民机不安全状态措施时限确定EASA方法应用研究

2020-12-29徐有成

机械设计与制造工程 2020年12期

陆军，徐有成，乔玉

(中国商飞上海飞机设计研究院，上海 200120)

为满足国际民航组织及各国适航当局的适航要求[1-2]，确保民用航空器在其使用寿命期内任何时间满足适航规章要求并始终处于安全运行状态，航空公司/维修机构必须向适航当局和航空器制造商报告各种故障、失效和缺陷情况；后者则对收集到的信息进行分析[3-9]，来判断飞机是否存在不安全状态；若存在，则制定相关纠正措施并向航空公司发布安全相关服务通告(SB)或适航指令(AD)，要求从措施制定、发布到执行的整个过程必须在某个时限内完成，使受影响飞机恢复到应有的适航风险水平。其中，这个时限直接影响机队安全运行与降低运营成本之间的利益平衡，比如发现问题时机队立刻停飞是最安全的，但航空公司和制造商的经济损失都非常大。随着我国民机项目的蓬勃发展，自主设计生产的飞机将越来越多地投入运行，同时我国军机项目也在加快引入适航要求，因此该时限确定方法的研究与应用具有现实意义。

目前，欧美发达国家适航当局及民机制造商主要形成了两种广泛认可的做法：1)以EASA(European Union Aviation Safety Agency)为首的GM 21A.3B(d)(4)[10]，简称EASA方法；2)以FAA(Federal Aviation Administration)为首的TARAM[11]，简称FAA方法。针对EASA方法，国内学者已开展了理论研究：谢保良[12]、丁晓宇等[13]介绍了理论依据及灾难性和危险性失效情况下措施时限的确定方法。然而，在应用到实际工程时有诸多具体问题需解决，比如这个时限的起始点是什么、与SB/AD中符合性时间是什么关系、这些方法应转化为怎样的工程应用模型、有哪些不适用情况及应对思路等。

本文将从工程应用角度出发，针对EASA方法，重点围绕以上问题开展进一步研究与总结，形成相关结论以供参考。

1 EASA方法概述

EASA方法主要由两个部分组成，即“冈斯顿”法和基于定性后果严重性的单机/机队风险预测模型。其中，“冈斯顿”法本质上是一种风险指标分配过程，通过假定一个基本的风险水平(对于完全符合适航要求的飞机)、一些未来的风险水平以及单架飞机的全寿命期内风险指标，为每个不安全状态计算恰当暴露时间的过程。该方法在20世纪70年代后期英国航空管理局(CAA)的一份内部文件[14]中首次提出，1982年11月正式成为CAA的咨询材料。2002年6月批准的JAA ACJ 39.3(b)(4)在原有基于定性后果严重性的单机/机队风险预测基础上包含此方法。之后，2003年10月批准的EASA GM 21A.3B(d)(4)沿用至今。

目前EASA方法已经被广泛认可，我国适航当局也推荐采用该方法[15]。

2 不安全状态措施时限定义

基于风险水平确定、从受影响飞机的安全问题得到确认开始直至纠正措施落实到位所允许的最大暴露时间，即为不安全状态措施时限(UCAT)，通常由单机最大平均暴露时间来表示，如图1所示，在这段时间内，允许这些飞机在未采取额外纠正措施的情况下继续运营，且认为仍是安全的。其中，这个措施时限的起始点应为识别并确认飞机存在某个不安全状态的那个时刻，通常为决策层认可风险水平的时间点，而不是从飞机本身存在不安全状态的时刻算起。比如因制造偏离而引起的隐性失效事件，可知从飞机投入使用起该失效风险就已经存在，但所确定的措施时限应该从当前确认的时刻算起，在此基础上针对不同机龄的飞机进行差异性处理，比如机龄大的优先处理。

图1 不安全状态措施时限示意图

对于民机制造商，UCAT通常进一步可分解为措施准备时间(SAPT)、措施执行符合性时间(SACT)以及裕度时间(MT)之和，即UCAT = SAPT+SACT+MT。其中，SAPT是指从安全问题得到确定开始到SB发布的时间段；SACT是指SB中给出的符合性时间；MT是为管控安全风险留有一定裕度的时间段。因此，SACT并不等同于UCAT，应小于UCAT，是UCAT除去SAPT、MT之后的时限。

对于适航当局，AD中给出的符合性时间与SACT类似，应小于UCAT。

3 工程应用模型建立与特征分析

3.1 工程应用模型建立

根据EASA方法可建立纠正措施时限计算工程应用模型，见表1,2。其中，长期是指在飞机设计寿命Tf内，短期是指在单独一次不安全状态措施时限内，计量单位是飞行小时；单机风险是指单架飞机的风险水平，计量单位是次数；机队风险是指所有受影响飞机(N架)风险之总和，计量单位是次数；事件发生概率P是指不安全事件发生的每飞行小时平均概率，计量单位是次数/飞行小时；对于随机失效导致的事件，P通常不随飞机或零部件的使用时间变化而变化，服从某种定常函数分布，如指数分布；而对于早期或损耗失效导致的事件，该值随飞机或零部件的使用/日历时间变化而变化，服从某种不定常函数分布，如威布尔分布。

表1 EASA关于不安全事件的适航风险指标设定

表2 EASA关于不安全事件的纠正措施时限计算公式

该模型的主要特征如下：

1)主要针对后果严重性等级为灾难性、危险性的两类事件给出计算方法；

2)短期单机风险的适航风险指标依据“冈斯顿”方法进行设定；

3)当已知飞机设计寿命、受影响飞机数量函数(一般涉及当前飞机数量、交付速度、退役速度等因素)、后果严重性等级以及事件发生概率(定量)时，即可通过计算得到相应纠正措施时限。

针对不同情况，通过该模型，可方便地实现纠正措施时限计算以及各参数之间关系研究。

3.2 工程应用模型实例

以典型民用运输类飞机为例，假设Tf为60 000飞行小时，相应适航风险指标设定与纠正措施时限计算可简化成如表3、表4所示。

表3 EASA关于不安全事件的适航风险指标设定(Tf=60 000飞行小时)

表4 EASA关于不安全事件的纠正措施时限计算公式(Tf=60 000飞行小时，随机失效)

假设该飞机的年利用率为3 000飞行小时，相应日历时间与飞行小时之间的换算关系为：1年约为3 000飞行小时，1月约为250飞行小时，1周约为50飞行小时。根据前述模型，当N≤666时，单机灾难性事件发生概率P与UCAT之间对应关系见表5。也就是说，当该飞机上发现存在一个能导致灾难性事件的不安全状态时，若P超过2.0×10-6，所有受影响飞机应停场或返回基地；若P等于1.0×10-7，措施时限则为1 500飞行小时(换算成日历时间为6个月)。需要注意的是，当受影响飞机超过1架(假设为2架)时，该措施时限则并不是最后一架飞机完成纠正措施的最大暴露时间，若其中1架飞机立即可以纠正完成，则另1架飞机的最大暴露时间应为3 000飞行小时。

表5 单机灾难性事件

当N>666时，假设N(UCAT)=N，所有受影响飞机相应灾难性事件的发生概率(P·N)与UCAT之间对应关系见表6。

表6 机队灾难性事件

3.3 纠正措施时限与飞机数量的关系

假设单机灾难性事件的发生概率不变(P=1.0×10-7)，且N>666之后N(UCAT)=N，N与UCAT之间关系如图2所示，即在N未超过短期单机/机队风险的临界数量666之前，UCAT不随N的变化而变化，超过666之后则随着N的增加而减少。

图2 纠正措施时限与受影响飞机数量的关系(P=1.0×10-7)

3.4 纠正措施时限与飞机寿命的关系

假设单机灾难性事件的发生概率不变(P=1.0×10-7)，对于不同类型的飞机(比如设计寿命为40 000,60 000,80 000,100 000飞行小时)，在N未超过短期单机/机队风险的临界数量(对应值为400,500,666,1 000)之前，飞机的设计寿命越长则相应UCAT越大，如图3所示。

图3 纠正措施时限与飞机寿命的关系(P=1.0×10-7)

4 特别关注

4.1 不适用情况及应对思路

1)对于后果严重性等级介于“灾难的”与“危险的”之间的不安全事件，适航风险指标设定可对两个等级对应指标进行线性内插，当认为实际后果严重性分别占50%情况时，则其单机适航风险水平可取1.5×10-4与1.5×10-2的平均值，即1.5×10-3，机队适航风险水平则为0.3，单机风险上限则为2.0×10-5。

2)对于后果严重性等级为“较大的”或“较小的”不安全事件，不应采用本文建立的工程应用模型进行线性外插计算，通常基于工程判断及具体失效影响来确定。

3)对于数据不可用、质量差或者不能收集到相关定量数据，事件发生概率仅给出定性结果的不安全事件，如涉及飞行机组/机务维修人因差错、机队初期运营等，后果严重性等级为“灾难的”和“危险的”不安全事件应采取保守策略确定，即定性概率的最保守值，比如“灾难的”的定性结果为“微小的”，那么应取1.0×10-5所对应的措施时限。

4)对于无具体适航风险指标要求的不安全事件，比如在紧急情况下使用的系统(备用应急系统、火警探测与保护系统、应急出口、逃生滑梯、撤离援助设备、应急照明系统、应急定位器等)、用于事故发生后问询调查的系统(如驾驶舱话音记录器、飞行数据记录器等)、灾难性单点失效(如燃油箱中出现潜在点火源等)，可参考相似机型/系统的AD中符合性时间和受影响飞机规模予以确定。

5)对于早期失效、损耗失效以及结构疲劳相关的不安全事件，此情况下得到的纠正措施时限是单机最大平均暴露时间，而每架飞机所允许的最大暴露时间与累积飞行小时/飞行循环直接相关，因此对于损耗失效，机龄越大的飞机优先；对于早期失效，机龄越小的飞机优先；对于结构疲劳问题，基于飞行小时或飞行循环给出。

4.2 工程判断的重要性

由于相关参数涉及较多工程判断，比如后果严重性进行了保守考虑、事件发生概率的不确定性较大、在未明确根原因情况下保守估计的受影响飞机数量等，EASA方法给出的是一种理论结果，最终确定仍需要根据工程判断、专家直觉等进行调整。因此，在采用EASA方法时相关人员需具备广泛的专业知识和丰富的适航经验，而不能单纯地依赖该方法。