飞机的安全性历史和相关标准PPT课件.ppt

单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,,*,飞机的安全性历史和相关标准,,,1,、飞机安全性历史,,（,1,）,1900,年,–,1930,年：追求系统功能的完整性,,,,●这是第一个安全性设计方法●设计原则：尽量做出好的零件和完整的系统功能●代表性的飞机：,,→,1903,年的莱特飞机；,,→,1927,年的圣,·,路易斯的幽灵飞机；,,→,1930,年的福特三发飞机●逐渐增加的曝露时间导致许多没有预计到的单故障，,,进而引起了太多的事故这时的飞机不能广泛地用于商用,,运行2,）,1930,年,–,1945,年：完整性加上为有限的设计特征,,选择冗余,,●发动机、无线电台、空速表等系统设计有冗余；,,●计算单故障的故障率；,,●安全性不够,,,还不能赢得公众信任；,,●飞行操纵、螺旋桨、发动机失火、有害的环境条件等,,方面仍存在问题●代表性的飞机是二次世界大战前的运输类飞机：,,,→道格拉斯的,DC-3,、,DC-4,飞机；,,→比齐,18,型飞机在,20,世纪,30,年代，根据长期的实际运营和观察，在累计运行时间与,,故障频数关系的基础上，统计汇编了飞机的故障和事故率。

虽然该项工作,,没有得到各个单独部件的故障率，但是将飞机作为一个系统考虑得到第一,,个故障率数值，使它开始具有一定的指导意义根据对获得的这些故障率资料的分析可以知道应该如何改进产品和进,,一步的工作目标根据概率的概念，关于飞机可靠性和安全性等级的一些,,考虑变为现实，有了衡量目标例如，英国,Pugsiey,先生在他分别于,1939,,年和,1942,年发表的论文,《,适航统计学,》,和,《,飞机强度因素的基本原理,》,中,,指出，由所有故障原因导致的飞机事故率不应超过,1,×,10,-5,/,每小时，而其,,中结构故障率不应超过,1,×,10,-7,/,每小时这可以被看作是关于飞机安全性,,的最早标准之一第二次世界大战期间，德国的专家在可靠性研究领域也取得了历史,,性的进展在从事,V1,导弹研究过程中，他们经历了解决可靠性的难题首,,先他们对,V1,导弹的可靠性问题打了一个比喻，即一根链条不可能比它最薄,,弱的链环更强因此，,V1,导弹可以做成与最薄弱的链环一样可靠，或者说,,一样强虽然,V1,导弹是一个相当简单的系统，但由于某个部件在每次试验,,中总是故障，使得,V1,导弹计划一次又一次地遭遇失败。

最初，无论人们在,,部件选择上做多大的努力，,V1,导弹都百分之百的不可靠在某些试验中，,,还发生可靠性好的部件故障引发系统故障的情况，这种可靠性好的部件可,,以看作是系统中强的链环因此，从,“,最薄弱链环,”,概念出发考虑可靠性是,,错误的，并由此逐步转换到在系统可靠性问题中必须把所有组成系统的部,,件都考虑在内的概念，也就是说系统可靠性等于组成系统的所有部件可靠,,性的平均值然而，后来的试验表明，按这样考虑做出的系统的可靠性比,,部件平均可靠性差很多，并且这个问题在很长一段时间里没有得到解决直到后来咨询了研究其它课题人才发现一个惊人的结果，即如果一个部件,,的生存概率为,1/X,，那么由,n,个这样的部件组成的系统的生存概率为,1/Xn,，,,也就是说，当一个部件的可靠性是,R=1/X,，则,n,个这样部件组成的串联系统,,的可靠性是,R,系统,=R,n,=,（,1/X,）,n,3,）,1945,年,-1955,年：单故障概念,,,●飞机安全性前进一大步，工业界和政府部门一起在,1945,,年开会并制定了,“,单故障概念,”,这个概念对减少单故障型事故,,产生了重要影响公众的信任增加，以致空中旅行有了巨大的,,增长。

●防止灾难性单故障：假设每次飞行期间至少发生一个故,,障，而不管其概率大小●,代表性的飞机：,,→洛克希德的,“,星座,”,；,,→道格拉斯的,DC-6,●安全性显著改进，公众信心增加，但事故仍然发生一些事故是一个以上故障组合的结果●1955,年一架美国航空公司的,Convair240,飞机坠毁在,,Fort Leonard Wood,附近，发动机失火和燃油切断阀潜在故障,,的组合引起机翼故障，进而导致飞机坠毁4,）,1955,年,-,现在：故障安全设计概念,,●注意多重故障型事故，政府部门用,“,故障安全概念,”,取代,,了单故障概念1955,年，作为新运输类飞机的合格审定规则为,,涡轮动力的飞机引入的概念；,,●这个概念意味着要考虑任一单故障加上任一可预知故障,,的组合；,,●故障安全设计的基本原理：任何一次飞行期间，单故障,,或可预知的组合故障不会阻止飞机的继续安全飞行和着陆●,第一代喷气式飞机：,,→,B707 Comet4,、,DC-8,、,Caravelle,、,Convairs,等机型在飞,,机上进行安全性试验，对各单故障与可预知的其它故障的组合,,情况进行试验验证，以证实其不会导致灾难性的事故。

→显著降低了事故发生率；,,→公共信心有了相应的增加；,,→然而，事故发生率还是比希望的高出许多●第二代喷气式飞机：,,→正式使用故障模式及其影响分析（,FMEA,）,,＊,B727, B737-100/200, B747,“,classics,”,；,,＊,DC-9, L-1011, DC-10, A300,→,进一步显著降低了事故发生率，但相关硬件仍然发生事,,故：,,＊自动飞行系统中的不成比例的故障组合●第三代喷气式飞机：,,,→正式使用,FHA,（功能危险性分析）、,FMEA,、,FTA,（故障树,,分析）；,,＊,B737-300,到,900, B757, B767, B747-400, B777, MD-80,,,MD-90, MD-11, A319,到,A340,；,,＊相关系统的事故率实质性地降低；,,＊现在导致事故的主要因素存在于其它领域例如：操作,,者的错误、维修错误、对预期故障情况的非预期驾驶员反应事故率,,（每百,,万次飞,,行的事,,故数）,,,●,1959,年,-2005,年世界范围商用喷气机机队的丧失机体和,/,或,,致命事故情况如下图所示,:,,,→,按地区划分的情况：,公元,年,,美国和加拿大,,,--------,世界其它地区,,,→,按飞机代份划分的情况：,,●,故障概率标准和反向关系原则：,,自,1970,年，建立起以,1,×,10,-9,为特征的事故率标准。

这个标,,准是基于当时保持的民用航空器飞行历史事故率建立的：,,→所有原因导致的灾难性事故率为,1,×,10,-6,/,每小时；,,→仅由系统引起的灾难性事故为,10%,×,1,×,10,-6,=1,×,10,-7,；,,→假设每架飞机上具有,100,个潜在的灾难性故障条件，则每,,个潜在的灾难性故障条件出现的概率等于,10,-7,/100,或,1,×,10,-9,由此看出，这时的飞机安全性标准较,20,世纪,30,年代末,40,年,,代初有了大幅度提高（二个数量级），这与民用航空的技术进,,步密切相关 事故发生概率与事件严重性的反比关系如下：,●,目前，解决飞机安全性的主要着手点：,,→以安全性为主要目标的综合飞机构架；,,→将分析技术变为正式且标准的程序；,,→为安全性分配进行预期，增加飞机级评估；,,→将飞行机组和维修的错误减至最小；,,→故障探测及其识别；,,→将飞行操纵系统、推力系统和其它机载系统的各种安全,,性评估方法进行综合；,,→评估,CNS,（通讯、导航、监视）,/ATM,（空中交通管制）,,空,-,地和空,-,空等公共系统的运行安全性：,,＊自动相关监视,-,广播（,ADS-B,）；,,＊管制员和驾驶员间的数据链通讯（,CPDLC,）；,,＊下一代数字式音频和数据链综合系统。

2,、适航规章,FAR25.1309,及其相关咨询通告的演变过程,,,●,1965,年,FAA,将提出系统安全性要求的规章由,CAR4.606,变,,为,FAR25.949,●,,FAA,在随后的统一更改规章编号计划过程中将,FAR25.,,949,变为,FAR,25.1309,●安全性设计的原则变为：,,→考虑任何单故障；,,→假设存在潜在故障值得关注的是，,“,没有单故障，但多了一些潜在故障,”,,●,Amdt.25-23(1970,年,5,月,),考虑：,,→同一次飞行期间一个以上的故障；,,→,引发显著减少飞机能力或机组克服不利工作条件能力,,的共因故障；,,→用警告提示、系统控制和运行程序使错误减至最小→反向关系原则：真正坏的事情不应发生，而不太坏的,,事情短时间内可以发生一次；,,,→为了满足安全性设计目标，要求进行更全面的系统化,,故障分析,；,,,→向机组提供,“,不安全运行条件,”,的警告●,Amdt.25-41(1977,年,9,月,),：,,删除了乘员受伤的提法，因为在,FAR25,部的其它条款,,（,§,25.785,、,787,、,789,、,801,）对其已有要求。

●Amdt.25-,xxx,(,正在制定中,),：,,目前正在进行新的规则制定活动●,AC25.1309-1(1982),：,,阐明,25.1309,的分析要求；提供可接受的符合性分析方,,法●,AC25.1309-1A(1988),：系统设计及分析,,→定义安全性原则；,,→给出符合,FAR25.1309,要求的方法；,,→定义了故障条件、故障条件严重类别和概率术语；,,→要求分析的深度；,,→关于飞行机组错误和维修人员错误的考虑；,,→环境方面的考虑；,,→研制错误方面的考虑●AC25.1309-1B(,正在起草并征求意见,),：,,→综合了新的故障条件分类和概率要求；,,→阐明符合性方法并提供更多的细节；,,→强调了特定风险；,,→强调了一架飞机潜在灾难性故障条件的总概率水平；,,→允许环境条件的概率；,,→认可了,ARP4754,和,ARP4761,；,,→认可了,RTCA/DO-178B,和,RTCA/DO-254,3,、安全性的几个基本概念,,（,1,）可靠性和安全性的一般概念：,,,●可靠性：产品无故障工作的能力●安全性：产品设计特征使人员受伤或死亡的可能性●可靠性与安全性之间的差别：,,,→可靠性：对经济的影响，其程度可视具体情况而调,,整，,“,一些是好的，更多是较好的,”,。

→安全性：对人的伤害，必须满足最低的绝对标准●如果良好的安全性由冗余得到，则得到较高系统安全性,,复杂系统就可能面临降低维修可靠性的代价从这一点来说，,,可靠性和安全性是相互矛盾的●,系统中的设备有三类功能：,,→安全性功能,---,为使事故发生的概率保持在最低水平,,上，设计的设备所执行的安全功能→需求性功能,---,为确保系统成功地工作若干时间，设计,,的设备所执行的需要功能；,,→便利性功能,---,为易于操作和增加便利，设计的设备所,,执行的便利功能可靠性是针对功能来说的，从这点上说，,“,安全性功能,”,的,,可靠性就是我们要研究的安全性上述三类功能的可靠性需求量值有很大的差别对一架运,,输类飞机来说，安全性功能可能由动力装置（发动机和燃油系,,统）、飞行操纵（包括刹车）、起落架、应急电源、飞行和导,,航仪表、某些电子设备等系统来完成这些系统和设备的功能,,必须有极高的可靠性，这是根据飞机上乘员和旅客的安全性需,,求决定的，而不是出于对系统研制成本的考虑对于需求的功,,能和便利功能，可靠性需求依次降低，需求高低更多是由经济,,因素决定的●,可靠性和安全性两者都是按照概率用数量表示的，并且,,我们利用许多可靠性工具计算安全性概率。

2,）建议的,AC 25.1309-1B,中，定性地和定量地定义的安,,全性术语如下：,,●,极不可能,：一件事情是如此地不可能，以至预计其在,该,,型号所有飞机,的整个使用寿命期间,不会发生,；那些故障条件具,,有的平均概率,/,每飞行小时等于或小于,1x10,-9,,●,极微小,(,很不可能,),：预计那些故障条件在某架飞机的总,,寿命期间不会发生，但在,该型号所有飞机,的所有使用寿命期间,,可能,发生很少几次,；那些故障条件具有的平均概率,/,每飞行小,,时等于,1x10,-7,或处于,1x10,-7,到,1x10,-9,之间●,微小,（不可能）：那些故障条件在某架飞机的总寿命期,,间不可能发生，但在,该型号许多飞机,的所有使用寿命期间可能,,发生几次,；那些故障条件具有的平均概率,/,每飞行小时等于,,1x10,-5,或处于,1x10,-5,到,1x10,-7,之间●,不经常,(,可能,),：那些故障条件在,某架飞机,的总寿命期间,,可能,发生一次或多次,，那些故障条件具有的平均概率,/,每飞行,,小时等于,1x10,-3,或处于,1x10,-3,到,1x10,-5,之间●,经常,：那些故障条件在,某架飞机,的总寿命期间,经常发,,生,，那些故障条件具有的平均概率,/,每飞行小时大于,1x10,-3,。

4,、适航规章的要求,,,●要求出自,CCAR-25/23/27/29,的,1309,条，其中与安全性,,评估相关的,CCAR-25-R3.1309,内容（与现行的,FAR25.1309,相,,同）如下：,,,（,b,）飞机系统与有关部件的设计，在单独考虑以及与其它系统一同,,考虑情况下，必须符合下列规定：,,（,1,）发生任何妨碍飞机继续安全飞行与着陆的失效条件的概率极小2,）发生任何降低飞机能力或机组处理不利运行条件能力的其它失效,,条件的概率微小c,）必须提供警告信息，向机组指出系统的不安全工作情况并能使机,,组采取适当的纠正动作系统、控制器件和有关的监控与警告装置的设计,,必须尽量减少可能增加危险的机组失误d,）必须通过分析，必要时通过适当的地面、飞行或模拟试验，来表,,明符合本条（,b,）的规定这种分析必须考虑下列情况：,,（,1,）可能的失效模式，包括外界原因造成的故障和损坏；,,（,2,）多重失效和潜在失效的概率；,,（,3,）在各个飞行阶段和各种飞行条件下，对飞机及其乘员造成的后,,果；,,（,4,）对机组的警告信号，所需的纠正动作，以及对故障的检测能力●目前，,FAA,正在按计划对,FAR25.1309,进行修正工作，并,,且预计修正后的内容如下：,,,除以下列外，本条款的要求适用于飞机上安装的任何设备或系统。

虽,,然本条款不适用于,B,分部的性能和飞行特性要求或,C,和,D,分部的结构要求，,,但其适用于为符合这些要求所依赖的任何系统§,25.1309(b)(1),和,(b)(2),,的要求不适用于,§,25. 671(c)(3),规定的飞行操纵面或驾驶员操纵装置卡,,死的情况§,25.1309(b),的要求不适用于,§,25.735 (b)(1),规定的刹车系,,统单故障的情况§,25.1309(b),的要求不适用于,§,,25.810(a)(1)(v),和,,§,,25.812,规定的应急出口和应急 照明系统§,25.1309(b),要求适用于,§,25.901(c),中规定的动力装置安装a,）除本条款（,b,）段或本分部其它地方的规定外，对于飞机上的设,,备、系统、以及与其相连的部件，单独考虑和与其它系统一起考虑时，必,,须被设计和安装成它们在飞机的运行和环境条件下按预期执行并保持所有,,正常功能和能力；并且,,（,b,）对于飞机上的设备、系统和与其相连的部件，单独考虑和与其,,它系统一起考虑时，必须被设计和安装成，当它们执行预期的功能故障,,时：,,（,1,）考虑了所有灾难的故障条件：,,（,i,）是极其微小的，并且,,（,ii,）不会由一个单故障产生；,并且,,（,2,）每个灾难的故障条件是极不可能的；并且,,（,3,）每个危险的故障条件是极其微小的,；并且,,（,4,）每个主要的故障条件是微小的；并且,,,（,5,）每个次要的故障条件是不经常的；并且,,（,6,）表明所有其它故障条件没有安全性影响。

C,）必须向机组提供与不安全系统工作条件有关的信息，以使他们能,,够采取适当纠正措施如果需要立即采取纠正措施，必须提供警告指示如果不能由飞机固有特征提供，则必须由特征符合,§,25.1322,的专用的指示,,和,/,或提示提供这些需要的信息,系统及其控制装置（包括指示和提示）必,,须被设计成将能够产生附加危害的机组错误减至最小5,、工业界标准,,（,1,）几个相关术语：,,,系统：,两个或两个以上的“元素”或“要素”按一定的方式有,,机地结合在一起执行特定功能的整体换句话说，“系统” 是由,,相互作用和相互依存的若干元素结合而成的具有特定功能的有,,机整体系统工程,：将我们所做每项工作或所研究的每件事情看,,成一个有机的称之为,“,系统,”,的整体，并且设法找出使该系统变,,得最好、最佳、最优的方法与途径复杂性,：,系统或项目的一种属性，并且对这些系统或项,,目的理解是困难的增加系统复杂性通常由复杂的部件和多重,,的相互关系所引起综合,：,将一个功能项目的各要素整合在一起的行为；或,,将许多分离功能聚集在单一执行范围内的行为联合,：将一些系统或部件联合在一起执行某些功能的行,,为2,）研制（设计）保证水平（,DAL,）,,●,DAL,定义：为使人相信能够保证设计需求并将设计中的错,,误或遗漏减至最小，研发者制定的一组工作程序，包括计划的,,和系统的具体活动。

●不同的,DAL,对应于不同的,DAL,程序，而,DAL,程序的严格程度,,取决于系统安全性评估（,SSA,）确定的结果通常，由飞机级,,FHA,、系统级,FHA,、初步,SSA,来确定,DAL,●,DAL,取决于系统构架和故障安全技术，而不仅仅是一个软,,件或硬件的问题，因为研发或设计过程中产生的那些错误并非完,,全独立，他们往往是相互关联的●,高度综合或复杂的系统总会出现研发错误用有限的一,,组试验找出所有研发错误既不实际，也不可能所以对高度综,,合或复杂的系统功能不能,100%,地由试验证明●错误可能是不确定的，并且其特征不易显现●根据与最坏故障条件最直接的关系进行,DAL,分配●,故障条件类别和系统研发保证等级的对应关系：,,,故障条件类别,,系统研制保证等级,,灾难性的,A,,,危险的,B,,,主要的,C,,,次要的,D,,,对安全没有影响,E,,●,与必须符合的,25.1301,和,25.1309,相比，用,“,事故发生概率,,与事件严重性的反比关系图,”,中的,类别可以推导出较为保守的,,DAL,分配→如果申请人希望比该反比关系图中的水平还低的,DAL,，,,则必须尽早在合格审定计划中给出正当理由。

3,）,ARP4754,（关于高度综合或复杂飞机系统的合格审定考,,虑）,,飞机越来越多地使用大大增强了功能的和更加复杂接口的系,,统（如玻璃驾驶舱综合显示系统、飞行控制、飞行管理、危险,,回避、通讯管理等系统），并且这些高度综合或复杂系统的研发,,过程总会出现错误仅用试验的方法已不能发现所有需要考虑的,,问题，即不能,100%,地由试验证明高度综合或复杂的系统功能是否,,正确例如：,,一个,“,与,”,门有,2,个输入端，每个输入端有,“,1,”,和,“,0,”,二种状态，,,则该,“,与,”,门输出共有,2,的,2,次方种可能；如果有,n,个输入端，则输,,出共有,2,的,n,次方种可能现代复杂系统,/,子系统,/,设备的输入量很多，所以不可能由,,试验验证所有输出结果为此，工业界一致认为应该制定该文,,件，目的是用系统的过程控制方法对复杂和高度综合系统的研,,制过程进行控制这也是制定,DO-178B,和,DO-254,的根本原因可以用,ARP4754,中提供的相应方法,为,高度综合或复杂的飞,,机系统、子,系统、设备、硬件、软件、零部件等项目进行分配,,DAL,如果欲使用的,DAL,比按下面介绍的,“,推导的构架保证水平及,,其限制,”,例子确定的,DAL,低，申请人应该尽早以建议的,PSSA,结果,,获得局方的同意。

如果,ARP4754,的标准尚不另人满意，可能需要按,DO-178B,及,,DO-254,给出的指导将,DAL,确定为更高等级ARP4754,给出的,“,构架保证水平及其限制,”,的例子：,序号,构架（见注,1,）,故障条件类别：,,灾难性的,故障条件类别：,,危险的,1,,,,分隔设计,,（多重故障类）,,,每个被分隔部分,,包含分隔措施的整个系统为,,A,级被分隔部分采用最严重故障条件类别的,A,级,包含分隔措施的整个系统为,,B,级被分隔部分采用最严重故障条件类别,B,级,2,,＃,采用非相似的和独立的构架设计执行一个飞机级功能（注,2,和,3,）,,,各部分（注,4,）,包含非相似性和独立性措施的整个系统为,A,级B,级（注,5,和,ARP4754,的,5.4.1.2,）,包含非相似性和独立性措施的整个系统为,B,级C,级（注,5,和,ARP4754,的,5.4.1.2,）,3,采用非相似的构架设计执行一个飞机级功能,,（注,2,）,,主要部分,,,次要部分,包含各部分之间分隔措施的整个系统为,A,级A,级,,,B,级,(,注,5,和,ARP4754,的,5.4.1.3,）,包含各部分之间分隔措施的整个系统为,B,级。

B,级,,,C,级,(,注,5,和,ARP4754,的,5.4.1.3,）,序号,构架（见注,1,）,故障条件类别：,,灾难性的,故障条件类别：,,危险的,4,,,,主动功能,/,监测功能并联构架设计（注,2,）,,,主动功能,/,监测功能部分,整个系统为,A,级,,,,至少一个功能为,A,级；另一功能至少为,C,级注,5,和,6,）,整个系统为,B,级,,,,至少一个功能为,B,级；另一功能至少为,C,级注,5,和,6,）,5,并联备份功能（注,2,）,,,主要部分,,,备份部分,整个系统为,A,级,,,A,级,,,C,级（注,5,）,整个系统为,B,级,,,B,级,,,D,级（注,5,）,注,1,：这些构架说明了具体的研制保证情况；实际系统可能使用一个大范围的替代构架注,2,：确定各元素之间转换,/,投票,/,故障探测的逻辑应该按适当的最高级别研制注,3,：特别重要的是，在采用该方法之前应获得审定当局的的同意注,4,：这种情况下，各部分可以是一个项目、一组项目或整个子系统注,5,：必须满足实用性需求，并遵守,ARP4754,有关段落的限制注,6,：研制保证水平依赖于不受监测强制限制的任一故障条件的类别。

关于机载系统、硬件、软件的,DAL,确定，,FAA,于,2004,年,1,月,,15,日颁发了一份政策性备忘录，其中阐述的政策及其举例与,,上段所述,ARP4754,的内容基本是一致其中给出的几个示例如,,下：,黑正体字适用于整个系统；,,红斜体字适用于系统中的各部分，而且这些部分是系统构架所允许的＃,执行飞机级功能的非相似的、独立的设计：一个并联的、非相似的、多通道构架可以 防止,,因设计错误造成的随机物理故障和异常行为验证非相似性和独立性应该从执行、需求、,,运算法则、数据、工作环境、以及设计错误的其它根源着手在该范畴内考虑，各设计之,,间必须在预防顶级故障条件的措施方面存在实质性的差别例如，产生设计的方法、设计,,期间使用的技术、以及使用该功能期间的操作等举例,6,：一个带有手动安全特征的电子系统,,假设一个飞机具有固有的对荷兰滚轻微阻尼特征为了捕,,获到荷兰滚并改进乘座质量，飞机上安装有一个偏航阻尼器,,（,YD,）系统然而，,YD,系统不是关键的，因为没有它飞机自身,,最终也会抑制住荷兰滚假设飞机安全性评估如下：,,,飞机级,FHA,：,,,●,在荷兰滚频率上持续不断的振荡是灾难的；,,,●,考虑到飞机的固有荷兰滚阻尼特征，丧失偏航阻尼功能至,,少应为主要的；,,,●,YD,故障地,“,猛然超过（,Hardover,）,”,是主要的。

系统构架：,,根据上述故障条件建立了这样一种系统构架：用两个偏航,,阻尼器模块（,YDM,）提供偏航阻尼功能，并且每个,YDM,具有,“,10,-5,/,,飞行小时,”,的故障率任一给定时间内仅用一个,YDM,进行控制如,,果存在错误的输出，,YDMs,相互监控，并且两者都将停止工作系,,统停止工作时在驾驶舱有指示驾驶舱内有一个手动开关，用来,,在故障情况下关掉,YDM,（驾驶员是安全性的,“,监控器,”,）偏航阻,,尼功能由软件执行假设系统安全性评估产生下列结果：,,,系统级,FHA,：,,,●,YDM,：,→,如果导致非故障的,YDM,停止工作，因硬件故障丧失,YDM,是,,主要的；,,→因硬件故障丧失两个,YDM,是主要的（丧失,YD,功能）；,,→因软件丧失,YD,功能是主要的●,手动开关：,,→故地断开是主要的（因丧失,YD,功能）；,,→故障地连接是次要的（轻微地减少系统能力,--,丧失手动,,停止功能，对飞机没有立即的安全影响）；,,→对接通位置的开关故障率为,1,×,10,-4,；,,→确定每,10,飞行小时进行一次手动开关的检查初步系统安全性分析,(PSSA),：,,,●,尽管开关故障地处于连接状态为次要的，但考虑,YDM,故障,,和开关故障的组合情况，组合的两个,YDMs,必须充分地可靠，以,,满足数字化安全性目标（见下面的故障树）；,,,●,开关和,YDMs,之间没有共模故障；,,●,由两个,YDMs,的硬件共模故障导致荷兰滚频率的故障是危,,险的（没有手动开关，该故障将是灾难的）。

这里假设驾驶员,,经受过训练，将,YD,开关置于,“,断开,”,位置●,由一个,YDM,的软件故障导致的故障为次要的；,,●,引起荷兰滚频率的振荡的软件故障是危险的（没有手动开,,关，该故障将是灾难）这里假设驾驶员经受过训练，将,YD,开,,关置于,“,断开,”,位置●,假设平均飞行时间为,5,小时故障树：,,,,研发保证等级的确定：,,●,使用,SAE ARP4754,的指南：,,→因为顶事件的危险类别是灾难的，所以整个系统（,YDM,和,,开关）将被保证到,A,级→既有软件也有硬件的,YDM,被确定为对应于危险故障影响的,,B,级（假设它们同时发生故障）→根据,FHA,，开关的,DAL,按,5.4.1.2,应该是,B,级然而，因为,,开关是一个简单硬件部件，所以其不需要,DAL,，并仅需要满足概,,率要求●,仅根据,RTCA DO-178B,确定的软件等级：,,→因顶事件的影响是灾难的，所以,YD,的软件为,A,级，尽管系,,统具有手动安全开关●,根据,RT CA DO-254,确定的硬件,DAL,：,,→因为两个,YDMs,具有相同的硬件，所以用安全性评估确定,,共模故障的可能性。

按相对于由两个,YDMs,故障导致的危险的,,B,级研发,YDM,硬件如果没有共模故障，相对于每个模块的故障,,来说，,YDM,可以是,C,级→不需要给开关分配,DAL,，因为它是一个,“,简单,”,装置偏航阻尼系统,DAL,分配摘要：,,,,因为手动安全开关与,YDM,明显地互为独立且非相似，所以政策的应用导致,YDM,的软件为,B,级对,高度综合或复杂系统的,合格审定需要考虑下列问题,,（,ARP4754,含有为这些项目提供的指导）,：,,●制定需求；,,●分配需求；,,●考虑构架；,,●综合；,,●安全评估过程（高层级的）；,,●确定具体系统的研制保证水平；,,●确认需求（完整性和正确性）；,,●设计、实施和验证等情况考虑安全性评估过程,和,系统研制过程之间的关系：,,,,ARP4754,、,DO-178B,、,DO-254,和,ARP4761,一起,构,,成 现代机载系统（尤其是高度综合和复杂系统）安全性分析的一组指南材料针对高度综合和复杂的系统，建议的合格审定文件如,,下：,,●,合格审定计划；,,●研制计划；,,●构架及其设计；,,●需求；,,●确认需求的计划；,,●验证设计符合需求的计划；,,●构型管理计划；,●,过程保证计划；,,●,构型索引；,,●,功能危险性分析；,,●,初步系统安全性分析；,,●,系统安全性分析；,,●,共因分析；,,●,确认需求的资料；,,●,验证设计符合要求的计划；,,●,构型管理证据；,,●,过程保证证据；,,●,合格审定摘要,。

其中：,合格审定计划,、,构型索引,和,合格审定摘要,是需要,,提交给局方的资料申请人应该编制上述所有资料其中的,,一些资料可能还需要供应商编制对于供应商编制的资料，,,局方也可能要求提供4,）,ARP4761,（民用机载系统和设备安全性评估过程的,,指南和方法）,,,安全性评估指南的历史：,,,1979,年颁布,SAE ARP926A《,零件故障模式及其影响分析,,和故障树分析,》,；,,,1986,年颁布,SAE ARP1834《,数字系统的故障和故障分,,析,》,；,ARP926A,和,ARP1834,的问题：,,●为安全性目标所作的指南不完善；,,●强调可靠性,/,维修性；,,●过时的情况如下：,,→不适合,DO-178B,；,,→没有强调飞机级分析；,,→没有充分地覆盖共模分析；,,→没有,PSSA,ARP926A,和,ARP1834,已经被,ARP4761,替代然而，,AC23.,,1309-1C,允许在某些环境下对小飞机进行的系统安全性评估,,继续延用,ARP926A,和,ARP1834,安全性评估过程示意图如下,：,,新概念：,,●更加正式地说明共因分析：,,→区域安全性分析；,,→特定风险分析；,,→共模分析。

●飞机级功能危害性评估●初步系统安全性评估：提供一个在设计过程的早期阶段,,更加系统化地评估安全性的方法，并且减少了研发计划即将结,,束时的惊人之事●故障树分析,,→基于每飞行小时的故障条件概率的计算→对于特定型别的飞机，用计算概率的结果除以平均飞行,,时间来确定每飞行小时的概率→,解决潜在故障的曝露时间和受监控故障的其它情况,,（对带有监控器故障的考虑）ARP4761,代表多数人的观点其中的技术尚没有制造商全,,部采用，需随时间逐步执行如果满足了安全性分析的目的，在对有关内容进行附加,,分析后，旧的方法也是可接受的5,）,DO-178B,（机载系统和设备的软件审定考虑）,,随着机载电子系统复杂性的日益增加，为防止研制风险的,,增大，工业界需要根据成熟的技术制定一个对软件件研制过程,,进行控制的文件，以保证软件设计的潜在错误能够被有效且可,,靠地排除设计实践表明，如果不对软件开发过程进行控制，,,则很难判定开发出的软件是否满足系统或设备的需求所以，,,软件的关键在于对开发过程的控制这就是,1992,年颁发,DO-178B,,出台的重要背景安装在机载系统或设备中的软件是机载系统或设备中的一,,部分，软件不是独立存在的，它与系统或设备紧密相关。

因,,此，软件审定基础和软件设计保证等级是基于系统功能危险等,,级和系统安全性评估确立的DO-178B,经历了,DO-178,和,DO-178A,的演变：,,●,1980,年颁发的,DO-178,对适航审定没有太多有用的信息；,,●,1985,年颁发的,DO-178A,要好一些，加强了软件工程的控制,,原则，阐述了软件过程的验证和软件对规章符合性的验证；,,●,1992,年颁发了,DO-178B,，其本质上是一个指引你做什么的,,文件，而不是要求你如何做的文件，并且其不再阐述软件对规,,章符合性的验证在,DO-178B,中，根据目标的符合性和设计保证等级来确定软,,件的开发过程首先制定软件开发计划，其中涉及根据软件,DAL,,进行从需求确定到设计，再到编码，再到整合的一系列过程软件开发计划需要用一系列软件生命周期资料进行证明DO-,,178B,要求的软件生命周期资料有,20,份之多一般来讲，软件等,,级越高，所付出的开发成本越高但是不同软件等级的成本差,,异并非想象的那样悬殊，这视情况而定DO-178B,的作用之一是确定软件开发保证水平在确定软件,,开发保证水平期间遇到,DO-178B,和,ARP4754,之间存在差异的情况,,下，如果需要对系统构架有更多的信任，则可以使用,ARP4754,附,,录,D,中的指导，但必须将正当理由提供给局方，以获得其认可。

6,）,DO-254,（机载电子硬件的设计保证指南）,,随着机载电子系统复杂性的日益增加，为防止研制风险,,的增大，工业界需要根据成熟的技术制定一个复杂电子硬件,,研制过程的控制文件，给出复杂硬件（包括可编程逻辑器,,件）设计保证过程的指南，以保证硬件设计的潜在错误能够,,被有效且可靠地排除，防止系统研制风险的增大这就是,DO-,,254,出台的重要背景定制的微编码装置,”,（例如：专用集成电路、外场可编程,,门列阵和可编程逻辑器件等）常常像以微处理器为基础的系,,统控制软件一样复杂因此需要用一个结构化的设计方法来,,满足适当的功能和安全性需求，以确保这些器件具有并满足,,相应设计保证等级（,DAL,）要求DO-254,提供了这样的方法DO-254,的特点是：,,●定义硬件设计保证等级；,,●为满足,DAL,需求而进行的设计保证活动提供指导值得,,注意的是，为满足,DAL,需求而进行的活动比如何进行细节设计,,更为重要；,,●对,DAL,过程进行选择时，允许存在灵活性，以使新的过,,程技术变得更为有效；,,●该文件中的指南并非唯一的设计保证方法，其它的方,,法或程序在进行评估并得到适航局方认可后也可以采用，且,,该评估应建立在对适用规章的符合性上。

●以电子硬件实施的系统功能为基础自上而下地进行观,,察，而不是以实施功能所用的具体硬件为基础自下而上地观,,察自上而下的方法在关注系统和硬件设计决策造成的设计,,错误方面及其有效验证过程方面更加有效硬件的设计保证,,过程始于系统设计，其与系统功能的分配和系统级研制保证,,级别（,DAL,）存在一一的对应关系从一个装置的硬件层级上讲，,DO-254,对复杂航电硬件的设,,计保证和设计过程定义为：,,●设计保证：所有用于验证的那些计划的和系统的措施，,,并且这些措施既要在一个足够的可信度水平水平上进行，也要,,能够找出并纠正设计错误，以使硬件满足适用的审定基础●设计过程：用确定需求，概念设计，详细设计，执行,,（制造及其控制过程），产品交付等程序产生一个,“,硬件项目,”,的,,过程硬件项目,”,可以是一个航空公司可更换部件（,LRU,）、一个,,电路板组件或一个部件设计过程可以用在任何层级的硬件项,,目上，例如,LRU,、电路板组件或器件、专用集成电路和可编程逻,,辑器件等DO-254,发布于,2000,年，并且,FAA,在,2005,年予以认可由于经,,历的时间较短，业界普遍感到作为指导性材料的,DO-254,缺乏足,,够使用经验的支持，并且其中提出的理念较新，而对提出的有,,关目标没有相应的执行方法和程序，因此使用有些困难。

即便,,如此，作为当今的发展方向，尤其在新飞机的研制和审定过程,,中，,DO-254,作为基本要求文件已经是毋庸质疑的事实。