适航条款解读：25.1309 设备、系统及安装

01 25.1309背景介绍

CCAR/FAR/CS 25.1309 条款，是整个飞机和系统安全性的基础！

25.1309 对飞机系统和设备的安装、不同影响等级失效状态的发生概率、故障告警等提出了通用要求。

自 1965 年至今，25.1309 经过了多轮修订。它强化了 “失效-安全”（Fail-Safe）的设计理念，提出了以概率方式定义可接受的安全水平的方法。

随着飞机和系统复杂度的不断提高，由 25.1309 发展出的结构化的安全性分析或评估技术（FHA/FTA/CMA 等）和研制保证技术，在新研飞机的设计和审定过程中得到了广泛应用。

本文结合 CAAC、FAA、EASA 等的工作成果，对 25.1309 条款进行解读。

为便于理解，这里对本文用到的缩略语进行说明。

02 现行CCAR 25.1309是什么？

第25.1309 设备、系统及安装(CCAR25 R4)

(a) 凡航空器适航标准对其功能有要求的设备、系统及安装，其设计必须保证在各种可预期的运行条件下能完成预定功能。
(b) 飞机系统与有关部件的设计，在单独考虑以及与其它系统一同考虑的情况下，必须符合下列规定：
(1) 发生任何妨碍飞机继续安全飞行与着陆的失效状态的概率为极不可能；
(2) 发生任何降低飞机能力或机组处理不利运行条件能力的其它失效状态的概率为不可能。
(c) 必须提供警告信息，向机组指出系统的不安全工作情况并能使机组采取适当的纠正动作。系统、控制器件和有关的监控与警告装置的设计必须尽量减少可能增加危险的机组失误。
(d) 必须通过分析，必要时通过适当的地面、飞行或模拟器试验，来表明符合本条（b）的规定。这种分析必须考虑下列情况：
(1) 可能的失效模式，包括外界原因造成的故障和损坏；
(2) 多重失效和失效未被检测出的概率；
(3) 在各个飞行阶段和各种运行条件下，对飞机和乘员造成的后果；
(4) 对机组的警告信号，所需的纠正动作，以及对故障的检测能力。
(e) 在表明电气系统和设备的设计与安装符合本条(a)和(b)的规定时，必须考虑临界的环境条件。中国民用航空规章规定具备的或要求使用的发电、配电和用电设备，在可预期的环境条件下能否连续安全使用，可由环境试验、设计分析或参考其它飞机已有的类似使用经验来表明，但适航当局认可的技术标准中含有环境试验程序的设备除外。
(f) 必须按照25.1709 条的要求对电气线路互联系统(EWIS)进行评估。

03 现行CCAR/FAR/CS 25.1309之间的差异

CCAR 25.1309 与 FAR 25.1309 内容一致，没有差别。

而这两者与 CS 25.1309 差异较大，主要原因是：

1. 1. 2003 年，FAA 航空法规咨询委员会（ARAC），发布了针对 25.1309 的修正提案；

2. 2. 但 FAA 暂未按照此提案更新 FAR 25.1309。而 EASA 的动作比较迅速，现行 CS 25.1309 及符合性材料 AMC 25.1309 已反映了 ARAC 的更改建议；

3. 3. 因此，即使文字上有细微差别，但可以认为 CCAR 25.1309 与 FAR 25.1309 完全一致，而 ARAC 25.1309 修正提案与 CS 25.1309 基本相同。

经过对比，可知 ARAC 和 CS 25.1309，相比 CCAR 和 FAR 25.1309，主要更改有：

1. 1. 增加了综述部分，扩大了现有条款的适用范围；

2. 2. 针对非关键的系统和设备，要求其不能影响关键系统和设备的运行；

3. 3. 细化了不同等级失效状态的概率要求；

4. 4. 针对 “不安全工作情况”，要求除了提供告警，还要求提供系统信息给飞行机组；

5. 5. 删除了 (d) 款、(e) 款中的符合性方法，并放在对应的咨询材料或符合性方法中。

04 FAA ARAC关于1309的研究

1996 年，FAA 要求航空法规咨询委员会（ARAC），对 FAR/JAR 25.1309 及 AC 25.1309-1A（1988年发布）等材料，进行评估和协调。

ARAC 将此任务分配给了 “系统设计与分析协调工作小组”（SDAHWG）。

2002 年，ARAC 致信 FAA，表示 SDAHWG 已经完成任务，并提交了对 25.1309 的修正提案和相关咨询材料（AC 25.1309-1B Draft）。

此修正提案对 25.1309 条款进行了完善，协调了主要适航当局的条款差异，且不会显著增加申请人的符合性验证工作。

2003 年，FAA 在《联邦注册报》上刊登了关于 25.1309 条拟改动的通告。但截止目前（2018 年 5 月），FAA 尚未正式采纳此建议，因此 FAR 25.1309 暂未按照此提案进行更新。

目前 FAA 咨询材料 AC 25.1309-1B 仍是草稿版（Arsenal Draft）。

05 FAA修订提案是什么？

第25.1309 设备、系统及安装(FAA ARAC)

除 25 部的特定设计要求，本条款适用于飞机上安装的所有系统和设备。尽管本条款不适用于 B 分部中性能和飞行品质的要求以及 C、D 分部中的结构要求，但却适用于为符合这些要求所依赖的系统。由 25.671(c)(3) 所覆盖的卡阻不在本条 (b)(1)(ii)款所覆盖范围，由 25.735(b)(1) 所覆盖的单个失效不在本条 (b) 款所覆盖范围，由 25.810(a)(1)(v)和 25.812 所覆盖的失效影响不在本条 (b) 款所覆盖范围。本条 (b)款适用于 25.901(c)所覆盖的动力装置的安装。
(a) 飞机的设备和系统必须设计及安装成：
(1) 那些型号合格审定或运行规则所要求的，或者其功能不正常将降低安全性的系统或设备能在飞机运行和环境条件下执行预定功能；
(2) 其它设备和系统自身应不是危险源，且不会对飞机或其乘员，或者对(a)(1)中所覆盖系统或设备的正常工作造成不利的安全性影响。
(b) 飞机系统与有关部件的设计，在单独考虑以及与其它系统一同考虑的情况下，必须被设计和安装成：
(1) 每个灾难性的失效状态
(i) 是极不可能的；
(ii) 不会因单个失效而引起；
(2) 每个危险的失效状态是极小的；
(3) 每个重大的失效状态是微小的。
(c) 必须提供机组有关系统不安全工作情况的信息，并能使机组采取适当的纠正动作。如果需要立即采取纠正动作的，则必须提供警告指示。包括指示和通告在内的系统和控制器件的设计，必须尽量减少可能导致额外危险的机组失误。

06 ARAC 25.1309提案解读

那么，ARAC 建议的提案以及 CS 25.1309，与现行 CCAR/FAR 25.1309 有何差异？

我们逐条对比现行规章 CCAR/FAR 25.1309，可知具体更改如下：

25.1309 综述：新增。

1. 1. 扩大了现有条款的适用范围，从之前的“航空器适航标准对其功能有要求的设备、系统及安装”，扩大到所有飞机上的系统和设备。

2. 2. 明确了不需满足 25.1309 的特定几类失效（已被其他条款覆盖）。

25.1309(a)：修订。

1. 1. 25.1309(a)要求关键系统和设备，在 “飞机运行和环境条件” 下，能执行预定功能。

2. 2. 这里的 “飞机运行和环境条件”，不仅包括飞机运行可能遇到的各种温度、高度、速度、HIRF/Lighting、气象（紊流/降雨）等外部环境条件，还包括过载、液体泄漏等飞机内部环境条件。

3. 3. 这里的 “系统和设备” 可以分为两类：

• 一类是可能导致 I、II、III、IV 类安全性影响，或规章要求的系统和设备。25.1309(a)(1)要求在各类条件下，这些系统和设备能完成预期功能；

• 另一类是其他非关键的系统和设备（例如客舱娱乐系统），虽然不要求其能完成预期功能，但其失效不能影响第一类系统和设备的正常工作。

25.1309(b)：修订。

1. 1. 25.1309(b) 对灾难级、危险级、较大的失效状态提出了概率要求，且要求单个失效不能导致飞机出现灾难级影响。

2. 2. 针对安全性影响程度不同的失效状态，其概率要求不同。随着失效状态影响程度的加深，其发生概率要求越来越小。

   在评估飞机和系统设计的可接受程度时，上图建立了合理的定性概率要求，体现了 25.1309(b) 条款的核心要求，也反映了相关咨询材料的精髓。

3. 3. 从 1E-6/FH 的飞机事故率，到 1E-7/FH 的系统原因，再到 1E-9/FH 的单个灾难级失效状态发生率，AC 25.1309-1B (Arsenal Draft) 和 AMC 25.1309，细化了不同等级失效状态的定量概率要求。

   在工程应用中，具体失效状态影响等级的划分与概率要求，详见下表。

注：《民用飞机系统安全性要求，源自何方？》一文有详细论述，欢迎点击。

25.1309(c)：修订。

1. 1. 25.1309(c) 要求将系统不安全工作情况的信息提供给机组，这里的 “不安全工作情况”，指如果不被探测或机组没有采取处理措施，将影响飞机安全的系统或设备失效情况。

2. 2. CCAR/FAR 25.1309(c) 仅要求为飞行机组提供警告，而 ARAC/CS 25.1309(c) 还要求将 “不安全工作情况” 的信息提供给机组。

3. 3. 特别的，针对一些特殊的飞行阶段（例如起飞、着陆阶段），如果系统失效不会显著影响飞机安全，且通告的失效可能会带来更大影响，那么此阶段的告警指示可以被抑制。

4. 4. 相关告警的分类和具体要求，可参见 25.1322 及相关咨询材料。

25.1309(d)：删除。

1. 1. 现行 CCAR/FAR 25.1309(d) 提供了针对 25.1309(b) 的符合性方法，要求通过分析、试验的方法表明符合性。分析时需考虑可能的失效模式、对飞机和乘员的影响，以及机组告警和纠正动作。

2. 2. ARAC/CS 25.1309 已删除了原 (d) 条款的要求，主要原因是它虽然提供了符合性方法，但不完整。FAA 选择通过发布咨询材料来提供完整的符合性方法。详见 AC 25.1309-1B (Arsenal Draft)。

25.1309(e)：删除。

1. 1. 现行 CCAR/FAR 25.1309(e) 提供了针对 25.1309(a)、(b) 的符合性方法，要求系统和设备的设计与安装，必须考虑临界环境条件。

2. 2. ARAC/CS 25.1309 已删除了原 (e) 条款的要求，原因同上。

25.1309(f)：删除。

1. 1. 现行 CCAR/FAR/CS 25.1309 要求必须按照 25.1709 的要求对电气线路互联系统（EWIS）进行评估。在表明对本条的符合性时，可以直接引用 25.1709 的验证结果。

2. 2. ARAC 25.1309 删除了此要求，而 CS 仍然保留。考虑到 25.1309(f) 指向了 25.1709，而现行规章中 25.1709 已有相关要求，因此可以认为要求没有差别。

07 建议的符合性方法有哪些？

根据目前的工业实践，针对 25.1309，通常可采用的符合性方法包括：

• 说明性文件（MOC1）

  说明飞机和系统，将按照特定的功能、性能、接口、安全性、环境等要求进行设计，能够在预期的运行和环境条件下完成预定功能。相应的告警和显示设计，能够将不安全工作情况提供给机组。并运用研制保证技术提高研制过程的置信度。

• 分析/计算（MOC2）

  开展载荷、强度、性能等分析和计算，并支持安全性评估。

• 安全性评估（MOC3）

  通过飞机和系统安全性评估过程和分析方法，表明失效状态的正确性和完整性。特定失效的发生满足概率要求，不存在单个故障导致灾难级影响。

  安全性评估要求立即采取纠正措施的故障，应提供警告级别的 EICAS 信息。

• 试验室试验（MOC4）/地面试验（MOC5）/飞行试验（MOC6）

  通过功能检查试验和故障试验，表明关键系统和设备能实现预期功能，且所有系统和设备的失效不会对关键系统和设备产生干扰。

  通过故障试验表明机组可以获取告警和信息，并能采取纠正措施。此外，试验可进一步表明安全性分析过程的正确性，提高其置信度。

• 模拟器试验（MOC8）

  通过故障情况下的模拟器试验，对失效状态的影响等级进行确认。

  此外，通过故障试验，表明机组可以获取告警和信息，并能采取纠正措施。

• 设备鉴定（MOC9）

  通过设备鉴定试验，表明其在温度、温度变化、湿热、冲击和坠撞、电磁等临界的环境条件下，可执行预定功能。

特别的，为了表明对 25.1309(b) 的符合性，必须考虑需求、设计和实现中的研制差错：

• 对于简单系统和设备，我们可以通过彻底的试验、检查、分析，对研制差错进行识别和纠正；

• 而对于高度复杂系统和设备（尤其是其采用了复杂电子硬件和软件），由于彻底的试验、检查、分析是无法实现的，需要引入研制保证的方法，表明研制差错已被减缓到可接受程度，增强信心。

目前看来，SAE ARP4754A 建议的研制保证方法，已被各主要适航当局所接受。

按照 ARP4754A 建议的系统化研制流程，开展复杂系统的研制，为近年新研飞机表明符合性，提供了一种可行的方案。

注：关于 25.1309 和 4754A 之间的关系，建议阅读 Amy 老师原创文章《适航和4754A是什么关系？》
另，ARP4754A 明年可能发布 B版，我们拭目以待！

好啦，对 25.1309 的解读就是这样。水平有限，如有错误或遗漏，请批评指正！谢谢！

相关文章，点击阅读：

• 民机系统安全性要求，源自何方？

• 适航条款解读：25.671 操纵系统 总则

• 如何开展飞机和系统级 "功能危险性评估"（FHA）？
  

• 如何开展飞机系统级 "初步系统安全性评估"（PSSA）？
  

• 如何开展民用飞机 "故障树分析"（FTA）？

• 如何开展民用飞机 "系统安全性评估"（SSA）？

• SAE ARP4754A 初探与入门！
  

附录：FAR/CS 25.1309 原文

这里附上现行规章中 FAR 25.1309 和 CS 25.1309 的英文原文，供大家参考。

FAR 25.1309 Equipment, systems, and installations.

(a) The equipment, systems, and installations whose functioning is required by this subchapter, must be designed to ensure that they perform their intended functions under any foreseeable operating condition.

(b) The airplane systems and associated components, considered separately and in relation to other systems, must be designed so that—

(1) The occurrence of any failure condition which would prevent the continued safe flight and landing of the airplane is extremely improbable, and

(2) The occurrence of any other failure conditions which would reduce the capability of the airplane or the ability of the crew to cope with adverse operating conditions is improbable.

(c) Warning information must be provided to alert the crew to unsafe system operating conditions, and to enable them to take appropriate corrective action. Systems, controls, and associated monitoring and warning means must be designed to minimize crew errors which could create additional hazards.

(d) Compliance with the requirements of paragraph (b) of this section must be shown by analysis, and where necessary, by appropriate ground, flight, or simulator tests. The analysis must consider—

(1) Possible modes of failure, including malfunctions and damage from external sources.

(2) The probability of multiple failures and undetected failures.

(3) The resulting effects on the airplane and occupants, considering the stage of flight and operating conditions, and

(4) The crew warning cues, corrective action required, and the capability of detecting faults.

(e) In showing compliance with paragraphs (a) and (b) of this section with regard to the electrical system and equipment design and installation, critical environmental conditions must be considered. For electrical generation, distribution, and utilization equipment required by or used in complying with this chapter, except equipment covered by Technical Standard Orders containing environmental test procedures, the ability to provide continuous, safe service under foreseeable environmental conditions may be shown by environmental tests, design analysis, or reference to previous comparable service experience on other aircraft.

(f) EWIS must be assessed in accordance with the requirements of §25.1709.

CS 25.1309 Equipment, systems and installations

The requirements of this paragraph, except as identified below, are applicable, in addition to specific design requirements of CS-25, to any equipment or system as installed in the aeroplane. Although this paragraph does not apply to the performance and flight characteristic requirements of Subpart B and the structural requirements of Subparts C and D, it does apply to any system on which compliance with any of those requirements is dependent. Certain single failures or jams covered by CS 25.671(c)(1) and CS 25.671(c)(3) are excepted from the requirements of CS 25.1309(b)(1)(ii). Certain single failures covered by CS 25.735(b) are excepted from the requirements of CS 25.1309(b). The failure effects covered by CS 25.810(a)(1)(v) and CS 25.812 are excepted from the requirements of CS 25.1309(b). The requirements of CS 25.1309(b) apply to powerplant installations as specified in CS 25.901(c).

(a) The aeroplane equipment and systems must be designed and installed so that:

(1) Those required for type certification or by operating rules, or whose improper functioning would reduce safety, perform as intended under the aeroplane operating and environmental conditions.

(2) Other equipment and systems are not a source of danger in themselves and do not adversely affect the proper functioning of those covered by sub-paragraph (a)(1) of this paragraph.

(b) The aeroplane systems and associated components, considered separately and in relation to other systems, must be designed so that -

(1) Any catastrophic failure condition

(i) is extremely improbable; and

(ii) does not result from a single failure; and

(2) Any hazardous failure condition is extremely remote; and

(3) Any major failure condition is remote.

(c) Information concerning unsafe system operating conditions must be provided to the crew to enable them to take appropriate corrective action. A warning indication must be provided if immediate corrective action is required. Systems and controls, including indications and annunciations must be designed to minimise crew errors, which could create additional hazards.

(d) Electrical wiring interconnection systems must be assessed in accordance with the requirements of CS 25.1709.