核心要点

• ASTM F3309为航空从业者提出了一套简要的、定性的小型飞机安全性分析方法。

• 被分析评估的每一种失效模式，其发生概率需低于其被要求的最低允许发生概率。

• 可忽略的低概率失效事件只需要通过定性评估来证明故障的可能性，而严重的故障事件则需要额外的定性安全评估。

飞机的安全要求因飞机的大小而异。一般来说，大型飞机有更严格的要求，因为大型飞机的灾难性故障可能比载客量少得多的小型飞机造成更大的生命损失。ASTM F3309提供了一种简化的定性方法来评估小型飞机的安全性。

ASTM F3309涵盖了小型飞机安全的简化定性评估流程;特别是针对所谓一级和二级飞机。一级飞机可容纳0至1名乘客，二级飞机可容纳2至6名乘客。主要目标是确保每个潜在的故障条件都符合允许的发生概率，并且需要分析，系统的安装过程不会产生额外的风险。

下表确定了故障条件的严重程度以及与每种故障条件相关联的所需最小概率。这是ASTM F3309的基础;所有的分析方法都要对本表各项目进行验证。

验证这些标准的一种常用方法是详细的FHA(功能性危险评估)(更多信息可以在SAE ARP 4761中找到)，但本文主要关注ASTM F3309中讨论的更简单的安全分析方法。

进行适航审定的小型飞机在安装所有系统和设备之前必须进行系统设计评审系统安装评审，设计材料需要获得权威机构的批准。

ASTM F 3309将设计过程评估定义为:对系统设计的完整性和安全性的定性评估。“评估应以简单易懂的方式阐述被评估设计的完整性和安全性，包括讨论元件选择/鉴定、系统独立性、系统分离和冗余。”支持评估的材料可能包括系统设计文件，如架构图、框图和详细的FHA表。

ASTM F 3309将安装评估定义为:对系统安装完整性和安全性的定性评估。该评估对象包括安装图样、设备安装要求和支持系统安装安全性论证的相关分析。系统安装评估必须细致分析在安装和维护期间该系统与其他系统之间的潜在干扰，并分析组件之间的物理和功能分离。必须考虑潜在的系统故障，以及它如何根据安装方式或位置影响附近系统的独立性。例如，工程人员必须认识到电弧事件对附近功能独立的部件造成物理或电气损伤的可能性。

ASTM F3309推荐的小飞机安全性分析流程图

危险和灾难性的故障情况是需要考虑的最严重的情况，因为它们有可能导致机毁人亡。对于分析中的每一种严重失效情况，所使用的方法必须确定上述失效事件的概率满足相应的要求。如上表所述，危险故障条件必须被证明是极其遥远的，而灾难性故障必须被证明是极其不可能的。(这些方法也可用于评估2级飞机远程发生的主要故障情况)。

在适用的情况下，小型飞机上某一特定系统的安全性可通过相似论证加以证实。相似论证引用了先前批准的设计/安装案例，并表明所提议的设计在安全性和故障概率方面足够相似。如果之前的一架类似的飞机已经被证明有非常不可能发生灾难性故障的可能性，那么可以认为，正在分析的设计方案也有同样的可能性。

对于新的或独特的飞机设计，相似性分析可能不适用。这种情况需要对系统的潜在故障条件进行进一步的定性评估，以确保安全指南得到遵守。在这种方法中，有两种主要类型的失效条件可能导致系统的“功能丧失”。

1.   多个系统故障条件-飞机基本功能的许多系统都有冗余，即两个或两个以上的独立系统能够执行相同的功能。当评估这类系统的故障条件时，必须证明功能的冗余性。必须证明这些系统在功能和物理上都是独立的。这种独立性可以通过共模分析来证明;这一分析表明，“独立”系统是真正独立的——确保它们不共享任何常见的故障方式(常见的有共用电源、公用地面返回通路等)，并且安装或维护不影响这些系统的独立性。

2.   单个系统故障条件-如果单个故障可以导致故障现象，则应证明该系统的故障概率与评估条件的故障概率相符或更低。

灾难性的失效条件必须仅有可能发生于多系统失效的组合。

虽然小型飞机的安全要求比大型客机更宽松，但在设计和建造任何飞机时，确定并遵守适当的安全性规定是很重要的，ASTM F 3309对于小飞机的安全性分析流程提供了思路。