陸 軍，徐有成，喬 玉

(中國商飛上海飛機(jī)設(shè)計研究院，上海 200120)

為滿足國際民航組織及各國適航當(dāng)局的適航要求[1-2]，確保民用航空器在其使用壽命期內(nèi)任何時間滿足適航規(guī)章要求并始終處于安全運行狀態(tài)，航空公司/維修機(jī)構(gòu)必須向適航當(dāng)局和航空器制造商報告各種故障、失效和缺陷情況；后者則對收集到的信息進(jìn)行分析[3-9]，來判斷飛機(jī)是否存在不安全狀態(tài)；若存在，則制定相關(guān)糾正措施并向航空公司發(fā)布安全相關(guān)服務(wù)通告(SB)或適航指令(AD)，要求從措施制定、發(fā)布到執(zhí)行的整個過程必須在某個時限內(nèi)完成，使受影響飛機(jī)恢復(fù)到應(yīng)有的適航風(fēng)險水平。其中，這個時限直接影響機(jī)隊安全運行與降低運營成本之間的利益平衡，比如發(fā)現(xiàn)問題時機(jī)隊立刻停飛是最安全的，但航空公司和制造商的經(jīng)濟(jì)損失都非常大。隨著我國民機(jī)項目的蓬勃發(fā)展，自主設(shè)計生產(chǎn)的飛機(jī)將越來越多地投入運行，同時我國軍機(jī)項目也在加快引入適航要求，因此該時限確定方法的研究與應(yīng)用具有現(xiàn)實意義。

目前，歐美發(fā)達(dá)國家適航當(dāng)局及民機(jī)制造商主要形成了兩種廣泛認(rèn)可的做法：1)以EASA(European Union Aviation Safety Agency)為首的GM 21A.3B(d)(4)[10]，簡稱EASA方法；2)以FAA(Federal Aviation Administration)為首的TARAM[11]，簡稱FAA方法。針對EASA方法，國內(nèi)學(xué)者已開展了理論研究：謝保良[12]、丁曉宇等[13]介紹了理論依據(jù)及災(zāi)難性和危險性失效情況下措施時限的確定方法。然而，在應(yīng)用到實際工程時有諸多具體問題需解決，比如這個時限的起始點是什么、與SB/AD中符合性時間是什么關(guān)系、這些方法應(yīng)轉(zhuǎn)化為怎樣的工程應(yīng)用模型、有哪些不適用情況及應(yīng)對思路等。

本文將從工程應(yīng)用角度出發(fā)，針對EASA方法，重點圍繞以上問題開展進(jìn)一步研究與總結(jié)，形成相關(guān)結(jié)論以供參考。

1 EASA方法概述

EASA方法主要由兩個部分組成，即“岡斯頓”法和基于定性后果嚴(yán)重性的單機(jī)/機(jī)隊風(fēng)險預(yù)測模型。其中，“岡斯頓”法本質(zhì)上是一種風(fēng)險指標(biāo)分配過程，通過假定一個基本的風(fēng)險水平(對于完全符合適航要求的飛機(jī))、一些未來的風(fēng)險水平以及單架飛機(jī)的全壽命期內(nèi)風(fēng)險指標(biāo)，為每個不安全狀態(tài)計算恰當(dāng)暴露時間的過程。該方法在20世紀(jì)70年代后期英國航空管理局(CAA)的一份內(nèi)部文件[14]中首次提出，1982年11月正式成為CAA的咨詢材料。2002年6月批準(zhǔn)的JAA ACJ 39.3(b)(4)在原有基于定性后果嚴(yán)重性的單機(jī)/機(jī)隊風(fēng)險預(yù)測基礎(chǔ)上包含此方法。之后，2003年10月批準(zhǔn)的EASA GM 21A.3B(d)(4)沿用至今。

目前EASA方法已經(jīng)被廣泛認(rèn)可，我國適航當(dāng)局也推薦采用該方法[15]。

2 不安全狀態(tài)措施時限定義

基于風(fēng)險水平確定、從受影響飛機(jī)的安全問題得到確認(rèn)開始直至糾正措施落實到位所允許的最大暴露時間，即為不安全狀態(tài)措施時限(UCAT)，通常由單機(jī)最大平均暴露時間來表示，如圖1所示，在這段時間內(nèi)，允許這些飛機(jī)在未采取額外糾正措施的情況下繼續(xù)運營，且認(rèn)為仍是安全的。其中，這個措施時限的起始點應(yīng)為識別并確認(rèn)飛機(jī)存在某個不安全狀態(tài)的那個時刻，通常為決策層認(rèn)可風(fēng)險水平的時間點，而不是從飛機(jī)本身存在不安全狀態(tài)的時刻算起。比如因制造偏離而引起的隱性失效事件，可知從飛機(jī)投入使用起該失效風(fēng)險就已經(jīng)存在，但所確定的措施時限應(yīng)該從當(dāng)前確認(rèn)的時刻算起，在此基礎(chǔ)上針對不同機(jī)齡的飛機(jī)進(jìn)行差異性處理，比如機(jī)齡大的優(yōu)先處理。

圖1 不安全狀態(tài)措施時限示意圖

對于民機(jī)制造商，UCAT通常進(jìn)一步可分解為措施準(zhǔn)備時間(SAPT)、措施執(zhí)行符合性時間(SACT)以及裕度時間(MT)之和，即UCAT = SAPT+SACT+MT。其中，SAPT是指從安全問題得到確定開始到SB發(fā)布的時間段；SACT是指SB中給出的符合性時間；MT是為管控安全風(fēng)險留有一定裕度的時間段。因此，SACT并不等同于UCAT，應(yīng)小于UCAT，是UCAT除去SAPT、MT之后的時限。

對于適航當(dāng)局，AD中給出的符合性時間與SACT類似，應(yīng)小于UCAT。

3 工程應(yīng)用模型建立與特征分析

3.1 工程應(yīng)用模型建立

根據(jù)EASA方法可建立糾正措施時限計算工程應(yīng)用模型，見表1,2。其中，長期是指在飛機(jī)設(shè)計壽命Tf內(nèi)，短期是指在單獨一次不安全狀態(tài)措施時限內(nèi)，計量單位是飛行小時；單機(jī)風(fēng)險是指單架飛機(jī)的風(fēng)險水平，計量單位是次數(shù)；機(jī)隊風(fēng)險是指所有受影響飛機(jī)(N架)風(fēng)險之總和，計量單位是次數(shù)；事件發(fā)生概率P是指不安全事件發(fā)生的每飛行小時平均概率，計量單位是次數(shù)/飛行小時；對于隨機(jī)失效導(dǎo)致的事件，P通常不隨飛機(jī)或零部件的使用時間變化而變化，服從某種定常函數(shù)分布，如指數(shù)分布；而對于早期或損耗失效導(dǎo)致的事件，該值隨飛機(jī)或零部件的使用/日歷時間變化而變化，服從某種不定常函數(shù)分布，如威布爾分布。

表1 EASA關(guān)于不安全事件的適航風(fēng)險指標(biāo)設(shè)定

表2 EASA關(guān)于不安全事件的糾正措施時限計算公式

該模型的主要特征如下：

1)主要針對后果嚴(yán)重性等級為災(zāi)難性、危險性的兩類事件給出計算方法；

2)短期單機(jī)風(fēng)險的適航風(fēng)險指標(biāo)依據(jù)“岡斯頓”方法進(jìn)行設(shè)定；

3)當(dāng)已知飛機(jī)設(shè)計壽命、受影響飛機(jī)數(shù)量函數(shù)(一般涉及當(dāng)前飛機(jī)數(shù)量、交付速度、退役速度等因素)、后果嚴(yán)重性等級以及事件發(fā)生概率(定量)時，即可通過計算得到相應(yīng)糾正措施時限。

針對不同情況，通過該模型，可方便地實現(xiàn)糾正措施時限計算以及各參數(shù)之間關(guān)系研究。

3.2 工程應(yīng)用模型實例

以典型民用運輸類飛機(jī)為例，假設(shè)Tf為60 000飛行小時，相應(yīng)適航風(fēng)險指標(biāo)設(shè)定與糾正措施時限計算可簡化成如表3、表4所示。

表3 EASA關(guān)于不安全事件的適航風(fēng)險指標(biāo)設(shè)定(Tf=60 000飛行小時)

表4 EASA關(guān)于不安全事件的糾正措施時限計算公式(Tf=60 000飛行小時，隨機(jī)失效)

假設(shè)該飛機(jī)的年利用率為3 000飛行小時，相應(yīng)日歷時間與飛行小時之間的換算關(guān)系為：1年約為3 000飛行小時，1月約為250飛行小時，1周約為50飛行小時。根據(jù)前述模型，當(dāng)N≤666時，單機(jī)災(zāi)難性事件發(fā)生概率P與UCAT之間對應(yīng)關(guān)系見表5。也就是說，當(dāng)該飛機(jī)上發(fā)現(xiàn)存在一個能導(dǎo)致災(zāi)難性事件的不安全狀態(tài)時，若P超過2.0×10-6，所有受影響飛機(jī)應(yīng)停場或返回基地；若P等于1.0×10-7，措施時限則為1 500飛行小時(換算成日歷時間為6個月)。需要注意的是，當(dāng)受影響飛機(jī)超過1架(假設(shè)為2架)時，該措施時限則并不是最后一架飛機(jī)完成糾正措施的最大暴露時間，若其中1架飛機(jī)立即可以糾正完成，則另1架飛機(jī)的最大暴露時間應(yīng)為3 000飛行小時。

表5 單機(jī)災(zāi)難性事件

當(dāng)N>666時，假設(shè)N(UCAT)=N，所有受影響飛機(jī)相應(yīng)災(zāi)難性事件的發(fā)生概率(P·N)與UCAT之間對應(yīng)關(guān)系見表6。

表6 機(jī)隊災(zāi)難性事件

3.3 糾正措施時限與飛機(jī)數(shù)量的關(guān)系

假設(shè)單機(jī)災(zāi)難性事件的發(fā)生概率不變(P=1.0×10-7)，且N>666之后N(UCAT)=N，N與UCAT之間關(guān)系如圖2所示，即在N未超過短期單機(jī)/機(jī)隊風(fēng)險的臨界數(shù)量666之前，UCAT不隨N的變化而變化，超過666之后則隨著N的增加而減少。

圖2 糾正措施時限與受影響飛機(jī)數(shù)量的關(guān)系(P=1.0×10-7)

3.4 糾正措施時限與飛機(jī)壽命的關(guān)系

假設(shè)單機(jī)災(zāi)難性事件的發(fā)生概率不變(P=1.0×10-7)，對于不同類型的飛機(jī)(比如設(shè)計壽命為40 000,60 000,80 000,100 000飛行小時)，在N未超過短期單機(jī)/機(jī)隊風(fēng)險的臨界數(shù)量(對應(yīng)值為400,500,666,1 000)之前，飛機(jī)的設(shè)計壽命越長則相應(yīng)UCAT越大，如圖3所示。

圖3 糾正措施時限與飛機(jī)壽命的關(guān)系(P=1.0×10-7)

4 特別關(guān)注

4.1 不適用情況及應(yīng)對思路

1)對于后果嚴(yán)重性等級介于“災(zāi)難的”與“危險的”之間的不安全事件，適航風(fēng)險指標(biāo)設(shè)定可對兩個等級對應(yīng)指標(biāo)進(jìn)行線性內(nèi)插，當(dāng)認(rèn)為實際后果嚴(yán)重性分別占50%情況時，則其單機(jī)適航風(fēng)險水平可取1.5×10-4與1.5×10-2的平均值，即1.5×10-3，機(jī)隊適航風(fēng)險水平則為0.3，單機(jī)風(fēng)險上限則為2.0×10-5。

2)對于后果嚴(yán)重性等級為“較大的”或“較小的”不安全事件，不應(yīng)采用本文建立的工程應(yīng)用模型進(jìn)行線性外插計算，通常基于工程判斷及具體失效影響來確定。

3)對于數(shù)據(jù)不可用、質(zhì)量差或者不能收集到相關(guān)定量數(shù)據(jù)，事件發(fā)生概率僅給出定性結(jié)果的不安全事件，如涉及飛行機(jī)組/機(jī)務(wù)維修人因差錯、機(jī)隊初期運營等，后果嚴(yán)重性等級為“災(zāi)難的”和“危險的”不安全事件應(yīng)采取保守策略確定，即定性概率的最保守值，比如“災(zāi)難的”的定性結(jié)果為“微小的”，那么應(yīng)取1.0×10-5所對應(yīng)的措施時限。

4)對于無具體適航風(fēng)險指標(biāo)要求的不安全事件，比如在緊急情況下使用的系統(tǒng)(備用應(yīng)急系統(tǒng)、火警探測與保護(hù)系統(tǒng)、應(yīng)急出口、逃生滑梯、撤離援助設(shè)備、應(yīng)急照明系統(tǒng)、應(yīng)急定位器等)、用于事故發(fā)生后問詢調(diào)查的系統(tǒng)(如駕駛艙話音記錄器、飛行數(shù)據(jù)記錄器等)、災(zāi)難性單點失效(如燃油箱中出現(xiàn)潛在點火源等)，可參考相似機(jī)型/系統(tǒng)的AD中符合性時間和受影響飛機(jī)規(guī)模予以確定。

5)對于早期失效、損耗失效以及結(jié)構(gòu)疲勞相關(guān)的不安全事件，此情況下得到的糾正措施時限是單機(jī)最大平均暴露時間，而每架飛機(jī)所允許的最大暴露時間與累積飛行小時/飛行循環(huán)直接相關(guān)，因此對于損耗失效，機(jī)齡越大的飛機(jī)優(yōu)先；對于早期失效，機(jī)齡越小的飛機(jī)優(yōu)先；對于結(jié)構(gòu)疲勞問題，基于飛行小時或飛行循環(huán)給出。

4.2 工程判斷的重要性

由于相關(guān)參數(shù)涉及較多工程判斷，比如后果嚴(yán)重性進(jìn)行了保守考慮、事件發(fā)生概率的不確定性較大、在未明確根原因情況下保守估計的受影響飛機(jī)數(shù)量等，EASA方法給出的是一種理論結(jié)果，最終確定仍需要根據(jù)工程判斷、專家直覺等進(jìn)行調(diào)整。因此，在采用EASA方法時相關(guān)人員需具備廣泛的專業(yè)知識和豐富的適航經(jīng)驗，而不能單純地依賴該方法。

5 結(jié)論

本文明確了不安全狀態(tài)措施時限定義，對建立的工程應(yīng)用模型及其參數(shù)關(guān)系進(jìn)行分析，結(jié)果表明：

1)不安全狀態(tài)措施時限的起始點應(yīng)為識別并確認(rèn)飛機(jī)存在某個不安全狀態(tài)的那個時刻，通常為決策層認(rèn)可風(fēng)險水平的時間點；

2)SB/AD中給出的符合性時間應(yīng)小于不安全狀態(tài)措施時限；

3)EASA方法的5種不適用情況應(yīng)按照不同的思路予以應(yīng)對。