FAA发布十国局方联合技术审查小组对737MAX飞控系统的审查报告
航空维修专业者,每天和你分享不一样的飞机新鲜事!
来源:阮工频道
当地时间2019年10月11日,FAA局长史蒂夫·迪克森发表声明:
我感谢Chris Hart主席和联合管理局技术审查(JATR)成员对波音737 Max的认证进行了原原本本的独立审查。
作为联邦航空局局长,我将审查每一项建议并采取适当行动。
今天美国史无前例的安全记录,是建立在航空专业人员愿意接受艰难教训并寻求持续改进的基础上的。我们欢迎这种审查,并相信我们对这些努力的开放态度将进一步加强全世界的航空安全。印度尼西亚和埃塞俄比亚的事故是一个沉重的提醒,提醒FAA和我们的国际监管伙伴,必须努力不断加强航空安全。
完整的审查报告可从以下链接下载,有71页:
https://www.faa.gov/news/media/attachments/Final_JATR_Submittal_to_FAA_Oct_2019.pdf
下面节选自其中的第一部分,简单翻译了一下:
背景:
Background
2017年3月,联邦航空管理局(FAA)向波音公司(波音)签发了波音737-8 MAX (B737-8 MAX)的修正型号证书,该证书基于波音737下一代(B737 NG)的型号证书。2018年2月,FAA批准了波音737-9 MAX (B737-9 MAX)。B737-8 MAX和B737-9 MAX以下统称为B737 MAX。
B737 MAX与B737 NG在设计上做了一些改变。这些变化包括(但不限于)CFM LEAP-1B系列涡扇发动机的加入、为适应新发动机而进行的结构调整、先进技术的小翼、后部机身空气动力学改进、电传操纵扰流板和机动特性增强系统(MCAS)功能。总体而言,B737 MAX的设计改变提高了燃油效率,增加了航程,并降低了噪音。
2018年10月29日,狮航一架波音737-8 MAX型客机JT610在印尼雅加达起飞后不久坠毁。2018年11月7日,美国联邦航空管理局(FAA)发布了《紧急适航指令》(AD) 2018-23-51,要求修订B737 MAX飞机飞行手册(AFM)的适航限制和操作程序,以便在特定条件下,为机组提供水平安定面配平失控后的操作。
2019年3月10日,埃塞俄比亚航空公司的302航班(ET302),也是一架B737-8 MAX,在埃塞俄比亚首都亚的斯亚贝巴起飞后不久坠毁。2019年3月13日,美国联邦航空局发布紧急命令,禁止B737 MAX在美国运行。
由于可能导致这些事故的因素有明显的相似性,美国联邦航空管理局航空安全副局长建立了一个联合局方技术审查(JATR)机构,来审查在B737 MAX上飞行控制系统的型号认证。
JATR由独立航空安全专业人士、国家运输安全委员会(NTSB)前主席克里斯托弗·哈特先生担任主席。JATR小组的其余成员包括来自联邦航空局的28名成员、2名美国国家航空航天局(NASA)成员和9名其他民航局(CAA)成员代表:
- Australia 澳大利亚
- Brazil 巴西
- Canada 加拿大
- China 中国
- European Union 欧盟
- Indonesia 印度尼西亚
- Japan 日本
- Singapore 新加坡
- United Arab Emirates 阿联酋
FAA授权JATR审查在B737 MAX认证计划期间进行的工作,评估是否符合与飞行控制系统及其接口相关的适用适航标准,并在必要时对认证过程提出改进建议。联邦航空局在成立JATR时特别关注的是B737 MAX 上MCAS功能的功能、评估和认证。JATR小组考虑是否应用了适当的法规和政策,以及如何改进适用的法规和政策以提高安全性。
美国联邦航空局没有授权JATR对飞机所有方面的整个认证过程进行审查,也没有要求该团队对B737 MAX复飞的相关细节进行审查。美国联邦航空局明确表示,JATR的创建与B737 MAX复飞的决定无关。
JATR团队大约从2019年5月到9月进行了评估。该小组在这段时间内进行了三次面对面的会议,共计四个星期,并在会议之间通过电子方式交换了资料。该团队听取了FAA和熟悉B737 MAX项目的波音人员的简报,并对波音持有的认证合规文件和相关数据进行了两次深入的审查。JATR小组还审查了适用的FAA法规和指南。工作团队的调查结果和成员建议的汇编与提供给审查小组的资料是相符的,并如期完成。
本次提交的建议是小组成员建议的汇编,章程上不需要协商一致的建议。此外,根据章程,JATR小组提出了意见和调查结果,但没有编写报告。团队通过以下12项主要建议中的每一项所包含的背景信息,以及执行摘要之后的详细观察、发现和建议,努力提供充分的背景信息。
JATR团队成员建议摘要
Summary of JATR Team Members’ Recommendations
认证过程
The Certification Process
1. 产品的更改规则
Changed Product Rule
联邦航空局不断修改飞机设计规则以提高安全性。新的飞机设计必须符合法规的最新修订,但在某些情况下,对以前批准的设计的更改可以根据以前的法规修订进行认证。确定适用修正案的过程受《美国联邦法规》(CFR)第14卷第21.101节(称为“变更产品规则”)的管辖。B737 MAX的设计法规包括以下组合:
- 1967年B737最初获得认证时实施的监管修订
- 波音公司申请B737 MAX项目认证时生效的监管修正案
- 在1967年原始认证和B737 Max认证申请之间生效的监管修订
- 在波音公司选择遵守的申请日期之后生效的某些监管修订
- 特殊条件、豁免和同等水平的安全调查结果(典型的类似认证项目)
- 附加设计要求和条件(ADRC)
产品的更改规则要求对设计的更改区域和受更改影响的区域进行合规性评估,但允许不对飞机的未受影响区域进行重新评估。
JATR团队审查了更改后的产品规则流程如何应用于B737 MAX飞行控制系统的认证。JATR团队确定遵循了更改后的产品规则流程,并且该流程对于处理离散的更改是有效的。然而,团队确定该过程没有充分处理累积效应、系统集成和人为因素问题。更改后的产品规则流程允许申请人仅以有限的方式处理更改后的方面(以及受更改影响的区域),而不需要分析飞机级的所有交互。
当前改变的产品规则过程缺乏对所提出的设计变更如何与现有系统集成以及该交互在飞机层面上的关联影响的充分评估。更全面的评估过程将适用于建立认证基础,以及在整个认证过程中发现合规性。
建议1
根据JATR小组关于将更改后的产品规则应用于B737 MAX飞行控制系统认证的意见和调查结果,JATR小组成员建议FAA与其他民航当局合作,修订更改产品认证的统一方法。修改后的产品规则(如《美国联邦法规汇编》第14卷第21.19和21.101节)和相关指南(如《咨询通告》第21.101-1B号和联邦航空局第8110.4C和8110.48A号命令)应进行修订,以要求采用自上而下的方法,从整体飞机系统的角度对每项变更进行评估。这些修订应包括确定现有运输类别飞机设计的核心属性何时不能支持最新法规引入的安全进步的标准,并应驱动设计变更或需要新的证书。飞机系统包括飞机本身及其所有子系统、飞行机组和维修机组。
这些更改后的产品规则修订应考虑以下关键原则:
- 一个综合的系统级分析,认识到在这个复杂的交互系统中,每一个变更都可能与系统的其他部分交互。
- 评估现有系统在飞机层面上的设计变更,包括使用开发保证原则、系统安全原则和验证与验证技术。评估的级别应与飞机级别的变化的影响成比例。
- 考虑飞行和维修人员的培训和资格,以及详细明确的飞机安全操作程序。
2. 开发和使用最新的要求和规程
Development and use of up-to-date requirements and practices
JATR小组审查了适用于B737 MAX的法规、政策和合规性方法。JATR小组确定,解决与系统集成和人为因素有关的安全问题以及在B737 MAX认证过程中可用的一些法规、政策和合规性方法不适用于B737 MAX或只是部分应用的方式,未能达到充分的安全效益。在某些情况下,未能实现与应用最新合规方法相关的全部安全效益是因为联邦航空局的法规和指南已经过时。JATR团队确定的另一个需要更新的领域是,关于飞行员识别时间和飞行员对故障的反应时间的指导。此外,JATR团队认为没有充分考虑特定设计特性的新应用。
建议2
根据JATR小组对适用于B737 MAX的法规、政策和合规方法的观察和发现,JATR小组成员建议FAA更新过时的法规和指南,并更新认证程序,以确保当前的要求、文件、合规方法,政策充分解决了与新项目采用的最先进设计相关的安全问题。JATR团队成员还建议联邦航空局审查其流程,以确保法规和指导材料保持最新。
3. 一致的解释和应用程序的需求
Consistent interpretation and application of requirements
JATR小组审查了波音B737 MAX飞行控制系统和相关接口的认证,以评估是否符合适用的设计标准和要求。JATR团队确定了与系统安全评估(SSA)、操作质量评定方法(HQRM)和工程模拟器和装置的一致性要求有关的法规指南的一致性应用和解释的问题。对《美国联邦法规》第14卷第25.1329节(飞行制导系统)和第25.1581节(飞机飞行手册-概述)的应用以及第25.201节(失速演示)所用的支持数据和技术提出质疑。
建议3
根据JATR小组对B737 MAX飞行控制系统和相关接口认证的观察和发现,JATR小组成员建议联邦航空局审查B737 MAX是否符合14 CFR¨25.1329(飞行制导系统)、25.1581(飞机飞行手册-概述)的,和25.201(失速演示)的要求,确保一致的监管指导材料的应用和解释系统安全评估、处理品质评定法,符合工程模拟器和设备的要求。如果出现不符合,应查明根本原因并采取措施防止再次发生。
4. 认证过程中的变化
Changes during the certification process
JATR小组审查了型号认证过程(根据FAA 8110.4C号命令、型号认证和相关指南),以确定该过程是否包括足够的反馈路径,以适应典型主要飞机认证计划的长时间(如五年)内飞机设计和合规方法的变化例如B737 MAX。JATR团队确定了与MCAS设计演变相关的特定领域,在认证计划期间,认证交付物没有更新,以反映飞行控制系统内该功能的变化。此外,设计假设没有得到充分的审查、更新或验证;可能的飞行驾驶舱影响没有得到评估;SSA和功能危害评估(FHA)没有得到一致的更新;MCAS设计变更导致的潜在机组工作量影响没有得到识别。
建议4
根据JATR小组对FAA型式认证过程的观察和发现,JATR小组成员建议FAA审查和更新与型号认证过程有关的监管指南,特别强调FAA的早期参与,以确保FAA了解所有设计假设,飞机设计,以及在使用变更产品工艺的情况下对设计的所有变更。联邦航空局应考虑在过程中增加反馈路径,以确保在飞机开发和认证过程中考虑到合规性、系统安全和驾驶舱/人为因素方面。
5. 证书颁发机构的授权
Delegation of certification authority
根据联邦航空局的组织指定授权(ODA)计划,联邦航空局授予波音公司指定人员部分认证项目的权力。FAA对认证过程的监督由FAA的波音航空安全监督办公室(BASOO)执行。
授权行为,即指定行业为民航局的代表,是公认的,也是世界上大多数民航局的普遍做法。授权为CAA提供了一个专业知识库,以在授权范围内行使批准和合规结果调查。然而,CAA对指定人员和ODAs的持续监督对确保CAA安全与认证工作顺利进行至关重要。
BASOO需要执行认证功能,包括对保留(非委托)要求的合规性作出调查,同时执行波音ODA的监督功能。BASOO必须有足够的资源来执行这两个主要的功能而不需要妥协。JATR团队认为,由于BASOO(以及其他已分配的资源)的不足,参与B737 MAX认证项目的FAA专家数量不足。在某些情况下,BASOO工程师在B737 MAX项目的关键技术方面缺乏经验和知识。
在737MAX项目上,BASOO将很大比例的批准和合规性调查结果委托给波音ODA 。在联邦航空局的充分参与和监督下,授权的范围本身并不影响安全。然而,在B737 MAX项目中,联邦航空局对MCAS功能认识不足,加上参与有限,导致联邦航空局无法对波音公司提出的与MCAS相关的认证活动的充分性进行独立评估。此外,有迹象表明,波音ODA工程部门成员(E-UMS)在B737 MAX项目上执行认证活动时受到了不适当的压力,这进一步削弱了该授权系统的保证水平。
建议5
在FAA对波音航空安全监督办公室的监督方面,根据JATR团队的观察和发现,JATR团队成员建议FAA对BASOO工程师的人员编制进行一次审查,以确保有足够数量的经验丰富的专家来充分执行认证和监督职责,与波音公司的工作范围相称。劳动力水平应该是这样的,即保留寻找合规性责任的决定不受缺乏经验工程师的限制。
联邦航空局应审查波音组织指定授权(ODA)工作环境和ODA手册,以确保波音ODA工程部门成员(E-UMS)在代表联邦航空局作出决定时,在没有任何不当压力的情况下工作。这一审查应包括确保电子无人系统与联邦航空局认证工程师有开放的通信线路,而不必担心惩罚行动或违反程序。
综合的开发和认证方法
Integrated Approach to Development and Certification
6. 整体的,综合的飞机级的评估方法
Holistic, integrated aircraft-level approach
JATR小组审查了B737 MAX的飞行控制系统和相关SSA的设计过程,以评估飞行控制系统是否符合适用的系统设计和安全要求及标准。JATR团队发现,提交给联邦航空局的认证文件中,MCAS没有作为一个完整和集成的功能进行评估。由于缺乏对系统功能及其安全分析的统一自上而下的开发和评估,加上大量零散的文件,很难评估是否充分证明了合规性。MCAS的设计基于数据、架构和假设,这些数据、架构和假设是从以前的飞机构型中重用的,没有对此类重用的适当性进行足够详细的飞机级评估,也没有额外的安全裕度和特性来解决分析中无法预见的情形、遗漏或错误。
建议6
根据JATR小组对飞行控制系统设计过程的观察和发现,以及对B737 MAX的相关系统安全评估,JATR小组成员建议FAA推广一种安全文化,促使主要关注安全产品的创建,从而符合认证要求。飞机功能的评估不应是渐进的、零碎的,而应是在飞机层面上的整体评估。应证明系统功能和性能,包括故障的影响,并质疑相关假设,以确保实现稳健设计。安全分析过程应与飞机开发保证过程相结合,以确保所有安全要求和相关假设是正确、完整和验证的。联邦航空局应鼓励申请人具有独立于设计机构的系统安全功能,有权公正评估飞机安全并影响飞机/系统设计细节。采用安全管理系统是实现这一目标的一种方法。
7. 人为因素
Human factors
人类设计、建造、维护和操作全球航空系统的每一部分。航空系统令人羡慕的安全记录是人类能力的直接结果。同时,所有的航空事故都是人类局限性的结果。这并不是说所有的事故都是人为错误的结果,而是人的局限性,比如人们的想象力和预见、预测和预测可能出现的情况的能力的局限性。
随着技术越来越先进,操作环境越来越复杂,了解技术、人类和环境之间相互作用的范围和性质对航空安全变得越来越重要。人为因素对航空安全的重要性已得到承认,并已编入各种规则中,如《美国联邦法规》第14卷第25.1302条(飞行员使用的已安装系统和设备)、第25.1309条(设备、系统和装置)和第25.1322条(飞行员警报)。虽然人机交互问题是近期所有航空事故的核心,并与两起B737 MAX事故有关,但美国联邦航空局的认证人员中却很少有人为因素和人机系统集成专家。
JATR团队在认证过程中发现了多个与人为因素相关的问题。由于人为因素是一个贯穿各领域的方面,因此在本摘要中确定的几个不同领域提出了相关建议。
建议7
根据JATR团队在认证过程中对人为因素相关问题的观察和发现,JATR团队成员建议FAA在整个认证过程中整合并强调人为因素和人为系统集成。应扩展和澄清人为因素相关政策和指南,并彻底验证和记录对14 CFR§25.1302(机组人员使用的已安装系统和设备)、25.1309(设备、系统和安装)和25.1322(飞行机组警报)等监管要求的合规性。为了能够对合规性进行彻底的分析和验证,联邦航空局应扩大其在人为因素和人为系统集成方面的飞机认证资源。
8. 开发保证
Development assuranc
开发保证是一种应用于飞机和飞机系统的方法,以确保在日益复杂和集成的飞机系统中的安全与兼容设计。传统上应用于确定性风险或传统非复杂系统的设计和分析技术可能无法为复杂系统提供足够的安全保障。正如B737 MAX所证明的那样,综合的飞机级功能,如MCAS,存在开发错误(需求确定和设计错误)和不希望的、意想不到的影响的风险。
系统地使用开发保证技术增加了需求或设计中的错误,以及集成或交互,影响已经被申请人充分识别和纠正的信心。
波音公司选择满足SAE国际航空航天推荐规程4754A的目标,民用飞机和系统开发指南(ARP4754A),用于B737 MAX的开发保证。发布文件SA-1记录了波音公司用于展示B737 MAX系统开发过程的方法和手段,在适当的时候,这些方法和手段符合ARP4754A的目标,是处理需求、设计和实现错误的可接受的手段。ARP4754A的使用符合FAA咨询通告(AC) 20-174《民用飞机和系统开发》中的指导。JATR团队确定了波音流程可以改进的领域,以更有力地满足ARP4754A的开发保障目标。
建议8
根据JATR小组对B737 MAX飞行控制系统设计所采用的开发保证过程的观察和发现,JATR小组成员建议FAA确保申请人应用行业最佳规程进行开发保证,包括需求管理、假设可见性,过程保证活动和配置管理。FAA应确保实现申请人安全分析过程和开发保证过程之间的紧密耦合,以对故障条件进行分类,并得出设计开发和验证的严格程度。当前行业最佳规程的一个例子是SAE国际航空航天推荐实践4754A (ARP4754A)。
联邦航空局应审查和修订咨询通告20-174,以明确阐明ARP4754A的原则,促进飞机和飞机系统开发保证的行业最佳规程,以解决申请人在飞机功能和系统之间日益集成的设计趋势。
设计变更对操作和培训的影响
Impact of Design Changes on Operations and Training
9. 产品设计变更对运营的影响
Impact of product design changes on operations
对初步事故报告KNKT.18.10.35.04(狮航JT610航班)和AI-0/19(埃塞俄比亚航空302航班)的审查表明,在导致事故的事件中,机组人员面临的复杂运行环境和相关机组人员的工作量可能在认证中没有预料。申请人在需求定义阶段做出各种假设,这些假设可能会影响设计以及设计如何得到认证。波音公司对b737 max做了一些假设,这些假设直接影响了mcas的设计和认证。申请人有关机组响应的操作设计假设的评估属于联邦航空局飞机评估小组(AEG)的权限范围。
联邦航空局第8110.4c号命令从需求定义阶段开始,阐明了AEG早期参与认证过程的必要性。在认证过程中工作的试飞员可能不完全了解操作问题,而在操作评估过程中工作的试飞员可能不完全了解认证问题。这一差距可能导致两个过程之间的沟通有限,从而可能导致对认证过程缺乏操作性的了解。
建议9
根据JATR小组的调查结果和观察结果,与在B737 MAX飞行控制系统认证过程中应用的机组响应的操作设计假设有关,JATR小组成员建议FAA要求在认证过程中整合认证和操作功能。应向联邦航空局提供相关飞机之间的所有系统差异,以便充分评估操作影响、系统集成和人的表现。
10. 产品设计变更对机组人员培训的影响
Impact of product design changes on flight crew training
对初步事故报告KNKT.18.10.35.04和AI-0/19的审查表明,这两个航班都发生了一次严重的误配平事件,涉及MCAS功能的激活。在认证过程中,决定从飞行机组操作手册(FCOM)草案中删除与MCAS功能相关的信息。这一决定意味着联邦航空局飞行标准化委员会(fsb)不完全了解mcas的功能,无法充分评估培训需求。
波音AFM不包括法规要求的所有正常、非正常和紧急操作程序。波音公司已根据联邦航空局指南(AC 25.1581-1,飞机飞行手册)将大部分操作程序纳入FCOM。这一规则和指南之间的差异使得波音公司可以(通过FCOM)对飞机操作程序进行更改,而无需获得联邦航空局的批准。这可能导致联邦航空局不知道正常、非正常和紧急操作程序的变化。系统信息通常包含在FCOM中,可能不需要包含在FAA批准的AFM中。
然而,即使技术在没有飞行员参与的情况下运行,也可能与其他飞机系统集成,这样一个系统或功能故障可能影响其他系统,需要飞行员干预。当这些技术、系统或可能的故障不包括在FCOM或飞行机组人员培训手册(FCTM)中时,飞行员不太可能意识到这些技术、系统或可能的故障,并可能在故障发生时无法识别或不知道如何作出适当的反应。
为了符合联邦航空局的规定和指导材料,波音在B737 MAX和其他波音机型的飞行控制功能危险评估(FHA)中使用了四个关于机组行动的基本假设。从AC 25-7C得出的第三个假设是:“飞行员将立即采取行动,通过重新调整或改变配置或飞行条件来减少或消除高控制力。”从事故飞行中可以明显看出,机组人员的行动与波音公司的第三个操作设计假设不一致。
建议10
根据JATR小组的调查结果和对飞行人员培训的观察,JATR小组成员建议FAA要求建立文件化流程,以确定哪些信息将包括在飞机飞行手册、机组人员操作手册和机组人员培训手册中。联邦航空局应该审查培训计划,以确保机组人员有能力处理错误配平事件。
11. 产品设计变更对维修培训的影响
Impact of product design changes on maintenance training
JATR团队的任务是考虑设计的维护适宜性。由于JATR缺乏维护方面的专业知识,团队无法确定这种充分性。
建议11
JATR小组成员建议FAA进行一项研究,以确定与维护和地面处理培训要求,相关的政策、指导和假设是否足够。
认证后的行动
Post-Certification Activities
12. 认证后纠正措施和数据共享
Post-certification corrective actions and data sharing
根据其章程,JATR小组的重点是审查波音公司和联邦航空局在B737 MAX认证之前进行的飞行控制工作。该小组没有对认证后活动进行深入审查,因为这超出了JATR的初始范围。然而,在审查过程中,小组注意到认证后活动的某些方面。因此,监测组利用《宪章》中的规定,由主席和联席主席自行决定扩大JATR的范围,以确定可能进一步加强航空安全的其他意见和建议。
建议12
JATR小组成员建议美国联邦航空局审查其政策,以分析安全风险和执行临时适航指令的行动后,致命的运输飞机事故。美国联邦航空局应确保尽可能与国际社会共享事故后的安全信息。
评论