附件 1.

《正常类飞机适航规定》H 章”电动飞机动力装置补充要求”的可接受符合性方法

电动飞机动力装置由电力系统驱动，典型构成包括电推进系统、推进器及电池和配电系统等。其中，电推进系统包括一台或多台电动机及其适当控制和运行所需的部件，如相关电子控制器、断路器、接线、传感器等；推进器多为螺旋桨，也有涵道式风扇等设计；目前纯电池供电多用锂离子电池。

CCAR-23-R4 的 H 章是在 E 章关于发动机和螺旋桨取得型号合格证或随飞机型号批准、动力装置安装、控制、安装危害性评估、工作特性、反推力（如适用）、防火等要求的基础上，提出的补充要求。本符合性方法指南对应于H 章中的第 23.2700 条、第 23.2705 条

和第 23.2710 条。针对使用由锂离子电池作为能源、电推进系统驱动螺旋桨或风扇的动力装置，就其中电推进系统、电池及其整个装置涉及的安全性要求，提供具体的符合性方法指南。暂定适用于审定等级1 或 2 级。

对于下面所列或者其它更多情况，还需要更多的考虑：

1. 本指南不包含变速箱、推进器的具体要求。对于电推进系统驱动的涵道风扇，可能需要将电推进系统和风扇作为整体考虑，本指南也未涵盖其中的附加要求。

2. 本指南不排除分布式电推进构型，但分布式推进可能涉及附加问题，如共用电动机控制器/逆变器、隔离电气线束等，需要另外考虑。

3. 如果涉及混合电推进系统（电推进系统及内燃机共同驱动推进器），或者由氢能、燃料电池作为能源的其它电推进系统，其中的适用部分审定可以参考本指南，但本指南不能涵盖整个混合电推进系统或其它新能源系统的审定问题。

第 23.2700 条 电推进系统 

本符合性方法适用于应用电动力技术驱动飞机，设计特征为使用包含电动机及其控制器的电推进系统作为飞机主推进系统，随飞机型号合格证获得批准时所需要满足的符合性方法。

1. 电推进系统构型

应当建立系统所有部件和设备清单，包括所引用的相关图纸和软件构成，以定义电推进系统的型号设计。该清单是飞机型号合格证数据单的一部分。

2. 持续适航说明

申请人应当编制单独的电推进系统持续适航说明手册，也可以将持续适航说明在相关飞机手册中提供。在持续适航说明中，应当单独给出“适航限制”内容，规定审定所需的在役维护和维修的强制性措施或限制。

3. 安装和运行说明

申请人应当编制电推进系统安装和运行说明手册，在审定过程中提供局方，在交付时可提供用户使用，也可以将安装和运行说明在相关飞机手册中提供。在安装和运行说明中，应当提供电推进系统安装到预期飞机应用，适用的型号合格审定基础和表明符合性所必须满足的安全假设。

4. 额定值和运行限制

电推进系统的额定值、运行限制和安全运行所必需的任何其它信息，基于各种适用的运行条件确定，并由局方批准，纳入型号合格证数据单中。

(a) 运行限制包括确保电推进系统及其相关子系统安全运行的任何限制。

(b) 额定值包括功率、转矩、转速和持续时间限制，应当确定最大连续和短时最大功率(如起飞）条件的；如适用，还包括与特定失效状态相关的应急额定值和持续时间限制。

(c) 应当声明确定额定值的工作制循环。每个选定的额定值应当对应在确定该额定值的条件下，在大修期间或其他维护周期内，能够产生的最低功率。

(d) 应当确定电推进系统正常瞬时超限值（包括幅度和持续时间）。设计与构造

5. 材料和制造

(a) 电推进系统使用的材料和零部件应当符合与预期设计条件相适应的工业规范或军用规范，或者通过试验或其它手段建立的局方可接受的设计数据。

(b) 电推进系统使用的所有材料和零部件，考虑预期服役环境条件的影响，评估所用材料的适用性和耐久性，防止其在预期使用环境中由于任何可能原因引起性能降低或强度丧失。

(c) 制造方法和工艺能得到良好的结构和装置，电气系统在合理的服役条件下能够保持其设计性能，其中考虑腐蚀、绝缘破损等退化影响。

6. 防火

(a) 电推进系统的设计和构造及所使用的材料应当在电推进系统正常运行及失效条件下使着火和火焰蔓延的可能性减至最小，并且应当将此类火情的影响降至最低。

(b) 电推进系统的的设计和构造应当将可能导致结构失效或危害性电推进系统影响的内部火情发生的可能性降至最低。高压电线互联系统应当能够防止电弧故障，对未保护的电线应当进行分析表明电弧故障不会导致危害性后果。

(c) 如果使用易燃液体，应当表明安装构件和安装特性是防火的。应当在安装手册中说明使用了易燃液体，以便（在飞机级）决定是否需要建立其它防火区。

7. 载荷

(a) 应当确定由电推进系统各部件引起的载荷（内部载荷），并在安装和运行说明中声明。

(b) 由预期的飞机应用所引起的载荷，应当在电推进系统安装和运行说明中声明。

(c) 电推进系统每个子系统的设计和构造应当使其在上述 (a)

和 (b) 确定的所有载荷条件下，都能正常工作。

8. 强度

(a) 应当对电推进系统进行机械应力、热应力和电应力分析，表明在声明的运行限制内，电推进系统具有合适的设计安全裕度。该合适的设计安全裕度应当在符合性方法中建立。

(b) 应当通过试验、经验证的分析或其组合来确定电推进系统最大应力，并且应当表明不超过上述第 5 节确定的最低材料特性。

9. 振动

(a) 电推进系统的设计和构造应当使其在转子转速和输出功率的正常运行范围内（包括所定义的正常超限）工作，不会由于振动而引起电推进系统任何零部件的过大应力，也不会将过大的振动力传递给飞机结构。

(b) 除了分析由机械、空气动力、声学激励等传统振动源引发的振动外，还应评估由于励磁（电磁场激励）引起的旋转部件共振。

(c) 应当评估由电推进系统故障条件引起的激振力对振动特性的影响，并表明不会导致危害性的电推进系统影响。

10. 转子完整性和超速

(a) 转子超速不得导致具有危害性电推进系统影响的转子爆裂、变形或损坏。应当通过试验、经过验证的分析或者二者结合的方法进行符合性表明。适用的设定转速应当声明并证明合理。应当考虑失效条件，其中包括负载损失。

(b) 转子应当具有足够的强度裕度，在超过审定运行条件和转速条件下，不出现上面(a)所述具有危害性电推进系统影响的转子爆裂、变形或损坏。爆裂余量必须通过测试、验证分析或两者的组合来显示。

(c) 电动机不得超过可能影响转子结构完整性的速度运行限制。11.旋转部件包容性

旋转部件四周机匣的设计应当对因转子部件失效而引起的破坏具有包容性，除非申请人能够表明转子有爆裂裕度，证明不需要包容

性特征是合理的。

12. 持续转动

飞行中如果电推进系统停车后，主转动系统仍持续转动，这种转动应当在安全分析（第 13 节）评估，并且不得导致任何不可接受的后果。

13. 安全分析

(a) 应当对电推进系统及其控制系统所有预期可能发生的失效状态的影响后果进行评估分析，表明电推进系统的设计和构造支持预定飞机用途符合审定基础中的定性（包括研制保证）和定量安全目标。

(b) 电推进系统某些特定元件的原发失效不能进行合理的数值估计，如果这些元件的失效有可能导致危害性电推进系统影响，或者危害性、灾难性飞机影响，这些元件应当被定义为电推进系统限寿件， 满足第 14 条规定的完整性要求，同时应当在安全分析中说明这些情况。

(c) 如果安全分析包含维护、检测和运行要求，应当对这些要求进行证实，并在相应手册中予以明确。

(d) 电推进系统失效后果等级。除非局方另有批准并在安全分析中已有说明，以下失效定义适用于电推进系统：

(1) 如果电推进系统失效的唯一后果是该电推进系统部分或全部丧失功率，这种失效应认为是轻微电推进系统影响；

(2) 严重程度介于轻微电推进系统影响和危害性电推进系统影响之间的后果是重要电推进系统影响；

(3) 以下后果被认为是危害性电推进系统失效后果： (i)高能碎片非包容；

(ⅱ)与驾驶员指令的功率方向相反的较大的制动功率； (ⅲ)不可控的火情；

(ⅳ)电推进安装系统失效，导致电推进系统意外脱开； (ⅴ)螺旋桨、风扇或螺旋桨、风扇的某些主要部分由于电推

进系统引起松开（如适用）；

(ⅵ)完全无法关停电推进系统；

(ⅶ)由于触电导致机组人员、乘客或地勤人员严重或致命伤

害。

14. 限寿件

由安全分析识别的每个限寿件，应当通过局方批准的程序确定其最大允许飞行循环数，从而建立运行限制。通过以下方式建立每个限寿件的完整性：

(a) 工程计划。执行该计划，通过经验证的分析、试验或服役经验等方法使得负载、材料特性、环境影响和运行条件的组合，包括对这些参数有影响的其它零部件的作用，得以充分了解并可预测，确保每个限寿件在达到批准寿命时退出服役，不发生危害性后果。

(b) 制造计划。确定特定制造约束，以确保持续生产具有工程计划所要求属性的限寿件。

(c) 服役管理计划。规定每个限寿件在役维护过程和修理限制， 使其保持与工程计划要求的属性一致。这些过程和限制应当纳入持续适航说明中。

15. 雨、冰、雪条件

电推进系统设计和/或其安装应当在其运行范围内遇到突然下雨， 或者若按照审定基础规定的防冰要求，在已知结冰以及下雪条件下运 行时，应当满足正常运行要求。

16. 外物撞击

(a) 电推进系统设计和/或安装应当使得在任何飞行中可能的鸟、冰雹或其它外物的撞击或吸入，都不会导致危害性的后果。

(b) 如果在审定基础中进行了定义，则还必须表明，鸟、冰雹或其它外物的撞击或吸入，不会由于不可接受的原因而妨碍飞机继续安全飞行和着陆，包括：

(1) 性能损失；

(2) 电推进系统/飞机操纵特性恶化； (3)超出电推进系统任何运行限制。

(c) 在(a)和(b)中必须考虑可能的多重撞击，除非可以表明在一次飞行中不太可能发生。

系统与设备

17. 润滑系统

(a) 电推进系统的润滑系统设计和构造应当使其能够在预计运行的所有飞行姿态和大气条件下正常工作。

(b) 润滑系统中本身不能耐受可能存在于润滑剂中或以其他方式引入润滑系统的污染物的所有部件，应当进行适当防护，以防止损坏电推进系统及其设备，并在规定的维护间隔内足够防范污染物。

(c) 应当在安装说明（第 3 节）中声明所依赖的安装条件或安装要求。

(d) 所有批准的润滑剂和添加剂应当在安装和运行说明（第 3 节） 中声明。

18. 冷却系统

(a) 电推进系统的冷却系统设计和构造应当使其能够在预计运行的所有飞行姿态和大气条件下都能提供足够的冷却。

(b) 应当在安装说明（第 3 节）中声明所依赖的安装条件或安装要求。

(c) 所有批准的冷却剂和添加剂应当在安装和运行说明（第 3 节） 中声明。

19. 控制系统

(a) 控制功能。电推进系统的控制必须设计成，不会出现任何不可接受的运行特性，或超出其任何运行限制，并能够在预期飞机应用的审定运行包线内，履行预期功能。包括：

(1) 以足够的灵敏度响应飞行员指令，调节推进功率，在不断变化的大气条件下保持相关控制参数的选定值；

(2) 提供迅速关停电推进系统具有旋转部件的任何子系统，并能迅速隔离可能危害飞机的部件；

(3) 在正常运行及当故障或失效导致控制模式、通道或从主系统到备份系统的转换时，不会超出任何运行限制，也不会出现任何不可接受的运行特性，并对控制转换进行提示或者监视，并将在运行说明和安装说明文件中给出提示、监视以及模式改变影响的描述。

(b) 系统失效。电推进控制系统应当满足预期飞机应用的安全目标，任何单点失效不会导致危害性电推进系统影响或者危害性、灾难

性飞机影响；其设计和构造在预期飞机应用中由可预见失效或功能失常引起局部事件，都不得导致危害性电推进系统影响或灾难性飞机影响。

(c) 保护系统。应当提供方法来测试或检查为符合安全分析要求所必要的保护系统，应当表明在测试/检查和维护间隔内，保护系统可用。

(d) 研制保证。软件和复杂硬件（包括可编程逻辑设备）都应当使用结构化、系统化的方法进行设计和研制，以提供与使用该软件或硬件的系统失效或功能失常危险严重度相称的保证水平，并由局方接受的验证方法所证实。

(e) 飞机提供的数据。单点失效引起飞机提供的数据，或独立的多套电推进系统内之间共享的数据丢失、中断或损坏，不得导致任何危害性电推进系统影响或灾难性飞机影响，而且应当能够被检测到且被调节。调节规律不得导致不可接受的电推进系统功率变化或运行、启动特性改变。应当评估这些失效在审定飞行包线和运行环境中对电推进系统功率和运行、启动特性的影响，并在安装和运行说明中给出。

(f) 信息系统安全保护。控制系统（包括网络、软件和数据）的设计和安装应当确保其免受可能的故意未授权的电子交互影响，导致不利的电推进系统影响。对安保风险和漏洞应当识别、评估和进行必要减轻。申请人应当提供持续适航程序和说明，以确保维持电推进系统控制的安全保护。

(g) 应急额定值可用性。具有紧急额定值的电推进系统，应当在其运行限制内，提供自动可用性和自动控制应急额定功率的方法或措施。

20. 设备

(a) 电推进系统所有设备的安装及其驱动装置，应当允许电推进系统在安装了该设备的情况下安全运行。

(b) 安装在电推进系统上或由其驱动的设备失效，不得进一步导致出现危害性电推进系统影响、危害性或灾难性飞机影响的损坏。

(c) 安装的每一设备都应当按照该设备规定的限制进行安装。

(d) 在构型清单（第 1 节）确定设备的环境限制，如果无法根据持久试验、经验证的分析或其组合方式得到充分证实，则应当通过系统、设备和组件试验来证明。

21. 飞机仪表

(a) 应当由安全分析过程所确定为保证电推进系统在其运行限制内安全工作必要的飞机仪表，制定其安装规定，并在安装和运行说明文件中进行声明。

(b) 传感器及其数据传输硬件和信号调节器应当在必要的范围内进行电气和物理隔离，以保证从仪表和监控功能向控制功能传播故障的概率，或反之，与该故障的失效后果一致。

验证

必须通过试验、经验证的分析来或其组合证实符合持久性、耐久性、振动、超转矩、温度限制、运行（包括功率响应、转子锁定、使用变距推进器运行和使用定距推进器运行）的要求。以下的规定提供了验证目标。

22. 一般试验要求

(a) 根据第 2 节要求提交的持续适航文件服役和维护说明，可以在电推进系统试验期间对其进行维护或小修。

(b) 如果维护频率过高，或由于电推进系统故障导致停车次数过多，或在发现需要大修或者更换部件，则应当根据局方认为必要时进行额外的试验。

(c) 在进行电推进系统试验时，可以使用具有相同设计和构造的多个电推进系统进行试验。

23. 持久性验证

(a) 电推进系统应当进行持久性验证，证实在所有预期服役应用的运行限制内可以安全运行。验证的严格程度应当考虑设计特性和预期用途，应当根据循环和功率设置，具有充分持续时间。

(b) 当需要获得正常瞬时超限批准时，应当验证电推进系统能够在受影响参数的最大瞬时条件下运行，而无需采取维护措施。

(c) 当需要获得意外瞬时超限批准时，应当验证电推进系统能够在受影响参数的最大瞬时条件下运行，除了纠正导致超限的失效外， 无需采取维护措施。

24. 耐久性验证

电推进系统应当进行耐久性验证，表明其设计和构造使得在大修周期或零部件更换间隔内，不安全状况发展减至最小。应当模拟电推进系统预期服役条件，包括典型的启停周期和计划的定期维护操作， 并且应当具有足够的持续时间，以建立对电推进系统耐久性的信心。

25. 校准试验

电推进系统应当进行必要的校准试验，以确定功率特性和耐久性、持久性验证前后的状态。

26. 分解检查

(a) 持久性和耐久性试验完成后，每台电推进装置应当被完全分解检查。 系统状况应当满足持续安全运行的要求。独立运行的组件和设备应当分解前进行功能检查，以确保功能或设置的任何变化都满足正常运行要求。

(b) 每个具有可调设置或不需要在电推进系统安装也具有独立功能特性的组件，应当使其每个设置和功能特性保持在在验证开始时确定和记录的限制范围内。

(c) 如果分解检查的结果表明有必要更换零部件，则电推进系统或其零部件应当进行局方认为必要的附加试验。

27. 运行验证

(a) 运行验证应当包括试验、经验证的分析或其组合，以表明电推进系统在其声明的整个飞行包线和运行范围内具有合适的运行特性。声明的运行特性应当考虑安装载荷及其影响。

(b) 启动和重启

(1) 应当证明在所有声明的地面大气温度条件下具有可靠启动的能力。

(2) 应当允许电推进系统或受影响的子系统在飞行中所建立的包线内关闭和重启，除非飞机运行不需要。

(c) 功率响应

电推进系统的设计和构造应当提供适合预期飞机安全运行的功率响应。

28. 转子锁定试验

如果通过锁定转子的方法阻止电推进系统持续转动，则应当对电推进系统进行试验、经验证的分析或其组合，以充分确定转子锁定的可靠性能。

29. 特定工作特性

(a) 如果电推进系统设计为与螺旋桨或飞机旋翼一起，则所有适用的验证应当装上具有代表性的螺旋桨或飞机旋翼进行。

(b) 审定所希望的其它特定工作特性，应当通过特定试验或对持久性、耐久性试验的补充试验来验证。

(c) 对于每一声明的持续时间为两分钟或更短的额定值，应当验证电推进系统的子系统（推进电池除外）可以在其温度限制加上适当的裕度保持运行。

30. 系统和部件试验

对于不能按照持久试验、经验证的分析或其组合方法进行充分验证的系统和部件，应当进行附加试验，以确定那些系统和部件能够在所有声明的环境和运行条件下执行预期功能。

第 23.2705 条 电池和配电系统

锂离子电池、铅酸电池、镍氢电池、燃料电池等都是潜在的动力电池。其中，锂离子电池具有重量较轻、重量和体积能量密度较高、放电电压相对稳定、良好的低温性能和较长的储存寿命等优点，而被电动飞机更优先考虑。但由于其高能含量和潜在的热不稳定性，如果设计、测试、使用和/或储存不当，锂离子电池可能存在危险。锂离子电池失效通常会导致热失控，这是一种自持、不受控的压力和温度升高现象，从而因为从电池中排出的可燃气体由于高温被点燃而导致火灾。此外，电池排出的未燃烧气体可能有毒。

对于锂离子电池，需要关注的不安全现象常有:

过度充电：可能会导致电池组件发热和不稳定，从而导致潜在不安全状态。电解液可能点燃导致自燃或爆炸。随着蓄电池容量增加， 电解液含量增多，过充电导致热失控的严重程度会增加。

过度放电：可能会导致电池电极腐蚀，使得电池容量损失，无法通过充电逆转。这种容量损失可能无法通过简单的电压测量（为飞行机组提供电池状态指示的常用手段）来检测。镍镉电池也有此问题。此外，过度放电有可能导致不安全状态（因为可能产生树枝晶，导致在充电循环中内部短路）。

电池组件可燃性：与镍镉和铅酸电池不同，某些锂电池使用易燃的液体电解质，如果电池出现失效，易燃电解质成为火情的燃料源。一旦电池自发点火或出现不受控的温度和压力升高，会传播到相邻电池。

内部缺陷：电池内未检测到的内部缺陷有可能导致内部短路，从而导致不安全状况。这些内部缺陷可能在蓄电池投入使用后很长一段时间才明显。

极端温度：暴露在极端温度环境中有可能造成重要危害。

因此，对于安装了动力电池的电动飞机，电池及其管理系统、电 力分配系统应当在所有预期运行条件下提供运行所需的电能，在预期 运行条件下不会因为受到载荷而产生不利影响，并且适应预期环境； 对于不安全状态具有监控机制和风险转移机制，并且出现概率可接受；

地面操作、维护更换等不引入附加风险。

第 23.2705 条款详细的符合性方法如下。

1. 电池和配电系统设计与安装

23.2705(b)(1)：考虑安装情况，（电池系统）能够承受可能的运行条件下的载荷而不失效；

23.2705(a)(2)：电池及配电系统应当设计和布置成当可能暴露在闪电环境时，能够防止由于闪电的直接影响和间接影响而导致的灾难性事件。

2. 电池系统供电

23.2705(a)(3)：（每个电池及配电系统）为动力装置安装提供有适当裕度的电能，以确保在所有允许的和可能的运行条件下，考虑可能的部件失效情况，能安全工作；

23.2705(a)(4)：在（电池）系统正常工作时能不间断供电，此时需考虑电源可能的波动情况；

23.2705(b)(2)：（每个电池系统）在最大连续功率或推力下提供至少工作半小时的电能。

3. 电池系统充电

23.2705(c)：每个充电系统的设计应当满足以下要求： (a)防止不当充电；

(b) 防止在可能的工作期间损害电池；

(c) 防止在充电期间对飞机或对人员造成危害。

4. 电池系统安全性

23.2705(a)(1)：对于有多套电池及配电系统情况，应当设计和布置成各系统之间具有独立性，使得一套系统内的任一部件失效不会导致其它系统电池或配电功能的丧失；

23.2705(a)(5)：提供将系统内电池安全移除或隔离的措施；

23.2705(a)(6)：在任何可能运行情况下能够防止并将任何可生存应急着陆期间对乘员的危害降至最低。对于 4 级飞机，应当考虑着

陆系统因过载导致的失效；

23.2705(b)(2)：（电池系统）与人员舱隔离并使人员免受其可能的危害。

5. 电池系统信息指示和数据交互

23.2705(a)(4)：向飞行机组提供用于确定剩余可用电能总量的措施。

除了剩余电量指示，还应当向飞行机组提供数据信息，能够确定电池健康状态和电池系统安全状态。

电池管理系统应具有与飞机飞行控制等其它系统进行信息交互的功能，避免滥用电池引起系统状态异常。

6. 电池系统地面操作

23.2705 (d)：飞机地面操作期间可能发生的错误不得导致电能的危险性损失。

7. 手册

(a) 应当编制电池及其配电系统安装和运行说明手册，作为相关电动飞机手册一部分。

(b) 应确定维护周期和维护方法，使得可能导致严重失效的根本原因能通过维护消除或识别。通过编制持续适航文件，提供定期检查电池容量和其它安全使用、退出等有关程序。

8. 电池系统试验

通过试验表明在预期的寿命内和可能出现的电池失效情况下，能够提供所需的功率和电能，并对异常情况提供所需的安全保护。除非在极特殊环境条件下，电池系统不会因水、潮湿、灰尘等导致不安全状况，而且在飞机任何可能出现的振动、雷击等工作情况下都不会出现物理结构的失效或者漏电。电池及其配电系统试验一般包括：

(a)性能及充放电试验(b)环境试验

(c)安全性试验

第 23.2710 条 电池和电动力系统防火

为了降低电池和电动力系统因为火情或者过热导致对飞机的危害，要在材料使用、隔离措施、监测和处置等方面进行综合考虑。

1. 电池和电动力系统隔离

电池和电动力系统应当用防火墙、防火罩或其它等效设施与飞机的其它部分有效隔离，防止危害性的液体、气体或火焰通过防火墙或防火罩所构成的隔舱进入飞机的其它部分。防火墙或防火罩应当是防火和防腐蚀的，每个开孔都应当用紧配合的接头、防火套圈、衬套或防火墙接头封严。

2. 电池和电动力系统耐火

电池和电动力系统内部应当配置火警探测系统或热失控探测系统，并内置蓄电池灭火系统，可人工或者由探测系统自动启动。每个探测系统的导线和其它部件应当至少是耐火的，每个灭火系统部件应当是防火的。与电缆安装有关的且一旦发生电路过载和故障时可能过热的任何设备，不得放出达到危险量的毒性烟。