中图分类号：V221+.

91， V2-9论文编号：1028707 15-S051

学科分类号：082304

硕士学位论文

面向签派可靠度的 MMEL 制定技术研究

研究生姓名 汪震宇
学科、专业 载运工具运用工程
研究方向 航空器故障检测及诊断
指导教师 孙姝教授

南京航空航天大学
研究生院民航学院
二 О 一五年三月
 Nanjing University of Aeronautics and Astronautics
The Graduate School
College of Civil Aviation

Dispatch reliability oriented MMEL

formulation technology research
A Thesis in

Vehicle Operation Engineering

by
Wang Zhenyu

Advised by

Prof. Sun shu

Submitted in Partial Fulfillment

of the Requirements

for the Degree of

Master of Engineering

March, 2015
 承诺书

本人声明所呈交的硕士学位论文是本人在导师指导下进
行的研究工作及取得的研究成果。除了文中特别加以标注和致
谢的地方外，论文中不包含其他人已经发表或撰写过的研究成
果，也不包含为获得南京航空航天大学或其他教育机构的学位
或证书而使用过的材料。
本人授权南京航空航天大学可以将学位论文的全部或部
分内容编入有关数据库进行检索，可以采用影印、缩印或扫描
等复制手段保存、汇编学位论文。
（保密的学位论文在解密后适用本承诺书）

作者签名：
日期：
 南京航空航天大学硕士学位论文

摘 要

随着我国民机制造业的迅速发展，我国民机制造体系也逐步完善。各种民机型号也在逐
步研制当中。与军机不同，民机的更多的需要考虑其经济性。经济性的高低关系到飞机被市
场接受的程度，从而直接关系到航空公司的收益。民机经济性的重要表现之一为是否具有高
签派可靠度，然而近年来航班延误事件却日趋严重。因航空延误产生的旅客与航空公司之间
的冲突日益增多，航班延误成为影响航空公司效率和服务质量的核心问题。
飞机由大量系统和部件组成，所以不可能保证所有的部件都不出现故障。如果出现任何
故障飞机都停止运营的话无疑会对航空公司和乘客造成巨大的损失，所以需要某些部件或系
统在故障时飞机可以继续运营。然而飞机正常运营需要保证一定的安全水平，设备带故障运
行无疑会影响飞机的安全性水平。那么问题就来了：我们如何保证带故障运营时，飞机继续
飞行时保证安全。由此需要民机生产商提供一个“初最低主设备清单”（PMMEL），以及当局
许可的“最低主设备清单”（MMEL），通过 MMEL 可以使得在某些部件故障后飞机可以继续
运营。本文对 PMMEL 制定流程充分研究的基础上，针对涵盖的签派可靠性工程及安全性
工程进行分析，开展面向签派可靠度的 MMEL 制定技术研究。
本文的主要工作包括：
（1）详细论述了民用飞机 PMMEL 目的及意义、法律法规要求、
制定的一般流程。（2）对飞机安全性论证方法进行研究及安全性分析在确定 MMEL 项目时
决断作用；（3）研究 MMEL 项目的差异对签派可靠度造成的影响，并分析了签派可靠度高
低对民机经济性的影响，提出通过合理的 MMEL 项目制定从而提高民机的签派可靠度的方
法；
（4）在完成 MMEL 项目制定工作后需要对签派可靠度模型进行更新优化，从而对 MMEL
的签派可靠度进行验证。
（5）制定 MMEL 项目评估体系，并结合实例验证，取得良好的评
估效果。

关键词：民用飞机，MMEL，安全性分析，签派可靠度，贝叶斯

I
 面向签派可靠度的 MMEL 制定技术研究

ABSTRACT

With the rapid development of civil aircraft manufacturing industry in our country, our
country civil aircraft manufacturing system is gradually perfect.Different commercial and military
aircraft more need to consider its economy.Efficiency directly affects the extent of the aircraft was
accepted by the market, which directly affect the income of the civil aircraft manufacturers.
Commercial economy mainly reflected by the dispatch of reliability. Flight events in recent years,
however, has become increasingly serious, because of the airline delays in increasing conflict
between passengers and airlines,flight delays to become the core issue of efficiency and service
quality affect the airlines.Due to the fault plane and related system requires a certain amount of
time after repair, some faults are difficult to be repaired before shipping, and some faults of
maintenance equipment and maintenance place has certain requirements, if any fault in plane must
be immediately repair, flight delay or cancellation will result in high operating costs.The airlines
may request in some equipment or device function does not work in flighting.The model to the
examination and approval of qualified identified safety level, however, is in the case of all
equipment work.When a safety related system or device does not work, will reduce the safety
level of the design. So the question becomeshow we can ensure that in this case, the aircraft to
flight safety. It is need to civil aircraft manufacturers to provide a "Proposed master minium
equipment list" (PMMEL), the civil aviation administration of China is put forward after the
examination and approval "minimum main equipment list (MMEL)." In this paper, the MMEL
formulation process, on the basis of fully research to cover the dispatch of reliability engineering
and safety engineering analysis, research on key technology in the process of establishing a civil
aircraft MMEL.
The main work of this article including: (1) Detailed discusses the civil aircraft MMEL
purpose and meaning, requirements, formulate the general process of laws and regulations; (2)
The study of safety analysis method and the safety analysis’ role in defining the MMEL project; (3)
Research the differences of the MMEL project effects on the dispatch reliability, and analyzed the
dispatch reliability level of the impact of commercial economy, put forward by reasonable MMEL
project planning so as to improve the dispatch reliability of civil aircraft dispatch reliability; (4)
after finish MMEL project formulation to upgrade dispatch reliability model optimization, the
MMEL dispatch reliability can be validated;(5) develop MMEL project evaluation system, and
connecting with the example, obtain good evaluation effect.
Keywords: Civil aircraft, MMEL, dispatch reliability,Bayes, safety analysis

II
 南京航空航天大学硕士学位论文

目录

摘要 ........................................................................ I
第一章 绪论.................................................................. 1
1.1 研究背景 ............................................................. 1
1.2 研究意义 ............................................................. 2
1.3 国内外研究现状 ....................................................... 3
1.4 主要内容及创新点 ..................................................... 5
1.4.1 主要研究内容 ........................................................................................................ 5
1.4.2 主要创新点 ............................................................................................................ 6
第二章 MMEL 项目评估及安全性分析基础 ......................................... 7
2.1 MMEL 项目评估基础 .................................................... 7
2.1.1 MMEL 概述 ...................................................... 7
2.1.2 MMEL 制定政策及法规要求 ....................................... 10
2.1.3 MMEL 项目评估的用途及组成 ..................................... 12
2.1.4 MMEL 候选项目的分析 ........................................... 14
2.1.5 MMEL 项目修复期限 ............................................. 15
2.1.6 故障分类 ...................................................... 17
2.1.7 小结.......................................................... 18
2.2 民机安全性分析要求及方法 ............................................ 18
2.2.1 民机安全性工程概述 ............................................ 18
2.2.2 安全性目标的提出 .............................................. 18
2.2.3 民机安全性分析与评估过程 ...................................... 20
2.2.4 安全性评估分析方法 ............................................ 23
2.2.5 小结.......................................................... 27
第三章 民机签派可靠性分析与研究 ............................................. 28
3.1 民机签派可靠性概述 .................................................. 28
3.2 民机签派可靠性影响因素分析 .......................................... 29
3.2.1 民机签派可靠性设计因素研究 .................................... 29
3.2.2 民用飞机签派可靠性运营因素研究 ................................ 30
3.3 民机签派可靠度设计控制方法研究 ...................................... 33
3.3.1 概述.......................................................... 34
3.3.2 针对单元级/系统级的可靠性提高的设计方法 ....................... 35

III
 面向签派可靠度的 MMEL 制定技术研究

3.3.3 基于提高维修效率/减少维修工时的方法 ........................... 36

3.3.4 合理规划保障资源的设计方法 .................................... 39
3.3.5 小结.......................................................... 40
第四章以签派可靠性为目标的 MMEL 制定体系研究 ................................. 42
4.1 以签派可靠度为目标的 MMEL 项目制定一般要求 ........................... 42
4.1.1 以签派可靠度为目标的 MMEL 项目制定的目的 ....................... 42
4.1.2 以签派可靠度为目标的 MMEL 项目制定开展的时机 ................... 42
4.1.3 MMEL 候选项目确定的原则 ....................................... 44
4.2 以签派可靠度为目标的 MMEL 项目制定流程 ............................... 45
4.3 MMEL 项目故障类型的识别 ............................................. 48
4.4 MMEL 项目安全性水平定性分析 ......................................... 48
4.4.1 飞机系统功能危险分析 .......................................... 49
4.4.2 故障树定性分析 ................................................ 51
4.5 MMEL 项目安全性水平定量分析 ......................................... 52
4.6 针对签派可靠度运营因素的控制 ........................................ 54
4.6.1 维修程序与运营程序的创建 ...................................... 54
4.6.2 MEL 的合理制定 ................................................ 55
4.6.3 合理的带故障运营 .............................................. 56
4.6.4 保留故障的修复 ................................................ 57
4.6.5 保留故障的控制 ................................................ 57
4.6.6 再次保留的申请和批准 .......................................... 58
4.7 针对签派可靠度设计因素的控制 ........................................ 58
4.7.1 可靠性因素控制 ................................................ 59
4.7.2 维修性因素控制 ................................................ 60
4.8 MMEL 项目修复期限的确定 ............................................. 60
4.9 小结................................................................ 61
第五章 MMEL 的签派可靠度验证 ................................................ 63
5.1 概述................................................................ 63
5.2 基于 MMEL 修正的系统签派可靠度验证 ................................... 63
5.2.1 基于 MMEL 修正的签派可靠度模型建立 ............................. 64
5.2.2 基于贝叶斯估计的小样本数据可靠性参数估计 ...................... 65
5.2.3 系统签派可靠度计算 ............................................ 67
5.3 实例分析............................................................ 67
5.3.1 对延误分析的假定 .............................................. 67

IV
 南京航空航天大学硕士学位论文

5.3.2 确定分析系统及数据 ............................................ 68

5.3.3 数据仿真 ...................................................... 68
5.3.4 参数估计 ...................................................... 69
5.4 小结................................................................ 70
第六章 燃油系统 MMEL 制定实例 ................................................ 71
6.1 燃油系统描述 ........................................................ 71
6.2 燃油系统 MMEL 制定 ................................................... 73
6.2.1 燃油系统功能危险分析 .......................................... 73
6.2.2 油箱不能连续排水 .............................................. 75
6.2.3 左或右机翼油箱低油面告警功能丧失 .............................. 77
6.2.4 左右机翼油箱燃油均指示错误 .................................... 79
6.2.5 左右油量不平衡超过限制 ........................................ 82
6.2.6 燃油箱通气堵塞 ................................................ 85
6.3 小结................................................................ 92
第七章 总结与展望........................................................... 93
7.1 全文总结............................................................ 93
7.2 今后研究工作展望 .................................................... 94
参考文献.................................................................... 95
致谢 ....................................................................... 98
在学期间的研究成果及发表的论文 .............................................. 99

V
 面向签派可靠度的 MMEL 制定技术研究

图表清单

图 1.1 A320 与 B737-399 机队签派可靠性 ............................................................................ 1

图 1.2 A300 的部分 MMEL ..................................................................................................... 3
图 1.3 A320 的部分 MMEL ..................................................................................................... 3
图 2.1MMEL 项目考虑因素 .................................................................................................... 7
图 2.2PMMEL、MMEL、MEL 之间关联 ............................................................................. 8
图 2.3MMEL 编号举例 ............................................................................................................ 9
图 2.4 MMEL 格式样板 ........................................................................................................... 9
图 2.5CS-OPS 1.030 部分 MMEL 规范 ............................................................................... 10
图 2.6 FAR121.628 部分 MMEL 规范 .................................................................................. 11
图 2.7 MEL 手册目录 ............................................................................................................ 12
图 2.8 日历日概念 .................................................................................................................. 16
图 2.9 飞行日概念 .................................................................................................................. 16
图 2.10 安全性分析流程模型 ................................................................................................ 21
图 2.11 安全性评估图 ........................................................................................................... 23
图 2.12：系统级功能危险评估 ............................................................................................. 25
图 3.1 飞机签派可靠性影响因素 .......................................................................................... 29
图 3.2 签派可靠性与可靠性、维修性、保障性之间的关系 .............................................. 34
图 3.3 签派可靠度影响因素分析流程 .................................................................................. 35
图 3.4 LRU 规划设计技术图 ................................................................................................. 37
图 3.5 LRU 规划设计工程化示意图 ..................................................................................... 37
图 4.1 民机全寿命功能流程图 .............................................................................................. 43
图 4.2 安全性分析过程 ......................................................................................................... 43
图 4.3 面向签派可靠度的 MMEL 项目制定流程 ............................................................... 47
图 4.4 MMEL 项目故障类型识别 ......................................................................................... 48
图 4.5 丧失 APU 火警探测和告警功能故障树分析 ............................................................ 52
图 4.6 MMEL 项目运营程序及限制判断程序 ..................................................................... 55
图 4.7 MEL 适用阶段 ............................................................................................................ 56
图 4.8 在 MMEL 制定时面前签派可靠性设计因素提高流程 ............................................ 59
图 4.9 基本可靠性框图 ......................................................................................................... 60
图 4.10 带故障运营时间类别的判定 ................................................................................... 61
图 5.1 基于 MMEL 修正的系统签派可靠度验证流程 ....................................................... 64
图 5.2 燃油系统可靠性框图 .................................................................................................. 65

VI
 南京航空航天大学硕士学位论文

图 5.3 储存子系统可靠性框图 ............................................................................................. 65

图 5.4 压力加油抽油系统可靠性框图 ................................................................................. 65
图 5.5 MMEL 修正后压力加油系统可靠性框图 ................................................................. 65
图 5.6 民机故障分布图 .......................................................................................................... 68
图 5.7 A320 机队飞行小时及循环 ........................................................................................ 68
图 6.1 燃油系统功能 .............................................................................................................. 71
图 6.2 燃油系统组成 ............................................................................................................. 71
图 6.3 湾流 G450 燃油系统示意图 ...................................................................................... 72
图 6.4 油箱不能连续排水故障树分析 ................................................................................. 76
图 6.5 左或右机翼邮箱低油面告警功能丧失 FTA ............................................................. 77
图 6.6 左右油箱油量均指示错误故障树分析 ..................................................................... 80
图 6.7 左右油量不平衡超过限制定量 FTA .......................................................................... 82
图 6.8 燃油箱通气堵塞定量 FTA......................................................................................... 86
表 2.1 修复期限分类 ............................................................................................................... 9
表 2.2 部分 FAA 运营法规 .................................................................................................... 12
表 2.3 MMEL 修复期限 ......................................................................................................... 15
表 2.4 故障划分及判断规则 ................................................................................................. 17
表 4.1 飞机不同阶段的面向签派可靠性的 MMEL 制定工作 ............................................ 44
表 4.2 失效状态各等级的影响及概率要求 .......................................................................... 49
表 4.3 系统级功能危险分析表 .............................................................................................. 50
表 4.4 防火系统丧失 APU 火警探测和告警功能 FHA ..................................................... 51
表 4.5：针对 MMEL 的 FMECA 表格 ................................................................................. 54
表 5.1 导航系统故障的三月均值和上控线 ......................................................................... 68
表 5.2 导航系统无故障仿真数据 .......................................................................................... 69
表 5.3 修复率仿真数据 .......................................................................................................... 69
表 6.1 燃油系统功能危险分析摘要 ...................................................................................... 73
表 6.2 实例功能危险分析表 .................................................................................................. 75
表 6.4 燃油系统除水引射泵 MMEL 项目评估表 ............................................................... 77
表 6.5 燃油系统低油面信号器 MMEL 项目评估表 ............................................................ 79
表 6.6 故障树左右油箱油量均指示错误的最小割集表 ..................................................... 80
表 6.7 燃油系统油箱油量指示器 MMEL 项目评估表 ....................................................... 81
表 6.8 左右油量不平衡超过限制故障树的最小割集表 ...................................................... 82
表 6.9 交叉供油切断阀故障 FMECA 表进行安全概率符合决断 ...................................... 84
表 6.10 左右油量不平衡超过限制故障树的最小割集表 .................................................... 85

VII
 面向签派可靠度的 MMEL 制定技术研究

表 6.11 左右油量不平衡超过限制故障树的 FMECA 表格 ................................................ 87

表 6.12 火焰抑制器 MMEL 项目评估表 .............................................................................. 90
表 6.13 通气浮子阀 MMEL 项目评估表 .............................................................................. 91
表 6.14 通气管 MMEL 项目评估表 ...................................................................................... 91

VIII
 南京航空航天大学硕士学位论文

注释表

 故障率 DR 签派可靠度

R 可靠度  故障率
Ai 固有可用度
 修复率
f t  故障概率密度函数 m t  维修时间密度函数

 (） 故障率先验分布  ( ） 维修时间先验分布

L(0 ∣ ) 故障率联合密度 L(0 ∣ ) 维修时间联合密度

h ( λ ∣∣ 𝜆𝑢 ) 故障率后验密度 h ( μ ∣∣ μ𝑢 ) 维修生死间后验密度
Rsn LRU 部件的签派可靠度

IX
 面向签派可靠度的 MMEL 制定技术研究

缩略语

缩略词 英文全称
LRU Line Replaceable Unit 可更换单元体
MTBF Mean Time Between Failures 平均故障间隔时间
MTTR Mean Time to Repair 平均维修时间
MLDT Mean Logistic Delay Time 平均后勤延误时间
Minimum Equipment List/ Master Minimum Equipment List
MEL/MMEL
最低设备清单/主最低设备清单
R&M Reliability and Maintainability
FHA Function Hazard Assessment 功能危险分析
PSSA Preliminary System Safety Assessment 初步系统安全性评估
SSA System Safety Assessment 系统安全性评估
CCA Common Cause Analysis 共因分析
FTA Fault Tree Analysis 故障树分析
FMECA Failure Modes Effects and Criticality Analysis 故障模式影响及危害性分析
MA Markov Analysis 马尔可夫分析
DD Dependence Diagram 关联图
CFD Computational Fluid Dynamics 计算流体力学
CMA Common Mode Analysis 共模分析
ZSA Zonal Safety Analysis 区域安全性分析
PRA Particular Risk Analysis 特殊风险分析
JAR Joint Aviation Requirements（欧洲）联合航空要求
FAR Federal Aviation Regulation（美国）联邦航空规章
CCAR China Civil Aviation Regulation 中国民用航空规章
AC Advisory Circular 咨询通告/Airworthiness Certificate 适航证
FAA Federal Aviation Administration（美国）联邦航空管理局
EASA European Aviation Safety Agency 欧洲航空安全局
TC Type Certificate 型号合格证
PC Production Certificate 生产许可证
SAE Society of Automotive Engineers（美国）汽车工程师协会
AFM Airplane flying manual 飞机飞行手册
AMM Aircraft Maintenance Manual 飞机维修手册

X
 南京航空航天大学硕士学位论文

ICAO 国际民航组织
EC 重要性代码

XI
 南京航空航天大学硕士学位论文

第一章绪论

1.1 研究背景
随着中国飞机制造业实力的增强，越来越多的国产飞机出现在世人面前，这标志着我国民
用航空运制造进入了高速发展的时期，然而民机除了需要保证优良的性能以外还需要有较强的
经济性。
当前飞机设计是通过冗余设计获取的高安全性，同时适航认证时的高安全性在所有设备都
正常情况下进行的。然而故障仍有可能发生，设备故障而导致飞机延误或者取消会大大的增加
运营成本。
因此最低主设备清单（MMEL）制定的目的是权衡飞机可接受的安全性水平与运营人的盈
利水平。通过最低主设备清单（MMEL）可以使飞机合理的带故障飞行，从而增加了飞机的签
派可靠性，最终提高飞机的经济性与市场竞争力。
MMEL 项目的制定是一个综合考虑的过程，需要从多方面综合考虑例如：MMEL 制定领域、
民机设计、安全性论证等。本论文针对影响 MMEL 制定的两个方面进行研究，通过安全性分析
方法评估在某些装备不工作时是否符合适航安全性要求,再结合可靠性设计方法，进行签派可靠
度的 MMEL 项目制定。

图 1.1A320 与 B737-399 机队签派可靠性

1
 面向签派可靠度的 MMEL 制定技术研究

如图 1.1 所示，可以得出 B737-300 机队与 A320 机队的签派可靠性有明显的区别。这样会

导致两种机型的机队的运营效率有显著的不同。民用飞机的 MMEL 项目的合理制定直接影响民
用飞机安全性与签派可靠性，是获得中国民用航空总局审查批准的关键，也是运营人首要考虑
因素之一。由此需要进行面向签派可靠度的 MMEL 项目制定。

1.2 研究意义
1.民机研制中合理的 PMMEL 是通过适航验证的前提条件
民机的整个生命周期必须满足适航标准和规章。适航规章是为了保证实现民机的适航性而
制定的最低安全标准，属于强制规定，包括初始适航和持续适航两大类，初始适航针对飞机设
计、制造部门管理，持续适航针对使用、维修部门管理。民用飞机的 MMEL 制定与分析是持续
性适航的核心一环。因此，“面向签派可靠度的 MMEL 项目制定”是保持飞机适航性的前提条件。
2.制造商合理制定 AFM 及 AMM 的关键
主设备清单（MMEL）并不是作为独立存在的，与飞机的持续适航文件之间需要互相参照。
AFM 与 MMEL 之间的一致性体现在：各类限制规定和应急程序相符。AMM 与 MMEL 之间的
一致性体现在：AMM 必须完成主最低设备清单中标有（M）的故障项目的修复。AMM 是 MMEL
的支持性文件。
3.民机 MMEL 合理制定能够有效保证飞机的安全水平
zkq 20151222
通过 MMEL 使得民机可以使某些特定的设备/系统在故障后继续运营，同时保证一定的安
全性，使得民机可以达到适航条款所规定的安全水平要求。合理的制定出带故障运营设备清单
需要从多个方面考虑，包括对安全水平要求、运营影响、对机组成员影响、环境影响等等。
4.面向签派可靠度的 MMEL 项目制定技术研究是提高飞机制造商和运营商的核心竞争力
的方法
面向签派可靠度的 MMEL 项目制定技术研究，运用民用飞机的可靠性、安全性、经济性等
工程手段，指导、评估民用飞机系统 MMEL 项目制定活动，有效提高民用飞机安全性、改善并
优化民用飞机运营能力，在保证飞行安全的同时做到提高飞机签派放行效率、维护保障质量和
降低总运营成本。因此，
“面向签派可靠度的 MMEL 项目制定技术研究” 是提高飞机制造商和
运营商的核心竞争力的方法并具有重要的实用意义。
但同时应看到，在我国在民用飞机中 MMEL 制定工作研究时间短、经验不足，分析工作还
不够系统和深入。分析技术成果与成功经验还需要总结和推广，国内外涌现的新技术和新方法，
也还没有被型号设计人员熟知并应用。我国民用飞机设计工作者需要努力加强 MMEL 项目合理
制定的相关关键技术理论研究，并把研究成果运用到实际工程当中，以达到提高民机盈利能力
与安全性的目标。

2
 南京航空航天大学硕士学位论文

1.3 国内外研究现状
国际民航组织（ICAO）在 1944 年 12 月 7 日签署的《国际民航公约》，公约包含的 96 个章
节，内容为所有缔约国的权利和义务及提供相关国际标准和建议措施。
在公约的附件 6 第六章《飞行飞机的仪器、设备和文件》中对主设备清单 MEL 进行了官
方的定义，同时在附件 G 中解释了 MEL 的目的及其原则。
从上个世纪 70 年代至今，MMEL 经历着不断的更改与完善,以空客为例从 A300 到
A320MMEL 有非常大的变化如图 1.2 及 1.3 所示：

图 1.2A300 的部分 MMEL

zkq 20151222

图 1.3A320 的部分 MMEL

由图 1.2 及 1.3 对比可得 A320 的 MMEL 更加直观也包含更多的内容。包括项目修复类别
期限、安装数量、签派需求数目等。通过 MMEL 四个货物舱门执行机构中的两个在不工作时飞
机可以在一定时间内正常运营，使得在保证安全性的前提下，提高了签派可靠度和飞机的盈利
能力。
对于国内而言，我国民机制造商所生产的飞机必须满足中国民用航空适航规章要求。民机

3
 面向签派可靠度的 MMEL 制定技术研究

制造商需要向当局提交 PMMEL，使得飞机能在符合中国民用航空规章第 121 部（CCAR-121

部）第 121.647 条和第 135 部（CCAR-135 部）第 135.187 条要求的情况下进行运营[1-2]，从
而提高了飞机使用率及经济性，使其更有市场竞争力。
MMEL 项目主要从安全性与签派可靠性两方面进行研究，既要保证安全性同时也需要尽量
提高民机的签派可靠性：
民机需要保证民机在一定的情况下可以保证安全飞行的能力，即适航性。相关民航发达国
家如欧洲、美国制定了严格的适航法规来确保民机在一定的情况下可以保证安全飞行的能力，
比如 FAR、CS 等等。通过这些法规在飞机研制、生产质量、空中运行等多个方面提出了相应
的要求，在进行民机研发时，必须符合适航法规及条例。特别的 FAR25-1309 与 CS25-1309 对
民机的安全性方面进行一系列的规定，在民机制造商满足适航条款要求的前提下才可以获得与
之相符合的适航证明。
在民机设计研发上，美国和欧洲具有相当的经验，由此制定了如 SAE ARP4761、SAE
ARP4754 等一系列规定[3-4]，在安全性分析方面形成了完整的体系，通过 SAE ARP4761、SAE
ARP4754 可以在民机初步设计阶段进行及完善安全性设计与分析。由此国外民机制造商的产品
具有高安全性与适航性。
对于安全性分析的方法国内大量专家学者开展了相应的研究。陆中, 孙有朝等从适航符合
zkq 20151222
性方面对安全性分析提出了要求[5],陆中对于安全性方法之间的关联及不同方法实施的时机进行
介绍[6]。孙有朝, 刘建军, 梁力等特别对于 FHA 的流程和对整个安全性分析过程的意义进行了
研究[7]，同时杨超将动态故障树应用到民机安全性分析中取得了良好的效果[8]。
对于可靠性设计，国内外也进行了大量的探索，通过设立相应可靠性研究机构，搜集大量
系统及部件的可靠性数据，以此来提高民机的可靠性。但是对于签派可靠性的研究，国内外进
行的较少。随着近些年延误日益成为社会焦点问题，这方面的研究也逐步开展起来。主要有：
英国克朗菲尔德航空工程学院的 J.P. Fielding 博士等人，通过对飞机系统延误率与飞机设计/性
能参数相关度分析并进行数据拟合，从而得到民用飞机系统概念性设计阶段的长航程与短航程
两种情况下的民用飞机系统签派可靠度预计数学模型 [9]。Mansour Bineid 博士在其博士论文
《Aircraft System Design Methodology and Dispatch Reliability Prediction》中对飞机系统签派可靠
性概念定义、设计方法以及签派可靠度的预计与分配方法都做了深入的研究，综合考虑到飞机
系统部件的可靠性指标（MTBF）与维修性指标（MTTR）两者对其签派可靠性的影响，并加以
实例验证[10]。庞巴迪公司对旗下机型也进行了签派可靠度的设计与控制，通过实际运行数据与
经验定量化，最终得出了飞机的签派可靠度预计公式，由此对签派可靠度进行控制[11]。
对于 MMEL 项目的制定，近些年国内的研究人员也进行了一些摸索，主要有：许科龙在《民
用航空器主最低设备清单建议书（PMMEL）编制工作研究》中对 PMMEL 的编制进行说明,通

4
 南京航空航天大学硕士学位论文

过对定性分析和定量分析要求分析，概括了 PMMEL 制定的过程及相应要求[12]；徐晶在其《民

机主最低设备清单建议书项目确认过程解析》中对于 PMMEL 候选项目确定的方法及流程进行
了探索[13]；余欣在《主最低设备清单(MMEL)评估报告的研究》中对 MMEL 评估报告的组成和
MMEL 论证部分的具体内容进行了详细说明[14]，:杨建元, 康锐等在《最低设备清单故障树模型
最小割集的生成》中针对 MEL 故障树模型,提出了一种最小割集的求解算法[15]。
然而这些研究都仅限于对于法律法规的解释，没有系统说明 MMEL 如何综合利用安全性分
析制定。同时虽然杨建元, 康锐等提出了 MEL 故障树模型，但是由于不能针对飞机设计因素进
行更改，所以不能对飞机的签派可靠度进行提高。所以当前需要对 MMEL 制定流程进行详细的
分析与研究。同时由于 MMEL 的目的是权衡飞机的安全性与盈利能力，所以在 MMEL 制定时
需面向签派可靠度进行。

1.4主要内容及创新点
1.4.1主要研究内容

论文的内容为：
第一章为绪论部分，介绍了民用飞机 MMEL 项目制定的关键技术研究的论文背景及其在民
用飞机项目中研究的重要意义；对相关的国内外研究现状进行了综述。说明了论文的目的，概
述了各个章节所写的内容。
zkq 20151222
第二章主要针对民用飞机 MMEL 项目制定流程进行进行分析，阐述 PMMEL/MMEL/MEL
之间的关系。并针对 MMEL 项目制定的相关规章、法规进行叙述、说明、阐述了 MMEL 的法
律依据。同时介绍了民机 MMEL 项目制定流程中项目安全性设计要求及方法。包括民用飞机安
全性目标的提出、安全性水平分析流程等。
第三章针对签派可靠性进行研究，在详细了解签派可靠性的基础上，针对民机签派可靠性
影响因素从设计及运营两个方面进行分析。同时提出了民机其那片可靠度设计控制方法。
第四章主要研究了以签派可靠度为目标的 MMEL 制定体系。介绍了以签派可靠度为目标的
MMEL 项目制定的一般要求：制定的目的、制定的时机以及制定的原则。阐述了制定流程、明
确了 MMEL 项目安全性水平定性与定量分析方法，并对在制定过程中针对签派可靠度运营及设
计因素进行控制。最后对项目修复期限的选择进行叙述。
第五章提出了 MMEL 制定后进行签派可靠度的更新模型，用于进行签派可靠度的验证计算。
第六章以燃油系统为实例，证明了以签派可靠度为目标的 MMEL 制定体系的可行性。
第七章总结全文，展望下一步工作。

5
 面向签派可靠度的 MMEL 制定技术研究

1.4.2主要创新点

论文以民用飞机 MMEL 项目制定中关键技术为需求，从民用飞机安全性设计分析及签派可

靠度预计出发，开展民用飞机 MMEL 制定的关键技术研究，旨在打通民用飞机 MMEL 制定时
的盲区，为民用飞机研制中 MMEL 项目合理制定工作的开展提供理论依据和技术支持。
论文注重理论创新性和工程实用性的有机结合，其创新性又以下几点：
1) 将 MMEL 项目的制定与安全性分析流程相结合，针对每一种安全性分析方法的特点合
理的运用在制定体系中。将 MMEL 制定纳入到飞机设计阶段，转被动的分析确定为主
动的 MMEL 项目提出，使得 MMEL 项目尽可能完善。
2) 以签派可靠度为目标进行 MMEL 项目制定，通过在设计阶段针对 MMEL 项目可靠性
与维修性设计，以及对于运营程序和维修程序的控制，实现了在保证飞机安全性水平
的前提下，最大限度的提高飞机的签派可靠度，从而最终提高飞机的盈利能力。
3) 针对 MMEL 的签派可靠度验证阶段，故障部件/系统小样本数据难以获得的难点，提
出了 bayes 理论对无故障数据可靠性参数进行估计的验证方法。

zkq 20151222

6
 南京航空航天大学硕士学位论文

第二章 MMEL 项目评估及安全性分析基础

为了保证飞机的盈利能力，需要飞机部件或系统可以再故障时飞机带故障运营，这些可以
带故障运营的设备或系统的全体为 MMEL，即主最低设备清单。MMEL 的是否合理、有效、完
整的制定直接影响到飞机日后运营的安全性与盈利水平。所以必须认真对待 MMEL 项目的制定，
由此需要对 MMEL 制定进行相关基础研究。

2.1 MMEL 项目评估基础

2.1.1 MMEL 概述

2.1.1.1 MMEL 作用及目的

MMEL 的意义在于是权衡飞机安全等级与飞机的盈利能力。使得飞机能在满足适航安全性
要求的前提下尽可能的提高飞机的签派可靠性。

MMEL
项目

zkq 20151222
保证可接受
提高盈利能力
的安全等级

图 2.1MMEL 项目考虑因素
1) 确保飞机的安全飞行
MMEL 为保证飞机安全性的前提下，一些特定的设备可以故障保留，这里的安全性指的是
适航规章所规定的最低安全性要求。即如果飞机能保证适航安全性要求，MMEL 允许某些系统
不运行而飞机继续运营。为了确定这些部件或系统需要考虑多种安全性相关方面，主要包括：
故障可能对航空器及其机组成员产生的影响、飞行与模拟测试的结果、故障对机组人员的影响、
多个使用不安全因素的影响、下一个严重故障的影响
为了确保飞机的安全飞行，MMEL 项目确定时需要对系统之间的相互作用是广泛细致的分
析，以确保多个失效不会导致安全水平不足。此外，该分析不需要仅考虑该项目的故障所造成
的后果，也需要分析接下来的关键故障导致的后果。
当飞机按照 MMEL/MEL 进行签派时，保持安全性水平的途径有：失效的功能可以由其他
设备提供、可以由备用设备提供必要的数据、进行适当的限制或程序。
由于 MMEL 为法律文件，在飞机运营时必须遵守。同时 MMEL 必须经过当局的批准。所
以在一个或者多个部件或系统故障的情况下，通过 MMEL 民机的安全等级可以得到充分保证。

7
 面向签派可靠度的 MMEL 制定技术研究

2) 提高飞机的盈利能力
MMEL 不止需要保证飞机安全签派飞行，同时通过日常运营可以最大化运营人的盈利能力。
首先与盈利有关的是航空公司的运营。在故障在地面维修或者飞行中被发现时，可以通过
MMEL 判定是否可以允许带故障飞行。通过适当的允许带故障飞行可以有效的避免计划外维修、
航班延误或取消等降低航空公司运营能力的情况出现。
与 MMEL 相关的第二个经济方面为：优化初始配置。通过优化初始配置可以有效地减少备
件存储照成的花费。
注：“初始配置”是一个包含所有行可更换单元(LRU),相应的备件的数量,及其成本的目录清
单。这个初始配置基于一个复杂的数学模型，同时考虑多个因素、包括:机队飞机数量；机队的
年均飞行时间；备件单价；每架飞机 LRU 的数量。
MMEL 是保证飞机签派可靠性的主要方式之一，同时可以显著的减少运营人的运营成本。

2.1.1.2 PMMEL、MMEL 及 MEL 含义及关联

飞机制造商制定主最低设备清单建议书(PMMEL)。PMMEL 由飞机制造商制定，是局方发
布 MMEL 的基础，在提交给局方审批前为主最低设备清单建议书，在民航总局审核通过后为
MMEL，交给运营人参考使用。
航空公司根据 MMEL，结合飞机类型、自身维修运营程序、经营特点等编写 MEL。在民
航总局审查后发布，MEL 必须要严格与 MMEL。即带故障运行设备不能超过 MMEL 的项目。
PMMEL、MMEL、MEL 之间是逐层递进，要求严格程度依次增加。如图 2.2 所示：

PMMEL
民机制造商及运营人
主最低设备清单建议书

MMEL
民航总局
主最低设备清单

MEL
航空公司（运营人）
最低设备清单

图 2.2PMMEL、MMEL、MEL 之间关联
由 PMMEL、MMEL、MEL 三者的关联可以得出 PMMEL 是 MMEL 与 MEL 的基础。正确、
完整的 PMMEL 影响到飞机运营后的安全水平与盈利能力，必须要严肃对待。同时在编写

8
 南京航空航天大学硕士学位论文

PMMEL 时，需要考虑到相应适航条款与规章，为适航合格审定创造前提。由此本文主要针对
PMMEL 项目制定中的关键技术进行研究与探索。

2.1.1.3 MMEL 文件内容

PMMEL 中的设备或系统需要按照 ATA100 进行描述和编号（如图 2.3 所示）

，在 MMEL 中
还需要标明飞机中部件的数量和可以带故障运行数数目。并指出相应的运营限制、维修程序、
机组操作等等，以此保证飞机的安全性等级。MMEL 的样板如图 2.4 所示

图 2.3MMEL 编号举例

图 2.4MMEL 格式样板
PMMEL 部件或系统的运营限制、运行程序需要说明在飞行延程、能见条件、天气状况、
日夜情况等进行说明。
每一个 MMEL 部件或设备都包含图 2.4 所示项目，1 到 5 项的内容分别是
1) 设备项目的系统和序号；
2) 修复期限类别；
3) 安装数量；
4) 签派或者放行所需数量；
5) 备注和例外。
在 PMMEL 里需要对可以带故障运营的设备进行修复期限的限定。有 A、B、C、D 四种，
意义为部件或设备可以保持故障状态的最长时间。修复期限类别具体规范如表 2.1 所示：
表 2.1 修复期限分类

9
 面向签派可靠度的 MMEL 制定技术研究

类别 修复期限
需在主最低设备清单中的“备注和例外”栏中所限定的日期内
A
进行修理。

B 故障发生后的3日内进行修理

C 故障发生后的10日内进行修理

D 故障发生后的120日内进行修理

PMMEL 中的部件如果需要一定的运营及维修程序来保证安全性等级，则需要在备注栏中
明确写出且用符号标明，通常用(O)为需要运营程序，(M)为需要维修程序。(O)(M)表示同时需
要运营程序和维修程序。

2.1.2 MMEL 制定政策及法规要求

由于 MMEL 直接影响到飞行安全，同时由于 MMEL 是持续性适航(ICA)的主要内容所以各

国都对 MMEL 有严格的政策规定及法规要求。当前国际上主要以美国联邦航空管理局(FAA)和
欧洲航空安全局（EASA）及的政策及法规为主。我国民航总局也对 MMEL 的制定出台了一系
列相关规定，这些法规是 MMEL 制定的要求及依据。

2.1.2.1 EASA 政策及法规规定

EASA 对于 MMEL/MEL 有详细的规定。

主要对针对 MMEL/MEL 的法规有：CS-OPS 1.030、
CS-MMEL/MEL、MMEL 程序文件。
(1) CS-OPS 1.030
条款 CS-OPS 1.030 说明了航空公司的义务，要求航空公司须针对飞机型号，根据 MMEL
编写 MEL。任何一架飞机的运营必须按照 MMEL/MEL 进行。

图 2.5CS-OPS 1.030 部分 MMEL 规范

(2) CS-MMEL/MEL
CS-MMEL/ MEL 提供了有关如何创建、批准/接受 MMEL 和 MEL 的指导。CS-MMEL/ MEL

10
 南京航空航天大学硕士学位论文

主要由两个部分组成：
第一部分：需求
包括为了制定 CS-MMEL/ MEL 的依据（适用的法规、适航条款、MEL 的适用限制）和缩
略语对应的含义；MMEL 的定义；MMEL 的格式以及书写的语言；MMEL 所包含的章节（运
营与维修程序、修理时间间隔、多重失效的应对等）；审批的条件。
第二部分：联合咨询通告（ACJ）
对第一部分进行解释与补充，运营人可以通过采取相应措施来满足 ACJ 的要求，以获得民
航总局的批准。
(3) CS-OPS 相关的政策文件 TGL26
在相关条款和规定的基础上，EASA 制定了 TG26 以帮助航空公司合理的编写 MEL，使得
各航空公司可以制定符合标准的 MEL，同时为民航总局进行 MEL 审查程序提供支持。
因此运营人可以通过遵守 CS-OPS 的条款来符合大部分签派要求。
(4) MMEL 程序手册
MMEL 程序手册为 MMEL 制定、审批提供指导的文件。

2.1.2.2 FAA 政策及法规规定

FAA 同样对 MMEL/MEL 有着相同的要求，主要相关法规有：FAR121.628、政策文件、

MEL 手册、FAR 运营准则。
(1) FAR121.628
FAR121.628 由 FAA 制定用来创建和批准 FAA MMEL 文件

图 2.6FAR121.628 部分 MMEL 规范
FAR 121.628 规定按仪表或设备需要带故障运营时，必须参考经过局方审查的 MMEL
(2) MEL 手册
在 FAA 的“ 航空运输营运检查员手册8400.10 ”第 4.4 节中，说明了制定 MMEL 和 MMEL

11
 面向签派可靠度的 MMEL 制定技术研究

审查的流程。

图 2.7MEL 手册目录
(3) 政策文件
FAA 还制定了多个 MMEL 相关政策文件，这些政策文件针对某些 MMEL 设备进行了规定，
这些政策文件可以再 FAA 的网站上找到。
(4) FAR 运营法规
相关的 FAR 运营准则用于 FAA MMEL 项目中:
表 2.2 部分 FAA 运营法规
法规 描述

FAR 23 正常和通勤类飞机的适航规定

FAR 25 运输类飞机适航规定

FAR 33 飞机发动机适航规定

FAR 91 一般运行和飞行规则

2.1.2.3 CAAC 政策及法规规定

CAAC 同样针对 MMEL 颁布了相关规定。特别是 AC  121  135  49 《民用航空器主最低

设备清单、最低设备清单的制定和批准》依据中国民用航空规章第 121 部（CCAR-121 部）
第 121.647 条和第 135 部（CCAR-135 部）第 135.187 条制定[16]，为民机 MMEL 及 MEL 的
编写、审核及运用提供导向性意见。

2.1.2.4 适航指令（ADS）

在动态事件发生后适航当局可能采取相应的措施，这种措施表现为适航指令（ADS）。
在适当时，ADS 可以要求受到影响的 MMEL / MEL 进行更新，如 AD 中的“强制措施”。随
着 AD，局方及航空公司需要颁布“临时性的 MMEL”和“最终修改的 MMEL”。因此任何版本的
MMEL 必须符合 AD 的相关要求。

2.1.3 MMEL 项目评估的用途及组成

MMEL 项目评定是向相关部门提交的 MMEL 项目审查材料，通过一定的安全性分析，包

12
 南京航空航天大学硕士学位论文

括定性分析与定量分析等一系列评估手段来证明通过一定的运营或维修限制，在某写部件故障
时，飞机可以继续运行而保持规定的安全等级，它对 MMEL 的最终批准起着至关重要的作用。
初始主最低设备清单评估报告应包括 MMEL 侯选项目和评估，并应与 ATA2200 标准编号
系统保持一致。每个 MMEL 侯选项目和评估应包括两个部分:MMEL 候选项目部分及 MMEL
论证部分。

2.1.3.1 MMEL 候选项目部分

(1) MMEL 的立项原则

1) MMEL 中不含有故障后会严重影响飞机性能的部件或系统。
2) MMEL 中不含有与 AFM 或相关适航规章相矛盾的部件。
3) 对于那些影响飞机安全性水平，但由于有冗余的、可以通过一定的运营限制和维
修程序来保证安全性等级的部件可以纳入 MMEL 中。
4) 对于不影响飞机安全性等级的部件或设备不纳入 MMEL 中
(2) MMEL 候选项目部分的组成
MMEL 候选项目部分应包括以下信息:系统和序号;修复期限类别;安装数量;签派所需数量;
备注和例外。
咨询通告 AC－121 /135－49 中对以上信息进行详细的规定[16]。

2.1.3.2 MMEL 论证部分

在 MMEL 候选项目部分后为 MMEL 论证部分，包括了 MMEL 侯选项目的证明支持材料。

这部分包括以下几部分:
(1) 系统说明;
“系统说明”指的是所论证的部件或系统的解释，涵盖功能定义、部件或系统的使用方法等
其他为 MMEL 论证服务的项目。也可以包括部件或系统的构成图、位置图、原理图等等。
(2) 失效影响;
“失效影响”为 MMEL 论证提提供以下材料:MMEL 侯选项目故障对操作的影响;对飞机
运行( 性能) 的影响;对飞行机组的影响;继发失效影响
除此之外还需要包含故障后的 EICAS 提示，机组或机务如何得知故障发生以及什么时候可
能会发现故障等信息
(3) 继发失效的影响;
在完成评估故障所造成的影响后，还需要提供其他设备或部件如果也发生故障，对故障设
备的影响，对 AFM 的影响以及是否提高机组成员的工作量等。也要包含机组警告系统的提示
信息。

13
 面向签派可靠度的 MMEL 制定技术研究

在分析继发失效影响时，只做定性分析，通过相关专家及工程人员判断在设备故障后继续
发生什么样故障会导致危险事件发生。
(4) 维修程序(M) ;
“维修程序”指的是为了飞机进行带故障运行而需要做的维修程序。如果与之相关的 AMM
是完全的维修流程，则在编写 MMEL 时需要带有相应的维修流程
(5) 运行程序(O) 。
“运行程序”指的是为了飞机进行带故障运行而需要做的运行程序
在按照 MMEL 进行签派时，由于 AFM 会需要 MMEL 中的一些设备或部件，所以 AFM 可
能受到改变。由此“运行程序”提供了相应的临时解决办法。这些程序直接告诉维修人员需要做
的工作，而不会详细的解释如何去这些工作。
MMEL 项目的论证包含所有的项目评估结果，以此论证飞机可以在这些设备或部件不工作
时保证最低安全性要求。

2.1.4 MMEL 候选项目的分析

1) MMEL 候选项目的分析用途

进行 MMEL 项目分析用来证明在这些设备或部件故障时能保持一定的安全性等级或者通
过一定的操作程序和维修程序保持一定的安全性等级。安全性等级的保证手段可以有进行操作
限制、使用备份设备或通过安全性分析证明此设备故障不造成安全性影响
安全性论证包括定量和定性两个方面，从定性论证得知部件或设备故障后的影响包括对对
飞机和机组的造成的损害。从定量论证得出部件或设备失效后产生危险事故的概率，参照适航
规章以判别是否满足安全性水平要求，即是否纳入到 MMEL 中。

2) 定量安全分析

针对安全性要求，即影响越严重的故障，要求其发生的概率越低。为了有效的判断飞机是
否保证一定的安全性水平需要进行定量的安全性分析：
定量安全性分析将故障可能导致的后果分为灾难、危险、较大、较小、无影响五类。由此
需要通过一系列的计算得出发生的概率。同时对比适航条款的要求以验证是否符合适航性。设
备故障所产生的影响由故障率、安装数目以及工作时长决定的。在关键的部件或设备需要带故
障运营时，要对飞机安全性水平进行重新估计，以确定符合适航安全性要求。
通过 MMEL 可以得知什么设备或系统故障后飞机可以继续运营，以及带故障运营的时间，
在 MMEL 中根据故障项目及造成的后果不同，带故障运营的时间也不同。如果一个设备或部件
需要进行安全性定量分析则需要计算带故障运营时间。

14
 南京航空航天大学硕士学位论文

3) 定性安全分析

为了合理的将设备或部件纳入到主最低设备清单中需要对故障造成的影响及后果进行定性
分析，以确定故障对飞机、机组和乘客造成的影响。同时还需要确定相应的维修与运营程序
以一个燃油系统的 MMEL 候选项目分析为例，通过定性安全分析的方法分析燃油系统是
否能保持连续除水功能，若要保持功能要符合以下情况中的一种：
1) 3 个除水引射泵可以不工作，但确认有一个除水引射泵是正常工作的。
2) 2 条除水管路中的 1 条除水管路可以不工作，但需要确保另外一条是正常工作。

4) 冗余性分析

冗余指的是设备的有多重备份或者其功能可以由其他部件取代。MMEL 中可以进行故障保
留的设备或系统一般具有冗余。在这种情况下，功能没有缺失可以保证飞机的安全性水哦。所
有的选装设备都可以被认为是冗余设备，可以纳入 MMEL 中即可以带故障运行。
例外的是针对适航要求的冗余设备，不可以直接纳入到 MMEL 中，需要进行安全性论证以
证明安全性水平。

2.1.5 MMEL 项目修复期限

MMEL 对飞机带故障运营的有时间限制，根据相关适航法规及条款，故障需要在限定期限
内尽快被修复，如果因特殊原因不能被修复需要向局方申请修复期的延长。

2.1.5.1 修复期限定义

进行 MMEL 编写时需要对带故障运营的设备的修复期限进行划分，修复期限等级由高到低
分为四类如表 2.3 所示，表示可以带故障运营的最大时间，MMEL 修复期限的选择需考虑如下
因素：保证相应的安全性等级、防止随着时间的推移而造成的继发失效、防止过量维修。
根据 JAR  MMEL / MEL.040 中的定义复期限 A、B、C、D 四类时间如表 2.3 所示：
表 2.3MMEL 修复期限
修复期限等级 A B C D

时间 需要根据安全性评估进行计算 3 10 120

2.1.5.2 MMEL 项目的修复期限的确定

对于不同的 MMEL 项目修复期限应根据相应情况进行确定。对于飞机基础的设备或部件，

应该至少为 C 类修复期限。在通过一定的安全性分析后需要通过一定的运营及维修限制才能带
故障飞行的设备或部件应该至少为 B 类维修期限。大部分选装设备为 D 类维修期限。
对于 A 类维修期限，针对需要经过定量安全性分析的部件，通过一定的计算得出。A 类维

15
 面向签派可靠度的 MMEL 制定技术研究

修期限时间可能短于 B/C/D 类维修期限，也可以长于 B/C/D 类维修期限。

修复期限的单位通常有日历日时间和飞行日两种
1) 日历日
JAA 及 FAA 共同使用日历日作为维修期限单位。日历日是指与世界时间（UTC）相一致的
午夜到下一个午夜的 24 个小时。

图 2.8 日历日概念
2) 飞行日
某些 A 类维修期限使用飞行日概念。一个飞行日是指由运营人指定的，可以是世界时间
（UTC）为基准的午夜到下一个午夜的 24 个小时，也可以使以当地时间为基准的午夜到下一个
午夜的 24 个小时。因此两个飞行日在日历日上可能不连续，如图 2.9 所示：

图 2.9 飞行日概念

2.1.5.3 修复期限延长

在超过修复期限后，飞机就不能继续运营。然而按照 CS -MMEL / MEL.081，运营人对于

B/C/D 类修复期限可能被允许一次性的修复期延长。对于 A 类修复期限则不可以进行修复期限
延长。

16
 南京航空航天大学硕士学位论文

2.1.6 故障分类

在飞机的初步设计阶段，需要识别每一个潜在的故障。所以需要分析每一个潜在的对运营
和维修产生影响的故障以及对安全性造成的后果。
在飞机层级上，故障通过“中央故障显示系统”对机组人员进行提示。所以在参考空客对故
障划分的基础上，根据对运营和维修影响将故障分为Ⅰ级、Ⅱ级和Ⅲ级。
1) Ⅰ级失效为对运营产生影响的事件、即对签派可靠度产生影响是故障。
2) Ⅱ级失效为在 ECAM 维护状态上提示的故障。
3) Ⅲ级失效为不对运营产生影响也不再 ECAM 维护状态上提示的故障。

2.1.6.1 一级失效

Ⅰ级失效对飞机运营产生影响同时可能影响飞机签派。因此所有的Ⅰ级失效要么被列入
MMEL 中，要么不允许放行。
运营人必须根据 MMEL 判断Ⅰ级失效是无条件放行（GO）、有条件放行（GO IF）还是不
允许放行（NO GO）。机组人员通过以下方式得知Ⅰ级失效：飞行员头顶上的指示面板的报警；
ECAM 显示单元提示；机舱内告警指示。

2.1.6.2 二级失效

Ⅱ级失效主要通过以下两个方面进行判断：
没有对运营与签派产生影响；通过 ECAM 上的维修信息告知机组。
所有的Ⅱ级失效应被列入 MMEL 中，MMEL 清单顺序与 ATA-100 章节顺序相同。对于所
有无条件放行的Ⅱ级失效，修复期限为 C 级或 D 级。同时所有的Ⅱ级失效需要根据故障排除手
册（TSM）进行调整，因此Ⅱ级失效可以保留故障到下一次的 A 级检修，同时需要在下一次的
A 级检修后完成维修。

2.1.6.3 三级失效

Ⅲ级失效主要通过以下两个原则进行判断：
1) 不产生运营影响
2) 不对机组人员进行故障提示
对于Ⅲ级失效可以无条件放行，若要放入 MMEL 中修复期限为 D。

2.1.6.4 失效及后果总结

故障划分及判断规则如表 2.4 所示：

表 2.4 故障划分及判断规则

17
 面向签派可靠度的 MMEL 制定技术研究
故障等级 Ⅰ级失效 Ⅱ级失效 Ⅲ级

是否有运营影响 有 无 无

是否对机组进行提示 在驾驶舱自动显示 在 ECAM 状态栏提示 无

有（参照 MMEL） 无 无

GO
是否有运营及签派影响
GO IF GO GO

NO GO

2.1.7 小结

本节对论文涉及到的主要 MMEL 制定基础理论进行了简要梳理。首先，对 MMEL 的作用

及目的进行说明，对 MMEL 相关定义简要介绍；其次，介绍了 PMMEL、MMEL 及 MEL 之间
的相互关联；再次，对 MMEL 的文件内容及格式解析；最后，对 MMEL 制定的政策和法规要
求进行了详细的分析，主要包括：EASA 政策及法规规定、FAA 政策及法规规定、CAAC 的相
关政策、适航指令等。这些研究分析基础对论文后面的民机 MMEL 制定中关键技术研究研究打
下了坚实的基础。

2.2 民机安全性分析要求及方法
2.2.1 民机安全性工程概述

在民用航空领域中，飞机的安全性是一切的基础。由此安全性是民机设计时首先满足的要
求。一种机型若想进入市场运营必须要通过局方的适航审查，即要满足适航条款中规定的最低
安全性水平。
随着民用航空的发展，飞机安全性设计理论和方法也逐步完善。通过一系列安全性分析评
估方法可以保证飞机的安全运营，从而推进了民航业的进步。总的来说，在飞机的设计阶段开
始安全性设计可以有效的提高飞机及系统的安全性水平。在保障人员安全的同时减少了研发周
期，修正费用等。对于民机的研制有重要的意义。

2.2.2 安全性目标的提出

安全性目标的提出是进行安全性论证的依据。安全性目标包括定性目标与定量目标，定性
目标指的是用一种非量化的形式来描述对产品安全性的要求；定量目标采用安全性参数、指标
来规定对飞机或系统安全性的要求。

18
 南京航空航天大学硕士学位论文

2.2.2.1 适航要求

中国民用航空运输类飞机适航标准，明确规定了民用飞机设备、系统及安装应满足的要求，
飞机以 CCAR25 部作为适航取证依据，需要满足 CCAR25.1309 条款规定的安全性要求[17]，

2.2.2.2 定性要求

适航性是飞机按照规定的使用条件和限定，安全的完成、保持和结束飞行的特点，即飞机
的固有的安全性。飞机适航条款是世界各国公认并遵守的适航标准。世界上各主要飞机制造过
都有适航部门和适航条例。适航条例对民机提出的安全性要求是保证民机安全的最低标准。因
此，民机首先必须严格开展安全性论证，满足适航条例规定的安全性要求。
我国民航航空条例 CCAR25 、美国联邦适航条例 FAR25 和欧洲联合适航条例 CS25 一级有
关的咨询通报和说明文件对民机故障状态影响的严重性规定了定性的要求。例如美国联邦航空
局咨询通报 AC 25.1309-1A“系统设计与分析”和欧洲联合航空局联合咨询材料 AMJ 25.1309“系
统设计与分析”对民用飞机提供了如下定性安全性要求。
1) AC 25.1309  1A 对故障状态严重性的规定
（1）灾难（catastrophic）,阻碍飞机连续安全的运营及着陆。
（2）较大（major）
，降低飞机的性能或降低机组处理不利运行条件的能力。例如：a)飞机安全
系数和能力显著降低，显著增加机组工作负担，或降低机组工作效率，成员感到不舒服.b)
在更严重的情况下，飞机安全系数和能力大大降低，结构损坏或工作负担大大增加，机组
不能准确或圆满完成任务，或者对成员有不利的影响。
（3）较小（minor）,不显著降低飞机安全性，而且机组处理不利运行条件的能力没有降低。
2) AMJ25.1309 对故障状态严重性的规定
（1）灾难（catastrophic）,导致飞机毁坏或机上人员死亡。
（2）危险（hazardous）,导致飞机安全系数大大降低,结构顺坏或工作负担增大,使机组不能准确
或圆满完成其任务,或少量乘员严重受伤或死亡。
（3）较大（major）
，导致飞机安全系数明显降低，由于工作负担增加或运行条件有损于机组的
效率而使他们处理不利运行条件的能力下降，或乘员受伤。
（4）较小（minor）,导致飞机安全系数稍微降低，工作负担稍有增加，常规飞行计划改变，或
对乘员有影响但不受伤。

2.2.2.3 定量要求

系统或设备定量的安全性要求，通常采用各种安全性参数和指标进行度量，常用的安全性
指标有事故率、安全可靠度、故障状态发生率和风险率等。

19
 面向签派可靠度的 MMEL 制定技术研究

CCAR25、FAR25 和 CS25 及有关的咨询通报和说明文件对民用飞机故障状态发生概率规

定了定量的要求。例如美国联邦航空局咨询通报 AC25.1309-1A“系统设计与分析”和欧洲联合咨
询材料 AMJ25.1309“系统设计与分析”对民用飞机规定了如下定量安全性要求。
1) AC 25.1309  1A 对故障状态发生率的规定
(1) 可能,在每架飞机的使用寿命中，预期发生一次或多次的故障状态，其概率量级为 10-5 或更
大值（概率单位为 1/飞行小时或飞行次数）
(2) 不可能,在每架飞机的使用期限中预期不发生，单在某机型所有飞机的总使用期限内可能偶
然发生的故障，其概率量级为 10-5 或更小值，但大于 10-9
(3) 极不可能,在某机型所有飞机的总使用寿命期中是极不可能发生，以至于预期不发生的故障
状态，其概率量为 10-9 或更小值。
2) AC 25.1309  1A 对故障状态发生概率的规定
(1) 可能,在每架飞机的使用寿命其中是很有可能经常发生的故障状态，其概率大于 10-3 。
(2) 相当可能,在某机型每架飞机的使用寿命其中不大可能发生，单在某机型所有飞机的总使用
寿命其中可能发生几次的故障状态奇概率为 10-3 ~ 105 。
(3) 很少,在某机型每架飞机的使用寿命期中不大可能发生,但还得认为是有可能发生的故障状
态,其概率是 10-7 ~ 109 。
(4) 极不可能,其可能性小刀不必认为有可能发生的故障状态，其概率小于 10-9

2.2.3 民机安全性分析与评估过程

在民机相关适航规章中，对飞机各个部件及整机的安全性水平提出了目标值，所以在飞机
的设计阶段需要以此为目标，通过一定的安全性设计与分析使得飞机及系统的安全性水平可以
满足相应的适航要求。 SAE APR4761 提供了民机安全性分析的技术和方法。
安全性分析评价过程包括功能危险分析（FHA）、初步系统安全性评价（PSSA）、系统安全
性评价（SSA）和共因分析（CCA）等。安全性评价过程开始于方案设计阶段并得出设计的安
全性要求。随着设计的不断改进，更改后的设计业必须进行再评价，从而产生新的设计要求。
这种安全性评价要求反复迭代一直进行到设计符合安全性要求终止，如图 2.10 所示：

20
 南京航空航天大学硕士学位论文

飞机研制伊
飞机研制伊
整机FHA
整机FHA 始，对飞机
始，对飞机
基本功能进
基本功能进
行的高层次
行的高层次
未通过
、定性评估
、定性评估
交适航
交适航
审定
审定
明确地识别
明确地识别
通过
每种失效状
每种失效状
态及其分类
态及其分类
的理由
的理由
FTA报告
整机FTA
整机FTA
FTA报告
（定性）
（定性） 对建议的系
对建议的系
统架构进行
统架构进行
的系统检查
的系统检查
系统FHA
系统FHA
，以确定失
，以确定失
报告
报告
系统FHA
系统FHA 效如何引起F
效如何引起F
HA所识别的
HA所识别的
功能危险
功能危险
PSSA报
PSSA报
告
告
PSSA
PSSA
对所实施系
对所实施系
统的系统、
统的系统、
综合的评估
综合的评估
SSA ，以表明满
，以表明满
SSA报告
SSA报告 SSA
足安全性要
足安全性要
求
求

交适航
交适航
审定
审定
通过
完成符合性验证
完成符合性验证

图 2.10 安全性分析流程模型

2.2.3.1 初步系统安全性评估(PSSA)

PSSA 的目的是利用 FHA 的结果对系统进行安全性评价，完成故障状态表和每一种故障状

态相应的安全性要求，说明系统满足各种危险的安全性目标值所以采用的方法。其分析方法可
以是定性或定量的。
PSSA 是一种从上至下的迭代分析过程。PSSA 过程是对系统构成进行检查以确定故障如何
能导致 FHA 确定的危险，已经如何能满足 FHA 确定的安全性要求。
PSSA 在飞机的概念设计阶段开始，将功能需求分配给各个飞机系统，继而分配个产品、
硬件与软件的一种连续性流程。通过安全性水平的分配从而制定软件与硬件的保证等级，在日
后的规范中，这些要求与限制得以体现。
在 PSSA 过程中需要找出 FHA 中导致功能失效的故障。通过 FTA、DDA、MA 等方法可
找出引起功能丧失的影响因素。需要包括：共因导致的故障、硬件失效、可能的软/硬件错误。
考虑相互影响、各个系统或部件的安全性要求。同时考虑可能产生的其他故障和暴露时间。

21
 面向签派可靠度的 MMEL 制定技术研究

PSSA 可能有多个层次。最高级别的 PSSA 是由飞机级别或系统级 FHA 发展过来。较低层的 PSSA

是由较高层 PSSA 的输出发展的。PSSA 的评价过程如下：
(1) 列出飞机和系统层安全性目标。
(2) 决定飞机和系统结构以及预测方案设计能够满足预期的安全性要求的可能性。
(3) 导出更低层次产品设计、飞机制造、其他系统和飞机运营的安全性要求。
PSSA 分析中主要输入有：1.系统级 FHA 2.飞机级 FTA 。系统级 FHA 可获得功能失效状态及
危险等级；飞机级 FTA 得到相应功能失效。 CCA 对整机级 FTA 进行补充，指出系统级 FTA 的影
响。

2.2.3.2 系统安全性评估（SSA）

SSA 对评价的系统进行全面的评定，以证明是否达到相应的安全性目标。SSA 与 PSSA 的

分析过程相似，区别与分析的范围。其差异性表现在于 PSSA 是对系统结构进行分析并得出整
机或系统的安全性目标；而 SSA 是对系统是否达到 FHA 和 PSSA 所规定的安全性水平。
SSA 结合多种分析的结论来证明整个系统符合安全性要求并包括在 PSSA 确定的全部具体
的安全性考虑因素。在每个不同层次完成的 PSSA，需要进行相应的 SSA。系统层的 SSA 是最
高层次的 SSA，对每个评价的系统，SSA 归纳了全部重要的故障和其对整机的影响。SSA 可采
用定性和定量的评价方法。
SSA 是一种由下至上的分析过程，用来证明符合设计的安全性目标。SSA 评价的过程如下：
(1) 验证符合在系统层 FHA 的设计要求
(2) 确认故障状态对飞机层影响的划分是合理的。
(3) 验证规定的安全性要求或者由飞机设计要求和目标导出的安全性要求已满足。
(4) 验证在 CCA 分析中确定的设计要求已满足。
(5) 建立系统层的 SSA 与飞机层的 FHA 之间的联系。

22
 南京航空航天大学硕士学位论文

图 2.11 安全性评估图

2.2.4 安全性评估分析方法

2.2.4.1 功能危险分析(FHA)

FHA 是指全方位的按照层次确定飞机和系统及部件的各类功能，用来明确其可能的功能失
效，通过判断造成后果的程度来划分影响类别及失效状态。由此可得知在其正常运行时可能发
生的危险及后果。为了进行安全性分析，需要明确其危险的状态，最终可以在飞机的生命周期
内对其进行控制。
民机制造商应对飞机/系统进行 FHA，以获得初始风险评价，这种评价应根据相似飞机/系
统的可用数据（包括事故数据和其他的经验教训）
、对于功能设计或结构设计有关的功能进行分

23
 面向签派可靠度的 MMEL 制定技术研究

析，包括对输入输出、关键借口、功能故障状态和对每个故障状态的严重程度的评价，以及对
为降低安全风险或将风险控制在用户可接受的水平所需的安全性要求和安全性约束的评价。
民机 FHA 由整机级 FHA 和系统级 FHA 组成。这两种 FHA 分析工作的方式与规则都是相
同的。
整机级的 FHA 的分析目标为飞机整机，分析飞机处于不同的飞行阶段或飞行包线情况下会
对飞机正常运行造成影响的故障。是在飞机概念设计阶段时基于飞机基础功能的定性评估，其
需要明确对飞机整机功能的故障状态和对其进行划分[18]。
系统级的的分析目标为飞机的系统，分析飞机处于不同的飞行阶段或飞行包线情况下会对
系统正常运行造成影响的故障，在进行系统级 FHA 时，使用 ATA-100 进行编号。分析过程如图
2.12 所示：
飞机功能危险分析需要进行两次，分别为 PFHA 与 FFHA：
(1) PFHA 在飞机研制的初步阶段开始，其意义是：
1) 及早获取或提供如系统原理的危险性评估;功能故障后果划分和其最大允许失效概率要
求;确定下一部安全性分析的深度和广度等信息。
2) 为降低造成危险的功能故障及增加功能提供意见
3) 提供进行 FFHA 的框架。
(2) FFHA 在飞机详细设计阶段时进行，其意义是：
1) 提供有关的文件纪录（论证可能的功能危险及其影响分析的合理性和论证进行的安全性
设计是充分的。）
2) 获得一个由上而下生成的 FHA 清单，以验证通过 FMEA 由下至上生成的 FMECA 清单。

24
 南京航空航天大学硕士学位论文

系统级FHA
飞机功能分析

系统功能分析 上层要求
（系统功能技术规范,包括特定系统
规章以及飞机级FHA衍生要求）

系统主要功能和 系统主要失效状
飞行阶段 态及相关要求

系统功能（内部和交互）
系统功能（内部和交互） 系统级考虑的应
系统级考虑的应
系统功能失效分析
系统功能失效分析
及其飞行阶段的描述
及其飞行阶段的描述 急及环境构型
急及环境构型

系统级交互功能清单
系统级交互功能清单 在系统级确定：
在系统级确定：
·· 相关失效状态
相关失效状态
·· 影响
影响
·· 失效状态分类
失效状态分类
系统级功能清单
系统级功能清单
·· 探测（机组/地
探测（机组/地
面）
面）
·· 机组动作
机组动作
·· 证明材料
证明材料
飞行阶段
飞行阶段

系统设计和较低层次活动（PSSA和SSA）
系统设计和较低层次活动（PSSA和SSA）
考虑的要求和失效状态清单；
考虑的要求和失效状态清单；
·· 失效状态分类
失效状态分类
FHA过程
·· 定性和定量要求
定性和定量要求
·· 功能研制保证等级
功能研制保证等级
下一级或上一 ·· 证明材料清单及跟踪
证明材料清单及跟踪
级活动

设计过程中FHA要求的传递（接口文件）
设计过程中FHA要求的传递（接口文件）

系统级定性或较低层次要求
系统级定性或较低层次要求
（定性和定量的要求，保证
（定性和定量的要求，保证
质量等级等）
质量等级等） 共因分析
共因分析 证明材料
证明材料 地面试验
地面试验 飞行试验
飞行试验 其他
其他

系统级要求 验证活动

图 2.12：系统级功能危险评估

25
 面向签派可靠度的 MMEL 制定技术研究

2.2.4.2 FTA

故障树分析（FTA）是一种演绎性的失效分析方法，即 FTA 为自上而下的系统分析过程。

对于可能对安全性造成影响的故障进行分析，得出引起该故障的各类原因，最终得出导致故障
发生的单一故障或失效的集合。底事件指的是无需继续分解的事件
FTA 的用途主要由 1.便于适航当局对飞机或系统进行安全性评估；2.评估设计改变对安全
性的影响；3.量化顶事件的发生概率；4.对下一级故障分配失效值等等。

2.2.4.3 FMEA

FMEA 是一种识别系统、组件、功能或单个零部件失效模式并确定其对更高层次设计所产
生影响的系统性方法，同时也确定对各失效状态的探测方法。FMEA 可以是定性分析，也可以
是定量分析，并且适用于所有类型的系统。如果执行定量 FMEA，则确定每一失效模式的失效
率。FMEA 的结果可用于形成失效模式和影响摘要（FMES），并且通常用于支持 SSA 过程的其
他分析技术，诸如 FTA、DDA、MA 。简而言之，FME(C)A 是一种自下而上的系统性分析方
法，用于确定系统、产品的故障状态并决定对上一个层次设计的影响。

2.2.4.4 CCA

共因事件指的是由相同的因素引起的危险事件。CCA 用于确定导致危险故障状态的各类故
障状态的各种故障模式或外部事件。为了符合所确定的安全性目标，要求各个系统与设备之间
相互不关联。因此为了确保独立性的存在或者与相关性有关的风险是可接受的，需要进行共因
分析，以证实各个功能、系统或部件之间具有独立性或者识别专门性。特别是 CCA 用于确定
可能导致灾难性的或者较大的故障状态。这一类可能造成灾难性的失效的共因事件禁止发生，
可能造成较大的的失效的共因事件发生的概率必须在一定的范围内。
共因分析包括特殊危险分析（ PRA ）、共模分析（CMA）和区域安全性分析（ZSA）
1) PRA
PRA 用于分析和评价发生在系统/产品以外的，但可能违背故障独立性要求的那些事件或者
影响。由于适航性要求，对某些典型的风险要进行分析，如着火、高能设备、液体泄漏、结冰、
下雪、鸟撞击、闪电、高强度辐射场等风险。对上述每种风险要进行专门的分析研究，确定他
们的级联影响或同时产生的影响，以确保与安全有关的任何影响应消除或控制在可接受的范围。
2) CMA
在整个安全性分析过程中，执行共模分析（CMA）。CMA 是一种用来确保设计“良好”的定
性分析方法。使用设计经验以一种逻辑方式来检查部件的综合。在从组件设计到飞机级设计的
所有层面上，实施这一做法。本分析应包括对组件内部件（部件/组件级 CMA）以及它们如何

26
 南京航空航天大学硕士学位论文

装配成更大系统（系统/飞机级 CMA）的评价。
3) ZSA
传统上，仅基于系统设计图表进行系统安全性评估。该方法没有充分意识到系统硬件的物
理安装能够显著削弱产品之间的独立性。因此，定义一项分析方法，使其考虑飞机上各个系统
／组件的安装关系以灰机上安装非常邻近的各系统组件之间的相互干扰。这种分析方法称之为
区域安全性分析。

2.2.5 小结

本首对安全性分析方法进行了简要的介绍，并指出安全性目标提出方式及原因。在完成飞
机的安全性目标提出后，需要对民机安全性分析与评估流程进行详细的了解与分析，得出安全
性分析评价过程，包括功能危险分析（FHA）、初步系统安全性评价（PSSA）、系统安全性评价
（SSA）和共因分析（CCA）的相互关系。最后对各类安全性评估方法进行了详细的介绍与分
析。

27
 面向签派可靠度的 MMEL 制定技术研究

第三章民机签派可靠性分析与研究

3.1 民机签派可靠性概述
近些年我国民航业高速腾飞，然而航班延误也逐步增多，由此极大的影响了航空公司的服
务质量和盈利水平。所以航空公司作为客户对民机的签派可靠度有相当的要求。飞机签派可靠
度的高低主要在飞机的设计阶段所决定。特别是合理的MMEL制定，对影响飞机的签派可靠度
有很大的影响，若能合理地进行MMEL项目制定，并在制定MMEL时针对签派可靠度对飞机可
靠度的设计进行控制，并调整系统的结构，可对飞机的签派可靠性进行显著提高
(1) 签派可靠性的相关定义
在民航领域，运营人的的运营可靠性，主要通过签派可靠度来衡量，即通过航空公司计划
航班的准时离港率（没有造成航班取消或者延误超过15分钟）来衡量，运营人用这种方法来跟
踪航班延误。延误的种类为：维修、飞行航务、空中交通管制等原因，需将原因作相应的记录。
对于民机制造商而言，其机型的签派可靠度主要由机械维修导致。所以本论文的签派可靠
性定义为：指没有因为机械原因（设备故障、失效）导致的延误超过15分钟和航班取消的能力。
这主要与飞机的可靠性和维修性有关，可靠性参数（MTBF）反映了产品无故障时间，MTBF
越大，则说明产品的可靠性越高，产品越不容易发生故障；维修性参数（MTTR）反映了产品
维修所需时间，MTTR越小，则说明产品的维修性越好，产品在发生故障后能够及时地修复，
使其恢复正常。
(2) 签派可靠性与固有可靠性、维修性的联系
航空公司十分看重飞机的可靠性和维修性，优良的可靠性和维修性是民用飞机优异设计的
体现。航空公司会优先选择那些可靠性和维修性卓越的飞机，才能保证航空公司获取丰厚的利
润。签派可靠度可以用下式（3-1）来表示它与固有可靠性、维修性的关系。

DR  t   R  t   1  R  t   M( ) （3-1）

式中， DR 为签派可靠度； R 为固有可靠度； M( ) 为发现故障后在15min内修复的维修

能力。
签派可靠性受固有可靠性和维修性（飞机维修性、维修力量、备件资源）特点影响，所以
签派可靠性设计实质是对飞机固有可靠性和维修性进行设计[19]，即通过系统及部件可靠性及维
修性的提高，使得飞机能以最快的维修速度、最小的维修成本、维修时间、维修人力、维修设
备等获得最大的签派可靠度。
对于民机的研制，签派可靠度与其他参数一样为飞机设计的顶层参数。航空公司及乘客也

28
 南京航空航天大学硕士学位论文

将签派可靠度作为衡量飞机运营情况的重要技术指标。对于飞机部件/系统故障而言是否可以带
故障飞行时直接影响签派可靠度的因素，由此MMEL是是研究的关键。签派可靠度与飞机的固
有可靠性、运营环境和地面支援能力（包括技术能力和维修资源情况）有关。在MMEL项目制
定的过程中必须针对飞机的固有可靠性、运营环境和地面支援能力进行选取设计，并通过可靠
性设计方法和控制技术来保证飞机的签派可靠度的要求[20]。

3.2 民机签派可靠性影响因素分析
3.2.1 民机签派可靠性设计因素研究

设计制造因素指的是在飞机设计时影响签派可靠度的因素，这些因素主要都从可靠性和维
修性进行考虑的。由于设计因素主要是在设计阶段决定的，所以这飞机一旦投入运营，再进行
提高与修改就十分困难。而且设计制造因素对于签派可靠性的影响是决定性的，无论在运营后
进行如何的加强，都不能做到本质的改变，而且后期的改善成本十分高昂。
对于签派可靠性影响因素的定量考虑，主要通过 MTBF 、 MTTR 和 MLDT 来进行衡量。
(1) 可靠性：平均故障间隔时间（MTBF）是系统和部件可靠性设计的重要性能指标，尽管
控制 MTBF 是系统设计的主要措施，但其他因素，比如培训不足导致在操作和维修上的错误或
疏忽，也可以有效地降低。

签派可靠性

可靠性 维修性 保障性

备件水平
LRU设计
测试设备
维修质量 维修人员技能
维修人员数量
LRU可靠性 培训
培训
运营环境 技术数据
运输
内置的测试设备
财政经费

图 3.1 飞机签派可靠性影响因素
(2) 维修性：平均修复时间（MTTR）是部件维修性设计的主要参数。由物理维修性设计所
影响。比如可达性，包括机内设备自检在内的额外的诊断能力，检测设备有效性，故障诊断手
册,维修人员的培训、可用性、质量等。
(3) 保障性：平均备件支援时间（MLDT）主要由管理因素影响，包括后勤系统的运营和对
于系统支持和维修的资源分配。值得注意的是 MTBF 降低会对后勤资源增大压力，而这会导致
MLDT 的增加。MLDT 由很多方面影响，比如备件存储等级、接收到备件的时间、维修基地的

29
 面向签派可靠度的 MMEL 制定技术研究

能力和地点等。

3.2.2 民用飞机签派可靠性运营因素研究

许多不同影响签派可靠度的事件都是由飞机相关运营因素所造成的，航班的延误有很大部
分是因为运营质量不佳、后备支援力量的不足。但是，制定一个行之有效的管理方案将会改善
民机的签派可靠性。这类因素与其他两类因素一样重要，但是它们都是受运营者的直接控制，
主要运营相关的因素有：
3.2.2.1 各运营人所制定的 MEL
MEL 是运营人依照局方批准的 MMEL 制定的，需要认识到飞机的构造、选装部件、运行
状况、维修状况、飞行路线及适航法规中的等需求。 MEL 需要局方批准后才生效。
1) 运营人的 MEL 可以与局方发布 MMEL 不同，但是必须严格与 MMEL 。在 MEL 中的
设备或部件的功能缺失情况下，飞机可以继续保持相应的安全性水平。 MEL 编写需
要遵守以下规则：1）飞行手册 (AFM) 中的限制条件；2）应急程序要求；3）适航指
令的规定及要求。
2) 航空公司的 MMEL 的运营程序和维修程序需要对于指定的飞机类型有效。
3) MEL 应满足运行合格审定及航空公司运营时运行相应规定。

3.2.2.2 运营人和维修公司的维修能力
维修能力的高低会影响到飞机航前、过站、航后以及定检工作的效率，维修能力强能够保
证飞机在短时间内对故障进行排除或修理，从而降低飞机的延误率与航班取消率。
维修人员必须具备丰富的维修经验和高质量的维修技能，越强大的维修实力越能大程度上
改善飞机的签派可靠性。相反，维修经验和水平的缺失，将会影响飞机签派可靠度。技术专家
能够准确及时地处理故障问题，在故障诊断和处理工作中多安排高水平的技术专家，从而有助
于提高飞机签派可靠度。
维修能力包括：维修人员的数量、水平、人机比、工程技术、质量、维修计划和控制、培
训管理等因素，具体要求可以参考CCAR-121部的咨询通告。可以通过加强运营人工程能力、
维修行业核心维修能力建设、加强航空公司人员配备和培养、加强行业监管、推进维修数据的
共享和利用等等方法提高飞机维修效率，进而增加运营人机队签派可靠度。
3.2.2.3 工程管理效率
航空公司建立工程管理部门、制定高效有序的工作制度、配备经验丰富的人员等来指导航
空公司日常工作项目的开展。达到有效管理、责任到人的目标；以多方面的监察手段，增强航
空公司的质量管理等级，为航空公司运行能力的提升提供有力的支持和保障。如何去监控、管
理、改善工作程序，使工作效率和经济性达到最优，这是航空器运营者和制造商非常关注的难

30
 南京航空航天大学硕士学位论文

点。
工程管理可以通过多种方法来帮助提高签派可靠度。比如，对处理运营故障的前瞻性、选
取正确的人员培训方法、签派放行程序的预演、维修时间规划、视情维修计划、备件支援的选
择等等。它是签派可靠度一个最重要的影响因素。
因此，通过改善航空公司的工程管理效率，减少不必要时间的浪费，缩短飞机维护保障时
间，使其能够快速地恢复可用性，进而提高飞机签派可靠性。
3.2.2.4 运营者的经济能力
航空器运营者的经济能力在飞机签派可靠性中扮演着一个基本角色。航空公司经济能力强
弱也是综合实力的一种体现，强大的经济实力是航空公司正常有序运营的前提，能够为维修保
障资源、设备、基础设施建设、吸引航空人才、管理体系的建设提供强有力的保障。例如，国
内三大航的经济实力强于一般的小型航空公司，在维修保障资源、备件支援体系上都优于其他
航空公司，但一些小型的航空公司的机队签派可靠度高于三大航，这是因为经济实力只是影响
着签派可靠度，不能决定签派可靠度高低，签派可靠度还与机队规模、航线选择、飞行环境等
因素有关，是综合作用的结果。
航空公司经济能力间接影响着民机的可用性。只有当运营者具有强大的经济能力，飞机才
可用性才能长时间的保持在一个高水平上。
3.2.2.5 机场（基础设备、维修水平等）
在到达目的机场之前，必须提前安排好备降机场，并且配备相应的设施和1到2小时的转场
准备。转场时间是飞机签派的一个重要因素，目的机场的有效设施、技术支持以及所选择的转
场方式都会影响到转场时间。
设计中必须考虑到转场活动，它能够决定LRU维修能力元素（使用权、位置、重要性等）
的最佳组合。良好的机场设施和胜任的技术支持都会减少转场时间，降低延误率。选择适用灵
活的转场模式能够改善飞机的运营能力。
机场的规模、设施条件、方位都与航线和航班的选择有关，而且许多机场晚上会关闭，这
对签派的可靠度都会产生影响。
此外，机场的快速和简洁商业、移民、海关程序、实时的监测设备、地面设施和电力设备
都对签派可靠度有很大的影响。
3.2.2.6 备件计划与备件管理
民机的合理的备件计划于管理目的是增加飞机的保障性。备件即是航材，指的是为了维持
和修复飞机整体、机上部件或系统和地面设备所需要的部件、LRU和修理更换的替换产品。
根据航材的属性可将航材划分为，即周转件、可修件、消耗件、标准件。
备件（航材）计划是备件保障的基石，由维修保障花费中的大部分为购买备件，所以需要

31
 面向签派可靠度的 MMEL 制定技术研究

经过合理的备件计划，有效地制定备件的数目与种类。备件计划对维持飞机的可用性及降低运
营成本有重要的意义，主要体现在：
1) 降低因备件不足而造成的不能运营，增加飞机的可用率；
2) 降低备件储存成本，有效提高备件的利用率；
3) 对相联系的存储、运营等有积极影响；
4) 为备件的购买、采购策略等提供支持
为了提高飞机的签派可靠度，减少经营开支，增强民机的市场竞争力与接受能力，为运营
人尽可能的增加收益，所以要对备件的购买，存储进行深入的分析，依照机型的使用需求、可
靠性、维修性等建立相应模型，最终得出所需要的备件数目，运营人以此为基础进行航材的购
买，最终实现资金的高利用率。
因此，研究签派可靠性就必须考虑到飞机备件计划和管理因素的影响。
3.2.2.7 航班、航线形式
航班模式，即短程和长程航班的签派可靠度影响因素是不同的。长程航班的航行时间会受
到天气条件、风向、风速、繁忙的目的机场的影响比短程航班大。
长程航班大多数是国际航班，由于清洁、供给、航班准备时间长，这就需要更长的过场时
间。登机旅客的安检、移民、海关程序有时就会导致航班延误。
航线的选择也会影响到飞机签派放行，当环境条件比较好的航线，航班准备时间、保障维
护时间相对短；条件严酷的航线，对飞机性能、保障条件、人员配置的要求会更高。
所以在签派可靠性分析，不能仅仅比较机队的签派可靠度，而且还要根据在不同航班、航
线条件下，对机队签派可靠度进行统计、分析、比较，使得课题研究更全面性、实际性。
除了以上因素，影响签派可靠性的因素还有气象条件、乘客、军事活动等其他混合因素。
3.2.2.8 航空规章要求
1) 一般运行和飞行规则
为了规范民用航空器的运行，保证飞行的正常与安全，需要遵守《中华人民共和国民用航
空法》制定 CCAR-91R2[21]。
《一般运行和飞行规则》的主要内容有：
A 章：总则概述，针对飞机机长、驾驶员、机组的职责及身体素质要求做了说明；
B 章：飞行规则，针对飞行规则程序展开说明，包括：飞行前准备工作、可靠安全的飞行
程序、安全注意事项规定。
C 章：特殊飞行运行。
D 章：维修要求，包括：维修要求、航空器修理及改装、维修记录、适航检查等。
等等。

32
 南京航空航天大学硕士学位论文

《规则》是航空器运营人、代管员、飞行员、维修人员都必须遵守的航空安全规章。一切
工作都必须安全有序地进行，签派可靠的前提也必须是飞机的安全飞行，也可以说影响签派放
行安全的因素就一定会影响到签派可靠性。
因此，飞机签派放行必须满足《一般运行和飞行规则》中的条例，否则，很容易导致航班
不正常现象（取消或延误），甚至发生重大航空事故。
2) 签派放行规章
运营人必须对飞机严格的放行标准审核，才能批准飞行。不同的航空公司对飞机签派放行
程序、标准都是不同的。
航空公司为了规范飞行签派工作，提高运行控制能力，确保飞行安全和飞机运行的有效性，
制定适合公司运营情况的《飞机签派手册》。航空公司公司《飞行签派手册》一般按照 CCAR135
的要求，参照国际民航组织文件，并结合公司的实际运行控制情况编写而成。手册中的运行政
策、程序和标准是公司飞行签派员以及公司授权的运行控制人员在履行工作职责时必须遵守的
依据。
《飞机签派手册》一般包括：运行控制系统、航班计划与协调、签派放行与飞行监控、载
重与平衡控制、航空气象、通信、飞机性能、航行情报服务、适航资料管理、特殊运行、运行
管理、航务地面保障管理、系统开发与维护、记录与报告等内容。
签派放行的主要任务包括：制定飞行计划、安排机组人员、获取航线信息、气象条件、审
核签派放行条件等工作。每一项工作都直接或间接影响到飞机的签派可靠性，尤其是当航班在
边缘条件下的运营，不仅极大的影响航空公司航班正点率和经济效益，而且具有潜在的安全隐
患。只有在绝对满足签派手册要求的情况下，飞机才允许放行。
签派放行手册是对飞机飞行、保障、环境条件的严格要求，也是签派可靠性的直接影响因
素。所以针对不同机型签派放行和营运规范要进行相应的研究分析，以便为提高签派可靠度提
出更好的建议和方法。
针对签派放行和营运规范的制定和修改，主要可以从以下几方面来提高飞机机队的签派可
靠度：
 运行控制部门的工作质量提高；
 放行过程分析优化；
 不同机队或不同航空公司之间签派放行资源和信息情报共享；
 签派人员的培训。

3.3 民机签派可靠度设计控制方法研究

33
 面向签派可靠度的 MMEL 制定技术研究

3.3.1 概述

飞机签派可靠度设计贯穿于飞机设计、制造、装配、使用和回收整个生命周期中，需要综
合考虑功能、可靠性、维修性及保障性等因素的影响。签派可靠性反映了飞机在任一时刻签派
放行的能力，是航空公司航班正点水平的重要度量参数。签派可靠度的高低和飞机的可靠性、
维修性及保障性水平的高低密切相关，所以对签派可靠度主要是要从飞机的这三方面进行设计
与控制，三方面相互权衡协调，其之间的关系如图 3.2 所示。在完成飞机设计的同时，以达到
保证提高飞机整机及系统的签派可靠度。

可靠性 维修性

签派可靠性
签派可靠性

保障性

图 3.2 签派可靠性与可靠性、维修性、保障性之间的关系
在可靠性设计方面，其研究重点是认识故障发生的机理与规律，并通过运用这些规律去预
防或控制故障的发生。可靠性设计是以满足用户的可靠性需求为目标，考虑各类影响飞机签派
可靠性的因素，从而对候选方案进行剖析、评价、再设计的方法。可靠性设计目的在于提高飞
机整机或系统的可靠性，降低失效率及故障率。
在维修性设计方面，维修性工程主要是为了在故障发生时，能够及时的修复故障，使系统
在短时间内恢复正常工作。主要通过总体布局设计、LRU 规划、维修性分配与预计、多种因素
综合考虑等方法，以提高系统或部件的维修性，维修性是可靠性的报账。
在保障性设计方面，主要是通过建立起合理优化的飞机签派放行保障系统与保障方案。保
障系统是将飞机运行与维修所需的所有保障资源及其管理进行规划管理，来维持飞机签派放行
工作的正常。
防止失效的发生以及失效发生后及时修复两个问题由可靠性、维修性、保障性共同来解决
的。这三方面的设计方法也存在一定的交叉性，在选用时要注意方法间的协同效应。此外，签
派可靠度工程化设计准则是各种工程经验、教训的总结，它并不限于系统故障的预防与排除，
在实际型号工作中，可覆盖所有行之有效的 RMS 设计方法。

34
 南京航空航天大学硕士学位论文

简化设计

单元级零部件固有低可 元器件、零部件、原
靠性 材料的选择与控制

降额设计

简化设计
系统级不同单元间相
低可靠性 互影响低可靠性
冗余设计

民 环境影响下的低可靠性 环境防护设计
机 民
签 机
派 单元级零部件的固有维
模块化、标准化、互换性设计 签
可 修性差 防差错和标识设计
派
靠 可
性 可达性、可操作性设计 靠
维修拆装不方便
影 简化设计
性
响 久维修性 控
因 测试性差 测试性诊断设计
制
素 体
分 系
析 维修力量不够 维修培训

备件数量管理
备件资源不足
备件资源共享
差保障性
备件资源合理规划
备件资源规划不足
备件资源存放、运输

图 3.3 签派可靠度影响因素分析流程

3.3.2 针对单元级/系统级的可靠性提高的设计方法

为了针对部件及子系统的可靠性进行提高，主要由以下六种方式进行：
1、简化设计
在完成可靠性目标的基础上减少部件或设备的数目，并在保证性能要求的前提下达到最简
化状态，以便于制造、装配、维修的一种设计措施。对增加飞机或系统基本可靠性，减少维修
任务和成本有很大帮助。
2、冗余设计
冗余是飞机或部件获取高可靠性、高安全性设计的一种重要方法[22]。通过增加额外的设备
以保证一个设备故障时，功能不会缺失。“余度”就是指系统或设备具有一套以上能完成给定功
能的单元，只有当规定的几套单元都发生故障时系统或设备才会丧失功能，这就使系统或设备
的任务可靠性得到提高[23]。

35
 面向签派可靠度的 MMEL 制定技术研究

3、容错设计
容错设计的主要内容为在某些部件故障或失效时，系统可以自己完成修复或者对故障进行
包容。但是包容不意味着放任故障不管，而是需要系统自己诊断出失效，再对相应失效进行处
理[24]。容错设计比冗余设计更有广泛性，通过一系列方式最终达到提高飞机及系统可靠性与安
全性的目标。
4、降额和裕度设计
当产品工作应力过大时，很可能引起故障，导致可靠性水平不高。通过提高产品的额定应
力或者降低其工作应力，使产品的工作应力与额定应力之间存在一定的安全裕度，可以提高其
可靠性水平。
5、环境防护设计
环境条件的是指产品从生产、包装、运输、装卸、贮存直至现场的使用与保障阶段，所经
历的各类环境载荷的集合。环境载荷是影响产品可靠性的重要因素之一。环境因素对飞机及系
统的可靠性有很大的影响，由此必须重视对环境的分析，提出针对性的设计方案。
由于各类产品部署的地域、使用条件不同，其所经受的外部环境是不同的，其敏感环境因
素也不相同。因此，环境防护设计所采用的措施也会因产品对象不同而有所差异。
6、元器件、零部件和原材料的选择与控制
电子元器件、机械零部件是产品的基础部件，是能够完成预定功能且不能再分割的基本单
元[25]。原材料是各种基础产品的基本功能赖以实现的基础，而原材料在一定的工作和环境条件
下，尤其是恶劣和严酷的环境条件下，极易产生各种可靠性问题，对整个系统的可靠性和寿命
具有重要的影响，此外，原材料的选择还与产品的性能、成本、进度等密切相关，必须加以控
制。

3.3.3 基于提高维修效率/减少维修工时的方法

维修性设计飞机研制的重要一环。通常，在满足产品基本功能设计的前提下，维修性设计
工作应在产品的总体布局设计、 LRU 规划、定量要求的分配和预计、维修测试方案设计等方
面全面展开，并与功能设计同步，相互协调[26]。
不同的设计阶段，维修性设计所考虑的侧重点也不同。在初始设计阶段，维修性涉及更多
的是系统组成单元间的关系和采用的总体技术方案，而详细设计阶段则更加关注单元自身内部
的维修性设计因素。并且，面对不同的产品层次，维修性设计的关注点和内容不尽相同。
1) LRU 的规划设计方法
LRU 在产品的实际维修中可以节省维修时间，从而提高部件及系统的维修性。LRU 作为在
基层级维修所对应的产品层次，对于指导产品设计、改善维修性设计方面具有重要意义。技术

36
 南京航空航天大学硕士学位论文

流程图如图 3.4 所示：

定性分析 LRU规划设计定性分析方法

LRU规划设计
系统平均修复时间分析

定量分析

系统寿命周期维护费用分析

图 3.4LRU 规划设计技术图
LRU 规划设计要考虑很多相关因素，因此在分析时进行定性和定量分析，定性分析体现分
析的全面性，定量分析则抓住装备系统维修性中最关心的系统平均修复时间和寿命周期维修费
用两项指标进行分析评价，体现了分析的客观性。其主要技术框架如图 3.5 所示。
以下三方面构成了 LRU 规划设计研究的基本框架。
（1）.综合考虑 RMS 中的设计原则，提出 LRU 规划设计的定性因素指标和评价方法。
（2）.根据产品的故障率信息，在既定 LRU 设计方案下，预计系统的参数指标。
（3）.结合产品的故障率信息、费用信息，预计产品的寿命周期维修（LCSC）。
初步功能单元
成本、可靠性、修 数据输入 输出 LRU清单
LRU定性分析
复时间、购件/自制
件、诊断性等

优化数据
可靠性
修复时间 数据输入 LRU-MTTR 输出
诊断性等 定量分析
LRU清单
MTTR
输出 LCSC
成本 LRU-LCSC
可靠性等 数据输入 定量分析

面向RMS的 必要时做设
LRU 计更改！
规划设计

图 3.5LRU 规划设计工程化示意图
大致的分析流程如图 3.5 所示。首先根据产品的功能规划设计，得到初步功能单元清单。
通过 LRU 规划设计，暴露产品 LRU 设计上的问题，达到优化 LRU 规划设计的目的，并在一定
程度上优化产品的性能设计。
LRU 规划设计流程需要多次进行、逐步优化，如图 3.6 所示。
（1）.从装备的原始的功能、产品清单和可以获取的相关信息对 LRU 进行初步规划设计，
这一阶段可能会有多个不同的设计方案。对这些方案进行定性分析。通过定性分析的方案，便

37
 面向签派可靠度的 MMEL 制定技术研究

成为定量分析的候选方案。没有通过定性分析的方案，可以从定性分析中发现存在的问题，如
果经过改进设计可以通过定性分析，也可以将改进的方案列入定量分析的候选方案。
（2）.LRU 规划设计方案在通过定性分析之后，会增加一些可靠性、成本等方面的优化信
息。将设计方案初始清单、优化信息和能掌握的装备产品信息收集汇总，进行系统修复时间和
寿命周期维修费用的定量分析。经过定量分析后，可以从维修时间和费用方面进一步评价 LRU
规划设计方案。
收集装备功能、产品
组成、可靠性等信息

LRU规划

定性分析LRU规划方案

设计方案是否通过 淘汰的
或
定性分析过程 方案
否
是
整理定性分析后
的优化信息

进行系统平均修复时间 进行寿命周期维修费用
的定量分析 的定量分析

否
设计方案是否通过
定量分析过程
或
是
提出结果

图 3.6 LRU 规划设计流程图

2) 维修性分配方法
维修性分配是系统进行维修性设计时要做的一项重要工作，根据提出的产品维修性指标，
按需要把它分配到各层次及其各功能部分，作为它们各自的维修性指标，使设计人员在设计时
明确必须满足的维修性要求[27]。
维修性分配时应优先采用 GJB/Z 57 所推荐的方法，包括等分配法、按故障率分配法、相似
产品分配法、按签派可靠度与设备复杂度的加权因子分配法
维修性分配的步骤一般包括：
（1）.针对对象的特性及维修性需求进行分析；
（2）.确定分配的参数和指标；
（3）.构建维修职能流程图；

38
 南京航空航天大学硕士学位论文

（4）.构建系统功能层次图；
（5）.依照可靠性分析，确定维修间隔；
（6）.分配维修性参数；
（7）.分配结果的进行权衡分析
3) 维修性预计方法
维修性预计是飞机及系统可靠性设计的重要环节，是以积累的维修数据为基础，对新部件
或系统的维修进行进行估计，从而得知是否满足相应的维修性要求。
维修性预计的指标需要相同。一般来说，最常见的维修性预计参数包括：平均修复时间、
给定百分位的最大修复时间、维修工时率等[28]。
维修性预计是产品进行维修性设计时要做的一项重要工作，这项工作的主要目的是评价产
品是否能够达到要求的维修性指标。在概念设计阶段，通过维修性预计，比较不同方法下的维
修性，为方案的选择提供支持；在详细设计阶段，通过维修性预计发现系统或部件的维修性薄
弱环节并进行改进。

3.3.4 合理规划保障资源的设计方法

保障性工程活动项目较多，并且应用了许多相关的技术与方法。对于装备自身保障特性设
计，由于已有相对成熟的方法可参考借鉴，这里不再展开介绍。本文将重点介绍与保障系统规
划设计的相关技术方法[29]。
1) 提出初步保障方案所采用的技术与方法
制定初始保障方案，一般可依据装备系统的发展战略规划，或者直接从潜在竞争对手分析
获取。此时得到的要求是相对模糊的，一般只包括顶层的综合性要求、保障组织、体制等约束
以及一些与装备自身特点密切相关的、随着新技术发展需求迫切的具体保障系统特性要求与保
障资源要求。
确定初步保障方案的方法有两种：一是使用任务分析；二是基准比较分析。
(1) 初始保障方案分析与评价技术
完成初始保障方案，开展充分的分析与评价工作。由于此时关于装备的信息不够充分，还
存在较多不确定的因素，因而可采用专家评审、数字仿真、对比分析等工作形式对初始保障方
案进行“试验评价”，以尽早发现不协调、不合理的内容。这里需要指出，必须开展必要的实现
保障要求的技术途径分析，才能够确保所提要求的合理性，以避免由于技术能力不足而导致后
续修改要求等反复工作。
由于装备故障的复杂性，使得维修保障方案的制定难度较大。初始保障方案中虽然组成内
容相对粗略，但对于一些关键的内容，诸如维修策略、保障组织等仍需要予以明确的说明。

39
 面向签派可靠度的 MMEL 制定技术研究

(2) 初始维修保障方案的生成方法
在制定维修保障方案时，需要考虑以下因素：维修级别、保障组织、维修策略、维修保障
资源、维修保障的效率要求、环境等。
2) 生成保障方案所采用的技术与方法
在确定系统初步方案后，就要根据保障性要求得出相应的保障性方案。同时备选保障方案
有时会直接影响装备方案的选择。在方案阶段确定系统方案后，而此时对应的保障方案也应明
确其技术状态。根据飞机系统设计方案，应开展初步的保障功能分析工作。此时，应用的技术
与方法主要包括如下：
1)使用工作分析(OTA)方法
根据装备的任务，以及装备的设计方案，可开展初步的使用工作分析，明确主要的使用保
障工作过程与使用保障资源需求。
2)功能 FMEA 方法
飞机系统设计方案，开展初步的功能 FMEA 工作（视情开展。如果在可靠性工作中已完成
该部分内容，则可直接选择引用，不用独立开展），以初步明确保障系统修复性维修保障功能。
3)修理级别分析(LORA)方法
此阶段开展初步修理级别分析，是为了明确维修保障功能的执行站点，并用于分析建立保
障功能、保障资源与保障组织站点之间的关系。
4)训练与训练保障功能分析方法
结合装备的设计方案，参照相似系统，应用本方法初步开展训练与训练保障功能分析。
5)PHS＆T 需求分析方法
在此阶段，应结合装备的设计方案，在分析装备使用需求的基础上，参照相似系统信息，
应用本方法初步分析 PHS&T 的需求。
6)供应保障功能分析方法
结合装备的设计方案，参照相似系统，基于初始保障方案中的约束信息，通过分析初步确
定备件与消耗品的供应过程。但此阶段尚无法完整地确定备件与消耗品的品种、数量。
7)保障方案的权衡评价方法
通过保障方案的权衡评价来最终选定最合适的保障方案。其过程是以各备选保障方案为对
象，通过开展相应的权衡评价工作，选定最优的保障方案。

3.3.5 小结

本章对民机签派可靠度进行了详细的研究与分析，主要包括对民机签派可靠度影响因素进
行分析。其中分别针对签派可靠性的设计因素与运营因素两个方面进行分析。并针对分析结果

40
 南京航空航天大学硕士学位论文

提出了 1.针对单元级/系统级的可靠性提高的设计方法;2.基于提高维修效率/减少维修工时的方
法;3.合理规划保障资源的设计方法等三类民机签派可靠度设计控制方法。

41
 面向签派可靠度的 MMEL 制定技术研究

第四章以签派可靠性为目标的 MMEL 制定体系研究

传统的 MMEL 制定流程只是在飞机详细设计完成后进行的，针对影响安全性的系统/部件

不能做任何改善，只是不列入 MMEL 中，即不可以带故障运营，最终大大降低了飞机盈利能力。
为了有效的权衡飞机的安全性与盈利能力，即在保证安全水平的前提下，最大限度的提高
飞机的盈利能力。需要在制定 MMEL 项目时以签派可靠度为目标，将 MMEL 的制定贯穿于飞
机设计的各个阶段，并与飞机的安全性分析与评估流程相结合。针对造成“灾难性的”、“危险的”
的故障进行可靠性分析，从可靠性设计入手，在飞机的设计阶段提高飞机的可靠性、安全性。
同时从签派可靠度运营影响出发，合理的制定运营程序及维修程序，最终制定出高签派可靠性
的 MMEL。

4.1 以签派可靠度为目标的 MMEL 项目制定一般要求

4.1.1 以签派可靠度为目标的 MMEL 项目制定的目的

虽然飞机的各个系统及零件都具有较高的可靠度，但是故障仍然是不可避免的。但是如果
飞机系统或部件出现任何故障飞机就停止运营，无疑会对运营人、乘客照成巨大的影响。所以
为了增加民机签派可靠性，需要维持一定安全性等级前提下，某些故障的设备或系统可以带故
障运行。可以带故障运行的设计集合即为 MMEL。MMEL 与飞机日后的安全水平和盈利能力直
接相关，必须要认真对待
为了最大限度的提高签派可靠性，提高飞机的运行能力，需要 MMEL 中的项目尽可能的完
善。这就需要以签派可靠度为目标进行 MMEL 项目制定，转被动的 MMEL 项目制定为主动的
要求与控制。最终达到在维持飞机安全性水平的基础上，增强盈利能力的目的。

4.1.2 以签派可靠度为目标的 MMEL 项目制定开展的时机

民用飞机设计主要为以下阶段：概念设计阶段、初步设计阶段、详细设计阶段[30]。在概念
设计阶段，需要回答关于飞机总体布局、动力装置选型、主要参数确定、重量估算、性能评估
等主要方面的内容，以获取相关参数与特征，为后续初步设计和详细设计奠定基础。初步设计
阶段主要用 CAD 系统建立更加详尽的集合模型，并通过多种高可信度的分析工具对飞机的气
动特性、结构特性进行进一步的分析，对飞机的重量和性能进行更准确的评估。在详细阶段将
对初步设计的结果进行进一步的细化，完成包括标准件在内的所有零件的设计，准备零件图、
部件图和装配图，以及制造模具的图纸；并进行详细的重量校核；完成详尽的结构分析和飞机
性能的计算。这三个阶段可以如图 4.1 民用飞机全寿命功能流程图所示。

42
 南京航空航天大学硕士学位论文

初步设计

设计开始 运营市场分析 概念设计 初步营销

飞机市场调查

制造、生产
验证 采购 设计与发展
装配、组装

执行维护

飞机服役反馈、
飞机运营
改进飞机设计

图 4.1 民机全寿命功能流程图

安全性分析需要在飞机的整个设计过程中进行，在概念设计阶段得到安全性目标，根据研
制的进程进行修正，同时进行再次的安全性评估。并且根据评估结果对设计进行修正，在完全
满足安全性要求后可以停止安全性分析过程。安全性分析过程如图 4.2 所示：

图 4.2 安全性分析过程

面向签派可靠度的 MMEL 制定方法同样需要贯穿于飞机的整个寿命阶段，在飞机设计阶段

通过结合安全性分析得出飞机系统/部件哪些可以被纳入到 MMEL 项目当中；同时针对 MMEL

43
 面向签派可靠度的 MMEL 制定技术研究

项目的可靠性、维修性与保障性进行设计提高，以此提高飞机带故障运营能力。机不同阶段的
面向签派可靠性的 MMEL 制定工作如表 4.1 所示：
表 4.1 飞机不同阶段的面向签派可靠性的 MMEL 制定工作
面向签派可靠性的 MMEL 项目制定
飞机寿命

阶段 安全性分析 可靠性设计分析 维修性设计分析 保障性设计分析

按照已确定的可靠性定量 确定维修性定量定性要
进行 FHA 分析对
要求，进行系统可靠性指 求进行系统维修性指标 初始保障方案
概念设计 故障影响结果进
标的分配，使系统各层次 的分配，使系统各层次设 （含备选、优化
阶段 行确定并划分故
设计人员明确各自的设计 计人员明确各自的设计 各个阶段）
障类型
目标 目标

随着工程设计工作的进
建立详细的维修性模型，
进行定性 FTA 分 展，建立更加详细准确的
进行新一轮的系统维修
析，确定各故障 可靠性模型，进行新一轮 细化的保障方案
初步设计 性分配与预计工作，同时
的最小割集，即 的系统可靠性分配与预计 （初步保障计
阶段 进行系统维修性分配指
确定故障的组合 工作，同时进行系统可靠 划）
标的调整，使指标分配更
影响后果。 性分配指标的调整，使指
合理。
标分配更合理。

针对分析的 MMEL 预备项目

进行定量 FTA 与 针对 MMEL 项目建立更加
建立更加详细准确的可靠 通过保障系统特
FME(C)A 确定造 详细准确的维修性模型，
详细设计 性模型，并且针对故障后 性分析、保障方
成灾难性的和危 并且针对分析的 MMEL 预
阶段 导致灾难性的和危险的系 案权衡评价得出
险的故障发生的 备项目进行维修性设计
统/部件进行可靠性设计 详细保障方案
概率 更改。
更改。

统计安全事件， 通过合理的制定

针对特定安全性 进行故障率统计分析，针 进行故障率统计分析，针 备件计划，减低

运营阶段 风险重新进行安 对低可靠性部件/系统进 对低维修性部件/系统进 平均维修时间，

全性分析，更新 行局部更改提高 行局部更改提高 提高签派可靠

MMEL 项目 度。

4.1.3 MMEL 候选项目确定的原则

MMEL 项目以 ATA 系统编号作为序号进行编写，MMEL 候选项目确定有以下几个原则：

1) MMEL 中不应包括那些非常重要、对飞机安全状况有极大影响、由此不可以带故障飞行

44
 南京航空航天大学硕士学位论文

的项目;
2) 可能飞行安全和可靠性有一定的影响,但仍可在一定的条件和限制下放飞的设备(或部件),
需要建立一定的维修程序及运营程序后编入 MMEL;
3) 对飞行安全和可靠性影响较小(或无影响)的设备(或组件),如娱乐系统，一般不应列入
MMEL。
4) 设备或部件故障后，需要考虑继发失效的影响，判断其是否对运营安全产生影响，是否
影响 AFM 程序，是否极大的提高机组的工作负担，在必要的情况下，需要进行限制并且
列入 MMEL

4.2 以签派可靠度为目标的 MMEL 项目制定流程

以签派可靠度为目标的 MMEL 项目制定的内容主要包括：以相关 MMEL 制定法规为前提；
以安全性分析流程为核心；以可靠性、维修性、保障性设计为关键；以 MMEL 项目运营措施和
维修措施为支撑；多方面共同作用于 MMEL 项目制定，最终通过 MMEL 项目的合理制定使飞
机得到高签派可靠度，从而使飞机获得较高的盈利能力。本文以上述四个方面为基本路线，四
者相互相成，进行以签派可靠度为目标的 MMEL 项目制定工作。所以本文以以安全性分析为主
线进行了 MMEL 项目制定工作。具体流程如图 4.3 所示。
根据图 4.3 可以得出以签派可靠度为目标的 MMEL 项目制定流程主要流程如下：
1) 在安全性分析完成整机级别 FHA 以及 FTA 后，根据其输出结果进行系统级 FHA 分析，通
过对系统 FHA 分析可以得出：功能危险、、危险原因、系统风险、安全性要求、安全关键
的功能；
2) 以系统级 FHA 分析结果为基础，对功能危险进行分类。以是否对运营或签派产生影响为判
断依据，通过对安全性要求分析，得出故障是否造成“灾难”、“危险”、“较大”、“较小”、“轻
微或无影响”。对于“灾难”、“危险”和“较大”三种情况分为 CLASS I;对于在飞机中央电子监
控系统（ECAM）提示维修信息的“较小”或者“轻微的”故障分为 CLASS II;对于其余“较小”
或者“轻微”的故障分为 CLASS III。
3) 对于 CLASS III 故障，由于是对飞行安全和可靠性影响较小(或无影响)的设备(或组件)所以
一般不应列入 PMMEL。对于特殊设备或组件可列入 MMEL，可以进行无条件放行即“GO”，
维修时间定为 D。
4) 对于 CLASS II 故障参照故障排除手册（TSM）进行运营，对于影响可接受的故障可以无
条件放行即“GO”。对于需要通过一定的运营及维修程序影响才可以接受的为“GO IF”；对
于不可接受的为“NO GO”
5) 对于 CLASS I，即故障是否造成“灾难”、“危险”和“较大”影响的。随着安全性分析的流程

45
 面向签派可靠度的 MMEL 制定技术研究

继续研究，首先通过系统级 FTA 分析，确定导致失效发生的底事件的集合，即最小割集。

从而判断组合故障的后果。
6) 对故障再进一步细分，对于造成“灾难的”、“危险的”故障进行 FMECA 定量分析，分析故
障发生的模式，影响以及发生的概率。对于造成“较大的”失效进行安全性定性分析。
7) 对于“灾难的”、“危险的”故障进行 FMECA 定量分析，对于是否达到安全性目标进行评判。
8) 若对于“灾难的”、“危险的”故障达到安全性目标则进行安全性定性分析并针对保证安全性
水平的方式进行判断，同时判断其修复期限。
9) 若对于“灾难的”、“危险的”故障达到没有安全性目标则进行可靠性设计，通过可靠性设计
提升部件/系统的安全性水平，使得其可以带故障运营。
10) 对于不可以进行可靠性设计提升的设备/系统，进行维修性与保障性设计，使得尽量提高其
MTTR，从而提高签派可靠度。
11) 通过以上步骤，初步形成面向签派可靠度的 MMEL。
12) 在完成面向签派可靠度的 MMEL 项目制定后，在签派可靠度建模中考虑 MMEL 因素，并
针对 MMEL 重新建模，同时由于对于 MMEL 部件的可靠性、安全性、维修性进行了设计，
所以在飞机签派可靠度的计算中需要重新考虑验证[31]。
13) 针对验证结果进行迭代分析。

46
 47
开始
飞机系统
功能危险分析
列入MMEL，带故障
GO

图 4.3 面向签派可靠度的 MMEL 项目制定流程

运行时间为D
对运营或对签派产生
影响吗 此故障在ECAM 维修 此故障为CLASS 不列入MMEL中
（是否灾难性、危险 否 信息状态显示吗
否
III故障 对适航无影响
或者较大的）
是 是
南京航空航天大学硕士学位论文

此故障为CLASS I故 按照AFM手册进行运营， 列入MMEL，带故障

此故障为CLASS II故障 影响可接受吗 是 GO
障 按照TSM进行维修 运行时间为C
否
开始
列入MMEL中，
可以通过运营程序或
维修程序减轻吗 是 创建维修或运营程序 GO IF 带故障运行时
分析组合失 间为C
系统定性故障树 故障会导致灾难或者危险的
效及故障最 否
（FTA）分析 事件发生吗？
小割集
不允许放行
否
NO GO
明确系统结构建立 是
可靠性框图
设备/系统有适航要 在TSM手册中编 影响可接受 放入MMEL中
FMECA分析 求外的冗余吗？ 是 GO 是
写相应程序 吗 带故障时间等级为C
面向签派可靠度
的MMEL 不放入MMEL
否 否
NO GO
建立系统签派可靠
度模型 确定MMEL备选项目
功能能否被其他设备 创建运营、维 影响可接受 放入MMEL中
/系统取代 是 GO IF 是
修程序 吗 带故障时间等级为B
是
否
获取部件/子系 获取部件/子系统 是否可以提高设备/
统故障率数据 维修时间数据 · 使用高可靠度系统/部件 是 系统的可靠性
是否能通过运营/维
灾难的故障概率小于1E-9 评估机组工作 计算带故障运 影响可接受
修限制保证安全性水 是 制定运营限制 是 GO IF
吗 平 负荷 营时间 吗
提高设备/系统的
可靠度（MTBF） 否
否
· 余度设计
MTBFi MTTRi
· 降额设计与裕度设计
是否可以进行可靠性 不放入MMEL 否 放入MMEL中
· 热设计与热分析 是 设计例如冗余 NO GO 带故障时间等级为A
危险的故障概率在1E-9与
· 环境防护设计 否 1E-7之间吗？
· 简化设计
否
DRi=MTBFi/(MTBFi+MTTRi)
否
· 维修性建模 是否可以提高设备/ 不放入MMEL
是 否
· 维修性设计 系统的维修性 NO GO
DRS=DR1*DR2*DR3„DRi„DRn
提高设备/系统 否
MTTR
· 增加故障设备/系统备件
是否可以提高设备/
· 增加基地对应故障维修设备 是 否
系统的保障水平
· 增加基地对应故障维修人员培训
系统签派可靠度
签派可靠度计算 MMEL制定流程
 面向签派可靠度的 MMEL 制定技术研究

4.3 MMEL 项目故障类型的识别

在面向签派可靠度 MMEL 制定的初步阶段，需要对 MMEL 项目故障类型进行识别，通
过对故障类型的识别可以有效的判断通过何种形式进行 MMEL 项目的制定。识别方法如图
4.4 所示：

开始

飞机系统
功能危险分析

对运营或对签派产生
影响吗 此故障在ECAM 维修
（是否灾难性、危险 否 信息状态显示吗
或者较大的）

是 是

此故障为CLASS III
此故障为CLASS I故障 此故障为CLASS II故障
故障

图 4.4MMEL 项目故障类型识别
在飞机或系统研制周期的起始点，要进行 FHA ，以识别与飞机功能及功能组合相关的失
效状态，并对其进行分类。这些失效状态的分类将确立安全性目标，这些目标列于表 4.2。
通过对影响等级以及对飞机的影响的确定，可以得出哪些故障会对运营于签派产生影响，
由此将影响运营与签派和“灾难性的”、“危险的”、“较大的”故障定为 CLASS I 类故障。同时参
考同类机型及成熟机型的中央监控系统（ECAM）提示的维修提示信息，将相应的不影响运营
与签派的故障状态其分为 CLASS II;对于其余不影响运营和签派的“较小”或者“轻微”的故障分
为 CLASS III。
对于 CLASS I 类失效需要进行详细的安全性分析，以证明可以带故障运行。
对于 CLASS II 类失效不影响运营与签派，但需要在一定时间内进行维修。
对于 CLASS III 类失效不影响运营与签派，对飞机安全基本没有影响。

4.4 MMEL 项目安全性水平定性分析

进行 MMEL 项目的制定，需要通过安全性水平定性分析带故障运营部件对飞机运行产生的
影响进行评估。定性分析需要考虑机组负担、对维修以及操作程序的影响。此外，定性分析还
需要反映先前使用 MMEL 运行的状况。

48
 南京航空航天大学硕士学位论文
表 4.2 失效状态各等级的影响及概率要求
影响等级 无安全影响 较小的 较大的 危险的 灾难性的

对飞机运行 轻微降低飞 较大降低飞

极大降低飞机运行 妨碍飞机持续安
对飞机影响 能力和安全 机运行能力 机运行能力
能力和安全裕度 全飞行或着陆
性没有影响 和安全裕度 和安全裕度

失效状态分类 Ⅴ Ⅳ Ⅲ Ⅱ Ⅰ

机组使用非
机组使用应急程
机组使用正 正常工作程
序，并处于危险状
对飞行机组影 常程序，轻微 序，身体不舒 致命的或丧失能
没有影响 态，工作负荷极大
响 增加工作负 适且较大的 力
增加，完成任务的
荷 增加工作负
能力极大降低
荷

身体极度不 少部分客舱机组或
对乘客和客舱 较多乘客或客舱
不方便 身体不舒适 舒适，可能受 乘客严重受伤或死
机组影响 机组死亡
伤 亡

定性概率要求 经常 不经常 微小 及微小 极不可能

定量概率要求
大于 10
-3
10-3 ~ 105 10-5 ~ 107 10-7 ~ 109 10-9
（每飞行小时）

定性的分析失效的后果需要结合相关安全性定性分析方法，针对以下方面进行分析：
1) 功能或部件是否有冗余
2) 功能能否被其他部件/和设备取代
3) 机组负担
4) 调整维修程序和运营程序
在面向签派可靠度的 MMEL 制定体系通过以下安全性分析方法，实现对 MMEL 项目安全
性水平定性分析：

4.4.1 飞机系统功能危险分析

FHA 是由因寻果的方法，通过分析系统可能的“功能不可完成”、“功能错误进行”、“功能
在不适当时实现”等造成的安全影响来识别危险、评价当功能故障、衰退和功能丧失可能带来
的风险[32]。通过功能危险分析可以区分故障的类别，并对功能失效对飞机造成的影响进行判断，
同时还可以确定机组人员负担等。可以很好的满足面向签派可靠度 MMEL 项目制定的定性分析
要求。
系统级功能危险分析主要按以下流程进行：

49
 面向签派可靠度的 MMEL 制定技术研究

1)确定与系统相关的所有功能和相应环境。功能包括内部的功能与交互的功能。
2)危险说明。确定并描述各功能的失效引发的危险。
3)明确此故障出现时所处的工作状态和飞行阶段;
4)确定故障状态对其它部件的影响。分析该功能失效的出现是否会导致其它系统失效、故
障或功能下降；
5)分析故障对机组及乘员的影响；
6)确定影响等级。根据分析的影响，分别定义与该功能失效相关的软硬件等级;
7)提出符合性验证方法。
通过以上步骤可以得到功 FHA 能危险分析的核心，即功能危险分析表，如表 4.3 所示：
表 4.3 系统级功能危险分析表
危险
影 响
危险对 对飞 影响等级 符 合
工作状 等 级 安 全
功能及 失 效 失效状 其他系 机或 性 验 备
态飞行 的 支 性 要
编号 状态 态编号 统的影 人员 证 方 注
阶段 硬 软 撑 材 求
响 的影 法
件 件 料
响

第一栏功能及编号考虑所有的本系统的自身功能及其与其他系统的接口功能。

第二栏对失效状态作进行说明。
第三栏故障发生时飞机或系统处于的飞行阶段。
第四栏功能危险编号危险说明的编号。
第五栏此危险状态对本系统和其他系统之间的物理接口或功能接口的影响。
第六栏危险对飞机或人员的影响危险可能使飞机和人员遭受到的有害结果。
第七栏影响等级根据第五栏的影响参照表 4.2 进行定义失效状态的影响等级。
第八栏影响等级的支撑材料用于证明失效状态的影响等级的支撑材料，包括飞行试验、地
面试验、仿真模拟等。
第九栏验证方法在系统级 FHA 中，对所有灾难性的、危险的和较大的这三类危险等级
都需确定进一步的验证方法。对于每种确定的危险情况，通过相应的验证方法可判断设计是
否能够满足要求的概率等级。
第十栏安全性要求安全性要求分配包括以故障概率要求为代表的定量安全性要求和定性设
计要求。
第十一栏备注与安全相关但是在其他栏未有标明的信息

50
 南京航空航天大学硕士学位论文

通过功能危险分析表可以进行 MMEL 项目安全性水平定性判断。以防火系统丧失 APU 火

警探测和告警功能为例（如表 4.4 所示）进行分析：
表 4.4 防火系统丧失 APU 火警探测和告警功能 FHA

从表 4.4 可知：
1) 丧失 APU 火警探测和告警功能的影响等级为Ⅲ级，即故障会导致较大的影响。
2) 失效的影响为不能提供 APU 火情探测，降低飞机安全水平。
3) 对于机组成员，增加了工作负担。
所以将丧失 APU 火警探测和告警功能划分为 CLASS Ⅰ故障。进入故障树定性分析。

4.4.2 故障树定性分析

故障树分析是以系统故障为导向对系统自上而下的分析，属于多因素分析。在 MMEL 项目
制定中可以通过 FTA 确定各类组合故障的后果，帮助确定候选项目故障后，再发生几个以及什
么样的故障会导致“灾难”和“危险”的事件。
“割集”为是 FTA 中的底事件的集，在所有的事件发生时，顶事件一定会发生。“最小割集”
意义为缺失任何一个底事件顶事件不能发生的割集。最小割集即对应一种失效模式
通过最小割集，可以找出相关组合故障，通过使最小割集中若果有一个底事件不发生，则
顶事件就恒不发生，从而在设计阶段对不安全的故障进行分析与控制，将故障出现的可能降至
最低。同时在最小割集之外的故障即可以作为 MMEL 备选项目进行分析。
故障树的建立步骤有：
1) 收集且分析系统的故障的相关资料
2) 选择顶事件
3) 建造故障树
4) 简化故障树
通过定性的故障树分析可以得到组合失效的后果（最小割集），也可以通过定性的故障树分

51
 面向签派可靠度的 MMEL 制定技术研究

析判断某些部件及功能故障发生是否会导致系统功能的失效。图 4.5 丧失 APU 火警探测和告警

功能故障树分析。

丧失APU火警探
测和告警功能

3
26-12-01
Q=2.74e-8

A通道和B通道 火警/过热指示 丧失FPGA A和

失效导致APU火 丧失 FPGA B功能
警探测功能丧失

26-12-01-10 2611-FX-END 2610-A91-00-66

Q=4.36e-10

r=1.27e-012 T=1.5 r=1.8e-008 T=1.5

Q=1.91e-12 Q=2.7e-8

A通道探测失效 B通道探测失效

26-12--01-10A 26-12--01-10B
Q=2.44e-5 Q=1.78e-5

丧失A通道监视 APU火警探测 丧失火警探测A 丧失B通道监视 APU火警探测 丧失火警探测B

和告警 Loop A控制模块 电源 和告警 Loop B控制模块 电源
失效 失效

2610AFPGAA 26-01-01-1.15 FIREX-DET-A 2610AFPGAB 26-01-01-1.16 FIREX-DET-B

r=7.4e-006 T=1.5 r=1.29e-006 T=1.5 r=7.6e-006 T=1.5 r=7.1e-006 T=1.5 r=1.29e-006 T=1.5 r=3.51e-006 T=1.5
Q=1.11e-5 Q=1.93e-6 Q=1.14e-5 Q=1.06e-5 Q=1.93e-6 Q=5.26e-6

图 4.5 丧失 APU 火警探测和告警功能故障树分析

4.5 MMEL 项目安全性水平定量分析

定量安全评估需要确定系统产生“灾难”、“重大”、“危险”事件的概率。针对故障后对飞机
回产生危险及灾难事件的核心部件或系统，需要通过一定的概率分析来判断其发生概率。这就
需要进行安全性水平定量分析。
通过在安全性分析中考虑 MMEL 候选项目的故障特点，对带故障运行的部件系统对飞行造
成的影响进行评估。保证其发生的概率符合型号审定过程中的要求。
通过安全定量分析确定一些设计在带故障运行期间由于继发失效、环境影响造成的风险，
同时确定当设备带故障运营时，修复期限的确定。

52
 南京航空航天大学硕士学位论文

在面向签派可靠度的 MMEL 制定过程中，进行安全性定量分析的方法主要为 FMECA

FMECA 是由下而上以确定部件、系统或功能的故障模式，同时确认故障模式对高级别部
件、系统或功能的影响的方法。一般的，FMECA 用来考虑部件失效造成的失效影响以及危害
性[33]。
针对 MMEL 项目的制定，FMECA 可以很好针对产品故障进行分析，并作出判断。一般意
义的 FMEA 包含以下信息：
1) 零件、信号和/或功能的识别；
2) 失效模式与相关的硬件的故障率；
3) 失效影响（直接的和/或高一层次的）
；
4) 故障的识别与纠正措施
FMECA 主要步骤及目的如下；
1) 系统定义。系统定义由确定设备功能及功能框图、签派可靠度性框图组成。
2) 故障模式分析。找出有概率发生的故障的故障模式。
3) 故障原因分析。为了降低或避免故障发生的概率需要分析故障的原因，从而可以通过
一定的方法来实现这一目标。
4) 故障影响。确定全部故障模式可能出现的影响，并确定其危害等级。
5) 故障的识别与纠正。针对故障分析，为系统及部件的维修性、测试性以及如何带故障
运营等提供依据。
6) 对系统或设备按其失效概率及严重等级进行危害性分析。
然而由于需要面向 MMEL 项目，所以必须回答 MMEL 项目制定的需求问题。所以在进行
FMECA 的时，还要包含以下信息：
1) 失效发生的飞行阶段；
2) 失效影响的严重性。
3) 继发失效影响
4) 单个部件失效率/故障模式发生的概率
5) 暴露时间
6) 危害等级
通过对以上项目的分析，可以对 MMEL 项目的故障影响进行判断，同时“故障的识别与纠
正”可以回答如果进行带故障运行，需要机组人员操作的运营程序以及维修人员需要进行的维修
程序。通过结合“危害等级”与“单个部件失效率/故障模式发生的概率”可以确定故障后危害，以
及能否满足安全性要求。
所以 FMECA 为 MMEL 项目制定选取的核心环节，通过 FMECA 分析对故障进行详细的判

53
 面向签派可靠度的 MMEL 制定技术研究

断是否满足安全性水平要求，对于不满足要求的项目，进入下一步可靠性、维修性设计。对于
满足安全性水平要求的项目进入定性分析，验证是否可以通过相关运营和维修程序或限制实现
带故障运行。
针对 MMEL 项目制定的 FMECA 如表 4.5 所示：
表 4.5：针对 MMEL 的 FMECA 表格
系统 部件 部件编号
子系统 部件功能 安装图纸编号及版本：
故
故障影 并 单
故障的识别与纠正措施 障
响 发 个
a.给飞行机组的指示 模 暴
a.局部 的 部
b.具有相同指示的其他 式 露 故障
飞 影响 有 件 危
故障模 故障 的 时 模式
FMEA 行 b.高一 害 故 害 备
式及原 c.飞行机组对故障的识 故 间 的发
编号 阶 层影响 故 障 等 注
因 别，隔离以及纠正措施 障 （ 生概
段 c.最终 障 率 级
d.可能的不当的措施的影响 率 H 率
影响 的 (1E
e.故障隔离——维护人员 (1 ）
(对飞 影 -6/h
f.纠正措施——维护人员 E-6
机) 响 )
/h)
1 1
1 2 3 4 5 6 7 8 9 10
1 2

4.6 针对签派可靠度运营因素的控制
飞机 MMEL 与飞机的签派可靠度有直接的关联，为了设备可以合理的带故障运营。针对签
派可靠度的运营因素进行控制，在制定 MMEL 项目维修程序和运营程序的同时，考虑到签派可
靠度运营影响因素。最终实现飞机系统及整机签派可靠度的提高。

4.6.1 维修程序与运营程序的创建

进行带故障运营时需要针对故障部件/系统的情况分析是否需要创建相应的维修程序与运
营程序以保障飞机的安全性水平。本文从带故障运营的方式出发，针对不同情况制定相应的运
营与维修程序如图 4.6 所示：

54
 南京航空航天大学硕士学位论文

FMECA分析符合安
全性水平要求

设备/系统有适航要 在TSM手册中
求外的冗余吗？
是 影响可接受吗 是 GO
编写相应程序

不放入MMEL
否 否
NO GO

功能能否被其他设备 创建运营维修
是 影响可接受吗 是 GO IF
/系统取代 程序

否 不放入MMEL
否
NO GO

是否能通过运营限制 评估机组工作 计算带故障运 影响可接受

保证安全性水平 是 制定运营限制 是 GO IF
负荷 营时间 吗

不放入MMEL
否
NO GO

图 4.6 MMEL 项目运营程序及限制判断程序

在 MMEL 候选项目符合安全性要求后，针对 FMECA 分析结果对 MMEL 候选项目进行如
下决断：
1) 设备/系统有适航规定外的冗余
2) 功能是否能被其他部件/系统取代
3) 是否能通过运营限制保证安全性水平
若决断回答为否，则功能不可以被带故障运行。所以不纳入 MMEL 清单中。若回答为是则
需创建相对应的维修程序与运营程序。

4.6.2 MEL 的合理制定

最低设备清单（MEL）为在一定状态下通过进行相应的运营限制和维修操作以允许飞机保
留失效的一系列部件或设备的清单。运营人根据局方颁布的 MMEL 在充分考虑机型特点、机场
情况、航线特点、维修及运营能力等情况下制定其 MEL[34]。
在飞机以自身的动力开始移动后，飞行机组必须按照经批准的飞行手册来处理，并可以在
下一次签派放行时予以按照 MEL 考虑。不同航空公司同类机型的签派可靠度往往存在不同，
这很大程度上是由于各个航空公司 MEL 的制定与执行有相当的区别。所以合理的 MEL 制定与
执行对签派可靠度有很大影响。
在运营人 MEL 上可以包含以下三类项目：
1) MMEL 上的项目
参考经过局方批准的 MMEL，MEL 需充分考察到航路结构、地理位置、具有备用

55
 面向签派可靠度的 MMEL 制定技术研究

航材和维修能力机场的数量，且不少于 MMEL 的限制。

2) 乘客便利项目（不包含与 MMEL 当中）
根据控制的需要列入 MEL 中，一般可在 ATA25 和 ATA38 系统部分中列出。不对
应着具体的修理期限类别。航空公司需当在合理的时间内完成修复。
3) 管理控制项目

图 4.7 MEL 适用阶段

4.6.3 合理的带故障运营

在部件/系统发生故障时，如何合理的依据 MMEL/MEL 进行带故障运营直接关系到是否能

正常签派放行。所以带故障运营需要遵循以下规则：
1) 进行故障保留需要符合相应的适航条款。
2) 进行带故障运营需要以 MEL 为根据，在有不包含在 MMEL/MEL 的故障飞机不能带故
障运营。
3) 对于以 MEL 为根据的保留故障/缺陷，需要在 MEL 规定的修复期内进行修理。
4) 对于以 MEL 为根据的保留故障/缺陷，需要在放行前完成 MEL 中规定的运营限制和维
修程序
5) 对于进行留故障/缺陷，需要在运营前告知机组及机务人员并在明显位置放置相应的告
警标志，同时还需要书面通知运控部门。
6) 对于以 MEL 可以保留但会增加机组工作量的故障，需在飞行前进行一定的修复，使得
部件的失效数目在许可范围内。
7) 对于不能及时在修复期限内完成修理的故障，需要通过当局批准后才可保留，若在延
长期限内仍然不可以被修复需要禁止运营，不能通过串件来增加失效保留的时间。

56
 南京航空航天大学硕士学位论文

8) 航空公司的相应工作程序需要符合相应法规要求，对于需要带故障运营的设备需经过
航空公司质量部门的授权。

4.6.4 保留故障的修复

虽然 MMEL 及 MEL 规定了故障可以保留而飞机可以继续运营，但不表示故障可以无限制

不修复。需要根据 MEL 的修复规定在相应的期限内修理 :
1) 进行故障保留，其修复时间需要再第一次出现的修复时间内修复，如果修复时机不满
足 MEL 的规定，则需要向局方申请延长修复期限。
2) 为了及时完成修理任务，则需要针对故障情况，对航材进行充分的准备，必要时候可
以申请紧急订货（AOG）
3) 针对停场时机不够不能完成修复的情况，需要在故障保留后第一次过夜的基地完成维
修。必要时可以返回主基地维修，但时间不能超过维修期限。
4) 在飞机完成 A 级检修后需要修复所有的 MEL 保留故障；在飞机完成 C 级检修后需要
修复所有的保留故障；在飞机完成 D 级检修后需要修复所有的保留故障/缺陷.

4.6.5 保留故障的控制

1) 航空公司应当对保留故障/缺陷进行记录、控制和报告。需要包括以下内容：
 航空器注册登记号
 保留故障/缺陷单控制号
 故障/缺陷描述（包括故障发现的时间、地点和现象）
 保留原因
 保留依据
 修复期限
 需要采取的维修手段、机组操作与运行限制
 挂牌警告要求
 所需工具设备、器材的名称、件号
 申请人和申请日期
 预计首次修复时机（因工具设备原因、器材原因的，应当以其到货为首次修复时机；
因停长时间原因的，预计的首次修复时机应当符合 6.3 段规定的原则。预计首次修复
时机应当由维修计划和控制部门确定）
 分发部门或人员
 审核和批准人员
2) 保留故障/缺陷控制单的填写应内容明确，且不会产生歧义；申请人需要有相应机型的

57
 面向签派可靠度的 MMEL 制定技术研究

维修放行资质
3) 在飞机在外场进行故障保留，需要在飞行记录本记录，在返回基地 24 内填写故障保留
控制单。
4) 运营人的的质量控制部需要及时确认保留故障以及是否被修复，对于接近修复期限的
故障需要进行预警。

4.6.6 再次保留的申请和批准

在某些状况下，在一定保留期间内不能完成修理，需要进行再次故障保留的申请。进行再
次故障保留需要依照以下原则：
1) 只有设备或工具不足才可以进行保留故障的再次保留，非航空公司原因的工具设备、
器材的缺失。
。
2) 进行再次保留需要由运营人质量部门负责人进行书面申请。包括以做工作、设备不足
的原因、相应合同及文件等。
3) 再次保留需要向局方申请，在批准后可以进行再次保留。

4.7 针对签派可靠度设计因素的控制
本文将 MMEL 的制定与安全性分析相结合贯穿于飞机的整个寿命阶段，特别是在设计阶段
可以根据 MMEL 项目制定的分析结果针对签派可靠度的设计因素进行控制。从可靠性和维修性
出发如图 4.8 所示，实现飞机签派可靠度的提高。

58
 南京航空航天大学硕士学位论文

FMECA分析

是否可以提高设备/
· 使用高可靠度系统/部件 是 系统的可靠性

灾难的故障概率小于1E-9
吗
提高设备/系统的
可靠度（MTBF） 否
否
· 余度设计
· 降额设计与裕度设计
是否可以进行可靠性
· 热设计与热分析 是 设计例如冗余 危险的故障概率在1E-9与
· 环境防护设计 否 1E-7之间吗？
· 简化设计

· 维修性建模 是否可以提高设备/ 不放入MMEL

是 否
· 维修性设计 系统的维修性 NO GO

提高设备/系统
MTTR
· 增加故障设备/系统备件
是否可以提高设备/
· 增加基地对应故障维修设备 是 系统的保障水平
否
· 增加基地对应故障维修人员培训

图 4.8 在 MMEL 制定时面前签派可靠性设计因素提高流程

4.7.1 可靠性因素控制

从图中可以得出在进行 FMECA 分析后，会得到相应不满足安全性要求的 MMEL 候选项目。

为了尽可能的增加飞机的签派可靠度，需要对这些 MMEL 候选项目进行可靠性设计。从而使得
MMEL 清单可以尽可能完善。
本文以提高 MTBF 为目标进行可靠性设计与提高。主要由以下方式：
1)使用高可靠性的 LRU 部件或系统。LRU 部件的可靠性通常由供应商（OEM）来决定，
并且受航空公司维修的影响。部件的可靠性使用平均故障间隔时间（MTBF）来衡量。由于空
客公司和波音公司在全球范围的运营积累了大量的数据，因此航空公司可以从空客获得大量的
关于 MTBF 的真实数据。除此之外航空公司还需根据自身的维护特点和运行环境对 MTBF 进行
修正。通过运用 MTBF 数据能将计算结果转化为 LRU 部件选择的前提。针对不及可靠性要求
的 LRU 部件，可以：
 重新选择低故障率，高 MTBF 的 LRU 提供商
 要求原提供商提供额外支援服务
2)进行可靠性设计。
针对低可靠性部件进行包括冗余设计在内的可靠性设计，可以有效的提高系统及飞机的可

59
 面向签派可靠度的 MMEL 制定技术研究

靠度，同时提高飞机的安全性水平。同时可以是的部件在故障时拥有备份从而可以带故障运行
纳入 MMEL 中。
详细可靠性设计方法见 3.3 节。
在完成可靠性设计后需要将数据带入 FMECA 中进行重新评估判断是否满足安全性要求。

4.7.2 维修性因素控制

虽然维修性对 MMEL 备选项目安全性水平没有直接的影响，但是针对 MMEL 项目分析中

不可以提高可靠度的部件进行维修性设计，从而使得 MTTR 尽可能的降低。实现面向签派可靠
度的 MMEL 项目制定
对于签派可靠性而言，维修性是“限时性”即要求在航前发现故障后，平均修复时间要小于
飞机留港时间加规定延误时间（延误定义为由于一个明确或者不明确的飞机或者其系统、部件
的故障而导致真实的出发时间超过计划的出发规定时间这一类事件）。即：
MTTR（整机） 留港时间  15min （ 4-1）
维修性设计提高方法见章节 3.3.3。
在进行面向签派可靠度控制时，需从相关部件、子系统等方面进行。通过控制相关 LRU 部
件及子系统的可靠性 MTBF、维修性 MTTR、备件支援性最终实现对其签派可靠性的控制。
将部件及子系统的签派可靠性代入可靠性框图，可利用可靠性框图可实现对整个系统、整
机的签派可靠性控制。

R1 R2 „„ Rn

图 4.9 基本可靠性框图
MTBFi
签派可靠性i 
MTBFi  MTTRi
（4-2）

4.8 MMEL 项目修复期限的确定

MMEL 中必须定义带故障运营的修复时间，分为 A 类、B 类、C 类和 D 类[35]。A 类的最
大维修间隔时间需要指定，其余类别的最大维修间隔时间分别为 3 d、10 d 和 120 d。
对于 CLASS Ⅲ类故障，即对运营与签派不产生影响，也不在 ECAM 上有维修提示信息，
即设备的失效不会增加机组的工作负荷，飞行员对此功能无依赖。如厨房设备、电影设备、烟
灰缸、阅读灯等。此类设备可以不列在 PMMEL 中。如果列在 PMMEL 中，则可以分配 D 类的
维修间隔
对于 CLASS Ⅱ类故障，即对运营与签派不产生影响，但在 ECAM 上有维修提示信息对于

60
 南京航空航天大学硕士学位论文

无安全影响的设备则，可以分配 C 类的维修间隔即维修时间为 10 天。
对于 CLASS Ⅰ类故障，修复期限的确定跟保持所需的安全水平将通过的方法来确定：
1) 设备系统是否有适航要求以外的冗余。
2) 设备/系统的功能能否被其他设备/系统取代。
3) 能否通过运营限制和维修限制保证安全性水平。
对于通过 1 类方法保持安全性水平的，由于与安全相关，但不对运营与签派产生影响可以
分配 C 类维修期限。
对于通过 2 类方法保持安全性水平的，通过定性分析认为带故障运营对运行方面的影响较
大，需要创建维修及运营程序，所以其最大维修期限时间为 B 类。
对于通过 3 类方法保持安全性水平的，由于需要按照概率分析计算确定最大允许的放行时
间的设备，必须指定 A 类的维修期限时间。A 类维修期限的计算方法为可参考 SAE ARP5107[36]
中的时间平均概率分析的计算方法。对于 A 类维修期限，计算得出的时间有一定的范围，不一
定小于 B 类或 C 类维修期限。然而这种情况下仍然需要将带故障运营的时间定为 A 类。

列入MMEL，带故
影响可接受吗 GO
障运行时间为C

可以通过运营程序或
MMEL制定流程 维修程序减轻吗 是 创建维修或运营程序 GO IF 列入MMEL中

不允许放行
否
NO GO

设备/系统有适航要 在TSM手册中 影响可接受 放入MMEL中

是 GO 是
求外的冗余吗？ 编写相应程序 吗 带故障时间等级为C

不放入MMEL
否 否
NO GO

功能能否被其他设备 创建运营、维 影响可接受 放入MMEL中

是 GO IF 是
/系统取代 修程序 吗 带故障时间等级为B

是否能通过运营/维 评估机组工作 计算带故障运 影响可接受

修限制保证安全性水 是 制定运营限制 是 GO IF
平 负荷 营时间 吗

不放入MMEL 否 放入MMEL中
NO GO 带故障时间等级为A

图 4.10 带故障运营时间类别的判定

4.9 小结
本章构建了以签派可靠性为目标的 MMEL 制定体系，说明了以签派可靠度为目标的 MMEL

61
 面向签派可靠度的 MMEL 制定技术研究

项目制定的一般要求。同时将安全性分析融入制定体系中，通过以功能危险分析为开端，通过
定性 FTA、定量 FTA 及 FMECA 对功能危险分析所确定失效进行安全性分析，同时确定设备失
效造成的安全性影响。
在完成设备失效安全性影响后，针对失效后不满足相应适航安全性要求的部件进行签派可
靠度设计因素和运营因素的提高，以求使得设备故障后的安全性水平符合适航安全性水平的要
求。在通过针对签派可靠度设计因素和运营因素提高，使得设备纳入 MMEL 并确定相应的运营
程序和维修程序。同时针对 MMEL 项目的分类及保持安全性水平的方式确定相应的修复期限。

62
 南京航空航天大学硕士学位论文

第五章 MMEL 的签派可靠度验证

5.1 概述
民机的签派可靠性反映了飞机及其系统功能的可使用性，直接影响到航空公司的运营收入，
是商用飞机营运的主要使用目标，并且用户的期望值／要求使得这一问题在飞机实际运营时具
有特别的重要性。在完成面向签派可靠度的 MMEL 制定后，需要进行签派可靠度的验证。以此
评估通过 MMEL 项目的制定是否实现签派可靠度的提高。
系统-整机签派可靠性评估的意义和用途主要是：
1)评价新研制机型是否能够达到要求的签派可靠性指标。
2)在飞机研制方案阶段，通过签派可靠性评估，比较不同方案的签派可靠性水平，为为选
择最佳方面提供支持。
3)在飞机设计阶段，通过签派可靠性评估，发现影响系统签派可靠性的主要因素，找出薄
弱环节、系统，采取设计、保障措施，提高系统签派可靠性。
4)为系统签派可靠性增长试验、验证及相关费用提供基础数据。

5.2 基于 MMEL 修正的系统签派可靠度验证

进行基于 MMEL 修正的系统签派可靠度验证，需要在系统可靠性框图的基础上重新建立签
派可靠度模型。在完成模型建立后，对部件/系统的 MTBF 与 MTTR 进行更新重新对签派可靠
度进行计算。
系统签派可靠度验证流程如图 5.1 所示：
1)明确系统的定义；
2)明确系统的故障判据；
3)明确系统的工作条件；
4)根据 MMEL 绘制系统的签派可靠性框图；
5)构建系统可靠性数学模型；
6)预计各单元、设备或子系统的签派可靠性；
7)根据各单元、设备的签派可靠性预计系统及整机的签派可靠性。

63
 面向签派可靠度的 MMEL 制定技术研究

开始

明确系统结构建立
可靠性框图

面向签派可靠度
的MMEL
建立系统签派可靠
度模型
提高系统/设备
MTBF

获取部件/子系 获取部件/子系统
统故障率数据 维修时间数据

提高系统/设备
MTTR
MTBFi MTTRi

DRi=MTBFi/(MTBFi+MTTRi)

DRS=DR1*DR2*DR3„DRi„DRn

系统签派可靠度 签派可靠度计算
图 5.1 基于 MMEL 修正的系统签派可靠度验证流程

5.2.1 基于 MMEL 修正的签派可靠度模型建立

签派可靠性模型是从对系统故障规律认知的角度，对系统及其组成部件进行建模，反映系
统的主要故障特征，用于预计或估算产品的可靠性。可靠性建模是开展可靠性设计分析的基础，
也是进行系统维修性和保障性设计分析的前提[37]。
签派可靠性模型是系统（或单元）故障特征规律的数学描述，可靠性模型的种类繁多，用
途各异，从不同的角度来看，划分不同。
本论文的签派可靠度模型以可靠性框图为基础，针对飞机整机及系统构建可靠性框图及模
型，综合叙述如下：
1) 确定系统的基础功能及构架；
2) 依据系统功能确定系统成功地工作条件；

64
 南京航空航天大学硕士学位论文

3) 依据系统功能画可靠性框图；
4) 确定完成系统功能所需的分系统；
5) 依据分系统画系统的可靠性框图并尽可能简化。
飞机的燃油系统由三个功能子系统组成，分别为主储存子系统、供输油子系统、燃油管理
及指示子系统组成。而子系统还能继续细分至组件、零部件。通过详细的产品结构分解，可以
明确系统功能构型以及组成部件之间的联接方式，可以作为燃油系统签派可靠性分析建模的基
础。如图 5.2 示为燃油系统结构分解示例。
燃油管理及
储存子系统 供输油子系统
指示系统

图 5.2 燃油系统可靠性框图
储存子系统、供输油子系统、燃油管理及指示系统还可以进一步分解。如图5.3、图5.4所示：
压力加油/抽油
燃油箱 燃油箱通风系统 重力加放油系统
系统

抑爆系统 连续除水系统

图 5.3 储存子系统可靠性框图
加油切断阀
管路总成 加放油接头 卸油电磁阀
（2）

加油总管单向活
加放油指示器 加放油控制板
门

图 5.4 压力加油抽油系统可靠性框图
在完成 MMEL 指定后，对压力加油抽油系统可靠性框图进行优化，去除可以带故障运营的
项目。同时针对运行部分失效的部件进行标出，在计算时提高相应的可靠性如图 5.5 所示：

管路总成 加放油接头 卸油电磁阀

加放油控制板
加油总管单向活
加放油指示器 （部分功能允许失
门 效）

图 5.5MMEL 修正后压力加油系统可靠性框图

5.2.2 基于贝叶斯估计的小样本数据可靠性参数估计

由于飞机系统或部件的签派可靠度公式有关两个参数，  和  ，两者相互独立。由于这两
个参数收集较为困难，而贝叶斯方法既可以处理可靠性数据缺乏的困难，也可以综合同类产品
可靠性数据，将其转化为相应的先验密度函数，从而使参数估计更精确。

65
 面向签派可靠度的 MMEL 制定技术研究

在进行飞机系统可靠性数据采集过程中，可以通过专家评判获得相应的经验值，如对于某
设备，专家可以依照经验判断故障率的上限值 u 和 u ，所以此设备的的故障率  和修复率  符
合0   u 和 0    u 。以此作为先验数据，使用贝叶斯理论，对此设备的可靠性与维修
性进行估计。
5.2.2.1先验分布的确定
设民机系统寿命服从指数分布，将其作为故障率和维修时间的先验分布 [38]，即先验密度：

1
 (）= 0    u (5-1)
u

1
 ( ）= 0    u (5-2)
u

5.2.2.2联合密度函数的确定
M
对于民机系统的M组无故障数据（ti,ni）,记 T   ni ti ，则联合密度为：
i 1 M
M   niti
L(0∣ )   eniti  e i 1
(5-3)
i 1
M
M   niti
L(0∣ )   e niti  e i 1
(5-4)
i 1

5.2.2.3推导参数的后验分布
𝜋(𝜆)𝐿( 0 ∣∣ 𝜆 )
h ( λ ∣∣ 𝜆𝑢 ) =
𝜆
∫0 𝜋(𝜆)𝐿( 0 ∣∣ 𝜆 )𝑑𝜆
𝑢

−Tλ
T∗e
= −λ T
(5-5)
1−e u

𝜋(μ)𝐿( 0 ∣∣ μ )
h ( μ ∣∣ μ𝑢 ) =
μ
∫0 𝜋(μ)𝐿( 0 ∣∣ μ )𝑑μ
𝑢

−Tμ
T∗e
= −μ T
(5-6)
1−e u

5.2.2.4参数估计
由参数的后验密度函数式（5-5）和（5-6），可得平方损失下参数
 和  的估计为：
^ 1  (uT  1)e  uT
 (5-7)
T  (1  e  uT )

66
 南京航空航天大学硕士学位论文

^ 1  ( uT  1)e  uT

 (5-8)
T  (1  e uT )

5.2.3 系统签派可靠度计算

在完成签派可靠性建模以及MTBF和MTTR的获取以后需要进行系统及飞机整机的签派可
靠度计算。
根据MMEL修正的签派可靠度模型，飞机系统的数学模型计算公式为：
RS  Rs1  Rs2  Rsn
(5-9)

其中 Rsn 为子系统或LRU部件的签派可靠度值。 Rsi 由公式（5-10）得出[39]：

MTBFi
Rsi = lim Rsi (t ) 
t  MTBFi  MTTRi (5-10)
[40]
平均故障间隔时间（ MTBF ）为可修复产品的一种基本可靠性参数 ，计算方法为：在
一定的条件下和一定的时间内，产品的寿命单位总数与故障总数总次数之比。由公式（5-12）
计算得出：
 1
MTBF   tf  t dt = (5-12)
0 
f t 
其中 为故障概率密度函数。
平均修复时间（ MTTR ）为可修复产品的一种维修性参数，在在一定的条件下和一定的时
间内，在规定的维修层次上，维修总时间与该级别上被修复产品的故障总数之比。由公式（5-13）
计算得出：
 1
MTTR   tm  t dt = (5-13)
0 
m t 
其中 维修时间密度函数。
民机的签派可靠度为：
n

DRA   (5-14)
i 1  +

5.3 实例分析
本文以某航空公司 A320 机队运营数据为基础，通过分析造成延误最主要的 ATA 系统，计
算其相应的签派可靠度。
5.3.1 对延误分析的假定
在进行计算前针对不能控制及不是模型所需要考虑的情况进行假定：
(1)不考虑飞机从同一机场调度交换。

67
 面向签派可靠度的 MMEL 制定技术研究

(2)指示器故障不会引起签派中断。
(3)平均无故障时间（MTBF）部件等于平均非计划拆换间隔（MTBUR）。这是由于平均无
故障时间代表实际的将导致签派中断的故障，MTBUR代表缺乏系统监控或者故障排除方法。
(4)任何有MMEL减免的故障不会导致签派中断。
(5)系统签派可靠性模型采用基本可靠性框图，即为全串联模型，即使存在冗余单元，也都
按串联处理。所以，储备单元越多，系统的基本可靠性越低。

5.3.2 确定分析系统及数据
图5.6为航班系统故障分布图，结合实际情况，选取导航系统作为分析对象。

图 5.6 民机故障分布图
图5.7为某航空公司2011-2012年间机队飞行小时与飞行循环。在本文中，飞行小时（FH）
取96000H；飞行循环C为48000。

图 5.7A320 机队飞行小时及循环

表 5. 1 导航系统故障的三月均值和上控线
三个月均值 上限值
ATA 描述
（10-6/FH） （10-6/FH）
34 导航系统 3.18 8.69
5.3.3 数据仿真
设ATA34导航系统部件寿命服从指数分布，修复率  也服从指数分布，使用MATLAB生成基
[41]
于上控线的500个指数分布下的随机数 。由于飞机系统故障率很小，大部分时候为无故障数

68
 南京航空航天大学硕士学位论文

据，所以从随机数中选取35个较低的故障时间，按从小到大排序。
同时随着飞行小时（FH）的增加，系统故障率也增加，因此无故障系统的数目也减少，对
于表5.2和表5.3取低于每组最小值的数值作为截尾时间。假设总共有43架飞机参与统计，由此
得到表5.2和表5.3:
表 5. 2 导航系统无故障仿真数据
i 1 2 3 4 5 6 7

Ti 109 2359 4060 5468 6595 7231 7976

ni 12 10 8 6 4 2 1

Si 43 31 21 13 7 3 1
表 5. 3 修复率仿真数据
i 1 2 3 4 5 6 7

Ti 0.019 0.044 0.0815 0.1077 0.1331 0.1745 0.2068

ni 12 10 8 6 4 2 1

Si 43 31 21 13 7 3 1

5.3.4 参数估计
通过调研得知，延误的维修时间不会超过3小时，若预计超过3小时则会采取换机等措施。

不符合本文假定，所以
u =0.33 。计算总无故障时间和总维修时间：
7
T1 = ni ti  109  12  2359  10  4060  8
n 1

5468  6  6595  4  7231  2  7976  1 (5-15)

=139004

7
T2 = ni ti  0.019  12  0.044  10  0.0815  8
n 1

0.1077  6  0.1331  4  0.1745  2  0.2068  1 (5-16)

=3.0544

由公式5-15及公式5-16可得：

^ 1  (uT1  1)e  uT1

  uT1
=3.49  106 (5-17)
T1  (1  e )

^ 1  ( uT2  1)e  uT2

 =0.1374 (5-18)
T2  (1  e  uT2 )

由公式 5-17 及 5-18 的结果可以计算出导航系统的签派可靠度：

69
 面向签派可靠度的 MMEL 制定技术研究

n
 0.1374
DRA     99.9975 (5-19)
i 1  + 3.49 106 +0.1374
^
通过计算  与导航系统三月平均故障值接近，证明了本文方法的可行性。

5.4 小结
本章节就在完成面向签派可靠度的MMEL制定后，提出了针对MMEL清单的签派可靠度的
计算模型。模型的主要思路为将MMEL包含的设备/系统从可靠性模型中除去，同时针对在面向
签派可靠度MMEL制定时所提高的MTBF与MTTR在签派可靠度模型中更新，最终签派可靠度实
现验证计算。
同时针对签派可靠度模型中难以获取故障率以及维修率的部件通过贝叶斯估计理论进行计
算，给出了在小样本情况下MTBF及MTTR的获取的方法。并以实例验证了方法的可行性。

70
 南京航空航天大学硕士学位论文

第六章燃油系统 MMEL 制定实例

本章以某型飞机燃油系统为例，进行面向签派可靠度 MMEL 项目制定分析。对于飞机设计

阶段，通过结合飞机的安全性分析流程，针对系统/部件的故障进行分析，评估对安全性及 MMEL
项目制定的影响。同时针对不符合安全性水平和可靠性要求的系统/部件进行可靠性设计，以提
高其可靠性。
对于飞机运营阶段，通过制定合理的维修程序及运营程序，使得 MMEL 尽可能完善，保证
故障设备可以在一定条件下继续运行即设备故障后可以保证安全性水平，进行带故障运行，最
终保证飞机的签派可靠度。

6.1 燃油系统描述
燃油系统主要功能为：储存飞机所需用的燃油，并保证在任何飞行状态和工作条件下（包
含型号合格审定阶段所允许的发动机或辅助动力装置（APU）处于的任何机动飞行工作条件），
都能向发动机和辅助动力装置提供工作所需要的燃油，同时保证飞机飞行性能所需要的重心位
置变化要求。

图 6.1 燃油系统功能
某型飞机燃油系统由以下分系统组成：存储系统、供输油系统、燃油管理及指示系统。
燃油系统

储存系统 供输油系统 燃油管理及指示系统

低 磁
连 通 油 性 燃
燃 加/ 油
续 抑 气/ 输 供 燃油 燃油 燃油 面 油
油 放 管
除 爆 增 油 油 量指 温度 压力 告 面
箱 油 理
水 系 压 系 系 示系 指示 指示 警 指
系 系 系
系 统 系 统 统 统 系统 系统 传 示
统 统 统
统 统 感 器
FQMS
器 地面

压 重 燃 燃
发 油 油
左 力 力 空 正 燃 油 油
右 动 APU 箱 量 燃油
机 加 加 中 增 通 转 常 油 温 压
机 机 供 油 测 量测
翼 油 放 放 压 气 输 输 冷 度 力
翼 供 油 量 量 量计
油 /抽 油 油 系 系 系 油 却 传 信
油 油 系 传 补 算机
箱 油 系 系 统 统 统 系 系 感 号
箱 系 统 感 偿 FQC
系 统 统 统 统 器 器
统 器 器
统

图 6.2 燃油系统组成

71
 面向签派可靠度的 MMEL 制定技术研究

燃油箱子系统：基本型所有燃油均储存在机翼，燃油在油箱中的储存应能满足各种极端温
度条件下的安全性要求。加长型增加机腹油箱。
（1）.油箱的布置和输油顺序，在所有装载情况和飞行高度、速度下，应满足从满油到耗
尽、整个过程飞机重心变化的要求。
（2）.每个燃油箱在飞机正常停机姿态下，均应有一个膨胀空间，一般不小于油箱总体积
的3%；对舰载飞机则应不小于4%
（3）.每个油箱均应有一个集液槽和排放沉淀装置，以便放出沉淀物和水分。
供油和输油子系统：供油和输油分系统由油泵、管路、控制阀、传感器等组成。常用的油
泵有离心式叶片泵和喷射泵。供输油泵压力流量特性，是根据油泵的位置、公输油管路特性。
惯性阻力和燃油的蒸汽压来确定的，以满足发动机所需的燃油流量和压力或输油流量要求。
油泵的功率根据供输油的流量和压力及泵的功率经计算确定。供输油管路布置后，根据几
何特性，进行阻力特性计算，在满足供输油需要的流量和压力条件下，确定其几何尺寸，控制
管路流速，一般管路流速为3-5m/s。
燃油的输送应能满足飞机各种飞行情况下重心的变化要求。为降低机翼受载情况，燃油的
使用应首先用尽中央翼油箱内的燃油，然后再使用主油箱内的燃油。

图 6.3 湾流 G450 燃油系统示意图

通气增压子系统：通气增压分系统由跳崖装置和管路组成。

72
 南京航空航天大学硕士学位论文

（1）.通气管路的设计与布置应考虑发动机的耗油量，输油箱的输油量，加油时的加油量，
飞行过程高度、速度变化，空气进入邮箱的最大流量，输油系统及加油系统失效后的牌友能力
等诸多因素；通气系统的布置应防止各组油箱互相串通
（2）.增压系统应设置一个独立的主泄压装置和副泄压装置，以防止油箱超压而破坏。
地面加油和放油系子统：地面加油和放油子系统由加油口、控制阀、通气阀、信号器和管
路组成。
惰性气体机抑爆子系统：惰性气体及抑爆子系统由贮存器、控制阀、管路及抑爆材料等组
成。
（1）.燃油箱充填防火、防爆的惰性气体及防爆材料（如泡沫塑料、铝箔）。
（2）.氮气等惰性气体在各种飞行条件下都应保证充填后油箱或油箱舱的含氮体积浓度低
于10%。
燃油管理子系统（FQMS）：燃油系统能正确显示当前状态下飞机各油箱的燃油量并能提供
各种告警。

6.2 燃油系统 MMEL 制定

根据本文第四章“以签派可靠性为目标的MMEL制定体系研究”，针对某机型燃油系统安全
性分析流程进行MMEL制定，以验证方法的可行性。

6.2.1 燃油系统功能危险分析
在MMEL项目制定分析的初始，需要以功能危险分析为开端。根据4.4.1节所述得到燃油系
统FHA摘要如表6.1所示：
表 6.1 燃油系统功能危险分析摘要
危险说明 功能危险编号 工作状态 故障等级 符合性验证方法

两台发动机供油功能丧失 28-3-1a T F1～F3 Ⅰ 定量FMEA 定量FTA

CCA

燃油箱通气堵塞 28-1-1 ALL Ⅱ 定量FMEA 定量FTA

CCA

两台发动机供油功能丧失 28-3-1b F4 L Ⅱ 定量FMEA 定量FTA

CCA

需要交叉供油时丧失交叉供油能力 28-3-6 F1 ～ F4 Ⅱ 定量FMEA 定量FTA

CCA

一台发动机供油丧失 28-3-1c ALL Ⅲ 定性FMEA 定性FTA

73
 面向签派可靠度的 MMEL 制定技术研究
续表 6.1 燃油系统功能危险分析摘要
不能切断相应发动 28-3-3 ALL Ⅲ 定量FMEA 定量

机供油 FTA

APU供油功能丧失 28-3-4 ALL Ⅲ 定性FMEA 定性

FTA

不能切断APU供油 28-3-5 ALL Ⅲ 定量FMEA 定量

FTA

超压排卸功能丧失 28-3-7 地面停机 Ⅲ 定量FMEA

左或右机翼油箱燃 28-4-1c F1～F4 Ⅲ 定量FMEA

油指示错误

左右机翼油箱燃油 28-4-1d F1～F4 Ⅲ 定量FMEA

均指示错误

左右机翼油箱低油 28-4-2b F1～F4 Ⅲ 定量FMEA

面告警功能均丧失

油箱不能连续排水 28-1-2 ALL Ⅳ 定量FTA

左或右机翼油箱燃 28-4-1a F1～F4 Ⅳ 定性FTA

油量不能指示

左右机翼油箱燃油 28-4-1b F1～F4 Ⅳ 定性FTA

量均不能指示

左或右机翼油箱低 28-4-2a F1～F4 Ⅳ 定性FTA

油面告警功能丧失

左或右机翼油箱低 28-4-2c F1～F4 Ⅳ 定性FTA

油面告警错误

左右机翼油箱低油 28-4-2d F1～F4 Ⅳ 定性FTA

面告警均错误

油量平衡时出现不 28-4-3a F1～F4 Ⅳ 定性FTA

平衡信号

油量不平衡时不出 28-4-3b F1～F4 Ⅳ 定性FTA

现不平衡信号

不能输出泵低压力 28-4-4a ALL Ⅳ 定性FTA

信号

不能指示燃油温度 28-4-5 ALL Ⅳ 定性FTA

74
 南京航空航天大学硕士学位论文

由于篇幅限制本文选取燃油系统的五个故障进行分析：油箱不能连续排水、左或右机翼油
箱低油面告警功能丧失、左右机翼油箱燃油均指示错误、左右油量不平衡超过限制、燃油箱同
期堵塞。
表 6.2 实例功能危险分析表
工作 危险对 影响等
符合性 安全
功能及 失效 状态 其他系 危险对飞机或人 级
验证方 性要 备注
编号 状态 飞行 统的影 员的影响
硬 软 法 求
阶段 响
件 件
飞机：可用油量
油箱连续
油箱 不能 减小 定性 使用高可靠
排水功能 ALL 无 D Ⅳ
连续排水 机组：无 FMEA 性引射泵
28-1-2
乘客：无
飞机：无
左或右机翼 左右低油面
低油面警 机组：机组观察
油箱低油面 定性 独立告警，
告 F1~F4 无 燃油量指示，低 D D Ⅳ
告警功能丧 FMEA 并独立于油
28-4-2a 油量时黄色告警
失 量指示
乘客：无
飞机：无
左右低油面
低油面警 左右机翼油 机组：机组观察
定性 独立告警，
告 箱低油面告 F1~F4 无 燃油量指示，低 Ⅳ
FMEA 并独立于油
28-4-2d 警均错误 油量时黄色告警
量指示
乘客：无
飞机：导致飞机
重心偏移，无法
定量
燃油量不 需要交叉供 飞机操 正确配平
FMEA
平衡纠正 油时丧失交 F1~F4 纵 机组：极难控制 B Ⅱ
定量
28-3-6 叉供油能力 困难 飞机，承受巨大
FTA
的工作负荷
乘客：无
定量
影响发
飞机：飞机上升 FMEA
动机正
或下降时油 定量
常工作，
燃油箱通 燃 油 箱 箱压差引起结构 FTA 飞行前检查
ALL 影响结 B Ⅱ
气 28-1-1 通气堵塞 局部损坏 CCA 中 通气口
构油箱
机组：无 要分析
疲劳寿
乘客：无 通气口
命
堵塞

6.2.2 油箱不能连续排水

75
 面向签派可靠度的 MMEL 制定技术研究

针对此故障按照4.2节流程进行分析，同时根据表6.2功能危险分析的结果进行决断：
1) 此故障对运营或签派产生的影响是否是灾难的、危险的、较大的？
否
2) 对此故障做定性FTA；如图6.4所示：

油箱不能连续排
水

TP1

除水引射泵功能 除水管路导管破
丧失 裂

EV1 EV2

图 6.4 油箱不能连续排水故障树分析
通过进行定性FTA分析可以得知，此故障由两个故障分别导致：“除水引射泵功能丧失”和
“除水管路导管破裂”。
3) 此故障在ECAM维修信息状态信息显示吗？
否
4) 将此故障定为CLASS Ⅲ类故障；
5) 将除水引射泵和除水管路列入MMEL带故障运行时间等级为D。
6) 由于燃油系统中除水引射泵安装数量为4，所以只要保证1个除水引射泵可以工作功能即可
完成；同理燃油系统中除水管路安装数量为2，只要保证1个除水管路可以工作功能即可完
成。
表6.3为MMEL候选项目评估示例表：

76
 南京航空航天大学硕士学位论文

表 6.3 燃油系统除水引射泵 MMEL 项目评估表

航空器 修订号: 页码

（1）系统和序号 （2）修复期限类别

燃油系统 （3）安装数量

（4）签派或放行所需数量

5）备注和例外

除水引射泵 4 1 （M）满足以下条件，3个除水引射泵可以不工作：

1.确认有一个除水引射泵是正常工作的。

除水管路 2 1 （M）满足以下条件，1条除水管路可以不工作：

1.确认有一条除水管路是工作的。

1.系统说明:出水泵和除水管路都属于除水系统。除水引射泵和除水管路功能是将油箱积水清洁导引出来，

维持供油箱较高液位的余度，保持不可用油量在一定范围之内。

2.审定基础:在FHA的基础上，对油箱不能连续排水做定性FTA，确定此故障在ECAM维修信息状态信息不显示

并将此故障定为CLASSⅢ类故障；最后将除水引射泵和除水管路列入MMEL带故障运行时间等级为D。

3.失效影响:除水泵功能丧失会导致油箱局部积水，清洁不利，维持供油箱较高液位的余度降低，不可用油

量可能增加；导管破裂会导致a. 无法将燃油箱中燃油输送到相关的供油箱中b. 油箱局部积水，清洁不利，

维持供油箱较高液位的余度降低，不可用油量可能增加。

6.2.3 左或右机翼油箱低油面告警功能丧失
针对此故障按照4.2节流程进行分析，同时根据表6.2功能危险分析的结果进行决断：
1) 此故障对运营或签派产生的影响是否是灾难的、危险的、较大的？
否
2) 对此故障做定性FTA；如下图

图 6.5 左或右机翼邮箱低油面告警功能丧失 FTA

通过进行定性FTA分析可以得知，此故障由两个故障分别导致：“左机翼低油面信号器功能

77
 面向签派可靠度的 MMEL 制定技术研究

丧失”和“右机翼低油面信号器功能丧失”
3) 这些故障在ECAM维修信息状态信息显示吗？
是
4) 此类故障为CLASS II类故障；
5) 按照AFM手册进行运营，按照TSM进行维修；
6) 影响可接受吗？
根据功能危险分析，故障影响分布为：
飞机：无
机组：机组观察燃油量指示，低油量时黄色告警
乘客：无；
在不知情的情况下，若低油面信号器故障，不能及时进行低油面告警，飞机可能由于缺油
造成事故，所以影响不可接受。
7) 可以通过运营程序或维修程序减轻吗？
由于可以通过观察燃油指示器判断是否低油量，功能可以实现，所以可以通过创建一定的
运营程序如：在两个低油面信号器都不工作时，机组定时观察油量指示器，判断是否低油
量。将低油面情况告知机组。
8) 将低油面信号器列入MMEL且带故障运行时间等级为C。

78
 南京航空航天大学硕士学位论文

表 6.4 燃油系统低油面信号器 MMEL 项目评估表

航空器 修订号: 页码

（1）系统和序号 （2）修复期限类别

燃油系统 （3）安装数量

（4）签派或放行所需数量

5）备注和例外

低油面信号器 2 0 （M）满足以下条件，1个低油面信号器可以

不工作：1.确认有一个低油面信号器是正常工作

的。

（O）满足以下条件，在两个低油面信号器

都不工作时，机组定时观察油量指示器，判断是

否低油量。

1.系统说明: 低油面信号器属于油量测量系统；主要功能是当油箱低油量时输出低油量信号并告警。

2.审定基础: 在FHA的基础上，对故障做定性FTA，确定故障在ECAM维修信息状态是信息显示的，判定此类

故障为CLASS II类故障，并按照AFM手册进行运营以及按照TSM进行维修，确定故障是可以通过运营程序或

维修程序减轻的，最终将低油面信号器列入MMEL且带故障运行时间等级为C。

3.失效影响: 低油面信号器功能丧失会导致a.相应油箱不能正常输出低油量信号；b.相应油箱无法进行低

油量告警；c.相应油箱无法进行低油量告警；d发出不准确的低油量信号。

6.2.4 左右机翼油箱燃油均指示错误
针对此故障按照4.2节流程进行分析，同时根据表6.2功能危险分析的结果进行决断：
1) 此故障对运营或签派产生的影响是否是灾难的、危险的、较大的？
是
2) 此故障为CLASS I类故障；
3) 对此故障做定量FTA；如下图6.6

79
 面向签派可靠度的 MMEL 制定技术研究

图 6.6 左右油箱油量均指示错误故障树分析
通过进行定量FTA分析可以得知，此故障由两个故障分别导致：“左油箱油量指示错误”和
“左油箱油量指示错误”。在任务时间内故障发生的概率2.47e-7。同时 “油箱油量指示错误”由两
个故障分别导致：“传感器输出不正确”和“补偿传感器输出不正确”。其故障率分别为9e-8及1e-7,
所以任务时间内故障发生的概率分别为1.17e-7和1.3e-7。
4) 分析组合失效和最小割集；表6.5为故障树左右油箱油量均指示错误的最小割集表。
表 6.5 故障树左右油箱油量均指示错误的最小割集表
不可用度
编号 描述 阶数 频率重要度
重要度

LOSS OF
右油箱油量指示错误补偿
DATE(R). 2 5.263e-1 5.263e-1
传感器输出不正确
28-41-03-0.2

LOSS OF
右油箱油量指示错误传感
DATE(R). 2 4.737e-1 4.737e-1
器输出不正确
28-41-02-0.2

由最小割集分析可得：在右油箱油量指示错误的情况下，发生左油箱补偿传感器输出不正
确会导致左右油箱油量均指示错误；在右油箱油量指示错误的情况下，发生左油箱传感器输出
不正确会导致左右油箱油量均指示错误。
5) 故障会导致危险或灾难事件发生吗？
否

80
 南京航空航天大学硕士学位论文

6) 设备/系统有适航要求外的冗余吗？
否
7) 可以有效的程序或者方法实现功能？
是。
8) 创建运营程序
使用适当程序验证中央油箱燃油量，机组可以通过FMC性能页，人工输入当前飞机上的油
量来计算参照速度或到达目的地燃油剩余。需定时人工更新，以保持信息有效。
9) 在油量指示器故障时，有条件进行放行。
10) 可以将油箱油量指示器放入MMEL，带故障运行时间等级为B。
表6.6为MMEL候选项目评估示例：
表 6.6 燃油系统油箱油量指示器 MMEL 项目评估表
航空器 修订号: 页码

（1）系统和序号 （2）修复期限类别

燃油系统 （3）安装数量

（4）签派或放行所需数量

（5）备注和例外

油箱油量指示器 2 0 （M）满足以下条件，1个油箱油量指示器

可以不工作：1.确认有一个油箱油量指示器是

正常工作的。

（O）允许两个油箱油量指示器不工作，但使用

适当程序验证中央油箱燃油量，机组可以通过FMC性

能页，人工输入当前飞机上的油量来计算参照速度或

到达目的地燃油剩余。需定时人工更新，以保持信息

有效。

1.系统说明：油箱油量指示器属于燃油系统的油量测量系统，用于探测油箱油量。

2.审定基础：在FHA的基础上，确定此故障为CLASS I类故障并做定量FTA，故障不会导致危险或灾难事件发

生。可以创建适当的运营程序，在油量指示器故障时，有条件进行放行，将油箱油量指示器放入MMEL，带

故障运行时间等级为B。

3.失效影响：油箱油量指示器指示错误会导致：a.无法准确测量相应油箱燃油量；b油量测量精度降低；c.

油量测量精度降低。

81
 面向签派可靠度的 MMEL 制定技术研究

6.2.5 左右油量不平衡超过限制
针对此故障按照4.2节流程进行分析，同时根据表6.2功能危险分析的结果进行决断：
1) 此故障对运营或签派产生的影响是否是灾难的、危险的、较大的？
是
2) 此故障为CLASS I类故障；
3) 对此故障做定量FTA；如图6.7所示

图 6.7 左右油量不平衡超过限制定量 FTA

通过进行定量FTA分析可以得知，此故障由“左右油量不平衡”和“交叉供油切断阀故障”共
同发生时导致。“交叉供油切断阀故障”可能由“交叉供油切断阀不能打开”、“燃油顶板不能发出
信号”或“交叉供油切断阀电源失效”导致。
4) 分析组合失效和最小割集；
表 6.7 左右油量不平衡超过限制故障树的最小割集表
编号 描述 阶数 不可用度重要度 频率重要度
左右油量 左右油量不平衡 2 9.984e-1 1.e+0
28-22-07-0.1 交叉供油切断阀不能打开
左右油量 左右油量不平衡 2 7.771e-4 0.e+0
燃油顶控板 燃油顶控板不能发出信号
左右油量 左右油量不平衡 2 7.771e-4 0.e+0
交叉供油切断阀电源 交叉供油切断阀电源失效

82
 南京航空航天大学硕士学位论文

由最小割集分析可得在“左右油量不平衡”的情况下，发生“交叉供油切断阀不能打开”“燃油
顶控板不能发出信号”或“交叉供油切断阀电源失效”会导致左右油量不平衡超过限制。
5) 故障会导致危险或灾难事件发生吗？
是
6) 进行FMECA分析。
在完成定量FTA后针对FTA的底事件及最小割集分析结果，进行故障模式影响及危害性分
析。
通过FMECA分析可以得知故障的影响以及故障的识别方法并结合定量FTA对“交叉供油切
断阀不能打开”“燃油顶控板不能发出信号”和“交叉供油切断阀电源失效”进行判断。

83
 面向签派可靠度的 MMEL 制定技术研究

表 6.8 交叉供油切断阀故障 FMECA 表进行安全概率符合决断

系统 部件 部件编号
子系统 部件功能 安装图纸编号及版本：
故障的识别与纠正措施
a.给飞行机组的指示
故障影响 b.具有相同指示的其他
故障模式 故障模式 危
a.局部影响 故障 并发的有 单个部件故 暴露
FMEA 故障模式及原 飞行 的故障率 的发生概 害 备
b.高一层影响 c.飞行机组对故障的识 害故障的 障率(1E 时间
编号 因 阶段 (1 率 等 注
c.最终影响 别，隔离以及纠正措施 影响 -6/h) （H）
E-6/h) 1E-6/h 级
(对飞机) d.可能的不当的措施的影响
e.故障隔离——维护人员
f.纠正措施——维护人员
a. EICAS 和燃油操纵板指示
a.无法连通左右供油 b. 无 隐
ALL
28-22-07-0. 交叉供油切断 管路 c. 无 a. 能 蔽
和地面 24.4285 1.28571 1000 1285.71 Ⅲ
1 阀不能打开 b.无法交叉供油 d. 不适用 b. 无 故
维护
c.无 e. 定期检查 障
f. 更换故障件
a.不能正确指示工作 a. 无（可根据相关信息判断）
状态 b. 无
交叉供油切断 ALL
28-22-07-0. b.增加驾驶员工作负 c. 无 a. 能
阀状态指示故 和地面 24.4285 8.9999 1.3 11.7 Ⅳ
4 担 d. 无 b. 无
障 维护
c.增加驾驶员工作负 e. 使用检查
担 f. 更换故障件

a) 左右油量不平衡及交叉供油切断阀不能打开同时发生的概率为:1e-5。

84
 南京航空航天大学硕士学位论文

b) 左右油量不平衡与燃油顶控板不能发出信号同时发生的概率为: 1e-5。
c) 左右油量不平衡与交叉供油切断阀电源失效: 1e-5。
由于燃油量不平衡纠正的安全性要求为Ⅱ，即故障发生的概率要小于1e-7,即不满足安全
性要求。
7) 是否可以增加冗余或者提高可靠性以保证安全性水平
由于在发生交叉供油切断阀不能打开或燃油顶控板不能发出信号或交叉供油切断阀电
源失效后，左右油量不平衡的概率不可以通过可靠性设计提高，为固定值即1e-5。所以为否。
8) 是否可以通过设备/系统的维修性
可以通过增加供油切断阀、燃油顶控板及供油切断阀电源的维修性设计。同时提高相应
备件、维修设备准备。增强维修人员此项目的培训。最终降低平均修复时间(MTTR)，提高
签派可靠度。
9) 供油切断阀、燃油顶控板及供油切断阀电源不放入MMEL中

6.2.6 燃油箱通气堵塞
针对此故障按照4.2节流程进行分析，同时根据表6.2功能危险分析的结果进行决断：
1) 此故障对运营或签派产生的影响是否是灾难的、危险的、较大的？
是
2) 此故障为CLASS I类故障；
3) 对此故障做定量FTA；如图6.8所示
通过进行定量FTA分析可以得知，此故障由“通气浮子阀不能打开”、“通气管堵塞”、“火
焰抑制器进气旁路不能打开”、“火焰抑制器排气旁路不能打开”和“火焰抑制器堵塞”等底事
件组成。
4) 分析组合失效和最小割集；
表 6.9 左右油量不平衡超过限制故障树的最小割集表
编号 描述 阶数 不可用度重 频率重要度

要度

28-12-01-0.1 火焰抑制器堵塞（暴露时间=2×500） 2 4.793e-1 4.982e-1

28-12-01-0.4 火焰抑制器进气旁路不能打开

28-12-01-0.1 火焰抑制器堵塞（暴露时间=2×500） 2 4.793e-1 4.982e-1

28-12-01-0.3 火焰抑制器排气旁路不能打开

28-12-02-0.1（2） 通气浮子阀不能打开 2 2.071e-2 1.795e-3

28-12-04-0.2（2） 通气管堵塞

28-12-02-0.1（1） 通气浮子阀不能打开 2 2.069e-2 1.791e-3

28-12-04-0.2（1） 通气管堵塞

85
 面向签派可靠度的 MMEL 制定技术研究

图 6. 8 燃油箱通气堵塞定量 FTA
由最小割集分析可得在火焰抑制器堵塞时，火焰抑制器进气旁路不能打开或者火焰抑制
器排气旁路不能打开时会导致燃油箱通气堵塞。通气浮子阀不能打开与通气管堵塞同时发生
也会导致燃油箱通气堵塞。
5) 故障会导致危险或灾难的事件发生吗？
是
6) 进行FMECA分析。
在完成定量FTA后针对FTA的底事件及最小割集分析结果，进行故障模式影响及危害性
分析

86
 南京航空航天大学硕士学位论文

表 6. 10 左右油量不平衡超过限制故障树的 FMECA 表格

系统 部件 部件编号
子系统 部件功能 安装图纸编号及版本：
故障的识别与纠正措施 单 故
a.给飞行机组的指示 个 障
故障影响 b.具有相同指示的其他 部 模 故障
并发 危
a.局部影响 故障 件 式 暴露 模式
FMEA 故障模式及 飞行 的有 害 备
b.高一层影响 c.飞行机组对故障的识 故 的 时间 的发
编号 原因 阶段 害故障 等 注
c.最终影响 别，隔离以及纠正措施 障 故 （H） 生概
的影响 级
(对飞机) d.可能的不当的措施的影响 率 障 率
e.故障隔离——维护人员 (1E 率(1
f.纠正措施——维护人员 -6/h) E-6/h)
a. 无
a. 丧失主要 b. 无 隐
火焰抑制器 ALL 和地面 通气路径 c. 不适用 蔽
28-12-01-0.1 无 3.0 1.0 500 500 Ⅳ
元件阻塞 维护 b. 无 d. 不适用 故
c. 无 e. 定期检查 障
f. 更换火焰抑制器
a. 无
a. 丧失超压 b. 无 隐
火焰抑制器
ALL 和地面 保护冗余 c. 不适用 蔽
28-12-01-0.3 排气旁路不 无 3.0 0.5 500 250 Ⅳ
维护 b. 无 d. 不适用 故
能打开
c. 无 e. 定期检查 障
f. 更换火焰抑制器

87
 面向签派可靠度的 MMEL 制定技术研究

续表 6.10 左右油量不平衡超过限制故障树的 FMECA 表格

a. 无
a. 丧失超压 b. 无 隐
火焰抑制器
ALL 和地面 保护冗余 c. 不适用 蔽
28-12-01-0.4 进气旁路不 无 3.0 0.5 500 250 Ⅳ
维护 b. 无 d. 不适用 故
能打开
c. 无 e. 定期检查 障
f. 更换火焰抑制器
a. 主通气管 a. 无
淹没时，油 b. 无 隐
通气浮子阀 箱通气能力 c. 不适用 蔽
28-12-02-0.1 ALL 无 3.6 0.18 8000 1440 Ⅳ
不能打开 下降 d. 不适用 故
b. 无 e. 定期检查 障
c. 无 f. 更换通气浮子阀
a. 通气浮子 a. 无
阀不能打开 b. 无 隐
ALL 和地面 时，油箱通 c. 无 1200 蔽
28-12-04-0.2 导管堵塞 无 1.3422 0.01 120 Ⅳ
维护 气能力下降 d. 无 0 故
b. 无 e. 定期检查 障
c. 无 f. 更换相应故障件

88
 南京航空航天大学硕士学位论文

通过FMECA分析可以得知故障的影响以及故障的识别方法并结合定量FTA对“火焰抑
制器元件阻塞”、“火焰抑制器排气旁路不能打开”、“火焰抑制器进气旁路不能打开”、“通气
浮子阀不能打开”和“导管堵塞”进行判断。
7) 带故障运行安全概率符合决断
a) “火焰抑制器”故障时，发生燃油箱通气堵塞的概率为1e-6，主要由“火焰抑制器进
气旁路不能打开”和“火焰抑制器排气旁路不能打开”发生概率决定。不满足故障发
生的概率要小于1e-7的要求。
b) “火焰抑制器进气旁路不能打开”故障时，发生燃油箱通气堵塞的概率为1e-3，主要
由火焰抑制器”故障发生概率决定。不满足故障发生的概率要小于1e-7的要求。
c) “火焰抑制器排气旁路不能打开”故障时，发生燃油箱通气堵塞的概率为1e-3，主要
由火焰抑制器”故障发生概率决定。不满足故障发生的概率要小于1e-7的要求。
d) “通气浮子阀”故障时，在暴露时间为12000时，发生燃油箱通气堵塞的概率为1e-8，
主要由“通气管堵塞”故障发生概率决定。满足故障发生的概率要小于1e-7的要求。
e) “通气浮子阀”故障时，在暴露时间为1时，发生燃油箱通气堵塞的概率为1.2e-4，主
要由“通气管堵塞”故障发生概率决定。不满足故障发生的概率要小于1e-7的要求。
f) “通气管堵塞”故障时，在暴露时间为12000时，发生燃油箱通气堵塞的概率为1.8e-7，
主要由“通气浮子阀”故障发生概率决定。不满足故障发生的概率要小于1e-7的要求。
g) “通气管堵塞”故障时，在暴露时间为1时，发生燃油箱通气堵塞的概率为2.16e-3，
主要由“通气浮子阀”故障发生概率决定。不满足故障发生的概率要小于1e-7的要求。
8) 是否可以增加冗余或者提高可靠性以保证安全性水平
a) 若允许“火焰抑制器堵塞”故障，为了保证安全性水平则需要提高“火焰抑制器进气
旁路”和“火焰抑制器排气旁路”的可靠性。即在“火焰抑制器进气旁路”和“火焰抑制
器排气旁路”的可靠性达到1e-7时，发生燃油箱通气堵塞的概率为1e-7，则满足故障
发生的概率要小于1e-7的要求。
b) 若允许“火焰抑制器进气旁路”或“火焰抑制器排气旁路”故障，为了保证安全性水平
则需要提高“火焰抑制器”可靠性。即需要“火焰抑制器”可靠性达到1e-7，但是由于
“火焰抑制器堵塞”发生概率为1e-6，所以即使将暴露时间为1也不能满足安全性水
平的要求。
c) 若允许“通气浮子阀”故障，为了保证安全性水平则需要针对暴露时间降低“通气管
堵塞”发生概率。若通气浮子阀暴露时间为1产生故障，需要降低“通气管堵塞”暴露
时间，在“通气管堵塞”暴露时间为10时，发生燃油箱通气堵塞的概率为1e-7，则满
足故障发生的概率要小于1e-7的要求。
d) 若“通气管堵塞”故障，为了保证安全性水平则需要针对暴露时间降低通气浮子阀”
故障发生概率。在“通气管堵塞”暴露时间为1时产生故障，需要降低“通气浮子阀”

89
 面向签派可靠度的 MMEL 制定技术研究

暴露时间，在“通气浮子阀”暴露时间为1时，同时“通气浮子阀”不能打开的故障率
为9e-8时，发生燃油箱通气堵塞的概率为9e-8，满足安全性水平要求。
由于“通气浮子阀”需要提高一倍，所以可以采取冗余设计来提高其可靠性，从
而满足安全性水平要求。
e) 若“通气管堵塞”故障，为了保证安全性水平则需要针对暴露时间降低通气浮子阀”
故障发生概率。在“通气管堵塞”暴露时间为12000时产生故障， “通气浮子阀”不能
打开的故障率提高为9e-8时，发生燃油箱通气堵塞的概率为9e-8，满足安全性水平
要求。
由于“通气浮子阀”需要提高一倍，所以可以采取冗余设计来提高其可靠性，从
而满足安全性水平要求。
9) 是否可以通过设备/系统的维修性
可以通过增加火焰抑制器、火焰抑制器进气旁路、火焰抑制器排气旁路、通气浮子阀和
通气管的维修性设计。同时提高相应备件、维修设备准备。增强维修人员此项目的培训。最
终降低平均修复时间(MTTR)，提高签派可靠度。
10) 将相应部件放入MMEL，同时确定带故障运行时间等级。
表 6.11 为火焰抑制器 MMEL 候选项目评估表，带故障运行时间等级是 C；
表 6. 11 火焰抑制器 MMEL 项目评估表
航空器 修订号: 页码

（1）系统和序号 （2）修复期限类别

燃油系统 （3）安装数量

（4）签派或放行所需数量

火焰抑制器 2 0 （5） 备注和例外

（M）满足以下条件，两个火焰抑制器可以堵塞：

提高“火焰抑制器进气旁路”和“火焰抑制器排气

旁路”的可靠性。确保在“火焰抑制器进气旁路”和

“火焰抑制器排气旁路”的可靠性达到 1e-7 时，发

生燃油箱通气堵塞的概率为 1e-7。

1.系统说明：火焰抑制器属于燃油系统的通风系统，部件功能是阻火并给通气箱提供通气。

2.审定基础：对燃油箱通气堵塞故障做定量 FTA，分析组合失效和最小割集，确定可以通过增加冗余或者

提高可靠性以保证安全性水平，确保当“火焰抑制器进气旁路”和“火焰抑制器排气旁路”的可靠性达到

1e-7 时，将火焰抑制器放入 MMEL，带故障运行时间等级为 C。

3.失效影响：火焰抑制器堵塞会导致通气系统丧失主要通气路径。

表 6.12 通气浮子阀 MMEL 项目评估表，带故障运行时间等级为 C；

90
 南京航空航天大学硕士学位论文

表 6. 12 通气浮子阀 MMEL 项目评估表

航空器 修订号: 页码

（1）系统和序号 （2）修复期限类别

燃油系统 （3）安装数量

（4）签派或放行所需数量

通气浮子阀 2 0 （5） 备注和例外

（M）满足以下条件，两个通气浮子阀可以不工作：

通过限制暴露时间控制安全性水平。

假设通气浮子阀暴露时间为 1 产生故障，需要降低

“通气管堵塞”暴露时间，即确保“通气管堵塞”暴

露时间小于 10。

1.系统说明：通气浮子阀属于燃油系统的通风系统，主要功能是飞机在盘旋或非对称飞行时防止燃油漏入

通气管。

2.审定基础:：对燃油箱通气堵塞故障做定量FTA，分析组合失效和最小割集，确定可以通过增加冗余或者

提高可靠性以保证安全性水平，确保在通气浮子阀暴露时间为1产生故障， “通气管堵塞”暴露时间小于

10时将通气浮子阀放入MMEL，带故障运行时间等级为C。

3.失效影响：当通气浮子阀不能打开时，会导致油箱通气能力下降；当通气浮子阀不能关闭时，会导致a. 燃

油溢入通气箱b. 在长时间非对称飞行可能溢出燃油。

表 6.13 为通气管 MMEL 项目评估表，带故障运行时间等级为 C；

表 6.13 通气管 MMEL 项目评估表
航空器 修订号: 页码

（1）系统和序号 （2）修复期限类别

燃油系统 （3）安装数量

（4）签派或放行所需数量

通气管 2 0 （5） 备注和例外

（M）满足以下条件时，通气管导管可以堵塞：

采取冗余设计，将通气浮子阀的可靠性提高一倍。

1.系统说明:：通气管属于燃油系统的通风系统，部件的主要功能是确保气体可以流动；

2.审定基础：对燃油箱通气堵塞故障做定量FTA，分析组合失效和最小割集，确定可以通过增加冗余提高通

气浮子阀的可靠性，满足燃油箱通气堵塞故障发生概率小于1E-7，将通气管放入MMEL，带故障运行时间等

级为诶C；

3.失效影响：导管堵塞会导致a. 通气浮子阀不能打开时，油箱通气能力下降。

91
 面向签派可靠度的 MMEL 制定技术研究

6.3 小结
本章节以某燃油系统为实例对面向签派可靠度的MMEL项目制定方法进行验证，并选取
了整机级FHA所获得的5个失效模式进行分析，通过FTA、FMECA等安全性分析方式得出部
件故障后的导致顶事件发生的概率是否符合安全性要求。并针对不符合要求的底事件进行相
应的签派可靠度设计因素提高包括增加冗余、提高部件可靠性等，最终产生相应的MMEL
及其运营、维修程序。实现了将失效后不满足安全性要求的部件，通过相应的可靠性设计和
运营及维修程序控制将其纳入MMEL中，以提高飞机的签派可靠度，最终实现盈利能力的提
高。

92
 南京航空航天大学硕士学位论文

第七章总结与展望

7.1全文总结
本文针对民用飞机 MMEL 项目制定，从签派可靠度出发，建立了以签派可靠性为目标
的 MMEL 制定体系。对相应签派可靠度影响因素分析、MMEL 项目分析制定工作开展方法、
MMEL 项目故障类型的识别、MMEL 项目安全性水平定量与定性分析方法及流程、针对签
派可靠性运营因素及设计因素的控制、MMEL 项目修复期限及 MMEL 项目签派可靠度验证
方法等关键技术进行了研究，取得了如下成果：
1) 对 MMEL 项目评估基础进行研究
通过对大量国内外研究资料及相关适航条款的研究，阐述了 制定主最低设备清单
（MMEL）的目的及意义。同时分析了 EASA、FAR 以及国内 MMEL 相关法规及条款，描
述了相关要求。对 MMEL 候选项目评估组以及如何对 MMEL 候选项目分析进行介绍。由于
本文 MMEL 项目制定是在飞机的设计阶段进行，在参考空客对设备故障划分方法的前提下，
针对设计阶段提出了故障的划分方法。通过一系列 MMEL 项目评估基础研究为本文深入的
研究奠定基石。
2) 对民机安全性分析方法进行详细的研究
由于飞机部件带故障运行需要在保证安全性的前提下，同时本文需要面向签派可靠度进
行 MMEL 项目制定，要在设计阶段结合飞机的安全性分析流程体系。由此需对民机安全性
分析方法，流程进行研究。详细了解功能危险分析（ FHA ）、故障树分析（ FTA ）、故障模
式影响及危害性分析（ FMECA ）的应用时机、相应输入及输出、定性与定量分析的优缺
点等。使得在构建以签派可靠度为目标的 MMEL 项目制定流程时可以准确、有效的使用各
类安全性分析方法。
3) 研究了民机签派可靠性的影响因素及控制方法
为了在 MMEL 项目制定过程中尽量提高民机的签派可靠度，需要对民机签派可靠性影
响因素进行研究。通过对设计和运营两个方面分析研究，得出一系列相应的签派可靠度影响
因素。依据民用飞机签派可靠性影响因素的分析结果，提出了针对可靠性、维修性、保障性
控制方法，最终实现对飞机签派可靠度的控制。
4) 建立了以签派可靠性为目标的 MMEL 制定体系
在以上研究的成果的基础上，从明确制定以签派可靠性为目标的 MMEL 制定体系的目
的出发，通过灵活应用各类定性、定量的安全性分析方法，在设计阶段对 MMEL 项目制定
过程中低签派可靠性部件/系统进行控制，在运营阶段针对 MMEL 对签派可靠度影响因素进
行控制，最终建立了以签派可靠性为目标的 MMEL 制定体系。
5) 提出了 MMEL 修正后的民机签派可靠度验证方法

93
 面向签派可靠度的 MMEL 制定技术研究

在完成初步的主最低设备清单后，需要计算相应系统/整机的签派可靠度以验证是否通
过 MMEL 项目实现系统/整机的签派可靠性的提高。本文提出了基于 MMEL 修正的签派可
靠度模型，同时考虑到故障发生的随机性以及获得故障数据的小样本性，采用贝叶斯理论对
民机部件可靠性参数进行估计，从而完成 MMEL 修正后的民机签派可靠度验证。

7.2今后研究工作展望
MMEL 项目的合理制定及很多学科，随着科学技术与学术理论的不断发展，除了本文
所研究工作和已取得的成果外，作者认为还有一些问题需要进一步深入研究，主要包括：
1)故障划分方式的改进
本文对故障划分主要依据是否对运营或签派产生影响以及是否在 ECAM 上有提示维修
信息对故障进行划分，这需要参考一定的空客维修提示信息，对体系有不完整性，需要在后
续的研究分析中对着一部分故障进行安全性分析以确认划分。
2)针对 MMEL 签派可靠性影响因素控制的提高
本文提出了从签派可靠性设计因素及运营影响进行控制提高。在设计方面从可靠性参数
MTBF 和维修保障性参数 MTTR 进行提高，这两个参数的获取有多种方式，需要通过进一
步评估研究。同时可靠性提高方法需要针对不同系统、不同环境、不同结构有不同，本文提
供了多种方法，但未对多种情况进行细分，需要今后进一步研究。
3)以签派可靠度为目标的 MMEL 制定方法体系需进一步完善。
本体系在结合现有 MMEL 制定流程的基础上，结合安全性分析流程，将 MMEL 制定放
入到飞机设计阶段，通过相应定性与定量的安全性分析，得出签派可靠度薄弱环节，使得在
MMEL 项目制定时有所侧重。但是对于降低部件功能进行签派的部件没有定量考虑，同时
MMEL 制定流程贯穿于飞机的整个设计、制造、运营阶段，需要对本体系进一步完善。
4)关于基于 MMEL 修正的民用飞机签派可靠性水平评估方法
本文提出基于 MMEL 修正的签派可靠度模型进行民用飞机签派可靠性水平评估，同时
针对小样本数据提出了基于 Bayes 估计的可靠性参数估计，克服了小样本数据在可靠性评定
方面的局限性。但是签派可靠度评估需要通过多种方法、进行多方面才能准确评估，需要多
方面的专家综合评判，才能保证评估结果的准确性。

94
 南京航空航天大学硕士学位论文

参考文献

[1] CCAR-121-R4 公共航空运输承运人运行合格审定及运行规则运行合格审定规则

1995.5
[2] CCAR-135 小型航空器商业运输运营人运行合格审定规则 2005.8
[3] Society of Automotive Engineers Inc.ARP 4761. Guideline and Methods for Conducting
the Safety Assessment Process on Civil Airborne Systems and Equipment.USA,1996,1
[4] Society of Automotive Engineers Inc.ARP 4754, Certification
Considerations for Highly-Integrated or Complex Aircraft Systems. USA, 1996,11
[5] 陆中, 孙有朝, 周伽. 民用飞机适航符合性验证方法与程序研究 [J]. 航空标准化与
质量, 2007, (4): 6-8.
[6] 车程. 民用飞机安全性分析方法研究及软件系统设计[D]. 南京航空航天大学, 2009.
[7] 孙有朝, 刘建军, 梁力, 薛海红, 付妍妍, 陆中. 功能危险分析在民机安全性设计中
的应用研究 [C]. 大型飞机关键技术高层论坛暨中国航空学会 2007 年学术年会论
文集, 2007.
[8] 杨超. 动态故障树及其在民机复杂系统安全性评估中的应用研究[D]. 南京航空航
天大学, 2012.
[9] Bineid M, Fielding J P. Development of a civil aircraft dispatch reliability prediction
methodology[J]. Aircraft Engineering and Aerospace Technology, 1929, 75(6):588-594.
[10]Bineid M. Aircraft systems design methodology and dispatch reliability prediction[D].
Cranfield University, 2005.
[11]C. Sowerby.Memorandum “Definition of aircraft utilization spectrum for BD-500
aircraft family” Rev.4 dated July 19, 2005.
[12]许科龙. 民用航空器主最低设备清单建议书（PMMEL）编制工作研究[J]. 民用飞机
设计与研究, 2009, (1):22-22.
[13]徐晶. 民机主最低设备清单建议书项目确认过程解析[J]. 科技创新导报, 2012, (27).
[14]余欣. 主最低设备清单(MMEL)评估报告的研究[J]. 民用飞机设计与研究, 2011, (4).
[15]杨建元, 康锐. 最低设备清单故障树模型最小割集的生成[J]. 系统工程与电子技术,
2008, (6):1173-1176.
[16]AC-121/135-49.民用航空器主最低设备清单、设备清单的制定和批准.中国民用航空
总局飞行标准司.2006.
[17]CCAR-25-Ｒ3.运输类飞机适航标准,2001.5.14.
[18]刘建军, 孙有朝. 功能危险分析在大型复杂系统中的应用[J]. 民用飞机设计与研究,
2004, (1).

95
 面向签派可靠度的 MMEL 制定技术研究

[19]王兆海, 中国航空工业第一集团公司技术质量部. 可靠性设计准则概述[J]. 宝成航空科

技, 2006, (2):18-22.
[20]包敦永. 民用飞机签派可靠度预计方法研究[J]. 科技信息, 2014, (10).
[21]CCAR-91-R2 一般运行和飞行规则 2002.2
[22]马静, 张波, 辛波. 马尔可夫链在冗余系统可靠度求解中的应用[J]. 中国惯性技术
学报, 2007, (2):248-251.
[23]鲜海滢. 红外动目标识别跟踪系统(DSP+FPGA)硬件设计与实现[D]. 电子科技大学,
2003.
[24]张枫. 基于非相似实时操作系统的双机容错软件及同步问题的研究[D]. 西北工业
大学, 2007.
[25]陈书义. 基于小批量、多品种的军用电子元器件质量追溯研究[D]. 浙江工业大学,
2013.
[26]杨拥民, 吴志强. 空间站环控生保分系统 RMS 设计思路和若干关键技术分析[J]. 载
人航天, 2013, (4).
[27]刘国强. 基于遗传算法的维修性分配方法及其应用[D]. 国防科学技术大学, 2010.
[28]傅成成. 民用飞机维修过程建模方法研究[J]. 南京航空航天大学, 2009.
[29]张翯, 张诤敏, 胡良谋. 基于 LS-SVM 的飞机保障性预测评估建模[J]. 火力与指挥
控制, 2011, (10):115-118.
[30]赵曼, 宋文滨, 李晓勇. 民机典型机翼结构的多层次制造成本模型研究[J]. 航空制
造技术, 2012, (19).
[31]包敦永. 民用飞机签派可靠度预计方法研究[J]. 科技信息, 2014, (10)
[32]倪大江. 民机安全性工作体系与共模故障分析方法研究[D]. 南京航空航天大学, 2007.
[33]吴海桥, 刘超, 葛红娟等. 基于模型检验的飞机系统安全性分析方法研究[J]. 中国
民航大学学报, 2012, (2).
[34]丁立洁. 浅谈最低放行设备清单的控制管理[J]. 航空维修与工程, 2012, (5).
[35]包丽, 韩冰冰, 包健波. 民用飞机初始主最低设备清单的制定[J]. 科技创新导报,
2013, (10).
[36]Society of Automotive Engineers Inc.ARP5107 Guidelines for Development of Civil
Aircraft and Systems. USA, 1996,11
[37]甘传付, 林干, 牛中兴等. 大型装备可靠性维修性 FMECA 开展方法研究[J]. 现代雷
达, 2008, (7).
[38]郑友石. 民用飞机无故障数据的可靠性分析方法研究[D]. 南京航空航天大学, 2010.
[39]曹晋华.可靠性数学引论[M].高等教育出版社，2006

96
 南京航空航天大学硕士学位论文

[40]詹旭, 金家善, 刘隆波. 可靠性指标 MTBF 的适用性扩展分析[J]. 中国修船,

2007,(3):40-43.
[41]周明华. MATLAB 实用教程[M].浙江大学出版社,2013.12

97
 面向签派可靠度的 MMEL 制定技术研究

致谢

本文是对我攻读硕士学位期间研究工作的一个总结。首先,我要衷心感谢我的导师孙姝
教授和李艳军教授,本论文的大部分研究工作都是在他们的直接指导下完成的。在攻读硕士
学位的两年半多的时间中,老师们无论是在学业上还是在生活上都给予了我很大的关心和帮
助。特别是在我刚刚进入课题阶段遇到困难的时候,给了我很多很有价值的想法和建议。同
时导师严谨求实的治学态度、脚踏实地的工作作风以及宽厚正直的为人永远值得我敬仰和学
习。
感谢李艳军教授、马安祥、安罡以及实验室的师兄师弟两年半来对我的关心和帮助,他
们的支持和帮助,他们的智慧和情谊大大滋养了我的心灵,也使我顺利完成了硕士阶段的学习
和课题任务。
感谢我的父母和长辈,是他们给了我学习的机会。愿他们身体健康、事事顺利。
感谢南京航空航天大学对我的培养和教育。
最后,感谢百忙之中阅读此文的专家、学者!

98
 南京航空航天大学硕士学位论文

在学期间的研究成果及发表的论文

攻读硕士学位期间发表（录用）论文情况
汪震宇, 李艳军, 许振腾等. 基于签派可靠度的民机经济性评估方法[J]. 航空计算技术,
2014, (4).

99