大话适航（六）法律标准简介

小蒙面侠

已于 2024-07-25 09:18:41 修改

阅读量3.7k

点赞数 33

分类专栏：适航文章标签：适航 DO-178 DO-254 DO-160 ARP4754 人为因素安保

于 2024-03-20 08:00:00 首次发布

本文链接：https://blog.csdn.net/hursing/article/details/136850951

版权

适航专栏收录该内容

8 篇文章

订阅专栏

接前文《大话适航（五）国际合作-CSDN博客》

6. 法律标准简介

本文只介绍有人驾驶航空器的航电方面知识。本章可对着第7章“正向开发”一节来回看。

大图

日常交流中，可以简说“适航要求”=法律法规+部门规章+行政规范性文件+标准。

实际工作中，各类要求文件是交叉引用的，但有两条主线：

审定基础和审定计划相关：CCAR -> AC、AP
技术标准：CCAR -> CTSO -> 国际标准 -> 美国AC。

主线之外，是中国的行业标准，这需要自己去遍历筛选出哪些对具体专业有参考价值。不少行业标准的部分内容是翻译国际标准的，这当然好过看英文。

主线引用关系的大图：

CCAR-21部

21部《民用航空产品和零部件合格审定规定》是航空器设计制造的纲领性规章，既有细则，也引用了23~37部。

和很多制造业不一样的是，民航产品接受审查首先要直接对标部门规章的条款，而不是大众相对熟悉的“GB XXXXX”标准。原因自然是民航领域只有较少的国家标准。21部涵盖了14种证件的基础要求。

型号合格证（TC）是取证时间最长，要求最多的，所以适航资料中的大部分是围绕TC的。

型号合格审定基础是对某一民用航空产品进行型号合格审定所依据的标准。它包括五个方面：

适航要求
- 在实际工作中，某些类别的航空器审定基础来自AC，并不是部门规章，例如超轻型飞机的参考审定基础是《AC-21-06 初级类航空器适航标准——超轻型飞机》
环境要求（环保）
专用条件，指适航规章没有包括适当的或足够的安全要求。它与适航规章具有等效的法律地位，必要时民航局还应在颁发前征求公众意见。
- CCAR 23部在2022年5月发布的R4版，已经新增了对电推进系统的要求。所以电动飞机已有章可循——中国首创，连美国联邦航空局FAA都没有
豁免。可以因技术原因申请暂时或永久豁免某些条款。
等效安全水平结论。等效安全是指虽不能表明符合条款的字面要求，但存在补偿措施并可达到等效的安全水平。

除了23、25、27、29各大部的航空器，还有一些种类的航空器适航规定是在21部的条款里描述的：

21.17，特殊类别航空器（飞艇、滑翔机、甚轻型飞机等）
- 特殊类别航空器指局方指定的尚未颁布适航规章的某些种类的航空器，如滑翔机、飞艇、甚轻型飞机和其他非常规航空器。
- EVTOL目前算是特殊类
21.24，初级类航空器
21.25，限用类航空器
21.26，轻型运动类航空器

航空器要符合的条款集合，构成审定基础，实际可从所有规章甚至AC中摘录条款组成这个产品的审定基础。

型号设计更改可分为小改、大改，大改可分为重大更改、实质性更改。

小改：指对民用航空产品的重量、平衡、结构强度、可靠性、使用特性以及对民用航空产品适航性没有显著影响的更改，可使用 MDA（改装设计批准书）批准，可以在向局方提供验证资料或者说明性资料之前按照局方接受的方式进行批准
大改：除小改以外的其他更改。必须向局方提交验证资料和必要的说明资料，表明该更改及其影响的区域符合相关规章的适用要求，并且向局方提交表明符合性的方法。可使用 STC（补充型号合格证）或 TC 更改方式更改
重大更改：（1）未保持民用航空产品原有的总体构型或构造原理（2）欲更改的民用航空产品在合格审定时曾采用的前提条件不再有效。重大更改可能会影响审定基础
实质性更改：如果对民用航空产品的设计、动力、推力或者重量的更改，需要对该民用航空产品与适用规章的符合性进行实质的全面审查，应当申请新型号合格证或者型号认可证

改装是指在超出原设计状态的任何改变，包括替换零部件。改装设计可能属于小改或大改。

修理是指处理损伤并且恢复适航状态。修理设计可能属于小改或大改。

适航的航空器分类

基本分类是运输类、正常类（Normal Category，非运输类，通航类）；飞机、旋翼航空器。

为了降低研制成本，适航法规对航空器做了特别的分类，和前述的大众认知里的分类略有不同。显然，乘员数少、质量轻的航空器危害较小，不应该有大飞机那么高的要求，这类航空器称为轻小型航空器。

小白级的科普请参考《【民航科普】航空器适航分类》，专业级的请参考《从适航审定角度，航空器有多少种类别？》。

下面只做一些简单总结：

超轻型飞机（Ultralight Aircraft，ULA），含飞行员不超过2座，（陆上飞机）最大起飞重量480KG，不能用于特技飞行
- 特技飞行在民众印象里就是“高空过山车”，实际上每种飞行动作都有术语，例如大坡度盘旋、半滚倒转、半筋斗翻转、水平8字。请参考《资深航空译员整理翻译的特技飞行术语文章》
轻型运动类（Light Sport Aircraft，LSA），含飞行员不超过2座，（陆上）最大起飞重量700KG。（没有限定是飞机，可以是旋翼航空器）。
甚轻型飞机（Very Light Aircraft，VLA），含飞行员不超过2座，最大起飞重量750KG，只能昼间目视飞行。
滑翔机（glide），含飞行员不超过2座，是可以有动力的
初级类航空器，含飞行员不超过4座，（陆上飞机）最大起飞重量1225KG，只能用于娱乐和私人使用。
限用类航空器，用于农林、巡查等，可以按运行环境降低条款的要求。

更具体的分类原则请看21部相关内容。

同一型号可以先取要求低的类别的证，再取要求高但可运行场景更宽泛的证。

注：在《AC-91-FS-033R2 空中游览和体验飞行》中规定：

持有初级类航空器特殊适航证、限用类航空器特殊适航证、运动类航空器特殊适航证的航空器，不得用于空中游览
空中游览：指以取酬为目的，在航空器中实施的以观光游览为目的的飞行活动，包括异地短途观光。
体验飞行：指在航空器中实施以熟悉、体验航空活动，而不以观光旅游为目的的飞行活动。

CCAR-23部及其AC

章节分为：A章总则；B章飞行；C章结构； D章设计和构造；E章动力装置；F章设备；G章飞行机组界面和其它信息；H章电动飞机动力装置补充要求；I章准则；附录A 持续适航文件编制要求。

最典型的一条：

第23.2510条系统、设备和安装
除本规定另有其他单独要求外，飞机每个系统、设备和安装应当满足下列要求:
(a)每个灾难性的失效状态发生的平均失效概率，是极不可能的;
(b)每个危险的失效状态发生的平均失效概率，是极少发生的;
(c)每个主要的失效状态发生的平均失效概率，是非常小的。

规章条文中的用语“极不可能、极少发生、非常小”是抽象的，在AC中明确量化指标。

为了降低要求，23部按设置的最大乘客座位数，将航空器分为如下审定等级:
1级:最大乘客座位设置为0至1座;
2级:最大乘客座位设置为2至6座;
3级:最大乘客座位设置为7至9座;
4级:最大乘客座位设置为10至19座(局方另有规定除外)。

在（FAA的）AC 23.1309-1E中，“极不可能”也按4级对应有不同的失效概率数值。例如1级是1E-6，4级是1E-9。

CCAR-25部及其AC

航电设备最关心的是“F分部设备”的1301和1309条：

第 25.1301 条功能和安装
  (a) 所安装的每项设备必须符合下列要求：
     (1) 其种类和设计与预定功能相适应；
(2) 用标牌标明其名称、功能或使用限制，或这些要素的适用的组合；
(3) 按对该设备规定的限制进行安装；
(4) 在安装后功能正常。
  (b) 电气线路互联系统(EWIS)必须符合本部 H 分部的要求。

第 25.1309 条设备、系统及安装
(a) 凡航空器适航标准对其功能有要求的设备、系统及安装，其设计必须保证在各种可预期的运行条件下能完成预定功能。
(b) 飞机系统与有关部件的设计，在单独考虑以及与其它系统一同考虑的情况下，必须符合下列规定：
(1) 发生任何妨碍飞机继续安全飞行与着陆的失效状态的概率为极不可能；
(2) 发生任何降低飞机能力或机组处理不利运行条件能力的其它失效状态的概率为不可能。
(c) 必须提供警告信息，向机组指出系统的不安全工作情况并能使机组采取适当的纠正动作。系统、控制器件和有关的监控与警告装置的设计必须尽量减少可能增加危险的机组失误。
(d) 必须通过分析，必要时通过适当的地面、飞行或模拟器试验，来表明符合本条（b）的规定。这种分析必须考虑下列情况：
(1) 可能的失效模式，包括外界原因造成的故障和损坏；
(2) 多重失效和失效未被检测出的概率；
(3) 在各个飞行阶段和各种运行条件下，对飞机和乘员造成的后果；
(4) 对机组的警告信号，所需的纠正动作，以及对故障的检测能力。
(e) 在表明电气系统和设备的设计与安装符合本条(a)和(b)的规定时，必须考虑临界的环境条件。中国民用航空规章规定具备的或要求使用的发电、配电和用电设备，在可预期的环境条件下能否连续安全使用，可由环境试验、设计分析或参考其它飞机已有的类似使用经验来表明，但适航当局认可的技术标准中含有环境试验程序的设备除外。
(f) 必须按照 25.1709 条的要求对电气线路互联系统(EWIS)进行评估。

注：电气线路互联系统（Electrical Wiring Interconnection Systems，简称EWIS），是指任何传输电能、信号、数据的导线(也包含汇流条)，线路装置包括线路上的端点装置，或其组合(比如搭地线和继电器)。EWIS分散存在于很多航电设备，实际并不是单独的系统，详情请参考《EWIS的前世今生》。并不是25部提出来就只是在25部才有，显然所有现代航空器都有。

重要的AC举例：

在《AC 25.1309-1A - System Design and Analysis》中，明确了“极不可能”的失效概率为10的负9次方。
- 注：《AC 25.1309-1B Draft - System Design and Analysis》是B版（也叫ARSENAL draft）但未正式发布，已常被引用。
在《AC 25-11B - Electronic Flight Displays》中列举很多电子显示器的要求。这些要求对非25部飞机也可能适用，因为会被其它部的AC所引用。
在《AC 25.1302-1 - Installed Systems and Equipment for Use by the Flightcrew》讲了人为因素的考虑
在《AC 25.1322-1 Flightcrew Alerting》讲了告警系统

CCAR-39部适航指令

《AP-39-AA-2023-01R2 适航指令的颁发和管理程序》做了很好的解释：

适航指令（Airworthiness Directive，AD）：由中国民用航空局和地区管理局颁发的强制性检查要求、纠正措施或使用限制。每一份适航指令都是 CCAR-39 的一部分，具有与CCAR-39 同等的效力。适航指令涉及的民用航空器，在规定的时间内如未达到该适航指令要求，相关民用航空器将不再适航。
当评估认为民用航空产品或零部件存在不安全状态，并且这种状态很可能存在于或发生于相同型号设计的其他民用航空产品或零部件之中时，包括未按批准型号进行生产的，将启动适航指令的编制工作。

简言之，39部定义了一种简便的立法手段来要求航空器强制执行某些行政命令。

以实例来说，波音某个机型的单架飞机发生事故，民航局可以在确认是设计问题后发适航指令要求该机型所有飞机停飞，在修复问题后再发适航指令允许复飞。

CCAR-45部国籍登记

航空器的国籍登记标志简称注册号，全球范围内每架航空器的注册号是唯一的。它由两部分组成：国籍标志和登记号。其中的国籍标志是按国际民航组织分配的，中国的国籍标志为“B”，而登记号则由各国自己定规则。大陆地区标志格式为“B-XXXX”，中间的短横线是必须的，XXXX代表四位数字或字母。

注：

“B-XXXX”的规则曾经限定了是4位数字，那么最多只有1万架飞机，在未来是不够用的。民航局在2008年发过《第二次征求航空器国籍标志编码规则方案》。现在会有不全是数字的注册号，主要是小飞机。
注册号简介请参考《飞机也有身份证号？》，各国的国籍代码可参考《飞机注册号、航班号和国籍代码那些事》
航空器不得有双重国籍。
国籍登记的申请人是航空器的所有人或占有人（租的），不是设计或制造厂商。
注册号要体现在机身或机翼等地方，通常是难擦洗式喷涂
尚未进行国籍登记的航空器做特许飞行前，应当申请临时登记标志并获得临时登记证书。

CCAR-91部运行要求

章的目录：A章总则；B章飞行机组；C章航空器及仪表和设备要求；D章飞行规则；E章特殊的飞行运行；F章运输类飞机和涡轮动力多发飞机运行附加要求；G章航空器维修；H章外国民用航空器在中国境内运行和中华人民共和国国籍登记的民用航空器在境外运行；I章超轻型飞行器；J章跳伞；K章偏离；L章法律责任；M章附则。

对航电工作的影响就是要求机上装有特定的仪表和通信设备，这不是适航的要求，因为不会直接影响安全，这是运行管理的要求，比如要能和塔台通信。

留意一些术语：

目视气象条件：是指用能见度、离云的距离和云高表示，等于或者高于规定最低标准的气象条件。
仪表气象条件：是指用能见度、离云的距离和云高表示，低于为目视气象条件所规定的最低标准的气象条件。
目视飞行规则（visual flight rules，VFR）指在可见天地线和地标的条件下，能够判明航空器飞行状态和目视判定方位的飞行。目视飞行机长对航空器间隔、距离及安全高度负责。
仪表飞行规则（instrument flight rules，IFR）是完全或者部分地按照航行驾驶仪表，判定航空器飞行状态及其位置的飞行。
- 必须按照IFR飞行：IMC（低于目视气象条件）；云层、云裳目视气象条件；夜间飞行；高度6000m以上；必须具有姿态指引、高度指示、位置判断和时钟等设备。

ARP4761和ARP4754

这两个文件常被一起提及，都是讲安全，4761讲分析方法，4754讲实践方法。

SAE ARP4761 提供了民用飞机机载系统和设备，在合格审定过程中进行安全性评估的指南和方法，包括功能危害性评估（FHA）、初步系统安全性评估（PSSA）、故障模式及影响分析（FMEA）、故障树分析（FTA）、共因分析（CCA）、系统安全性评估（SSA）等，主要用于表明“失效概率为极不可能”的符合性。简介请参考《SAE ARP4761 初探与入门！》

SAE ARP4754定义了研制保证过程技术，并通过制定与落实相应的研制流程要求，来消除或减少研制过程中可能产生的差错。它总共讲了八大过程、七大计划。

八大过程（Process）：计划过程、飞机和系统研制过程和需求捕获、安全性评估过程、需求确认过程、实施验证过程、构型管理过程、过程保证、合格审定及局方联络过程
七大计划（Plan）：研制计划、安全性工作计划、确认计划、验证计划、构型管理计划、过程保证计划、审定计划

ARP4754也是个总纲，还引用了多份标准。

有4个术语可留意：

失效（Failure）：影响组件、部件或元件工作，使其不能完成预定功能的情况（这包括功能丧失和异常）。
错误/差错（Error）：机组人员或维修人员的疏忽或不当行动，或在需求、设计或实现中的错误。
故障（Fault）：由于差错而导致的系统或设备失效。有时特指系统或设备非期望的异常工作。
错误/过失（Mistake）：强调人为疏忽

DO-178和DO-254

如果软硬件无法做穷举测试，则需要通过过程保证（建立规范并严格执行）来表明适航符合性。DO-178和DO-254是表明过程质量的最佳实践，详细描述了软硬件生命周期内各种活动的目标。具体到实际工作，这两份标准规定了要产生哪些文件，文件内容的编写和保存要符合什么原则；符合原则就行，并没有具体的模板。

DO-178是软件的要求，涉及BootLoader、驱动、操作系统、应用软件
- 软件行业很多人听过CMMI，那么DO-178就是比CMMI-5还高级一点的过程要求
- 实际的工作，举些例子：代码要加注释标记这段代码的功能是实现哪个需求；不能有无效的代码；都要做单元测试等
- 可参考《HB_Z 421-2014(2017)民用飞机机载系统和设备软件合格审定保证指南》代替DO-178。
DO-254是硬件的要求，涉及电子元器件以及可编程逻辑器件的硬件编程语言（hardware design language，HDL，硬件设计语言）部分。
- 实际的工作，举些例子：收集电子元器件的技术说明、数据单、应用注释、服务通告、使用者信函和勘误表（英文原文：specification、data sheets、application notes、service bulletins、user correspondence and errata notices）；FPGA或CPLD开发的源码也要能追溯需求。
- 可参考《HB_Z 420-2014(2017)民用飞机机载电子硬件合格审定保证指南》代替DO-254。

涉及软硬件的基础知识，请参考《汽车飞机电子开发原理》。

SOI，Stage of Involvement，（局方）介入性审查阶段，是DO-178和DO-254引入的里程碑节点，需要向局方提交专业/专题级的适航资料以接受软硬件符合性文件的审查。SOI有4个，每个阶段都有准入条件，达成后才可向局方申请开始介入，单个阶段内可以有很多次审查。

SOI#1 计划阶段，提交很多的计划，含各种具体时间点
SOI#2 设计阶段，提交设计资料
SOI#3 确认&验证阶段，提交验证资料
SOI#4 最终阶段，提交各类总结报告、记录

注：

DO-178和DO-254定了审查的流程，可理解成检验各种规章标准符合性的入口，实际要符合的标准还有非常多。因为其它标准都是分专业的，针对性很强，一般培训不会提及。
每次审查，重点问题记录到问题纪要（Issue Paper，IP），会有跟踪关闭的过程。
构型管理的实际工作是，各类文件（含需求、UI、源代码、测试用例和结果等上表有的很多种文件）都要进行版本管理，只要有修订，都要增加修订记录、改文件版本号、录入SVN/GIT覆盖原文件等。所有文件以及其对应的版本，构成一个基线（baseline）。
假如不搞DO-178/254，则可能是只做系统级验证，然而要证明安全性也是要花费很多努力。

DO-297 IMA

《RTCA DO-297 Integrated Modular Avionics (IMA) Development》综合模块化航电系统。描述的是多功能的软硬件系统，单个系统内对每种功能的实现都做了隔离，互不干扰。例如在一个仪表上显示多种传感器的数据以及基于这些数据再计算的结果，每种显示计算逻辑的出错不能影响另一种。

“综合”这种设计增加了单个系统的复杂度，需要更多的审查步骤，集成度的提升降低了硬件成本但会提升研发和审查成本，在预计大规模出货的项目上才值得投入（例如C919）。

隔离的具体措施，包括进程调度、内存、存储空间、计算资源等，多核CPU还得保证一个核只执行一个功能。现在能实现这些要求的国外操作系统有：

（Wind River公司的）Helix Virtualization Platform
Lynx OS-178
QNX Hypervisor

国产化正在快速发展，但仍有待验证。

注：航空领域会把软件集成的“集成”也翻译成“综合”，单词都是integrate

一条数据链路上的设备，按逻辑功能会分为采集、处理（含存储）、显示、控制四大模块。为了提高安全性，很多航空设备会集成处理、显示、控制功能，再用线缆接收传感器发过来的数据；这些接收的数据通常不会很多，功能越少，风险越小。而综合仪表则不同，接收很多种数据，负责显示和控制，可能仅有少量的处理。

DO-160 环境适应性

所有航电设备的标准都会引用到DO-160。

《RTCA DO-160G 机载设备环境条件和试验程序》规定了自然环境试验、机械环境试验、电磁环境试验3类试验，包括温度和高度、温度变化、湿热、飞行冲击和坠撞安全、振动、爆炸、防水、流体敏感性、砂尘、霉菌、盐雾、结冰、防火、可燃性、声振、加速度、磁影响、电源输入、电压尖峰、电源线音频传导敏感性、感应信号敏感性、射频敏感性、射频能量发射、雷电感应瞬态敏感度、雷电直接效应、静电放电等。请参考《DO-160G中的试验类别》。

试验设备本身也需要可靠，这才能让结果可信。但这些试验设备很贵，它们也经过鉴定，通常由专门的机构来投入购买、拥有足够场地、面向业内多个单位提供检测服务，这样才能收回成本。

特别注意，DO-160是验证环境适应性，不是验证失效率。

ATA 2200

ATA2200合并了ATA100和ATA2100。ATA100规范描述了应如何结构化地组织文档，它的章节划分和编号，被视为子系统划分的最佳实践。

上图只是列举了部分系统，图片来源：《飞机常用技术文件手册（Airbus）与ATA概述！》

目前维修单位都按这个来划分子系统，反过来让设计单位也遵循了，子系统的编号会对照这个标准。例如仪表属于31指示与记录系统，它的很多文档编号就可能有体现31这个数字。

没有一个专门的系统叫航电系统，但航电系统涉及：

ATA22 自动驾驶仪
ATA23 通信系统，如接收机、发射机、天线等
ATA31 指示与记录系统，即各类显示仪表、告警、数据（含声音、影像）记录仪。
ATA34 导航系统
ATA42 综合模块航电（IMA）
ATA44 客舱系统，如无线WiFi、娱乐屏、广播
ATA45 机载维护系统
ATA46 信息系统

AS9100D质量管理体系

AS9100质量管理体系是在ISO 9001质量体系要求基础上开发的航空航天标准，其中加入了航空航天行业所建立的有关质量体系的附件要求，以满足DOD、NASA以及局方的质量要求。此标准旨在为航空航天行业建立统一的质量管理体系要求，也是航空制造企业的最低准入门槛。最早由SAE制定发布。

简单来说，AS9100要求建立合适的（行政）组织架构和工作制度以对产品质量产生积极影响。更多简介请参考《AS9100D航空航天质量管理体系认证》。

供应商管理

仅供参考：

审查组会去供应商的办公地驻场审查。部分机密资料可以直接请审查组审，不交给甲方。

人为因素

先抛一个有趣的问题：为什么空速表的0值在正上方，而车速表在左下方？

这个设计差异主要是因为使用场景中所面临的需求和安全考虑不同。首先，正上方肯定是最容易视觉定位的位置，更快被驾驶员识别。

空速表（航空）：对飞行而言，低空速可能意味着失速要坠毁。因此，0值放在仪表盘上方更容易引起警觉。
车速表（汽车）：对汽车而言，低车速反而意味着安全，高速才需要警觉。当车辆在城市道路或高速公路上行驶，车速指针通常位于仪表板中心区域附近，有利于司机快捷准确地读取当前时速。

这两种设计各自都考虑了安全的因素，目的在于减少目视定位读数的反应时间，降低驾驶员人为出错的可能性。

人为因素（human factors）是通过系统应用人为科学，在系统工程框架中优化人与其活动的关系。人为因素包括生活和工作环境中的人；人与机器、程序和环境的关系；还包括人与人之间的关系。民航飞行中最重要的主题就是飞行安全；人为因素是解决飞行安全的重要因素。研究数据表明，所有飞行事故中，80%都与人的不安全行为相关，因而人为因素成为航空安全的最大隐患，人也是复杂航空运行系统中核心的组成部分。请参考《民航安全管理-人为因素》。

《人为因素的十二陷阱》：

Lack of communication--沟通不良
Complacency--自满大意
Lack of knowledge--缺乏专业知识
Distraction--分心
Lack of teamwork--缺乏团队精神
Fatigue --疲劳
Lack of resources--资源不足
Pressure--时间压力
Lack of assertiveness--缺乏果断
Stress--紧张压力
Lack of awareness--缺乏警觉
Norms--不良习惯

通常可以把航空人为因素研究分为如下几个方面：

航空器设计与制造人为因素（适航审定领域重点关注）
航空器运行与培训人为因素
航空器维修与保障人为因素
空中交通管制人为因素

在实际研制环节，就是要通过设计，以减少人为因素出错的可能性。以显示系统为例，如不能随意告警使飞行员分心、实际真有持续的告警也有途径供飞行员主动抑制以免他紧张烦躁、显示屏上的图形设计足够简单易懂、颜色设计能形成高辨识度和防眩光等等。可了解《科普｜为什么驾驶舱的显示屏大都是黑底绿字的呢？》

EASA制定了专门的人为因素条款CS 25.1302，并发布了对应的咨询材料AMC 25.1302。该条款是对25部中所有人为因素相关条款的综合与集成。25.1302条与此前已有的其它人为因素相关条款结合起来，系统完整地提出了型号设计中的人为因素要求。25.1302是以飞行机组任务为导向，全面系统的人为因素适航要求，注重与飞行机组任务相关的各系统各设备之间的协调与匹配。FAA高度认可EASA对人为因素的重视，很早就与EASA联合成立了人为因素协调工作组，确保规章要求的一致性。2013年7月2日，FAA也正式颁布了FAR 25.1302条，内容与CS 25.1302条基本一致，并同时颁发了相关的咨询通告。我国目前还未正式引入1302条款，但在多个型号设计工作中已经大量引用和参照了国外的标准和要求。通常，会专门有人为因素的审定计划（CP）。请参考《浅谈航空产品设计生产中的人为因素问题》。

美国联邦航空局FAA对这方面发布了一份753页的设计标准《HUMAN FACTORS DESIGN STANDARD》。一些例子：

如何设计插头以免插反（参考USB TYPE B）
不能分散飞行员注意力，不能按手机那种希望更吸引用户注意力的方式来设计

扩展了解：

《飞行中人为因素的历史及意义》。
人为因素更关注设计环节，人因工程（Human Factors Engineering，HFE）更强调工程实现。

SAE ARP4102-7

正文

SAE ARP4102-2007-FLIGHT DECK PANELS, CONTROLS, AND DISPLAYS

附件7：

SAE ARP4102-7 2007 Electronic Displays

附件7的附件：

SAE ARP4102-7 2007 appendix A Electronic Display Symbology for EADI PFD
SAE ARP4102-7 2007 appendix B- Electronic Display Symbology for EHSI ND
SAE ARP4102-7 2007 appendix C Electronic Display Symbology for Engine Displays

附件7的附件A包含了PFD的图形标准，涉及UI设计，例如：

《HB8694-2023 飞机电子显示器显示符号》是参考多份国外标准制定出来的中国行业标准，中文的，包含翻译了ARP4102-7很多的内容，还有颜色使用指引，对仪表设计有非常好的指导意义。

CTSO-C113b

《CTSO-C113b 机载多功能电子显示器》讲述了机载多功能电子显示器的最低性能标准。附录1里提到了颜色：

NASA官方列了颜色使用的指南文件列表：https://colorusage.arc.nasa.gov/guidelines_specific.php

SAE AS6296

《SAE AS6296 Electronic Flight Instrument System (EFIS) Displays》讲述了显示性能的要求，有提到显示延迟的限制：

安保

安保（Security）涉及很多方面，包括反恐怖分子。对航电设计来说，主要指网络安全。

因为航空器一般不会使用从网上下载的数据，都是离线的。用在线数据的做法，这方面还没有形成固定要求，都是专用条件。

C919的专用条件：
(a) 对机载网络安保威胁和风险的消除措施应将以下情况发生的可能性降至最低：
  (1) 降低航空器安全边界或能力（包括维护功能）；
  (2) 增加机组人员的负荷或显著降低机组人员的效率；
  (3) 使任何机上乘员遇险或受伤。
(b) 机载网络安保的设计应能防止任何来自其他网络域对飞机控制（网络）域和运营信息服务（网络）域中的软件或数据有意或无意的变更。

亿航的专用条件：
PEU.H040 链路安保
(a)应防止通过数据链路使航空器系统受到未经授权的接入和控制；
(b)应确保数据链路不因恶意攻击影响飞行安全；
(c)安全风险和漏洞应在起飞前或飞行中能被识别、评估和缓解。

参考资料：