陈楠
【摘 要】介绍波音EICAS和空客ECAM民机告警系统的发展历程,比较两者在告警理念中最核心的排序和抑制处理方式,体现飞机驾驶舱自动化理念的差异,并在此基础上,提出民机告警系统未来的发展趋势。
【关键词】EICAS;ECAM;消息排序;机组决策
民用飞机机组告警系统提供飞机非正常状态消息以提示飞行员关注并采取相关操作。告警系统收集全机海量信号,通过复杂的计算形成非正常状态的原始描述。当前告警系统已发展形成以波音、空客为代表的第三代发动机指示与机告警系统[1](Engine Indication and Crew Alerting System,简称EICAS)和飞机电子中央监控系统(Electronic Centralised Aircraft Monitoring,简称ECAM告警系统),在A380、A350、777、787及庞巴迪C系列等机型得到广泛应用。
1 民机告警系统发展历程
最原始的告警方式。早期以737为代表的飞机上各个系统按照自己的情况把原始信息处理为各系统独立的告警信息之后,独立地在离散的指示灯或集中的告警面板上显示。除了人机界面层面让机组难以快速准确地发现问题、理解问题以外,这种思路很难实现不同告警信息之间的排序、抑制和组合,导致机组处理非正常情况的能力下降。
随着计算机的发展以及在民航飞机上的广泛应用,航空技术得到迅猛发展,从70年代末开始大量采用集成电路,因而出现了新一代的具有综合性显示功能的彩色显示装置,特别是发动机指示和机组警告系统(Engine Indication and Crew Alerting System,简称EICAS),告警信息在一块屏幕区域集中显示,且具有全程监控、分级报警和彩色显示等功能。
EICAS系统分为三代,首先是由波音在757和767上推出的第一代EICAS,随后又在747-400上引入了简图页,称为第二代告警系统。到了九十年代波音在777项目中开发了第三代EICAS,综合了电子检查单、简图页和波音特色的顶控板形成了延续至今的波音设计风格。因为EICAS理念简单、易于实现,在其基础上其他次要厂商开发了多种不同的告警系统,在各类25部飞机中广为应用。
以EICAS以及其周边设备是一整套协调良好的驾驶舱告警系统,是波音公司驾驶舱自动化理念的完整体现。波音相信机组在出现复杂形势时具备比系统更强的决策能力,为了发挥主观能动性波音EICAS的各个环节自动化程度都较ECAM要低。
空客在1983年推出A300-600以及A310之后转变到了两人制机组,考虑如何将飞行工程师的职责通过自动化来替代,其成果就是空客特色的ECAM(Electronic Centralised Aircraft Monitoring)系统。ECAM系统所代表的空客自动化理念已经成为先进民用飞机自动化水平的一个标杆。
第一代ECAM就是A300-600以及A310上推出的。这一代ECAM并没有完全取代机电式的发动机指示,但是已经具备了ECAM的几项设计特征:全自动电子检查单、自动显示系统页面、根源/派生/独立故障、飞行阶段触发简图页、空客特色的ADV以及高级排序机制。这些机制并不是一些分散的组织各自凭空想出来然后堆积在一起用的结果,而是在研究二人制机组在处理非正常情况时的操作程序和工作量之后综合集成设计的结果。后来的第二、三代ECAM虽然改进不少,但基本都延续了A310上ECAM的核心特征。
2 告警消息排序和抑制
波音EICAS的排序机制非常简单,等级内都是时间排序。但是如果出现连锁故障,EICAS原则上也会抑制派生消息。在ECL上会自动显示所有活动的操作程序,但是其顺序对应EICAS堆栈,所以机组需要自己判断多个消息之间操作程序的先后顺序。简图页的显示完全是人工控制。EICAS和ECL都不会影响简图页的显示,机组自行决定看哪个简图页
庞巴迪在C系列飞机上应用了EICAS主要的元素,但是在几个关键方面有所区别。C系列的EICAS也是配合ECL、简图页和顶控板一起工作的。在自动化理念上C系列有一个特点,就是在系统能够自动处理故障的情况下也要求人工操作确认。例如引气泄露之后空气系统能够自动隔离受影响区域并重构气源,但是即便温度降低之后,引气泄露的CAUTION也不会消息,而是要在飞行员操作之后才能消除。
排序是ECAM 最为特殊的一个方面。研究A310 以来各个机型的资料以及与庞巴迪交流的经验,基本可以肯定空客ECAM 对所有告警类消息都做了完全排序。这意味着每一个告警消息在设计时都已经有了一个独特的序号,在空中出现情况时消息的顺序不再是按照时间排序而是按照预先安排的序号排列。如果这个排序正确,那么无论以何种组合出现告警,机组都能够按照ECAM 的指示以最佳的方式处理特情。
横向观察787、MD11、A350的当代告警系统,可以发现它们的任务都具有以下共同的元素:
1)数据处理与诊断:先进的EICAS、EIS、ECAM都能够自动收集、处理遍布全机的传感器网络数据,并通过复杂的计算形成非正常情况的原始描述;
2)信息排序:对典型的一次飞行少数独立、根源故障的情况进行合理的排序,并向机组告知;
3)信息表达:通过简图页、检查单描述等多种方式帮助机组建立更完整的态势感知;
4)决策与操作:以防差错、容错的方式支持机组机组基于检查单执行操作,稳定并尝试恢复丧失、降级的功能;
5)效果确认:辅助或代替机组完成操作程序效果的确认;
6)全任务支持:提供信息支持机组完成剩余部分飞行任务和安全降落。
3 告警理念的未来发展
一个理想化的告警系统就是在成本、周期、态势感知、安全性、工作量、稳健度各方面达到全局最优的广义机组决策系统。直到今日,飞机设计的水平仍然无法理想化地处理任意非正常情况组合,并支持机组进行最优操作排序。这是因为:
首先,操作程序虽多有考虑复杂根源-派生的情况,但是在本质上操作程序仍然是假设独立故障编写的。类似左右燃油不平衡的告警消息就曾经导致了空中双发停车,也差点在QF32上机组将燃油泵到漏油的左侧机翼油箱。
其次,告警系统虽然已经考虑了人在吸收多个通道信息时的性能限制,但是传统的告警灯+音响的方式已经使用几十年,事故教训证明在复杂情况下这一范式经常是和人的能力相悖的。
再次,告警更多考虑的是系统可以检测到的故障,而对于广义上的非正常情况只有按照经验添补(自动飞行正常切断告警),还没有能在更广泛的情况下支持机组的决策。
最后,派生消息抑制等关键设计特征都严格地依赖于1309安全性设计体系的完整性。也就是说,在功能独立、共模、物理隔离、特定风险没有问题的情况下,告警系统需要在一次飞行中处理的多重独立故障少之又少。但是航空事故历史一次又一次反复地证明世界上还有很多我们没有能考虑到的共模、外部事件和人为差错可能[2]。在出现严重转子爆破、飞机空中相撞、被高炮导弹战斗部击中、人为破坏(机上炸弹、燃烧弹)、维护失误毁坏多个关键传感器的情况下,安全性分析假设不再成立,告警系统也往往就失去了有效辅助机组进行决策的能力。这些就是当今最先进告警系统的瓶颈。
在未来的发展中,告警系统稳健性大规模的阶跃式增长还需要增强机上传感器网络。须对传统的系统传感器必须由遍布全机系统、管路、线路甚至是结构上分布式传感器(形变、温度等基本物理量)网络补充和加强。这些传感器将能够在很难预料的外力冲击和机上隐蔽火灾等情况下通过告警向机组传递更加准确、全面的态势。
此外,另一个重要的发展方向是将机组告警与飞机派遣进行综合设计,实现全任务剖面的机组决策支持功能。目前以777,787,C系列,A350为代表的新机型已经明显开始重视分离机组效应与派遣效应,不仅减少了机组告警消息数量也方便了飞机派遣。
【参考文献】
[1]杜建勋.发动机指示和机组警告原理及应用[M].北京:国防工业出版社,1994:90-95.
[2]Albert,J.Rehmann.Flightdeck Crew Alerting Issues:An Aviation Safety Reporting System Analysis[R].Springfield: NationalTechnicalInformation Service,1996.
[责任编辑:田吉捷]