民用飞机主制造商设计保证系统的建设方法

李 琳 赵程广

(上海飞机设计研究院，上海 201210)

0 引言

运输类民用飞机型号投入市场商业运营的前提是获得适航当局颁发的型号合格证，获得型号合格证的前提是通过型号合格审定过程。型号合格审定过程中，为证明型号设计满足适航规章及环境保护要求，主制造商需要识别型号设计适用的适航规章及环境保护要求、策划并实施相应适航符合性验证用于表明其型号设计满足相关适航规章及环境保护要求，适航当局通过符合性审查活动以符合性证据为基础确认型号设计对适航规章及环境保护要求的符合性。

随着民用航空运输的发展壮大，航空企业为赢得更广阔的市场机会，研制型号的数量越来越多、周期要求越来越短。加之航空工业技术的快速发展，运输类民用飞机集成度和型号设计复杂程度不断增加，均客观增加了型号合格审定的工作量。面对适航符合性验证和适航符合性审查资源在数量和能力方面需求日益高涨的局势，主制造商从自身的发展要求出发，提升设计/验证过程保证和自主适航能力迫在眉睫。

通过建立设计保证系统，运输类民用飞机主制造商能够充分发挥自主适航的能力，从产品全生命周期出发保证研制航空产品的安全性，提升航空产品的品质。本文结合民用飞机主制造商自身的管理体系，按照适航当局对设计保证系统建设的要求，确立“明确职责-梳理活动-健全组织机构-优化资源配置-建立文件体系”的设计保证系统建设方案，浅析民用飞机主制造商围绕设计职能、适航职能、独立监督职能建设设计保证系统的方法。

1 适航当局对建立设计保证系统的要求

设计保证系统最早起源于欧洲。基于组织机构、手册、程序和人员的审查，欧洲适航当局对航空企业实施设计组织批准，确保航空企业充分具备设计保证能力和适航符合性能力，从而信任其型号研制对适航要求的符合性，并赋予其承担产品适航责任的权利。设计保证系统优越性的集中体现是空中客车公司的发展壮大。

1.1 欧洲航空安全局的设计组织机构批准

欧洲航空安全局(European Aviation Safety Agency，简称EASA)在EASA21.A.14条款中明确，任何申请型号合格证的组织为证明其能力，应获得适航当局颁发的设计组织批准书(Design Organization Approval，简称DOA)，设计组织批准的依据是Part21 J分部。J分部明确，获得设计组织批准的重大前提是建立完善的设计保证系统(Design Assurance System，简称DAS)。其中，EASA21.A.239、EASA21.A.243和EASA21.A.245条款详述了设计保证系统的建设要求，结合空客等欧洲标杆企业设计保证系统建设实践，设计保证系统核心职能是设计职能、适航职能和独立监督职能。因此，设计保证系统建设的重点是从航空企业的职能活动、组织机构、资源配置和程序文件等方面明确三大核心职能的落实方案，最终形成设计保证手册。

经设计组织批准后，申请人获得了EASA对其设计组织能力的信任，即EASA认为申请人具备了型号合格审定的必要知识和方法。在型号审定过程中，申请人为表明其型号设计满足适航规章和环境保护要求开展的各种适航活动、签发的符合性声明和提交的符合性验证资料，EASA不做进一步验证便准予认可。

1.2 中国民用航空局的设计保证系统

中国民用航空局(Civil Aviation Administration of China，简称CAAC)在《民用航空产品和零部件合格审定规定》(CCAR21-R4 )CCAR21.13条款中明确规定“已经表明或者正在表明具有第十四章要求的设计保证系统的申请人具备申请型号合格证的资格”，并在第十四章详细阐述了设计保证系统的具体要求。即型号合格证申请人要表明其具备民用航空产品设计能力，以确保持续有效地开展设计活动。民用航空产品设计能力的表现就是建立一个符合适航当局要求、有效运行且持续监督的设计保证系统，确保民用航空产品和零部件的设计或者设计更改符合适航规章和环境保护要求，确保设计保证系统(设计保证手册及其规定程序)对适航规章的符合性和充分性，确保向适航当局提交资料的有效性。

CCAR21.487条款进一步明确，建立了适航当局可接受的设计保证系统的设计组织，根据其设计保证系统的能力清单和设计保证系统的相关程序，享有申请型号合格证、改装设计批准书、零部件制造人批准书或技术标准规定项目批准书，确认设计更改分类，批准设计小改和修理方案的权利，即设计保证系统权利范围内的适航符合性确认由申请人自行承担，不需要局方进一步介入。

1.3 设计保证系统的核心理念

结合适航规章要求和空客公司实践来看，建立符合适航要求的设计保证系统并获得适航当局的认可/批准，既是主制造商提升设计与适航能力的可行方法，又是解决审查资源配置困难的有效措施，更是在型号研制适航验证与审定过程中，增进双方信任度、协同发展、降低适航验证与审定失败风险、提升民用航空产品研制水平和审定效率的最佳模式。

设计保证系统如图1所示，核心理念为：识别适航要求，将其作为顶层输入纳入型号研制过程，落实设计职能；明确适航要求、向设计分解适航要求，通过立法赋予设计组织符合性确认和批准权利，落实适航职能；开展持续的体系审核，保持设计组织的设计保证能力，落实独立监督职能。

图1 设计保证系统示意图

2 设计保证系统建设方案

基于民用飞机主制造商的管理体系，根据中国民用航空局颁布的《民用航空产品和零部件合格审定规定》(CCAR21-R4)和《航空器型号合格审定程序》(AP-21-AA-2011-03-R4)中设计保证和设计保证系统的定义，结合标杆企业设计保证系统建设的实践经验，总结提炼设计保证系统的基本建设方案，如图2所示。

图2 主制造商设计保证系统建设方案

建设目标：制定有计划、系统性的设计保证措施，确保航空产品对适用适航规章和环境保护要求的符合性，以恰当的方式表明、证实并向适航当局演示符合性。

建设内容：通过组织机构、职责、程序和资源的安排，落实设计保证措施。

建设方法：明确设计保证系统职责，梳理设计保证相关活动，健全设计保证组织机构，优化设计保证资源配置，建立设计保证文件体系。

建设输出：设计保证手册及设计保证系统程序文件。

3 设计保证系统建设方法

结合设计保证和设计保证系统定义，以及标杆企业设计保证系统建设的实践经验，设计保证系统通常包括设计职能、适航职能、独立监督职能。设计保证系统的基本建设方法是围绕设计保证系统的三大核心职能，逐步明确设计保证系统职责、梳理设计保证相关活动、健全设计保证组织机构、优化设计保证资源配置、建立设计保证文件体系，从而形成设计保证的主要依据——设计保证手册及设计保证系统程序文件。

3.1 明确设计保证系统职责

3.1.1 设计职能

设计职能指设计组织具有实施飞机产品设计和设计更改的研发与验证能力。

1)型号研制过程，遵照适用适航规章、环境保护和运行要求，完成设计、分析、试验和试飞等研制活动，开展工程决策、重大技术问题处理的技术支持，实施型号设计资料评审和审批、设计更改、构型管理、工程资料管理，生成飞机产品设计和设计更改、改装、制造偏离处理和修理相关的型号资料(符合性验证资料和型号设计资料)；

2)型号运营过程，为持续保证飞机产品满足适用的适航规章、环境保护和运行要求，提供持续的工程支持，解决产品使用困难，不断改进与完善型号设计。

3.1.2 适航职能

适航职能主要是指设计组织应该具有明确适航要求、向设计分解适航要求、符合性自我确认和表明符合性的能力。

1)开展适航符合性策划，编制型号设计或设计更改适用的审定基础，明确型号设计适用的适航规章和环境保护要求，选取恰当的符合性验证方法，形成合格审定计划；

2)实施适航符合性独立核查，核查型号设计或设计更改的适航符合性；

3)向适航当局表明、证实和演示型号设计或设计更改的型号资料满足适航要求，以及在役飞机的持续适航性；

4)行使设计保证系统权利(设计更改分类、设计小改批准和维修方案批准)。

3.1.3 独立监督职能

独立监督职能主要是指设计组织通过实施独立监督来确保设计保证系统有效性的能力。

1)审核/评估设计保证系统(设计保证手册及其规定程序)对适用适航规章和环境保护要求的符合性和充分性；

2)监督/审核组织机构、职责、程序文件、人员资质等要素运行实际对设计保证系统的符合性和充分性；

3)报告独立监督过程中发现的问题，制定和跟踪纠正措施的落实，确保设计保证系统持续有效运行。

3.2 梳理设计保证相关活动

3.2.1 设计职能

设计职能主要开展型号设计或型号设计更改，组织实施分析与试验试飞，生成并归档型号资料，付诸制造和客户服务，以及实施过程要素管理等型号研制活动。

1)型号设计策划。型号研制初期，识别设计输入、确定设计输出、规划研制路径、策划研制活动、开展工作任务分配、确定任务责任人(含供应商选择与管理)、编制研制计划等。

2)型号设计实施。型号研制过程中，开展整机、部件/系统的设计和设计更改，组织分析和验证活动、实施过程控制(如构型管理、质量管理和项目管理)和设计评审等。

3)型号设计数据。型号研制过程中，生成型号设计数据、验证数据和符合验证数据，以及数据的传递与控制等。

4)型号运行支持。为在役飞机产品提供手册修理设计方案、完善持续适航文件、开展持续适航事件调查等。

3.2.2 适航职能

适航职能主要开展覆盖型号设计全寿命周期、确保型号设计或设计更改持续满足适航符合性要求所开展的初始适航和持续适航活动。

1) 符合性验证规划与控制。跟踪国内外最新适航动态、研究国际国内审定政策、识别适航技术标准和管理要求，制定型号合格取证策略，确定审定基础及符合性方法，编制并实施审定计划，开展制造符合性检查、适航验证试验(含确认供应商的相关适航验证活动)、实施适航符合性核查和设计保证系统适航审批等。

2) 适航当局接口管理。明确与适航当局接口管理要求、管理适航当局介入活动、推荐与管理委任代表。

3) 在役飞机持续适航管理。编制与修订持续适航文件、处理使用困难报告、收集/调查/纠正涉及飞机设计、制造与运营中的故障/失效/缺陷所引起的不安全事件、开展设计更改的适航验证。

4) 设计保证系统建设与维护。明确设计保证手册和程序文件的编制/修订、分发、归档和变更报告等要求，确保设计保证系统对适航规章的符合性和充分性。

3.2.3 独立监督职能

独立监督职能主要开展按照独立监督程序，评估设计保证系统符合性和充分性，监控设计保证系统运行有效性等监督审核活动。

1)定期与日常的内部监督审核；

2)设计保证系统运行有效性评估；

3)设计保证系统变更的评估和报告。

3.3 健全设计保证组织机构

为确保设计保证相关活动顺利开展、落实设计保证系统的职责，主制造商应结合自身的管理体系，健全设计保证组织机构，将职责和活动落实到相应的组织机构。通过梳理，设计保证组织机构包括领导机构和执行机构两大部分，形成的设计保证系统组织结构如图3所示。

图3 设计保证系统组织结构

3.3.1 设计保证系统领导机构

设计保证系统领导机构包括责任经理、适航经理和型号总设计师系统等职务/组织。

责任经理：设计保证系统总负责人，负责领导设计保证系统的规划和建立、批准设计保证手册、确保手册及相关程序落实到位，统管设计保证系统人员、财产和设备等资源的配置与调整，管辖设计保证系统运行中重大问题的仲裁和解决等。一般将民用飞机主制造商的CEO设置成责任经理。

适航经理：设计保证系统的建设者和监管人，经责任经理授权负责建立设计保证系统并实施监督管理，直接向责任经理报告系统运行情况及存在问题等。一般将民用飞机主制造商适航职能部门负责人设置成适航经理。

型号总设计师系统：型号项目设计保证的承担者，负责明确各研制阶段的任务和工作要求，开展型号项目的技术管理，监督和检查型号的技术状态，组织生成型号资料和解决项目中重大技术问题，为飞机产品项目管理决策提供技术支持等。一般民用飞机主制造商均为型号设置有总设计师系统。

3.3.2 设计保证系统执行机构

设计保证系统执行机构一般在民用飞机主制造商内部均已建立，通常包括以下几个部门。

适航职能部门：负责适航要求向设计需求的转化、参与符合性验证/管理活动和过程要素的独立监督；

项目管理部门：负责组织设计研发管理活动和适航符合性验证/管理活动及过程要素的独立监督；

设计研究部门：主要负责型号设计与验证和适航符合性验证活动；

试验/试飞部门：主要负责试验/试飞的改装设计和适航符合性验证活动；

客户服务部门：主要负责客户培训、在役飞机运行支持/修理方案设计和适航符合性验证活动；

供应商：主要负责按照合同和工作协议要求，承担主制造商产品相关的设计、试验件制造、符合性验证(含工艺验证)和持续适航技术支持等任务。

3.4 优化设计保证资源配置

为保障设计保证组织发挥作用和履行职责，主制造商需优化配置相应的设计保证资源，包括设施设备和人力资源。

3.4.1 设施设备

根据《运输类飞机适航标准》(CCAR-25)和《涡轮发动机飞机燃油排泄和排气排出物规定》(CCAR-34)、《航空器型号和适航合格审定噪声规定》(CCAR-36)等适航规章要求，主制造商识别型号研制活动(特别是型号合格审定基础适用条款对应的验证试验)所需的相关设施设备，以确保有充足的软硬件资源用于适航符合性的表明、证实和演示。主要包括：

1) 拥有设计研发所必需的固定场所；

2) 拥有或可支配控制用于原型机零部件和试验件制造的厂房设施及用于设计分析/测试的必要手段(含生成设计文件、开展载荷/强度计算分析所需的计算机辅助平台和工具等)。

3.4.2 人力资源

设计保证系统需配备充足并符合资质要求的人力资源，分别实现设计保证系统核心职能。

1)设计职能人力资源

设计职能人力资源是承担设计职能活动的人员，主要包括设计研发部门的设计人员、制造部门的工艺人员、客户服务部门的客户服务文件编制人员、试验/试飞部门的试验人员。

2)适航职能人力资源

适航职能人力资源是承担适航职能活动的人员，主要来自适航职能部门，设置适航工程师(Airworthiness Engineer, 简称AE)、适航核查工程师(Compliance Verification Engineer, 简称CVE)、授权适航工程师(Designated Airworthiness Engineer，简称DAE)和适航制造核查工程师(Certifying Staff,简称CS)等适航人员资质。适航工程师履行表明符合性等职责、适航核查工程师履行符合性独立核查职责、授权适航工程师履行设计保证系统权利批准的职责、适航制造检查工程师履行制造符合性确认职责。

3)独立监督职能人力资源

独立监督职能人力资源是承担独立监督职能活动的人员，主要来自适航职能部门和质量审核部门，设置设计保证联络员、设计保证系统审核员等独立监督岗位资质。设计保证联络员负责设计保证系统的日常监控，设计保证系统审核员负责设计保证系统的集中监控和专项审核。

3.5 建立设计保证程序文件体系

设计保证系统文件程序体系通常设置五个层次，如图4所示。

图4 设计保证系统程序文件体系框架

第一层，设计保证手册是设计保证系统的纲领性文件，用于描述设计保证系统三大职能所需的组织机构、职责、程序和资源，向适航当局表明主制造商已落实相关适航要求、具备设计保证能力；

第二层，管理程序主要描述一个或多个过程活动的输入输出、活动内容及其逻辑顺序、每个活动应满足的管理要求、过程相关方及其角色等内容的文件；

第三层，作业程序主要描述管理程序中定义的一个或多个过程活动具体操作步骤、要求、职责等内容的文件；

第四层，标准/规范/指南主要描述某项工作/活动的原则、方法或指导建议等内容的文件；

第五层，表单模板用于记录设计保证系统各类活动的标准表格。

设计保证系统的程序文件可分别围绕设计职能、适航职能和独立监督职能编制，建议的程序文件条目如表1所示。

表1 设计保证系统程序文件条目

3.5.1 设计职能程序文件

设计职能程序文件涉及型号设计/更改控制，型号资料的生成、签署、评审和归档，技术问题协调等，包括但不限于以下几方面。

1)民用飞机研制程序：规定民用飞机型号项目的研制阶段和决策门禁，以及各阶段工作内容和交付物及其评判标准等；

2)设计评审程序：规定型号研制过程中开展设计评审应遵循的流程、应关注的评审内容要点和设计评审报告的编制要求等；

3)构型管理程序：规定构型的表达方式和管理规则、测试改装构型管控方法及证后设计更改要求；

4)项目管理程序：以项目全要素管理和控制为目标，规定项目计划编制要求，明确研制工作分解结构；

5)质量控制程序：描述制造/试验偏离的控制方法、首件检验和产品验收等管理要求；

6)供应商管理程序：规定供应商的分类及评估方法，供应商选择程序与原则、供应商体系审核和质量控制要求。

3.5.2 适航职能程序文件

适航职能程序文件涉及型号合格审定/取证、适航符合性验证、适航符合性核查、结构修理和批准、持续适航管理等，包括但不限于以下几方面。

1)型号取证程序：规定型号研制过程中合格审定的阶段划分，描述各阶段应完成的适航活动和应满足的适航要求；

2)审定基础/审定计划管理程序：规定审定基础的选用原则和管理要求，审定计划的规划原则和编制要求；

3)适航符合性验证试验程序：规定研制过程中符合性验证试验的实施流程和要求；

4)适航符合性核查程序：明确适航符合性核查的实施主体，规定适航符合性核查的流程和要求；

5)适航资料管理程序：规定符合性验证资料和其他适航文件的编写和审签/审批要求；

6)持续适航管理程序：描述适航指令、服务通告和服务信函的适用范围，规定运营过程中事故/事件的处理流程和要求；

7)适航人员资质管理程序：规定设计保证系统适航人员的资质认证和管理，委任代表的推荐与管理。

3.5.3 独立监督职能程序文件

独立职能程序文件涉及内部监控原则和范围、监控活动的策划和执行、不符合项的报告和纠正措施等，包括但不限于以下几方面。

1)内部监控管理程序：规定实施设计保证系统内部监控审核、制定和管理纠正措施的流程和要求；

2)内部监控人员资质管理程序：规定设计保证系统内部监控人员资质认证和管理。

4 结论

本文在分析适航当局对设计保证系统要求的基础上，提出了民用飞机主制造商“明确职责-梳理活动-健全组织机构-优化资源配置-建立文件体系”的设计保证系统基本建设方法。型号研制实践过程中，设计保证系统仍需要结合主制造商管理体系的实际情况不断改进与持续完善。设计保证系统在中国航空产业领域属于新生事物，其实践模式仍处于业界探索阶段，具有潜在的发展空间，需要国内适航当局和民用飞机主制造商共同深入研究，逐步深化认知创造符合中国民用飞机发展规律和特色并适合民用飞机主制造商型号研制发展需要的最佳实践。