第 25.1709 条 系统安全：EWIS.

       §25.1705 要求申请人对 EWIS 进行系统安全性评估。安全评估必须考虑 EWIS的物理和功能失效对于飞机安全性的影响。基于安全性评估，每个被认为是危险性EWIS 失效必须是极度不可能的。每个被认为是灾难性 EWIS 失效必须表明是极不可能的，且不来源于单个失效。

       §25.1309 是现行的系统安全评估要求的法规。但是现行的§25.1309 的实际分析类型不会涉及考虑关于所有的 EWIS 失效对飞机级安全性的影响。这是因为现行的§25.1309（a）仅包括“本条所要求”的系统和设备，有时会忽略非必须系统的布线。现行的§25.1309（b）&（d）的安全性分析要求也没有应用于与飞机系统相关的布线，且应当适用相同的适航规章要求。当这种情况发生时，没有证据证明他们一致的进行了应用。对于非必要的各种电子设备没有被要求，例如 IFE 系统。传统上对于这些非必要的系统想法是：因为它们是非必要的，它们提供的功能对于飞机安全是不必要的，所以它们的失效也不会影响飞机的安全。由于一个电气导线的失效可以导致一个危险甚至是灾难的结果，无论系统是否与安全有关，如果导线或其他 EWIS部件是与自动着陆系统或者 IFE 系统相关的，因此那不是一个有效的假设，导线的失效可以引起物理和功能上的严重的损伤。例如由导线短路产生的电弧切断了飞行控制电缆。

        航空规章制定咨询委员会（ARAC），以它的系统设计和分析协调工作组的工作为基础，已经建议 FAA 去修改现行的§25.1309。我们正在评估这些建议。（这些建议的副本放在摘要中以供参考。）我们考虑了 ARAC 的建议来制定§25.1705。

        我们在制定§25.1705 时考虑的因素之一是， ARAC 建议对 25.1309 的修改将从不得不符合的要求中豁免某些飞机系统，还包括与这些系统相关的 EWIS 部件。特别是，ARAC 建议从§25.1309中豁免§25.671（c）（3）包含的飞行控制面和飞行员操作的人为干扰。ARAC 还建议从§25.735（b）中豁免§25.735（b）（1）覆盖的单个失效和§§25.810（a）（1）（v）以及 25.812 覆盖的失效影响。这就涉及了与那些系统相关联的导线或者其他 EWIS 部件。在该部分，§25.1705 会确保这些与系统相关联EWIS 的覆盖。

        有许多 EWIS 设计不充分的例子，后来证明其是不安全的。采纳建议的§25.1705将要求全面考虑影响飞机级安全的所有 EWIS 失效的情况，因此有助于将来那些不安全的设计不被重复。现行的§25.1309 没有提供这种保证。

        从 1998 年来，FAA 已经颁布了超过 100 种导线相关的适航指令（AD）。其中超过 50份指令是在 1999 年以后颁布的，纠正了 MD-11 的布线缺陷。所有运输类飞机制造商对交付的飞机都已经进行了强制性纠正措施，来改正与安全相关的布线问题。

        同样地，FAA颁布了一些适航指令来改正由于交付后改型引起的不安全的EWIS安装。例如：之前已经谈论过的，安装在瑞士航空公司的 MD-11 飞机上的 IFE 系统，曾经在新斯科舍的海岸发生坠毁。那个修改是典型的没有考虑 EWIS 失效可能会对飞机安全的影响。飞机修改时，使用补充的型号认证过程来增加 IFE 系统。那个系统包括大约 750 个独立的电子箱，安装时没有依据§25.1309进行充分的安全性评估。尽管 IFE 系统相对来说耗电量较大，但它的部件和导线穿过整个客舱，或在下面，或在上面。但是申请人没有彻底明白：再相同线束内当导线来源于其他飞机系统时走向导线系统的安全性含义。因而对多个基础系统出现了共因失效。很多例子显示，申请人没有识别哪些飞机系统与IFE 系统中被修改的导线相关。采纳建议的§25.1705，在飞机上设计和安装 IFE 系统时，把建议的 H部分作为其适航认证的基础，将会服从一个更严格的安全评估使它能识别任何不合适的路径，并强制进行设计改变。

        很多其他型号设计修改的例子提供证据证明，申请人不能一直考虑到安装一个新的或者修改已有系统对飞机安全的影响。修改者继续敷设需要修改的 EWIS，可能是邻近的或者是没有明确机械保护的其他飞机系统的布线。现行的§25.1309 和ARAC 所建议的修改没有包括充分的要求来确保那些修改能保持条例要求的安全水平。

        因此，需要一个更综合更具体的 EWIS 安全评估条例。建议的§25.1705 的目的是对专门针对 EWIS 和与之修改的安全性问题。而且通过使用§25.1309 的概念，对飞机布线和及其相关的部件提供一个更彻底的和结构化分析的一致性使用。

        布线的集成特性和失效的潜在严重性，需要比传统的现在用的或 ARAC 建议的更结构化的安全性分析方法。与用传统的分析方法明确的失效相比，还有更多的失效模式需要明确（例如：发生在没有断路器跳闸情况下的电弧事件，引起线束的完全失效和失火，或者线束失效导致结构的损伤）。现行的§25.1309 系统安全评估具体的评估了导线失效在系统功能上的影响。但是它们没有考虑物理失效是 EWIS 内其他失效的原因之一。传统的评估关注外部因素像转子爆裂，闪电，和液压管路破裂等，但不关注内部因素像单根导线绝缘损伤或电弧事件，是 EWIS 支持的功能失效的原因。符合建议的§25.1705 要求明确飞机级失效模式。这就意味着需要分析 EWIS失效，来确定他们对飞机安全飞的影响。

       建议的规章在语言上要与§25.1309 相一致，且能与§25.1309 协力执行在飞机系统上的评估。这就要求危险失效概率是极度不可能的，灾难性失效情况的概率极不可能，且不由单一的失效引起。EWIS 失效情况分级的相关术语和意义与 2002 年八月 ARAC 的建议一致。工作组在 NPRM 公告的摘要中讨论提出了建议的 AC，名为“系统的设计和分析”。下面的表格指出和解释了失效情况的术语。

       §25.1309 的传统方法不能识别 EWIS 的失效，通过提升安全评估的质量使§25.1705 在评估方面对§ 25.1309 做出补充。用以表明建议的条例要求的分析，是基于评估 EWIS 安全性的定性方法。与之相对的是概率为基础的数值定量分析法。它的目的不仅仅是检查每一个具体的导线和与之相关的其他导线，而且要确保飞机上没有不可接受的危险。这不排除这种可能性，这种分析能够对可能导致灾难性状态的导线或部件的失效情况做出识别，设计缓解程序可能导致在相关线束内对每个导线做出完整分析。

       这种符合建议的§25.1705 的分析类型，非常依赖 EWIS 的设计者或者修改者的知识基础。如前面的叙述，对系统、功能和线束内或周围线束支持的导线有彻底的了解，是重要的。在型号认证后改型时，如果没有这方面的信息，即它不可能确定修改的系统不产生危险的或灾难性的事件。如果这种信息修改者不能获得，那么修改系统时就缺乏这些信息。这典型的意味着增加导线时其定向应与现在的布线独立。

       本备注附录 E 中的流程图 1 和流程图 2，图示了符合建议的§25.1705 所需的分析类型。考虑了两个单独的例子。流程图 1 适用位于型号认证前的工作，也适用于当修改者有所有必要的数据来执行分析时的型号认证和补充型号认证。如果分析工作根据流程图进行，适用的数据必须包括EWIS(修改者考虑的)支持的系统和与之相关的功能的识别。最初的飞机制造商有大部分这样的信息且通常满足流程图 1 中的方法。但是，当制造商修改一架以前从另一架改良来的飞机时，也可能不是一直都是这种情况。

        流程图 2 所描绘的分析适用于后期型号认证的修改，其不能识别包含在将修改的 EWIS内的系统与功能。

        在两种分析中，EWIS 功能和物理失效是明确的。在过去系统安全分析中物理的一部分会有所忽视。建议的法规要求申请者能识别出任何 EWIS 物理失效，它可能引起共同定位的 EWIS、其他周围系统或结构的损伤，或对人造成伤害。一旦那些物理失效被识别，他们的严重性将被确定，并且设计缓解策略将对其作出改进以便使用。这个进程会一直重复直到所有已知的不安全特征都被排除。两个流程图中识别过程的不同之处是，在流程图 1 中所有的系统和相关的功能中的导线都是在已知线束中。在流程图 2 中，新的导线在已有导线之外独立敷设。其他的分析是相同的。

        总的来说，所需的新的法规是由 FAA 和其他的政府性监管机构的部分经验和使用经验总结出来的。很多与导线相关的事件和事故已经发生。型号认证后的更改已经在导线安全性方面发生了问题。飞机制造商交付的飞机就有布线问题，或者在后来的使用中也发生这样的问题，这些证据导致采取强制纠正措施。采用了这个提议将确保类似问题将会充分考虑和记录，作为型号认证进程的一部分。

第 25.1709 条 系统隔离：EWIS.

       §25.1709 要求申请人设计 EWIS 时要满足合适的隔离要求，使飞机或系统受危险影响的可能性最小。

        飞机的安全运行依靠飞机 EWIS 提供的电力和功能。如果一个 EWIS 失效发生了，那么失效的 EWIS 与其他 EWIS 之间或者是飞机系统之间的隔离扮演了一个重要的角色，它能确保任何失效的危险影响降低到可接受的水平。因此，设计和安装布线系统时，与那些和导线互相影响且可能会产生危险影响的系统之间有足够的隔离是至关重要的。当前，25 部认证规则没有充分考虑布线系统的隔离问题。当前的规章对系统隔离有要求的通常是§25.1353（a）、（b）和（c），但是使用经验表明，这些要求用来认证布线系统还不是很充足。这是由于他们缺乏对涉及的布线系统及导线要隔离的系统的特定明确要求。建议的规章纠正了此不充分性。方法是要求规章适用于飞机上每个 EWIS，已知的有潜在失效情况的飞机系统规定了特定的隔离要求。在建议的规章中术语“危险状态”在上下文中与§25.1705 的意义不同。于引起某种失效情况的失效在需要数值的失效率时，§25.1705 使用术语“危险性的”和“灾难性的”。危险性失效情况和灾难性失效情况被定义在§25.1705 的讨论中。在§25.1709 中，术语危险情况意味着申请人必须执行一个关于安装的 EWIS 定性的设计评估。这个评估涉及使用工程和制造的判断以及评估相关的使用历史来确定 EWIS、任何其他系统类型，或者任何结构部件的失效是否会影响飞机持续安全运行能力。如果飞机级功能性危险评估识别的失效可能会影响飞机的安全运行，那么数值概率评估一直是§25.1705 的要求。

        为了说明§25.1709 要求的评估类型，考虑下列关于使用线束卡箍的简单例子。卡箍用于把线束固定在结构上来支撑线束，并且使线束按照预定的路径从一个位置到另一个位置。飞机制造商应当使用包含§25.1709 建议的咨询材料的标准，确定了离液压管路 2 英寸的隔离要求。制造商进一步确定卡箍间的间隔是 10 英寸。然而有一些区域单个卡箍失效可能造成潜在危险。这是因为这些问题区域是一个高震动，高温度，且暴露于水分中的区域。所以在这些特定区域的卡箍暴露于严酷的环境条件下而可能导致其性能加速退化。制造商认为在这个区域每 10 英寸仅使用单卡箍不能充分排除危险性事件。制造商规定在该区域每 10 英寸使用双卡箍。

        如果申请者使用概率讨论补充符合性证明的设计评估，§25.1709 的要求不排除使用部件失效概率。如果申请者不能充分的证明仅仅通过使用定性设计评估来防止危险情况发生，也不能妨碍FAA 要求进行这样的分析。

        在建议的规章中，术语“隔离”是一个物理距离方法。隔离目的是防止在单个线束中，在两个或更多线束间，或者在一个电气线束和一个非电气系统或结构间产生电弧危险。在某些情况下，建议将允许使用隔离板或其它方法表明至少等效满足所需要的物理隔离。但是，首选的是距离隔离，因为根据使用经验表明，使用诸如导管的隔离板可能会引起导线损伤或导致维修危险。在一些情况下，线束套管用来提供隔离，尽管套管本身容易受到和导线绝缘一样类型的损伤。

        确定所需的物理隔离距离大小是最基本的。但是提出的规则没有强制规定隔离距离因为每个系统设计和飞机模型可能是独一无二的，而且制造商有不同的设计标准和安装工艺。相反，它要求选择的隔离是足够的，以至于一个 EWIS 部件失效不会造成危险的情况。在确定隔离距离时，下列因素必须要考虑：

      (1) EWIS 和相邻 EWIS 之间传递信号的系统功能的电源总功率、电气特性和失效情况严重性。 

      (2) 沿导线路径的安装设计特征，包括数量、类型以及支撑装置的位置。

      (3) 由线束制造公差和其他线束制作波动所得到的最大导线松弛度。

      (4) 导线安装和相邻导线的可能波动，包括导线支撑装置位置及导线可能松弛量。

      (5) 预期的使用环境，包括可能的偏转，相对可能移动的距离和一个导线支撑或其他隔离方式失效的影响。

      (6) 由飞机制造商的标准布线规范手册和§25.1529 及§25.1739 要求的 ICA 的定义的维修方法。 

      (7) 在正常或故障条件下，相邻导线/线束产生的最大温度。