安全風險管理在民用無人機監管中的應用

劉菲

1.中國民航管理干部學院

2.浙江省通用航空運行技術研究重點實驗室

隨著民用無人機產業規模持續增長，運行安全備受關注，基于運行風險的分類管理已經成為監管的核心理念。本文對國內外民用無人機安全目標水平、安全風險管理程序、安全風險管理方法進行總結，闡述現階段安全風險管理工作發揮的重要作用，為我國民用無人機監管政策制定提供參考。

2021年是“中華人民共和國國民經濟和社會發展第十四個五年規劃”開局之年。作為戰略性新興產業，無人駕駛航空器（下稱無人機）在2021年備受關注。在民用領域，無人機運營企業數量及機隊規模繼續快速增長，我國首批13個民用無人駕駛航空試驗基地(試驗區)發展迅速，積極推動了基礎設施建設、產業規模、監管體系的發展。2021年底，豐鳥航空科技有限公司完成支線物流無人機試運行許可和經營許可審定，極大鼓舞了社會各方發展無人機的信心。

民用無人機的發展直接取決于規?；虡I運營，而無人機安全地融入國家空域是規模化運營的前提。以美國為例，從1990年至今，民用無人機經歷了從被禁止商業運行、經許可后進入國家空域到按照特定要求有序融入國家空域運行三個階段。根據《2012年美國聯邦航空管理局（FAA）現代化與重組法案》的實施細則，美國聯邦航空管理局開始主管無人機系統在國家空域中的運行工作，并實施了“融合試點”（IPP）、“空中交通管理試點”（UPP）、“超越”（BEYOND）、“測試基地試點”等一系列項目，不斷積累無人機監管經驗，修訂和完善監管體系，在無人機滿足安全目標水平下，逐漸按照從低到高的運行風險對無人機運行進行常態化許可。

民用無人機安全目標水平

在廣義層面，民航業自身的風險就是危害，它將乘客和機組人員置于危險之中。法規、規則、標準的制定原則都以減少或消除乘客和機組人員所遭受的危害為出發點，同時限制航空器對地面人員的傷害。美國國家運輸安全委員 會（National Transportation Safety Board，NTSB,）數據庫的數據分析結果為現有有人駕駛航空器（下稱有人機）的風險管理方法制定提供了參考。

無人機的關鍵特征是，機組人員在地面，自動化水平高，運行環境復雜多樣，即使墜機，可能不會危及人員生命安全。因此，現有有人機監管政策并不完全適用于無人機。針對無人機進入國家空域運行而觸發的新風險，各國主管部門都在飛行批準前啟動了安全風險管理程序。運營人及監管部門面臨的首要問題是，無人機運行達到多高的安全水平才能進入空域？安全水平的定性與定量標準是什么？

可接受安全水平

民用無人機運行可接受安全水平（Acceptable Level of Safety，ALOS）受技術、規則、經濟、政策、社會及公眾等因素影響。無人機與有人機在機型迭代周期、運行任務及技術復雜性等方面存在明顯差異。無人機積累的運營數據有限，而有限的運營數據很難為安全水平標準提供支持。前期可接受安全水平主要從不影響現有空域安全水平及使用效率角度出發，以定性描述為主（見表1）。

表1 可接受安全水平的定性描述。

等效安全水平

相關單位在開展無人機安全性分析及運行風險評估時，對可接受安全水平進行定性描述，難以指導具體工作。因此，基于有人機歷史運行經驗的等效安全 水 平（Equivalent Level of Safety，ELOS）被廣泛接受。等效安全水平使用須要兩個前提條件，一是有人機的運行風險水平具有可接受性，且可為無人機運行風險管理提供基礎，如地面撞擊和空中碰撞的致死率；二是對比機制明確，例如無人機運行應具備與有人機同樣的安全性，對空中人員、地面人員及地面設施造成危害的等級應低于有人機造成危害的等級。

基于以上前提條件并從公共安全角度出發，統計指標通常采用每飛行小時死亡率、每飛行小時死亡人數，而不是財產損失。歷史數據分析可得到地面撞擊和空中碰撞事故的指標量化結果，詳見表2。這種基于有人機歷史運行數據的等效安全水平指標對數據選取時間段和作業類型（如商業運輸、農林作物藥物噴灑、電力線巡檢等）比較敏感，沒有考慮死亡率隨地理位置的變化。每飛行小時死亡率及每飛行小時死亡人數不能反映公眾、機組人員等不同人員面臨的傷亡風險，也不能反映安全運行趨勢及事故嚴重程度，但可為無人機運行風險提供一種通用衡量指標。

表2 等效安全水平的定量描述示例。

安全風險管理

為保證各類有人機在國家空域內安全飛行，各國建立了一套復雜的規章制度和規則。與此同時，業界已廣泛接受基于風險的無人機監管理念。為支持法規制定、符合性評估、新機型空域準入等監管事項決策，主管部門須要啟用安全風險管理程序。

安全風險管理程序

安全風險管理（Safety Risk Management，SRM）是安全管理系統（SMS, Safety Management System）四個組成部分之一，主要為決策層提供有關危險源、安全風險及安全風險緩解的信息，增強安全風險應對能力。安全風險管理程序（Safety Risk Management Process，SRMP）是 將安全管理政策、程序和實施工作系統地應用于溝通、咨詢、運行概念建立，以及風險識別、分析、評估、處理、監控和審查等活動中。其具體流程包括運行概念建立、風險識別、風險分析、風險評估、風險緩解及風險監控，每個步驟還涉及相關方的溝通和協商過程。運營人申請運行許可須要按照安全風險管理程序開展風險評估及企業安全管理工作。

考慮到現有有人機安全評估規則不再適用于無人機，美國、加拿大等國家的民航主管部門發布了有關安全風險管理的指導性文件，并確定了適用于無人機的安全風險管理程序，避免重復評估。2019年10月，美國聯邦航空管理局發布《無人機系統安全風險管理政策》（ORDER 8040.6），該文件重點考慮國家空域系統（NAS）和地面第三方安全風險，對《安全風險管理政策》（ORDER 8040.4B）的內容進行補充。如果無人機運行引發新的安全問題（如潛在危害、緩解措施失效、不符合規章規定）或計劃變化，美國聯邦航空管理局須啟動安全風險管理程序。對于特殊情況，美國聯邦航空管理局的項目負責人可向管理層提出升級，并與相關部門協調解決具體問題。

可接受風險評估方法

安全風險管理的核心是風險評估。對于運行風險評估，美國聯邦航空管理局發布的《無人機系統安全風險管理政策》（ORDER 8040.6）采用了傳統安全管理方法，可作為參考案例；歐洲航空安全局和中國民用航空局引用了無人駕駛航空器系統規章制定聯合機構（JARUS）制定的特定運行風險評估（SORA）方法。除此以外，領結圖、故障樹分析也是可接受的符合性方法，運營人可根據實際需求而選擇使用。

特定運行風險評估方法具有定量與定性評估的特點，使用較為簡單，且已形成較為完備的危險源庫、風險緩解措施與符合性指標體系，因此備受關注。盡管如此，特定運行風險評估的前提假設與模型限制了其適用范圍，并不適用于載人或危險品運輸。特定運行風險評估僅用于運行風險，而安保、隱私、環境保護、噪聲、頻譜使用等評估，各國須根據實際情況進行綜合評估。

安全風險管理的應用

目前，監管部門基于有人機運行經驗建立了無人機等效安全水平，大部分安全風險管理工作都集中于解決高級別地面風險和空中風險。這種自上而下的風險分析方法為實現安全目標提供了一個監管框架。

基于風險實施分類監管

按照有人機的不同用途及安全目標水平，監管部門面向人、機、管、環建立了監管體系，但這種有人機監管體系并不一定適用于無人機。例如，為保障公共安全，無人機可采取自毀，避免與有人機和地面第三方發生碰撞，但飛行器毀壞對有人機來說是一個災難性事故。無人機譜系范圍廣泛，應用場景遠超有人機，其風險管理具有寬泛性。因此，監管部門開始基于運行風險逐步建立新的民用無人機監管體系，按照低風險、中風險、高風險運行分類，提出監管要求。對于中低風險運行，監管部門逐一探索典型場景，總結監管法規；對于高風險運行，則參考有人機的監管方式。

中風險監管最具有挑戰性。中風險運行場景豐富，機型種類繁多，監管與風險管理緊密結合。在特定運行風險評估中，最終地面風險經緩解后，與空中風險用于確定特定保證性與完整性等級（Specific Assurance and Integrity Levels，SAIL）。特定保證性與完整性等級分為六級，Ⅰ級到Ⅵ級對應的運行安全目標（Operational Safety Objectives，OSOs）符合性要求逐漸提高，這決定了監管部門對無人機適航管理、運營人能力、運行限制等要素的監管介入程度不同（如表3所示）。不同國家根據實際情況制定相應的規則。

表3 中風險運行的具體要求示例。

基于風險實施分類適航管理

2011年，美國聯邦航空管理局發布咨詢通告《23部飛機系統安全性分析與評估》（AC 23.1309-1C），對最大起飛重量低于2724kg的單發飛機的故障概率進行解釋：根據歷史運行數據統計，由于運行及飛機原因，在能見度受限的情況下，飛機發生致命性事故的概率約為1×10-4/飛行小時；大約10%的事故由飛機系統故障所致，由此得出故障條件下致命性事故發生的概率1×10-5/飛行小時；假設潛在的災難性故障條件大約有十種且發生概率相同，則每個故障條件的概率為1×10-6。國防部長辦公室對軍用無人機運行數據進行分析，該分析結果顯示，無人機故障率比23部單發飛機高，無人機進入國家空域飛行可能造成不可接受的風險。但是，如果主管部門直接要求無人機提升可靠性，將會提高設計和制造成本，但可能對運行安全幾乎沒有影響。

為解決這一問題，中國、美國和歐洲國家都提出了無人機適航管理與運行風險相結合的監管思路，并基于運行風險，提出無人機安全性要求，以確定無人機可接受安全水平及適航審定標準。歐洲航空安全局認為，無人機的審定要求與運行風險評估結果應直接相關聯，當特定保證性與完整性等級為Ⅰ級和Ⅱ級時，主管部門不要求運營人使用經過適航審定的無人機，但如果運營人采用無人機的功能或設備（如降落傘）作為風險緩解措施，則要求功能或設備進行適航審定；當特定保證性與完整性等級為III、IV級時，歐洲航空安全局參考ELA2型飛機的適航審定標準，制定專門的無人機適航審定規則，當特定保證性與完整性等級高于IV級時，主管部門應要求運營人使用經過適航審定的無人機。中國民用航空局綜合分析危害的嚴重性和可能性，針對不載人運營、載人運營兩種情況，將民用無人機安全性要求分為A、B、C、D、E、F、G七類，并根據可接受安全性水平確定可接受安全性目標以及適用的適航標準。

表4 歐洲航空安全局公布的預先風險評估案例。

建立典型運行場景的預先風險評估

對于典型運行場景，中國、美國和歐洲國家都在與運營企業合作，探索民用無人機的監管模式，并基于風險評估結果總結經驗。為避免對同一場景進行重復評估，歐洲航空安全局將典型場景評估結果提煉為具體運行限制與運行要求，如標準場景（Standard Scenario，STS）。

2020年5月，歐洲航空安全局頒布《第2020/639號實施條例（EU）》，該條例是《第2019/947號實施條例（EU）》（2019/947（EU））的修訂版，并在修訂版實施條例的附錄中增加了兩個標準場景。為進一步詳細描述標準場景，便于主管部門與運營人使用，歐洲航空安全局發布了（2019/947（EU））條例的可接受符合性方法（Acceptable Means of Compliance，AMC）和 指導 材 料（Guidance Material，GM）。2020年12月，修訂版實施條例增加了4個標準場景的可接受符合性方法—預先風險評估（Predefined Risk Assessment，PDRA）案例。歐洲航空安全局和無人駕駛航空器系統規章制定聯合機構分別發布了2個標準場景，預先風險評估編號分別使用“PDRAS#”“PDRA-G#”加以區分。面向場景的監管具有諸多優勢，例如主管部門可以根據場景運行風險水平決定介入程度，如果運營人期望開展低風險標準場景運行，可參考預先風險評估，向監管部門提供符合性聲明，大幅降低了監管成本。

展望

民用無人機進入國家空域運行給監管部門帶來了挑戰。安全風險管理是監管方與運營人共同使用的工具，基于運行風險逐漸完善監管政策是監管方的必然選擇。監管部門的核心任務是，基于安全目標水平制定具體要求。無人機失控與有人機并不相同，呈現了獨特的風險，監管方須要利用更多的數據、案例進行自下而上的反饋，完善安全風險管理體系，利用迭代循環支持基于運行風險的監管決策?，F階段，監管方缺乏民用無人機運行數據的深度分析及不安全事件的分析報告，這可能導致決策過程緩慢或出現偏差。因此，產業發展須要各方協同合作，相互支持。 ■