失效-安全理念是民用飞机设计和25部运输类飞机适航规章制定的重要原则。AC 25.1309-1B对失效-安全的解释大意如下：

（1） 使用失效的下述基本目标

在任一飞行期间，对于任何系统或子系统，任何元件、组件或连接的失效都应该被考虑到，无论其可能性。单一的失效不能是灾难性的。

在同一飞行期间的并发失效，不管是检测到的或潜在的，或者他们的组合，也应该假设会发生，除非与第一个失效同时发生被证明是极不可能的。

（2） 失效-安全设计理念利用下述设计原则或技术以确保设计的安全。采用下述原则或技术之一是不充分的，通常需要两种或更多原则或技术的结合，以达到失效-安全设计。

    （i） 设计完整性和质量，包括限制使用寿命，以保证预定功能的实现和防止失效。

    （ii） 冗余或备份系统以确保单一（或规定数量的）失效后仍具有功能。

    （iii） 系统、组件和元件的隔离和/或分开，以使一个失效不会导致其他的失效。

    （iv） 证明可靠性，以使多重、独立失效在同一飞行期间不可能发生。

    （v） 提供失效警告或指示。

    （vi） 在失效检测出后，为飞行机组提供程序规范正确的动作。

    （vii） 可检查性，检查组件状态的能力。

    （viii） 通过设计限制失效的影响，包括经受破坏的能力。

    （ix） 设计的失效路径以控制或指导失效影响的方向，从而限制失效的影响。

    （x） 安全裕度或安全系数，以考虑到任何未定义或未预知的不利条件。

    （xi） 容差。考虑到飞机设计、测试、制造、允许和维护阶段可预知的差错的不利影响。

失效-安全理念是民机设计研发人员和适航审定机构应该把握的重要原则，个人认为这个原则也可以推广到高铁、核电厂等安全关键部门。希望与有兴趣的博友共同探讨。

转载本文请联系原作者获取授权，同时请注明本文来自张绍杰科学网博客。
链接地址：https://blog.sciencenet.cn/blog-93375-492058.html

上一篇：《现代控制工程基础》出版
下一篇：民用飞机EWIS安全性评估流程