民用飛機機組警報系統(tǒng)設(shè)計與安全性分析研究

蔡銳　張銳

【摘 要】民用飛機系統(tǒng)的研制要求在國際上已經(jīng)有成熟的法規(guī)規(guī)定，而國內(nèi)的民用飛機系統(tǒng)目前還在很多方面存在一定差距，如管理體系、設(shè)計理念、安全性分析方法等等。本文著眼于FAR25.1322對機組警報系統(tǒng)的要求，研究了現(xiàn)代民用飛機機組警報系統(tǒng)的功能設(shè)計及其安全性分析，包括系統(tǒng)原理、設(shè)計要點、安全性分析的考慮。其中重點介紹了警報呈現(xiàn)元素及其優(yōu)先級的設(shè)計。

【關(guān)鍵詞】民用飛機；設(shè)計；機組警報；告警；安全性分析

1 警報系統(tǒng)設(shè)計

1.1 總則

機組警報的目的是引起機組的注意，以告知機組特定的系統(tǒng)狀態(tài)異?；蜻\行條件異常?，F(xiàn)代的警報系統(tǒng)還會向機組提供應對異常情況的操作指導。這些功能的實現(xiàn)依賴于完善的警報功能設(shè)計，包括傳感器、警報觸發(fā)邏輯、信號的處理（依據(jù)緊急程度對優(yōu)先級的設(shè)定），以及警報呈現(xiàn)元素。無需引起機組注意的異常情況，不應引起警報。

1.2 原理

機組警報系統(tǒng)的原理始終如一，即發(fā)現(xiàn)警報條件，判斷緊急優(yōu)先級，和以某種元素呈現(xiàn)。

1.3 設(shè)計要點

系統(tǒng)狀態(tài)異常和運行條件異常，只有需要引起機組注意，并幫助機組做出決策、輔助其采取適當操作時，才進行警報。同時還要考慮具體的系統(tǒng)設(shè)計架構(gòu)和駕駛艙原理。

所有呈現(xiàn)給機組的警報，必須提供有關(guān)運行條件或系統(tǒng)狀態(tài)的信息，以便于機組進行相應操作。警報時機組應采取的操作在飛機操作手冊中規(guī)定，是機組培訓課程中學員必須掌握的重要內(nèi)容。

遵循始終如一的系統(tǒng)設(shè)計原理，即發(fā)現(xiàn)警報條件，判斷緊急優(yōu)先級，和以某種元素（或元素的組合）呈現(xiàn)。

采取適當?shù)木瘓笙到y(tǒng)呈現(xiàn)元素，通常有：

（1）主視覺警報

（2）視覺警報信息（包括失效指示標志）

（3）主聽覺警報

（4）聲音信息

（5）特殊語調(diào)（特殊聲音）

（6）觸覺信息

警報系統(tǒng)的警報設(shè)計要基于人的邏輯。各元素的警報要同步，要制定警報規(guī)則以區(qū)分不同的緊急程度。

警報的呈現(xiàn)要遵守緊急性和優(yōu)先級的原則。

視覺警報必須與25.1322（e）條款規(guī)定的顏色規(guī)范相一致。

如果使用的聽覺警報有多重語義，應提供相應的視覺、觸覺警報以避免混淆，準確地識別警報內(nèi)容。

警報內(nèi)容。確定何種系統(tǒng)狀態(tài)或運行條件需要警報。

緊急性和優(yōu)先級。根據(jù)25.1322（b）和25.1322（c）（1）的要求，確定各警報條件的緊急性（警告、戒備、提示）和優(yōu)先級。如果警報的緊急性和優(yōu)先級要視情況而定，需說明具體情況。

呈現(xiàn)。確定始終如一的警報呈現(xiàn)方案。并確定警報呈現(xiàn)的格式。

1.4 警報功能元素

對于警告和戒備，為迅速引起機組關(guān)注，警報功能須至少有兩個元素（參見25.1322（c）（2））。對于提示，不需迅速引起機組關(guān)注的，通常是一個元素。

警告

依據(jù)25.1322（c）（2），警告使用多種功能元素的組合。警告（不包括時間緊急的警告）典型的組合如下：

（1）主視覺警報，視覺警報信息，主聽覺警報。

（2）主視覺警報，視覺警報信息，聽覺警報信息或特定警報語調(diào)。

注1：主聽覺警報可以在聲音警報信息之前。

注2：按照25.1322要求，觸覺警報可以和視覺或聽覺警報組合。

時間緊急的警告

一些警告對于飛機安全運行具有時間緊急性，常用的主視覺警報和主聽覺警報不能迅速引起機組對具體警報條件的關(guān)注，從而延誤了機組采取措施的最佳時機。這種情況下，警告元素應直接提供具體的警報條件，使機組不需要查看其它的駕駛艙指示就能迅速進行關(guān)注。這類時間緊急的警告例如反應式風切變和近地警告。時間緊急的警告元素包括：

（1）對每種警報條件的特殊聲音信息或特殊語調(diào)；

（2）對每種警報條件，在每個飛行員主要視野內(nèi)的特殊視覺警報信息。

注：飛行員可感覺的特殊觸覺警報也可滿足25.1322（c）（2）的要求。

主視覺和聽覺警報：

如果其他視覺和聽覺警報更加需要機組關(guān)注，可不授權(quán)主視覺警報和主聽覺警報。若使用主視覺警報和/或主聽覺警報，應足以引起機組注意并作出反應，而又不至于使機組忽略時間緊急的警告。例如，在每個飛行員主要視野內(nèi)的特殊視覺警報信息，足夠引起機組的立即關(guān)注，可以取代主視覺警報。但是，聽覺警報，或其他感官提示，仍需滿足25.1322（c）（2）的要求。

戒備：

戒備使用的警報元素一般情況下與警告的相同，因為兩者都需要機組的立即關(guān)注。

一些戒備警報條件預示著潛在的時間緊急警告條件。對這些情況，戒備警報系統(tǒng)元素應與相關(guān)的時間緊急警告元素相一致。

提示：

按照25.1322的要求，提示警報功能元素應包括視覺信息。提示信息應處于機組每隔一段時間可查看的位置。

提示信息不要求機組立即給予關(guān)注。因此，不需要使用兩種感官組合的警報。另外，由于不需要機組立即關(guān)注，一般不使用主視覺或主聽覺警報。

聽覺或視覺信息，如維修信息、內(nèi)容信息，或不需警報的狀態(tài)信息在呈現(xiàn)給機組時，不應與警報功能沖突。

2 警報系統(tǒng)安全性分析

2.1 總則

警報系統(tǒng)在單獨考慮以及與其它系統(tǒng)一同考慮的情況下，必須符合相關(guān)系統(tǒng)的安全性規(guī)定（如25.901（b）（2），25.901（c）和25.1309（b））。警報系統(tǒng)的安全性必須與其提供警報的系統(tǒng)功能或飛機級功能相當。

2.2 分析要點

使用25.1309（b）對帶有機組報警的具體系統(tǒng)或功能進行安全性分析時，需同時評估系統(tǒng)功能失效和相關(guān)報警的失效（25.1309（d）（4））。包括對引起系統(tǒng)功能和任何相關(guān)警報功能失效的單點（共模）失效的影響進行評估。失效定義為：影響組件、零件或元件正常運行的情況，使其不能完成應有的功能。包括喪失功能和錯誤功能。因此，進行安全性分析時，應考慮喪失功能和錯誤功能兩種情況。

由于機組警報系統(tǒng)通常與其他系統(tǒng)集成（或共模），警報系統(tǒng)的失效或錯誤的影響要分別單獨分析和與其他系統(tǒng)聯(lián)系起來分析（25.1309（b））。應分析警報系統(tǒng)的失效或錯誤對接口系統(tǒng)的串聯(lián)影響。特別要考慮并避免對警報系統(tǒng)的錯誤判斷導致飛機危險增加（25.1309（c））。

評估警報系統(tǒng)的安全性，是通過評估警報系統(tǒng)失效時安全裕度的下降，包括：

（1）警報功能完全喪失；

（2）錯誤功能；

（3）警報功能喪失或錯誤功能與系統(tǒng)狀態(tài)的組合。

要對警報系統(tǒng)的安全性進行檢查，因為會影響機組對警報的確認和反應。雖然某個系統(tǒng)單個的虛警影響有限，但如果虛警多次發(fā)生，將增加機組工作負擔，降低機組對警報系統(tǒng)的信任度，使其無法確認真實警報。

【參考文獻】

[1]SAE ARP 4754A，民用飛機和系統(tǒng)開發(fā)指南[S].2010.

[2]SAE ARP 4761，民用機載系統(tǒng)和設(shè)備的安全性評估過程的實施指南和方法[S].1996.

[3]AC25.1309，系統(tǒng)設(shè)計和分析[S].

[4]AC25.1322-1，機組警報[S].

[責任編輯：孫珊珊]