01 25.1309背景介绍 CCAR/FAR/CS 25.1309 条款,是整个飞机和系统安全性的基础! 25.1309 对飞机系统和设备的安装、不同影响等级失效状态的发生概率、故障告警等提出了通用要求。 自 1965 年至今,25.1309 经过了多轮修订。它强化了 “失效-安全”(Fail-Safe)的设计理念,提出了以概率方式定义可接受的安全水平的方法。 随着飞机和系统复杂度的不断提高,由 25.1309 发展出的结构化的安全性分析或评估技术(FHA/FTA/CMA 等)和研制保证技术,在新研飞机的设计和审定过程中得到了广泛应用。 本文结合 CAAC、FAA、EASA 等的工作成果,对 25.1309 条款进行解读。 为便于理解,这里对本文用到的缩略语进行说明。 02 现行CCAR 25.1309是什么? 第25.1309 设备、系统及安装(CCAR25 R4)
(a) 凡航空器适航标准对其功能有要求的设备、系统及安装,其设计必须保证在各种可预期的运行条件下能完成预定功能。 (b) 飞机系统与有关部件的设计,在单独考虑以及与其它系统一同考虑的情况下,必须符合下列规定: (1) 发生任何妨碍飞机继续安全飞行与着陆的失效状态的概率为极不可能; (2) 发生任何降低飞机能力或机组处理不利运行条件能力的其它失效状态的概率为不可能。 (c) 必须提供警告信息,向机组指出系统的不安全工作情况并能使机组采取适当的纠正动作。系统、控制器件和有关的监控与警告装置的设计必须尽量减少可能增加危险的机组失误。 (d) 必须通过分析,必要时通过适当的地面、飞行或模拟器试验,来表明符合本条(b)的规定。这种分析必须考虑下列情况: (1) 可能的失效模式,包括外界原因造成的故障和损坏; (2) 多重失效和失效未被检测出的概率; (3) 在各个飞行阶段和各种运行条件下,对飞机和乘员造成的后果; (4) 对机组的警告信号,所需的纠正动作,以及对故障的检测能力。 (e) 在表明电气系统和设备的设计与安装符合本条(a)和(b)的规定时,必须考虑临界的环境条件。中国民用航空规章规定具备的或要求使用的发电、配电和用电设备,在可预期的环境条件下能否连续安全使用,可由环境试验、设计分析或参考其它飞机已有的类似使用经验来表明,但适航当局认可的技术标准中含有环境试验程序的设备除外。 (f) 必须按照25.1709 条的要求对电气线路互联系统(EWIS)进行评估。 03 现行CCAR/FAR/CS 25.1309之间的差异 CCAR 25.1309 与 FAR 25.1309 内容一致,没有差别。 而这两者与 CS 25.1309 差异较大,主要原因是:
经过对比,可知 ARAC 和 CS 25.1309,相比 CCAR 和 FAR 25.1309,主要更改有:
04 FAA ARAC关于1309的研究 1996 年,FAA 要求航空法规咨询委员会(ARAC),对 FAR/JAR 25.1309 及 AC 25.1309-1A(1988年发布)等材料,进行评估和协调。 ARAC 将此任务分配给了 “系统设计与分析协调工作小组”(SDAHWG)。 2002 年,ARAC 致信 FAA,表示 SDAHWG 已经完成任务,并提交了对 25.1309 的修正提案和相关咨询材料(AC 25.1309-1B Draft)。 此修正提案对 25.1309 条款进行了完善,协调了主要适航当局的条款差异,且不会显著增加申请人的符合性验证工作。 2003 年,FAA 在《联邦注册报》上刊登了关于 25.1309 条拟改动的通告。但截止目前(2018 年 5 月),FAA 尚未正式采纳此建议,因此 FAR 25.1309 暂未按照此提案进行更新。 目前 FAA 咨询材料 AC 25.1309-1B 仍是草稿版(Arsenal Draft)。 05 FAA修订提案是什么? 第25.1309 设备、系统及安装(FAA ARAC)
除 25 部的特定设计要求,本条款适用于飞机上安装的所有系统和设备。尽管本条款不适用于 B 分部中性能和飞行品质的要求以及 C、D 分部中的结构要求,但却适用于为符合这些要求所依赖的系统。由 25.671(c)(3) 所覆盖的卡阻不在本条 (b)(1)(ii)款所覆盖范围,由 25.735(b)(1) 所覆盖的单个失效不在本条 (b) 款所覆盖范围,由 25.810(a)(1)(v)和 25.812 所覆盖的失效影响不在本条 (b) 款所覆盖范围。本条 (b)款适用于 25.901(c)所覆盖的动力装置的安装。 (a) 飞机的设备和系统必须设计及安装成: (1) 那些型号合格审定或运行规则所要求的,或者其功能不正常将降低安全性的系统或设备能在飞机运行和环境条件下执行预定功能; (2) 其它设备和系统自身应不是危险源,且不会对飞机或其乘员,或者对(a)(1)中所覆盖系统或设备的正常工作造成不利的安全性影响。 (b) 飞机系统与有关部件的设计,在单独考虑以及与其它系统一同考虑的情况下,必须被设计和安装成: (1) 每个灾难性的失效状态 (i) 是极不可能的; (ii) 不会因单个失效而引起; (2) 每个危险的失效状态是极小的; (3) 每个重大的失效状态是微小的。 (c) 必须提供机组有关系统不安全工作情况的信息,并能使机组采取适当的纠正动作。如果需要立即采取纠正动作的,则必须提供警告指示。包括指示和通告在内的系统和控制器件的设计,必须尽量减少可能导致额外危险的机组失误。 06 ARAC 25.1309提案解读 那么,ARAC 建议的提案以及 CS 25.1309,与现行 CCAR/FAR 25.1309 有何差异? 我们逐条对比现行规章 CCAR/FAR 25.1309,可知具体更改如下: 25.1309 综述:新增。
25.1309(a):修订。
25.1309(b):修订。
在工程应用中,具体失效状态影响等级的划分与概率要求,详见下表。 注:《民用飞机系统安全性要求,源自何方?》一文有详细论述,欢迎点击。 25.1309(c):修订。
25.1309(d):删除。
25.1309(e):删除。
25.1309(f):删除。
07 建议的符合性方法有哪些? 根据目前的工业实践,针对 25.1309,通常可采用的符合性方法包括: 说明性文件(MOC1) 说明飞机和系统,将按照特定的功能、性能、接口、安全性、环境等要求进行设计,能够在预期的运行和环境条件下完成预定功能。相应的告警和显示设计,能够将不安全工作情况提供给机组。并运用研制保证技术提高研制过程的置信度。 分析/计算(MOC2) 开展载荷、强度、性能等分析和计算,并支持安全性评估。 安全性评估(MOC3) 通过飞机和系统安全性评估过程和分析方法,表明失效状态的正确性和完整性。特定失效的发生满足概率要求,不存在单个故障导致灾难级影响。 安全性评估要求立即采取纠正措施的故障,应提供警告级别的 EICAS 信息。 试验室试验(MOC4)/地面试验(MOC5)/飞行试验(MOC6) 通过功能检查试验和故障试验,表明关键系统和设备能实现预期功能,且所有系统和设备的失效不会对关键系统和设备产生干扰。 通过故障试验表明机组可以获取告警和信息,并能采取纠正措施。此外,试验可进一步表明安全性分析过程的正确性,提高其置信度。 模拟器试验(MOC8) 通过故障情况下的模拟器试验,对失效状态的影响等级进行确认。 此外,通过故障试验,表明机组可以获取告警和信息,并能采取纠正措施。 设备鉴定(MOC9) 通过设备鉴定试验,表明其在温度、温度变化、湿热、冲击和坠撞、电磁等临界的环境条件下,可执行预定功能。 特别的,为了表明对 25.1309(b) 的符合性,必须考虑需求、设计和实现中的研制差错:
目前看来,SAE ARP4754A 建议的研制保证方法,已被各主要适航当局所接受。 按照 ARP4754A 建议的系统化研制流程,开展复杂系统的研制,为近年新研飞机表明符合性,提供了一种可行的方案。
注:关于 25.1309 和 4754A 之间的关系,建议阅读 Amy 老师原创文章《适航和4754A是什么关系?》 另,ARP4754A 明年可能发布 B版,我们拭目以待! 好啦,对 25.1309 的解读就是这样。水平有限,如有错误或遗漏,请批评指正!谢谢! 相关文章,点击阅读:
附录:FAR/CS 25.1309 原文 这里附上现行规章中 FAR 25.1309 和 CS 25.1309 的英文原文,供大家参考。 FAR 25.1309 Equipment, systems, and installations. (a) The equipment, systems, and installations whose functioning is required by this subchapter, must be designed to ensure that they perform their intended functions under any foreseeable operating condition. (b) The airplane systems and associated components, considered separately and in relation to other systems, must be designed so that— (1) The occurrence of any failure condition which would prevent the continued safe flight and landing of the airplane is extremely improbable, and (2) The occurrence of any other failure conditions which would reduce the capability of the airplane or the ability of the crew to cope with adverse operating conditions is improbable. (c) Warning information must be provided to alert the crew to unsafe system operating conditions, and to enable them to take appropriate corrective action. Systems, controls, and associated monitoring and warning means must be designed to minimize crew errors which could create additional hazards. (d) Compliance with the requirements of paragraph (b) of this section must be shown by analysis, and where necessary, by appropriate ground, flight, or simulator tests. The analysis must consider— (1) Possible modes of failure, including malfunctions and damage from external sources. (2) The probability of multiple failures and undetected failures. (3) The resulting effects on the airplane and occupants, considering the stage of flight and operating conditions, and (4) The crew warning cues, corrective action required, and the capability of detecting faults. (e) In showing compliance with paragraphs (a) and (b) of this section with regard to the electrical system and equipment design and installation, critical environmental conditions must be considered. For electrical generation, distribution, and utilization equipment required by or used in complying with this chapter, except equipment covered by Technical Standard Orders containing environmental test procedures, the ability to provide continuous, safe service under foreseeable environmental conditions may be shown by environmental tests, design analysis, or reference to previous comparable service experience on other aircraft. (f) EWIS must be assessed in accordance with the requirements of §25.1709. CS 25.1309 Equipment, systems and installations The requirements of this paragraph, except as identified below, are applicable, in addition to specific design requirements of CS-25, to any equipment or system as installed in the aeroplane. Although this paragraph does not apply to the performance and flight characteristic requirements of Subpart B and the structural requirements of Subparts C and D, it does apply to any system on which compliance with any of those requirements is dependent. Certain single failures or jams covered by CS 25.671(c)(1) and CS 25.671(c)(3) are excepted from the requirements of CS 25.1309(b)(1)(ii). Certain single failures covered by CS 25.735(b) are excepted from the requirements of CS 25.1309(b). The failure effects covered by CS 25.810(a)(1)(v) and CS 25.812 are excepted from the requirements of CS 25.1309(b). The requirements of CS 25.1309(b) apply to powerplant installations as specified in CS 25.901(c). (a) The aeroplane equipment and systems must be designed and installed so that: (1) Those required for type certification or by operating rules, or whose improper functioning would reduce safety, perform as intended under the aeroplane operating and environmental conditions. (2) Other equipment and systems are not a source of danger in themselves and do not adversely affect the proper functioning of those covered by sub-paragraph (a)(1) of this paragraph. (b) The aeroplane systems and associated components, considered separately and in relation to other systems, must be designed so that - (1) Any catastrophic failure condition (i) is extremely improbable; and (ii) does not result from a single failure; and (2) Any hazardous failure condition is extremely remote; and (3) Any major failure condition is remote. (c) Information concerning unsafe system operating conditions must be provided to the crew to enable them to take appropriate corrective action. A warning indication must be provided if immediate corrective action is required. Systems and controls, including indications and annunciations must be designed to minimise crew errors, which could create additional hazards. (d) Electrical wiring interconnection systems must be assessed in accordance with the requirements of CS 25.1709. |
|