分析报道

Analysis Report

SFAR88 适航限制项目
与持续适航文件制定方法研究
Means for Developing SFAR 88 － related
Airworthiness Limitation Items and
Instructions for Continued Airworthiness
丁朱寅 / Ding Zhuyin
（ 上海飞机设计研究院，上海 201210）
（ Shanghai Aircraft Design and Research Institute，Shanghai 201210，China）

摘 要：
根据美国特殊联邦航空规章第 88 号（ SFAR 88） 和联邦航空规章 25 部 102 修正案的要求，制造商必须制定
飞机燃油箱系统点火源防护所涉及的适航限制项目 （ ALI） 和持续适航文件 （ ICA） 。 本文对此 ALI 和 ICA 的
制定方法与流程进行了研究，从安全性评估出发，衍生出区分“不安全”与“非不安全”两类状态的“四元”判
断规范，进而梳理出关键设计构型控制限制项目 （ CDCCL） 为主的适航限制和 MSG － 3 两条逻辑主线分别制
定 ALI 和其他 ICA。
关键词： SFAR88； 适航限制项目； 持续适航文件； CDCCL； 燃油箱
［Abstract］To comply with Special Federal Aviation Regulation No． 88 （ SFAR 88） and Federal Aviation Regula-
tion Part 25 （ Amdt． 25 －102） ，Airworthiness Limitation Items （ ALIs） and Instructions for Continued Airworthiness
（ ICAs） for aircraft fuel tank system ignition source prevention must be developed． Methods and process in develo-
ping those ALIs and ICAs are studied in this document． Initiated from system safety assessment，the four －element
criteria to determine unsafe and no unsafe conditions are introduced，based on which two distinct logical routes for
the development of ALIs and other ICAs are adopted respectively．
［Key words］SFAR88； ALI； ICA； CDCCL； Fuel Tanks

25． 981 条 的 重 要 理 念，SFAR88 所 要 求 的 ALI 和

0 引言 ICA 应在分析燃油箱系统潜在点火源类型、点火源
由于发生 TWA800 航班 747 飞机空中爆炸事 防护特征失效机理、失效概率并结合后果影响的基
故，FAA 在 2001 年颁布了 21 部特殊联邦航空条例 础上遵 循 科 学 的 逻 辑 和 方 法 所 产 生，从 而 保 证
第 88 号，即 SFAR88，对 在 役 和 在 审 机 型 引 入 了 25. 981 条燃油箱系统安全性设计目标在飞机整个
25. 981 条（ 25 －102 修正案） 关于燃油箱系统点火源 运行过程中得以满足，达到持续适航的目的。
防护的要求。现行有效的 SFAR88 为 2002 年 12 月
份生效版本。SFAR88 要求型号合格证持有人以及
1 点火源防护安全性评估
申请人对飞机燃油箱系统开展点火源防护安全性 点火源防护安全性评估是 SFAR88 ALI 和 ICA 制
评估，并为点火源防护特征制定维护和检查指南 。 定工作的起始。25． 981（ 25－102 修正案） 规定必须证明
这一燃油箱系统维护检查指南实质上包含适 燃油箱系统点火源不会由下述三类失效情形引起：
航限制 项 目 （ ALI） 和 其 他 持 续 适 航 文 件 （ ICA） 两 （ 1） 每个单点失效，不论其发生概率；
类。通过对 SFAR88 目的和条款要求的理 解，“容 （ 2） 每个单点失效与每个没有表明为极小可能
错”和系统安全性思想是燃油箱点火源防护设计与 或极不可能的潜在失效条件的组合 ；

2012 增刊 57
民用飞机设计与研究
Civil Aircraft Design ＆ Research

（ 3） 没有表明为极不可能的所有失效组合 。
燃油箱系统点火源主要有电弧、火花、机械接
触以及热表面点燃等类型，为达到 25． 981 条的安全
性设计目标，应根据 AC25． 981 －1C 中提供的历史失
效经验以及安全性分析指导，并采用 25． 1309 系统
安全性分析思想对燃油箱系统开展安全性评估 。
在安全性评估过程中识别出的退化或失效可引
致点火源产生的设计特征将被作为下一步制定 ALI
和 ICA 的评估对象。各种失效模式、概率、影响等数
据则将是后续“不安全”状态判断、周期性 ALI 任务、
CDCCL 评估以及进行 MSG －3MSI 评估的重要输入。

2 “不安全 ”状态与“非不安全 ”状态

的判别
ALS 和 ICA 分别对应了燃油箱系统中存在的
“不安全”与“非不安全”两类状态。 如图 1 所示，左
侧框图包含了针对“不安全 ”状态应采取的 ALI 以
及等效的 设 计 更 改 等 措 施，而 右 侧 框 图 则 是 针 对 图1 SFAR88 ALI 和 ICA 制定流程图
“非不安全”状态的其他 ICA 制定流程。 区分“不安 判断条件分别如下：
全”与“非不安全”两类状态需要使用 FAA 和 EASA （ 1） “第 1 元 ”单点失效评估： 任何可预见的能
共同制定的“四元 ”判断规范对安全性评估中识别 引发潜在点火源的单点失效，为不安全状态；
出的点火源防护特征来进行评估。 需要注意的是， （ 2） “第 2 元”组合失效评估 （ 根据“第 4 元 ”可
“非不安全”并非指不影响安全，而是指此类点火源 燃暴露时间的高低区分两种情形 ） ： 在低可燃暴露
防护特征失效不会直接引发不安全状态 ，而后继的 时间的情况下，任何可危害运行安全的已知失效组
其他失效与之叠加，将可能会直接影响运营安全。 合为不安全状态； 在高可燃暴露时间的情况下，任
2． 1 不安全状态“四元”判断规范 何不符 合 25． 981 （ a ） 或 （ b ） 款 （ 102 修 正 案 ） 或
“四元”判断规范建立在安全性评估的基础之 25. 901 条之处 （ 使用 AC25． 981 － 1 指南 ） 为不安全
上，是指分别从单点失效、组合失效以及在役经验 状态；
三方面，即第 1、
2、3 元并结合第 4 元可燃暴露时间 （ 3） “第 3 元 ”在役经验评估： 在役运行中发生
这一因素来评估不安全状态的一套逻辑规范 ，见表 任何可导致热量在燃油箱中散布造成点火源或损
1。针对第 1、
2、3 元三种情形规定的 “不安全”状态 坏安全防护装置的失效，为不安全状态。

表1 不安全状态“四元”判断规范
SFAR88 不安全状态判断规范
第 4 元： 可燃暴露时间
A B C
高可燃暴露时间油箱 高可燃暴露时间油箱通过堕化等 低可燃暴露时间油箱
＞7% 措施降低为低可燃暴露时间油箱
第 1 元： 不安全，若： 可预见的单点失效危害运行安全
评估单点失效 要求措施： 所有识别出的单点失效状态必须通过纠正措施予以解决
“符合 性”不 安 全，若： 存 在 任 何 不 符 合 25． 981
（ a） 或（ b） 款（ 102 修正案） 或 25． 901 条之处（ 使 不安全，若： 已知的失效组合危害运行安全
第 2 元：
用 AC25． 981－1 指南） 要求措施： 所有已知失效组合必须通过纠正措施予以
评估组合失效
要求措施： 任何不符合之处应被视为不安全状态 解决
并通过纠正措施予以解决
第 3 元： 不安全，若： 在役运行中存在以下失效： a） 能量散布至油箱引起点火源，或 b） 损坏安全防护装置
评估在役经验 要求措施： 所有在役失效必须通过纠正措施予以解决

58 2012 增刊

可燃暴露时间判断
2． 2
“四元”判断规范中“第 4 元 ”可燃暴露时间高
低的定性，应采用检查和定性设计评审、简单定量
判断，以及 FAA 蒙特卡洛分析三种方法对燃油箱进
行评估，对其是否符合低可燃暴露时间油箱特征进
行判断。
根据 FAA 制定的温度变化等衡量指标，依次采
用上述三种方法分步骤进行评估，只要第一步检查
和涉及评审满足判定条件即可判断为低可燃暴露
时间油箱； 不满足的通过第二步简单定量判断 ； 仍
不满足则需采取第三步 FAA 蒙特卡洛分析。 依次
下来只要三步以内满足其一即判断为低可燃暴露
时间油箱，均 不 满 足 则 被 认 定 为 高 可 燃 暴 露 时 间
油箱。
3 制定适航限制项目（ ALI）
针对“四元”判断规范识别出的“不安全 ”状态，
必须采取 包 括 ALI 或 设 计 更 改 等 措 施 予 以 纠 正。
SFAR88 ALI 项 目 包 括 CDCCL 和 维 护 检 查 任 务
两类。
3． 1 ALI －CDCCL
3． 1． 1 对 CDCCL 的认识
CDCCL 是保持和控制燃油箱系统点火源防护
特征完整性的重要手段，其目的在于在飞机整个寿
命过程中保持点火源防护特征的初始构型完整性 ，
避免由于维修、改装等原因使构型发生变化，从而
引发不安全状态。CDCCL 项目自身是针对点火源
防护特征的构型限制要求 （ SFAR88 条件下 ） ，但还
应根据需要为 CDCCL 制定相关维护检查任务。
3． 1． 2 如何制定 CDCCL
制造商首先需要对燃油箱系统进行一次构型
评估，以分析出可能会由于维修或检查活动等原因
导致关键构型特征破坏的情况，从而识别出需要制
定 CDCCL 的零部件。
一项 CDCCL 可适用于单个零件级 （ 如燃油泵
叶片） 或是更上一层的组件级别 （ 如燃油泵 ） 。 为减
小在飞机寿命周期内对单个零件追踪的繁琐性 ，可
选择在组件级别识别一项 CDCCL。 一旦选定了组
件级，为获得局方审定部门的批准，制造商 （ TC 申
请人 / 持 证 人 ） 应 负 责 更 新 机 载 设 备 维 修 手 册
（ CMM） 的 相 应 内 容 对 组 件 设 计 的 关 键 特 征 进 行
标识。
在适航限制章节中，列出 CDCCL 有关的以下
分析报道
Analysis Report
内容：
（ 1） 限制声明；
（ 2） 点火源防护特征的简要描述；
（ 3） 关键设计特征构型 一 旦 改 变 牵 涉 的 安 全
问题；
（ 4） 对维护说明的索引 （ 维修手册、工卡、标牌
及标准实施等） 。
为了对 CDCCL 进行有效的标识和提醒，需要在
相关的手册中为 CDCCL 提供交叉索引。 根据每项
CDCCL 的具体情况，包括在 AMM 中为 CDCCL 相关
任 务 标 识 警 告、警 戒，在 标 准 实 施 手 册 中 提 供
CDCCL 相关信息，指出 CDCCL 维护适用的 CMM，
并在 AMM 和 CMM 等手册中插入声明告知运营人 /
维修方必须按照 CMM 或局方审定部门批准的维修
程序进行涉及 CDCCL 的修理或改装行为。
3． 2 ALI －维护检查任务
维护检查任务类的 ALI 项目可以是检查、测试、
修理、更换或大修等多种类型的维修措施，一般是
周期性任务。此类 ALI 一般应包含下述内容：
（ 1） 零部件位置及接近方式；
（ 2） 任何独特的程序要求，例如有特殊的详细
检查或诸如对双人签署维护记录等方面的要求 ；
（ 3） 任务相关的特定信息，诸如示意图等；
（ 4） 任务间隔；
（ 5） 任务操作的方法、技术及实施方面的要求，
pass / fail 判断标准；
（ 6） 所需要的特殊设备、测试装置。
制定此类 ALI 需要确保与已有的其他持续适航
文件、地面操作程序、MMEL 及其 M / O 程序以及飞
行机组操作程序等协调一致。 此外，根据 FAA 的要
求，还应通过专门的机制来验证这些维修程序的实
际可操作性，确保影响安全问题的切实落实。
4 制定其他持续适航文件（ ICA）
除 ALI 项目外，针对未被归为“不安全 ”状态的
情形，即“非不安全 ”类的点火源防护特征，应采用
MSG －3 分析方法为其制定相应的持续适航文件 。
首先需要进行判断，在燃油箱系统安全性评估
中识别出的所有点火源防护特征是否已被列为燃
油箱系统重要维修项目 （ MSI） 。 一般情况下，此前
的 MSG － 3 分析仅针对燃油箱系统自身的功 能 失
效，而通常未包含点火源防护特征失效这种情形 ，
因而需要将点火源防护特征增补为燃油箱系统 MSI
2012 增刊 59
民用飞机设计与研究
Civil Aircraft Design ＆ Research
项目。
确定这些 MSI 项目后，对其开展功能失效影响
原因分析，确定其功能、功能失效、失效影响以及失
效原因。此项工作需要使用前期安全性评估的相
关数据。
上述过程将输出燃油箱点火源防 护 特 征 MSI
及其功能失效影响原因定义清单，同时，还应将 MSI
选取以及功能失效影响原因分析这一过程记录为
文件，以向局方证明制造商已仔细评估了所有 ALI
项目外的点火源防护特征。 接下来，即可按照 MSG
－3 的流程进行 level1 和 level2 （ 上层和下层 ） 分析，
继而确定维修任务及间隔。 分析过程中需要重点
关 注 潜 在 失 效 的 情 形，并 使 用 增 强 区 域 分 析
（ EZAP） 来处理线路问题引起的点火源风险 。
在完 成 MSG － 3 分 析 流 程 后，制 造 商 应 更 新
AMM、CMM、MPD 及 MRBR 等 ICA 的相应内容，落
实有关的维修要求和维修程序。
至此，SFAR88 ALI 与 ICA 的 制 定 工 作 即 可
完成。
5 结论
制定燃油箱系统 ALI 与 ICA 是运输类飞机适
航标准 25． 981 与 25． 1529 条的明确要求，是型号设
计与适航符合性验证的重要组成部分，这一工作基
60 2012 增刊
于燃油箱系统设计及安全性分析，有其明确的流程
与方法。 本文围绕业界熟知的 SFAR88，即相当于
25 －102 修正案的要求展开论述，若 25 － 125 修正案
纳入审定基础或受适航标准 26 部追溯，则还需要采
取可燃 性 降 低 措 施 （ FRM） 或 点 燃 影 响 减 轻 措 施
（ IMM） ，采用更为明确的燃油箱可燃暴露水平判断
量化指标。此外，燃油箱安全相关的任务制定完成
后，还需要注意与 EWIS EZAP 任务间的协调，合并
有关重复性的任务。
参考文献：
［1］ SFAR No． 88． Fuel Tank System Fault Tolerance
Evaluation Requirements［S］． 2002，
12，
9．
［2］FAR Part 25． Airworthiness Standards： Transport Category
Airplanes［S］．
［3］ANM112－05－001． Policy Statement on Process for Develo-
ping SFAR88 － related Instructions for Maintenance and
Inspection of Fuel Tank Systems． 2004，
10，
6．
［4］D2005 / CPRO / RH /50213． EASA Policy Statement on the
Process for Developing Instructions for Maintenance and Inspec-
tion of Fuel Tank System Ignition Source Prevention． 2005，
8，5．
［5］AC 25． 981 － 1C． Fuel Tank Ignition Source Prevention
Guidelines． 2008，
9，19．