01  前面的話

雖然航空運輸是公認的最安全的交通運輸手段，但自飛機誕生至今，一些致命的飛行事故仍頻頻發生。因此在民用飛機的設計過程中，飛機設計師必須考慮飛機安全性的要求，使安全性成為民用飛機的一種基本特性。

那么民機和系統設計的安全性要求，究竟源自何方？且聽本文細細道來。

02  公眾利益和適航的要求

 

民用飛機安全性要求，最初來源于公眾利益和適航的要求。

伴隨著多次空難事故的發生，公眾從自身利益出發，要求政府對空中飛行活動進行管理，以確保航空器的設計、制造和維修，能夠達到一定的安全性水平。

因此適航規章（例如 CCAR/FAR/CS 25.1309）及相關咨詢材料，定義了飛機能在預期的環境中安全飛行的要求，以保護公眾利益。

 

伴隨著民用飛機設計技術的發展，飛機和系統所實現的功能得以不斷擴展，復雜電子硬件和軟件得到廣泛應用。

現代飛機的氣動布局和結構設計，與飛控系統、推進系統、航電系統的關系也日益密切，電傳飛行控制等系統已成為機上最重要、最復雜的系統。

針對這樣一類復雜系統，需要考慮當單個或多個功能喪失或異常時，對飛機、機組及乘客的潛在危害。此外，還需考慮執行不同功能的系統之間的相互影響。

03  公眾/飛機制造商/運營商的折中

 

公眾對飛機安全性的要求是永無止境的！

而安全性要求越高，相應的系統架構復雜度、研發難度、維護工作和重量等也越高。這對于飛機制造商和飛機運營商而言，有時是難以承受的。

因此，定義合適的安全性要求，使公眾、飛機制造商和飛機運營商都能夠接受，是一個折中和權衡的過程。這一過程的關鍵則是定義 “失效狀態的發生概率” 和 “影響程度” 之間的約束關系。

即，隨著失效狀態影響程度的加深，其故障發生概率要求越來越小。

失效狀態影響程度與概率要求的大致關系如下圖所示。

在評估飛機和系統設計的可接受程度時，上圖建立了合理的定性概率要求，這也體現了25.1309 條款的核心要求。

 

04  百萬分之一

 

飛機歷史服役數據表明，由于飛機設計和操作等原因，導致發生嚴重事故的概率大約是每百萬飛行小時一次 或 1E-6/FH 量級。

這樣的安全性水平基本等同于人的意外死亡率，比如喝水嗆死、走路摔死、洗澡淹死等。

因此 1E-6/FH 的失效率，是公眾、飛機制造商和飛機運營商都能夠接受的安全性水平。

 

05  千萬分之一

 

根據統計數據，在這些嚴重事故中，大約有 10% 是由飛控、液壓、航電等機載系統的失效原因所導致。

因此，在新的飛機設計中，要求所有系統導致嚴重事故的概率不得高于每千萬飛行小時一次 或 1E-7/FH 量級，也是合理的。

 

06  十億分之一

 

但是按照 “千萬分之一” 的要求來設計飛機系統，仍然存在困難。因為直到飛機上所有系統全部完成定量分析，才能判斷 “千萬分之一” 的目標是否可以得到滿足。

在這個背景下，我們就人為假設一架飛機上大約有 100 個可能的災難級失效狀態，同時將 1E-7/FH 這個允許的平均概率值在這 100 個失效狀態間進行平均分配。

即每一個災難級失效狀態（Catastrophic，I類）的發生概率必須小于 1E-9/FH 量級。該值即建立了對 “極不可能（Extremely Improbable）” 的近似概率值。

對于影響嚴重程度相對較輕的失效狀態，發生的可能性可以相對高一些（主要是出于成本考慮）。例如：

• 對于產生危險級影響的失效狀態（Hazardous，II類），其發生概率要求是極小的（Extremely Remote），定量指標要求小于 1E-7/FH 量級；

• 對于產生較大影響的失效狀態（Major，III類），其發生概率要求是微小的（Remote），定量指標要求小于 1E-5/FH 量級。

我國大型客機 C919 的系統安全性設計，也采用了這樣的設計標準。

07  25.1309 的精髓

 

CCAR/FAR/CS 25.1309 條款是整個飛機和系統安全性的基礎，1309 條款對災難級、危險級、較大的失效狀態提出了概率要求，且要求單個失效不能導致飛機出現災難級事故。

而本文以上內容，正好反映了 25.1309 及其咨詢材料的精髓。在工程應用中，具體失效狀態影響等級的劃分與概率要求，詳見下表。

注：對于IV類失效狀態，此處提供的概率要求僅作為參考，不要求進行定量的分析。使用當前普遍接受的行業慣例，即可認為滿足該要求。

 

08  適航要求是 “最低” 要求

 

此外，需要注意的是，適航規章的要求是最低安全要求，而國際民用航空實際表現出的安全水平（含設計、制造、生產、運營、維修），通常要高于適航規章定義的最低安全水平要求。

隨著航空技術的迅猛發展，我們也在不斷地提高飛機的安全性水平，這是每一個航空人堅持不懈的追求。

 

09  少數失效狀態 “超標” 怎么辦？

 

參考國內外民用飛機系統設計的實際情況，可能存在由于技術、經濟、保守分析等原因，而導致少數失效狀態無法滿足數值要求的情況。

例如對于災難級失效狀態，實際的定量計算結果可能大于 1E-9/FH（例如 2.2E-9/FH）。

根據波音系列飛機和國內新支線客機 ARJ21-700 飛機的取證經驗，局方對此超標情況并非完全不能接受。

正如上文提到的 “失效狀態影響程度與概率要求” 的關系圖中，區分 “可接受” 與 “不可接受” 區域的，是一條緩沖帶，而不是一條線。AC 25.1309 的要求也著重強調了 “量級” 的概念，并沒有強制要求必須小于 1E-9/FH。

因此每個飛機型號在申請合格審定的過程中，可以和審查方進行討論確定。例如 FAA對某些波音飛機災難級失效狀態的概率要求可放寬到 3E-9/FH，CAAC 對 ARJ21-700飛機的要求可放寬至 2.5E-9/FH，有些飛機型號甚至最多可放寬至 5E-9/FH。

 

針對這類超標情況，其是否可接受沒有統一標準，飛機制造商需盡早與局方溝通，并通過完成以下工作來表明滿足安全性要求：

1. 使用經過充分證明的方法，來進行系統設計和實現；

2. 使用結構化方法，例如故障樹分析來確定各失效狀態的失效率；

3. 證明由系統導致的所有災難性失效狀態的失效率，其總和滿足 1E-7/FH 的量級要求。