軍機適航“安全性分析與評估”條款淺析及其工程實施途徑探究

張華，孔維

(航空工業成都飛機工業(集團)有限責任公司 技術中心，成都 610092)

軍機適航“安全性分析與評估”條款淺析及其工程實施途徑探究

張華，孔維

(航空工業成都飛機工業(集團)有限責任公司 技術中心，成都 610092)

在當今的軍機研制過程中，軍方借鑒民機的適航管理方式力推適航性審查，以確保飛機的安全性水平。如何貫徹適航要求、如何將適航與安全性設計深度融合成為飛機研制單位亟待解決的問題。本文從飛機總體設計單位的角度，探究適航與安全的關系，對比適航工作與安全性工作的異同，并結合工程實際，對軍用飛機研制過程中如何將適航與安全性管理、設計和評估工作有機結合、高效開展的方式方法提出了建議。有效避免了適航工作和安全性設計工作的不協調甚至相互矛盾情況的出現，可供軍機承研單位參考。

適航；安全性；軍用航空器；工程途徑

0 引 言

民用航空領域率先提出“適航”這一概念，其目的是確保飛行器的安全運營。圍繞該目的，結合長期實踐經驗的積累，在世界范圍內形成了一系列適航技術標準、認證制度、控制程序、管理體制等，有效地保證了民航安全。

軍機通常更注重其性能的先進性，故關于軍機的適航工作起步較晚，20世紀80年代，美國軍方首先提出了軍機的適航性概念，至20世紀90年代中后期，關于軍機的適航工作才基本成熟。長期以來，軍機的事故率都遠高于民航飛機[1]，這促使軍方開始積極借鑒、引入民機適航的工作方式，以期降低軍機的事故率。美國國防部于2002年10月頒布了適用于軍機的MIL-HDBK-516B《軍用航空器適航性審查準則》[2]，并在“全球鷹”無人機上獲得成功應用。

2008年，我國首先在某型軍用運輸類飛機上開展了針對軍機的適航性工作。在此之前，軍機研制中的安全性工作均按照GJB 900《系統安全性通用大綱》[3](后換版為GJB 900A《裝備安全性工作通用要求》[4])開展。2013年，我國空軍編制了《軍用無人機系統適航性準則》(試行版)[5]，并在新研機型中強制推行，但同時保留了按GJB 900A開展裝備安全性保證工作的要求。

在軍機研制中借鑒民機的成功適航經驗是明智的，也是必然趨勢。但由于軍機與民機的研制機制、基礎及運行數據等的差異，借鑒時不能簡單地照抄照搬，否則便會造成軍機承研單位面臨兩套技術體系(適航與安全性)同時實施但又“各自為政”的混亂局面，工作重復且極有可能相互矛盾，增加了軍機承研單位的工作負擔，且收效甚微。因此，需要正確認識適航與安全性之間的關系，從理論上支持二者在實際工程上的相互融合。

目前，國內對適航與安全性并行工程的研究仍鮮有報道，為此，本文在對兩套工作體系進行細致分析的基礎上，理順二者之間的關系，并探究工程上綜合施行適航與安全性工作的具體途徑，以供軍機承研單位參考。

1 適航性與安全性的關系

1.1 從定義上分析

1.1.1 適航性與安全性

適航性(Airworthiness)：依照批準的用途和限定范圍，特定構型的航空器系統能夠安全實現、保持和終止飛行的特性。

安全性(Safety)：產品所具有的不導致人員傷亡、系統毀壞、重大財產損失或不危及人員健康和環境的能力[4]。

從上述定義可以看出二者的區別和聯系如下：

(1) 前者的對象僅指航空器，后者則泛指所有的實物產品。

(2) 前者對后果的考慮(描述)更強調要讓航空器始終處于安全運行狀態，比較基本、籠統；后者則更為明確、具體和寬泛，其后果考慮包括了對人員、產品、財產和環境的影響。

(3) 對于航空器范圍內的產品而言，二者的內涵基本相同，均是指產品具有的處于、保持安全狀態的能力，該能力通過設計賦予、制造形成、使用維護來實現。

(4) 對于航空器范圍內的產品而言，二者的評判標準基本一致，如果一個產品在規定的任何情況下均不會對人員(包括使用人員、維護人員以及相關人員)、產品自身的設施和所處的環境造成危害，則具備高的安全性水平，同時也完全滿足適航要求。

綜上所述，就航空器范圍內的產品而言，可以將適航性與安全性視為等同的概念。下文只針對航空器范圍的產品進行論述。

1.1.2 適航工作體系與安全性工程體系

由于適航性與安全性在航空領域基本等同，二者所使用的工程技術、方法以及工作內容也基本一致。經對比分析，兩個工作體系的最大區別在于管理方面。

適航管理：以保障航空器的適航性為目標，以相關法律規定為依據，對航空器的設計、制造、使用和維修等環節進行科學統一的審查、鑒定、監督和管理[6]，其實質是對適航性的形成和維持進行成體系的控制。民機的適航管理是由政府適航部門對照民用航空規章(例如CCAR-25)逐條進行符合性審查，在確認完全滿足要求后頒發適航證書，飛機才被允許進入市場運營；軍機適航管理則是由軍方對其擁有和使用的航空器依據型號適航性審查準則逐條進行符合性審查。

安全性管理：屬于安全性工程中的技術管理工作，是產品開發方以確保實現和維持產品全壽命周期的安全性為目標，系統地策劃和安排產品在設計、制造、使用和維修等環節中與安全性相關的工作，并對工作的進展和狀態以某種形式進行監督、控制和審查，其實質是全面合理地控制產品安全性的一整套工作[7]。

適航管理與安全性管理之間的區別和聯系如下：

(1) 適航管理是以外方(政府或軍方)為主體，具有完全的獨立性、強制性(以法律形式或合同形式規定工作)和統一性(世界通行的標準、程序和方法)，其審查標準是最低安全要求；而安全性管理是以產品承研單位為主體，為了保證產品的安全性滿足國家標準或用戶要求、提升企業競爭力而進行的自主行為，追求的目標可以永無止境，具體工作則可以結合產品具體特點、基礎條件等以適合本單位的形式進行最有效的管理，但由于執行主體是研制單位自身，控制管理的力度可能受領導者的意志影響，管理的方式、程序等的統一規范程度不如適航管理。

(2) 兩者均涵蓋產品設計、制造、使用和維修等產品全壽命周期中所經歷的環節，但由于研發單位的局限性，安全性工程體系更側重于對產品固有安全性形成過程的管理，而適航管理是由政府代表公眾利益(民機范圍)或由軍方代表用戶利益(軍機范圍)進行的全過程監督，故對航空器的后期運營、維護環節的安全管理與設計制造環節并重。

(3) 兩者在產品研發階段的管控目標、核心內容和技術手段上基本相同，均認為必須從設計源頭就應用工程化方法、技術和專業知識，策劃并實施一系列設計與分析、驗證與評價等方面的工作，系統地識別、消除危險或降低其風險。

可以看出，除了施行主體不同外，從產品研發單位的角度，適航管理與安全性系統工程中的管理在研發階段也可以認為是基本等同的，作為產品研發單位，無論外界是否進行審查、按何種條款進行審查、是否頒發證書，都要對產品的安全性負責，必須自主策劃并實施一系列安全性的目標分解控制、分析設計、試驗驗證等工作，力爭以可承受的代價追求更為卓越的目標。適航審查僅是準入市場的“最低門檻”，因此企業只要有效實施了安全性系統工程，則適航條款必然是滿足的。

下文論述均從產品研發單位的角度進行，并只針對軍用航空器的設計研發階段而言。

1.2 軍機適航性審查準則與GJB 900A的內容對比分析

美國軍方借鑒民機適航審查條例編制了面向設計的適航性審查要求，即MIL-HDBK-516B《軍用航空器適航性審查準則》，現已成為歐美空軍開展適航審查的通用條款。我國的《軍用無人機系統適航性準則》(試行版)也是以此為藍本，結合無人機的特點而編制，除了“乘員系統”、“乘客安全性”和“地面控制站”章節外，兩者內容條款基本一致。

MIL-HDBK-516B的編制采用了海洋法系的窮盡法則，針對飛機研制的各個方面提出了具體的設計和驗證條款，同時規定了“典型的審查源數據”，即明確了研制過程中必做的工作項目和其輸出形式。MIL-HDBK-516B的第14章“系統安全性”中列出了24項典型的審查源數據[2]，這些內容在GJB 900A中所對應的工作項目如表1所示[4]，可以看出：就航空器的設計研發階段而言，MIL-HDBK-516B與GJB 900A規定的設計分析(包括危險識別、分析、評價)、管理、跟蹤與控制的工作流程相同，如圖1所示[4]，工作內容也基本對應，僅第8項“寄生電路分析和軟件危險分析等專門分析”除了“軟件的安全性分析”外，還包括其他特定的危險分析(例如共因分析)內容。

圖1 安全性基本工作流程

MIL-HDBK-516B第14章第1條要求制定一個系統安全性大綱，將其融入到產品功能基線和運行程序中，與項目進度同步貫徹實施[2]；同時明確了大綱應包含的具體內容，要求將MIL-STD-882D(美軍安全性工作的頂層標準，我國GJB 900系列的參考藍本)和民航適航條例中適用的工作項目和內容納入大綱中進行統一規劃安排。可以看出，美軍的適航工作并非另設一套工作系統獨立開展，而是與原有的安全性工程相結合，但內容有所擴展(將民航上適用的條款納入計劃考慮或借鑒民航的審查、驗證形式)。

MIL-HDBK-516B第14章第2條“安全性設計要求”共列出10款在設計中需要具體關注、分析、控制的安全要素，包括產品的固有安全特性、單點故障、冗余備份的設計要點、人因安全、環境安全、危險源的隔離等，上述要素需要通過MIL-STD-882D中一系列的分析工作(對應GJB 900A的300工作系列)來系統、全面地分析、評價和貫徹實施，該過程中產生的相應資料、文件和結論即為適航性審查準則是否被滿足的證據。第3條“軟件安全性大綱”強調了在產品總的安全性大綱中要包括對相關軟件的工作策劃和要求，規定軟件開發過程中必須進行軟件安全性分析，識別和避免不可接受的危險，并確保將安全性要求正確、恰當地轉為基線要求予以落實，上述要求在GJB 900A的600工作系列中也已完全覆蓋。

表1 MIL-HDBK-516B“系統安全性”工作內容與GJB 900A的對比

1.3 民機適航中的安全性評估與GJB 900A的安全性設計工作對比分析

1.3.1 民機適航體系中的安全性評估工作內容

在民機適航審定中，要求按照SAE-ARP-4754《民用航空器和系統的研制指導》和SAE-ARP-4761《民用機載系統和設備安全性評估過程的方法和指南》進行安全性評估，通過評估工作來提供表明產品符合適航要求的證據。SAE-ARP-4754和SAE-ARP-4761標準規定的工作主要包括以下內容(按工作順序排列)[8-9]：

(1) 功能危險分析(FHA)：分析飛機和系統應具備的功能，識別可能的功能失效，并對具體失效狀態的危害進行分類；

(2) 初步系統安全性評估(PSSA)：確定具體系統和組件的安全性要求，并提供預期的系統架構能滿足該安全性要求的初步指標。PSSA用來確保從FHA得到的失效清單完整并符合安全性要求；同時用來證明對于識別出的各種不同的危害，系統將如何滿足定性和定量的要求；在PSSA過程中還確定衍生的系統安全性要求，并可確定對其他保護性對策的需要；

(3) 系統安全性評估(SSA)：匯集各種不同分析的結果，分析和提供文件以證明系統具體實施的設計是否滿足由FHA和PSSA確定的系統安全性要求；

(4) 共因分析(CCA)：確定和認可系統之間物理上和功能上分開和隔離要求以及驗證這些要求被滿足。

1.3.2 GJB 900A中的安全性設計工作內容

GJB 900A規定了六項安全性設計與分析工作，是圍繞產品研制中識別的潛在危險、評價其風險并采取措施消除或控制危險、最終保證產品的固有安全性水平而安排的，按照工作的先后順序為[4]：

(1) 安全性要求分解：將產品總的安全性定性要求和定量指標進行逐級分解、明確和細化，以約束各級產品的具體設計；

(2) 初步危險分析(PHA)：初步識別產品設計方案中可能存在的危險(包括具有危險特性的功能、部件、材料以及與環境有關的危險因素等)，對每項危險進行初始的風險評價，并提出相應的管理和控制措施。該項分析應首先識別具有固有危險特性的材料或產品(例如推進劑、高壓氣瓶等)、與環境有關的危險因素(例如真空、高溫、靜電等)以及可能引發危險狀態的系統功能故障因素(包括軟、硬件故障及人為差錯等)；

(3) 制定安全性設計準則：根據產品特點以及相關規章、條例、標準、規范以及相似產品的工程經驗和事故教訓，并結合PHA的輸出結果，制定產品應遵循的具體安全性設計條款，納入產品規范或設計文件之中，以指導和保證設計人員落實安全性設計要求；

(4) 系統危險分析(SHA)：在初步危險分析的基礎上，隨著產品研制過程的進展，進一步全面、系統地識別、評價和消除或控制可能存在的危險。該項分析包括由產品故障或功能異常、危險品、能源、環境、人為差錯、接口等導致的危險，并判斷PHA中所制定的安全性措施是否有效和充分，對殘余風險進行評價，對不可接受的危險，提出設計改進或使用補償的措施；

(5) 使用與保障危險分析(O&SHA)：識別并評價由人員操作、執行任務或實施保障導致的危險(包括產品的裝配、試驗、使用、維修、運輸、貯存、改裝、退役和處理等各個環節的活動)，并評價用于消除、控制或降低上述風險的措施的充分性和有效性；

(6) 職業健康危險分析(OHHA)：識別產品的操作、維護、運輸和材料使用中潛在的有害人員健康的危險(包括化學危險、物理危險、生物危險、人機工效危險、防護裝置失效危險等)，并提出相應的防護措施。

上述六項工作在分析的時機、對象、實施人員、內容等方面相互補充，構成了一個覆蓋產品研制全過程、全系統的安全性分析和設計的工作框架。

1.3.3 對比分析

從兩套技術體系工作內容的對比可以看出，GJB 900A的工作項目更貼合工程實際，而且內容上覆蓋了前者，具體體現在：

(1) GJB 900A中的PHA工作是對功能危險進行分析，除此之外還要求考慮危險材料、危險環境以及人為差錯等因素可能導致的危險，因此，FHA可以看作是PHA的一個子集，或者說是開展PHA的手段之一，用于系統地識別由于故障導致的危險；

(2) GJB 900A中的“安全性要求分解”可以勝任PSSA中“確定具體系統和組件的安全性要求”的功能，也可將PSSA看作是“安全性要求分解”的子集，用于安全性定量要求的分解；而且“制定安全性設計準則”還可以將安全性的定性要求進一步細化和明確，更便于工程指導；

(3) GJB 900A中的SHA包括了對安全性設計要求或設計準則的符合程度分析、獨立或關聯失效的危險事件分析以及系統或設備間接口危險分析，內容可以涵蓋民機適航中規定的PSSA、SSA及CCA等內容。

2 軍機適航“安全性分析與評估”工作的工程實施途徑

軍機適航“安全性分析與評估”與GJB 900A的“安全性分析與設計”工作系列雖然在具體實施的技術手段和內容上略有差異，但實質上兩者是基本對應的，都是通過面向危險的安全性分析、面向場景的安全性分析和危險/事故現象分析三種類型的分析工作，識別系統中的危險，評估風險的不確定性，提出相應的改進措施，將安全性要求逐步落實到設計方案中，因此完全可以將兩者整合成一個有機整體統一安排。

根據系統工程中飛機安全性設計與評估的通行程序[10]，結合我國軍機的實際研制程序，探究在軍機設計各階段開展適航“安全性分析與評估”工作的具體工程途徑。

2.1 方案設計階段

方案設計階段的目標包括：①初步識別飛機與系統層級的危險；②分解總體要求，明確各系統的安全性要求。本階段的主要工作內容與實施流程如圖2所示。

圖2 方案設計階段安全性工作項目接口與流程

2.2 初步設計階段

初步設計階段的主要任務包括：①在系統設計中貫徹落實安全性設計準則；②進一步識別、評估系統/子系統層級的危險；③將系統的安全性要求進一步分解，明確相應設備、組件的安全性要求。

本階段的主要工作內容與實施流程如圖3所示。

圖3 初步設計階段安全性工作項目接口與流程

2.3 詳細設計階段

詳細設計階段的主要目標是盡可能全方位地識別各層級產品中的潛在危險，并評價其殘余風險是否可接受，若不可接受，則需進一步采取應對措施，確保產品的固有安全性水平滿足要求。因此，需要開展詳細的系統危險分析(SHA)工作，識別設備/組件層級的危險、系統/子系統間的接口危險、共因引發的特殊風險，并驗證/評價各層級產品對相關安全性要求的符合程度；還需開展使用與保障危險分析(O&SHA)，識別產品使用與保障中潛在的危險，對相關資料的編寫提供輸入。

本階段的主要工作內容與實施流程如圖4所示。

圖4 詳細設計階段安全性工作項目接口與流程

2.4 試制、試驗、試飛階段

試制、試驗、試飛階段的主要任務是結合試制、試驗中產品的實際表現檢驗前階段進行的危險分析的完整性和正確性，并進行補充完善，必要時還需改進設計；另外，根據需要和可能開展的職業健康危險分析(OHHA)，研究產品固有特性對使用、維護人員的生理和心理健康可能造成的危害和保護措施。在本階段應盡量以試驗、使用中的統計數據進行飛機和系統的安全性定量評估(SSA)，以試驗和實物檢查的方式驗證相關安全性定性要求的符合程度。

3 結束語

軍機研制中的適航工作與安全性工程從目標、要求到實施手段都有很大程度的重疊，必須將兩者進行有效整合，協調開展，避免多線管理、重復工作；而兩者所用的分析技術相通，在工作中完全可以以相互補充、借鑒和支持的方式統一進行，具體的結合方式可根據實際情況和產品特點進行規劃。

本文給出了飛機總體設計單位對兩者綜合實施的具體建議，將兩方面的工作按需求、技術及輸入/輸出關系有機結合，使得各項具體工作之間不重疊，并且統一數據源，避免了兩套體系工作輸出不協調或相互矛盾的情況出現，同時該套流程內容完整，涵蓋了兩套體系的分析內容，能夠同時為兩套體系提供支持。

[1] 曾天翔. 對國外民用飛機安全性指標的分析[J]. 航空標準化與質量, 1989(3)： 38-43. Zeng Tianxiang. The analyse for safety level of foreign civil aviation[J]. Aeronautic Standardization & Quality， 1989(3)： 38-43.(in Chinese)

[2] United States Department of Defense. MIL-HDBK-516B Airworthiness certification criteria[S]. USA： USDOD， 2005.

[3] GJB 900系統安全性通用大綱[S]. 北京： 國防科學技術工業委員會， 1990. GJB 900 General program for system safety[S]. Beijing: Commission of Science, Technology and Industry for National Defense， 1990.(in Chinese)

[4] GJB 900A裝備安全性工作通用要求[S]. 北京： 中國人民解放軍總裝備部， 2012. GJB 900A General requirement to safety assignment of equipment[S]. Beijing: General Armament Department of PLA， 2012.(in Chinese)

[5] 軍用無人機系統適航性準則(試行版)[S]. 北京： 中國空軍裝備部， 2013. Airworthiness guidelines for military UAV system(Trial Implementation)[S]. Beijing: Chinese Air Force Equipment Department, 2013.(in Chinese)

[6] 邢愛芬. 民用航空法教程[M]. 北京： 中國民航出版社， 2007. Xing Aifen. Tutorial of civil aviation law[M]. Beijing: China Civil Aviation Press， 2007.(in Chinese)

[7] 趙廷弟. 安全性設計分析與驗證[M]. 北京： 國防工業出版社， 2011. Zhao Tingdi. Safety design analysis and verification[M]. Beijing: National Defense Industry Press, 2011.(in Chinese)

[8] SAE-ARP-4761 Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[S]. USA: Society of Automotive Engineers, INC， 1996.

[9] SAE-ARP-4754 Guidelines for development of civil aircraft and systems[S]. USA: Society of Automotive Engineers. INC， 1996.

[10] 修忠信， 等. 民用飛機系統安全性設計與評估技術概論[M]. 上海： 上海交通大學出版社， 2013. Xiu Zhongxin, et al. System safety design & assessment in civil aircraft[M]. Shanghai: Shanghai Jiao Tong University Press, 2013.(in Chinese)

(編輯：馬文靜)

Study on Military Aircraft Airworthiness Clause about “Safety Analysis and Assessment” and the Method of its Engineering Implementation

Zhang Hua, Kong Wei

(Technical Center, AVIC Chengdu Aircraft Industrial(Group) Co., Ltd., Chengdu 610092, China)

The military is pushing airworthiness examination in military aircraft development process to assure the security by drawing lessons from civil aircraft airworthiness management. Accordingly, aircraft development unit have to find out how to implement the requirements of airworthiness and integrate airworthiness with safety design. In this paper, the relationship between airworthiness and safety from the view of military aircraft design unit is explored and the similarities and differences between airworthiness work and safety work is compared. A proposal of how to combine airworthiness with safety management, design, evaluation and how to work efficiently is offered for an actual project. It can effectively avoid incoordination or even contradictory situation between the airworthiness work and safety design work. It can be the reference for the military airplane designers.

airworthiness; safety; military aircraft; engineering implementation

2017-01-09；

2017-04-28

張華,hzh9971@sohu.com

1674-8190(2017)03-359-08

V271.4

A

10.16615/j.cnki.1674-8190.2017.03.018

張 華(1968-)，女，高級工程師。主要研究方向：飛機可靠性設計管理。

孔 維(1965-)，男，高級工程師，副總設計師。主要研究方向：飛機“四性”與綜合保障的設計與管理。