军机适航“安全性分析与评估”条款浅析及其工程实施途径探究

张华，孔维

(航空工业成都飞机工业(集团)有限责任公司 技术中心，成都 610092)

军机适航“安全性分析与评估”条款浅析及其工程实施途径探究

张华，孔维

(航空工业成都飞机工业(集团)有限责任公司 技术中心，成都 610092)

在当今的军机研制过程中，军方借鉴民机的适航管理方式力推适航性审查，以确保飞机的安全性水平。如何贯彻适航要求、如何将适航与安全性设计深度融合成为飞机研制单位亟待解决的问题。本文从飞机总体设计单位的角度，探究适航与安全的关系，对比适航工作与安全性工作的异同，并结合工程实际，对军用飞机研制过程中如何将适航与安全性管理、设计和评估工作有机结合、高效开展的方式方法提出了建议。有效避免了适航工作和安全性设计工作的不协调甚至相互矛盾情况的出现，可供军机承研单位参考。

适航；安全性；军用航空器；工程途径

0 引 言

民用航空领域率先提出“适航”这一概念，其目的是确保飞行器的安全运营。围绕该目的，结合长期实践经验的积累，在世界范围内形成了一系列适航技术标准、认证制度、控制程序、管理体制等，有效地保证了民航安全。

军机通常更注重其性能的先进性，故关于军机的适航工作起步较晚，20世纪80年代，美国军方首先提出了军机的适航性概念，至20世纪90年代中后期，关于军机的适航工作才基本成熟。长期以来，军机的事故率都远高于民航飞机[1]，这促使军方开始积极借鉴、引入民机适航的工作方式，以期降低军机的事故率。美国国防部于2002年10月颁布了适用于军机的MIL-HDBK-516B《军用航空器适航性审查准则》[2]，并在“全球鹰”无人机上获得成功应用。

2008年，我国首先在某型军用运输类飞机上开展了针对军机的适航性工作。在此之前，军机研制中的安全性工作均按照GJB 900《系统安全性通用大纲》[3](后换版为GJB 900A《装备安全性工作通用要求》[4])开展。2013年，我国空军编制了《军用无人机系统适航性准则》(试行版)[5]，并在新研机型中强制推行，但同时保留了按GJB 900A开展装备安全性保证工作的要求。

在军机研制中借鉴民机的成功适航经验是明智的，也是必然趋势。但由于军机与民机的研制机制、基础及运行数据等的差异，借鉴时不能简单地照抄照搬，否则便会造成军机承研单位面临两套技术体系(适航与安全性)同时实施但又“各自为政”的混乱局面，工作重复且极有可能相互矛盾，增加了军机承研单位的工作负担，且收效甚微。因此，需要正确认识适航与安全性之间的关系，从理论上支持二者在实际工程上的相互融合。

目前，国内对适航与安全性并行工程的研究仍鲜有报道，为此，本文在对两套工作体系进行细致分析的基础上，理顺二者之间的关系，并探究工程上综合施行适航与安全性工作的具体途径，以供军机承研单位参考。

1 适航性与安全性的关系

1.1 从定义上分析

1.1.1 适航性与安全性

适航性(Airworthiness)：依照批准的用途和限定范围，特定构型的航空器系统能够安全实现、保持和终止飞行的特性。

安全性(Safety)：产品所具有的不导致人员伤亡、系统毁坏、重大财产损失或不危及人员健康和环境的能力[4]。

从上述定义可以看出二者的区别和联系如下：

(1) 前者的对象仅指航空器，后者则泛指所有的实物产品。

(2) 前者对后果的考虑(描述)更强调要让航空器始终处于安全运行状态，比较基本、笼统；后者则更为明确、具体和宽泛，其后果考虑包括了对人员、产品、财产和环境的影响。

(3) 对于航空器范围内的产品而言，二者的内涵基本相同，均是指产品具有的处于、保持安全状态的能力，该能力通过设计赋予、制造形成、使用维护来实现。

(4) 对于航空器范围内的产品而言，二者的评判标准基本一致，如果一个产品在规定的任何情况下均不会对人员(包括使用人员、维护人员以及相关人员)、产品自身的设施和所处的环境造成危害，则具备高的安全性水平，同时也完全满足适航要求。

综上所述，就航空器范围内的产品而言，可以将适航性与安全性视为等同的概念。下文只针对航空器范围的产品进行论述。

1.1.2 适航工作体系与安全性工程体系

由于适航性与安全性在航空领域基本等同，二者所使用的工程技术、方法以及工作内容也基本一致。经对比分析，两个工作体系的最大区别在于管理方面。

适航管理：以保障航空器的适航性为目标，以相关法律规定为依据，对航空器的设计、制造、使用和维修等环节进行科学统一的审查、鉴定、监督和管理[6]，其实质是对适航性的形成和维持进行成体系的控制。民机的适航管理是由政府适航部门对照民用航空规章(例如CCAR-25)逐条进行符合性审查，在确认完全满足要求后颁发适航证书，飞机才被允许进入市场运营；军机适航管理则是由军方对其拥有和使用的航空器依据型号适航性审查准则逐条进行符合性审查。

安全性管理：属于安全性工程中的技术管理工作，是产品开发方以确保实现和维持产品全寿命周期的安全性为目标，系统地策划和安排产品在设计、制造、使用和维修等环节中与安全性相关的工作，并对工作的进展和状态以某种形式进行监督、控制和审查，其实质是全面合理地控制产品安全性的一整套工作[7]。

适航管理与安全性管理之间的区别和联系如下：

(1) 适航管理是以外方(政府或军方)为主体，具有完全的独立性、强制性(以法律形式或合同形式规定工作)和统一性(世界通行的标准、程序和方法)，其审查标准是最低安全要求；而安全性管理是以产品承研单位为主体，为了保证产品的安全性满足国家标准或用户要求、提升企业竞争力而进行的自主行为，追求的目标可以永无止境，具体工作则可以结合产品具体特点、基础条件等以适合本单位的形式进行最有效的管理，但由于执行主体是研制单位自身，控制管理的力度可能受领导者的意志影响，管理的方式、程序等的统一规范程度不如适航管理。

(2) 两者均涵盖产品设计、制造、使用和维修等产品全寿命周期中所经历的环节，但由于研发单位的局限性，安全性工程体系更侧重于对产品固有安全性形成过程的管理，而适航管理是由政府代表公众利益(民机范围)或由军方代表用户利益(军机范围)进行的全过程监督，故对航空器的后期运营、维护环节的安全管理与设计制造环节并重。

(3) 两者在产品研发阶段的管控目标、核心内容和技术手段上基本相同，均认为必须从设计源头就应用工程化方法、技术和专业知识，策划并实施一系列设计与分析、验证与评价等方面的工作，系统地识别、消除危险或降低其风险。

可以看出，除了施行主体不同外，从产品研发单位的角度，适航管理与安全性系统工程中的管理在研发阶段也可以认为是基本等同的，作为产品研发单位，无论外界是否进行审查、按何种条款进行审查、是否颁发证书，都要对产品的安全性负责，必须自主策划并实施一系列安全性的目标分解控制、分析设计、试验验证等工作，力争以可承受的代价追求更为卓越的目标。适航审查仅是准入市场的“最低门槛”，因此企业只要有效实施了安全性系统工程，则适航条款必然是满足的。

下文论述均从产品研发单位的角度进行，并只针对军用航空器的设计研发阶段而言。

1.2 军机适航性审查准则与GJB 900A的内容对比分析

美国军方借鉴民机适航审查条例编制了面向设计的适航性审查要求，即MIL-HDBK-516B《军用航空器适航性审查准则》，现已成为欧美空军开展适航审查的通用条款。我国的《军用无人机系统适航性准则》(试行版)也是以此为蓝本，结合无人机的特点而编制，除了“乘员系统”、“乘客安全性”和“地面控制站”章节外，两者内容条款基本一致。

MIL-HDBK-516B的编制采用了海洋法系的穷尽法则，针对飞机研制的各个方面提出了具体的设计和验证条款，同时规定了“典型的审查源数据”，即明确了研制过程中必做的工作项目和其输出形式。MIL-HDBK-516B的第14章“系统安全性”中列出了24项典型的审查源数据[2]，这些内容在GJB 900A中所对应的工作项目如表1所示[4]，可以看出：就航空器的设计研发阶段而言，MIL-HDBK-516B与GJB 900A规定的设计分析(包括危险识别、分析、评价)、管理、跟踪与控制的工作流程相同，如图1所示[4]，工作内容也基本对应，仅第8项“寄生电路分析和软件危险分析等专门分析”除了“软件的安全性分析”外，还包括其他特定的危险分析(例如共因分析)内容。

图1 安全性基本工作流程

MIL-HDBK-516B第14章第1条要求制定一个系统安全性大纲，将其融入到产品功能基线和运行程序中，与项目进度同步贯彻实施[2]；同时明确了大纲应包含的具体内容，要求将MIL-STD-882D(美军安全性工作的顶层标准，我国GJB 900系列的参考蓝本)和民航适航条例中适用的工作项目和内容纳入大纲中进行统一规划安排。可以看出，美军的适航工作并非另设一套工作系统独立开展，而是与原有的安全性工程相结合，但内容有所扩展(将民航上适用的条款纳入计划考虑或借鉴民航的审查、验证形式)。

MIL-HDBK-516B第14章第2条“安全性设计要求”共列出10款在设计中需要具体关注、分析、控制的安全要素，包括产品的固有安全特性、单点故障、冗余备份的设计要点、人因安全、环境安全、危险源的隔离等，上述要素需要通过MIL-STD-882D中一系列的分析工作(对应GJB 900A的300工作系列)来系统、全面地分析、评价和贯彻实施，该过程中产生的相应资料、文件和结论即为适航性审查准则是否被满足的证据。第3条“软件安全性大纲”强调了在产品总的安全性大纲中要包括对相关软件的工作策划和要求，规定软件开发过程中必须进行软件安全性分析，识别和避免不可接受的危险，并确保将安全性要求正确、恰当地转为基线要求予以落实，上述要求在GJB 900A的600工作系列中也已完全覆盖。

表1 MIL-HDBK-516B“系统安全性”工作内容与GJB 900A的对比

1.3 民机适航中的安全性评估与GJB 900A的安全性设计工作对比分析

1.3.1 民机适航体系中的安全性评估工作内容

在民机适航审定中，要求按照SAE-ARP-4754《民用航空器和系统的研制指导》和SAE-ARP-4761《民用机载系统和设备安全性评估过程的方法和指南》进行安全性评估，通过评估工作来提供表明产品符合适航要求的证据。SAE-ARP-4754和SAE-ARP-4761标准规定的工作主要包括以下内容(按工作顺序排列)[8-9]：

(1) 功能危险分析(FHA)：分析飞机和系统应具备的功能，识别可能的功能失效，并对具体失效状态的危害进行分类；

(2) 初步系统安全性评估(PSSA)：确定具体系统和组件的安全性要求，并提供预期的系统架构能满足该安全性要求的初步指标。PSSA用来确保从FHA得到的失效清单完整并符合安全性要求；同时用来证明对于识别出的各种不同的危害，系统将如何满足定性和定量的要求；在PSSA过程中还确定衍生的系统安全性要求，并可确定对其他保护性对策的需要；

(3) 系统安全性评估(SSA)：汇集各种不同分析的结果，分析和提供文件以证明系统具体实施的设计是否满足由FHA和PSSA确定的系统安全性要求；

(4) 共因分析(CCA)：确定和认可系统之间物理上和功能上分开和隔离要求以及验证这些要求被满足。

1.3.2 GJB 900A中的安全性设计工作内容

GJB 900A规定了六项安全性设计与分析工作，是围绕产品研制中识别的潜在危险、评价其风险并采取措施消除或控制危险、最终保证产品的固有安全性水平而安排的，按照工作的先后顺序为[4]：

(1) 安全性要求分解：将产品总的安全性定性要求和定量指标进行逐级分解、明确和细化，以约束各级产品的具体设计；

(2) 初步危险分析(PHA)：初步识别产品设计方案中可能存在的危险(包括具有危险特性的功能、部件、材料以及与环境有关的危险因素等)，对每项危险进行初始的风险评价，并提出相应的管理和控制措施。该项分析应首先识别具有固有危险特性的材料或产品(例如推进剂、高压气瓶等)、与环境有关的危险因素(例如真空、高温、静电等)以及可能引发危险状态的系统功能故障因素(包括软、硬件故障及人为差错等)；

(3) 制定安全性设计准则：根据产品特点以及相关规章、条例、标准、规范以及相似产品的工程经验和事故教训，并结合PHA的输出结果，制定产品应遵循的具体安全性设计条款，纳入产品规范或设计文件之中，以指导和保证设计人员落实安全性设计要求；

(4) 系统危险分析(SHA)：在初步危险分析的基础上，随着产品研制过程的进展，进一步全面、系统地识别、评价和消除或控制可能存在的危险。该项分析包括由产品故障或功能异常、危险品、能源、环境、人为差错、接口等导致的危险，并判断PHA中所制定的安全性措施是否有效和充分，对残余风险进行评价，对不可接受的危险，提出设计改进或使用补偿的措施；

(5) 使用与保障危险分析(O&SHA)：识别并评价由人员操作、执行任务或实施保障导致的危险(包括产品的装配、试验、使用、维修、运输、贮存、改装、退役和处理等各个环节的活动)，并评价用于消除、控制或降低上述风险的措施的充分性和有效性；

(6) 职业健康危险分析(OHHA)：识别产品的操作、维护、运输和材料使用中潜在的有害人员健康的危险(包括化学危险、物理危险、生物危险、人机工效危险、防护装置失效危险等)，并提出相应的防护措施。

上述六项工作在分析的时机、对象、实施人员、内容等方面相互补充，构成了一个覆盖产品研制全过程、全系统的安全性分析和设计的工作框架。

1.3.3 对比分析

从两套技术体系工作内容的对比可以看出，GJB 900A的工作项目更贴合工程实际，而且内容上覆盖了前者，具体体现在：

(1) GJB 900A中的PHA工作是对功能危险进行分析，除此之外还要求考虑危险材料、危险环境以及人为差错等因素可能导致的危险，因此，FHA可以看作是PHA的一个子集，或者说是开展PHA的手段之一，用于系统地识别由于故障导致的危险；

(2) GJB 900A中的“安全性要求分解”可以胜任PSSA中“确定具体系统和组件的安全性要求”的功能，也可将PSSA看作是“安全性要求分解”的子集，用于安全性定量要求的分解；而且“制定安全性设计准则”还可以将安全性的定性要求进一步细化和明确，更便于工程指导；

(3) GJB 900A中的SHA包括了对安全性设计要求或设计准则的符合程度分析、独立或关联失效的危险事件分析以及系统或设备间接口危险分析，内容可以涵盖民机适航中规定的PSSA、SSA及CCA等内容。

2 军机适航“安全性分析与评估”工作的工程实施途径

军机适航“安全性分析与评估”与GJB 900A的“安全性分析与设计”工作系列虽然在具体实施的技术手段和内容上略有差异，但实质上两者是基本对应的，都是通过面向危险的安全性分析、面向场景的安全性分析和危险/事故现象分析三种类型的分析工作，识别系统中的危险，评估风险的不确定性，提出相应的改进措施，将安全性要求逐步落实到设计方案中，因此完全可以将两者整合成一个有机整体统一安排。

根据系统工程中飞机安全性设计与评估的通行程序[10]，结合我国军机的实际研制程序，探究在军机设计各阶段开展适航“安全性分析与评估”工作的具体工程途径。

2.1 方案设计阶段

方案设计阶段的目标包括：①初步识别飞机与系统层级的危险；②分解总体要求，明确各系统的安全性要求。本阶段的主要工作内容与实施流程如图2所示。

图2 方案设计阶段安全性工作项目接口与流程

2.2 初步设计阶段

初步设计阶段的主要任务包括：①在系统设计中贯彻落实安全性设计准则；②进一步识别、评估系统/子系统层级的危险；③将系统的安全性要求进一步分解，明确相应设备、组件的安全性要求。

本阶段的主要工作内容与实施流程如图3所示。

图3 初步设计阶段安全性工作项目接口与流程

2.3 详细设计阶段

详细设计阶段的主要目标是尽可能全方位地识别各层级产品中的潜在危险，并评价其残余风险是否可接受，若不可接受，则需进一步采取应对措施，确保产品的固有安全性水平满足要求。因此，需要开展详细的系统危险分析(SHA)工作，识别设备/组件层级的危险、系统/子系统间的接口危险、共因引发的特殊风险，并验证/评价各层级产品对相关安全性要求的符合程度；还需开展使用与保障危险分析(O&SHA)，识别产品使用与保障中潜在的危险，对相关资料的编写提供输入。

本阶段的主要工作内容与实施流程如图4所示。

图4 详细设计阶段安全性工作项目接口与流程

2.4 试制、试验、试飞阶段

试制、试验、试飞阶段的主要任务是结合试制、试验中产品的实际表现检验前阶段进行的危险分析的完整性和正确性，并进行补充完善，必要时还需改进设计；另外，根据需要和可能开展的职业健康危险分析(OHHA)，研究产品固有特性对使用、维护人员的生理和心理健康可能造成的危害和保护措施。在本阶段应尽量以试验、使用中的统计数据进行飞机和系统的安全性定量评估(SSA)，以试验和实物检查的方式验证相关安全性定性要求的符合程度。

3 结束语

军机研制中的适航工作与安全性工程从目标、要求到实施手段都有很大程度的重叠，必须将两者进行有效整合，协调开展，避免多线管理、重复工作；而两者所用的分析技术相通，在工作中完全可以以相互补充、借鉴和支持的方式统一进行，具体的结合方式可根据实际情况和产品特点进行规划。

本文给出了飞机总体设计单位对两者综合实施的具体建议，将两方面的工作按需求、技术及输入/输出关系有机结合，使得各项具体工作之间不重叠，并且统一数据源，避免了两套体系工作输出不协调或相互矛盾的情况出现，同时该套流程内容完整，涵盖了两套体系的分析内容，能够同时为两套体系提供支持。

[1] 曾天翔. 对国外民用飞机安全性指标的分析[J]. 航空标准化与质量, 1989(3)： 38-43. Zeng Tianxiang. The analyse for safety level of foreign civil aviation[J]. Aeronautic Standardization & Quality， 1989(3)： 38-43.(in Chinese)

[2] United States Department of Defense. MIL-HDBK-516B Airworthiness certification criteria[S]. USA： USDOD， 2005.

[3] GJB 900系统安全性通用大纲[S]. 北京： 国防科学技术工业委员会， 1990. GJB 900 General program for system safety[S]. Beijing: Commission of Science, Technology and Industry for National Defense， 1990.(in Chinese)

[4] GJB 900A装备安全性工作通用要求[S]. 北京： 中国人民解放军总装备部， 2012. GJB 900A General requirement to safety assignment of equipment[S]. Beijing: General Armament Department of PLA， 2012.(in Chinese)

[5] 军用无人机系统适航性准则(试行版)[S]. 北京： 中国空军装备部， 2013. Airworthiness guidelines for military UAV system(Trial Implementation)[S]. Beijing: Chinese Air Force Equipment Department, 2013.(in Chinese)

[6] 邢爱芬. 民用航空法教程[M]. 北京： 中国民航出版社， 2007. Xing Aifen. Tutorial of civil aviation law[M]. Beijing: China Civil Aviation Press， 2007.(in Chinese)

[7] 赵廷弟. 安全性设计分析与验证[M]. 北京： 国防工业出版社， 2011. Zhao Tingdi. Safety design analysis and verification[M]. Beijing: National Defense Industry Press, 2011.(in Chinese)

[8] SAE-ARP-4761 Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment[S]. USA: Society of Automotive Engineers, INC， 1996.

[9] SAE-ARP-4754 Guidelines for development of civil aircraft and systems[S]. USA: Society of Automotive Engineers. INC， 1996.

[10] 修忠信， 等. 民用飞机系统安全性设计与评估技术概论[M]. 上海： 上海交通大学出版社， 2013. Xiu Zhongxin, et al. System safety design & assessment in civil aircraft[M]. Shanghai: Shanghai Jiao Tong University Press, 2013.(in Chinese)

(编辑：马文静)

Study on Military Aircraft Airworthiness Clause about “Safety Analysis and Assessment” and the Method of its Engineering Implementation

Zhang Hua, Kong Wei

(Technical Center, AVIC Chengdu Aircraft Industrial(Group) Co., Ltd., Chengdu 610092, China)

The military is pushing airworthiness examination in military aircraft development process to assure the security by drawing lessons from civil aircraft airworthiness management. Accordingly, aircraft development unit have to find out how to implement the requirements of airworthiness and integrate airworthiness with safety design. In this paper, the relationship between airworthiness and safety from the view of military aircraft design unit is explored and the similarities and differences between airworthiness work and safety work is compared. A proposal of how to combine airworthiness with safety management, design, evaluation and how to work efficiently is offered for an actual project. It can effectively avoid incoordination or even contradictory situation between the airworthiness work and safety design work. It can be the reference for the military airplane designers.

airworthiness; safety; military aircraft; engineering implementation

2017-01-09；

2017-04-28

张华,hzh9971@sohu.com

1674-8190(2017)03-359-08

V271.4

A

10.16615/j.cnki.1674-8190.2017.03.018

张 华(1968-)，女，高级工程师。主要研究方向：飞机可靠性设计管理。

孔 维(1965-)，男，高级工程师，副总设计师。主要研究方向：飞机“四性”与综合保障的设计与管理。