关键词：GJB 841，FRACAS系统，CCAR21.5，事件管理，闭环管理

DOI编码：10.3969/j.issn.1674-5698.2024.10.017

0背景

20世纪50年代，FR ACAS管理技术源于美国军工管理的故障分析管理，20世纪80年代，美国在《系统和设备研制生产的可靠性大纲》提出，军工系统的供应商必须建立FRACAS系统的故障分析委员会，以管理和控制制造生产过程中发生的故障及采取纠正措施[1]。20世纪末，FRACAS系统引进中国，在实际运用过程，为使FRACAS更加标准化、规范化，中国颁布了GJB 841《故障报告、分析和纠正措施系统》[2]，从此在我国军工产品的研制、生产、使用管理中全面推广FRACAS系统。

国外适航当局已建立一套相对完整的标准和规范化的体系，对航空器进行持续适航管理，例如：FA A要求所有的设计批准持有人按照14CFR21.3条报告航空器失效、故障以及缺陷。随着国产民机和民机项目的不断发展，我国的持续适航体系正不断地完善，以保证航空器的安全性和可靠性。在故障、失效和缺陷管理方面CCAR21部R5中第21.5条对故障、失效和缺陷管理提出具体要求。基于此，本文对二者在故障管理的故障收集、故障分析、纠正措施的制定与实施等过程进行梳理，对二者对比分析。

1 军用产品中故障报告、分析和纠正系统概述

故障报告、分析和纠正系统措施（Failure Reporting，Analysis and Corrective Action Systems）简称FR ACAS，利用“信息反馈，闭环控制”的原理，通过一套规范化的程序，使发生的产品故障能得到及时的报告和纠正，从而实现产品可靠性的增长，达到对产品可靠性和维修性的预期要求，防止故障再现[3]。GJB 841-90《故障报告、分析和纠正措施系统》标准中要求承制方应规定故障信息系统的工作范围和内容，并保证该系统的运行。该系统如图1所示，能有效地提高产品的可靠性。

1.1 故障报告

故障发生后，应及时进行故障报告，故障不仅仅局限于产品交付之后，也应包含科研阶段，生产早期阶段和早期使用阶段[2]。故障报告须按照规定的格式和要求进行记录。记录内容应包括：识别故障的信息、故障现象、试验条件、机内检测指示、发生故障的产品工作时间、故障观测者、故障发生时机以及观测故障时的环境条件等[4]。以上都应在规定的时间内向相应的管理人员进行报告。

1.2 故障分析

对报告的故障应作必要的分析，以确定故障原因。故障报告闭环系统应对故障调查和分析提供有关资料，一般要包括以下几项。

（1）故障的调查与核实：应调查和核实故障产品的工作状态和环境情况，利用专业的检测设备和工具，对系统或设备和工具，对系统或设备进行全面的检测，确定故障的性质和位置。

（2）故障分析：在核实故障后，既要对过往的文件、记录、图纸、计算分析结论等文件进行分析，还应该做相关的工程分析，对故障产品进行隔离、观察、测试等，确定故障的发生机理和原因。

（3）流程监控：故障分析完毕后应对故障处理流程进行监控和跟踪，确保故障得到及时处理，也因避免因为中间流程引入新的故障。

1.3 故障纠正措施

确定故障原因和责任后，需要制定针对性的纠正措施，一般要求如下。

（1）纠正措施的制定：纠正措施应经过深入的分析，计算和必要的实验验证，确保措施的有效性和可行性。在制定措施时，应充分考虑产品的设计、制造、使用和维护等各个环节，确保纠正措施能够全面覆盖故障发生的所有可能途径。

（2）纠正措施的实施：纠正措施制定完成后，应组织专家进行评审。通过的纠正措施应尽快付诸实施，在实施过程中，应制定详细的实施计划，明确责任人、实施时间等，确保措施能够有效执行。在实施过程中，如发现新的问题或要调整措施，应进行及时调整并重新组织评审，确保整个纠正措施的实施始终处于受控状态。

（3）故障分析报告：故障纠正活动完成后，应当编写故障分析报告。报告应详尽记录故障分析、诊断、纠正措施及效果评估等全过程，汇集故障分析和纠正过程中形成的各种数据和资料。

2 民用航空中的故障、失效和缺陷管理的概述

CCAR21部R5《民用航空产品和零部件合格审定规定》中第21.5条要求：设计批准持有人应当建立系统，收集、调查和分析其设计的民用航空产品或零部件出现的故障、失效和缺陷[5]。根据第21.5条的要求，设计批准持有人必须要承担故障、失效和缺陷报告的职责，必须建立并持续完善适航体系，全面收集运行数据和使用经验。在程序文件AP-21-AA-2023-16R2《民用航空产品和零部件持续适航事件报告和处理程序》中，把影响或可能影响民用航空产品和零部件持续适航的信息，包括但不限于民用航空产品和零部件的设计制造相关或可能相关的故障、失效和缺陷以及使用困难等信息，定义为持续适航事件，以下简称事件[6]。

2.1 事件管理的工作流程

设计批准持有人在持续适航工作主要包括事件收集、事件判定、事件调查、制定改正/改进措施、向局方报告等工作[7]。工作流程如图2所示。

2.1.1 事件收集

设计批准持有人需要收集影响或可能影响航空器持续适航故障、失效、缺陷和其他信息，这些信息主要包括设计批准持有人的内部和外部相关信息[7]。内部相关信息主要有：设计分析和试验中发现的问题、生产过程中发现的问题、质量问题、供应商提供的信息、飞行试验中发生的问题等；外部信息包括且不限于：维修信息、机组报告和适航指令等。

2.1.2 事件判定

设计批准持有人应对每个事件进行分级分类处理，判定其是否导致或可能导致不安全状态[8]。应采取相应的风险分析方法，见表1，对导致后果发生的可能性和后果的严重性进行评估，应当考虑是否发生过与所考虑情况类似的事件，同类型的其他设备或部件是否有类似缺陷。常见的可能性见表2，严重性评级见表3。

在对收集的事件进行分级分类处理，具体流程如图3所示。

当按照事件分类处理流程得出结果时，应对事件进行判定，判定结果为“不安全状态事件”和“非不安全状态事件”。

2.1.3 事件调查

当设计批准持有人在判定事件后进行事件调查，应建立事件调查原则，确定时间发生的根本原因及影响因素，其次明确时间调查的流程和程序，最后通过事件调查的方法、标准、流程以及人员能力的评估，评估事件调查的技术能力。

发生事件后，设计批准持有人在调查事件根本原因的过程中，应考虑初始设计意图，产品或功能的使用与初始设计目标是否一致，制造方面的情况等，还应查看产品或功能的维修记录，系统的复杂性，相关程序和培训，手册和程序的清晰和准确性等。设计批准持有人在工程调查报告中应全面叙述和论证事件发生的过程、事件的基本情况、原因分析、调查结论的认定以及针对存在的问题、隐患提出安全建议。

2.1.4 制定改正/改进纠正措施

当事件判定结果为“不安全状态事件”时，必须制定相应的改正/改进措施，并且通过风险分析将改正/改进措施完成时间限制在可接受的适航风险水平内，改正/改进纠正措施应该通过持证人持续适航体系的管理机构批准或确认。

当事件判定结果为“非不安全状态事件”时，为了防止该事件再次发生，设计批准持有人必须根据实际情况制定相应的改正/改进纠正措施。改正/改进纠正措施应该通过持证人持续适航体系的管理机构批准或确认。

当局方认为要发布强制持续适航信息以纠正不安全状况时，设计批准持有人应提出适当的设计更改和检查的建议，并提交局方批准。在建议的设计更改或检查获得批准后，设计批准持有人向所有的运营人提供配套描述性的资料和工作说明，并更新相应的持续适航文件，如：飞机维修手册等。

2.1.5 管理改正/改进纠正措施

应确保发布的改正/改进纠正措施处于现行有效的受控状态，且对现行版本应分阶段地进行措施实施评估，把供应商产品纳入系统管理，明确供应商承担持续适航责任，建立供应商持续适航事件管理流程。

2.1.6 向局方的报告

当发生CCAR21R5中21.5规定的情形时，应按照AP-21-AA-2023-16R2《民用航空产品和零部件持续适航事件报告和处理程序》中持续适航事件报告要求向局方报告。

对事件的判定结果为“不安全状态事件”应在事件判定后48小时内向局方报告，对事件的判定结果为“非不安全状态事件”应每3个月向运输类适航管理机构报告[6]。

2.1.7 持续适航审查会

持续适航审查会是由局方主持设计批准持有人召开的会议，主要是对事件的判定分析、调查以及相应的改正/ 改进纠正措施进行讨论，使得双方对事件的风险水平和缓解措施达成一致。

3 FRACAS系统与事件管理的异同

3.1 区别

3.1.1 法律效力不同

CCAR 21部R 5是部门规章，属于法律法规范畴，对故障管理的规定是强制的，设计批准持有人必须要满足该要求，AP-21-AA-2023-16R 2《民用航空产品和零部件持续适航事件报告和处理程序》是规范性文件，规定了执行规章的程序和验证要求，AC-21-AA-2013-19《型号合格证持有人持续适航体系的要求》是咨询通告，是局方公开管理的工作政策，是对适航要求给出的推荐的符合方法。对于从事民用航空产品和零部件的组织来说，不管是CCAR21部R5第21.5条还是AP-21-16R2来说，这些都是强制性的，而GJ B 8 41-9 0《故障报告、分析和纠正措施系统》是标准，组织根据合同或出于自身管理的要求而采用，不具有法律法规强制性。

3.1.2 适用范围不同

CCAR21部R5针对申请民用航空产品和零部件型号合格审定、生产许可审定、适航合格审定，如果不从事民用航空产品和零部件的设计、生产等活动，可以不满足第21.5条要求。而GJB 841-90是为航空、航天和国防工业在最大程度建立的通用故障管理标准，也可供民用航空组织在可靠性管理体系中参考和借鉴。

3.1.3 关注点不同

GJB 841-90要求建立的FRACAS系统需要承制方尽早在研制阶段建立和运行，因为在研制阶段采取纠正措施具有更大的灵活性，也更容易实施，效果也更明显，也能够保证所有故障数据都被统计，并向规定的管理级别汇报，以便于及时采取纠正措施。CCAR21部R5第21.5条要求持证人收集和分析故障，但适航当局是故障收集和管理体系的主体，意味着要保证民用航空产品的适航性，要满足第21.5条的标准和时限要求，报告事件发生的内容还可能发布服务通告（SB）、适航指令（AD）等官方性质的文件。

3.2 相同点

3.2.1 提升安全性和可靠性

FRACAS系统和第21.5条都是通过识别故障、分析原因、制定和实施纠正措施等来防止类似的故障再次出现或发生，从而提升产品或系统的可靠性和安全性。

3.2.2 闭环管理

FR ACAS系统和第21.5条事件管理都采取闭环管理的原则，从发现故障、分析故障、制定和实施纠正措施、验证和反馈形成一个闭环系统，从而实现持续改进。

4 展望

对于企业来说，FRACAS系统一般可以基于局域网或Web技术，将产品的可靠性数据存储在数据库中，通过闭环管理实现FRACAS系统。而局方是事件管理的主体，对于事件上大部分采用AMOS系统。若局方建立一个面向民用航空产品和零部件的组织故障收集的信息平台，可以将企业已建立的故障系统的故障收集数据库直接导出，进行数据转换后导入信息平台[10]，在信息平台上局方对于相关问题进行人工分析和宏观系统统计分析，有助于企业从宏观进行故障分析，有助于产品迭代升级，有助于产品或系统的可靠性和安全性的提升。