01 什么是25.671条款？

CCAR/FAR/CS 25.671 条款，是大型运输类飞机操纵系统（Control System）所应符合的总则性条款。

25.671 用于确保飞行控制系统的基本完整性和可用性，确保服役过程中曾发生的任何失效是飞行机组能处理的，并不会影响飞机持续安全飞行和着陆。

本文结合 FAA、EASA、CAAC 等的工作成果，对 25.671 条款进行解读。

为便于理解，这里对本文用到的缩略语进行说明。

02 现行25.671的具体要求是什么？

中国民用航空规章（CCAR）中的 25.671 条款原文如下：

(a) 每个操纵器件和操纵系统对应其功能必须操作简便、平稳和确切。

(b) 飞行操纵系统的每一元件必须在设计上采取措施，或在元件上制出明显可辨的永久性标记，使由于装配不当而导致系统功能不正常的概率减至最小。

(c) 必须用分析、试验或两者兼用来表明，在正常飞行包线内发生飞行操纵系统和操纵面(包括配平、升力、阻力和感觉系统)的下列任何一种故障或卡阻后，不要特殊的驾驶技巧或体力，飞机仍能继续安全飞行和着陆。可能出现的功能不正常必须对操纵系统的工作只产生微小的影响，而且必须是驾驶员能易于采取对策的：

(1) 除卡阻以外的任何单个故障(例如机械元件的脱开或损坏、或作动筒、操纵阀套和阀门一类液压组件的结构损坏)；

(2) 除卡阻以外未表明是极不可能的故障的任意组合(例如双重电气系统或液压系统的故障，或任何单个损坏与任一可能的液压或电气故障的组合)；

(3)在起飞、爬升、巡航、正常转弯、下降和着陆过程中正常使用的操纵位置上的任何卡阻，除非这种卡阻被表明是极不可能的或是能够缓解的。若飞行操纵器件滑移到不利位置和随后发生卡阻不是极不可能的，则须考虑这种滑移和卡阻。

(d) 飞机必须设计成在所有发动机都失效的情况下仍可操纵。如果表明分析方法是可靠的，则可以通过分析来表明满足本要求。

03 现行CCAR/FAR/CS 25.671之间的差异

FAR 25.671，与 CCAR 25.671 内容基本一致，没有区别。

而 CS 25.671，与 CCAR/FAR 相比主要有两点差异：

CS 25.671 (c)(1) 中提到的 “单个故障”，不考虑极不可能的失效，因此不包括概率小于 1E-9/FH 的情况。而 CCAR/FAR 则要求不论其概率大小，所有 “单个故障” 均需考虑。
CS 25.671 指向了符合性方法 AMC 25.671(a)、(b) 和 (c)(1)，而CCAR/FAR 则没有。

04 FAA关于协调一致671的研究

现行规章中的 25.671 条款要求，主要针对传统机械操纵飞机，随着电子飞行控制系统（EFCS）在民用飞机上的广泛应用，原适航规章中的要求已不能完全适用。

因此在 1998 年，FAA 下属的 “航空法规咨询委员会” —— ARAC（专门向 FAA 管理部门，提供航空法规建议的下属机构），成立了 “飞控协调工作小组” （FCHWG），启动了对 25.671 条款更改提案的研究，以协调各国规章差异和 NTSB 对事故调查的分析结果，并更新近年来用于处理 EFCS 专用条件的要求。

2002 年，FCHWG 向 FAA 提交了关于 25.671 条款修订的新提案以及相关的咨询材料。

05 FAA修订提案是什么？

FAA 建议的 25.671 修订提案如下：

(a) 每个操纵器件和操纵系统对应其功能必须操作简便、平稳和确切。操纵系统应被设计成能够持续工作并且不能妨碍飞机从任何姿态恢复。

(b) 飞行操纵系统的每一元件必须在设计上采取措施以使由于装配不当而导致系统失效，无法执行其期望功能的概率减至最小。仅在设计手段无法实现的情况下，可以采用在元件上制出明显可辨和永久性标记的方法。

(c) 必须用分析、试验或两者兼用来表明，在正常飞行包线内，发生飞行操纵系统和操纵面(包括配平、升力、阻力和感觉系统)的下列任何一种失效，包括卡阻后，不要特殊的驾驶技巧或体力，飞机仍能继续安全飞行和着陆。可能出现的失效必须只产生微小的影响，而且必须是驾驶员能易于采取对策的：

(1) 除(c)(3)中定义的失效类型以外的任何单个失效;

(2) 未表明是概率极小的失效的任意组合。此外，当操纵系统中已存在任何单个失效的情况下，任何额外的、能够妨碍持续安全飞行和着陆的失效状态，其组合概率应小于1/1000。本条不包括(c)(3)中定义的失效类型；

(3) 任何导致操纵面或驾驶员操纵卡阻的失效或事件，卡阻指由于物理冲突，操纵面或驾驶员操纵器件被固定在某个位置处。卡阻必须按照下列情况进行评估：

(i) 必须考虑任何正常使用位置的卡阻；

(ii) 必须假设，可能出现的单个失效或失效组合发生在除着陆前瞬间的正常飞行包线内的任何位置。考虑到启动改回的时间延迟，着陆前瞬间不足以实现改回；

(iii) 当已存在本小条规定的单个卡阻情况下，任何额外的、能够妨碍持续安全飞行和着陆的失效状态，其组合概率应小于1/1000。

(4) 任何飞行操纵器件滑移到不利位置的失控情况，如果这种失控可由单个失效或失效组合引起，且不是极不可能的。

(d) 飞机必须设计成所有发动机在飞行中的任何点全部失效的情况下仍可操纵，且有从进近和平飘至着陆的可能。如果表明分析方法是可靠的，则可以通过分析来表明满足本要求。

(e) 系统设计必须保证任何时候主要控制方法接近控制权限限制时，能够被机组适当的感知。

(f) 如果系统的设计使其具有多种工作模式，则当任何工作模式显著改变或降低飞机的正常操纵特性或品质时，必须向机组提供指示信息。

06 25.671提案与现行规章的差异是什么？

那么 ARAC 建议的 25.671 提案，与现行规章有何差异？25.671 提案提出了新的适航要求？还是对现有条款的修订？25.671 提案是否提高、降低或保持现行规章同等的安全性水平？EASA 是否有额外要求？

我们逐条进行对比，可知 25.671 提案通过扩展包线要求、定义 “持续安全飞行和着陆” 准则、增加 “千分之一” 判据等，总体提高了安全性要求。具体更改如下：

25.671(a)：修订。针对 EFCS 的审定需要，增加了飞机在任何姿态的操纵要求，提高了安全性水平；
25.671(b)：修订。鼓励采用设计手段来保证设备装配正确，不鼓励采用永久性标记的防差错设计，提高了安全性水平；
25.671(c)(1)：修订。澄清了哪些卡阻情况不需考虑，删除概率 “极不可能” 的符合性方法。此项修订协调了各国规章差异，要求考虑所有 “单个故障”，而不论其概率大小，提高了安全性水平；
25.671(c)(2)：修订。澄清了哪些卡阻情况不需考虑，增加 “千分之一” 判据要求。新的提案规定了一个适度的剩余安全水平，但适用于所有可能的系统失效（包括隐蔽故障），因此既偏保守，又不保守。根据提案中 “千分之一” 判据的要求，1E-8 的主系统叠加 1E-1 的备份系统，即使满足 1E-9，也不符合要求。然而 EASA 认为提案难以表明对现行 CS 的等效安全，针对 “隐蔽故障” 提出了额外要求，要求尽量避免 “双重故障（其一为隐蔽故障）导致灾难级影响”，尽量避免 “隐蔽故障贡献于灾难或危险级失效”。EASA 显然也明白这样的要求过于严苛，因此如果不能满足，EASA 也给出了建议的处理方式；
25.671(c)(3)：修订。提供了卡阻的定义，删除概率 “极不可能” 的符合性方法，增加 “千分之一” 判据要求。新的提案要求考虑除着陆前瞬间的各类卡阻，确保卡阻发生后的飞行安全（叠加 15 节侧风）。排除 “着陆前瞬间”，主要是考虑到飞行员没有时间克服卡阻，因此如果极短的暴露时间内发生卡阻为极不可能，则可以接受。而 EASA 认为根据航线运营数据，着陆前瞬间发生卡阻的情况是存在的，因此不能例外；
25.671(c)(4)：修订，单独列出此小条。强调了对操纵器件 “滑移” 的要求，需考虑单个失效而不论其概率大小；
25.671(d)：修订。需考虑飞行中的任何状态点，当发动机全部失效后，飞机要有拉平的能力，提高了安全性水平。此外，EASA 特别强调了飞机应具备安全着陆、直至完全停住的要求。
25.671(e)：新增。根据近期 EFCS 审定需要，增加操纵权限感知要求，提高了安全性水平。
25.671(f)：新增。根据近期 EFCS 审定需要，增加工作模式的通告要求，提高了安全性水平。