民用飛機初始主最低設備清單的制定

摘 要：闡述了初始主最低設備清單（Preliminary Master Minimum Equipment List，簡稱PMMEL PMMEL）的目的和意義，通過對定性分析和定量分析要求的研究，概括了PMMEL制定的過程。在此基礎上，給出了最大維修間隔時間確定的原則，并通過具體案例，闡述了如何通過平均故障概率的方法計算A類維修間隔時間，為民用飛機設計人員制定PMMEL提供一定的指導。

關鍵詞：民用飛機 初始主最低設備清單 定性分析 定量分析 維修間隔時間

中圖分類號：V267 文獻標識碼：A 文章編號：1674-098X（2013）04（a）-00-04

1 PMMEL的目的和意義

現(xiàn)代民用飛機設計都采用了高可靠性的設備和冗余的系統(tǒng)架構。然而，即使有高可靠性的設備，飛機在實際運行過程中仍然可能發(fā)生故障。

由于系統(tǒng)和相關設備故障后的維修需要一定的時間，有些故障難以在定期航班飛行前修復，有些故障只能在維修設施更齊全的主基地進行維修，如果飛機發(fā)生任何故障都必須立即進行維修，航班延誤或取消將導致很高的運行成本。

基于這方面的原因，營運人可能要求在某些設備或設備功能不工作的情況下進行飛行。

但是，型號合格審定所確定的飛機所能達到的安全水平是根據(jù)所有設備都工作而確定的。當一個與安全相關的系統(tǒng)或設備不工作時，該設計的安全水平就會降低。隨之而來的問題就是：我們?nèi)绾伪ＷC在這種情況下，飛機可以繼續(xù)安全運行。

解決方案是由飛機制造商定義一個“初始主最低設備清單”，該清單是民航當局批準的“主最低設備清單”（Master Minimum Equipment List，簡稱MMEL）以及營運人在此基礎上制定的“最低設備清單”（Minimum Equipment List，簡稱MEL）的基礎（如何從PMMEL產(chǎn)生MMEL以及如何從MMEL產(chǎn)生MEL在此不作重點討論）。

該清單最主要的目的是在飛機某些設備不工作的情況下，將飛機的安全水平維持在可接受的范圍內(nèi)。在該清單中應明確允許不工作的設備、允許的暴露時間以及明確適當?shù)南拗坪统绦颉1]

PMMEL作為MMEL和MEL的基礎，可用于防止非計劃維修、航班延誤或取消，優(yōu)化初始配置，降低備件儲備費用[2]，在保證可接受的安全水平的前提下，極大地增強營運人在實際服務過程中的靈活性，提高航空運輸效率。

2 與PMMEL相關的規(guī)章及指導

根據(jù)CCAR 121.647條，如果要求在飛機所裝的儀表或者設備失效時起飛，該飛機必須具有經(jīng)批準的最低設備清單。

FAR 121.628也有類似的要求，并且在FAA 的“航空運輸營運檢查員手冊8400.10”第4卷第4章中，規(guī)定了如何創(chuàng)建MMEL以及MMEL批準的程序。另外，F(xiàn)AA還頒布了眾多MMEL相關的政策，如ETOPS和極地運行、高度警告系統(tǒng)、電源、空速管加溫指示系統(tǒng)等MMEL政策，這些政策為特定的MMEL項目提出了具體

要求。

EASA在MMEL/MEL方面的規(guī)定最為詳細，規(guī)章JAR-OPS 1.030規(guī)定了營運人的責任，要求營運人必須為每個型號的飛機在MMEL的基礎上建立MEL。

JAR-MMEL/MEL提供了有關如何創(chuàng)建、批準/接受MMEL和MEL的指導。在規(guī)章和指導文件的基礎上，EASA還發(fā)布了JAR-OPS相關的政策文件TGL 26，其目的是幫助營運人創(chuàng)建MEL，保證MEL的標準化，以及為局方提供MEL評估和批準的程序指導。

PMMEL作為MMEL和MEL的基礎，在制定的時候，就必須需要考慮符合MMEL/MEL相關的規(guī)章要求和指導，以滿足民航當局的要求。

3 PMMEL項目分析過程

PMMEL是經(jīng)過充分研究和分析所產(chǎn)生的結果，包括對各種運行條件和因素的評估，其目的是保證對于每個PMMEL項目，飛機都能安全放行并正常運行。在提出一項PMMEL項目之前，申請人必須能夠證明，即使該設備不工作，飛機仍然能夠維持可接受的安全水平[3]。

為了完成該目標，通常需要進行定性分析，定性分析不只是需要考慮設備故障的后果，還需要考慮飛行中再次發(fā)生關鍵失效的后果。如果有必要還需要對系統(tǒng)進行定量分析。典型的PMMEL的分析過程見圖1。

3.1 定性分析

確定一個項目能否成為一個PMMEL項目首先需要對該項目不工作的影響進行定性分析。定性分析是基于工程判斷進行的，雖然這種分析可以基于以往批準的MMEL的相關經(jīng)驗，但是，同樣的部件對于不同的飛機，也不是完全可以直接適用的，定性分析必須考慮飛機系統(tǒng)架構以及運行使用方面的區(qū)別。

定性分析的目的是確定部件的失效不會導致超出“微小的”（Minor）結果，為了達到這種目標，可以考慮增加合適的運行限制、飛行機組程序或維護程序。對于復雜的維護程序或飛行機組程序，可以使用飛行試驗或者模擬器試驗作為工具，以幫助評估部件不工作對機組工作負荷的影響。

3.2 下一個關鍵失效分析

當證明系統(tǒng)或部件的失效不會導致超出“微小的”結果時，可以進行下一步分析，即考慮在飛行中發(fā)生下一個關鍵失效。“下一個關鍵失效”是指與不工作的部件組合后會對飛機的安全運行造成最不利影響的失效，包括兩個及兩個以上的失效組合。

為了對相互影響的系統(tǒng)進行充分的分析，保證多重失效不會導致不可接受的安全水平，下一個關鍵失效的分析任務應當在飛機級展開，而不僅僅是逐個系統(tǒng)單獨展開[4]。

如果下一個關鍵失效分析表明，部件不工作后再出現(xiàn)一個失效即會產(chǎn)生災難性的后果，并且無法通過增加合適的運行限制、飛行機組程序或維護程序來減輕其失效影響，則該部件失效后不能放行；如果下一個關鍵失效分析表明，部件不工作后再出現(xiàn)一個失效即會產(chǎn)生危險的失效狀態(tài)，或者再出現(xiàn)兩個失效即會發(fā)生災難性的失效狀態(tài)，并且無法通過適當?shù)木S護程序和/或運行程序減輕其失效影響，則需要按照3.3節(jié)進行定量分析；如果下一個關鍵失效分析表明，部件不工作后再出現(xiàn)兩個或以上的失效才會出現(xiàn)危險的失效狀態(tài)，或者再發(fā)生三個或以上的失效才會出現(xiàn)災難性的失效狀態(tài)，則不需要進行進一步的定量分析，只需要進行定性分析潛在的運行和維護影響是否可接受即可[5]。

但是，如果其中一個故障為隱蔽故障，則必須對此進行特別關注。在可能的情況下，應當通過每次飛行前的檢查消除該隱蔽故障。

如果下一個關鍵失效分析表明，部件不工作后的組合故障與危險的和災難性的失效狀態(tài)無關，則不需要進行進一步的定量分析，只需要進行定性分析潛在的運行和維護影響是否可接受

即可。

3.3 定量分析

在定量分析表明候選的PMMEL項目失效的情況下，與其相關的危險的失效狀態(tài)的故障概率≤1E-6/FH，或者與其相關的災難性的失效狀態(tài)的故障概率≤1E-8/FH，并且潛在的運行和維護影響可接受，則該項目失效時可以放行，申請人可以根據(jù)經(jīng)驗給出最大允許的維修間隔時間。

如果定量分析結果表明，與其相關的危險的失效狀態(tài)的故障概率≤1E-5/FH，或者與其相關的災難性的失效狀態(tài)的故障概率≤1E-7/FH，并且潛在的運行和維護影響可接受，則該項目失效時也可以放行，但是必須根據(jù)概率分析計算出最大允許的維修間隔時間。

如果定量分析結果表明，與其相關的危險的失效狀態(tài)的故障概率﹥1E-5/FH，或者與其相關的災難性的失效狀態(tài)的故障概率﹥1E-7/FH，則該項目失效時不允許放行。

3.4 其他考慮

除了上述分析外，在制定PMMEL時還需要考慮其他重要因素。例如PMMEL不能和局方批準的其他文件如AFM的限制，應急程序或適航指令相沖突。另外，PMMEL中不能包含由應急匯流條供電或應急程序所需的系統(tǒng)或部件。

4 維修間隔時間的確定

PMMEL中必須定義一個修復不工作部件的最大時間，分為A類、B類、C類和D類，A類的最大維修間隔時間需要指定，其余類別的最大維修間隔時間分別為3 d、10 d和120 d。

如果某設備的缺失不會影響機組工作負荷，飛行員不依賴于該設備的功能，并且飛行員的培訓、隨之的習慣方式和程序也不依賴于該設備的使用，則可以為該設備分配D類的維修間隔。通常對于選裝設備或超出規(guī)章要求而安裝的設備可以分配D類的維修間隔。

對于無安全影響的設備，包括用于旅客方便、舒適或娛樂的設備，比如廚房設備、電影設備、煙灰缸、閱讀燈等，可以不列在PMMEL中。如果列在PMMEL中，則可以分配D類的維修間隔。但是如果該設備與其他功能有關，比如娛樂設備可能同時用于客艙安全介紹，則該設備需要列入PMMEL中，并且需要建立相關的運行程序，如需要客艙乘務員進行客艙安全演示等。在這種情況下，最大允許的維修間隔時間應當根據(jù)受影響的其他與安全有關的功能來確定。

對于與安全相關的設備或部件，如果允許列入PMMEL中，其最大維修間隔時間至少應當為C類。如果通過定性分析認為設備不工作對運行方面的影響較大，其最大維修間隔時間至少應當為B類。對于需要按照概率分析計算確定最大允許的放行時間的設備，必須指定A類的維修間隔時間。

A類維修間隔的計算方法為可參考SAE ARP5107[6]中的時間平均概率分析的原理，具體可參見第5節(jié)中的案例。對于A類維修間隔，計算得出的時間可能會小于其他類別的維修間隔，也可能會大于其他類別的維修間隔。但是，即使計算得出的放行時間大于B類或C類，也不能將其定義為B類或C類。

5 PMMEL分析案例

為了詳細闡述確定A類維修間隔的方法，在此通過一個定量分析的例子進行說明。

假設某系統(tǒng)功能由部件1和部件2組合完成，部件1失效影響是微小的，部件1和部件2同時失效是危險的，并且無法通過運行程序或維護程序減輕。部件1的失效概率為λ1=1.5×10-4，部件2的失效概率為λ2=1×10-5，飛機的平均航段飛行時間為T0=3 h。要求分析部件1失效后能不能放行？如果能放行，最大維修間隔時間是多少？

分析：根據(jù)第3節(jié)所述的PMMEL分析流程，由于部件1失效后發(fā)生危險事件的概率不超過1×10-5，因此該部件失效后飛機可以放行，但是由于部件1失效后發(fā)生危險事件的概率超過了1×10-6，需要定義A類的維修間隔。

在允許部件1不工作情況下放行時，系統(tǒng)的失效由兩種情況組成，一種是完整構型下放行，兩個部件在一次飛行中同時失效；另一種是在部件1失效的情況下放行，部件2在飛行中失效。整個系統(tǒng)的平均失效概率與這兩種情況所占的時間比例有關，因此，時間平均失效概率計算公式為[7]：

λ（時間平均）=λ（兩個部件在一次飛行中同時失效）* （1）

完整構型下放行所占的時間比例

+λ（部件1失效放行，部件2在飛行中失效）*

部件1失效情況下放行所占的時間比例

兩個部件在一次飛行中同時失效的概率為：

λ（兩個部件在一次飛行中同時失效）=λ1*λ2*T0（2）

部件1失效放行，部件2在飛行中失效的概率為：

λ（部件1失效放行，部件2在飛行中失效）=λ2（3）

假設部件1失效后放行T小時后再進行維修，則

部件1失效情況下放行所占的時間比例為：λ1*T（4）

完整構型下放行所占的時間比例為：1-λ1*T（5）

將（2）至（5）式代入（1），（1）式轉換為：

λ（時間平均）=λ1*λ2*T0*（1-λ1*T）+λ2*（λ1*T）（6）

為了保證允許部件1失效后放行的情況下，系統(tǒng)的安全性水平仍滿足型號合格審定確定的最低可接受水平，系統(tǒng)的平均失效概率必須≤1×10-7，則：

λ1*λ2*T0*（1-λ1*T）+λ2*（λ1*T）≤1×10-7

在λ1* T<< 1的情況下，

λ1*λ2*T0*（1-λ1*T）+λ2*（λ1*T）≈λ1*λ2*（T+ T0）

因此：

T≤-T0 （7）

將已知條件代入式（7）中，可得：

T≤64 FH（飛行小時）

因此，部件1失效后的最大維修間隔時間為64 FH。

通過這種推導，可以得出危險性和災難性失效狀態(tài)相關的PMMEL項目的最大維修間隔時間計算公式，在平均航段飛行小時較小的情況下，可以使用以下（8）和（9）來近似計算：

對于災難性失效狀態(tài)，最大維修間隔時間

[FH]= （8）

對于危險的失效狀態(tài)，最大維修間隔時間

[FH]= （9）

其中：PF為在派遣狀態(tài)下失效狀態(tài)的每飛行小時概率；

FR為PMMEL項目每飛行小時的故障率；

實際型號的PMMEL中，最大放行時間主要需要基于運行方面的考慮來確定，但是永遠不能超過該計算得出的間隔時間，保守起見，通常會定義一個更短的時間間隔。

6 結語

盡管通過系統(tǒng)的分析過程后產(chǎn)生的PMMEL能夠使飛機保持在必須的安全水平上，但是必須指出，PMMEL以及在此基礎上產(chǎn)生的MMEL/MEL是一種偏離文件，其目的不是鼓勵帶故障的飛行，在任何可能的情況下，必須盡快進行維修。

參考文獻

[1]Al DeCastro.Minimum equipment lists.Hercules Operators’ Conference，2004.

[2]Airbus.GettingtogripswithMMELandMEL.Airbus Flight Operations Support and ServicesCustomer Services Directorate，2005.

[3]Transport Canada，TP 9155EMaster Minimum Equipment List /Minimum Equipment ListPolicy and Procedures Manual.Second Edition，2006.

[4]EASA，Draft Decisionof The Executive Directorof The European Aviation Safety Agency on Certification Specifications，Acceptable Means of Compliance，and Guidance Material Related to The Development of a Master Minimum Equipment List（MMEL）‘CS-MMEL’，NPA2011-11，2011.

[5]Knepper，Roger.ARAC ASAWG Report：Specific RiskTasking，Rev 5.0，2010.

[6]SAE ARP5107.Guidelines for Time-Limited-Dispatch（TLD）Analysis for Electronic Engine Control Systems，1997.

[7]Hals Larsen，Gary Horan.Participant Guide：Time-Limited Dispatch，2002.