晏　青　邢广华 /

(1. 上海飞机客户服务有限公司，上海 200241； 2.中国民航上海航空器适航审定中心，上海 200335)

0　引言

服务通告(Service Bulletin，以下简称SB)是民机主制造商对由于其产品生产工艺、使用材料、制造缺陷产生的质量问题，发布的检查要求、使用限制、产品召回、修理或改装措施等技术文件，是民机主制造商确保机队安全性、经济性、可靠性和维修性的重要手段之一。航空公司需依据服务通告要求的措施进行相关技术工作，改善产品在使用中的各种性能，消除产品使用中出现的不安全状态，以提高航空产品的安全性能[1-2]。

国际上各主要民机制造厂商对于民机产品的服务通告都非常重视，经过数十年的有效运营和发展，都已经形成各自完善的服务通告编制和管理体系。波音、空客等国际主流民机主制造商均具备完善的服务通告决策机制和管理模式，支持服务通告的发起决策、编制、批准、发布、验证、反馈、修订等服务通告的全周期流程[3]。波音、空客每年发布数以百份服务通告以保障产品机队的安全运行，例如A320机型运行至今，已发布数千份服务通告。

由于我国民机制造业起步较晚，服务通告的发起决策尚不完善，缺乏有效的流程监督体系；服务通告的编制、验证、修订等过程系统性和规范性不强，编制效率较低，无法实现全寿命期间对服务通告的有效控制与管理；缺乏验证方法和手段，服务通告可操作性差，导致服务通告频繁升版。因此，研究建立有效的国产民机服务通告监督管理模式，实现服务通告的全流程监管意义重大。

1　国产民机服务通告

当前，中国民航局针对国产民机服务通告颁发的管理程序为AP-21-02，颁发日期为1988年8月。这份程序规定了服务通告的定义、适用范围、分类、审批，及服务通告的格式和基本内容等，并给出了服务通告的基本模板和流程图，是指导国产民用航空产品服务通告编制和审批的一般性指导文件，适用于在中国境内经中国民用航空局批准颁发了《型号合格证》的民用航空产品和《生产许可证》的生产厂家及用户。

按照AP-21-02的有关表述，服务通告是航空产品设计、生产厂家根据自身和运营人信息，对所生产的航空产品改进其可靠性或使用的安全性，是对运营人的—种技术服务措施和对自身生产技术改进的要求，通告是对航空产品实施检查、重复检查、改装或使用寿命更改等技术要求[4]。通过以上定义可知，服务通告既可以是对航空产品可靠性的主动改进，也可以是对产品使用的安全性进行被动改正。

服务通告必须具有适当的分类。按照AP-21-02的要求，国产民机服务通告可分别为普通类、重要类和紧急类，三种分类区别在于是否影响产品安全及措施是否紧急[5]。为提高产品性能、寿命、使用条件、环境等进行的改进、改装所发出的服务通告，归为普通类，如果发生危及飞行安全等情况需要发出的服务通告，则归为重要类/紧急类。

服务通告必须具有适当的输入。根据国产民机运营以来的实践经验，当前有效的服务通告的输入有以下两类：设计优化输入和持续适航事件输入。其中，设计优化输入对应于服务通告定义中“对航空产品可靠性的主动改进”，由于不影响产品安全性，无论改进是大改或小改，此类服务通告的类别均为普通类；而持续适航事件输入则由运营机队所暴露的在役问题所引发，对应于服务通告定义中“对产品使用的安全性进行被动改正”，此类在役问题可能会影响产品安全，或者在经持续适航体系的评估后，确认不存在安全隐患，故此类服务通告类别要视持续适航体系输出的风险评估的结论，可能为重要/紧急类，也可能为普通类。本文重点研究持续适航事件输入的国产民机服务通告。

2　民机主制造商持续适航体系

按照国际民用航空组织(ICAO)附件八，航空器的持续适航包含了所有的过程或方法，这些过程或方法要求航空器投入运行后，在其使用寿命内的任何时间都符合其型号审定基础的要求和注册国的强制要求，并始终保证处于安全运行状态。同时，CCAR21部中也对航空器的持续适航提出了相关要求[6]。在以上上位法相关规定的基础上，中国民用航空局适航司于2013年颁发了AC-21-AA-2013-19《型号合格证持有人持续适航体系的要求》，要求型号合格证持有人在交付首架飞机之前，必须按照相应要求建立持续适航体系[7]。

为保障国产民用航空产品的运营安全和持续改进，AC-21-AA-2013-19要求持证人必须编制经局方批准并满足此AC要求的持续适航体系管理手册，旨在为型号合格证持有人建立持续适航体系提供指导。这份手册明确了体系的适用范围，规定了持续适航体系建立的基本原则、规定了持续适航体系工作内容、组织部门、管理手册和信息系统的要求，为指导、帮助型号合格证持有人建立持续适航体系提供了基本的原则、流程和方法。

民机主制造商持续适航体系是根据上上位法相关要求和管理程序规定建立和运行的管理体系，通过对不利于机队持续适航的信息进行全面的收集、分析和评估来判定实际的风险水平，并在此技术上确定是否采取必要措施，从而对飞机和整个机队安全实施全面的持续安全管理，以履行规章要求的持续适航责任，保证飞机的持续运行安全。

2.1 持续适航事件

在持续适航的概念中，影响或者可能影响航空器安全运行的信息称为持续适航事件，简称事件。事件的来源主要包括设计部门、制造部门、客服部门、运营人、试飞部门及供应商等，分别对应于工程事件(设计)、制造事件(制造)、客服工程事件(客服)、在役事件(运营人)、试飞事件(试飞)以及产品的质量逃逸(供应商)等事件。按照AC-21-AA-2013-19及持续适航体系相关要求，主制造商必须根据事件收集的原则和要求，将已收集的事件纳入持续适航体系流转，包括对以上事件进行筛选和判定，识别潜在安全问题，对不安全状态进行风险评估，进行事件调查并采取必要的改正/改进措施。持续适航事件的来源和类别如图1所示。

2.2 持续适航风险水平

在民机持续适航阶段，只有当飞机或零部件发生失效、故障或缺陷被观察到后才会成为事件。通过风险评估，对已发生的事件进行评估，分析事件发生的可能性及后果的严重性，判断事件对飞机造成的影响是否超出规定的适航风险水平，估计引发事件的危险源的失效率及其失效对系统或设备的影响，为制定风险缓解措施和改正措施提供决策支持[8]。

常用的风险评估方法包括故障树分析法、故障模式与影响分析法、马尔可夫过程法、威布尔分析、蒙特卡洛模拟分析、敏感性分析和“冈斯顿”方法等[9]，其中，“冈斯顿”方法可以用于确定风险的平均暴露时间，并被用于判断计划的改正/改进措施是否充分。

国产民机持续适航事件的风险水平可以用图2的矩阵图进行表示，其中横向代表后果严重性等级，从轻到重分别为无安全影响、较小的、较大的、危险的、灾难的，纵向代表发生的可能性概率，从大到小分别为频繁的、不经常的、微小的、极微小的和极不可能的。从图2中可以清晰看出，该风险矩阵分为红、黄、绿三个区域，分别代表不可接受风险、可容忍风险和可接受风险。

图2　持续适航体系风险矩阵图

不同的风险等级对应不同的改正/改进措施和风险管理目标。当某持续适航事件的后果严重性等级(横向)和发生的概率(纵向)确定之后，即可通过风险矩阵图确定事件对应的风险水平，再根据“冈斯顿”分析方法，即可确定该处风险水平对应的最大平均暴露时间，从而为确定改正/改进措施的符合性时间提供参考。

根据国产民机的运营经验，通常，红色区域代表存在安全隐患，其风险是不可接受的，应当采取必要的改正/改进措施，视风险暴露时间不同，对应服务通告的类别为重要/紧急类；黄色区域代表无安全隐患，其风险在特定的缓解情况下是可接受的，但应在一定时间内采取措施，避免风险进一步扩大；绿色区域代表无安全隐患，无需采取任何措施。由于不存在安全风险和隐患，黄色和绿色区域对应服务通告的类别均为普通类。

3　基于持续适航体系的国产民机服务通告

国产民机服务通告作为保障国产民用机队运行安全、缓解机队风险的重要手段，与民机主制造商的持续适航体系密切相关。按照AC-21-AA-2013-19中事件的报告要求，所有影响或可能影响飞机安全的信息都应作为持续适航信息报入体系，经持续适航体系流转评估后输出必要的改正/改进措施，并以服务通告等形式向运营人发布在役机队的改正措施。同时，根据AP-21-02中服务通告的定义和分类，“对所生产的航空产品改进其可靠性或使用的安全性”的服务通告，按照国产民机服务通告的编制要求，在SB启动决策前应明确其是否关联持续适航事件，并在SB进行类别划分时经持续适航体系充分评估。

由于持续适航事件输入的国产民机服务通告与民机主制造商持续适航体系密切相关，且在役机队服务通告构成了持续适航体系的完整闭环，因而，基于持续适航体系的国产民机服务通告，既包含了前端持续适航体系的完整流程，又包含了后续国产民机服务通告编制的相关流程，两者共同构成了基于体系的国产民机服务通告的新模式。

3.1 持续适航体系流程

按照AC-21-AA-2013-19的要求，民机主制造商的持续适航体系主要包含以下流程：

1)信息收集。按照事件收集指南确定的原则，对包括工程事件、制造事件、客服工程事件、在役事件、试飞事件以及产品的质量逃逸等信息进行收集。

2)事件筛选/判定。按照不安全状态原则性的标准和指导方针，对报入持续适航体系的事件进行筛选，判定导致或可能导致不安全状态的事件。此过程既可借鉴工业或行业实践中成熟的危险准则和标准，也可以通过适当的风险评估方法辅助判定。

3)初步风险评估。一般采用行业内常用的定性评估方法，如功能危害性分析(Functional Hazard Assessment,简称FHA)、故障树分析(Fault Tree Analysis,简称FTA)、故障模式及影响分析(Failure Mode and Effects Analysis,简称FMEA)、故障模式及影响总结(Failure Mode and Effects Summary,简称FMES)、共因分析(Common Cause Analysis,简称CCA)等对已判定事件的风险水平进行初始评估，包括识别潜在不安全状态、确定受影响范围及后果严重性等级，定性确定可能性概率，并确定风险矩阵图中的风险水平。

4)详细风险评估。在初始风险评估工作的基础上，依据最新调查结果重新确定潜在不安全状态，定量分析识别出潜在的不安全状态，确定红色事件的最大符合性理论时限与潜在不安全状态的起始时刻，并编制完成《事件详细风险评估报告》。

5)工程调查。对事件进行分析和调查，找出事件发生的根原因，并提出建议的改正/改进措施。在掌握事件的基本情况的基础上，对顶事件通往根原因的路径进行综合分析，找出最有可能导致顶事件发生的原因，识别不安全因素和事件致因因素。

6)改正/改进措施。在风险评估和工程调查的基础上，根据事件的风险等级和根原因分析结论，在确定的最大风险暴露时间内采取相应的风险缓解措施，包括评估、制定和发布适当的改正/改进措施，将风险控制在可接受的范围内，并持续跟踪与修订。针对在役机队，改正/改进措施以客户服务文件形式向运营人发布，并根据执行情况进行完善。民机主制造商的持续适航体系流程如图3所示。

图3　民机主制造商持续适航体系流程

3.2 国产民机服务通告编制流程

目前，我国国产民机服务通告的编制主要有以下流程：(1)SB的启动决策，包括设计更改SB和持续适航事件SB的启动决策。若SB由持续适航事件触发，则SB的启动需经过持续适航技术委员会进行决策。(2)制定SB的工作计划。由客户服务的管理部门制定SB的工作计划。(3)确定SB编制的输入。这里的输入主要是指编写SB所必要的工程技术文件。(4)划分SB的类别，即确定SB为普通、重要或紧急类。根据上文分析可知，设计更改触发的SB均为普通类，而持续适航事件输入的SB依据风险评估结论，可能是普通、重要或紧急类。(5)SB的编写和修订。根据SB输入文件的工程技术方案，由SB的编制部门编写SB初稿，并协调相关设计、工程和制造部门进行修改和完善。(6)在SB编制完成后，根据需要在生产线/试飞飞机上进行验证。(7)完成SB内部审批并提交局方进行适航审批，若此阶段有问题则返回编制和修订过程。(8)局方审批完成后发布SB。(9)收集SB的执行情况。(10)若SB执行遇到困难，则返回SB的修订过程对SB进行升版。

图4为国产民机服务通告的编制流程示意图。

图4　国产民机服务通告的编制流程

3.3 基于持续适航体系的国产民机服务通告闭环管理

按照民机主制造商服务通告有关的行业实践，通常，在SB发起前，需要由一个委员会形式的机构来进行决策，确认服务通告是否影响安全，然后根据安全影响的后果和风险水平的等级，确认服务通告的类别和具体的编制流程。对于那些影响安全的服务通告，一般需要进行较为详细的风险分析和工程调查，以识别不安全状态和查找根本原因，并针对具体风险和事件原因给出针对性的纠正措施，达到缓解机队风险的目的。对于严重危及机队安全而发出的服务通告，还可能被该型号的适航指令引用，成为强制贯彻措施。

根据国产民机服务通告的编写实践，在SB启动决策前，即由民机主制造商持续适航体系进行介入，对国产民机服务通告的安全性影响进行评估，并根据评估结论确认服务通告的类别，以上流程正是服务通告有关的行业实践在国产民机机队的具体体现。通过持续适航体系的全面介入，能够对服务通告的更改内容是否关联持续适航事件作出判定，并对相关事件的安全性影响进行监控，从而对整个机队的安全风险进行把控。

改正/改进措施作为持续适航体系的闭环措施，与机队的风险水平直接相关，其重要性不言而喻，而服务通告又是在役机队改正/改进措施贯彻的重要手段，是持续适航体系的末端，构成了国产民机主制造商持续适航体系的完整闭环。如图5所示。

图5　基于持续适航体系的国产民机服务通告闭环管理

基于持续适航体系的国产民机服务通告，将持续适航体系与国产民机服务通告串联起来，共同对机队安全风险进行监控并采取风险缓解措施，将在役机队的持续适航风险控制在合理水平，以保障国产民机机队的运行安全。因此，基于持续适航体系的国产民机服务通告的新模式，实际上就是由持续适航事件引发的体系运转、输出和持续监控的过程，包括机队信息收集、持续适航事件判定、持续适航体系流转(风险评估、改正改进措施等)、SB的启动决策、服务通告的编制和贯彻，以及在役机队风险的持续监控一整个闭环过程。

3.4 持续适航体系全流程监督的体现

进一步总结可知，在国产民机服务通告从信息收集到持续监控的全流程闭环监督过程中，民机主制造商持续适航体系发挥了巨大作用，具体体现如下：

1)在SB发起决策前，需经由持续适航体系对服务通告相关问题是否符合事件标准进行判断，若判断符合事件标准，则必须报入持续适航体系进行流转。

2)通过SB相关事件在体系流转中得出的安全性风险等级，确定国产民机服务通告的类别，一般而言，绿色和黄色风险均为普通类，而红色则为重要/紧急类。

3)根据初始风险评估中确定的受影响范围给出服务通告的适用性(架次)。

4)根据详细风险评估中确定的最大风险暴露时间，确定服务通告的符合性时间，通常，SB的符合性时间比最大风险暴露时间更为保守，以提供足够的安全裕度。

5)若在SB执行过程中暴露新的事件，也应当及时报入体系流转。

图6为持续适航体系对服务通告影响的关系图，从图中可更直观地体现出民机主制造商持续适航体系在国产民机服务通告编制中的基础和核心地位。持续适航体系提供了服务通告的所有基本要素，在国产民机服务通告的编制过程中发挥着巨大作用，与服务通告共同保障在役机队的安全性。

图6　持续适航体系在服务通告中发挥的作用

4　结论

民用飞机服务通告是民航飞机持续适航文件的重要组成部分，涉及飞机检查要求、使用限制或产品召回、修理或改装措施等技术支持信息。服务通告从多个角度对民航飞机的可靠性、经济性、维修性等提出改进措施，保证民机的持续适航性和全寿命周期经济性。

随着我国国产民机交付运营的逐步深入，国产民机服务通告亟需建立有效的持续适航监管体系。本文针对持续适航事件输入的国产民机服务通告，引入民机主制造商持续适航体系，介绍了持续适航事件的风险水平，提出了基于持续适航体系的国产民机服务通告编制和管理模式，阐述了持续适航体系与服务通告编制的闭环管理理念，强调国产民机的持续适航安全，可有效促进服务通告的监督和管理水平，提升国产民机的安全保障能力。