【专业技术】Dr.RAMS:民用飞机系统安全性适航要求概述
点击标题下方翼知堂,关注更多精华知识
RAMS,是英文Reliability(可靠性)、Availability(可用性)、Maintainability(可维修性)和Safety(安全性),放在一起的简写。RAMS对于军用航空、民用航空都有着举足轻重的作用,但是在我国还存在非常多的技术与实践的短板。小翼之前已经推送了有关RAMS的基础知识《飞机系统安全评估技术的发展》,获得很多朋友的赞赏,鼓励小翼继续推送有关RAMS的文章。今天我们就邀请航空界的专家普及一下有关民用飞机系统安全性适航要求方面的知识。
美国联邦航空局(Federal Aviation Administration,简称FAA)关于系统安全性的适航标准体系呈金字塔形,详见图1。主要包括规章14CFR Part 25 §25.1309 、相关咨询通告(Advisory Circular,简称AC)及指令(Order),表1列出了FAA相关咨询通告及指令。同时,FAA以发布咨询通告的形式认可相关工业标准,详见表2,这些标准作为表明对规章的可接受的符合性方法。各主机厂应在这些要求的指导下,根据自身的组织架构及特点,制定相应的工作手册、工作程序来定义相关组织、工具、方法和过程等以表明符合性。【备注:针对FAA运输类飞机适航规章的标准引用方式应为14 CFR Part 25,惯用的引用方式为FAR 25。针对条款的引用方式有Sec. 25.XXXX,及§25.XXXX,惯用表达方式为FAR 25.XXXX(如,Sec.25.1309,§25.1309及FAR 25.1309)】
图1. 系统安全性相关法规、标准体系构成示意图
表1 FAA相关咨询通告及指令
编号 | 名称 |
AC 25.1309-1A | 系统设计与分析 |
ARAC*AC 25.1309-ARSENAL | 系统设计与分析 |
AC 25.1322-1 | 告警系统 |
AC 25-19 | 审定维修要求 |
AC 20-174 | 民用飞机和系统研制 |
AC 20-115B | 认可航空无线电技术委员会,文件RTCA/DO-178B |
AC 20-152 | 认可航空无线电技术委员会,文件RTCA/DO-254 |
Order 8110.4c | 型号合格审定 |
Order 8110.49 | 软件批准指导 |
注1)ARAC,全称Aviation Rulemaking Advisory Committee,航空立法咨询委员会。该文件是ARAC有关25.1309建议的咨询通告,目前已经被诸多机型使用。 |
表2统安全性相关工业标准
编号 | 名称 |
SAE ARP 4754A | 民用飞机研制指南 |
SAE ARP 4761 | 对民用机载系统和设备进行安全评估过程的指南和方法 |
RTCA/DO-178B | 机载系统和设备审定的软件考虑 |
RTCA/DO-254 | 机载电子硬件的设计保证指南 |
RTCA/DO-297 | 综合模块化航电系统设计指南和审定考虑 |
欧洲航空安全局(European Aviation Safety Agent,简称EASA)相关标准体系与FAA类似,但现行FAA的§25.1309与EASA的CS 25.1309内容存在差异。
中国民航局(Civil Aviation Administration of China,简称CAAC)有关系统安全性的标准包括,中国民用航空规章第25部运输类飞机适航标准(CCAR-25-R4)第25.1309条,以及型号合格审定程序(AP-21-AA-2010-03R4)的要求。同时,根据具体飞机型号的技术特点,CAAC会以问题纪要的形式,视情将FAA或EASA的相关咨询通告纳为可接受的符合性方法,并对相关工业标准进行认可。
1. 现行适航规章要求
中国民航局CCAR-25-R4有关系统安全性的一般要求为第25.1309(b)条。其中与系统安全性评估相关的具体要求如下:
第25.1309条设备、系统及安装
……
(b) 飞机系统与有关部件的设计,在单独考虑以及与其它系统一同考虑的情况下,必须符合下列规定:
(1)发生任何妨碍飞机继续安全飞行与着陆的失效状态的概率为极不可能;
(2)发生任何降低飞机能力或机组处理不利运行条件能力的其它失效状态的概率为不可能。
……
现行FAA的§25.1309内容与CCAR-25-R4的第25.1309条内容一致。
现行EASA CS 25.1309(b)内容如下:
CS 25.1309 设备,系统,及安装
除以下情况外,本节的要求,加上CCAR 25部其它特定设计要求,适用于飞机上安装的任何及所有设备、系统及安装。尽管本规定不适用于CCAR 25 B分部中的性能和飞行品质的要求以及C、D分部中的结构要求,但是适用于为符合这些要求而相关的任何系统。由CCAR25.671(c)(3)所覆盖的飞控舵面或飞行员操纵器件的卡阻不在本审定要求(b)(1)(ii)所覆盖范围之内,25.735(b)(1)所覆盖的单个失效、25.810(a)(1)(v) 和25.812 所覆盖的失效影响不在本审定要求(b)所覆盖范围之内。本审定要求(b)适用于25.901(c)所覆盖的动力装置安装。
……
(b) 飞机系统与有关部件的设计,在单独考虑以及与其它系统一同考虑的情况下,必须符合下列规定:
(1) 每一个灾难性的失效状态
(i) 是极不可能的;并且
(ii) 不会由单个失效造成;并且
(2) 每一个危险的失效状态是极小可能的;并且
(3) 每一个重大的失效状态是很小可能的。
……
EASA CS 25.1309条与现行FAA§25.1309内容存在差异,与2002年8月FAA的航空立法咨询委员会(Aviation Rulemaking Advisory Committee,简称ARAC)向FAA提交的§25.1309条修订建议稿的内容非常相近,但该建议稿暂时未被FAA采纳。
2. 规章要求演变历程
由于CCAR-25部主要是以美国联邦航空局14CFR 第25部为基础,跟随14CFR 第25部的修正案作修订,因此主要介绍FAA §25.1309的演变历程。
自1965年由美国民用航空条例CAR4.606变为FAR 25.949、FAA在随后的统一更改规章编号计划过程中将FAR 25.949变为FAR 25.1309之后,FAA §25.1309涉及的主要修正案包括第25-23号、第25-38号、第25-41号以及第25-123号,详见表2.3 §25.1309涉及主要修正案概况。
表3 §25.1309涉及主要修正案概况
生效日期 | 修正案号 | 修订的主要内容 |
1970年5月8日 | 第25-23号 | 该修正案的主要目的是[1]: Ø 强化并增加失效——安全设计; Ø 提出以预测概率评估为基础的设计评估措施。 该修正案的修订主要考虑了以下内容[2]: Ø 同一次飞行期间一个以上的故障; Ø 引发显著减少飞机能力或机组克服不利工作条件能力的共因故障; Ø 用警告提示、系统控制和运行程序使错误减至最小; Ø 反向关系原则:真正坏的事情不应发生,而太坏的事情短时间内可以发生一次; Ø 为了满足安全性设计目标,要求进行更全面的系统化故障分析; Ø 向机组提供“不安全运行条件”的警告。
|
1977年2月1日 | 第25-38号 | 将原先的“设备系统及安装”标题更改为“设备,系统,及安装”。 |
1977年9月1日 | 第25-41号 | 删除了乘员受伤的提法,这主要是因为在条例的其他条款(§25.785、§25.787、§25.789、§25.801)对其已有要求[2]。 该修正案认为用概率量化来表明机组失误是“不大可能的”不太现实,而且条款本意也并非强制要求用量化指标,因此,将原c款的“……机组失误是不大可能的”改为“……尽量减少可能增加危险的机组失误。” |
2007年12月10日 | 第25-123号 | 对原先的e,f,g款进行了修订。 新增了对“电气互联系统安全性评估”的要求,指向25.1709条款。 |
安全性目标
适航规章25.1309(b)的目标是确保安装在飞机上的设备和系统具有可接受的安全性水平。该条款用失效状态描述对飞机及其乘员的危害,并且对失效状态的发生概率及其严重性之间合理且可接受的反比关系提出了一般要求,认为每飞行小时平均概率与失效状态影响的严重程度之间必存在着一种逻辑的和可接受的反比关系,如图2所示,即:
- 无安全影响的失效状态没有概率要求
- 较小的失效状态可以是可能的
- 较大的失效状态必须不能比微小的更为频繁
- 危险的失效状态必须不能比极小的更为频繁
- 灾难性的失效状态必须是极不可能的
而与失效状态相关的安全性目标见表4。
与灾难性失效状态相关的安全性目标,可以通过证明以下内容来满足:
单个失效不会导致灾难性的失效状态,并且
每一个灾难性的失效状态是极不可能的。
2. 符合性方法总则
对25.1309(b)要求的符合性应通过分析,并在必要时通过适当的地面试验、飞行试验或模拟器试验来表明。分析应始终考虑失效-安全设计理念的应用,并且需特别关注设计技术的有效使用,确保这些设计技术的有效使用能防止单个失效或因损伤引起的其他事件的发生,或者其他对多于一套冗余系统通道或多于一套执行相似功能的系统造成不利影响。
应首先对失效状态进行识别,并对其影响进行评估。每个失效状态的最大可允许发生概率是通过失效状态的影响来确定的,根据影响等级确定安全性目标,即该失效状态发生可能性或概率要求。当评估失效状态的发生可能性/概率时,应说明开展的分析考虑。任何分析必须考虑:
可能的失效状态及它们的原因、失效模式和外部源对系统造成的损伤
多重失效和未检测到的失效的可能性
需求、设计以及实现中发生差错的可能性
在某个失效或失效状态发生后可合理预见的机组差错的影响
当执行维修活动时可合理预见的差错的影响
机组告警提示,所需的纠正动作以及检测错误的能力
对飞机和乘员造成的影响,考虑飞行阶段以及运行和环境条件
2. 计划
为达到设计的安全性目标而采取的方法需考虑多个因素,尤其是系统的复杂和综合程度。对于含有大量复杂或综合系统的飞机,通常需要制定计划来描述预期的过程。该计划应考虑以下方面:
各系统在功能和物理架构上的相互关系
详细的符合性方法的确定,可能包含研制保证技术
制定完成计划的方法
3. 可用的工业标准和指导材料
目前在欧美工业界已使用了多种可接受的技术,这些技术的标准和指导材料有SAE ARP 4754A、SAE ARP4761、DO-254及DO-178等。尽管合格审定局方并不强制要求使用这些文件,但这些文件所包含的系统安全性评估过程的材料和方法,如果得以正确的应用,局方认为是表明对25.1309(b)符合性的有效方法。
4. 可接受的研制保证方法
为表明对25.1309(b)符合性所作任何必要的分析必须考虑需求、设计和实现过程产生差错的可能性。在设计和系统研发中产生的差错,传统做法是通过在系统及其组件上进行全面的试验、直接的监控以及其他能完全刻画系统性能的直接验证方法来进行检测和纠正的。这些直接验证技术对于执行有限功能和没有与飞机其他系统集成的简单系统,仍然是适用的。但是,对于更为复杂或综合的系统,由于不能确定所有的系统状态,无法进行全面彻底的试验;或者由于需完成的试验数目过多,全面的试验是不切实际的。对于这类系统的符合性可通过使用研制保证来表明。研制保证等级应该根据系统发生故障或丧失功能后,对飞机潜在影响的严重程度确定。SAE ARP 4754A提供了针对系统的过程保证指南;DO-178和DO-254提供了针对软件和硬件的过程保证指南。
由于这些文件不是同时编制的,它们提供的指南以及使用的术语存在差异。其中最大的差异就是有关使用系统架构来确定相应的硬件和软件的研制保证等级。EASA认为考虑系统架构确定软硬件研制保证等级是合适的。
5. 机组和维修动作
若某分析识别出的指示是提供给,和/或需飞行机组、客舱机组或维修机组采取动作的,则应完成以下验证活动:
验证系统确实能提供任一识别出的指示
验证任一识别出的指示能切实被辨认出
验证任一要求的动作都具有合理的预期,即能够成功并及时地完成
这些验证活动应通过咨询相关的工程师、飞行员、空中乘务人员、维修人员以及人为因素专家,并且考虑如果假设的动作没有被执行或错误地被执行所可能带来的后果。
在复杂情况下,专家评审的结果可能需要通过模拟器试验或飞行试验进行确认。然而,目前认为对机组或维修差错的概率进行定量评估是不可行的。
如果认为失效指示是可以辨识的,并且所需的纠正动作不会导致过度的工作负荷,那么分析时将能完成纠正动作的概率看成是1。
如果必要的动作不能被满意地完成,则需要对维修任务和/或系统进行修改。
民用飞机取得型号合格证,必须通过各种手段和方法来表明对适航规章的符合性,进而证明民用飞机的安全。现代民机系统设计复杂性日益增强,无论是适航审定还是民机设计都对系统安全性给予了越来越多的关注和重视。表明符合性的方法从各种传统的系统安全性分析方法,如FHA,FTA,FMEA等,已发展为综合使用计划、结构化系统安全性分析(SAE ARP 4761)、试验、研制保证过程(SAE ARP 4754A)、双V(确认及验证)等的系统工程方法。但是,理解系统安全性相关适航要求,是表明对规章符合性、表明系统是安全的第一步。因此,本文给出美国欧洲和中国适航当局有关系统安全性相关适航要求、历史演变以及符合性要素,供各位航空人参考。
最后,发两张FAA批准的圣诞老人坐骑(中/英文),祝大家圣诞快乐^_^.