SAE ARP 4754A 民用飞机系统研发指导

目录
1.范围(Scope) (1)
1.1目的（Purpose） (2)
1.2文件背景（Document Background） (3)
2.引用文件（References） (5)
2.1适用文件(Applicable Documents) (5)
2.1.1 SAE出版物 (5)
2.1.2 FAA出版物 (5)
2.1.3 EASA出版物 (6)
2.1.4 RTCA出版物 (6)
2.1.5 EUROCAE出版物 (6)
2.2 定义（Definitions） (7)
2.3缩写(Abbreviations And Acronyms) (12)
3.研制计划(Development Planning) (14)
3.1计划过程(Planning Process) (14)
3.2过渡准则(Transition Criteria) (15)
3.2.1偏离计划 (16)
4飞机和系统研制过程(Aircraft And System Development Process) (16)
4.1飞机/系统概念研制阶段(Conceptual Aircraft/System Development Process) (17)
4.1.1 研制保证 (18)
4.1.2研制保证过程的介绍 (18)
4.1.3源自安全性分析家等级安全性要求的介绍 (19)
4.1.4飞机级功能、功能要求和功能接口的识别 (20)
4.1.5飞机功能到系统的分配 (20)
4.1.6系统构架研制 (21)
4.1.7系统要求到项目的分配 (21)
4.1.8系统实施 (21)
4.2飞机功能研制(Aircraft Function Development) (21)
4.3飞机功能到系统的分配(Allocation of Aircraft Functions to Systems) (23)
4.4系统构架的研制(Development of System Architecture) (24)
4.5项目系统要求的分配(Allocation of System Requirements to Items) (24)
4.6系统实施(System Implementation) (25)
4.6.1信息流-从系统过程到项目过程&从项目过程到系统过程 (25)
4.6.2硬件和软件设计/建造 (27)
4.6.3电子硬件/软件集成 (27)
4.6.4飞机/系统集成 (27)
5集成过程(Integral Process) (28)
5.1安全性评估(Safety Assessment) (28)
5.1.1功能危害性评估 (30)
5.1.2初始飞机/系统安全性评估 (31)
5.1.3飞机/系统安全性评估 (32)
5.1.4共因分析 (33)
5.1.5安全性项目计划 (34)
5.1.6安全性相关的飞行操作或维修任务 (34)
5.1.7服务中安全性的关系 (35)
5.2研制保证等级分配（Assignment of Development Assurance Level） (35)
5.2.1一般准则—研制保证等级分配的介绍 (36)
5.2.2功能研制保证等级和项目研制保证等级（FDAL和IDAL） (37)
5.2.3详细的FDAL和IDAL分配指南 (37)
5.2.4考虑外部事件的FDAL分配 (50)
5.3要求捕获(Requirements Capture) (51)
5.3.1要求类型 (52)
5.3.2安全性分析的导出安全性相关要求 (55)
5.3.3使用中捕获维修要求 (55)
5.4要求确认(Requirements Validation) (56)
5.4.1过程目标 (57)
5.4.2确认过程模型 (57)
5.4.3正确性检查 (61)
5.4.4完整性检查 (62)
5.4.5确认的严酷度 (64)
5.4.6确认方法 (65)
5.4.7确认资料 (67)
5.5执行验证(Implementation Verification) (68)
5.5.1验证过程目标 (68)
5.5.2验证过程模型 (69)
5.5.3验证严酷度 (70)
5.5.4验证计划 (70)
5.5.5验证方法 (71)
5.5.6验证资料 (74)
5.6构型管理(Configuration Management) (76)
5.6.1构型管理过程目标 (76)
5.6.2构型管理过程活动： (77)
5.7过程保证(Process Assurance) (79)
5.7.1过程目标 (79)
5.7.2过程保证计划 (80)
5.7.3项目计划评审 (80)
5.7.4过程保证的证据 (80)
5.8适航审定和管理活动的协调(Certification and Regulatory Authority Coordination) (81)
5.8.1适航合格审定策划 (81)
5.8.2关于建议的符合性方法的规定 (81)
5.8.3符合性证明 (82)
5.8.4适航合格审定资料 (82)
6.飞机或系统改型(ODIFICATIONS TO AIRCRAFT OR SYSTEMS) (85)
6.1改型过程概述(Modification Process Overview) (86)
6.2改型管理过程(Modification Management Process) (86)
6.3改型影响分析(Modification Impact Analysis) (87)
6.4改型分类和管理(Modification Categorization and Administration) (88)
6.5接受改型的证据(Evidence for Acceptability of a Modification) (88)
6.5.1利用历史使用经验 (89)
6.6改型考虑(Considerations for Modifications) (89)
6.6.1新增加一个飞机级功能 (90)
6.6.2用其它飞机的项目或系统替换现在的项目或系统 (90)
6.6.3使现在的项目或系统适合不同的飞机型号 (92)
6.6.4不增加新功能而改型项目或系统 (93)
6.6.5 补充型号合格证（STC）介绍 (94)
7注意(NOTES) (95)
7.1 (95)
7.2 (95)
附录A-过程目标资料 (96)
附录B—安全性项目计划 (104)
附录C—功能研制保证等级（FDAL）/项目研制保证等级（IDAL）分配过程实例 (119)
1.范围(Scope)
本文讨论的飞机系统的开发过程，全面考虑了整个飞机的运行环境和功能，包括审定和产品保证过程中的要求确认过程和设计实施验证过程。

它提供了一种和相关规章和服务相一致的推荐标准来帮助进行设计开发以及满足其内部标准。

本指导材料是按 14CFR25部（Title 14 Code of Federal Regulations Part 25）和EASA CS-25部（欧洲航空安全局审定说明25部）制定的，也可用于其它条例，例如23部、27部、29部、33部和35部（CS-23，CS-27，CS-29，CS-E，CS-P）。

本文覆盖了实施飞机级功能的飞机和系统的全寿命周期，不包括某些特定的内容：详细的软件或电子硬件开发、安全性评估过程、运行中的安全性活动、飞机结构开发、主最小设备清单（MMEL）和构架导出清单（CDL）。

同时，本指南详细地覆盖了RTCA文件的DO-178B“航空系统和设备审定的软件考虑”开发中的软件方面和欧洲EUROCAE的ED-12B。

RTCA的DO-254和欧洲EUROCAE ED-80“航空电子系统设计保证指南”里包含了电子硬件开发设计方面的详细信息。

RTCA/EUROCAE里的DO-297/ED-124包含了集成模块航空电子的设计指南和审定考虑。

SAE ARP4761“实施民用航空系统和设备实施安全性评估过程指南和方法”概要了安全性评估过程的方法理论。

ARP5150“商业运输飞机的安全性评估”和ARP5151“商用一般飞机和旋翼机的安全性评估”里详细描述了服务中的安全性评估细节。

本文第6节覆盖了已经审定的活动（对审定过的产品进行修改）。

各国的开发和支持MMEL的规章和进程各有不同。

指导MMEL开发的指南应寻求适航当局的帮助。

图1表示了这些文件的相互关系。

这些文件是安全性评估、硬件和软件生命周期过程和系统开发过程的指南。

图1 开发和服务/运行阶段指南文件
1.1目的（Purpose）
本指南主要针对支持飞机级功能的系统，而且其潜在的失效模式会导致飞机出现不安全的情况。

典型地，这些系统在更大的集成环境中与其它系统有重要的相互作用。

通常，系统中的重要元素由独立的个人、集团和组织研制。

这些系统需要额外的设计准则和开发结构以确保安全性和使用要求的实现和验证。

从飞机级向下的自顶向下迭代法是初始化过程的关键。

文件的内容是建议性的，不具强制性。

因此，文中避免使用―将‖和―必须‖这样的词。

我们已经意识到，组织可以使用与本文件不同的方法进行高度集成或复杂飞机系统的适航合格审定。

本文件既不为单独的组织结构提供指导，也不为如何划分适航合格审定责任提供指导。

这种指南不应从提供的文件中推导出来。

1.2文件背景（Document Background）
在RTCA/EUROCAE制定DO-178/ED-12的修订版B版时，要求把系统级信息作为软件开发过程的输入。

许多系统级的决策是飞机系统安全性和功能的基础，因此需要必要和合适的过程管理要求和与决策相关的结果。

本文件是应FAA对SAE的请求制定的。

FAA要求SAE规定系统级信息（证明高度集成或复杂航空电子系统满足条例要求）的合适的性质和范围。

SAE成立系统集成要求任务组（SIRT），制定FAA要求的ARP文件。

SAE开始就认识到此文件国际协调的重要性，强烈希望FAA和JAA派代表参加SIRT。

欧洲成立了EUROCAE WG-12伙伴工作组，协调欧洲在此方面的意见。

任务组包括在飞机设计和支持方面有直接经验的人员，包括大型商业飞机、通勤类飞机、商业和通用航空电子设备、喷气发动机、发动机控制。

有各种背景和代表各种利益的管理人员，也参加了工作组。

工作组与RTCA专业委员会（SC-167和SC-180）及SAE的S-18委员会，建立并保持正式和非正式联系。

文件制定期间一直与14CFR/ CS 25.1309协调工作组进行沟通。

文件制定期间一直反复讨论文件的性质。

有人强烈建议规定特定的合格审定步骤目录——检查单。

同样有人强烈建议集中注意主要的问题，允许申请人和适航当局剪裁特定系统的细节。

应当认识到，不论是整个适航合格审定还是大部分理想系统，都需要双方进行重要的工程判断。

对基本准则有了共同的理解和关注，才能保证判断的质量。

由于其它多种因素的作用，做出了现在的决定。

这些因素包括：潜在系统申请人的多样性、快速发展的系统工程、DO-178、DO-178A/ED-12A里包含的有关的工程经验以及DO-178B/ED-12B的特殊重要性。

系统设计的目前趋势是飞机功能和实施飞机功能的系统间集成化水平的不断增加。

然而，在考虑到系统间集成化所带来的意义时，复杂性的增加也会带来错误概率的增加，尤其是和多系统交叉实施功能时这种情况更加明显。

遵照航空规章制定及咨询委员会（ARAC）给集成化水平的增长提出的建议，飞机审定文件ARP4754/ED-79的使用越来越广泛。

这些集成化水平的增长参考了咨询文件里的ARP4754/ED-79以服从14CFR/CS 23.1309（参考2009年出版的AC 23.1309-1D）和25.1309（参考2003年出版的AMC 25.1309和AC25.1309兵工厂草案）。

随着初版ARP4754研制保证等级任务里的5.4节使用的增加，产生了很多有关该指南力
度的强硬性和软弱性的观点和见解。

初版ARP4754里5.4节简洁地描述了以下潜在的见解：
“如果PSSA表明系统构架包含设计错误的影响，而这些错误的飞机级影响是足够安全的，那么应该在构架容积边界范围内以一个对整个系统项目来说过程严格度减轻的等级来开展研制保证活动。

”
经验表明确定容限的过程和定义已经产生了不同的解释和基本观点的应用。

研制保证等级任务过程的改进是这次修订主要特征之一，这次修订提供了一套方法理论确保正确的研制保证等级。

初版ARP4754/ED-79在1996年出版的同时，SIRT和WG-42也同时解散了。

需要一组在飞机级领域具有丰富经验的专家进行初版ARP4754/ED-79的修订工作。

最终选择了SAE S-18飞机安全委员会来执行这项工作，是因为他们对源文件和他们制定的文件以及ARP非常熟悉。

许多S-18委员会的成员是制定初版ARP4754文件的SIRT成员。

同时，EUROCAE特许了一个工作组去更新ED-79。

WG-63联合了WG-42工作组的成员，同时代表了来自欧洲航空工业的一大批工业界和学术界的参与者。

WG-63和S-18共同保管了本文件的备忘录，确保ED-79A 和ARP4754A逐字相同。

附录A包括了过去的多年内由于工业的演变而对文件进行的更新工作。

特别强调了ARP4754/ED-79和ARP4761之间的关系以及与DO-178B/ED-12B和DO-254/ED-80之间的关系，并且指出了初始版本和修订版本间的不一致之处。

附录A 同时也扩展了应用在飞机和系统级的设计保证概念和设计保证期间的标准化。

因此，针对飞机和系统引进了功能研制保证等级（PDAL）的概念，术语设计保证等级the term design assurance level重新命名为项目设计保证等级（IDAL）。

同时包含了第一版后来自工业界的反馈所进行的不断改进和充实。

此外，S-18/WG-63和RTCA 专门委员会205（SC-205）/EUROCAE EG-71一道努力进行修订确保使用的术语方法和更新DO-178B/ED-12B所使用的术语和方法相一致。

2.引用文件（References）
2.1适用文件(Applicable Documents)
本文件中参考了下列文件。

参考文件的适用版是在本节注释的修订版。

这些文件后续版本可用的地方，申请者应核实它们的可用性。

参考文件修订的程度除非相关否则不用标注。

2.1.1 SAE出版物
从SAE国际处获得：400联邦体、Warrendale、PA 15096-0001。

电话：877-606-7323（美国和加拿大国内）或724-776-4970（美国国外）。

网址：www.sae.rog。

ARP 4761 民用航空机载系统安全性评估过程的指南和方法。

ARP 5150 商业运输机安全性评估。

ARP 5151 商用一般飞机和旋翼机安全性评估。

2.1.2 FAA出版物
从FAA获得：800 Independence Avenue, SW , Washington, DC20591。

电话：866-835-5322，网址：。

14CFR 21部产品和零件审定程序。

14CFR 23部适航性标准：正常的、有效性、特技类和通勤类飞机。

14CFR 25部适航性标准：运输类飞机。

14CFR 27部适航性标准：正常旋翼机。

14CFR 29部适航性标准：运输类旋翼机。

14CFR 33部适航性标准：飞机发动机。

14CFR 35部适航性标准：螺旋桨。

AC 23.1309-1D 23部飞机系统安全性分析和评估。

AC 25.19 审定维修要求
AC25.1309-1A 系统设计和分析，咨询通告。

2.1.3 EASA出版物
从EASA获得：Otto Platz 1, Postfach 101253, D-50452, Cologne, Germany,网址：www.easa.eu.int。

IR-21 飞机和相关产品和零件审定程序
CS-23 正常的、实用的、特技飞行的和通勤类飞机审定说明
CS-25 大型飞机审定说明
CS-27 小型旋翼机审定说明
CS-29 大型旋翼机审定说明
CS-E 发动机审定说明
CS-P 螺旋桨审定说明
AMC 25.19 审定维修要求
AMC 25.1309 EASA可接受的设备、系统合格安装方式
2.1.4 RTCA出版物
从RTCA公司获得：1828 L Street, NW, Suite 805, Washington, DC 20036, 电话：202-833-9339,网址：。

DO-178 飞机系统和设备合格审定中的软件考虑
DO-178A 飞机系统和设备合格审定中的软件考虑
DO-178B 飞机系统和设备合格审定中的软件考虑
DO-254 机载航空电子硬件的设计保证指南
DO-297 集成航空模块设计指南和合格审定考虑
2.1.5 EUROCAE出版物
从EUROCAE出获得：102 rue Etienne Dolet 92240, Malakoff, France。

ED-12A 飞机系统和设备合格审定中的软件考虑
ED-12B 飞机系统和设备合格审定中的软件考虑
ED-80 飞机电子硬件设计保证指南
ED-124 集成航空模块设计指南和合格审定考虑
2.2 定义（Definitions）
本节定义了本文用到的术语。

在本文使用的工业材料给出了引用并和参考原材料中的定义一致。

接受（ACCEPTANCE）：适航当局承认提交的数据、理由和声明满足可用的要求。

同意（AGREEMENT）：适航当局承认某个计划或提议和系统或元件的可用性相关或支持某个系统或元件，是一种考虑到可用要求的可接受的陈述。

适航性（AIRWORTHINESS）：飞机、飞机系统或元件在其运营条件下以一种安全的方式完成其预期的功能。

分析（ANALYSIS）：基于将复杂系统分解成简单元件的一种评估。

批准（APPROVAL）：适航当局实施的正式批准行动。

批准的（APPROVED）：为满足特定目的适航当局所接受的行为。

评估（ASSESSMENT）：基于工程推断的评价。

假定（ASSUMPTIONS）：没有依据的陈述、原则和（或）提出的猜想。

保证（ASSURANCE）：对产品或过程满足给定的要求提供足够信心和依据的有计划的、系统的行为（RTCA DO-178B/ED-12B）。

当局（AUTHORITY）：负责可用要求审定的国内组织或人员。

适用性（AVAILABILITY）：功能状态系统或项目在给定时间点的定性或定量特性。

不适用性表示系统（项目）不能提供输出的概率。

合格审定（CERTIFICATION）：产品、服务、组织或个人服从可用要求的法定认定。

这种审定包括了检查产品、服务、组织或个人的技术上的活动以及通过证书、许可、支持或国家法律和程序要求的其它文件服从可用要求的认定。

适航当局（CERTIFICATION AUTHORITY）：授予批准可用规章的组织或人员。

分类（失效条件）（CLASSIFICATION (FAILURE CONDITION)）：失效条件影响严酷度的离散编目方法。

分类等级在可用的CFR/CS咨询材料（1309节）里进行定义：灾难的、危险的/严重的、主要的、微小的、或无安全影响。

共因分析（COMMON CAUSE ANALYSIS）：包括区域安全性分析、特定风险分析和共模分析的一般术语。

共模分析（Common Mode Analysis）：用来验证ASA/SSA里的失效事件在实际实施过程中是独立的一种分析。

共模错误（COMMON MODE ERROR）：影响除了独立元素以外的一系列元素的错误。

复杂性（COMPLEXITY）：功能、系统或项目的一种特性，不借助于分析方法很难去理解它们的运行、失效模式或失效影响的一种特性。

符合性（COMPLIANCE）：所有委托活动的成功实施；期望或指定结果与实际结果间的一致性。

部件（COMPONENT）：任何对系统的运营实施特定必要功能的独立零件、零件的组合、组装或单元。

构型基线（CONFIGURATION BASELINE）：采取的变化过程违反已知的飞机、系统或项目的配置。

构型项目（CONFIGURATION ITEM）：配置控制下的飞机、系统、项目和相关数据。

一致性（CONFORMANCE）：证实参考标准、说明或图纸的正确性。

证明（DEMONSTRATION）：通过观察证实性能的一种方法。

导出要求（DERIVED REQUIREMENTS）：在不能追踪到高层级要求的设计过程中源自于设计或实施决策的额外需求。

研制保证（DEVELOPMENT ASSURANCE）：所有策划的系统性活动。

用于证明（在足够可信度的情况下）已经识别和纠正了研制错误，进而系统满足适用的合格审定基础。

（AMC25）。

研制错误（DEVELOPMENT ERROR）：在需求决策、设计或实施过程中的错误。

错误（ERROR）：机组成员或维修人员的一种疏忽或不正确的活动，或在需求、设计或实施过程中的错误。

外部事件（EXTERNAL EVENT）：检查过程中的飞机或系统发生的与其起源不同的事件，例如大气条件（强风、剪力、温度变化、结冰、闪电）、运行环境（飞行条件、通讯条件、导航和监视服务）、机舱和行李着火和鸟撞。

该术语不包括蓄意破坏。

失效（FAILURE）：影响元件、零件或设备运行而不能完成预期功能的行为（包括功能丧失和功能失调）。

注意：错误可能导致失效，但不能认为是失效（AMC 25.1309）。

失效条件（FAILURE CONDITION）：考虑飞行阶段和相关不利的运营或环境条件或外部事件，直接或间接导致一个或多个失效或错误的、对飞机和（或）其使用者产生影响的条件（AMC 25.1309）。

失效影响（FAILURE EFFECT）：描述某失效对系统或项目的运营情况的影响，例如，失效模式对系统或项目的运行、功能或状态的影响。

失效模式（FAILURE MODE）：系统或项目失效发生的方式。

失效率（FAILURE RATE）：时刻t时的可靠性分布函数与失效分布函数的λ=-
比值，'
()()/(1())
t F t F t
故障（FAULT）：项目或系统的某种错误导致失效的一种描述。

功能（FUNCTION）：基于定义的一系列实施要求的产品的预期行为。

功能研制保证等级（FUNCTION Development Assurance Level）：研制保证任务实施功能的严格等级。

（注意：功能研制保证等级用来识别满足飞机或系统功能的ARP4754/ED-79目标）
功能失效集（FUNCTIONAL FAILURE SET）：导致失效顶事件的相互独立的单个事件或一组特定事件的集合。

功能危险性评估（FUNCTIONAL HAZARD ASSESSMENT）：根据功能的重要性进行失效条件识别和分类的系统的、综合的功能检查。

功能独立性（FUNCTIONAL INDEPENDENCE）：在减小某种一般要求错误的可能性方面具有差异性的功能的特性。

指导（GUIDANCE）：和相关规章一致的推荐程序。

指南（GUIDELINE）：有帮助但并非指导的支撑信息。

硬件（HARDWARE）：具有物理本质的项目。

危险（HAZARD）：由于失效、外部事件、错误或其相互作用而影响安全性的一种条件。

实施（IMPLEMENTATION）：通过规范而产生物理实现的一种行为。

独立（INDEPENDENCE）：1.减小飞机/系统功能或项目间通用模式错误和灾难失效发生概率的一种概念。

2.确保目标评估顺利完成的职责的分离，例如，确认活动并不是由系统或项目要求的设计者单独实施。

检验（INSPECTION）：依靠某种特定标准的系统或项目的检查。

集成（INTEGRATION）：1.促使系统或项目的元素共同完成某项功能的行为。

2.在某单个功能实施过程中搜集多个单独功能的行为。

完整性（INTEGRITY）：表明系统或项目能够正常工作的定量或定性特性。

有时表征不能满足正常工作标准的可能性。

互换性（INTERCHANGEABILITY）：系统内一部分代替另一部分并能使系统实施特定功能的能力。

项目（ITEM）：具有界限和较好定义接口的硬件或软件。

项目研制保证（ITEM DEVELOPMENT ASSURANCE）：所有这些计划和系统任务用来以一个足够自信的水平证实，设计错误的识别和更正确保项目满足已定义的要求。

项目研制保证等级（IDAL）（ITEM DEVELOPMENT Assurance Level）：执行项目的研制保证任务的严格等级。

例如，项目研制保证等级是DO-178B/ED-12B里适当的软件等级，并且，需要满足DO-254/ED-80目标里的研制保证等级。

项目研制独立（ITEM DEVELOPMENT INDEPENDENCE）：减小项目研制过程中共模错误发生可能性的一种特性。

平均失效间隔时间（MTBF）（MEAN TIME BETWEEN FAILURES）：硬件系统的两连续失效间的时间间隔的数学期望。

注意：本定义仅限可修项目。

对不可修项目，使用平均失效发生时间（MTTF）。

元件（MEMBER）：飞机/系统功能或项目可能包含导致其丧失行为或异常行为的错误。

本定义仅局限于以后使用的功能失效集。

模型（MODEL）：用来分析、仿真和（或）生成代码的，并具有清晰语义语法的一系统系统/功能/项目的抽象描述。

建模技术（MODELING TECHNIQUE）：对系统/功能/项目的给定方面进行建模的方法。

特定风险（PARTICULAR RISKS）：特定风险定义成飞机外部或系统和项目内飞机外的事件和影响，但可能违反失效独立性。

分割装置（PARTITIONING）：对具有足够独立性的系统或项目进行分离，确保在一定范围内满足特定设计保证等级的装置。

初始系统安全性评估（PRELIMINARY SYSTEM SAFETY ASSESSMENT）：给定系统结构的系统化评估，其实施是基于功能危害性评估和失效条件分类基础上来评估系统和项目的安全性要求。

过程（PROCESS）：产生某种描述的输出和产品的一系列相关的活动。

（DO-254/ED-80）
冗余（REDUNDANCY）：多重独立方式来完成给定功能。

可靠性（RELIABILITY）：系统和项目在特定的条件下，特定的时间内完成特定功能的能力。

要求（REQUIREMENT）：能够确认并能满足验证某种实施的功能说明的识别元素。

需求模型（REQUIREMENTS MODEL）：在提取水平完全或部分描述模型地址要求的模型。

风险（RISK）：发生频率和相关严酷水平的总称。

安全性（SAFETY）：风险可接收的一种状态。

相似性（SIMILARITY）：用于特性相似的系统和先前审定飞机的系统。

原则上，主要系统的部分没有风险（由于环境或安装）并且操作重要性不比之前审定的飞机严重。

软件（SOFTWARE）：从属于计算机系统操作的计算机项目、程序、规则和任何相关文档。

规范（SPECIFICATION）：需求的集合，组成定义系统、元件或项目功能和特性的准则。

系统（SYSTEM）：实施特定功能的内部相关项目的集合。

系统安全性评估（SYSTEM SAFETY ASSESSMENT）：实施系统满足相关安全性要求的系统化、综合化的评估。

实验（TEST）：使用目标准则验证是否满足结果的定量程序。

可追溯性（TRACEABILITY）：研制过程中两个或多个元素间建立的可记录的关系。

例如，某要求和其起源之间或验证方法和其要求之间。

确认（VALIDATION）：产品要求足够正确和完整的决定。

（我们建立正确的飞机/系统/功能/项目了吗？）
验证（VERIFICATION）：要求实施的评估来确定已满足要求。

（我们建立正确的飞机/系统/功能/项目了吗？）
区域安全性分析（ZONAL SAFETY Analysis）：关于安装、系统间接口和影响系统安全性的潜在维修错误的安全性分析标准。

2.3缩写(Abbreviations And Acronyms)
AC 咨询通报（FAA）
AMC 符合性接收方式（EASA）
AOA 攻击角度
ARAC 航空规章制定咨询委员会（FAA）
ARP 宇航推荐惯例（SAE）
ASA 飞机安全性评估
ASAT 飞机级安全性评估组
ATC 修订类型证书
CAT 灾难的
CFR 联邦规章代码
CC 变化控制
CCA 共因分析
CM 构架管理
CMA 通用模式分析
CMP 构架管理计划
CMR 审定维修要求
COTS 商业成品
CS 审定说明
DD 关联图
EASA 欧洲航空安全局
ETOPS 扩展双联操作
ETSO 欧洲标准技术规范
EUROCAE 欧洲民用航空机载设备组织
FAA 联邦航空局
FC 失效条件
FDAL 功能研制保证等级FFS 功能失效集
FHA 功能危险性评估FMEA 失效模式影响分析FMES 失效模式影响摘要FTA 失效树分析
HAZ 危险的
HDL 硬件描述语言
HW或H/W 硬件
ICA 持续适航性说明ICAO 国际民用航空组织IDAL 项目研制保证等级IMA 集成模块化结构
IR 实施规章
JAA 联合航空局
MA 马尔科夫分析
MMEL 主最小设备清单
MSG-3 维修操作组3
MTBF 平均失效（失效）时间OEM 原始设备生产商PASA 初始飞机安全性评估POA 产品组织批准机构PR 问题报告
PRA 特定风险分析PSSA 初步系统安全评估RTCA RTCA公司
SAE 机动车工程协会公司SC 系统控制类型
SIRT 系统集成要求任务组SSA 系统安全评估
STC 追加类型证书
SW或S/W 软件
TC 加拿大运输部
TSO 标准技术规范
V&V 确认和验证
VHDL VHSIC硬件描述语言
VHSIC 高速集成电路
WG-# 数字编号的工作组（EUROCAE）
ZSA 区域安全性分析
3.研制计划(Development Planning)
研制计划过程的目的是定义生产飞机或系统的方式，以满足飞机/系统要求并且提供和适航性要求一致的信心水平。

研制计划过程的目标是：
●定义研制过程和研制寿命周期集成过程，描述飞机/系统要求、功能研制保证等级和项目研制保证等级。

●定义研制寿命周期，包括过程、程序、反馈装置和过渡准则间的内部联系。

●选择寿命周期环境，包括每一寿命周期过程活动的方法和工具。

●定义与计划生产的飞机/系统安全性目标相一致的研制标准。

●研制和每一集成过程目标一致的计划（第5节）。

计划过程的输出存在于各种不同的形式，例如，集成程序或正式发行的计划文档。

在计划过程中要考虑设计过程的重复性。

应该恰当地识别和管理计划元素和反馈循环间的内部联系。

3.1计划过程(Planning Process)
图2是一个完整计划过程的例子，包括了所有计划元素的一般目标。

图2中的基本过程表明了在形成文件前要考虑所有的计划元素。

实际上，这些计划元素的设计不应该同时发生。

因此，确保计划元素和其他的保持一致并且组成一个整个寿命周期的完整计划显得尤为重要。

审查者在审查单个元素的过程中要记住这一点。

每一过程的单个计划活动在本文相关章节里进行了详细描述。

表1总结了计划阶段包括的元素。

它们能够描述各个飞机、系统或项目的设计和审定。