曝光台 注意防骗
网曝天猫店富美金盛家居专营店坑蒙拐骗欺诈消费者
制,飞机抬头爬升到大约41000 英尺,指示空速从270 节降到158 节,失速警告
和抖杆器被触发工作,之后该机返航珀斯安全着陆。
飞机的FDR、CVR 和ADIRU 都被拆下来做进一步检查,FDR 数据显示,事故
发生时三个面的运动都记录到不正常的加速度值。在手动或自动驾驶飞行过程中
加速度数据由飞机的ADIRU 提供给飞机主飞行计算机、自动驾驶仪以及飞机其他
系统。
后来对ADIRU 的检查发现,事故发生时数个加速度计中的一个失效,而另外
一个曾在2001 年6 月失效。
事故二:
2008 年10 月7 日,一架澳大利亚快达航空公司A330-303 客机(注册号
VH-QPA)执行定期客运航班(航班号QF72)从新加坡飞往澳大利亚珀斯,机上
共有303 名乘客和9 名乘务组人员和3 名飞行机组人员。12:40:28,自动驾驶仪
断开,此时飞机飞行高度37000 英尺,从这时开始出现来自不同机载系统的故障
15
提示;12:42:27,在机组进行形势判断时,飞机突然低头俯冲,飞机俯仰角最低
达到-8.4 度,整个过程高度下降650 英尺;12:45:08,飞行出现了非指令性低
头俯冲运动,这一过程中高度下降400 英尺。之后飞机宣布紧急状态,改航利尔
蒙斯机场(YPLM)安全着陆。
1 名乘务员和11 名乘客受重伤,很多人受到了轻伤。乘客中的主要伤者大
部分都是坐在座位上但没有系好安全带或者当时正站着。
到目前为止的事故调查数据表明,两个重要的安全因素与俯冲运动有关。首
先,在自动驾驶仪端开前的瞬间,ADIRU 中的一个开始向其他机载系统提供错误
的数据(异常峰值),而另外两个ADIRU 工作正常。其次,迎角数据中的一些异
常峰值没有被飞行控制计算机过滤掉,随即计算机指令做低头俯冲运动。
另外有两起事件被认定包含类似的ADRIU 异常行为,但都没有引发飞行中颠
簸。
这两起ADIRU 问题相关的事故引起了澳大利亚ATSB 的高度重视,进行了深
入的调查得出了很有意义的成果,B777 的事故调查已结束,A330 的事故调查仍
在继续,但已经发布了中期报告。
2.3.2 冗余技术
由于任何系统都存在失效的可能性,为了提高整体的可靠性,安全关键工程
普遍采用冗余技术,当主系统失效时,备用资源会被调出。冗余技术大体可以分
两类,静态冗余和动态冗余。
静态冗余假定有多套冗余系统同时运行,虽然一个组件就能够提供足够的
功能应用,但还是用通过投票的方式来确定采纳哪个操作或者计算结果作为输
出。这样做的目的是,当一个组件失效时,它将被其他健康的组件通过少数服从
多数的方式剔出,这种方法最大的好处在于不必不断地检测可能的失效,除非失
效组件的数量超过了健康的组件数量,A330 采用这种技术。
动态冗余依赖一个主系统,当这个系统失效时控制权将交给一个冗余系统。
如果是热动态冗余技术,备份系统在后台保持运行能够快速取代主系统;如果是
冷动态冗余技术,备用系统必须被重新启动并且还原到主系统失效的点。所有动
态冗余系统的关键在于当主系统失效时它必须能够检测出来,只有这样备用系统
16
才能接管运行,波音777 采用这种技术。
传统意义上,失效单元和备用资源之间的切换需要操作者手工完成,然而现
在更多的可编程系统采用自动监测失效,并重新部署系统排除失效组件的做法。
这就产生一个问题,可能操作者并不知道系统已经被重新部署了。一系列创新的
自愈式电子应用在冗余方面提供了很多好处,这也引出了一个问题,就是当控制
由第一套系统转移到第二第三套系统时,操作者维持情景意识的能力,最近的两
次事故说明了这一问题。
2.3.3 针对两起事故的冗余问题分析
C.W. Johnson 等利用事件与原因因素图(ECF)的方法对两起事故进行了分
析,应用该方法的好处在于,将分散在事故调查报告中各个页的文字叙述串连在
一起,使人更容易发现各个事件、因素之间的影响关系。
如下面所示,图二是针对05 年B777 事故中,冗余技术造成的故障点屏蔽,
以及由此造成的对机组判断的影响。五号加速度计的故障早已存在,由于某种原
因一直没有更换,但由于是冗余设计这并不影响ADRIU 的功能;事故发生时6 号
加速度计故障,系统自动选择采用五号加速度数据,更新的软件版本略去了检查
这一数据合法性的流程,使得错误数据被提交给系统,机组不了解(也不可能了
解)这一过程,不知道哪些信息可信,哪些信息不可信。
17
图二B777 事故中故障屏蔽及冗余对机组的影响
图三A330 事故中初始问题对PRIM1 的影响
18
图四A330 事故中第二次异常事件及当时的处理情况
图三和图四描述了08 年A330 事故中,两次颠簸过程中冗余技术的影响。尤
其在第二次事件中,机组的切换操作使得机长位主飞行显示器的数据中,惯性参
考数据来自ADIRU3 而大气数据参考数据来自ADIRU1。
同时,该文中也列举了冗余技术对维修人员的维护行为的影响。
2.3.4 机载软件系统的适航问题
对于类似ADIRU 操作系统的机载软件系统,美国航空无线电委员会(RTCA)
欧洲民用航空设备组织(EUROCAE)合作开发了一套标准,在美国和欧洲分别被编
号为DO-178 和ED-12,最新的版本为1992 年发布的DO-178B 和ED-12B,现在机
载软件系统的设计都参考这一标准。
这一标准的功能是为机载软件系统的开发提供指导,以使得软件系统符合官
方的适航标准,但他本身并不是符合性文件,1993 年FAA 以AC 的形式将其融入
到符合性文件中,作为符合的一种方法,但不是唯一的方法。
19
在波音777 的ADIRU 操作系统进行适航取证的过程中,ADIRU 操作系统的所
有功能都进行了验证测试,但没有测试一个加速度计故障输出异常值,系统重启,
又一个加速度计失效这样的特殊情况,而在实际运行过程中这一情况出现了。
任何软件系统都可能存在BUG,而机载软件系统中的BUG 造成的后果可能是
灾难性的,现在的机载安全关键软件系统应用越来越多,系统也越来越复杂,相
中国航空网 www.aero.cn
航空翻译 www.aviation.cn
本文链接地址:
民航安全资料1(90)