民機不安全狀態措施時限確定EASA方法應用研究

陸 軍，徐有成，喬 玉

(中國商飛上海飛機設計研究院，上海 200120)

為滿足國際民航組織及各國適航當局的適航要求[1-2]，確保民用航空器在其使用壽命期內任何時間滿足適航規章要求并始終處于安全運行狀態，航空公司/維修機構必須向適航當局和航空器制造商報告各種故障、失效和缺陷情況；后者則對收集到的信息進行分析[3-9]，來判斷飛機是否存在不安全狀態；若存在，則制定相關糾正措施并向航空公司發布安全相關服務通告(SB)或適航指令(AD)，要求從措施制定、發布到執行的整個過程必須在某個時限內完成，使受影響飛機恢復到應有的適航風險水平。其中，這個時限直接影響機隊安全運行與降低運營成本之間的利益平衡，比如發現問題時機隊立刻停飛是最安全的，但航空公司和制造商的經濟損失都非常大。隨著我國民機項目的蓬勃發展，自主設計生產的飛機將越來越多地投入運行，同時我國軍機項目也在加快引入適航要求，因此該時限確定方法的研究與應用具有現實意義。

目前，歐美發達國家適航當局及民機制造商主要形成了兩種廣泛認可的做法：1)以EASA(European Union Aviation Safety Agency)為首的GM 21A.3B(d)(4)[10]，簡稱EASA方法；2)以FAA(Federal Aviation Administration)為首的TARAM[11]，簡稱FAA方法。針對EASA方法，國內學者已開展了理論研究：謝保良[12]、丁曉宇等[13]介紹了理論依據及災難性和危險性失效情況下措施時限的確定方法。然而，在應用到實際工程時有諸多具體問題需解決，比如這個時限的起始點是什么、與SB/AD中符合性時間是什么關系、這些方法應轉化為怎樣的工程應用模型、有哪些不適用情況及應對思路等。

本文將從工程應用角度出發，針對EASA方法，重點圍繞以上問題開展進一步研究與總結，形成相關結論以供參考。

1 EASA方法概述

EASA方法主要由兩個部分組成，即“岡斯頓”法和基于定性后果嚴重性的單機/機隊風險預測模型。其中，“岡斯頓”法本質上是一種風險指標分配過程，通過假定一個基本的風險水平(對于完全符合適航要求的飛機)、一些未來的風險水平以及單架飛機的全壽命期內風險指標，為每個不安全狀態計算恰當暴露時間的過程。該方法在20世紀70年代后期英國航空管理局(CAA)的一份內部文件[14]中首次提出，1982年11月正式成為CAA的咨詢材料。2002年6月批準的JAA ACJ 39.3(b)(4)在原有基于定性后果嚴重性的單機/機隊風險預測基礎上包含此方法。之后，2003年10月批準的EASA GM 21A.3B(d)(4)沿用至今。

目前EASA方法已經被廣泛認可，我國適航當局也推薦采用該方法[15]。

2 不安全狀態措施時限定義

基于風險水平確定、從受影響飛機的安全問題得到確認開始直至糾正措施落實到位所允許的最大暴露時間，即為不安全狀態措施時限(UCAT)，通常由單機最大平均暴露時間來表示，如圖1所示，在這段時間內，允許這些飛機在未采取額外糾正措施的情況下繼續運營，且認為仍是安全的。其中，這個措施時限的起始點應為識別并確認飛機存在某個不安全狀態的那個時刻，通常為決策層認可風險水平的時間點，而不是從飛機本身存在不安全狀態的時刻算起。比如因制造偏離而引起的隱性失效事件，可知從飛機投入使用起該失效風險就已經存在，但所確定的措施時限應該從當前確認的時刻算起，在此基礎上針對不同機齡的飛機進行差異性處理，比如機齡大的優先處理。

圖1 不安全狀態措施時限示意圖

對于民機制造商，UCAT通常進一步可分解為措施準備時間(SAPT)、措施執行符合性時間(SACT)以及裕度時間(MT)之和，即UCAT = SAPT+SACT+MT。其中，SAPT是指從安全問題得到確定開始到SB發布的時間段；SACT是指SB中給出的符合性時間；MT是為管控安全風險留有一定裕度的時間段。因此，SACT并不等同于UCAT，應小于UCAT，是UCAT除去SAPT、MT之后的時限。

對于適航當局，AD中給出的符合性時間與SACT類似，應小于UCAT。

3 工程應用模型建立與特征分析

3.1 工程應用模型建立

根據EASA方法可建立糾正措施時限計算工程應用模型，見表1,2。其中，長期是指在飛機設計壽命Tf內，短期是指在單獨一次不安全狀態措施時限內，計量單位是飛行小時；單機風險是指單架飛機的風險水平，計量單位是次數；機隊風險是指所有受影響飛機(N架)風險之總和，計量單位是次數；事件發生概率P是指不安全事件發生的每飛行小時平均概率，計量單位是次數/飛行小時；對于隨機失效導致的事件，P通常不隨飛機或零部件的使用時間變化而變化，服從某種定常函數分布，如指數分布；而對于早期或損耗失效導致的事件，該值隨飛機或零部件的使用/日歷時間變化而變化，服從某種不定常函數分布，如威布爾分布。

表1 EASA關于不安全事件的適航風險指標設定

表2 EASA關于不安全事件的糾正措施時限計算公式

該模型的主要特征如下：

1)主要針對后果嚴重性等級為災難性、危險性的兩類事件給出計算方法；

2)短期單機風險的適航風險指標依據“岡斯頓”方法進行設定；

3)當已知飛機設計壽命、受影響飛機數量函數(一般涉及當前飛機數量、交付速度、退役速度等因素)、后果嚴重性等級以及事件發生概率(定量)時，即可通過計算得到相應糾正措施時限。

針對不同情況，通過該模型，可方便地實現糾正措施時限計算以及各參數之間關系研究。

3.2 工程應用模型實例

以典型民用運輸類飛機為例，假設Tf為60 000飛行小時，相應適航風險指標設定與糾正措施時限計算可簡化成如表3、表4所示。

表3 EASA關于不安全事件的適航風險指標設定(Tf=60 000飛行小時)

表4 EASA關于不安全事件的糾正措施時限計算公式(Tf=60 000飛行小時，隨機失效)

假設該飛機的年利用率為3 000飛行小時，相應日歷時間與飛行小時之間的換算關系為：1年約為3 000飛行小時，1月約為250飛行小時，1周約為50飛行小時。根據前述模型，當N≤666時，單機災難性事件發生概率P與UCAT之間對應關系見表5。也就是說，當該飛機上發現存在一個能導致災難性事件的不安全狀態時，若P超過2.0×10-6，所有受影響飛機應停場或返回基地；若P等于1.0×10-7，措施時限則為1 500飛行小時(換算成日歷時間為6個月)。需要注意的是，當受影響飛機超過1架(假設為2架)時，該措施時限則并不是最后一架飛機完成糾正措施的最大暴露時間，若其中1架飛機立即可以糾正完成，則另1架飛機的最大暴露時間應為3 000飛行小時。

表5 單機災難性事件

當N>666時，假設N(UCAT)=N，所有受影響飛機相應災難性事件的發生概率(P·N)與UCAT之間對應關系見表6。

表6 機隊災難性事件

3.3 糾正措施時限與飛機數量的關系

假設單機災難性事件的發生概率不變(P=1.0×10-7)，且N>666之后N(UCAT)=N，N與UCAT之間關系如圖2所示，即在N未超過短期單機/機隊風險的臨界數量666之前，UCAT不隨N的變化而變化，超過666之后則隨著N的增加而減少。

圖2 糾正措施時限與受影響飛機數量的關系(P=1.0×10-7)

3.4 糾正措施時限與飛機壽命的關系

假設單機災難性事件的發生概率不變(P=1.0×10-7)，對于不同類型的飛機(比如設計壽命為40 000,60 000,80 000,100 000飛行小時)，在N未超過短期單機/機隊風險的臨界數量(對應值為400,500,666,1 000)之前，飛機的設計壽命越長則相應UCAT越大，如圖3所示。

圖3 糾正措施時限與飛機壽命的關系(P=1.0×10-7)

4 特別關注

4.1 不適用情況及應對思路

1)對于后果嚴重性等級介于“災難的”與“危險的”之間的不安全事件，適航風險指標設定可對兩個等級對應指標進行線性內插，當認為實際后果嚴重性分別占50%情況時，則其單機適航風險水平可取1.5×10-4與1.5×10-2的平均值，即1.5×10-3，機隊適航風險水平則為0.3，單機風險上限則為2.0×10-5。

2)對于后果嚴重性等級為“較大的”或“較小的”不安全事件，不應采用本文建立的工程應用模型進行線性外插計算，通?；诠こ膛袛嗉熬唧w失效影響來確定。

3)對于數據不可用、質量差或者不能收集到相關定量數據，事件發生概率僅給出定性結果的不安全事件，如涉及飛行機組/機務維修人因差錯、機隊初期運營等，后果嚴重性等級為“災難的”和“危險的”不安全事件應采取保守策略確定，即定性概率的最保守值，比如“災難的”的定性結果為“微小的”，那么應取1.0×10-5所對應的措施時限。

4)對于無具體適航風險指標要求的不安全事件，比如在緊急情況下使用的系統(備用應急系統、火警探測與保護系統、應急出口、逃生滑梯、撤離援助設備、應急照明系統、應急定位器等)、用于事故發生后問詢調查的系統(如駕駛艙話音記錄器、飛行數據記錄器等)、災難性單點失效(如燃油箱中出現潛在點火源等)，可參考相似機型/系統的AD中符合性時間和受影響飛機規模予以確定。

5)對于早期失效、損耗失效以及結構疲勞相關的不安全事件，此情況下得到的糾正措施時限是單機最大平均暴露時間，而每架飛機所允許的最大暴露時間與累積飛行小時/飛行循環直接相關，因此對于損耗失效，機齡越大的飛機優先；對于早期失效，機齡越小的飛機優先；對于結構疲勞問題，基于飛行小時或飛行循環給出。

4.2 工程判斷的重要性

由于相關參數涉及較多工程判斷，比如后果嚴重性進行了保守考慮、事件發生概率的不確定性較大、在未明確根原因情況下保守估計的受影響飛機數量等，EASA方法給出的是一種理論結果，最終確定仍需要根據工程判斷、專家直覺等進行調整。因此，在采用EASA方法時相關人員需具備廣泛的專業知識和豐富的適航經驗，而不能單純地依賴該方法。

5 結論

本文明確了不安全狀態措施時限定義，對建立的工程應用模型及其參數關系進行分析，結果表明：

1)不安全狀態措施時限的起始點應為識別并確認飛機存在某個不安全狀態的那個時刻，通常為決策層認可風險水平的時間點；

2)SB/AD中給出的符合性時間應小于不安全狀態措施時限；

3)EASA方法的5種不適用情況應按照不同的思路予以應對。