設計保證體系建設和審查的專題研究之三
——設計保證若干熱點研究

賈少澎 朱寧文 談心剛 曹繼軍 陳玉英 / Jia Shaopeng Zhu Ningwen Tan Xingang Cao Jijun Chen Yuying

(中國商用飛機有限責任公司,上海200120)

?

設計保證體系建設和審查的專題研究之三
——設計保證若干熱點研究

賈少澎 朱寧文 談心剛 曹繼軍 陳玉英 / Jia Shaopeng Zhu Ningwen Tan Xingang Cao Jijun Chen Yuying

(中國商用飛機有限責任公司,上海200120)

對航空主機企業實施設計保證體系的現狀以及若干熱點進行了研究，包括國內設計適航和設計保證的現狀、如何開展設計保證獨立監控、設計保證體系對持續適航的要求、設計保證體系和質量管理體系的關系等。 為我國航空主機企業在現有適航管理基礎上建立和實施設計保證體系和獨立監控管理提供參考。

設計保證體系；內部監控；持續適航；質量管理體系

0 引言

“設計保證體系”這個術語，翻譯自英文Design Assurance System(簡稱DAS)。也有翻譯成“設計保證系統”的，差異只在于最后一個詞“System”的翻譯不同。在工業界，“體系”這個詞使用比較普遍，已經成了標準化術語。但是在航空器型號合格審定程序(AP-21-AA-2011-03-R4)中，譯成“設計保證系統”，沿用了局方“質量保證系統”的類似譯法。因此，本文在敘述局方的要求時(包括直接和間接敘述)，就使用“設計保證系統”這個說法，除此以外，采用“設計保證體系”的說法。

設計保證體系在國內還是一個比較新的概念。在部署和實施設計保證體系的實踐中，國內各企業經常會面臨一些同樣的問題或困惑。解決這些問題對于設計保證體系的建設和審查是至關重要的。本文是設計保證體系建設和審查的若干專題研究系列論文的第三篇，挑選了當前設計保證領域一些研究熱點，結合國內外可獲得的資料進行了深入研究，給出了解決的方法和建議。

1 設計保證體系是我國工業部門提高適航管理的一個契機

由于國內適航管理起步較晚，而且大多數航空企事業單位都是從軍機發展起來的，民機業務所占份額相對較小(中國商飛、中航商發等少數企業除外)，由此造成目前國內航空工業在設計、制造的過程中，適航管理工作仍處于一種相對被動的局面，無論是國內主制造商還是各級供應商，與國外先進航空器設計制造商相比,都存在一定差距。

目前，在我國民用航空器型號研制過程中，適航管理工作的介入時間通常較晚，往往是在型號初始設計完成后才開始進行適航取證的相關工作，而適航管理的工作也主要是為滿足取證需要，設計部門向局方提供相關證明文件，而且其中很多證明資料需要根據適航要求臨時編寫，甚至需要重新進行相關驗證試驗，并且絕大多數設計人員在型號設計過程中并不了解適航要求，設計方法也多是利用以往軍機設計的相關經驗，其間并沒有融入適航理念，最終申請型號合格證時才意識到需要用適航標準進行評價，此時發現對于無法滿足適航要求的設計，改進起來非常困難。

空客公司將適航納入設計保證體系。適航職能屬工程部門領導，將設計與適航捆綁在一起，便于適航要求和指令直插設計第一線，設計中的問題可得到及時了解和處理，從而由通常的“被動適航”變為“主動適航”，既提高設計的質量，又有效地推動適航審查進程。

在民用飛機適航審定中，通常應該按照適航當局的標準和法規進行操作。但由于現代飛機研制情況非常復雜，適航當局的標準和法規需要細化，要轉化為可操作的細則。適航部門要完成這個工作難度很大，讓研制部門去完成則更為合適。空客公司的研制部門依據適航標準，編制了很多被適航當局認可的操作程序，這不僅方便了研制部門的使用，更有利于適航當局的審查，也深化了民航適航法規的理解，使研制部門在主動適航中有了自己的操作文件。

從國內外適航管理對比可以看出，目前國內工業部門在型號研制過程中對航空器適航性的設計驗證工作還處于較為被動的局面，尚未將適航管理理念完全融入到設計過程中，這使適航取證過程顯得繁瑣困難。為改善以上局面，航空工業設計部門亟需建立自己的設計保證體系，包括可以保證航空器適航性的組織機構及權限，詳細規定適航和設計部門的職責，研制航空器應遵守的適航管理程序等，要求按適航的標準設計飛機，確保設計符合適航要求，并進行表明符合性的驗證。有了設計保證體系，研制部門的設計和適航就可以納入正確的管理渠道，就會有法可依，可以變“被動適航”為“主動適航”，研制管理就會進入良性循環。

在工業部門建立設計保證體系的過程中，有以下一些建議。

(1)應該確保設計保證體系是實際可行并強制執行的，其中的組織機構不能虛設，必須履行各自的職責，這也就要求必須要建立一支強大的適航團隊；

(2)應制定設計保證手冊及程序文件，包括民用航空器設計過程中應遵循的適航性要求，這需要深刻理解適航標準，并結合已有型號的成功經驗，使設計保證手冊成為民用航空器型號設計的依據和準則；

(3)設計保證體系中對航空器適航性的要求要在研制過程中逐一貫徹，每一名設計人員都應該熟知并在設計過程中加以保證；

(4)建議適航當局通過一定的形式如咨詢通告(AC),向航空工業部門提出如何建立設計保證體系的技術指導。

設計保證體系應該獲得適航當局的批準或認可，同時，局方在認可主制造商及其供應商設計保證體系及設計保證能力后，可以考慮逐步將部分適航取證審查工作交由主制造商及其供應商的委任代表完成，這樣可以大大加快型號合格審查速度，也可以緩解適航當局因型號增多而帶來的合格證審查壓力。

2 如何開展設計保證體系內部監控活動

2.1 設計保證體系內部監控的概念

設計保證體系內部監控是一個比較新的概念，目前國內存在很多理解上的誤區。內部監控活動主要有哪些類型/包括哪些內容、內部監控(Independent Monitoring)與設計符合性獨立核查(Independent Checking)的區別、對供應商的獨立監控、內部監控活動如何策劃和執行、內部監控活動的周期、內部監控活動的管理部門、設計保證體系內部監控與質量體系內部審核的異同等，都是設計保證體系的熱點話題。本文通過對EASA相關適航規章要求和指導材料的分析以及對空客、歐直等設計組織的內部監控活動實踐材料的調研，回答了這些熱點問題。

設計保證系統(DAS)通過一系列的機制來維護，這些機制確保設計組織遵循了足夠的、適當的程序，切實履行了職責。EASA 21部 21.A.239(a)(3)進一步要求設計組織應獨立監控設計保證系統程序文件的充分性和對這些程序文件的符合性。監控系統必須包含對負責糾正措施的人員或組織機構的反饋系統。

設計保證系統利用其特有的獨立監控系統進行評估和監督。評估的目的是恰當地評估和記錄對DAS的任何更改。如果設計保證系統有重大更改(如EASA 21部21 A.247)或對DOA的批準條目進行更改(21.A.253)，需要向EASA提出申請。監督的目的是驗證DOM程序的持續充分性和執行力。

2.2 設計保證體系內部監控和設計符合性獨立核查的區別

通過上述分析可知內部監控(Independent Monitoring)是對設計保證系統的體系監控，目的是確認設計保證手冊及其程序文件對規章要求的充分性和體系運行對手冊及程序文件的符合性。而獨立核查功能(Independent Checking Function)的概念則完全不同。

獨立核查功能是由設計/符合性數據生成系統/人員之外的獨立人員對設計符合性進行的核查，通過在設計/符合性文件/資料上簽署來表明EASA 21部21A.239(b)所要求的表明符合性的獨立核查功能已經執行。通常獨立核查是由符合性驗證工程師來完成的。

如果獨立核查必須利用覆蓋幾個專業的文件(比如和各種ATA章節相關)來證明，在簽署獨立核查之前，符合性驗證工程師可能要求咨詢或者由其它相關領域的符合性驗證工程師進行可能的額外驗證。

2.3 內部監控的形式

首先，對于設計保證系統要進行一個初始評審，確認設計保證系統對于相關適航法規的符合性。

在產品研制和設計保證系統實施運行的過程中，設計保證系統是不斷更改的，且必須對這些更改進行評審，并考慮在批準和執行這些更改前應怎樣對它們進行管理和記錄。

更改分為內部和外部。只要設計保證系統發生了更改，就要進行評審。對外部合作伙伴、供應商、設計工作共享各方的更改同樣也是對設計保證系統的更改，應進行評審。當分配給合作伙伴/分包商的工作包發生改變時，有必要確保合作伙伴/分包商的設計和適航能力是充分的。

在初始評審階段成功完成后，進入到定期的設計保證監督階段。

設計組織通過監督來驗證設計保證手冊/程序的持續符合性和充分性、適宜性。監督的形式包括程式化的定期體系審核、在識別出重大缺陷后進行的特別調查、對分包商/合作伙伴進行的定期設計保證體系評審、分析處理適航當局提出的設計保證問題、工作實踐的日常監控等。

程式化的定期體系審核是指對設計保證手冊和程序的實施符合性進行定期審核。這種審核通常可以由適航保證部門進行策劃，然后交由獨立的審核部門執行。

特別調查是指在識別設計保證體系存在重大缺陷后，設計保證系統管理層可能請求適航保證部門在相關專家的支持下開始一個特別調查，以確定缺陷的根本原因，實施相應的解決方案。

對合作伙伴/分包商的初始評審完成后，同樣需要進行定期的設計保證審核，主要依據是設計組織界面文件(DOID)。

日常監控是指要求設計保證系統的所有人員向適航保證部門報告日常工作中發現的任何潛在偏差。來自日常工作的反饋甚至可以是通過備忘錄、電子郵件、非正式討論等形式。

設計組織的獨立監控職能還有一項職責是與局方的設計保證評審小組對接，迎接局方監督審查，對局方發現的問題組織內部整改。

2.4 內部監控的管理職責和周期要求

通常內部監控需要滿足獨立性要求，理想的情況是與設計組織平級有一個內部監控部門，但實際上很少有組織專門成立一個內部監控部門，目前的內部監控職能多依賴于組織的某個熟悉適航、與適航關系密切的部門，如空客的產品完整性部門。

前面章節介紹了組織的內部監控有多種類型的活動，這些活動應由具備上述特征的部門進行統籌策劃和管理。策劃后，其中的程式化審核可以交由組織的專業化審核部門或具備資格的設計保證審核人員按照審核計劃來進行操作。例如空客就是由產品完整性部門的適航保證辦公室(EAOD)對各類內部監控活動進行總體管理和規劃，然后其中的程式化審核交由審核部門進行審核。

審核周期在EASA的規章和指導性材料中都沒有提及，調研后發現，一般默認的做法是每三年需要對設計保證系統全部要素和過程審核一遍。目前空客、歐直都是這樣做的，這也是符合民機研制規律的。建議結合型號研制進展，每年選取若干設計保證專題要素/過程管理進行審核，但是三年累計下來應該覆蓋設計保證全部要素和過程。如有特殊情況需要延長周期，需要得到適航當局的特別許可。

3 設計保證體系對持續適航的要求

設計保證體系應當確保在產品交付用戶后的運行過程中，以及在產品設計更改的過程中，其產品仍然符合適航標準和環境保護要求。具體而言，EASA對持續適航主要提出了兩個方面的要求。

3.1 涉及持續適航文件的生成、頒發和修改方面的要求

設計保證系統應根據相關的適航標準，編制和更新為保持適航性所需的所有維修手冊和運行說明(包括服務通告)。因此，設計保證系統應當確定相關程序以制定這些文件，提交EASA批準或者利用EASA賦予的批準權限批準并發布文件及文件清單，并應當確保文件分發到所有受影響的運營人和局方。

EASA的設計組織批準(DOA)體系中關于運行和持續適航文件的生成、頒發和修改方面的具體做法如下。

(1)MMEL與MRBR：由設計單位提出草案，局方批準(其他AEG文件類似，除了ICA文件)；

(2)ICA文件及其改版：由DOA持有人編制并批準；

(3)SRM及其改版：由DOA持有人編制并代表局方進行批準；

(4)SB及其改版：由DOA持有人編制并代表局方進行批準。

3.2 涉及不安全事件的報告，分析和改正措施方面的要求

EASA要求DOA持有人按照EASA的要求報告機隊存在的不安全狀態，并按照EASA的要求及時發布改正措施，防止與糾正機隊存在的安全風險。

實際上由于人力資源有限，EASA在頒發適航指令糾正機隊不安全狀態的活動中，倚重DOA持有人建立的不安全信息收集、分析和風險評估以及改正措施制定與發布體系。

為了維持其所設計產品的持續安全運行，DOA持有人必須建立程序，收集運行、維修與設計、制造方面的各種事件信息，按照適航規章的要求向局方報告，當局方認為機隊存在不安全狀態需要頒發適航指令時，DOA持有人必須向局方提供改正措施方面的所有信息。

3.3 持續適航體系

設計保證系統中，為確保上述局方要求得到統一有效實施而在組織內制定的相關程序文件的集合，也構成了一個小的管理體系，就是持續適航體系。根據各國局方的不同要求，持續適航體系作為設計保證系統一個重要的、相對獨立的子體系，可以進行單獨評審和批準。例如中國適航當局就在咨詢通告AC-21-AA-2013-19《型號合格證持有人持續適航體系的要求》中提出了對持續適航體系的建立和審批的要求。

4 設計保證體系(DAS)和質量管理體系(QMS)之間的關系

在CCAR-21-R4(草案)以及AP-21-AA-2011-03-R4中要求設計組織應當表明其已經建立并能夠保持一個設計保證系統，對申請范圍內的民用航空產品和零部件的設計及設計更改進行控制和監督。

大多數申請人的現狀是，在接觸適航要求之前，或者在建立設計保證體系之前，不論是專門的設計研究所，還是包括了設計研究部門的企業，都已經有了一個質量管理體系，而且大多還得到了ISO 9001、GJB9001、AS9100的認證。因此，一系列不可避免的問題就會自然而然的產生，例如：設計保證體系和質量管理體系有什么關系？是建立兩套單獨的體系文件還是建立一套能覆蓋所有要求的復合體系文件？這些問題解決不好，會在企業內部產生很大沖擊和很多矛盾，可能會導致體系執行的思維混亂和體系的效率低下，最終反映到產品安全上。而且，質量管理體系在工業界推行三十多年了，已經深入人心，就連各國的政府部門如美國的FAA、DOD、NASA也非常推崇質量管理體系，適航審定的局方能否借助民機行業已有的成果來進行更有效的管理和監控，也是一個很有意義的話題。因此，有必要對設計保證體系和質量管理體系的概念、背景、目的、范圍、相互關系進行深入的剖析。

4.1 兩者的概念和背景：

下述術語定義根據ISO 9000:2005(GB/T 19000-2008)給出。

(1)質量：一組固有特性滿足要求的程度。

(2)管理體系：建立方針和目標并實現這些目標的體系。

(3)質量管理體系：在質量方面指揮和控制組織的管理體系。

(4)適航目前沒有法規意義上的定義，民航界公認的定義為：適航是按照公眾批準的最低安全要求持續飛行的航空器的固有品質。航空器能在預期的環境中安全飛行(包括起飛和著陸)的固有品質，這種品質可以通過合適的維修而持續保持。

(5)適航體系：根據適航要求，針對不同取證目的，分為設計保證系統、(生產)質量控制系統、維修組織系統等。

(6)設計保證系統：指申請人為了落實設計保證所規定的設計保證措施所需要的組織、機構、職責、程序和資源。

(7)(生產)質量控制系統：指申請人為了落實生產控制保證每一生產的產品都能符合型號設計并處于安全可用狀態所建立的組織、機構、職責、程序和資源。

從上述定義可以看出，質量管理體系有廣義和狹義之分。狹義的質量管理體系只針對適航要求中的批生產的質量控制系統，在這方面，設計保證體系和質量管理體系/質量控制系統的關系是清楚的，兩者有前后的順序，有證后管理方面的接口，如設計更改、持續適航和供應商管理等。但是，廣義的質量管理體系包括的范圍就非常廣泛了，貫穿從設計研發、生產制造、交付、交付后服務的整個壽命周期。可以說它和適航要求的設計保證系統、質量控制系統、維修組織體系等都有密切的關系。本文重點剖析的是設計保證系統和廣義的質量管理體系之間的關系。

建體系需要有標準。現在質量管理體系的標準有很多，對于航空產業而言，目前最權威的是AS 9100國際航空航天質量管理體系標準，它是國際航空航天質量組織(IAQG)制定的規范整個航空航天產業鏈的質量管理體系標準，具有下述六個特點：(1)基礎扎實：AS 9100基于深入人心的ISO 9001質量管理體系標準，在其基礎上增加了航空航天的特殊要求；(2)全球性：由國際航空航天質量組織(IAQG)負責在全球協調統一，以應對航空航天工業全球化帶來的風險；(3)對法律法規的重視性：它強調了滿足法律法規要求的重要性，其中DOD、FAA、NASA等政府部門代表都參與了起草；(4)覆蓋面廣：AS 9100標準覆蓋整個產業界，從設計與開發、制造、修理、一直到分銷及支持服務，從主機廠所一直可以傳遞到零部件、原材料制造商；(5)先進性：減少不同地區和不同客戶之間的特殊要求，減少二方審核，統一航空界的期望，提高體系運轉效率，改進產品質量，提高安全水平，降低質量成本；(6)規范性：AS 9100標準已經建立了一整套國際化規范化的認證審核和發證體系，企業通過獨立第三方認證機構認證后不但能得到權威的證書，還能在互聯網數據庫中注冊。這樣可以充分和簡潔地向其顧客表明其制造和交付合格產品的管理能力。

設計保證系統、質量控制系統等適航體系則直接來源于適航規章和程序中的要求，如CCAR-21-R4(草案)、AP-21-AA-2011-03-R4等。設計保證系統的要求作為適航體系的一部分，也具備適航要求的一些特點：(1)公眾性：由代表公眾利益的局方制定和頒布；(2)強制性：適航要求是必須滿足的最低要求，是法律要求；(3)各國的適航標準基本一致，如FAA、EASA和CAAC，在管理程序類略有差異；(4)傳遞性：由局方通過法規程序文件傳遞給申請人，申請人根據其任務分包，也要將適用部分傳遞給其供應商，作為一個完整的設計保證系統來面對適航；(5)前提性：目前在EASA和CAAC，設計保證系統的通過是取得TC的前提條件之一。只不過，在EASA是要發DOA證書來批準設計保證系統的；而CAAC則是用型號審定信函來表示批準，并不單獨發證。

4.2 設計保證體系和質量管理體系的目的、范圍和認證起源

AS 9100質量管理體系的目的和適用范圍如下：

(1)為下述需求的組織規定了質量管理體系要求；

(2)需要證實其有能力穩定地提供滿足顧客和法規要求的產品；

(3)通過體系的有效應用增強顧客滿意；

(4)覆蓋航空、航天、防務系統整機及零部件的設計與開發、制造、大修、分銷及支持服務；

(5)不分軍機還是民機。

AS 9100質量管理體系認證任務的起源，最直接的發起往往來自于供應鏈頂端客戶的要求：

(1)幾乎所有的主機廠和主要制造商都已經將該標準作為供應商進入其供應鏈的最低門檻，例如波音、空客、羅羅等。

(2)通過要求的逐層傳遞，可到達供應鏈的最底層。

AS 9100質量管理體系認證在國際航空航天質量組織(IAQG)的推動下，已經建立了一整套國際化、規范化的認證審核和發證體系和流程，由國際上獨立的第三方認證機構審核、發證，并在OASIS數據庫上注冊，全球范圍內可方便查詢。

適航體系(設計保證體系和質量控制系統等)的目的和應用范圍：

(1)為向公眾和局方表明其組織體系有能力保證設計和持續生產出符合適航要求的產品并獲得適航證件目的而建立；

(2)主要針對型號合格證、生產許可證、TSOA、PMA的直接申請人，某些要求也應傳遞給不和適航當局直接接觸的供應商；

(3)僅在民機適航產品上有強制應用。

適航體系(設計保證體系和質量控制系統等)認證任務的起源顯而易見是來自于代表公眾利益的適航規章、程序的要求(CCAR-21-R3，AP-21-AA-2010-03-R4, AP-21-AA-2010-04R4等)：

(1)企業為了滿足適航要求，為了取得型號合格證和生產許可證，必須建立設計保證體系和質量控制系統；

(2)申請TSO和PMA等適航證書的企業參考AP-21-AA-2010-04R4建立質量控制系統，并建立同其產品安全等級和復雜度相適應的設計保證體系。

適航體系(設計保證體系和質量控制系統)審查由代表公眾利益和最終用戶的局方進行，是TC和PC發證的前提條件之一。

4.3 設計保證體系和質量管理體系的關注重點內容對比

AS 9100標準中質量管理體系要求的章節條款分布見表1。

表1 AS 9100標準中質量管理體系要求的章節條款分布

進一步對這些章節和條款進行梳理，可以看出AS 9100標準所關注的重點質量管理要求包括：產品實現策劃、設計開發流程控制、技術狀態管理、采購和供應商管理、首件檢驗、生產過程控制和檢驗、特殊過程/特種工藝的控制、質量要求的傳遞、不合格品控制、關鍵特性管理、追溯性管理、風險管理等。

在適航體系的要求方面，設計保證系統的要求在AP-21-AA-2011-03-R4中介紹得相對詳細一些，統計和分析結果見表2。

從表2中可以看出，適航對組織機構職責、適航職能和適航工作途徑及支持保障、設計更改和技術狀態管理、設計分包商的管理、持續適航等方面比較關注。

而適航所指的質量控制系統的要求主要體現在CCAR-21-R3和 AP-21-AA-2010-04R4生產批準和監督程序中。通過對CCAR-21-R3 相關條款以及AP-21-AA-2010-04R4附錄1《航空器合格審定系統評審大綱(ACSEP)》的分析，可以看到，適航所指的質量控制系統關注六大方面：組織管理、設計控制、軟件質量控制、制造工藝過程、制造控制、供應商控制；進一步又可細分為若干關注重點：

表2 設計保證手冊內容統計和分析結果

組織機構職責、工程資料的控制、構型管理、設計/工藝更改的審批、檢驗和試驗、特種工藝控制、軟件質量控制、不合格品控制、供應商管理、適航接口和工作路徑等。

從技術角度看，適航要求關注的組織機構職責、工程資料的控制、構型管理、設計/工藝更改的審批、檢驗和試驗、特種工藝、不合格品控制、供應商管理等，和AS 9100體系中的要素差異并不大。兩者差異主要體現在與適航當局的接口工作方式方法、文件記錄的具體格式等信息上。

適航管理體系應對的顧客是公眾利益/最終用戶的把關代表—局方。從這個角度出發，適航體系需要直接而明確地將適航的各項具體要求寫入內部的體系文件，尤其是如何貫徹各項適航規章、程序以及與局方打交道的工作途徑和接口，比如如何保障局方的權利、向局方報告、制造符合性檢查、符合性驗證工作的開展等。這些細節在AS 9100質量管理體系中一般沒有具體描述。

AS9100質量管理體系也強調了FAA, EASA，NASA等適航法律法規機構的一些要求，但用的是間接的方式，在相應的標準章節中要求組織去主動識別和滿足相應的法律法規要求。例如 1.1 總則、4.1總要求、5.1 管理承諾、7.2.1 c) 適用于產品的法律法規要求、7.3.1 設計和開發策劃、7.3.2 設計和開發輸入、7.4.2 采購信息、7.5.5 產品防護及8.3 不合格品控制等。

由于AS 9100 間接提到了滿足顧客和法律法規的要求，而適航法律規章、程序等又是法律的強制要求，因此如果在認證范圍內的項目不滿足適航的要求，自然也違背了AS 9100的要求。

AS 9100質量管理體系和適航管理體系兩者都闡釋了安全性、可靠性和適航性的重要性。

AS 9100質量管理體系是一個工業界的自愿標準，它更加關注質量、成本和效率，以及持續改進。它希望帶來先進的航空質量管理理念，統一航空供應鏈的質量期望，減少或去除顧客特殊要求，減少二方審核，在整個產品價值鏈內降低成本，從而使產品在市場上更加具有競爭力。

適航體系(設計保證體系和質量控制系統)是法律法規，是強制要求。它更加關注的是對適航標準(產品技術標準)、符合性驗證工作、適航工作程序和接口的符合性，從而達到公眾利益對安全的期望。

美國聯邦航空局(FAA)對AS9100質量管理體系的態度如下：

美國聯邦航空局確認AS 9100“是一個全面質量標準，包含了當前聯邦法規匯編第21部所要求的基本質量控制/保證要素”。

FAA對AS 9100的態度如下：“航空器審定服務部門相信有效實施AS9100將提升組織的整體績效水平，確保‘在組織的質量體系文件中包含或引用適航當局施加的其它體系要求’的承諾得到嚴格遵守。 盡管FAA并不強制要求AS 9100標準中建立的補充要素的應用，但FAA承認其在提高組織效率、降低成本與減少系統變差方面為航空業帶來的好處”。

4.4 設計保證體系和質量管理體系在申請人文件體系上的關系

從前面的論述可以看出，設計保證體系、質量控制系統等適航體系和目前工業界普遍實施的質量管理體系在實施目的和關注重點方面是比較一致的，二者有著比較好的契合點。因此有可能在文件體系上可以融會貫通。

工業界對此也有著比較強烈的需求：當前，一家企業需要面對來自不同方面的認證要求，需要部署實施來自不同方面的體系要求，如質量管理體系、轉包生產體系、國軍標體系、環境管理體系、職業健康安全體系、設計保證體系等。顯然，對于一家單位，多套體系文件會使企業的管理頭緒更加復雜，對企業的運行造成一定的混亂和運轉效率的低下，特別是在執行層面上的文件體系，如果做一件事，有多個文件在規定，執行人員難免會產生思維上的混淆和執行效率的降低。

筆者以為，不期望哪一種體系能夠完全替代另外一種體系，但是，所有的體系共同構成一個公司的管理體系庫。在管理體系庫這個大概念下，可以包容質量保證體系、國軍標體系、轉包生產體系、環境管理體系、職業健康安全體系，當然也可以包容適航體系和/或設計保證體系。這個管理體系庫應該是有層次的，如圖1所示。

圖1 管理體系庫樹狀圖

從圖1可以看到，一個公司所有執行層面的程序文件、制度文件、作業指導書等，都是各體系可以共享的，它們共同構成了公司管理體系的堅實基礎。而針對不同方面的認證需求，用不同的管理手冊來闡述對認證標準的符合性，并在不同的手冊中通過引用的方式將各自相關的程序文件有機地串起來。最終，這些程序、手冊都服務于企業的管理宗旨和管理理念，也就是最頂層的企業管理手冊。

為什么需要對不同的認證需求建立各自的管理手冊呢？這是因為，不同的認證來源，有各自的認證標準和審定的官方機構。盡管前面分析了這些標準所體現的要求是基本一致的，但是同時也要看到這些標準文件的闡述角度和結構形式是有差異的，為了更好地表明對各自認證標準的符合性，且更好地與各自的認證官方機構接軌，需要用更加具體化的一本手冊/大綱來對應。

但是，沒有必要為應對每一種認證及每一套體系，重新開發所有的程序文件或制度文件。每一種認證，當然有自己的特殊要求，為這些要求理應編制相應的特色文件。但是肯定也會有不少共性通用的文件，對于這些文件，大家都可以充分利用公司現有的管理體系文件庫，從中選取，或者略加修改，就可以直接使用。例如，大量的檢驗系統的文件就屬于這一類。

質量體系和適航體系(設計保證體系、質量控制系統等)的關系也可以此類推。適航認證的特殊性、專業性要求有不少，主要體現在對適航標準的貫徹、符合性驗證以及適航工作特有流程等方面。適航體系需要直接而明確地將適航法規的各項具體要求貫徹寫入內部的體系文件，例如與局方的工作關系、如何保障局方的權利、制造符合性檢查、符合性驗證工作的開展等。這些要求在企業原有的AS 9100質量管理體系中是不太可能寫得很具體的。因此必然要為適航認證編制相應的管理文件。但是還要看到，還有相當大比例的文件是可以從公司的質量體系文件中引用的，或者略加修改完善之后再引用的。因此，在原有的質量管理體系基礎上建設適航體系時，需要對原有的體系文件庫進行梳理，梳理的結果有三種情況：(1)如果現有的某份文件能完全滿足適航的需求，通過設計保證手冊進行有機的關聯，將它直接引用進來；(2)如果現有的某份文件基本能滿足適航的需要，需要略加修訂，然后再將它引用到設計保證體系內；(3)如果現有的文件不能滿足適航的需要，則需要編制專門的文件。

5 EASA對EC175項目設計保證系統評審情況介紹

5.1 EASA對申請人設計保證系統的審查和批準過程

EASA在對申請人提交的申請進行技術審查的同時，也會組成團隊審查申請人的設計保證系統。審查通常會持續2～3年，首先開展手冊與程序的預評估，通過之后再展開現場審查，在審查過程中，審查組將與技術審查團隊保持密切溝通，相互支援。而設計保證系統審查完畢之后，將等待技術審查團隊完成審查工作，確認產品符合適航標準和環境保護要求后，頒發DOA證書。

EASA批準之后DOA長期有效，除非放棄 。而當EASA發現DOA持證人存在問題時，也有權暫停或吊銷證書 。

EASA要求DOA持證人跟蹤和記錄設計保證系統的變更情況，當涉及重大變更時EASA將重新進行設計保證系統審查。

5.2 EASA對申請人設計保證系統內的合作伙伴/供應商的審查實例

以中歐雙方合作的EC175直升機項目為例，在這個項目中，面對EASA的適航申請人是歐直公司，中方單位是歐直公司的設計合作伙伴/供應商。

歐直建立設計保證體系并通過EASA的DOA評審以后，EASA將定期(每三年)對歐直的DOA體系(包含其合作伙伴或供應商的設計保證體系)進行評審，以確保其持續良好運行。在這三年期間，歐直的獨立監控職能部門將每年執行對設計保證系統(包含合作伙伴或供應商的所有適用流程/程序)的內部審核，并將審核結果報EASA。

下面就以EC175直升機項目為例，簡單介紹EASA和歐直公司對中方合作伙伴設計保證體系的評審。評審流程如下：

(1)歐直適航部門(設計保證體系)上報評審計劃給EASA并約定評審時間；

(2)由歐直適航部門給中方發送評審預約書(評審前至少三個月)，通知評審的日期、地點和主要評審事項等，評審項目根據之前歐直內部審核和局方評審的發現來確定；

(3)為提高評審效率，評審前至少1個月歐直將發送評審問題清單給中方，中方將根據評審問題進行準備，包括確定負責單位、準備問題的答案和證據等，并提前半個月反饋給歐直，證據在現場審核時提供；

(4)召開首次評審會議(opening meeting)，按評審預約書向被評審人通知需要評審的事項，并確認評審單位的相關負責人在場；

(5)按評審問題清單逐項開展評審，包括提問、查閱證據、現場檢查等；

(6)召開末次評審會議(closing meeting)，通過評審記錄表(DOA Audit Record)被評審人告知評審中的發現(優點、偏離、改進建議等)，并由歐直和中方伙伴簽字確認。

EASA于2012年對EC175項目中方合作伙伴進行了設計保證體系的評審，評審的記錄包括評審議程、設計組織評審檢查單/記錄表和評審結論。這次的評審內容包括設計組織接口文件DOID的管理和更新、試驗管理、培訓和人員資質、文件記錄的管理、設計保證系統的內部監控、其它可能評審的項目等6個要素。對每個評審要素，檢查單引用了EASA中相應的條款，DOID中的章節和組織自己的程序文件。

6 結論

本文是設計保證體系建設和審查若干專題系列論文第三部分，基于國內民機工業界適航管理和設計保證現狀，對如何快速和有效地建立和實施設計保證體系中的一些熱點問題進行了深入分析研究，對設計保證系統和質量控制系統、持續適航體系、質量管理體系之間的關系進行了梳理和澄清，對我國企業如何開展設計保證內部監控給出了指導建議，并結合EASA評審給出了案例。隨著國內民機企業適航管理和設計保證意識的提高，目前大多數管理類的熱點終將一一破解。而隨著設計保證體系的充分實踐，也可能會出現一些技術類的熱點或難點，需要在實踐中去不斷解決。

[1] 中國民用航空局.CCAR-21-R3 民用航空產品和零部件合格審定規定[S].北京：中國民用航空局，2007.

[2] 中國民用航空局.AP-21-AA-2011-03-R4 航空器型號合格審定程序[S]. 北京：中國民用航空局，2011.

[3] EASA, EU No 748/2012 Annex I Part 21 Certification of airplane and related products, parts and appliances, and of design and production organizations[S]. 2012.

[4] 中國民用航空局.AP-21-AA-2010-04R4 生產批準和監督程序[S]. 北京：中國民用航空局，2010.

[5] 中國民用航空局.AC-21-AA-2013-19 型號合格證持有人持續適航體系的要求[S]. 北京：中國民用航空局，2013.

[6] SAE, AS9100 C, Quality Management Systems - Requirements for Aviation, Space and Defense Organizations[S]. 2009.

Design Assuracne System Establishment and Evaluation-Research of Several Hot Spots

(Commercial Aircraft Corporation of China,Ltd. ,Shanghai 200120,China)

This paper carries out detailed analysis and research of several hotspots in the implementation of design assurance system for civil aircraft manufacturers, which include the current status of domestic industry airworthiness and design assurance, how to carry out independent monitoring of design assurance system, the continued airworthiness requirements of design assurance system, the relationship between DAS and QMS, etc. The research provides beneficial reference and proposals of the establishment and implementation of design assurance system and independent monitoring based on the current airworthiness management basis for domestic civil aircraft manufacturer.

design assurance system；independent monitoring； continued airworthiness；QMS

V221

A