大话适航（七）执行与执法

接前文《大话适航（六）法律标准简介-CSDN博客》

7. 执行与执法

7.1 型号合格证的取证流程

《AP-21-AA-2023-11R1 型号合格审定程序》（简称11程序）规定了最通用也是最长的取证流程。

AP中把型号合格审定划分为5个阶段：

每个阶段的细节工作是可以并行的。具体的步骤总结：

其中第12项，具体工作包括适航证据提交（可能按DO-178/254的四个SOI）、地面试验、飞行试验。

轻小型航空器的审定可以简化。例如《AP-21-AA-2015-37R1轻型运动航空器型号设计批准审定程序》规定，轻型运动类的审定程序可以不用成立TCB。

7.2 审定基础和审定计划

审定基础

根据自己产品的起飞重量、座位数、运行场景，选择合适的规章作为审定基础。如果没有能直接对标的整部规章，则需要从国内外各部法规和规范性文件里抽取适用的条款，还可能加上特定内容形成专用条件。

审定基础的条款越多，显然适航成本会越高，申请人（applicant）要自己衡量，少了也会显得不专业。至少审定基础不能定得做不出来，需要内部做好沟通，排查风险。

符合性方法

型号合格审查过程中，申请人通常需要采用不同的方法来获得所需的证据资料以表明型号设计对适航条款的符合性，这些方法统称为符合性验证方法（简称符合性方法，Means of Compliance，MC/MOC）。11程序汇总了十种MC，包括：

更通俗的解释请参考《一次性说清10种符合性方法》。

如果无法穷举测试，则按照DO-178/254来做过程保证。DO-178/254是综合了多种MC的符合性方法，并不独属于以上单种MC。

注意到这里用到了“试验”这个词，可了解下试验和实验的区别：

• 试验：依据相关标准或者技术规范，利用仪器设备、环境设施等技术条件和专业技能，对产品或者法律法规规定的特定对象进行检验检测。（符合标准）
• 实验：为验证某一理论是否正确而进行实际或模拟操作。多用于科学研究或者为了更好的理解掌握某一理论而进行实际的演示操作。（符合理论）

审定计划

审定计划（Certification Plan，CP）的内容主要是取TC或其它证件过程中所依据的一系列活动、流程和标准，基本框架通常包括：

1. 项目概述：简介待审定产品的基本信息及其预期用途
2. 规范和标准：列出所有适用的法规、行业标准和技术要求
3. 审定基础：明确审定依据的具体法规条款和标准
4. 符合性方法：详细描述将采取哪些测试、检查或分析方法来验证产品符合相关安全和性能要求
5. 工作分配与责任：定义参与审定过程的各方角色与责任，包括设计团队、制造商、测试人员等
6. 文档清单：包括设计报告、测试计划和结果报告、用户手册等必须提交审核的文件列表
7. 时间表与里程碑：确定达成关键审定阶段目标的预期时间点
8. 必需资源: 描述完成审定过程需要的资源，例如专业人员、测试设施及设备等
9. 风险管理计划: 识别潜在风险并制订相应策略来管理这些风险
10. 争议解决: 描述如何处理在审定过程中出现的分歧或问题
11. 变更管理: 定义如何管理项目范围内变更请求及其批准流程

在大飞机是每个系统/专业写一份的，但轻小型航空器可以简化合并，多个专业写在一份CP里，甚至不用写CP。

7.3 正向开发

V&V

Verification&Validation，是验证和确认。汽车、医疗设备和航空业都有这个模型，只是具体工作稍有差异。概念其实都来自ISO9000，它是大多数工业质量体系的基础：

• 验证是通过检查和提供客观证据，表明规定要求已经满足的认可。
  • 常用的验证方法有检查、分析、演示或测试，分析具体又包括建模、仿真和模拟。
• 确认是通过检查和提供客观证据，表明一些针对某一特定预期用途的要求已经满足的认可。

SAE ARP4754特别地为V&V增加了安全方面的实践：

安全是质量管理的最低目标，图中的流程是站在比软硬件开发更高层次的“安全”来看的，软硬件的性能最终是为安全服务。按图示的箭头方向有序开展研制活动，即正向开发。

步骤全览

以下每个开发具体步骤是并行的，只是表明依赖关系，后面的步骤如发现问题可反馈修改前面的步骤：

1. 经市场调研，商业和法规考虑后，确定功能清单
   1. 安全不关注功能。现实情况是为了用户口碑会加功能
   2. 安全不会考虑成本、商业回报，实际需求是多方博弈的结果。
2. 做整机FHA、CCA
3. 划分系统，做SFHA
4. 做PSSA、CCA，产生安全性的需求，例如硬件失效率（影响架构选型）、设备布置的隔离性等
5. 结合维修性、测试性、保障性与产品支援、环境适应性等考虑，产生面向研制过程的需求
6. 需求由总体设计部门做全局考虑，再分派到各个系统
   1. 注：总体设计（total design）是完成大型工程体系的总体方案和总体技术途径的设计过程。
7. 每个系统做软硬件开发，包括需求细化、计划、设计、开发、测试，产生各类文档，做好构型管理，作为适航证据资料
   1. 先根据软件需求完成软件运行性能需求评估，结合PSSA再做硬件选型
   2. 部分工作需要委外，涉及供应商管理
8. 结合各类技术文档，验证开发的结果符合需求。
9. 通过SSA的分析计算，验证安全
   1. FHA、PSSA、SSA等结果是MC3安全评估的具体符合性文件。

注：

• 在一些标准中也对人为因素有涉及，但仍然是从安全出发的，比如仪表显示图形要有足够对比度以便能看清，防止因此产生错误判断。
• 实际上审查只关心结果，即使是逆向工程做出来的也可行——无论对自己研制的还是外部拿到的设备或软件。
• 《民用飞机机载系统与设备适航管理的思考》、《HB 8525-2017民用飞机研制程序》的论述会更专业一些，看一看会更有启发。

FHA

FHA（Functional Hazard Assessment，功能危险性评估）通过分析和罗列各种功能的失效状态造成的后果，得出对应的危险影响等级，再根据危险影响等级，对该功能分配研制保证等级。

简单来说，FHA是依据一定的方法论，对逐个功能评估其失效情况下对安全性的影响，它的结果是一个约定了表头的列表文件。

FHA分为两个层次：

• AFHA：Aircraft Functional Hazard Assessment 飞机级/整机功能危险性评估
• SFHA：System Functional Hazard Assessment 系统级功能危险性评估

整机功能拆分到多个系统，是由总体设计部门完成的。大飞机的典型划分为：

1. 动力系统
2. 操纵系统
3. 液压系统
4. 燃油系统
5. 起落架系统
6. 自动飞行控制系统
7. 空调系统
8. 氧气系统
9. 防冰排雨系统
10. 防火系统
11. 应急救生系统
12. 机载设备

详细的介绍请先参考《如何开展飞机和系统级 "功能危险性评估"（FHA）？》、《民机系统安全性中的失效状态，是如何进行分类的？》，这里就不搬运了。

仅做些补充：

• 失效状态分类，CAT=catastrophic、HAZ=hazard、MAJ=major、MIN=minor、NSE=No Safety Effect。显然，CAT的严重程度最大，NSE最小
• 研制保证等级（Design (or Development) Assurance Level，DAL），从安全性要求来说，从高到低是A、B、C、D、E级。DAL分为FDAL（功能function DAL）和IDAL（Item设备 DAL）
  • 一个功能可能由多个设备来承载。FHA里写的是FDAL，可以（在PSSA中）再分解IDAL（见下文）
  • 如果多个设备的功能一致，可随时对等互换的，则设备是多余度（redundancy），这种设计叫余度设计或冗余设计，目的是为了更高的可靠性，但也会增加开发难度。请参考《可靠性设计方法：余度设计(又称冗余设计)》
  • 继续为了更高可靠性，防止多余度设备的软硬件因为同一个原因同时失效，还可能以异构实现。例如硬件使用不同的芯片，软件由两个不同团队开发。
• 定量概率要求是这种失效的概率，由功能所在链路的所有设备共同分担。这主要关系到硬件选型，是硬件需求的一个来源。
  • 计算方法见《功能安全中的元器件失效率是怎么计算出来的？》
  • 定性的概率要求，文字描述是：极不可能的Extremely improbable、极微小的Extremely remote、微小的Remote、可能的Probable、无概率No Probability Requirement
• 失效状态分类和定量概率要求、研制保证等级的对应关系，是每类航空器不一样的。
  • 网上资料通常是讲25部大飞机，那么按照25部的FAA《AC 25.1309-1A - System Design and Analysis》，CAT对应DAL A级和1E-9，MAJ对应DAL C级和1E-7
  • 23部飞机，按照《AC-23.1309-1E - System Safety Analysis and Assessment for Part 23 Airplanes》，2级飞机（见前文CCAR-23部）的CAT对应DAL C级和1E-7，MAJ对应DAL C级和1E-5，MIN对应DAL D级和1E-3。
    • 注：3级飞机的CAT对应有DAL B级设备，4级飞机的CAT对应有DAL A级设备。
  • 如果设备是多余度的，23部2级飞机
    • CAT对应的功能设备，两个余度设备的DAL（即IDAL）都是C级；
    • MAJ对应的功能设备，两个余度设备可以分别是DAL C级和DAL D级。即第2个设备的要求降低了。
• 评估的结果，可以说都是主观的，勉强算客观的部分只能是抄袭成功项目的那些。要保证合理，只能通过多人评审修订，最后也需要适航审查组接受。
• 有时需要请飞行员来评估失效状态对机组的影响程度，但每个飞行员的理解和能力不同，这个评估不一定有效。有些飞行员有高超的驾驶技巧，那就影响较小。
• DAL E级的设备，不代表什么都不用审查。为了证明它真的不会干扰飞行任务而需要出示设计资料时，这部分证明资料也是要“看”的，也可能属于要“批准”的范围。实际上还是有提交很多资料的。
• 适航的安全评估整体考虑的，设计、制造、运行、维修要一起考虑，这些资料是成套的。在持续适航的文件中加入运行限制、定期检修要求、培训过程的警示等等，可以降低安全等级。

PSSA

PSSA（Preliminary System Safety Assessment，初步系统安全性评估）会根据FHA以及系统架构，分配软硬件承担的研制保证等级，其中硬件的等级会对应了失效概率。

PSSA的理论知识比FHA复杂，请参考《如何开展飞机系统级 "初步系统安全性评估"（PSSA）？》。

FTA、FMEA、CCA是PSSA的手段：

• FTA（Fault Tree Analysis，故障树分析），以特定的图形表达方式，按整机级-系统级-设备级逐级分析失效概率以及失效组合，以此传递概率需求给硬件，并在SSA阶段证明失效概率满足FHA的要求。
  • 硬件的失效是固有属性，不因人为意志变化。软件的失效都是设计问题，不算概率，为0。
    
• FMEA（Failure Modes and Effects Analysis，故障模式与影响分析）。
  • 学术定义：分析设备的每一个失效模式，并确定其对在给定层次和高一层次的影响，并提供失效模式的失效率、识别方法和纠正措施的一种分析技术。
  • 直白解释：由 多种职能的人 按照常见问题或经验 填写、旨在 指导设计或生产 以有效 防止或应对失效 的分析记录。
  • 更多参考：《什么是FMEA？一文让你轻松读懂FMEA！》、《FMEA举例(约会)》
• CCA，Common Cause Analysis，共因分析。前面提到的多余度设计，需要确保各余度设备不会同时失效才是真的有意义的余度，这是CCA的目标。有3种方法：
  • Common Mode Analysis，CMA，共模分析，目的是验证相似部件不会由于同一种模式失效，例如电路短路可能引入多设备停止工作。参考《共模分析（CMA）简介》
  • Particular Risks. Analysis，PRA，特定风险分析。翻译成“特殊”似乎更贴近，主要研究鸟撞、轮胎爆破等风险。参考《民用飞机特殊风险分析（PRA）项目概述》
  • Zonal Safety Analysis，ZSA，区域安全性分析。简单例子是黑匣子，物理隔离出单独区域，其它设备起火甚至整机坠毁都要不受影响。
  • 小型航空器很少做CCA，因为没有那么大的空间来应用防止共模失效的措施。

供应商

大部分制造业都有成熟的供应商管理体系，实际工作因企业而异。航空业可参考《机载设备供应商适航工作难度进阶》。

SSA

PSSA是初步评估，SSA是验证——验证PSSA中的各种假设，并检查各项措施是否落实到位。包括量化指标的检测，是否符合。

实际上，PSSA用于审定计划，SSA用于符合性审查。

试验

按照11程序的要求，试验大纲应至少但不限于包含如下内容：
(a) 试验目的（包含拟验证的适航条款）；
(b) 试验依据；
(c) 被试对象即试验产品的说明（包括试验产品构型、试验产品在试验装置上的安装、有关图纸编号等）；
(d) 试验中使用的所有试验设备清单及校验和批准说明；
(e) 测试设备及其精度；
(f) 对试验产品和试验装置的制造符合性要求；
(g) 该试验预期如何表明对拟验证条款符合性的说明；
(h) 试验步骤；
(i) 试验成功判据；
(j) 记录项目；
(k) 异常情况的处理等。

注：在试验大纲中引用的文件、数据资料应有明确的说明，必要时可提供审查。

验证试验的试验报告属于符合性报告，试验报告的内容通常包括：
(1) 试验目的。包括试验参照的适航规章条款。
(2) 试验产品的说明。包括试验产品的构型及偏离、制造符合性检查及试验产品构型偏离的影响评估等。
(3) 试验设备。包括附有照片的完整说明或引用以前使用过同一设备的报告（如有必要）、试验产品在试验设备上的安装方式、仪表 及其校正状态。
(4) 试验程序。包括试验名称、试验步骤及其记录、试验推迟的次数和原因。
(5) 试验数据资料。至少包含试验数据整理后的结果、曲线、图表以及数据整理方法和修正方法等。
(6) 试验后分解检查结果。包括重要的尺寸变化、无损检验结果、 故障照片和分析等。
(7) 有关的试验分析报告（如燃油、滑油的试验分析等）。
(8) 结论。

以上是指设计过程的试验，局方不会全部目击，以审查结果为主，会抽取部分要求当面复测。

地面试验和飞行试验，审查组会目击的，飞行试验会由局方授权的飞行员来试飞。

以上跟试验有关的审查，审查组都会有某种表格来记录问题或批准。

DAS

设计保证系统（Design Assurance System，DAS）是21部要求建立的，这个“系统”应理解成“管理体系”。DAS的理念和其它质量管理体系是差不多的，只是针对国内取TC证做了很多特别要求。

请参考《设计保证系统：这本手册难写也要写！》、《专家分享：关于设计保证系统之我见》。

7.4 符合性

定义

• 符合性（compliance）指民用航空产品和零部件的设计符合规定的适航规章和要求。强调设计遵守要求
• 制造符合性（conformity）指民用航空产品和零部件的制造、试验、安装等符合经批准的设计。强调制造成果和设计的一致性。

前面提到的MC几（如MC2：分析/计算）请注意是符合性方法的抽象分类，具体的符合性方法很多，在能证明目标的前提下可自由选择。比如人眼去看有没有表面损坏、用手去推拉试试会不会松动，也是符合性方法。这些具体的方法可以属于多个分类。

符合性文件

是表明对适航要求的符合性的证据资料。具体到航电系统，可能包括：

1. 各类计划。合格审定计划、开发计划、验证计划、供应商管理计划等等
2. 功能与人机交互需求文档、功能清单
3. 人机交互设计报告：规范、各区域显示和使用说明、符合和不符合哪些要求等。直接写哪里没有按标准做，依据是什么，不要让审查组自行发现。
4. 衍生需求（derived requirements，也叫派生需求）：无法追溯到上级需求的为了底层实现、性能、验证、监控、诊断、物理安装等非用户直接需要而设计的功能需求。例如协议、时序、接口等。
5. 技术需求文档：直接指导编写源码的低层需求
6. 技术设计文档：软件架构、硬件架构、硬件设备图纸、线束图纸、设备清单、协议文档、编码规范与标准、环境搭建方法、工具列表、编译命令、配置说明、安装说明等等
7. 三方软硬件的技术说明、数据单、应用注释、服务通告、使用者信函和勘误表。如有：服役历史
8. 源文件：代码、PS、CAD等用非自然语言描述的特定工具对应格式的设计资料
9. 试验大纲：软硬件测试用例的集合，每个测试用例含测试环境、工具、方法流程、合格判据等。参考《北斗机载监视服务终端电磁兼容性试验大纲》
10. 试验报告：试验结论。用例需要充分证明结论。
11. 模拟器符合性验证大纲和报告，可能仅在硬件测试需要。
12. 符合性检查大纲和报告
13. 试飞大纲和报告
14. 飞行手册中关于如何使用仪表的章节，特别是对使用流程的限制。
15. 安全性分析文档：SFHA、FMEA、SSA等
16. 构型管理记录：以上文档都需要编号、有版本修订记录、按需有评审记录、放入SVN/Git特定地址存档。有基线管理，比如操纵系统V0.1=软件需求V0.1+硬件需求V0.3+操作系统V0.2+软件应用V0.6+试验大纲和报告V0.6。
17. 各种表明负责人诚信、承担责任的声明。

符合性文件的本质是论据，应根据行业标准和习惯来写，但没有标准的模板。

“文件符合性”的基本原则

符合性文件的编写，有一些全局大原则：

1. 完整性：所有文件综合起来，能确保按这些文件能造出一台那样的航空器
2. 唯一性：按照文件来做，只会做出那样的一种结果
3. 准确性：定性和定量的描述都准确
4. 无歧义：任何人对文件的解读都一致，没有额外解释和自我发挥的空间。
5. 一致性：
   1. 所有文件都用同一术语，且互相能对上；
   2. 代码实现和需求一致；测试用例能验证需求；
   3. 基线内的文件，版本引用全部对得上，变更也对得上
6. 可追溯性：
   1. 确保需求->设计->开发->测试的信息传递正确，各种资料都有编号和版本号，引用起来唯一对应
   2. 版本迭代都有记录并经过评审
   3. 规范和准则是怎么定出来的，要描述清楚。例如是参考哪个行业规范、经过了怎样的试验和数据分析。
7. 经过验证：经过测试、评审等等，保证稳定、成熟
8. 充分有效性：能直接证明目标或结论
9. 可修改性（有源码）、格式规整
10. 语文水平：用词准确，文字精练，语法、修辞正确，逻辑性强，结构严谨，词语搭配恰当

当这些原则都要严格符合时，各类文件的编制会变得非常繁琐，工作量可能翻倍，这是适航成本高的原因之一。

DO-178和DO-254大部分只说做什么，不会讲怎么做。具体做法只需要符合原则就行，没有模板，局方通过专业背景知识和常识来主观判断是否符合原则，会有答辩的过程。

7.5 适航审查

局方

在不同语境下可以指民航局、适航司、地区管理局、适航审定中心、适航审查组、前述5种组织中的人员。

审查组是针对具体项目组建的，负责审查适航资料和现场目击试验，其人员包含审查组组长和审查代表。当局方人手不足，就会委派和授权“委任代表”帮忙审查。审查组的特点：

• 人员专业，见识过很多项目，甚至会去国外对进口航空器做审查
• 局方有自己的KPI，比如每年签发多少份审定资料。只要申请人表现专业，没有必要故意为难。
• 到申请人的场地驻场审，可以来很多次。也会去供应商那里。
• 申请人做简单介绍后，局方审资料，商业机密可以只在公司电脑查看。——同理，不要指望局方透露竞争对手的做法和机密。
• 审查的严格程度是具体情况具体分析。分很多场景：公司是否有已取证项目；是否经外国局方认证；主机厂商还是供应商；取TC还是PMA、CTSOA；DAL等级；航空器分类，如大小飞机；业界是否有成熟经验，即审查组有资料可查；审查员自身水平 等等

《民用无人机系统适航审定项目风险评估指南（试行）》里的表格，非常概括地列出了审查的要求：

表1申请人管理体系风险要素评分表

执行问题

申请人在研制过程中的问题：

局方是为公众负责，不是为申请人负责。因设计和制造导致的事故，第一主责方是申请人，局方最多承担不尽责的舆论压力，而申请人可能因赔偿而倒闭。

执法问题

局方审查过程的问题：

局方不会管的问题，也不能作为申辩理由：

• 低效，如部门墙、文山会海。
• 项目进度
• 成本，商业回报

信心

从前述可知，局方并不能完全肯定产品质量是OK的，可是自己又要被追责，那么审查组最终凭什么签字？凭的是他们对申请人的信心（confidence），而申请人的各种证明，实质是表明自己有多么尽力以增强局方信心。局方签发的不只是批准，还有信任（trust）。

管理和执行是两种不同的方法论。不用知道怎么做出来的，也能做好一个质检员，敢下结论是基于常识和检验领域的专业知识来做判定。我们有亲身体会：说怎样做是不对的，可以说一大堆；怎样做是对的，却没人能说明白。检查监督的核心工作是把自己认为有风险的地方都至少验证一遍。所以说，审的是风险。风险来自何处，如何抑制或排除风险？——这是审查方法论的根本。

增强信心的过程比较漫长，降低却很快。这是因为生物有趋利避害的天性。心理学对于信任积累的总结是：

1. 人与人通过基本的诚信来达到相互信任的目的。
2. 通过别人（二者或三者）的介绍来信任别人。
3. 多次信守承诺，就会使信任越来越强。

简言之，申请人需要在方方面面都做好，技术上不要犯低级和严重的错误，思想上要诚实守信。

另外，从置信度出发，和局方讨论时没有明确适航要求的事项时，论据的说服力从大到小是：

• 成熟理论
• 权威期刊发表的论文
• 专业人员或机构做的试验
• （测试条件通常有差异的）真实大数据
• 分析计算

7.6 生产审定管理

具体的程序请参考《AP-21-AA-2023-31R2 生产批准和监督程序》、《AP-21-AA-2023-32R1 轻小型航空器生产许可及适航批准审定程序》。可简单了解下面这些：

• 工厂端需要取PC证。
• PC证的审查目标是制造符合设计，为了更好制造，设计本身要有一定考虑或妥协，有配合工作
• 制造符合性检查在试验样机和生产阶段都要做，局方可授权给DMIR审查。
• 在取得PC前，可以依据TC进行生产，这也是生产审定管理的内容，在CCAR-21部里有说。
• 类似DAS，取PC证会要求有质量系统

官方流程图：

7.7 运行符合性评审

CCAR-21部第十五章规定了运行符合性评审的内容，并由AEG来审查。CCAR-91部是基础，121、135、136部是具体航空器类型的更高要求。无人机按92部执行。

运行评审的难度比设计评审低，这里只列举一些重要AC：

• AC-91-011R2 航空器的持续适航文件
• AC-91-010R2 国产航空器的运行符合性评审
• AC-91-024R1 航空器的运行文件
• AC-91-FS-2016-32 航空通信程序指南
• AC-91-FS-2015-27 飞行程序

下一章《大话适航（八）学习-CSDN博客》