李 哲 杨子洲

（1.飞行自动控制研究所, 陕西 西安 710065；2.民航西北地区管理局适航审定处，陕西 西安 710082）

适航取证是民用航空产品及机载设备投入使用的先决条件。许多机载设备研制单位都开始规划机载产品的适航取证工作。

本文整理了某型复杂系统级产品的CTSOA（中国技术标准规定项目批准书）取证流程，剖析了民机机载设备的CTSOA取证工作要点，并提出了可能遇到的问题和需要注意的事项。

1 机载设备CTSOA合格审定流程

装备民用航空产品的零部件和机载设备的适航批准方式主要有3种，CTSOA是除随机批准和PMA（产品制造人批准书）之外的一种，适用于技术标准规定（TSO）的所有项目。目前，TSO件只有100多种，这类设备通常具有很强的通用性，适用范围较广、装机对象较多、预期批量较大。CTSOA不含装机批准，装机批准需另外进行。

根据AP–21–06《民用航空材料、零部件和机载设备的合格审定程序》的相关规定，从CTSOA申请、受理、审查到批准的整个过程中，申请人与局方的主要活动如图1所示。

在提出CTSOA申请之前，申请人需仔细考虑以下两个问题：

其一，相关产品是否能申请CTSOA。目前CTSOA件主要有4大类，飞行仪表，如空速表、自动驾驶仪和飞行指引设备等；通讯设备，如机载无线电信标接收设备和机载选择通话设备等；结构组件，包括机械紧固件、轴承及液压软管组件等；以及机内物品，如航空器座椅、救生衣和安全带等。并非所有机载设备和零部件都有对应的技术标准规定。有对应CTSOA的设备可直接申请，否则需提交《最低性能标准的建议书》，这对于申请人来说难度很大。

其二，CTSOA是否是最合适的取证方式。CTSOA的通用性要求使其能覆盖较宽泛的产品范围（如，既能符合23部小型飞机的要求，也能符合25部大型飞机的要求）。但出于安全性、可靠性和成本等因素的考虑，为不同飞机生产的零部件要求往往不同。对于仅欲安装在23部小飞机上的机载设备，CTSOA中的某些技术要求高于实际飞机上的需要，因而，相对于申请随机取证，申请CTSOA的技术风险和产品的研制/试验成本也会较高。

明确上述问题后，项目的申请与受理过程并不复杂。在合格审定主流程中，包括制造审查和工程审查两部分的审查活动是整个流程中耗时最长的，也是整个合格审定过程的核心，它贯穿了取证产品研发的整个过程。

图1 CTSOA合格审定主流程

下面，本文将从标准、文件、审查和安全4个方面对CTSOA取证工作尤其是审查工作的要点进行详细分析。

2 标准

标准是民机发展的技术保障。国际上各个组织依据长期积累的知识和经验而制定的相关标准是我们研制符合适航要求的民机产品的最佳指导。

根据某型自动飞行控制系统CTSOA项目实施的经验，民机机载设备适用标准可分为以下4类。

2.1 性能标准

适航产品的性能标准以航空规章为基础，如针对运输类飞机的CCAR 25部。由于航空规章规定的原则性，如何具体实现其中各项条款描述的要求，须参考一些辅助性标准及材料。

以运输类飞机的自动导引系统为例，规章条款§25.1329提出了自动导引系统的基本安全性要求。条款对应的咨询通告AC25.1329–1X《飞行导引系统的批准》是针对机载设备的设计如何符合此条款的指导材料，文中引用到了规章中的其他条款、其他咨询通告以及行业标准。另外，自动导引系统还有对应的CTSOA须遵循，其中也引用了行业标准。常用的行业标准有SAE（美国汽车工程师学会）的AS（航空[航天]标准）、ARP（航空[航天]实践推荐草案），RTCA（航空无线电技术委员会）以及ARINC（美国航空无线电公司）相关标准。

2.2 过程标准

过程标准主要有3份，分别是规定系统功能实现过程的SAE ARP4754《关于高度综合或复杂的飞机系统的合格审定考虑》、规定软件生命周期过程的RTCA DO–178B《机载系统和设备合格审定中的软件考虑》以及规定硬件生命周期过程的RTCA DO–254《机载电子硬件的设计保证指南》。

不论是系统开发过程还是硬件/软件开发过程都可大体分为策划过程、开发过程和支撑过程，其中开发过程可细分为需求捕获、系统／硬件／软件设计、实现与集成，以及综合／生产转换4个阶段，支撑过程也可细分为审定联络、质量保证、技术状态管理和验证等子过程。针对每个过程和子过程，标准中都规定了具体的目标，并提出了为达到这些目标所需进行的各项活动。

2.3 环境标准

环境标准主要指RTCA DO–160《机载设备的环境条件和测试规程》，目前最新有效版本为G版。

A版的18个试验项目是基础，这其中包括温度和高度、温度变化、湿热、飞行冲击与坠撞安全、振动、爆炸、防水性、流体敏感性、沙尘、霉菌、盐雾、磁影响、电源输入、电源尖峰、音频传导敏感度、感应信号敏感度、射频敏感度、射频能量发射。之后，根据飞行安全事故原因统计分析，环境条件试验项目和试验方法不断得到完善，B版增加了对应雷击事故的雷电感应瞬态敏感度和雷电直接影响试验，C版增加了结冰试验，D版和E版分别又增加了静电放电和对应火灾事故的可燃性试验。

在共性的试验设备、试验顺序，以及试验室环境条件等基本要求之外，对于每一类环境条件，标准主要从试验的目的、试验类别的选择依据或原则、具体类别的试验步骤、试验曲线及合格判据等方面来阐述。

2.4 安全标准

与安全性相关的标准主要指SAE ARP4761《对民用机载系统和设备进行安全性评估过程的指导和方法》和SAE ARP4754。这其中，同时作为过程标准的ARP4754主要是结合系统开发过程给出了系统安全性评估的过程模型，而ARP4761则是针对系统安全性评估过程模型规定了具体的评估方法。

一般来说，安全性是相对系统而言的，通过上述各种安全性分析与评估工作，系统的安全性指标最终会分解转化为硬件的可靠性要求和软件／复杂电子硬件的设计保证等级要求，因此还需要以下标准来支持，如具体方法指导性行业标准如SAE ARP1834《数字系统和设备的故障／失效分析》、SAE ARP926A《故障／失效分析程序》；提供可靠性工作中使用的相关数据的手册MIL–HDBK–217 《电子设备可靠性预计》和MIL–HDBK–338《可靠性工程手册》，以及硬件和软件过程标准RTCA DO–178B和RTCA DO–254，两份标准中分别规定了不同设计保证等级的软件／硬件过程要求。

3 文件

技术文件应在产品的实现过程中适时形成，用于约束产品的设计、生产和检验等环节。通常，在一个系统级产品的研发过程中至少应形成如图2所示的各类技术文件。

图2 系统级产品基本技术文件体系

此外，还应包括系统及部件级的技术方案论证及指标分析文件、可靠性等“五性”相关设计与分析文件等。对于有软件部件和／或ASIC、PLD及FPGA这样的复杂电子硬件的适航取证项目产品，还需形成必要的过程文件。

3.1 过程控制要求的文件

按照RTCA DO–178B和／或RTCA DO–254的规定，过程文件可分为计划、标准、设计、验证和过程总结5大类，其中软件文件共20小类，复杂电子硬件文件最多共26小类。

过程控制文件更加重视计划与标准。以软件文件为例，计划类文件共有5小类，分别针对软件的合格审定过程、开发与验证过程，以及并行的配置管理和质量保证活动；标准类文件有3小类，包括软件需求标准、软件设计标准和软件标码标准。通过上述计划和标准的编制，在开发之初就可以对软件项目做出科学细致的策划。

在相应的标准中，关于每一份文件都有规定，包括以下几项。

3.1.1 文件应包括的主要内容

以《硬件合格审定计划》为例，根据RTCA DO–254中10.1.1节的规定，必须包括如下内容：系统概述（系统功能、体系结构及失效情况描述，系统硬件和软件的功能分配等）；硬件概述（硬件功能、体系结构、使用的新技术和安全性措施）；审定考虑（审定基础、建议的符合性方法、硬件设计保证等级）；硬件设计生命周期（使用的过程、方法和标准，满足硬件设计保证目标的过程和活动，活动的顺序及相互关系等）；硬件设计生命周期资料；附加考虑（COTS的使用、产品使用经历、工具的评估和鉴定等）；以及明确了主要里程碑及日期的审定计划。

3.1.2 文件的控制类

软件文件和硬件文件分别都有两种控制类别，均与技术状态（配置／构型）控制的严格程度相关。对于1类（CC1或HC1），需完成全部技术状态管理活动并达到目标，而2类（CC2或HC2）只需完成部分管理活动，对于软件和硬件分别为总目标的6／13和6／11。相同设计保证等级下，不同文件的控制类别可不同，详细设计资料的控制类别高于概要设计资料、测试规程的控制类别高于测试结果报告、软件文件与硬件文件的要求也不同。

3.2 文件的注意事项

提交局方审查的文件需注意质量及时效，也就是需注意文件的正确性、准确性、完整性、一致性、可操作性、客观性和有效性。

正确性和准确性是对技术文件的基本要求，技术参数应是正确的，需经必要的分析或验证；对产品所用材料的定义应是准确的，按照标准应包括材料名称、牌号、规格和标准代号等内容。完整性有两层涵义，宏观上技术文件的体系要完整，能够覆盖产品实现所需要的各个环节；而具体到某份技术文件，其中所包含的内容要完整，能够全面约束对应工作项目的活动。一致性（可追溯性），强调的是输入／输出文件之间在内容和技术参数上的统一与协调，也包括技术文件与产品实物的对应统一。对于试验大纲／试验程序类技术文件，必须具有可操作性和客观性。而有效性是指技术文件应根据审批要求经有权限人员批准，现场使用文件应是经过批准并通过受控途径发放的正式文件。

4 审查

合格审定过程是在审查方与被审查方的合作中向前推进的。申请人应预先熟悉审查要点、主动配合审查活动，将有利于审定工作的顺利完成。

按照适航文件规定审查分为制造审查和工程审查两部分，围绕着产品研制过程我们认为主要从以下4个方面进行审查。

4.1 体系审查

体系审查分为质量体系文件审查和现场审查。

申请人应根据CCAR–21–R3《民用航空产品和零部件合格审定规定》建立质量控制体系，局方审查员按照AP–21–04《生产许可审定和监督程序》进行审查。不少机载设备研制单位都已建立了符合ISO 9001的质量管理体系，可分析现有体系文件与适航要求的差距，有针对性地进行修改和增补。

除体系文件审查外，还要对体系文件的执行情况进行现场审查。有时，体系文件的执行审查也与设计、制造和试验的工程过程审查相结合进行。

供应商管理是体系审查中最容易出现问题的薄弱环节之一，供应商在体系审查中出现的问题也是申请人的问题，因此，申请人应给予高度重视。

4.2 设计审查

设计审查主要指设计文档的符合性审查，是从各个层面对申请人确定并经局方认可的各级技术基础的符合性审查。主要内容如下。

审查申请人提交的审定基础是否符合相关的适航要求，如对应的CTSOA；审查各项计划与标准是否符合RTCA DO–178B和RTCA DO–254对应设计保证等级的要求；审查产品技术规范是否符合经确认的审定基础、部／组件技术规范是否符合由系统技术规范分解的部件要求、硬件的全套图纸及工艺规范是否符合硬件技术规范并满足加工需求；审查研制过程文档及证据是否符合计划和标准要求等。

4.3 制造审查

制造审查的内容也可分为两部分，即制造所需技术文件的评审和制造过程的现场审查。

技术文件和图纸主要包括：零件图纸、工艺文件、材料规范，以及可能存在的偏离处理。现场检查对象包括材料／辅料、生产及检测记录、人员资质、工装及工具，以及制造设备和制造环境等。

产品的关重特性与其预定的功能、制造工艺要求、所使用的材料、装配特性、失效影响以及预期的使用环境等都有着密切的关系，也会受经济因素、资源配备情况和加工周期的影响。确定的关重特性还会反映在图纸标注、采供控制、加工控制、代料控制和检验控制等诸多环节中。因此，在检查项目的选择上，局方通常更关注关键件和重要件。

4.4 试验审查

试验审查通常是作为最终的符合性审查，包括试验室条件下的系统功能性能试验和验证恶劣条件下系统功能性能的环境试验两大类。

试验审查按照试验过程可分为如下几个环节。

首先是试验前的试验大纲／程序的评审。按照适航规章的要求，试验大纲／程序中应包括试验设备、试验步骤、合格判据、试验表格和故障处理办法等内容。

之后，在试验现场需要检查现场的试验设备是否与大纲／程序中规定的设备一致、试验件是否经过制造符合性检查并配有适航标签，以及试验人员是否具备相应的资质。

试验结束后，需对试验报告进行审查。试验数据及试验结果需能表明产品符合试验大纲的要求。

这里需要重点关注的是试验电缆。应将系统互连电缆（参与系统功能性能试验）作为系统设计的一部分，电缆设计应符合相关标准，电缆的加工如同产品的加工一样也需有明确的工艺规定，电缆的加工与验收应留有证据。尤其是对于重要试验的电缆，如电磁兼容性试验用电缆，其品质对试验结果会产生重大影响，电缆设计和加工控制必须能保证电缆实物与系统互连电缆设计的符合性。

5 安全

《中华人民共和国民用航空器适航管理条例》规定“民用航空器的适航管理，是根据国家的有关规定，对民用航空器的设计、生产、使用和维修，实施以确保飞行安全为目的的技术鉴定和监督。”可见，民机适航管理的主要目标是安全性。

可能危及安全的系统失效主要有两方面原因，即部件的随机物理失效及开发过程中产生的需求和设计错误或疏漏。对于前者，需要通过部件的可靠性设计与实现来保障，对后一种情况，要靠系统软硬件的研制过程保证来避免。可以说需从产品设计和过程控制两方面来保障系统的安全性目标。

5.1 安全性目标的设计保障

为确保硬件达到要求的可靠性指标，必须遵照相关的可靠性工作流程与产品功能性能研制同步进行产品的可靠性设计工作。

在硬件设计之初就必须对可靠性要求进行分析及分解。针对定性指标，需要确定可靠性相关的设计准则，指导设计员确定技术方案。设计员需对照设计准则，检查准则条款的适用性及符合性，在完善设计的同时也完善准则，通过FMEA发现设计的薄弱环节，并增加必要的补救措施。对于定量指标如MTBF（平均故障间隔时间）等，则需要进行指标细化的可靠性分配工作，并通过部组件的可靠性指标预计反馈，对相关指标进行迭代设计以保证系统的整体可靠性水平。

5.2 安全性目标的过程保障

过程保障是通过分配特定的设计保证等级（DAL）来实现的，即根据对应的等级制订对应的工作程序和验证标准。系统的DAL根据系统的失效状态按照SAE ARP4754的要求来确定，如失效状态属于灾难性的，DAL应为A级；属于危险的，DAL应为B级等。之后再考虑功能分割、冗余以及非相似等系统架构因素分别确定软件部件和复杂电子硬件部件的DAL。

对于软件和／或复杂电子硬件，分别依据RTCA DO–178B和 RTCA DO–254来进行过程控制。由于对应的失效状态严酷程度不同，决定了不同设 计保证等级对各项工作执行的深度、范围和严格程度有不同的要求。具体表现在：对过程目标的要求不同，对文件种类的要求不同，对文件的控制类别要求不同，对验证的完备性及人员的独立性要求不同等等。

6 结束语

机载设备研制单位需根据实际情况，对不同特性产品采取不同的取证形式，依据相关适航标准确定产品的最低性能要求，并争取采用相对经济、且能被适航局方接受的符合性证明方法；根据设计与加工进度以及局方的时间安排，确定审定的细节项目、细化审查或目击的日程安排；高度重视过程审查，对于软件和复杂电子硬件，应依据相关文件进行过程监控；养成用证据来说话的习惯，每个环节、每道工序、每条需求的正确实现都必须提供相应证据。最后，必须主动要求局方来审查，并事先做好准备工作，这样才能有效保证项目的顺利推进。