接前文《大话适航(六)法律标准简介-CSDN博客》
7. 执行与执法
7.1 型号合格证的取证流程
《AP-21-AA-2023-11R1 型号合格审定程序》(简称11程序)规定了最通用也是最长的取证流程。
AP中把型号合格审定划分为5个阶段:
| 阶段 | 描述 | 主要内容 | 关闭条件 |
|---|---|---|---|
| 1 | 项目受理和启动 | 申请,受理,一般熟悉性介绍。 | 受理申请;组建TCB和审查组。 |
| 2 | 要求确定 | 首次TCB会议;审查组熟悉性会议。 | 审查组完成技术熟悉工作;初步确定审定基础;相关问题纪要起草。 |
| 3 | 符合性计划制定 | 审查审定计划,确定局方审查重点和方式方法。 | 完成审定计划或专项合格审定计划。 |
| 4 | 符合性确认 | 审查组对申请人的符合性表明工作进行验证 | 完成局方验证和确认工作(文件评审、试验目击、审定飞行试验等)。 |
| 5 | 颁证 | 最终TCB会议;颁证。 | 完成型号审查报告;颁发型号合格证。 |
每个阶段的细节工作是可以并行的。具体的步骤总结:
| 步骤 | 局方动作 | 申请人动作 | 工作内容 | 结果 |
| 1.申请 | 是 | 申请人应提交下列申请材料: (1)申请书 (2)提交设计特征、三面图和现有的基本数据; (3)相应的合格审定的取证计划,如包括重大里程碑计划的项目进度计划。 | ||
| 2.受理 | 是 | 完成对申请资料的评审 | 局方书面给出受理通知书,申请人缴费;或不予受理 | |
| 3.一般熟悉性介绍 | 是 | 是 | 申请人介绍应包括产品的总体情况、主要的设计或设计更改、特殊的产品特性和项目进度计划等。其目的是让局方熟悉该产品设计和项目,以便初步评估局方直接审查的范围和深度并确定审查人员的配置。 | 可根据需要,准备安全保障合作计划(PSP)草案,双方签署 |
| 4.组建型号合格审定委员会(TCB) | 是 | 是相关型号合格审定项目的管理团队,负责监督管理项目审查工作,协调解决审查中的重大问题 | ||
| 5.组建审查组(TCT) | 是 | 是型号合格审定项目的审查团队,代表局方负责项目具体审查工作 | ||
| 6.召开首次TCB会议 | 是 | 目的是考虑工程设计、飞行试验、制造、维修和运行各方面的要求,对型号审查综合规划工作进行评审。 | ||
| 7.确定审定基础 | 是 | 是 | 明确规定型号合格证颁发前申请人必须表明符合性的具体民用航空规章及其版次。 | 确定按哪些规章来进行审定。制定和颁发专用条件 |
| 8.审定计划的审查 | 是 | 是 | 申请人提交审定计划(CP),审查组制定审定项目计划(CPP) | 产出CP和CPP |
| 9.确定审查重点和方式方法 | 是 | 验证申请人符合性表明工作 | 确定审查组的直接审查范围和深度。对于审查组不进行验证的符合性表明工作,将信任申请人的工作,无需进一步评审就接受符合性表明。 | |
| 10.制定制造符合性检查计划 | 是 | 对申请人制造符合性检查工作的确认 | 工程审查代表应当确定审查所需的制造符合性检查的最低水平 | |
| 11.完成审定计划 | 是 | 审查组应能从审定计划(CP)提供的信息中得出结论,如果该计划被成功执行,其结果将能表明符合性 | ||
| 12.符合性验证和确认 | 是 | 是 | 申请人应按照审查组批准的审定计划或专项合格审定计划表明对审定基础的符合性。审查组根据确定的直接审查范围和深度开展符合性确认工作,验证设计对相关要求的符合性。 | |
| 13.设计保证系统要求和审查 | 是 | 是 | 申请人应建立适当的设计机构,表明该设计机构已经建立并能保持一个有效的设计保证系统,对申请范围内的民用航空产品的设计、设计更改进行控制和监督。 | 设计保证系统审查包括文件评审、现场评审和面谈三种审查方式,文件评审和现场评审将持续贯穿整个审查阶段。这三种审查方式可以相互交叉实施。 |
| 14.最终TCB会议 | 是 | 审核审查组提交的审查报告,重点关注所有问题纪要的处理状态和《航空器飞行手册》、持续适航文件的处理状态、设计保证系统的审查结论以及型号合格证数据单草案的正确性; | 做出是否建议颁证的结论。TCB会议在审查组审查结论的基础上,做出是否颁发型号合格证的建议。 | |
| 15.型号合格证的颁发 | 是 | |||
| 16.型号合格审定总结报告 | 是 | 对整个型号合格审定工作的总结,其内容应当体现出项目的复杂程度和重要性,包括对重大问题及其解决情况的综述说明。 | 告作为保存从审定项目中所获取经验和教训的工具,供将来同样或类似型号设计合格审定项目借鉴。 | |
| 17.完成型号检查报告 | 是 | 型号检查报告(TIR)包括两部分:第I部分——地面检查,第II部分——飞行试验。 | 每一份型号检查报告(TIR)文件包都要有在颁发型号合格证后3个月内完成报告的编写说明。 | |
| 18.证后管理 | 是 | 是 | 对获得型号合格证后的民用航空产品设计状态变更和制造过程中出现的设计构型偏离进行日常管理和监控。 持续监督活动可以以文件评审和现场监督两种方式进行。原则上至少每两年应进行一次现场监督。 | 直至产品生命周期结束,使产品始终保持在合格审定(或经批准的设计更改)时所确定的安全水平,适用于产品的设计、制造及运行、维修、改装和修理等过程。 |
其中第12项,具体工作包括适航证据提交(可能按DO-178/254的四个SOI)、地面试验、飞行试验。
轻小型航空器的审定可以简化。例如《AP-21-AA-2015-37R1轻型运动航空器型号设计批准审定程序》规定,轻型运动类的审定程序可以不用成立TCB。
7.2 审定基础和审定计划
审定基础
根据自己产品的起飞重量、座位数、运行场景,选择合适的规章作为审定基础。如果没有能直接对标的整部规章,则需要从国内外各部法规和规范性文件里抽取适用的条款,还可能加上特定内容形成专用条件。
审定基础的条款越多,显然适航成本会越高,申请人(applicant)要自己衡量,少了也会显得不专业。至少审定基础不能定得做不出来,需要内部做好沟通,排查风险。
符合性方法
型号合格审查过程中,申请人通常需要采用不同的方法来获得所需的证据资料以表明型号设计对适航条款的符合性,这些方法统称为符合性验证方法(简称符合性方法,Means of Compliance,MC/MOC)。11程序汇总了十种MC,包括:
| 符合性类型 | 符合性方法 | 使用说明 | 相关符合性文件 |
|---|---|---|---|
| 工程评估 | MC0:符合性说明;引用型号设计文件;选择方法、系数等;定义。 | 通常在符合性记录文件中直接给出。 | 型号设计文件;记录的声明。 |
| MC1:设计评审 | 如技术说明,安装图纸,计算方法,技术方案,航空器飞行手册…… | 说明;图纸。 | |
| MC2:分析/计算 | 如载荷、静强度和疲劳强度,性能,统计数据分析,与以往型号的相似性…… | 分析/计算验证报告。 | |
| MC3:安全评估 | 如功能危害性评估(FHA)、系统安全性分析(SSA)等用于规定安全目标和表明已经达到这些安全目标的文件。 | 安全分析。 | |
| 试验 | MC4:试验室试验 | 如静力和疲劳试验,环境试验……。试验可能在零部件、分组件和完整组件上进行。 | 试验大纲;试验报告;试验分析。 |
| MC5:相关产品上的地面试验 | 如旋翼和减速器的耐久性试验,环境等试验…… | ||
| MC6:飞行试验 | 规章明确要求时,或用其他方法无法完全表明符合性时采用。 | ||
| MC8:模拟器试验 | 如评估潜在危险的失效情况,驾驶舱评估…… | ||
| 检查 | MC7:工程符合性检查 | 如系统的隔离检查,维修规定的检查…… | 检查报告。 |
| 设备鉴定 | MC9:设备鉴定 | 设备的鉴定是一种过程,它可能包含上述所有的符合性方法。 |
更通俗的解释请参考《一次性说清10种符合性方法》。
如果无法穷举测试,则按照DO-178/254来做过程保证。DO-178/254是综合了多种MC的符合性方法,并不独属于以上单种MC。
注意到这里用到了“试验”这个词,可了解下试验和实验的区别:
- 试验:依据相关标准或者技术规范,利用仪器设备、环境设施等技术条件和专业技能,对产品或者法律法规规定的特定对象进行检验检测。(符合标准)
- 实验:为验证某一理论是否正确而进行实际或模拟操作。多用于科学研究或者为了更好的理解掌握某一理论而进行实际的演示操作。(符合理论)
审定计划
审定计划(Certification Plan,CP)的内容主要是取TC或其它证件过程中所依据的一系列活动、流程和标准,基本框架通常包括:
- 项目概述:简介待审定产品的基本信息及其预期用途
- 规范和标准:列出所有适用的法规、行业标准和技术要求
- 审定基础:明确审定依据的具体法规条款和标准
- 符合性方法:详细描述将采取哪些测试、检查或分析方法来验证产品符合相关安全和性能要求
- 工作分配与责任:定义参与审定过程的各方角色与责任,包括设计团队、制造商、测试人员等
- 文档清单:包括设计报告、测试计划和结果报告、用户手册等必须提交审核的文件列表
- 时间表与里程碑:确定达成关键审定阶段目标的预期时间点
- 必需资源: 描述完成审定过程需要的资源,例如专业人员、测试设施及设备等
- 风险管理计划: 识别潜在风险并制订相应策略来管理这些风险
- 争议解决: 描述如何处理在审定过程中出现的分歧或问题
- 变更管理: 定义如何管理项目范围内变更请求及其批准流程
在大飞机是每个系统/专业写一份的,但轻小型航空器可以简化合并,多个专业写在一份CP里,甚至不用写CP。
7.3 正向开发
V&V
Verification&Validation,是验证和确认。汽车、医疗设备和航空业都有这个模型,只是具体工作稍有差异。概念其实都来自ISO9000,它是大多数工业质量体系的基础:
- 验证是通过检查和提供客观证据,表明规定要求已经满足的认可。
- 常用的验证方法有检查、分析、演示或测试,分析具体又包括建模、仿真和模拟。
- 确认是通过检查和提供客观证据,表明一些针对某一特定预期用途的要求已经满足的认可。
SAE ARP4754特别地为V&V增加了安全方面的实践:
安全是质量管理的最低目标,图中的流程是站在比软硬件开发更高层次的“安全”来看的,软硬件的性能最终是为安全服务。按图示的箭头方向有序开展研制活动,即正向开发。
步骤全览
以下每个开发具体步骤是并行的,只是表明依赖关系,后面的步骤如发现问题可反馈修改前面的步骤:
- 经市场调研,商业和法规考虑后,确定功能清单
- 安全不关注功能。现实情况是为了用户口碑会加功能
- 安全不会考虑成本、商业回报,实际需求是多方博弈的结果。
- 做整机FHA、CCA
- 划分系统,做SFHA
- 做PSSA、CCA,产生安全性的需求,例如硬件失效率(影响架构选型)、设备布置的隔离性等
- 结合维修性、测试性、保障性与产品支援、环境适应性等考虑,产生面向研制过程的需求
- 需求由总体设计部门做全局考虑,再分派到各个系统
- 注:总体设计(total design)是完成大型工程体系的总体方案和总体技术途径的设计过程。
- 每个系统做软硬件开发,包括需求细化、计划、设计、开发、测试,产生各类文档,做好构型管理,作为适航证据资料
- 先根据软件需求完成软件运行性能需求评估,结合PSSA再做硬件选型
- 部分工作需要委外,涉及供应商管理
- 结合各类技术文档,验证开发的结果符合需求。
- 通过SSA的分析计算,验证安全
- FHA、PSSA、SSA等结果是MC3安全评估的具体符合性文件。
注:
- 在一些标准中也对人为因素有涉及,但仍然是从安全出发的,比如仪表显示图形要有足够对比度以便能看清,防止因此产生错误判断。
- 实际上审查只关心结果,即使是逆向工程做出来的也可行——无论对自己研制的还是外部拿到的设备或软件。
- 《民用飞机机载系统与设备适航管理的思考》、《HB 8525-2017民用飞机研制程序》的论述会更专业一些,看一看会更有启发。
FHA
FHA(Functional Hazard Assessment,功能危险性评估)通过分析和罗列各种功能的失效状态造成的后果,得出对应的危险影响等级,再根据危险影响等级,对该功能分配研制保证等级。
简单来说,FHA是依据一定的方法论,对逐个功能评估其失效情况下对安全性的影响,它的结果是一个约定了表头的列表文件。
FHA分为两个层次:
- AFHA:Aircraft Functional Hazard Assessment 飞机级/整机功能危险性评估
- SFHA:System Functional Hazard Assessment 系统级功能危险性评估
整机功能拆分到多个系统,是由总体设计部门完成的。大飞机的典型划分为:
- 动力系统
- 操纵系统
- 液压系统
- 燃油系统
- 起落架系统
- 自动飞行控制系统
- 空调系统
- 氧气系统
- 防冰排雨系统
- 防火系统
- 应急救生系统
- 机载设备
详细的介绍请先参考《如何开展飞机和系统级 "功能危险性评估"(FHA)?》、《民机系统安全性中的失效状态,是如何进行分类的?》,这里就不搬运了。
仅做些补充:
- 失效状态分类,CAT=catastrophic、HAZ=hazard、MAJ=major、MIN=minor、NSE=No Safety Effect。显然,CAT的严重程度最大,NSE最小
- 研制保证等级(Design (or Development) Assurance Level,DAL),从安全性要求来说,从高到低是A、B、C、D、E级。DAL分为FDAL(功能function DAL)和IDAL(Item设备 DAL)
- 一个功能可能由多个设备来承载。FHA里写的是FDAL,可以(在PSSA中)再分解IDAL(见下文)
- 如果多个设备的功能一致,可随时对等互换的,则设备是多余度(redundancy),这种设计叫余度设计或冗余设计,目的是为了更高的可靠性,但也会增加开发难度。请参考《可靠性设计方法:余度设计(又称冗余设计)》
- 继续为了更高可靠性,防止多余度设备的软硬件因为同一个原因同时失效,还可能以异构实现。例如硬件使用不同的芯片,软件由两个不同团队开发。
- 定量概率要求是这种失效的概率,由功能所在链路的所有设备共同分担。这主要关系到硬件选型,是硬件需求的一个来源。
- 计算方法见《功能安全中的元器件失效率是怎么计算出来的?》
- 定性的概率要求,文字描述是:极不可能的Extremely improbable、极微小的Extremely remote、微小的Remote、可能的Probable、无概率No Probability Requirement
- 失效状态分类和定量概率要求、研制保证等级的对应关系,是每类航空器不一样的。
- 网上资料通常是讲25部大飞机,那么按照25部的FAA《AC 25.1309-1A - System Design and Analysis》,CAT对应DAL A级和1E-9,MAJ对应DAL C级和1E-7
- 23部飞机,按照《AC-23.1309-1E - System Safety Analysis and Assessment for Part 23 Airplanes》,2级飞机(见前文CCAR-23部)的CAT对应DAL C级和1E-7,MAJ对应DAL C级和1E-5,MIN对应DAL D级和1E-3。
- 注:3级飞机的CAT对应有DAL B级设备,4级飞机的CAT对应有DAL A级设备。
- 如果设备是多余度的,23部2级飞机
- CAT对应的功能设备,两个余度设备的DAL(即IDAL)都是C级;
- MAJ对应的功能设备,两个余度设备可以分别是DAL C级和DAL D级。即第2个设备的要求降低了。
- 评估的结果,可以说都是主观的,勉强算客观的部分只能是抄袭成功项目的那些。要保证合理,只能通过多人评审修订,最后也需要适航审查组接受。
- 有时需要请飞行员来评估失效状态对机组的影响程度,但每个飞行员的理解和能力不同,这个评估不一定有效。有些飞行员有高超的驾驶技巧,那就影响较小。
- DAL E级的设备,不代表什么都不用审查。为了证明它真的不会干扰飞行任务而需要出示设计资料时,这部分证明资料也是要“看”的,也可能属于要“批准”的范围。实际上还是有提交很多资料的。
- 适航的安全评估整体考虑的,设计、制造、运行、维修要一起考虑,这些资料是成套的。在持续适航的文件中加入运行限制、定期检修要求、培训过程的警示等等,可以降低安全等级。
PSSA
PSSA(Preliminary System Safety Assessment,初步系统安全性评估)会根据FHA以及系统架构,分配软硬件承担的研制保证等级,其中硬件的等级会对应了失效概率。
PSSA的理论知识比FHA复杂,请参考《如何开展飞机系统级 "初步系统安全性评估"(PSSA)?》。
FTA、FMEA、CCA是PSSA的手段:
- FTA(Fault Tree Analysis,故障树分析),以特定的图形表达方式,按整机级-系统级-设备级逐级分析失效概率以及失效组合,以此传递概率需求给硬件,并在SSA阶段证明失效概率满足FHA的要求。
- 硬件的失效是固有属性,不因人为意志变化。软件的失效都是设计问题,不算概率,为0。
- 硬件的失效是固有属性,不因人为意志变化。软件的失效都是设计问题,不算概率,为0。
- FMEA(Failure Modes and Effects Analysis,故障模式与影响分析)。
- 学术定义:分析设备的每一个失效模式,并确定其对在给定层次和高一层次的影响,并提供失效模式的失效率、识别方法和纠正措施的一种分析技术。
- 直白解释:由 多种职能的人 按照常见问题或经验 填写、旨在 指导设计或生产 以有效 防止或应对失效 的分析记录。
- 更多参考:《什么是FMEA?一文让你轻松读懂FMEA!》、《FMEA举例(约会)》
- CCA,Common Cause Analysis,共因分析。前面提到的多余度设计,需要确保各余度设备不会同时失效才是真的有意义的余度,这是CCA的目标。有3种方法:
- Common Mode Analysis,CMA,共模分析,目的是验证相似部件不会由于同一种模式失效,例如电路短路可能引入多设备停止工作。参考《共模分析(CMA)简介》
- Particular Risks. Analysis,PRA,特定风险分析。翻译成“特殊”似乎更贴近,主要研究鸟撞、轮胎爆破等风险。参考《民用飞机特殊风险分析(PRA)项目概述》
- Zonal Safety Analysis,ZSA,区域安全性分析。简单例子是黑匣子,物理隔离出单独区域,其它设备起火甚至整机坠毁都要不受影响。
- 小型航空器很少做CCA,因为没有那么大的空间来应用防止共模失效的措施。
供应商
大部分制造业都有成熟的供应商管理体系,实际工作因企业而异。航空业可参考《机载设备供应商适航工作难度进阶》。
SSA
PSSA是初步评估,SSA是验证——验证PSSA中的各种假设,并检查各项措施是否落实到位。包括量化指标的检测,是否符合。
试验
按照11程序的要求,试验大纲应至少但不限于包含如下内容:
(a) 试验目的(包含拟验证的适航条款);
(b) 试验依据;
(c) 被试对象即试验产品的说明(包括试验产品构型、试验产品在试验装置上的安装、有关图纸编号等);
(d) 试验中使用的所有试验设备清单及校验和批准说明;
(e) 测试设备及其精度;
(f) 对试验产品和试验装置的制造符合性要求;
(g) 该试验预期如何表明对拟验证条款符合性的说明;
(h) 试验步骤;
(i) 试验成功判据;
(j) 记录项目;
(k) 异常情况的处理等。
注:在试验大纲中引用的文件、数据资料应有明确的说明,必要时可提供审查。
验证试验的试验报告属于符合性报告,试验报告的内容通常包括:
(1) 试验目的。包括试验参照的适航规章条款。
(2) 试验产品的说明。包括试验产品的构型及偏离、制造符合性检查及试验产品构型偏离的影响评估等。
(3) 试验设备。包括附有照片的完整说明或引用以前使用过同一设备的报告(如有必要)、试验产品在试验设备上的安装方式、仪表 及其校正状态。
(4) 试验程序。包括试验名称、试验步骤及其记录、试验推迟的次数和原因。
(5) 试验数据资料。至少包含试验数据整理后的结果、曲线、图表以及数据整理方法和修正方法等。
(6) 试验后分解检查结果。包括重要的尺寸变化、无损检验结果、 故障照片和分析等。
(7) 有关的试验分析报告(如燃油、滑油的试验分析等)。
(8) 结论。
以上是指设计过程的试验,局方不会全部目击,以审查结果为主,会抽取部分要求当面复测。
地面试验和飞行试验,审查组会目击的,飞行试验会由局方授权的飞行员来试飞。
以上跟试验有关的审查,审查组都会有某种表格来记录问题或批准。
DAS
设计保证系统(Design Assurance System,DAS)是21部要求建立的,这个“系统”应理解成“管理体系”。DAS的理念和其它质量管理体系是差不多的,只是针对国内取TC证做了很多特别要求。
请参考《设计保证系统:这本手册难写也要写!》、《专家分享:关于设计保证系统之我见》。
7.4 符合性
定义
- 符合性(compliance)指民用航空产品和零部件的设计符合规定的适航规章和要求。强调设计遵守要求
- 制造符合性(conformity)指民用航空产品和零部件的制造、试验、安装等符合经批准的设计。强调制造成果和设计的一致性。
前面提到的MC几(如MC2:分析/计算)请注意是符合性方法的抽象分类,具体的符合性方法很多,在能证明目标的前提下可自由选择。比如人眼去看有没有表面损坏、用手去推拉试试会不会松动,也是符合性方法。这些具体的方法可以属于多个分类。
符合性文件
是表明对适航要求的符合性的证据资料。具体到航电系统,可能包括:
- 各类计划。合格审定计划、开发计划、验证计划、供应商管理计划等等
- 功能与人机交互需求文档、功能清单
- 人机交互设计报告:规范、各区域显示和使用说明、符合和不符合哪些要求等。直接写哪里没有按标准做,依据是什么,不要让审查组自行发现。
- 衍生需求(derived requirements,也叫派生需求):无法追溯到上级需求的为了底层实现、性能、验证、监控、诊断、物理安装等非用户直接需要而设计的功能需求。例如协议、时序、接口等。
- 技术需求文档:直接指导编写源码的低层需求
- 技术设计文档:软件架构、硬件架构、硬件设备图纸、线束图纸、设备清单、协议文档、编码规范与标准、环境搭建方法、工具列表、编译命令、配置说明、安装说明等等
- 三方软硬件的技术说明、数据单、应用注释、服务通告、使用者信函和勘误表。如有:服役历史
- 源文件:代码、PS、CAD等用非自然语言描述的特定工具对应格式的设计资料
- 试验大纲:软硬件测试用例的集合,每个测试用例含测试环境、工具、方法流程、合格判据等。参考《北斗机载监视服务终端电磁兼容性试验大纲》
- 试验报告:试验结论。用例需要充分证明结论。
- 模拟器符合性验证大纲和报告,可能仅在硬件测试需要。
- 符合性检查大纲和报告
- 试飞大纲和报告
- 飞行手册中关于如何使用仪表的章节,特别是对使用流程的限制。
- 安全性分析文档:SFHA、FMEA、SSA等
- 构型管理记录:以上文档都需要编号、有版本修订记录、按需有评审记录、放入SVN/Git特定地址存档。有基线管理,比如操纵系统V0.1=软件需求V0.1+硬件需求V0.3+操作系统V0.2+软件应用V0.6+试验大纲和报告V0.6。
- 各种表明负责人诚信、承担责任的声明。
符合性文件的本质是论据,应根据行业标准和习惯来写,但没有标准的模板。
“文件符合性”的基本原则
符合性文件的编写,有一些全局大原则:
- 完整性:所有文件综合起来,能确保按这些文件能造出一台那样的航空器
- 唯一性:按照文件来做,只会做出那样的一种结果
- 准确性:定性和定量的描述都准确
- 无歧义:任何人对文件的解读都一致,没有额外解释和自我发挥的空间。
- 一致性:
- 所有文件都用同一术语,且互相能对上;
- 代码实现和需求一致;测试用例能验证需求;
- 基线内的文件,版本引用全部对得上,变更也对得上
- 可追溯性:
- 确保需求->设计->开发->测试的信息传递正确,各种资料都有编号和版本号,引用起来唯一对应
- 版本迭代都有记录并经过评审
- 规范和准则是怎么定出来的,要描述清楚。例如是参考哪个行业规范、经过了怎样的试验和数据分析。
- 经过验证:经过测试、评审等等,保证稳定、成熟
- 充分有效性:能直接证明目标或结论
- 可修改性(有源码)、格式规整
- 语文水平:用词准确,文字精练,语法、修辞正确,逻辑性强,结构严谨,词语搭配恰当
当这些原则都要严格符合时,各类文件的编制会变得非常繁琐,工作量可能翻倍,这是适航成本高的原因之一。
DO-178和DO-254大部分只说做什么,不会讲怎么做。具体做法只需要符合原则就行,没有模板,局方通过专业背景知识和常识来主观判断是否符合原则,会有答辩的过程。
7.5 适航审查
局方
在不同语境下可以指民航局、适航司、地区管理局、适航审定中心、适航审查组、前述5种组织中的人员。
审查组是针对具体项目组建的,负责审查适航资料和现场目击试验,其人员包含审查组组长和审查代表。当局方人手不足,就会委派和授权“委任代表”帮忙审查。审查组的特点:
- 人员专业,见识过很多项目,甚至会去国外对进口航空器做审查
- 局方有自己的KPI,比如每年签发多少份审定资料。只要申请人表现专业,没有必要故意为难。
- 到申请人的场地驻场审,可以来很多次。也会去供应商那里。
- 申请人做简单介绍后,局方审资料,商业机密可以只在公司电脑查看。——同理,不要指望局方透露竞争对手的做法和机密。
- 审查的严格程度是具体情况具体分析。分很多场景:公司是否有已取证项目;是否经外国局方认证;主机厂商还是供应商;取TC还是PMA、CTSOA;DAL等级;航空器分类,如大小飞机;业界是否有成熟经验,即审查组有资料可查;审查员自身水平 等等
《民用无人机系统适航审定项目风险评估指南(试行)》里的表格,非常概括地列出了审查的要求:
表1申请人管理体系风险要素评分表
| 要素 | 分值 | |
| 组织机构 | 是否有合适的组织架构和管理层,各部门职责权限是否明晰。(是:5分。否:0分) | |
| 是否具有能够承担适航管理职能的部门。(是:6分。否:0分) | ||
| 人员 | 是否有数量和经验足够的专业人员。(是:5分。否:0分) | |
| 人员是否能胜任承担的职责。(是:5分。否:0分) | ||
| 对无人机适航要求的熟悉程度。(熟悉:6分。一般:3分。不熟悉:0分) | ||
| 专业技术人员和适航管理人员是否接受过相关培训。(是:5分。否:0分) | ||
| 设施/设备 | 是否拥有固定或控制的设计生产、验证与展示符合性的场所。(是:3分。否:0分) | |
| 是否有用于设计生产、验证与展示符合性的测试设备和设施。(是:3分。否:0分) | ||
| 是否拥有记录保存设施或设备。(是:3分。否:0分) | ||
| 过程控制 | 是否明确各过程的作用、输入、输出以及各过程之间的接口。(是:5分。否:0分) | |
| 过程控制是否根据设计、生产、适航验证的不同活动特点而设置。(是:5分。否:0分) | ||
| 是否具备对设计、设计更改、符合性证明、供应商控制、持续适航等与设计相关的过程控制。(是:5分。否:0分) | ||
| 是否具备对设计资料控制、设计生产协调、制造过程、检验试验过程、不合格品控制、供应商控制、航空产品交付前维护、持续适航等与生产相关的过程控制。(是:5分。否:0分) | ||
| 文件控制 | 是否具备文档管理能力。(是:5分。否:0分) | |
| 是否有对系统予以描述的文件,一般是适航管理体系手册。(是:6分。否:0分) | ||
| 项目记录、设计/更改资料、符合性验证资料及其符合性核查工作文件的记录是否完备。(是:5分。否:0分) | ||
| 授权人员的工作范围方面的记录是否完备。(是:3分。否:0分) | ||
| 内审及与局方的接口 | 是否有确保过程得到合理控制和实现预期目的的内部评审和改进机制。(是:5分。否:0分) | |
| 以上机制是否包括事件收集、风险识别、缓解措施、绩效指标等必要管理手段。(是:5分。否:0分) | ||
| 纠正措施的实施效果。(良好:5分。一般:3分。否:0分) | ||
| 是否具有满意的向局方报告的机制程序。(是:5分。否:0分) | ||
| 总分 | ||
执行问题
申请人在研制过程中的问题:
| 风险/出错的来源 | 内部解决方案 | 局方审查关注点 |
|---|---|---|
| 信息逐级传递过程中出现描述性偏差甚至脱节 | 记录,评审,确认,各级的信息都可追溯,有唯一编号可供引用。并形成制度 | 可追溯性 |
| 信息逐级传递过程中出现理解性偏差 | 各种文档有术语列表,确保无歧义,一词多义有明确指定,表达完整,使同行的人都能理解 | 各类文档中的术语意思一致性。 |
| 信息传达不到位 | 形成制度,例如签名机制 | 各类文件的追溯,签名人的岗位职责 |
| 信息无法传达,例如部门墙 | 组织关系明确、信息的获取途径明确、制定权限控制机制等 | 行政组织架构、分工内容 |
| 信息沟通不及时 | 拉通机制,日会周会 | |
| 信息量大 | 组织分工明确,合作紧密,有纵向和横向的组织关系。 | 行政组织架构、分工内容 |
| 目标不明确 | OKR或类似的机制、项目计划 | 各种计划类的文档 |
| 要求不明确 | 形成流程和规范,明文传达 | 质量保证手册 |
| 人员能力不足 | 招聘业内专家、资历审查、培训机制 | 资历,比例。航空从业经验 |
| 人员经验不足 | 经验积累和集体智慧形成文档沉淀,最佳实践能成为典型案例做推广 | 规范和标准类的文档。如设计规范 |
| 信息存档可能丢失 | 信息备份,工具管理 | 信息系统审查 |
| 信息传承断层,例如新人来了又要从零开始熟悉,也不知道有什么坑 | 重要资料都要有详细说明记录。通过资料能再执行出同样且唯一的结果 | 防止“公司倒闭了,飞机还在运营”时就没法接盘维护了 |
| 管理制度不能执行到位 | 有明确的SOP(Standard Operating Procedure标准作业程序) 考核机制,关联绩效 有专门的督查机构 | 考核机制 行政组织架构、分工内容 |
| 管理制度内容本身传达不到位 | 签名或考试机制 | 质量保证系统内人员的培训记录 |
| 管理制度本身有问题 | 形成体系,并经过权威机构认证 | AS9100、质量保证手册 |
| 人员思想意识不到位,不自觉行动 | 企业文化(精神文明)建设活动 | 观察墙贴、挂件等的内部宣传内容 |
| 一个错误通常级联更多的错误 | 设计出问题,要检查是不是体系不行,使问题只出现一次或阻止其它问题出现 分析,复盘。要解决一类问题,不仅是这个问题 | 试验报告、问题跟踪的过程 |
| 具体的执行工作不严谨,例如代码没完成需求,测试用例不能证明没有bug等 | 内部评审,对意见有改正,有记录 经过多人评审,减少个体误区 | 验证资料审查 |
| 内部督查机构只是个摆设,仍会让步质量问题 | 明确机构的独立性,不能受干扰。企业最高负责人写声明保证。 | 与关键人员面谈 |
| 实际驾驶的体感不好 | 研发试飞,请飞行员体验和写报告 | 审查试飞 |
| 供应商不能按预期交付 | 供应商管理制度 | 直接审供应商 |
局方是为公众负责,不是为申请人负责。因设计和制造导致的事故,第一主责方是申请人,局方最多承担不尽责的舆论压力,而申请人可能因赔偿而倒闭。
执法问题
局方审查过程的问题:
| 问题 | 解决方案 | 申请人配合 |
|---|---|---|
| 企业的适航知识不足,表现不专业,浪费审查组时间 | 拒绝沟通。(局方是改卷老师,不是上课老师) | 适航负责人本身的适航知识要过硬,其次是执行者。在文档和交流中表现专业性。 |
| 自身能力不足 | 请民航体系内的专家参与审查 | 最好比专家还专业 |
| 主观判断难免有疏漏 | 把能力和结果的主观评价做到纸面上,就是适航规章和标准 主观也能有方法论,但因人而异。 允许申请人申辩 主责仍是研制单位,局方尽的是审查义务。 | 申辩要有依据,有说服力 只能是技术角度的申辩 某种意义来说适航审定是打官司,法律都不懂怎么成为律师。 |
| 资料太多审查不完, 结果不可能全都再验证一下 | 抽检。检重要的和容易出错的。 转而信任设计制造出来的人和组织。核心是这个组织,好的组织能产出好的产品 以小见大,低级错误映射整体 刨的深度,取决于对你的信任程度,也基于他的认知程度。 | 每样细节都做好,不能盼望局方只审做得好的部分。 严格按规范做的,产出的结果应符合预期地可靠。 |
| 申请人(单位)的人员太多,观察交流不完 | 看领导,因为上行下效 | 培训好各级领导层 |
| 有很多项目要审查 | 哪个企业的表现很不好就暂缓一缓,让它内部整改一段时间再去查 让企业排队 | 表现一直优异 |
| 沟通不及时 | 要求企业指定联络员,加微信联系。 | 选定懂适航懂技术的人做联络员 |
| 管得太严会增加成本,限制行业发展 | 干预和管制需要有个度,也不是越多越好 | 用有限资源做到最高程度的证明 |
| 申请人造假 | 要求复现试验,目击制造过程,己方人员试飞。发现造假做严厉惩罚。 | 文实相符 |
| 审查组成员放水、腐败 | 终身追责 | 把重点工作做好 |
局方不会管的问题,也不能作为申辩理由:
- 低效,如部门墙、文山会海。
- 项目进度
- 成本,商业回报
信心
从前述可知,局方并不能完全肯定产品质量是OK的,可是自己又要被追责,那么审查组最终凭什么签字?凭的是他们对申请人的信心(confidence),而申请人的各种证明,实质是表明自己有多么尽力以增强局方信心。局方签发的不只是批准,还有信任(trust)。
管理和执行是两种不同的方法论。不用知道怎么做出来的,也能做好一个质检员,敢下结论是基于常识和检验领域的专业知识来做判定。我们有亲身体会:说怎样做是不对的,可以说一大堆;怎样做是对的,却没人能说明白。检查监督的核心工作是把自己认为有风险的地方都至少验证一遍。所以说,审的是风险。风险来自何处,如何抑制或排除风险?这是审查方法论的根本。
增强信心的过程比较漫长,降低却很快。这是因为生物有趋利避害的天性。心理学对于信任积累的总结是:
- 人与人通过基本的诚信来达到相互信任的目的。
- 通过别人的介绍来信任别人。
- 多次信守承诺,就会使信任越来越强。
简言之,申请人需要在方方面面都做好,技术上不要犯低级和严重的错误,思想上要诚实守信。
另外,从置信度出发,和局方讨论时没有明确适航要求的事项时,论据的说服力从大到小是:
- 成熟理论
- 权威期刊发表的论文
- 专业人员或机构做的试验
- (测试条件通常有差异的)真实大数据
- 分析计算
7.6 生产审定管理
具体的程序请参考《AP-21-AA-2023-31R2 生产批准和监督程序》、《AP-21-AA-2023-32R1 轻小型航空器生产许可及适航批准审定程序》。可简单了解下面这些:
- 工厂端需要取PC证。
- PC证的审查目标是制造符合设计,为了更好制造,设计本身要有一定考虑或妥协,有配合工作
- 制造符合性检查在试验样机和生产阶段都要做,局方可授权给DMIR审查。
- 在取得PC前,可以依据TC进行生产,这也是生产审定管理的内容,在CCAR-21部里有说。
- 类似DAS,取PC证会要求有质量系统
流程图:
7.7 运行符合性评审
CCAR-21部第十五章规定了运行符合性评审的内容,并由AEG来审查。CCAR-91部是基础,121、135、136部是具体航空器类型的更高要求。无人机按92部执行。
运行评审的难度比设计评审低,这里只列举一些重要AC:
- AC-91-011R2 航空器的持续适航文件
- AC-91-010R2 国产航空器的运行符合性评审
- AC-91-024R1 航空器的运行文件
- AC-91-FS-2016-32 航空通信程序指南
- AC-91-FS-2015-27 飞行程序
下一章《大话适航(八)学习-CSDN博客》
1054
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
