profile of Shanghai Jiao Tong University,2013:1-2.

[3]Liu Fang.Research on the theories and key technologies of information system safety evaluation[D].Changsha:National University of Defense Technology,2005.

[4]RTCA.DO-297 Integrated modular avionics(IMA)development guidance and certification considerations[S].Washington:RTCAInc,2005.

[5]SAE.ARP4754A Guidelines for development of civil aircraft and systems[S].Warrendale:SAE International,2010.

[6]SAE.ARP4761 Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[S].Warrendale:SAE International,1996.

[7]FAA.AC.25.1309-1A[Z].1988.

[8]RTCA.DO-254 Design assurance guidance for airborne electronic hardware[S].Washington:RTCAInc,2000.

[9]RTCA.DO-178C Software considerations in airborne systems and equipment certification[S].Washington:Radio Technical Commission forAeronautics,Inc,2008.

[10]Huang Jun,Wu Zhe,Sun Huizhong,et al.Study on evaluation criteria and assessment methodology for conceptual/ preliminary design of combat aircraft[J].Acta Aeronautica ETAstronautica Sinica,2000,21(1):70-74.

[11]Janic M.An assessment of risk and safety in civil aviation[J]. Journal ofAir Transport Management,2000,6(1):43-50.

[12]Tamasi G,Demichela M.Risk assessment techniques for civil aviation security[J].Reliability Engineering&System Safety,2011,96(8):892-899.

[13]Du Changxiao,Li Xiaohong,Shi Hong,et al.Security evaluation method for the architecture of J2EE applications[J]. Journal of Frontiers of Computer Science and Technology, 2014,8(5):572-581.

[14]Ma Guozhong,Mi Wenyong,Liu Xiaodong.Multi-level fuzzy evaluation method for civil aviation system safety[J].Journal of Southwest Jiaotong University,2007,42(1):104-109.

[15]Gu Qingfan,Wang Guoqing,Zhang Lihua,et al.Research on model based safety analysis technology for avionics system[J].Computer Science,2015,42(3):124-127.

[16]Hong Long,Xiao XiƳan,Zhu Wujia.Measure of medium truth scale and its application(I)[J].Chinese Journal of Computers,2006,29(12):2186-2193.

[17]Qian Xuesen,Yu Jingyuan,Dai Ruwei.A new discipline of science—the study of open complex giant system and its methodology[J].Chinese Journal of Nature,1990(1):3-10.

[18]Zhu Wenkui,Zhang Fengming,Fan Xiaoguang.Overview on software architecture of integrated modular avionic systems[J].Acta Aeronautica ET Astronautica Sinica,2009,30 (10):1912-1917.

[19]He Guowei.Credibility engineering(reliability,maintainability,repair and maintenance)[M].Beijing:China Standard Press,2008:1-25.

[20]Lu Zhiyong,Feng Chao,Yu Hui,et al.Astudy of the quantitative еvaluation model for network security[J].Computer Engineering and Science,2009,31(10):18-22.

[21]Yang Zherui,Cheng Weiqing.Improvement of network application type Identification based on measure of medium truth degree[J].Journal of Nanjing University of Posts and Telecommunications:Natural Science,2012,32(5):123-129.

[22]Zhang Gui,Zhang Yuping,Chen Haiyan.An evaluation method for ERP selection based on measure of medium truth degree[J].Computer and Modernization,2015(2):40-43.

[23]Zhou Ningning,Hong Long.Theoretical study of image processing based on medium mathematics systems[J].Journal of Nanjing University of Posts and Telecommunications:Natural Science,2010,30(3):21-27.

附中文参考文献：

[1]王国庆,谷青范,王淼,等.新一代综合化航空电子系统构架技术研究[J].航空学报,2014,35(6):1473-1486.

[2]赵越让.适航理论与原则[M].上海:上海交通大学出版社,2013:1-2.

[3]刘芳.信息系统安全评估理论及其关键技术研究[D].长沙:国防科学技术大学,2005.

[10]黄俊,武哲,孙惠中,等.作战飞机总体设计评价准则和评估方法研究[J].航空学报,2000,21(1):70-74.

[13]杜长霄,李晓红,石红,等.J2EE应用软件的架构安全评估方法[J].计算机科学与探索,2014,8(5):572-581.

[14]马国忠,米文勇,刘晓东.民航系统安全的多层次模糊评估方法[J].西南交通大学学报,2007,42(1):104-109.

[15]谷青范,王国庆,张丽花,等.基于模型驱动的航电系统安全性分析技术研究[J].计算机科学,2015,42(3):124-127.

[16]洪龙,肖奚安,朱梧槚.中介真值程度的度量及其应用(I) [J].计算机学报,2006,29(12):2186-2193.

[17]钱学森,于景元,戴汝为.一个科学新领域——开放的复杂巨系统及其方法论[J].自然杂志,1990(1):3-10.

[18]褚文奎,张凤鸣,樊晓光.综合模块化航空电子系统软件体系结构综述[J].航空学报,2009,30(10):1912-1917.

[19]何国伟.可信性工程（可靠性、维修性、维修保障性）[M].北京:中国标准出版社,2008:1-25.

[20]鲁智勇,冯超,余辉,等.网络安全性定量评估模型研究[J].计算机工程与科学,2009,31(10):18-22.

[21]杨哲睿,成卫青.一种改进的基于MMTD的网络应用类型识别方法[J].南京邮电大学学报:自然科学版,2012,32 (5):123-129.

[22]张贵,张育平,陈海燕.基于中介真值程度度量的ERP软件选型评估方法[J].计算机与现代化,2015(2):40-43.

[23]周宁宁,洪龙.基于中介真值程度度量处理图像的应用理论研究[J].南京邮电大学学报:自然科学版,2010,30(3):21-27.

ZHANG Gui was born in 1989.He is an M.S.candidate at College of Computer Science and Technology,Nanjing University of Aeronautics and Astronautics.His research interests include software engineering and credibility engineering,etc.

张贵（1989—），男，江苏徐州人，南京航空航天大学计算机科学与技术学院硕士研究生，主要研究领域为软件工程，可信性工程等。

ZHANG Yuping was born in 1959.He is an associate professor at College of Computer Science and Technology, Nanjing University of Aeronautics and Astronautics.His research interests include software engineering and component technology,etc.

张育平（1959—），男，江苏宜兴人，南京航空航天大学计算机科学与技术学院副教授，主要研究领域为软件工程，构件技术等。

CHEN Haiyan was born in 1979.She is a lecturer at College of Computer Science and Technology,Nanjing University ofAeronautics andAstronautics.Her research interests include evaluation algorithm and credibility engineering,etc.

陈海燕（1979—），女，江苏南京人，南京航空航天大学计算机科学与技术学院讲师，主要研究领域为评估算法，可信性工程等。

*The National Basic Research Program of China under Grant No.2014CB744900(国家重点基础研究发展计划(973计划)). Received 2015-09,Accepted 2015-11.

CNKI网络优先出版:2015-12-03,http://www.cnki.net/kcms/detail/11.5602.TP.20151203.1505.008.html

文献标志码：A

中图分类号：TP311

doi:10.3778/j.issn.1673-9418.1509055

Safety Assessment Method of IMAArchitecture Supporting Airworthiness Certification*

ZHANG Gui+,ZHANG Yuping,CHEN Haiyan
College of Computer Science and Technology,Nanjing University ofAeronautics andAstronautics,Nanjing 210000,China +Corresponding author:E-mail:zglongteng@126.com

Abstract:It is an important research content for safety assessment of civil aircraft and airworthiness engineering to assess the safety of IMA(integrated modular avionics)architecture accurately and objectively.This paper presents a new synthetic method of combining safety assessment and quantitative analysis for IMA architecture supporting airworthiness certification.Firstly,this paper proposes an IMA architecture safety assessment model of multi-attributes and an evaluation indicator system based on an implementation framework of safety assessment.Then,this paper uses the theory of MMTD(measure of medium truth degree)to treat and evaluate the scores of the indicators.At last,an example of evaluation is carried out and shows that this method can be easily operated,the results can be quantified and comparable,and it can effectively ensure the objectivity of the process and the accuracy of the results of the safety assessment of IMAarchitecture.

Key words:airworthiness engineering;integrated modular avionics(IMA);assessment of safety;measure of medium truth degree(MMTD)