设计保证体系建设和审查的专题研究之三
——设计保证若干热点研究

贾少澎 朱宁文 谈心刚 曹继军 陈玉英 / Jia Shaopeng Zhu Ningwen Tan Xingang Cao Jijun Chen Yuying

(中国商用飞机有限责任公司,上海200120)



设计保证体系建设和审查的专题研究之三
——设计保证若干热点研究

贾少澎 朱宁文 谈心刚 曹继军 陈玉英 / Jia Shaopeng Zhu Ningwen Tan Xingang Cao Jijun Chen Yuying

(中国商用飞机有限责任公司,上海200120)

对航空主机企业实施设计保证体系的现状以及若干热点进行了研究，包括国内设计适航和设计保证的现状、如何开展设计保证独立监控、设计保证体系对持续适航的要求、设计保证体系和质量管理体系的关系等。 为我国航空主机企业在现有适航管理基础上建立和实施设计保证体系和独立监控管理提供参考。

设计保证体系；内部监控；持续适航；质量管理体系

0 引言

“设计保证体系”这个术语，翻译自英文Design Assurance System(简称DAS)。也有翻译成“设计保证系统”的，差异只在于最后一个词“System”的翻译不同。在工业界，“体系”这个词使用比较普遍，已经成了标准化术语。但是在航空器型号合格审定程序(AP-21-AA-2011-03-R4)中，译成“设计保证系统”，沿用了局方“质量保证系统”的类似译法。因此，本文在叙述局方的要求时(包括直接和间接叙述)，就使用“设计保证系统”这个说法，除此以外，采用“设计保证体系”的说法。

设计保证体系在国内还是一个比较新的概念。在部署和实施设计保证体系的实践中，国内各企业经常会面临一些同样的问题或困惑。解决这些问题对于设计保证体系的建设和审查是至关重要的。本文是设计保证体系建设和审查的若干专题研究系列论文的第三篇，挑选了当前设计保证领域一些研究热点，结合国内外可获得的资料进行了深入研究，给出了解决的方法和建议。

1 设计保证体系是我国工业部门提高适航管理的一个契机

由于国内适航管理起步较晚，而且大多数航空企事业单位都是从军机发展起来的，民机业务所占份额相对较小(中国商飞、中航商发等少数企业除外)，由此造成目前国内航空工业在设计、制造的过程中，适航管理工作仍处于一种相对被动的局面，无论是国内主制造商还是各级供应商，与国外先进航空器设计制造商相比,都存在一定差距。

目前，在我国民用航空器型号研制过程中，适航管理工作的介入时间通常较晚，往往是在型号初始设计完成后才开始进行适航取证的相关工作，而适航管理的工作也主要是为满足取证需要，设计部门向局方提供相关证明文件，而且其中很多证明资料需要根据适航要求临时编写，甚至需要重新进行相关验证试验，并且绝大多数设计人员在型号设计过程中并不了解适航要求，设计方法也多是利用以往军机设计的相关经验，其间并没有融入适航理念，最终申请型号合格证时才意识到需要用适航标准进行评价，此时发现对于无法满足适航要求的设计，改进起来非常困难。

空客公司将适航纳入设计保证体系。适航职能属工程部门领导，将设计与适航捆绑在一起，便于适航要求和指令直插设计第一线，设计中的问题可得到及时了解和处理，从而由通常的“被动适航”变为“主动适航”，既提高设计的质量，又有效地推动适航审查进程。

在民用飞机适航审定中，通常应该按照适航当局的标准和法规进行操作。但由于现代飞机研制情况非常复杂，适航当局的标准和法规需要细化，要转化为可操作的细则。适航部门要完成这个工作难度很大，让研制部门去完成则更为合适。空客公司的研制部门依据适航标准，编制了很多被适航当局认可的操作程序，这不仅方便了研制部门的使用，更有利于适航当局的审查，也深化了民航适航法规的理解，使研制部门在主动适航中有了自己的操作文件。

从国内外适航管理对比可以看出，目前国内工业部门在型号研制过程中对航空器适航性的设计验证工作还处于较为被动的局面，尚未将适航管理理念完全融入到设计过程中，这使适航取证过程显得繁琐困难。为改善以上局面，航空工业设计部门亟需建立自己的设计保证体系，包括可以保证航空器适航性的组织机构及权限，详细规定适航和设计部门的职责，研制航空器应遵守的适航管理程序等，要求按适航的标准设计飞机，确保设计符合适航要求，并进行表明符合性的验证。有了设计保证体系，研制部门的设计和适航就可以纳入正确的管理渠道，就会有法可依，可以变“被动适航”为“主动适航”，研制管理就会进入良性循环。

在工业部门建立设计保证体系的过程中，有以下一些建议。

(1)应该确保设计保证体系是实际可行并强制执行的，其中的组织机构不能虚设，必须履行各自的职责，这也就要求必须要建立一支强大的适航团队；

(2)应制定设计保证手册及程序文件，包括民用航空器设计过程中应遵循的适航性要求，这需要深刻理解适航标准，并结合已有型号的成功经验，使设计保证手册成为民用航空器型号设计的依据和准则；

(3)设计保证体系中对航空器适航性的要求要在研制过程中逐一贯彻，每一名设计人员都应该熟知并在设计过程中加以保证；

(4)建议适航当局通过一定的形式如咨询通告(AC),向航空工业部门提出如何建立设计保证体系的技术指导。

设计保证体系应该获得适航当局的批准或认可，同时，局方在认可主制造商及其供应商设计保证体系及设计保证能力后，可以考虑逐步将部分适航取证审查工作交由主制造商及其供应商的委任代表完成，这样可以大大加快型号合格审查速度，也可以缓解适航当局因型号增多而带来的合格证审查压力。

2 如何开展设计保证体系内部监控活动

2.1 设计保证体系内部监控的概念

设计保证体系内部监控是一个比较新的概念，目前国内存在很多理解上的误区。内部监控活动主要有哪些类型/包括哪些内容、内部监控(Independent Monitoring)与设计符合性独立核查(Independent Checking)的区别、对供应商的独立监控、内部监控活动如何策划和执行、内部监控活动的周期、内部监控活动的管理部门、设计保证体系内部监控与质量体系内部审核的异同等，都是设计保证体系的热点话题。本文通过对EASA相关适航规章要求和指导材料的分析以及对空客、欧直等设计组织的内部监控活动实践材料的调研，回答了这些热点问题。

设计保证系统(DAS)通过一系列的机制来维护，这些机制确保设计组织遵循了足够的、适当的程序，切实履行了职责。EASA 21部 21.A.239(a)(3)进一步要求设计组织应独立监控设计保证系统程序文件的充分性和对这些程序文件的符合性。监控系统必须包含对负责纠正措施的人员或组织机构的反馈系统。

设计保证系统利用其特有的独立监控系统进行评估和监督。评估的目的是恰当地评估和记录对DAS的任何更改。如果设计保证系统有重大更改(如EASA 21部21 A.247)或对DOA的批准条目进行更改(21.A.253)，需要向EASA提出申请。监督的目的是验证DOM程序的持续充分性和执行力。

2.2 设计保证体系内部监控和设计符合性独立核查的区别

通过上述分析可知内部监控(Independent Monitoring)是对设计保证系统的体系监控，目的是确认设计保证手册及其程序文件对规章要求的充分性和体系运行对手册及程序文件的符合性。而独立核查功能(Independent Checking Function)的概念则完全不同。

独立核查功能是由设计/符合性数据生成系统/人员之外的独立人员对设计符合性进行的核查，通过在设计/符合性文件/资料上签署来表明EASA 21部21A.239(b)所要求的表明符合性的独立核查功能已经执行。通常独立核查是由符合性验证工程师来完成的。

如果独立核查必须利用覆盖几个专业的文件(比如和各种ATA章节相关)来证明，在签署独立核查之前，符合性验证工程师可能要求咨询或者由其它相关领域的符合性验证工程师进行可能的额外验证。

2.3 内部监控的形式

首先，对于设计保证系统要进行一个初始评审，确认设计保证系统对于相关适航法规的符合性。

在产品研制和设计保证系统实施运行的过程中，设计保证系统是不断更改的，且必须对这些更改进行评审，并考虑在批准和执行这些更改前应怎样对它们进行管理和记录。

更改分为内部和外部。只要设计保证系统发生了更改，就要进行评审。对外部合作伙伴、供应商、设计工作共享各方的更改同样也是对设计保证系统的更改，应进行评审。当分配给合作伙伴/分包商的工作包发生改变时，有必要确保合作伙伴/分包商的设计和适航能力是充分的。

在初始评审阶段成功完成后，进入到定期的设计保证监督阶段。

设计组织通过监督来验证设计保证手册/程序的持续符合性和充分性、适宜性。监督的形式包括程式化的定期体系审核、在识别出重大缺陷后进行的特别调查、对分包商/合作伙伴进行的定期设计保证体系评审、分析处理适航当局提出的设计保证问题、工作实践的日常监控等。

程式化的定期体系审核是指对设计保证手册和程序的实施符合性进行定期审核。这种审核通常可以由适航保证部门进行策划，然后交由独立的审核部门执行。

特别调查是指在识别设计保证体系存在重大缺陷后，设计保证系统管理层可能请求适航保证部门在相关专家的支持下开始一个特别调查，以确定缺陷的根本原因，实施相应的解决方案。

对合作伙伴/分包商的初始评审完成后，同样需要进行定期的设计保证审核，主要依据是设计组织界面文件(DOID)。

日常监控是指要求设计保证系统的所有人员向适航保证部门报告日常工作中发现的任何潜在偏差。来自日常工作的反馈甚至可以是通过备忘录、电子邮件、非正式讨论等形式。

设计组织的独立监控职能还有一项职责是与局方的设计保证评审小组对接，迎接局方监督审查，对局方发现的问题组织内部整改。

2.4 内部监控的管理职责和周期要求

通常内部监控需要满足独立性要求，理想的情况是与设计组织平级有一个内部监控部门，但实际上很少有组织专门成立一个内部监控部门，目前的内部监控职能多依赖于组织的某个熟悉适航、与适航关系密切的部门，如空客的产品完整性部门。

前面章节介绍了组织的内部监控有多种类型的活动，这些活动应由具备上述特征的部门进行统筹策划和管理。策划后，其中的程式化审核可以交由组织的专业化审核部门或具备资格的设计保证审核人员按照审核计划来进行操作。例如空客就是由产品完整性部门的适航保证办公室(EAOD)对各类内部监控活动进行总体管理和规划，然后其中的程式化审核交由审核部门进行审核。

审核周期在EASA的规章和指导性材料中都没有提及，调研后发现，一般默认的做法是每三年需要对设计保证系统全部要素和过程审核一遍。目前空客、欧直都是这样做的，这也是符合民机研制规律的。建议结合型号研制进展，每年选取若干设计保证专题要素/过程管理进行审核，但是三年累计下来应该覆盖设计保证全部要素和过程。如有特殊情况需要延长周期，需要得到适航当局的特别许可。

3 设计保证体系对持续适航的要求

设计保证体系应当确保在产品交付用户后的运行过程中，以及在产品设计更改的过程中，其产品仍然符合适航标准和环境保护要求。具体而言，EASA对持续适航主要提出了两个方面的要求。

3.1 涉及持续适航文件的生成、颁发和修改方面的要求

设计保证系统应根据相关的适航标准，编制和更新为保持适航性所需的所有维修手册和运行说明(包括服务通告)。因此，设计保证系统应当确定相关程序以制定这些文件，提交EASA批准或者利用EASA赋予的批准权限批准并发布文件及文件清单，并应当确保文件分发到所有受影响的运营人和局方。

EASA的设计组织批准(DOA)体系中关于运行和持续适航文件的生成、颁发和修改方面的具体做法如下。

(1)MMEL与MRBR：由设计单位提出草案，局方批准(其他AEG文件类似，除了ICA文件)；

(2)ICA文件及其改版：由DOA持有人编制并批准；

(3)SRM及其改版：由DOA持有人编制并代表局方进行批准；

(4)SB及其改版：由DOA持有人编制并代表局方进行批准。

3.2 涉及不安全事件的报告，分析和改正措施方面的要求

EASA要求DOA持有人按照EASA的要求报告机队存在的不安全状态，并按照EASA的要求及时发布改正措施，防止与纠正机队存在的安全风险。

实际上由于人力资源有限，EASA在颁发适航指令纠正机队不安全状态的活动中，倚重DOA持有人建立的不安全信息收集、分析和风险评估以及改正措施制定与发布体系。

为了维持其所设计产品的持续安全运行，DOA持有人必须建立程序，收集运行、维修与设计、制造方面的各种事件信息，按照适航规章的要求向局方报告，当局方认为机队存在不安全状态需要颁发适航指令时，DOA持有人必须向局方提供改正措施方面的所有信息。

3.3 持续适航体系

设计保证系统中，为确保上述局方要求得到统一有效实施而在组织内制定的相关程序文件的集合，也构成了一个小的管理体系，就是持续适航体系。根据各国局方的不同要求，持续适航体系作为设计保证系统一个重要的、相对独立的子体系，可以进行单独评审和批准。例如中国适航当局就在咨询通告AC-21-AA-2013-19《型号合格证持有人持续适航体系的要求》中提出了对持续适航体系的建立和审批的要求。

4 设计保证体系(DAS)和质量管理体系(QMS)之间的关系

在CCAR-21-R4(草案)以及AP-21-AA-2011-03-R4中要求设计组织应当表明其已经建立并能够保持一个设计保证系统，对申请范围内的民用航空产品和零部件的设计及设计更改进行控制和监督。

大多数申请人的现状是，在接触适航要求之前，或者在建立设计保证体系之前，不论是专门的设计研究所，还是包括了设计研究部门的企业，都已经有了一个质量管理体系，而且大多还得到了ISO 9001、GJB9001、AS9100的认证。因此，一系列不可避免的问题就会自然而然的产生，例如：设计保证体系和质量管理体系有什么关系？是建立两套单独的体系文件还是建立一套能覆盖所有要求的复合体系文件？这些问题解决不好，会在企业内部产生很大冲击和很多矛盾，可能会导致体系执行的思维混乱和体系的效率低下，最终反映到产品安全上。而且，质量管理体系在工业界推行三十多年了，已经深入人心，就连各国的政府部门如美国的FAA、DOD、NASA也非常推崇质量管理体系，适航审定的局方能否借助民机行业已有的成果来进行更有效的管理和监控，也是一个很有意义的话题。因此，有必要对设计保证体系和质量管理体系的概念、背景、目的、范围、相互关系进行深入的剖析。

4.1 两者的概念和背景：

下述术语定义根据ISO 9000:2005(GB/T 19000-2008)给出。

(1)质量：一组固有特性满足要求的程度。

(2)管理体系：建立方针和目标并实现这些目标的体系。

(3)质量管理体系：在质量方面指挥和控制组织的管理体系。

(4)适航目前没有法规意义上的定义，民航界公认的定义为：适航是按照公众批准的最低安全要求持续飞行的航空器的固有品质。航空器能在预期的环境中安全飞行(包括起飞和着陆)的固有品质，这种品质可以通过合适的维修而持续保持。

(5)适航体系：根据适航要求，针对不同取证目的，分为设计保证系统、(生产)质量控制系统、维修组织系统等。

(6)设计保证系统：指申请人为了落实设计保证所规定的设计保证措施所需要的组织、机构、职责、程序和资源。

(7)(生产)质量控制系统：指申请人为了落实生产控制保证每一生产的产品都能符合型号设计并处于安全可用状态所建立的组织、机构、职责、程序和资源。

从上述定义可以看出，质量管理体系有广义和狭义之分。狭义的质量管理体系只针对适航要求中的批生产的质量控制系统，在这方面，设计保证体系和质量管理体系/质量控制系统的关系是清楚的，两者有前后的顺序，有证后管理方面的接口，如设计更改、持续适航和供应商管理等。但是，广义的质量管理体系包括的范围就非常广泛了，贯穿从设计研发、生产制造、交付、交付后服务的整个寿命周期。可以说它和适航要求的设计保证系统、质量控制系统、维修组织体系等都有密切的关系。本文重点剖析的是设计保证系统和广义的质量管理体系之间的关系。

建体系需要有标准。现在质量管理体系的标准有很多，对于航空产业而言，目前最权威的是AS 9100国际航空航天质量管理体系标准，它是国际航空航天质量组织(IAQG)制定的规范整个航空航天产业链的质量管理体系标准，具有下述六个特点：(1)基础扎实：AS 9100基于深入人心的ISO 9001质量管理体系标准，在其基础上增加了航空航天的特殊要求；(2)全球性：由国际航空航天质量组织(IAQG)负责在全球协调统一，以应对航空航天工业全球化带来的风险；(3)对法律法规的重视性：它强调了满足法律法规要求的重要性，其中DOD、FAA、NASA等政府部门代表都参与了起草；(4)覆盖面广：AS 9100标准覆盖整个产业界，从设计与开发、制造、修理、一直到分销及支持服务，从主机厂所一直可以传递到零部件、原材料制造商；(5)先进性：减少不同地区和不同客户之间的特殊要求，减少二方审核，统一航空界的期望，提高体系运转效率，改进产品质量，提高安全水平，降低质量成本；(6)规范性：AS 9100标准已经建立了一整套国际化规范化的认证审核和发证体系，企业通过独立第三方认证机构认证后不但能得到权威的证书，还能在互联网数据库中注册。这样可以充分和简洁地向其顾客表明其制造和交付合格产品的管理能力。

设计保证系统、质量控制系统等适航体系则直接来源于适航规章和程序中的要求，如CCAR-21-R4(草案)、AP-21-AA-2011-03-R4等。设计保证系统的要求作为适航体系的一部分，也具备适航要求的一些特点：(1)公众性：由代表公众利益的局方制定和颁布；(2)强制性：适航要求是必须满足的最低要求，是法律要求；(3)各国的适航标准基本一致，如FAA、EASA和CAAC，在管理程序类略有差异；(4)传递性：由局方通过法规程序文件传递给申请人，申请人根据其任务分包，也要将适用部分传递给其供应商，作为一个完整的设计保证系统来面对适航；(5)前提性：目前在EASA和CAAC，设计保证系统的通过是取得TC的前提条件之一。只不过，在EASA是要发DOA证书来批准设计保证系统的；而CAAC则是用型号审定信函来表示批准，并不单独发证。

4.2 设计保证体系和质量管理体系的目的、范围和认证起源

AS 9100质量管理体系的目的和适用范围如下：

(1)为下述需求的组织规定了质量管理体系要求；

(2)需要证实其有能力稳定地提供满足顾客和法规要求的产品；

(3)通过体系的有效应用增强顾客满意；

(4)覆盖航空、航天、防务系统整机及零部件的设计与开发、制造、大修、分销及支持服务；

(5)不分军机还是民机。

AS 9100质量管理体系认证任务的起源，最直接的发起往往来自于供应链顶端客户的要求：

(1)几乎所有的主机厂和主要制造商都已经将该标准作为供应商进入其供应链的最低门槛，例如波音、空客、罗罗等。

(2)通过要求的逐层传递，可到达供应链的最底层。

AS 9100质量管理体系认证在国际航空航天质量组织(IAQG)的推动下，已经建立了一整套国际化、规范化的认证审核和发证体系和流程，由国际上独立的第三方认证机构审核、发证，并在OASIS数据库上注册，全球范围内可方便查询。

适航体系(设计保证体系和质量控制系统等)的目的和应用范围：

(1)为向公众和局方表明其组织体系有能力保证设计和持续生产出符合适航要求的产品并获得适航证件目的而建立；

(2)主要针对型号合格证、生产许可证、TSOA、PMA的直接申请人，某些要求也应传递给不和适航当局直接接触的供应商；

(3)仅在民机适航产品上有强制应用。

适航体系(设计保证体系和质量控制系统等)认证任务的起源显而易见是来自于代表公众利益的适航规章、程序的要求(CCAR-21-R3，AP-21-AA-2010-03-R4, AP-21-AA-2010-04R4等)：

(1)企业为了满足适航要求，为了取得型号合格证和生产许可证，必须建立设计保证体系和质量控制系统；

(2)申请TSO和PMA等适航证书的企业参考AP-21-AA-2010-04R4建立质量控制系统，并建立同其产品安全等级和复杂度相适应的设计保证体系。

适航体系(设计保证体系和质量控制系统)审查由代表公众利益和最终用户的局方进行，是TC和PC发证的前提条件之一。

4.3 设计保证体系和质量管理体系的关注重点内容对比

AS 9100标准中质量管理体系要求的章节条款分布见表1。

表1 AS 9100标准中质量管理体系要求的章节条款分布

进一步对这些章节和条款进行梳理，可以看出AS 9100标准所关注的重点质量管理要求包括：产品实现策划、设计开发流程控制、技术状态管理、采购和供应商管理、首件检验、生产过程控制和检验、特殊过程/特种工艺的控制、质量要求的传递、不合格品控制、关键特性管理、追溯性管理、风险管理等。

在适航体系的要求方面，设计保证系统的要求在AP-21-AA-2011-03-R4中介绍得相对详细一些，统计和分析结果见表2。

从表2中可以看出，适航对组织机构职责、适航职能和适航工作途径及支持保障、设计更改和技术状态管理、设计分包商的管理、持续适航等方面比较关注。

而适航所指的质量控制系统的要求主要体现在CCAR-21-R3和 AP-21-AA-2010-04R4生产批准和监督程序中。通过对CCAR-21-R3 相关条款以及AP-21-AA-2010-04R4附录1《航空器合格审定系统评审大纲(ACSEP)》的分析，可以看到，适航所指的质量控制系统关注六大方面：组织管理、设计控制、软件质量控制、制造工艺过程、制造控制、供应商控制；进一步又可细分为若干关注重点：

表2 设计保证手册内容统计和分析结果

组织机构职责、工程资料的控制、构型管理、设计/工艺更改的审批、检验和试验、特种工艺控制、软件质量控制、不合格品控制、供应商管理、适航接口和工作路径等。

从技术角度看，适航要求关注的组织机构职责、工程资料的控制、构型管理、设计/工艺更改的审批、检验和试验、特种工艺、不合格品控制、供应商管理等，和AS 9100体系中的要素差异并不大。两者差异主要体现在与适航当局的接口工作方式方法、文件记录的具体格式等信息上。

适航管理体系应对的顾客是公众利益/最终用户的把关代表—局方。从这个角度出发，适航体系需要直接而明确地将适航的各项具体要求写入内部的体系文件，尤其是如何贯彻各项适航规章、程序以及与局方打交道的工作途径和接口，比如如何保障局方的权利、向局方报告、制造符合性检查、符合性验证工作的开展等。这些细节在AS 9100质量管理体系中一般没有具体描述。

AS9100质量管理体系也强调了FAA, EASA，NASA等适航法律法规机构的一些要求，但用的是间接的方式，在相应的标准章节中要求组织去主动识别和满足相应的法律法规要求。例如 1.1 总则、4.1总要求、5.1 管理承诺、7.2.1 c) 适用于产品的法律法规要求、7.3.1 设计和开发策划、7.3.2 设计和开发输入、7.4.2 采购信息、7.5.5 产品防护及8.3 不合格品控制等。

由于AS 9100 间接提到了满足顾客和法律法规的要求，而适航法律规章、程序等又是法律的强制要求，因此如果在认证范围内的项目不满足适航的要求，自然也违背了AS 9100的要求。

AS 9100质量管理体系和适航管理体系两者都阐释了安全性、可靠性和适航性的重要性。

AS 9100质量管理体系是一个工业界的自愿标准，它更加关注质量、成本和效率，以及持续改进。它希望带来先进的航空质量管理理念，统一航空供应链的质量期望，减少或去除顾客特殊要求，减少二方审核，在整个产品价值链内降低成本，从而使产品在市场上更加具有竞争力。

适航体系(设计保证体系和质量控制系统)是法律法规，是强制要求。它更加关注的是对适航标准(产品技术标准)、符合性验证工作、适航工作程序和接口的符合性，从而达到公众利益对安全的期望。

美国联邦航空局(FAA)对AS9100质量管理体系的态度如下：

美国联邦航空局确认AS 9100“是一个全面质量标准，包含了当前联邦法规汇编第21部所要求的基本质量控制/保证要素”。

FAA对AS 9100的态度如下：“航空器审定服务部门相信有效实施AS9100将提升组织的整体绩效水平，确保‘在组织的质量体系文件中包含或引用适航当局施加的其它体系要求’的承诺得到严格遵守。 尽管FAA并不强制要求AS 9100标准中建立的补充要素的应用，但FAA承认其在提高组织效率、降低成本与减少系统变差方面为航空业带来的好处”。

4.4 设计保证体系和质量管理体系在申请人文件体系上的关系

从前面的论述可以看出，设计保证体系、质量控制系统等适航体系和目前工业界普遍实施的质量管理体系在实施目的和关注重点方面是比较一致的，二者有着比较好的契合点。因此有可能在文件体系上可以融会贯通。

工业界对此也有着比较强烈的需求：当前，一家企业需要面对来自不同方面的认证要求，需要部署实施来自不同方面的体系要求，如质量管理体系、转包生产体系、国军标体系、环境管理体系、职业健康安全体系、设计保证体系等。显然，对于一家单位，多套体系文件会使企业的管理头绪更加复杂，对企业的运行造成一定的混乱和运转效率的低下，特别是在执行层面上的文件体系，如果做一件事，有多个文件在规定，执行人员难免会产生思维上的混淆和执行效率的降低。

笔者以为，不期望哪一种体系能够完全替代另外一种体系，但是，所有的体系共同构成一个公司的管理体系库。在管理体系库这个大概念下，可以包容质量保证体系、国军标体系、转包生产体系、环境管理体系、职业健康安全体系，当然也可以包容适航体系和/或设计保证体系。这个管理体系库应该是有层次的，如图1所示。

图1 管理体系库树状图

从图1可以看到，一个公司所有执行层面的程序文件、制度文件、作业指导书等，都是各体系可以共享的，它们共同构成了公司管理体系的坚实基础。而针对不同方面的认证需求，用不同的管理手册来阐述对认证标准的符合性，并在不同的手册中通过引用的方式将各自相关的程序文件有机地串起来。最终，这些程序、手册都服务于企业的管理宗旨和管理理念，也就是最顶层的企业管理手册。

为什么需要对不同的认证需求建立各自的管理手册呢？这是因为，不同的认证来源，有各自的认证标准和审定的官方机构。尽管前面分析了这些标准所体现的要求是基本一致的，但是同时也要看到这些标准文件的阐述角度和结构形式是有差异的，为了更好地表明对各自认证标准的符合性，且更好地与各自的认证官方机构接轨，需要用更加具体化的一本手册/大纲来对应。

但是，没有必要为应对每一种认证及每一套体系，重新开发所有的程序文件或制度文件。每一种认证，当然有自己的特殊要求，为这些要求理应编制相应的特色文件。但是肯定也会有不少共性通用的文件，对于这些文件，大家都可以充分利用公司现有的管理体系文件库，从中选取，或者略加修改，就可以直接使用。例如，大量的检验系统的文件就属于这一类。

质量体系和适航体系(设计保证体系、质量控制系统等)的关系也可以此类推。适航认证的特殊性、专业性要求有不少，主要体现在对适航标准的贯彻、符合性验证以及适航工作特有流程等方面。适航体系需要直接而明确地将适航法规的各项具体要求贯彻写入内部的体系文件，例如与局方的工作关系、如何保障局方的权利、制造符合性检查、符合性验证工作的开展等。这些要求在企业原有的AS 9100质量管理体系中是不太可能写得很具体的。因此必然要为适航认证编制相应的管理文件。但是还要看到，还有相当大比例的文件是可以从公司的质量体系文件中引用的，或者略加修改完善之后再引用的。因此，在原有的质量管理体系基础上建设适航体系时，需要对原有的体系文件库进行梳理，梳理的结果有三种情况：(1)如果现有的某份文件能完全满足适航的需求，通过设计保证手册进行有机的关联，将它直接引用进来；(2)如果现有的某份文件基本能满足适航的需要，需要略加修订，然后再将它引用到设计保证体系内；(3)如果现有的文件不能满足适航的需要，则需要编制专门的文件。

5 EASA对EC175项目设计保证系统评审情况介绍

5.1 EASA对申请人设计保证系统的审查和批准过程

EASA在对申请人提交的申请进行技术审查的同时，也会组成团队审查申请人的设计保证系统。审查通常会持续2～3年，首先开展手册与程序的预评估，通过之后再展开现场审查，在审查过程中，审查组将与技术审查团队保持密切沟通，相互支援。而设计保证系统审查完毕之后，将等待技术审查团队完成审查工作，确认产品符合适航标准和环境保护要求后，颁发DOA证书。

EASA批准之后DOA长期有效，除非放弃 。而当EASA发现DOA持证人存在问题时，也有权暂停或吊销证书 。

EASA要求DOA持证人跟踪和记录设计保证系统的变更情况，当涉及重大变更时EASA将重新进行设计保证系统审查。

5.2 EASA对申请人设计保证系统内的合作伙伴/供应商的审查实例

以中欧双方合作的EC175直升机项目为例，在这个项目中，面对EASA的适航申请人是欧直公司，中方单位是欧直公司的设计合作伙伴/供应商。

欧直建立设计保证体系并通过EASA的DOA评审以后，EASA将定期(每三年)对欧直的DOA体系(包含其合作伙伴或供应商的设计保证体系)进行评审，以确保其持续良好运行。在这三年期间，欧直的独立监控职能部门将每年执行对设计保证系统(包含合作伙伴或供应商的所有适用流程/程序)的内部审核，并将审核结果报EASA。

下面就以EC175直升机项目为例，简单介绍EASA和欧直公司对中方合作伙伴设计保证体系的评审。评审流程如下：

(1)欧直适航部门(设计保证体系)上报评审计划给EASA并约定评审时间；

(2)由欧直适航部门给中方发送评审预约书(评审前至少三个月)，通知评审的日期、地点和主要评审事项等，评审项目根据之前欧直内部审核和局方评审的发现来确定；

(3)为提高评审效率，评审前至少1个月欧直将发送评审问题清单给中方，中方将根据评审问题进行准备，包括确定负责单位、准备问题的答案和证据等，并提前半个月反馈给欧直，证据在现场审核时提供；

(4)召开首次评审会议(opening meeting)，按评审预约书向被评审人通知需要评审的事项，并确认评审单位的相关负责人在场；

(5)按评审问题清单逐项开展评审，包括提问、查阅证据、现场检查等；

(6)召开末次评审会议(closing meeting)，通过评审记录表(DOA Audit Record)被评审人告知评审中的发现(优点、偏离、改进建议等)，并由欧直和中方伙伴签字确认。

EASA于2012年对EC175项目中方合作伙伴进行了设计保证体系的评审，评审的记录包括评审议程、设计组织评审检查单/记录表和评审结论。这次的评审内容包括设计组织接口文件DOID的管理和更新、试验管理、培训和人员资质、文件记录的管理、设计保证系统的内部监控、其它可能评审的项目等6个要素。对每个评审要素，检查单引用了EASA中相应的条款，DOID中的章节和组织自己的程序文件。

6 结论

本文是设计保证体系建设和审查若干专题系列论文第三部分，基于国内民机工业界适航管理和设计保证现状，对如何快速和有效地建立和实施设计保证体系中的一些热点问题进行了深入分析研究，对设计保证系统和质量控制系统、持续适航体系、质量管理体系之间的关系进行了梳理和澄清，对我国企业如何开展设计保证内部监控给出了指导建议，并结合EASA评审给出了案例。随着国内民机企业适航管理和设计保证意识的提高，目前大多数管理类的热点终将一一破解。而随着设计保证体系的充分实践，也可能会出现一些技术类的热点或难点，需要在实践中去不断解决。

[1] 中国民用航空局.CCAR-21-R3 民用航空产品和零部件合格审定规定[S].北京：中国民用航空局，2007.

[2] 中国民用航空局.AP-21-AA-2011-03-R4 航空器型号合格审定程序[S]. 北京：中国民用航空局，2011.

[3] EASA, EU No 748/2012 Annex I Part 21 Certification of airplane and related products, parts and appliances, and of design and production organizations[S]. 2012.

[4] 中国民用航空局.AP-21-AA-2010-04R4 生产批准和监督程序[S]. 北京：中国民用航空局，2010.

[5] 中国民用航空局.AC-21-AA-2013-19 型号合格证持有人持续适航体系的要求[S]. 北京：中国民用航空局，2013.

[6] SAE, AS9100 C, Quality Management Systems - Requirements for Aviation, Space and Defense Organizations[S]. 2009.

Design Assuracne System Establishment and Evaluation-Research of Several Hot Spots

(Commercial Aircraft Corporation of China,Ltd. ,Shanghai 200120,China)

This paper carries out detailed analysis and research of several hotspots in the implementation of design assurance system for civil aircraft manufacturers, which include the current status of domestic industry airworthiness and design assurance, how to carry out independent monitoring of design assurance system, the continued airworthiness requirements of design assurance system, the relationship between DAS and QMS, etc. The research provides beneficial reference and proposals of the establishment and implementation of design assurance system and independent monitoring based on the current airworthiness management basis for domestic civil aircraft manufacturer.

design assurance system；independent monitoring； continued airworthiness；QMS

V221

A