當代民機告警系統發展綜述

陳楠

【摘 要】介紹波音EICAS和空客ECAM民機告警系統的發展歷程，比較兩者在告警理念中最核心的排序和抑制處理方式，體現飛機駕駛艙自動化理念的差異，并在此基礎上，提出民機告警系統未來的發展趨勢。

【關鍵詞】EICAS；ECAM；消息排序；機組決策

民用飛機機組告警系統提供飛機非正常狀態消息以提示飛行員關注并采取相關操作。告警系統收集全機海量信號，通過復雜的計算形成非正常狀態的原始描述。當前告警系統已發展形成以波音、空客為代表的第三代發動機指示與機告警系統[1]（Engine Indication and Crew Alerting System，簡稱EICAS）和飛機電子中央監控系統（Electronic Centralised Aircraft Monitoring，簡稱ECAM告警系統），在A380、A350、777、787及龐巴迪C系列等機型得到廣泛應用。

1 民機告警系統發展歷程

最原始的告警方式。早期以737為代表的飛機上各個系統按照自己的情況把原始信息處理為各系統獨立的告警信息之后，獨立地在離散的指示燈或集中的告警面板上顯示。除了人機界面層面讓機組難以快速準確地發現問題、理解問題以外，這種思路很難實現不同告警信息之間的排序、抑制和組合，導致機組處理非正常情況的能力下降。

隨著計算機的發展以及在民航飛機上的廣泛應用，航空技術得到迅猛發展，從70年代末開始大量采用集成電路，因而出現了新一代的具有綜合性顯示功能的彩色顯示裝置，特別是發動機指示和機組警告系統（Engine Indication and Crew Alerting System，簡稱EICAS），告警信息在一塊屏幕區域集中顯示，且具有全程監控、分級報警和彩色顯示等功能。

EICAS系統分為三代，首先是由波音在757和767上推出的第一代EICAS，隨后又在747-400上引入了簡圖頁，稱為第二代告警系統。到了九十年代波音在777項目中開發了第三代EICAS，綜合了電子檢查單、簡圖頁和波音特色的頂控板形成了延續至今的波音設計風格。因為EICAS理念簡單、易于實現，在其基礎上其他次要廠商開發了多種不同的告警系統，在各類25部飛機中廣為應用。

以EICAS以及其周邊設備是一整套協調良好的駕駛艙告警系統，是波音公司駕駛艙自動化理念的完整體現。波音相信機組在出現復雜形勢時具備比系統更強的決策能力，為了發揮主觀能動性波音EICAS的各個環節自動化程度都較ECAM要低。

空客在1983年推出A300-600以及A310之后轉變到了兩人制機組，考慮如何將飛行工程師的職責通過自動化來替代，其成果就是空客特色的ECAM（Electronic Centralised Aircraft Monitoring）系統。ECAM系統所代表的空客自動化理念已經成為先進民用飛機自動化水平的一個標桿。

第一代ECAM就是A300-600以及A310上推出的。這一代ECAM并沒有完全取代機電式的發動機指示，但是已經具備了ECAM的幾項設計特征：全自動電子檢查單、自動顯示系統頁面、根源/派生/獨立故障、飛行階段觸發簡圖頁、空客特色的ADV以及高級排序機制。這些機制并不是一些分散的組織各自憑空想出來然后堆積在一起用的結果，而是在研究二人制機組在處理非正常情況時的操作程序和工作量之后綜合集成設計的結果。后來的第二、三代ECAM雖然改進不少，但基本都延續了A310上ECAM的核心特征。

2 告警消息排序和抑制

波音EICAS的排序機制非常簡單，等級內都是時間排序。但是如果出現連鎖故障，EICAS原則上也會抑制派生消息。在ECL上會自動顯示所有活動的操作程序，但是其順序對應EICAS堆棧，所以機組需要自己判斷多個消息之間操作程序的先后順序。簡圖頁的顯示完全是人工控制。EICAS和ECL都不會影響簡圖頁的顯示，機組自行決定看哪個簡圖頁

龐巴迪在C系列飛機上應用了EICAS主要的元素，但是在幾個關鍵方面有所區別。C系列的EICAS也是配合ECL、簡圖頁和頂控板一起工作的。在自動化理念上C系列有一個特點，就是在系統能夠自動處理故障的情況下也要求人工操作確認。例如引氣泄露之后空氣系統能夠自動隔離受影響區域并重構氣源，但是即便溫度降低之后，引氣泄露的CAUTION也不會消息，而是要在飛行員操作之后才能消除。

排序是ECAM 最為特殊的一個方面。研究A310 以來各個機型的資料以及與龐巴迪交流的經驗，基本可以肯定空客ECAM 對所有告警類消息都做了完全排序。這意味著每一個告警消息在設計時都已經有了一個獨特的序號，在空中出現情況時消息的順序不再是按照時間排序而是按照預先安排的序號排列。如果這個排序正確，那么無論以何種組合出現告警，機組都能夠按照ECAM 的指示以最佳的方式處理特情。

橫向觀察787、MD11、A350的當代告警系統，可以發現它們的任務都具有以下共同的元素：

1）數據處理與診斷：先進的EICAS、EIS、ECAM都能夠自動收集、處理遍布全機的傳感器網絡數據，并通過復雜的計算形成非正常情況的原始描述；

2）信息排序：對典型的一次飛行少數獨立、根源故障的情況進行合理的排序，并向機組告知；

3）信息表達：通過簡圖頁、檢查單描述等多種方式幫助機組建立更完整的態勢感知；

4）決策與操作：以防差錯、容錯的方式支持機組機組基于檢查單執行操作，穩定并嘗試恢復喪失、降級的功能；

5）效果確認：輔助或代替機組完成操作程序效果的確認；

6）全任務支持：提供信息支持機組完成剩余部分飛行任務和安全降落。

3 告警理念的未來發展

一個理想化的告警系統就是在成本、周期、態勢感知、安全性、工作量、穩健度各方面達到全局最優的廣義機組決策系統。直到今日，飛機設計的水平仍然無法理想化地處理任意非正常情況組合，并支持機組進行最優操作排序。這是因為：

首先，操作程序雖多有考慮復雜根源-派生的情況，但是在本質上操作程序仍然是假設獨立故障編寫的。類似左右燃油不平衡的告警消息就曾經導致了空中雙發停車，也差點在QF32上機組將燃油泵到漏油的左側機翼油箱。

其次，告警系統雖然已經考慮了人在吸收多個通道信息時的性能限制，但是傳統的告警燈+音響的方式已經使用幾十年，事故教訓證明在復雜情況下這一范式經常是和人的能力相悖的。

再次，告警更多考慮的是系統可以檢測到的故障，而對于廣義上的非正常情況只有按照經驗添補（自動飛行正常切斷告警），還沒有能在更廣泛的情況下支持機組的決策。

最后，派生消息抑制等關鍵設計特征都嚴格地依賴于1309安全性設計體系的完整性。也就是說，在功能獨立、共模、物理隔離、特定風險沒有問題的情況下，告警系統需要在一次飛行中處理的多重獨立故障少之又少。但是航空事故歷史一次又一次反復地證明世界上還有很多我們沒有能考慮到的共模、外部事件和人為差錯可能[2]。在出現嚴重轉子爆破、飛機空中相撞、被高炮導彈戰斗部擊中、人為破壞（機上炸彈、燃燒彈）、維護失誤毀壞多個關鍵傳感器的情況下，安全性分析假設不再成立，告警系統也往往就失去了有效輔助機組進行決策的能力。這些就是當今最先進告警系統的瓶頸。

在未來的發展中，告警系統穩健性大規模的階躍式增長還需要增強機上傳感器網絡。須對傳統的系統傳感器必須由遍布全機系統、管路、線路甚至是結構上分布式傳感器（形變、溫度等基本物理量）網絡補充和加強。這些傳感器將能夠在很難預料的外力沖擊和機上隱蔽火災等情況下通過告警向機組傳遞更加準確、全面的態勢。

此外，另一個重要的發展方向是將機組告警與飛機派遣進行綜合設計，實現全任務剖面的機組決策支持功能。目前以777，787，C系列，A350為代表的新機型已經明顯開始重視分離機組效應與派遣效應，不僅減少了機組告警消息數量也方便了飛機派遣。

【參考文獻】

[1]杜建勛.發動機指示和機組警告原理及應用[M].北京：國防工業出版社，1994：90-95.

[2]Albert，J.Rehmann.Flightdeck Crew Alerting Issues：An Aviation Safety Reporting System Analysis[R].Springfield： NationalTechnicalInformation Service，1996.

[責任編輯：田吉捷]