民用飞机系统安全性要求，源自何方？

01  前面的话

虽然航空运输是公认的最安全的交通运输手段，但自飞机诞生至今，一些致命的飞行事故仍频频发生。因此在民用飞机的设计过程中，飞机设计师必须考虑飞机安全性的要求，使安全性成为民用飞机的一种基本特性。

那么民机和系统设计的安全性要求，究竟源自何方？且听本文细细道来。

02  公众利益和适航的要求

 

民用飞机安全性要求，最初来源于公众利益和适航的要求。

伴随着多次空难事故的发生，公众从自身利益出发，要求政府对空中飞行活动进行管理，以确保航空器的设计、制造和维修，能够达到一定的安全性水平。

因此适航规章（例如 CCAR/FAR/CS 25.1309）及相关咨询材料，定义了飞机能在预期的环境中安全飞行的要求，以保护公众利益。

 

伴随着民用飞机设计技术的发展，飞机和系统所实现的功能得以不断扩展，复杂电子硬件和软件得到广泛应用。

现代飞机的气动布局和结构设计，与飞控系统、推进系统、航电系统的关系也日益密切，电传飞行控制等系统已成为机上最重要、最复杂的系统。

针对这样一类复杂系统，需要考虑当单个或多个功能丧失或异常时，对飞机、机组及乘客的潜在危害。此外，还需考虑执行不同功能的系统之间的相互影响。

03  公众/飞机制造商/运营商的折中

 

公众对飞机安全性的要求是永无止境的！

而安全性要求越高，相应的系统架构复杂度、研发难度、维护工作和重量等也越高。这对于飞机制造商和飞机运营商而言，有时是难以承受的。

因此，定义合适的安全性要求，使公众、飞机制造商和飞机运营商都能够接受，是一个折中和权衡的过程。这一过程的关键则是定义 “失效状态的发生概率” 和 “影响程度” 之间的约束关系。

即，随着失效状态影响程度的加深，其故障发生概率要求越来越小。

失效状态影响程度与概率要求的大致关系如下图所示。

在评估飞机和系统设计的可接受程度时，上图建立了合理的定性概率要求，这也体现了25.1309 条款的核心要求。

 

04  百万分之一

 

飞机历史服役数据表明，由于飞机设计和操作等原因，导致发生严重事故的概率大约是每百万飞行小时一次 或 1E-6/FH 量级。

这样的安全性水平基本等同于人的意外死亡率，比如喝水呛死、走路摔死、洗澡淹死等。

因此 1E-6/FH 的失效率，是公众、飞机制造商和飞机运营商都能够接受的安全性水平。

 

05  千万分之一

 

根据统计数据，在这些严重事故中，大约有 10% 是由飞控、液压、航电等机载系统的失效原因所导致。

因此，在新的飞机设计中，要求所有系统导致严重事故的概率不得高于每千万飞行小时一次 或 1E-7/FH 量级，也是合理的。

 

06  十亿分之一

 

但是按照 “千万分之一” 的要求来设计飞机系统，仍然存在困难。因为直到飞机上所有系统全部完成定量分析，才能判断 “千万分之一” 的目标是否可以得到满足。

在这个背景下，我们就人为假设一架飞机上大约有 100 个可能的灾难级失效状态，同时将 1E-7/FH 这个允许的平均概率值在这 100 个失效状态间进行平均分配。

即每一个灾难级失效状态（Catastrophic，I类）的发生概率必须小于 1E-9/FH 量级。该值即建立了对 “极不可能（Extremely Improbable）” 的近似概率值。

对于影响严重程度相对较轻的失效状态，发生的可能性可以相对高一些（主要是出于成本考虑）。例如：

• 对于产生危险级影响的失效状态（Hazardous，II类），其发生概率要求是极小的（Extremely Remote），定量指标要求小于 1E-7/FH 量级；

• 对于产生较大影响的失效状态（Major，III类），其发生概率要求是微小的（Remote），定量指标要求小于 1E-5/FH 量级。

我国大型客机 C919 的系统安全性设计，也采用了这样的设计标准。

07  25.1309 的精髓

 

CCAR/FAR/CS 25.1309 条款是整个飞机和系统安全性的基础，1309 条款对灾难级、危险级、较大的失效状态提出了概率要求，且要求单个失效不能导致飞机出现灾难级事故。

而本文以上内容，正好反映了 25.1309 及其咨询材料的精髓。在工程应用中，具体失效状态影响等级的划分与概率要求，详见下表。

注：对于IV类失效状态，此处提供的概率要求仅作为参考，不要求进行定量的分析。使用当前普遍接受的行业惯例，即可认为满足该要求。

 

08  适航要求是 “最低” 要求

 

此外，需要注意的是，适航规章的要求是最低安全要求，而国际民用航空实际表现出的安全水平（含设计、制造、生产、运营、维修），通常要高于适航规章定义的最低安全水平要求。

随着航空技术的迅猛发展，我们也在不断地提高飞机的安全性水平，这是每一个航空人坚持不懈的追求。

 

09  少数失效状态 “超标” 怎么办？

 

参考国内外民用飞机系统设计的实际情况，可能存在由于技术、经济、保守分析等原因，而导致少数失效状态无法满足数值要求的情况。

例如对于灾难级失效状态，实际的定量计算结果可能大于 1E-9/FH（例如 2.2E-9/FH）。

根据波音系列飞机和国内新支线客机 ARJ21-700 飞机的取证经验，局方对此超标情况并非完全不能接受。

正如上文提到的 “失效状态影响程度与概率要求” 的关系图中，区分 “可接受” 与 “不可接受” 区域的，是一条缓冲带，而不是一条线。AC 25.1309 的要求也着重强调了 “量级” 的概念，并没有强制要求必须小于 1E-9/FH。

因此每个飞机型号在申请合格审定的过程中，可以和审查方进行讨论确定。例如 FAA对某些波音飞机灾难级失效状态的概率要求可放宽到 3E-9/FH，CAAC 对 ARJ21-700飞机的要求可放宽至 2.5E-9/FH，有些飞机型号甚至最多可放宽至 5E-9/FH。

 

针对这类超标情况，其是否可接受没有统一标准，飞机制造商需尽早与局方沟通，并通过完成以下工作来表明满足安全性要求：

1. 使用经过充分证明的方法，来进行系统设计和实现；

2. 使用结构化方法，例如故障树分析来确定各失效状态的失效率；

3. 证明由系统导致的所有灾难性失效状态的失效率，其总和满足 1E-7/FH 的量级要求。