有关CCAR-25的说明可查看该链接:CCAR-25《运输类飞机适航标准》详解:设计、性能与适航管理的全面解析
第25.1309条 设备、系统及安装
(a) 凡航空器适航标准对其功能有要求的设备、系统及安装,其设计必须保证在各种可预期的运行条件下能完成预定功能。
(b) 飞机系统与有关部件的设计,在单独考虑以及与其它系统一同考虑的情况下,必须符合下列规定:
发生任何妨碍飞机继续安全飞行与着陆的失效状态的概率为极不可能;
发生任何降低飞机能力或机组处理不利运行条件能力的其它失效状态的概率为不可能。
(c) 必须提供警告信息,向机组指出系统的不安全工作情况并能使机组采取适当的纠正动作。系统、控制器件和有关的监控与警告装置的设计必须尽量减少可能增加危险的机组失误。
(d) 必须通过分析,必要时通过适当的地面、飞行或模拟器试验,来表明符合本条(b)的规定。这种分析必须考虑下列情况:
可能的失效模式,包括外界原因造成的故障和损坏;
多重失效和失效未被检测出的概率;
在各个飞行阶段和各种运行条件下,对飞机和乘员造成的后果;
对机组的警告信号,所需的纠正动作,以及对故障的检测能力。
(e) 在表明电气系统和设备的设计与安装符合本条(a)和(b)的规定时,必须考虑临界的环境条件。中国民用航空规章规定具备的或要求使用的发电、配电和用电设备,在可预期的环境条件下能否连续安全使用,可由环境试验、设计分析或参考其它飞机已有的类似使用经验来表明,但适航当局认可的技术标准中含有环境试验程序的设备除外。
(f) 必须按照第25.1709条的要求对电气线路互联系统(EWIS)进行评估。
(交通运输部2016年3月17日第四次修订)
1. 引言
在现代航空工业中,确保民用飞机的安全性和可靠性是适航管理体系的核心任务,而 CCAR 25.1309 则是这项工作的基础条款。该条款规定了飞机系统和设备在不同飞行阶段及各种运行条件下应如何保持其功能及安全性。为实现这些目标,民航适航管理机构要求制造商在飞机设计、开发和验证过程中提供符合适航标准的证据。这些证据通过符合性方法(Means of Compliance, MOC)来证明,确保飞机的每一个系统及其相关设备均能符合适航标准。
CCAR 25.1309 从设计阶段就引入了“失效-安全”(Fail-Safe)的理念,并采用了概率分析法来定义各类失效的可接受安全水平。这不仅要求对系统进行细致的失效分析,还要求通过设计保证系统来减少系统中的设计缺陷,确保其安全性。
本篇文章将对 CCAR 25.1309 进行详细解读,介绍其条款要求和适用的符合性方法,同时结合设计保证系统,探讨如何通过综合运用这些方法确保航空器的安全性。
2. CCAR 25.1309 条款解析
2.1 设备、系统及安装的功能要求 (a)
CCAR 25.1309(a) 规定,凡航空器适航标准对其功能有要求的设备、系统及安装,其设计必须确保在各种可预期的运行条件下能够完成预定功能。这意味着,无论飞机处于何种环境或飞行阶段,设备和系统都应保持其正常功能。
这一条款主要涉及飞行控制系统、动力系统、机载航电系统等关键系统。以飞行控制系统为例,该系统必须在不同飞行条件下都能稳定运行,包括在恶劣天气(如强风、暴雨)或高强度辐射环境下。为了满足这一要求,设计时通常采用冗余设计和环境适应性测试,确保系统在恶劣条件下也能保持其功能性。
示例:例如,飞行控制系统通过设计冗余控制回路和容错机制,确保即使主要控制系统出现故障,备用系统仍能够接管,保证飞机的飞行安全。
2.2 系统失效状态的设计要求 (b)
CCAR 25.1309(b) 明确规定了飞机系统失效状态的设计要求,分为两部分:
(1) 妨碍飞机继续安全飞行与着陆的失效状态,其发生概率必须是“极不可能的”。这意味着灾难性失效(如飞控系统完全失效)的发生概率必须在1E-9/FH以下,确保系统能够应对任何单个失效情况,避免导致严重事故。
(2) 降低飞机能力或影响机组处理不利运行条件能力的其他失效状态,其发生概率应为“不可能的”,通常指较低等级的失效状态(如部分系统失效),其概率要求在1E-7/FH以下。
为了符合这些要求,设计时需进行详尽的失效分析与安全性评估,采用可靠性设计(如故障隔离)来减少失效的可能性。除此之外,还需通过故障树分析(FTA)对系统失效路径进行模拟,确保所有关键失效都能得到有效防范。
示例:在飞行控制系统的设计中,任何导致灾难性失效的情况必须通过增加冗余系统、采用更可靠的组件或设计缓解措施来确保其概率符合“极不可能”标准。
2.3 警告系统设计要求 (c)
CCAR 25.1309(c) 规定,必须为飞机系统设计提供有效的警告机制,以便及时向飞行员传递系统不安全的工作状态,便于其采取适当的纠正措施。警告系统设计的核心在于减少飞行员的认知负担,避免可能的操作失误。
这意味着飞机上所有与安全相关的设备必须具备有效的告警功能,能够在失效发生时及时提醒机组。系统设计中需考虑告警的优先级管理,以确保最严重的失效能够优先得到处理,而非紧急告警可能会暂时抑制,避免过多的信息导致飞行员分心。
示例:以飞行控制系统为例,当该系统发生部分失效(如传感器失效)时,机载的告警系统应立刻发出警报,并显示具体的纠正指令,指导飞行员采取必要的操作。该警告需清晰易懂,且与其他告警信号的优先级进行有效管理,避免影响对更紧急情况的处理。
2.4 失效分析与验证要求 (d)
CCAR 25.1309(d) 要求,飞机系统必须通过分析和适当的地面、飞行或模拟器试验来验证符合性。此条款强调了失效模式的识别及其后果评估,并要求考虑以下几方面:
(1) 系统的可能失效模式,包括外界因素造成的故障和损坏;
(2) 多重失效和失效未被检测出的概率;
(3) 飞行各个阶段和各种运行条件下的失效后果评估;
(4) 机组告警信号及其纠正措施的可行性。
这一过程通常采用功能危害性分析(FHA)和故障树分析(FTA)来评估复杂系统的失效情况。通过分析系统在多重失效下的表现,可以识别出潜在的故障并制定相应的修正措施。
示例:在飞行控制系统的失效分析中,通过模拟器测试多重传感器失效场景,验证飞行员在接收到告警信息后能否通过系统建议的操作措施安全恢复飞行控制。
2.5 电气系统的环境适应性 (e)
CCAR 25.1309(e) 要求,电气系统的设计和安装必须考虑在极端环境条件下的适应性。此条款特别针对电气设备在极端温度、湿度、振动、辐射等条件下的表现。
为了满足这一要求,设计者通常通过环境测试来验证电气系统在各种环境下的适应能力。这类测试包括但不限于高温、低温、湿度、冲击和电磁兼容性测试。
示例:飞机航电系统通过环境试验(如高低温测试和电磁兼容性测试),确保其在极端环境中依然能够保持正常工作。
2.6 电气线路互联系统(EWIS)评估 (f)
根据 CCAR 25.1309(f),飞机必须对其电气线路互联系统(EWIS)进行评估。EWIS 是飞机电气系统的核心部分,确保各个系统的电气连接和安全运行。
该要求与 CCAR 25.1709 紧密相关,特别是在评估电气系统的故障隔离和失效模式时,EWIS 评估能够帮助识别潜在的失效情况,减少失效传播的风险。
示例:在飞行控制系统的 EWIS 评估中,必须对电缆布线、连接器和电源管理进行全面测试,以确保其不会因磨损、过载或环境因素而失效。
3. 符合 CCAR 25.1309 的失效分析与安全评估
3.1 功能危害性分析(FHA)
功能危害性分析(FHA)是用于识别和评估系统功能失效对飞行安全潜在影响的重要工具。FHA 分析通过评估每个系统功能的失效模式,确定其影响的严重性和对飞机操作的潜在危害。
FHA 的主要步骤包括:识别系统的功能、分析功能失效的影响、评估每种失效模式的潜在危害并确定其处理措施。这一分析通常在系统设计的早期进行,并作为系统安全性设计的基础。
示例:在飞行控制系统的 FHA 分析中,分析了系统的传感器失效、控制器失效和执行机构失效的潜在影响,评估这些失效是否可能导致飞机失控或其他严重后果。
3.2 故障树分析(FTA)
故障树分析(FTA)用于分析和识别系统失效路径及其组合失效的影响。FTA 通过构建故障树图,揭示系统失效的逻辑关系,并帮助设计者识别出可能的失效组合和传播路径。
FTA 分析的核心在于将所有可能的失效模式以树状结构表现出来,从系统的顶级失效状态出发,逐层分析其原因。这一过程通常结合概率分析,量化不同失效路径的发生概率。
示例:在飞行控制系统中,通过 FTA 分析传感器与执行机构的失效组合,评估多个系统失效导致飞行控制失灵的概率,并通过设计优化减少这种组合失效的可能性。
3.3 共因失效分析(CCA)
共因失效分析(CCA)是评估多重失效情况的工具,特别是涉及共享资源或物理联系的系统。通过分析系统间的依赖关系和共因失效风险,CCA 能够帮助识别那些可能同时导致多个系统失效的共因因素。
示例:在飞行控制系统中,传感器与执行器共用同一电源,可能因电源失效导致整个系统失效。通过 CCA 分析,增加冗余电源,减少共因失效的风险。
4. 设计保证系统与符合性方法:确保CCAR 25.1309的安全性
在CCAR 25.1309中,适航符合性方法是确保飞机系统和设备设计与安装符合适航要求的关键手段。符合性方法的应用不仅仅涉及系统的测试和验证,还包括如何通过设计控制和过程管理确保系统能够安全、可靠地运行。在符合性方法中,除了MOC0-MOC9这些传统方法外,设计保证系统也是局方认可的重要符合性手段,尤其是在复杂航空电子设备的开发过程中。
4.1 符合性方法(MOC0-MOC9)的具体应用
在适航审定中,常用的符合性方法包括MOC0-MOC9,这些方法覆盖了从设计到测试的多个环节,帮助开发商证明产品符合CCAR 25.1309的要求:
MOC0 - 符合性声明:通过提交符合性声明,直接证明系统或设备在设计上符合适航要求。
MOC1 - 说明性文件:提供设计说明书、系统图纸等文件,详细解释系统或设备的设计逻辑,展示其如何符合安全和功能要求。例如,飞行控制系统的设计说明可以详细描述各个模块的作用和接口。
MOC2 - 分析/计算:使用性能计算、失效概率计算等理论分析方法,验证系统在设计上的安全性和可靠性。比如对飞行控制系统进行失效模式分析,计算其失效概率是否符合25.1309的要求。
MOC3 - 安全性评估:通过功能危害性分析(FHA)、故障树分析(FTA)、系统安全性分析(SSA)等方法,系统性地评估设备或系统的安全性,确认其失效状态不会影响飞行安全。
MOC4 - 试验室试验:通过实验室条件下的测试,验证设备或系统在极端环境下的性能,如飞行控制系统在高温、高湿环境下的功能表现。
MOC5 - 地面试验:通过地面测试验证系统在非飞行状态下的性能,特别是起落架系统和紧急系统的测试。
MOC6 - 飞行试验:在真实飞行条件下对系统或设备进行全面验证,例如飞控系统在不同飞行阶段的表现。
MOC7 - 航空器检查:对系统和设备的安装进行物理检查,确保其符合设计规范,并检查维护和操作的合理性。
MOC8 - 模拟器试验:通过模拟器进行高风险测试,模拟关键设备在紧急状态下的功能表现。
MOC9 - 设备合格性:通过设备的合格鉴定,确保设备在设计和性能上符合适航标准,尤其是对关键设备进行环境适应性测试。
4.2 设计保证系统与复杂航空系统的符合性
在适用MOC0-MOC9的传统符合性方法外,随着现代航空电子设备和集成系统(如飞行控制系统、航电系统等)的复杂性日益提高,设计保证系统(Design Assurance)成为了重要的适航符合性工具。设计保证系统通过过程控制、风险分析和验证方法,确保高度复杂系统的设计、开发和验证过程符合适航标准。
设计保证系统不局限于最终的测试和验证,而是从产品开发的每个环节进行严格的控制。通过需求定义、设计验证、安全性分析和过程管理,设计保证系统确保复杂系统在多种飞行和环境条件下能够稳定、安全地运行。
4.2.1 国际标准与设计保证系统
设计保证系统的应用以多项国际标准为指导,这些标准为航空制造商提供了系统化的开发和验证框架:
ARP4754A:系统设计保证框架,覆盖从需求分析到设计验证的整个过程,确保系统在各个设计阶段都能满足安全性要求。
DO-178C:航空软件开发标准,通过对软件开发过程的控制,确保软件在不同飞行条件下的稳定性。
DO-254:适用于硬件的设计保证标准,确保硬件设备(如处理器、控制器等)的设计和性能符合适航要求。
这些标准通过严格的过程控制和验证方法,将复杂系统的失效风险降到最低,确保最终设计符合CCAR 25.1309中的安全要求。
4.2.2 设计保证系统在飞控系统中的应用
以飞行控制系统(FCS)为例,设计保证系统确保其在不同飞行阶段和环境下都能安全运行。通过以下步骤,结合设计保证系统与传统符合性方法,可以提高系统的可靠性:
需求定义:通过ARP4754A,明确飞控系统的功能需求和安全性需求,并将这些需求分解到硬件和软件中。
设计验证:使用DO-178C和DO-254,对系统中的软件和硬件进行全面验证,确保其设计符合预期功能。比如对传感器模块的开发,确保其信号处理能力能够满足飞行控制的高精度要求。
安全性评估:在开发过程中,通过FHA和SSA等工具,对系统失效模式进行识别和分析,确保其失效不会影响飞行安全。
过程管理:在设计和开发的每个阶段,使用过程跟踪和审查工具,确保每个设计决策和变更都能够被追溯,减少潜在的设计缺陷。
4.3 设计保证系统与传统符合性方法的结合
在实际开发中,设计保证系统与MOC0-MOC9符合性方法相结合,可以为高度复杂的航空系统提供全面的验证手段。传统的符合性方法通过测试和实验来验证系统性能,而设计保证系统则通过过程控制、需求验证和安全评估确保系统从开发到实现的每个环节都符合适航标准。
例如,在飞行控制系统的开发中,使用设计保证系统对每个开发阶段进行严格控制,结合MOC6的飞行测试验证,确保系统不仅在理论上满足安全性要求,还能在实际飞行条件下表现出可靠的性能。通过这种双重保障,确保系统能够符合CCAR 25.1309的各项安全要求。
5. 实际案例分析:飞行控制系统的失效模式与验证
5.1 失效模式识别
在实际案例中,飞行控制系统通过功能危害性分析(FHA)和故障树分析(FTA)识别出系统中的关键失效模式。比如,传感器失效或执行机构失效可能导致飞机的控制失灵,这些失效状态必须通过设计优化和冗余系统来进行缓解。
5.2 警告和检测系统验证
验证告警系统是否能够在系统失效时发出有效的警告信号,确保飞行员能够及时采取纠正措施。例如,在模拟传感器失效的情况下,验证告警系统是否能够及时发出告警并显示正确的操作指令。
5.3 环境测试与飞行测试
通过环境测试和飞行测试验证飞行控制系统在不同环境条件下的适应性。测试包括在高温、高湿、振动等条件下的系统性能测试,确保系统在各种极端环境下都能保持其功能。
6. 结论
CCAR 25.1309 是确保飞机系统和设备安全性的关键条款。通过合理的失效分析、安全评估和设计保证系统,制造商可以有效地减少系统中的设计缺陷,并提高其可靠性。设计保证系统与符合性验证方法的结合,确保了复杂航空系统能够在各种飞行条件下保持其功能,满足适航标准。
