1、科技视界Science&Technology Vision0引言产品安全是指产品能实现其设计或预期的目的,而对人身伤害或财产损失的风险不会达到不可接受程度的状态1。航空器设计制造单位为航空运营人提供航空器及其运行和维护所需文件,其产品安全水平对于飞行安全至关重要。为了有效管控产品安全风险,各航空器设计制造单位正按局方要求,开展安全管理体系(SMS)建设2-3。本文分析了航空器设计制造单位已有管理体系在风险管理方面已实现的功能,并提出了在此基础上开展产品安全风险管理的方法,促进航空器设计制造单位开展安全管理体系(SMS)建设时,有效地利用现有管理手段,避免体系重叠和资源浪费,充分发挥管理效能。1
2、危险源辨析危险源一般分为两类,第一类危险源是系统中存在的、可能发生意外释放的能量或危险物质,第二类危险源是导致约束、限制能量措施失效或破坏的各种不安全因素称4。航空器具有可能意外释放的能量和危险物质,是第一类危险源。为了有效地防止航空器意外释放能量或危险物质,航空器设计制造单位应对采取工程措施、管理措施等控制产品安全风险,这些措施包括建立和运行设计保证体系、生产质量保证体系、持续适航体系和运行支持体系使航空器设计、制造、运行支持满足适航规章和运行规章的要求。在航空器设计制造活动中,可能存在导致限制航空器意外释放能量或危险物质的工程措施、管理措施等失效的不安全因素,如人的不安全行为、管理缺陷等,
3、是第二类危险源。1.1第一类危险源限制措施设计和表明符合性阶段,航空器设计必须经过型号合格审定,以表明其设计符合相应适航规章和环境保护要求5。型号合格审定过程中,航空器设计制造单位应根据民用航空产品和零部件合格审定规定(CCAR-21 部)要求,建立设计保证体系,通过落实必要的组织机构、职责、程序和资源,以向局方表明其具备相应的能力。当航空器设计制造单位有效运行设计保证体系,并获得型号合格证,可以认为其设计符合相应适航规章和环境保护要求。生产制造阶段,在航空器型号设计获得批准后,局方对生产该产品的制造过程开展生产许可审定,以保证该产品的生产符合经批准的型号设计,最基本的要求是航空器设计制造单位
4、建立并有效运行生产质量保证体系6。当航空器设计制造单位建立符合 民用航空产品和零部件合格审定规定(CCAR-21 部)要求的生产质量保证体系,获得生产许可证,并通过经批准的生产质量保证体系对生产制造过程进行有效管控时,可以认为其生产的产品符合经批准的型号设计。持续适航和运行支持阶段,为了确保航空器在使用寿命期内始终符合经批准的型号设计并处于安全运行状态,局方要求航空器设计制造单位建立持续适航体系和运行支持体系7。通过对不利于持续适航的DOI:10.19694/ki.issn2095-2457.2022.30.51航空器设计制造单位产品安全风险管理研究叶世雄1张吉2(1.上海航空工业(集团)有限
5、公司,上海200000;2.中国商用飞机有限责任公司,上海20000)【摘要】对 航空 器设 计制造 单 位第 一类 危 险源、第 二 类 危 险源 进行了 辨 析。研 究 了航 空器 设计 制 造单位 现 有 的产品 安 全 风 险 控 制 措 施,并 提 出 了 在 此 基 础 上 开 展 危 险 源 识 别、安 全 风 险 评 估 和 控 制 的 思 路 和 方 法,能 够 为 航 空 器 设 计制 造单 位按 照 局 方要 求开 展以 风险 管 理为 核 心的 安 全 管 理体 系(SMS)建 设 提 供 思 路。【关 键词】安 全管 理;安全管 理 体 系;安全 风险;危 险源;航
6、空器 设 计制 造 单位管理科学170Science&Technology Vision科技视界信息进行收集、分析和评估,判定产品实际的适航风险水平,并在此基础上决定是否采取必要的措施,从而实施对飞机和整个机队全面的持续适航管理,以履行规章要求的责任,保证产品的持续运行安全。航空器设计制造单位有效运行持续适航体系和运行支持体系,可以确保航空器在使用寿命期内始终符合经批准的型号设计并处于安全运行状态。1.2第二类危险源设计和表明符合性阶段,第二类危险源是导致设计体系和控制过程不能实现其预期功能,进而可能使产品不符合相应适航规章要求的不安全因素。生产制造阶段,第二类危险源是导致制造体系和控制过程不
7、能实现其预期功能,进而可能使产品制造不符合经批准设计的不安全因素。持续适航和运行支持阶段,第二类危险源是导致运行支持和持续适航体系和控制过程不能实现其预期功能,进而可能使产品出现不能保持持续适航性或不满足运行规章的不安全因素。2危险源识别由于第一类危险源风险控制措施,包括建立的设计保证体系、生产质量保证体系、持续适航体系和运行支持体系,已经获得局方批准或认可,因此无须开展系统和工作分析来全面识别航空器设计制造系统中存在的危险源,只需持续监控第一类危险源限制措施的重大实质性变更情况,并通过安全管理体系(SMS)安全保证活动监控第一类危险源限制措施的有效性,当发现有重大实质性变更或通过安全保证发现
8、潜在新危险源或无效风险控制时,启动危险源识别和风险管理流程。2.1重大实质性变更设计和表明符合性阶段,在对设计体系和控制过程进行重大实质性更改时,可能会引入新危险源,导致不能实现其预期风险控制功能,产生不可接受的安全风险。对于有计划的或无计划的重大实质性设计体系和控制过程变更,应该有流程对变更进行管理。对航空器设计制造单位已确立的表明符合性方法和流程进行实质性更改时,需要开展变更风险管理,同时应考虑相关安全经验教训。设计和表明符合性阶段常见的重大实质性变更如下:(1)设计评审过程的变更;(2)实施新的安全关键设计程序;(3)设计外包供应商选择;(4)设计保证手册的变更;(5)表明符合性流程的变
9、更。生产制造阶段,在选择采用新的或重大变更后的工艺方法、工艺流程、生产设备、设施或人员时,航空器设计制造单位应制定和使用危险源识别流程,以识别可能导致质量逃逸、在役失效、故障或缺陷的情况。生产制造阶段,常见的重大实质性变更如下:(1)新建生产设施;(2)供应商的初步选择;(3)开发实质性的新制造工艺;(4)编制新的工艺路线;(5)建立生产质量保证体系;(6)新员工的资格和培训;(7)供应商直接发货变更;(8)制造工艺的实质性改变;(9)工艺路线的实质性改变;(10)生产质量保证体系的实质性变更;(11)生产设施迁址。持续适航和运行支持阶段,运行支持体系或持续适航体系进行重大实质性变更时,应开展
10、风险管理,确保运行支持体系或持续适航体系执行其预期的功能,能持续监控与航空器设计制造单位航空器相关的在役事件,并开展危险源识别和风险管理。持续适航和运行支持阶段,常见的重大实质性变更如下:(1)更改在役飞机故障、失效、缺陷的监控流程;(2)更改向运营人发布持续适航信息的流程;(3)实施新的程序和方法来评估机队风险水平。2.2安全保证发现潜在新危险源或无效风险控制设计和表明符合性阶段,应根据安全保证活动获得的安全经验教训,进行识别危险源。对于安全保证发现的设计体系和控制过程不安全因素,应及时完善设计保证体系。对于安全保证发现的产品问题,适航审定程序和适航规章的持续更新,可有效控制其风险。使用基于
11、民用飞机和系统开发指南(ARP-4754A)的“双 V”流程开展航空器设计时,会从初步设计到详细设计不断迭代,发现新的危险源,并制定风险控制措施。生产制造阶段,通过安全保证的输出开展识别危险源,以解决可能导致质量逃逸、在役故障,失效或缺管理科学171科技视界Science&Technology Vision陷的制造体系和控制过程不安全因素,持续完善生产质量保证体系。航空器设计制造单位安全风险管理的一项重要功能是提供可能导致不可接受的产品安全风险的在役失效、故障、缺陷和质量逃逸的信息,为持续适航体系提供输入。制造组织机构和设计组织机构建立沟通流程,确保识别的危险源可以及时作为持续适航信息的传递到
12、持续适航体系。持续适航和运行支持阶段,当安全保证识别出潜在产品相关危险源或无效风险控制时,应开展风险管理,此活动可以借助持续适航体系来开展,涉及需要对产品进行设计更改,则设计更改过程应遵循上述设计和表明符合性阶段的设计保证体系要求。通过安全保证的输出开展识别危险源,解决监控在役事件、识别危险源、分析风险、确定可接受的安全风险、制定和评估安全风险控制等缺陷,持续完善运行支持体系和持续适航体系。3安全风险评估和控制基于风险的决策可以将安全管理资源分配给潜在重大安全风险,并避免将资源投入到低风险上。安全风险评估需要在分析潜在后果的基础上,对其严重程度和可能性进行评价,得出风险水平,并制定适宜的风险控
13、制措施。根据危险源所处的阶段和过程,对危险源的作用机理进行分析,识别该危险源可能导致的潜在后果及条件,并建立事件因果链。识别过程要以实际证据为基础,危险源可能导致的潜在后果应是现实、可预见的,行业曾经发生过,并尽量与现行不安全事件标准相关联。当一个危险源在不同触发因素作用下可能导致多个潜在后果,应将最可信的结果识别为潜在后果。产品安全危险源风险评估最直接方法是考虑对其对持续安全飞行和着陆的影响。根据危险源所处的阶段和过程,对危险源的作用机理进行分析,识别该危险源可能导致的潜在后果及条件,并建立事件因果链。对于产品和部件故障,即第一类危险源,评估其导致的潜在后果的风险水平,可以通过分析和经验判断
14、其对飞机、飞行机组、机上人员安全的直接影响来获得。对于影响体系和管控过程发挥预期功能的不安全因素,即第二类危险源,评估其导致的潜在后果的风险水平时,由于缺乏行业最佳实践和数据收集系统的,期望对其量化评估是不现实的,定性分析和工程判断是可以接受的。基于风险评估结果,根据风险等级标准确定风险可接受性,并采取应对的措施,图 1是一个通用的安全风险评估矩阵8。图1危险源在多个触发因素作用下产生安全风险4结语(1)航空器设计制造单位根据局方和行业要求自上而下地建立了设计保证体系、生产质量保证体系、持续适航体系和运行支持体系,上述体系对于第一类危险源的控制发挥了一定的作用,航空器设计制造单位需要分析其实现
15、的风险管理功能,在此基础上开展安全管理体系(SMS)的建立。(2)安全管理体系(SMS)的风险管理活动,通过监控第一类危险源风险控制措施的执行情况,即设计保证体系、生产质量保证体系、持续适航体系和运行支持体系的运行情况,对重大实质性变更和通过安全保证发现的潜在危险源和无效风险控制,开展风险管理,识别第二类危险源,开展风险管理,促进第一类危险源风险控制措施的持续完善。【参考文献】1Quality Management Systems-Requirements for Aviation,Space,andDefense Organizations:AS 9100:2015S2CCAR-398,民用
16、航空安全管理规定,北京:中国民用航空局,2018.3安全管理手册(SMM),Doc9859-AN/474,加拿大:国际民用航空组织,2013.4赵鹏.危险源概念辨析及识别方法,中国民用航空.2010(07):52-535郭玉强,张桥.基于SAE4754A的民机设计保证程序文件体系构建,中国科技信息.2019(2):32-336黄志勇.民用飞机生产质量保证体系建设研究与实践,航空标准化与质量.2021(1):32-367肖亚兵,许皓轩.浅析民机主制造商持续适航体系事件收集,科技视界.2019(8):118-1208李龙彪,徐庆宏,孙有朝.民机持续适航阶段事件风险评估方法研究,飞机设计.2015,35(5):59-62管理科学172