从“解决方案陷阱”看B737飞机的仪表架构缺陷
“解决方案陷阱”是笔者生造的词汇,是指机组面临混乱、矛盾的信息时,遵循错误信息引导选择解决方案,导致情况进一步恶化的现象。在阅读法航447空难报告时,笔者注意到这样一个现象。
机组最早注意到的是ECAM上的超速提示。所以尽管后续处置中,很多迹象表明空速偏低,只要飞行指引杆出现,机组就死追指引;只要飞行指引杆消失,机组就按超速处置。
这就是非常典型的机组丧失态势感知能力,坠入“解决方案陷阱”的案例。
过往的不安全事件表明,机组一旦落入“解决方案陷阱”,其思维势必陷入“管道效应”无法自拔,想要重新“跳”出来,几乎是不可能的。
如何在特情初始,协助机组恢复态势感知能力,是避免“解决方案陷阱”的关键。我们现有的处置程序、人机交互界面、机组训练等都还有很大的改进空间。
在遭遇失效(特殊情况)时,我们一般说机组的正确反应有:“首先控制飞机,然后快速判断故障,之后在合适的条件下找到并执行正确的程序”。然而实际情况是,机组有可能遭遇到从未遇见甚至极端的(故障)条件,在思考时间有限的情况下,机组有可能完全丧失理解力和判断力,我们的安全模式局限性就在于,如果机组一开始不能抓住“重点”,那么后续的控制力和判断力也就无从谈起了。这种安全模式也只能是“一般失效模式”。AF447在初期未能良好的控制好飞机最终导致事故也例证了这一点。
——《法航447航班事故调查报告》
第一节B737空速不可靠故障中的“解决方案陷阱”
以下一条或多条可证实空速或马赫指示不可靠:
● 速度/姿态信息与俯仰姿态和推力调定不一致
● SPD 失效警告旗
● SPD LIM 失效警告旗
● IAS DISAGREE 警报
● 空速显示空白或波动
● 机长和副驾驶空速显示之间有差异
● 雷达天线罩损坏或丢失
● 超速警告
● 同时出现超速和失速警告。
——《空速不可靠检查单》
以上是《空速不可靠检查单》所罗列出的9种空速不可靠现象。
通常而言,在B737飞机上越是危险或紧迫的特情,其警告方式也就越直接。
当B737的空速数据出现错误时,可能触发的诸如“airspeed low”、失速、超速、风切变等虚假警告,均具备非常强烈的视觉、音响、抖杆刺激。
反倒是最关键的“IAS DISAGREE”信息,仅以琥珀色小字显示在速度带下方,是所有警告信息中最不醒目的一项。
更为雪上加霜的是,错误的空速还会误导自动飞行系统进行“偏差修正”。机组略做迟疑,就可能进入复杂状态。人工操纵令机组工作量呈几何倍数增加,进一步削弱机组的态势感知能力。
人工操纵飞机,飞行姿态异常、飞行参数混乱,警告相互矛盾。机组应当何去何从?
失速改出?
超速改出?
风切变改出?(空速异常可能诱发风切变警告。)
地形警告改出?(低空可能导致接近危险地形。)
安定面配平失控记忆项目?
空速不可靠记忆项目?
事实证明,当面临巨大的心理时,机组更倾向于遵从最直接、最强烈的警告采取措施,其陷入“解决方案陷阱”的概率是很高的。
在大量警告信息堆砌的背后,是B737飞机明显的“人机功效”缺陷——警告指向性模糊,无法识别和隔离错误数据,必须通过机组的逻辑分析才能判定故障!
B737这样一款有几十年历史的经典机型为什么会出现这样的问题呢?
这还要从B737的仪表数据架构缺陷说起。
第二节B737的仪表数据架构
B737的仪表数据架构,可以大致分为四个部分:
(一)皮托静压系统
皮托静压系统,主要由空速管、静压孔和全温探头组成。其探测数据经过ADR处理后,可以提供空速、高度、高度变化率、全温、静温等参数。
(二)惯性导航基准组件
惯性导航基准组件,主要由激光陀螺和加速度计组成,可以提供姿态、垂直速度、地速,以及垂直轨迹角度等数据。
(三)迎角传感器
B737安装有两个风标式迎角传感器,可以提供迎角数据。迎角用于指示飞机翼弦与气流的夹角。
(四)传感器数据间的交叉修正
单一探测机理获得的数据,都会存在误差。所以系统会利用其它探测系统的数据进行交叉修正。
我们以垂直速度为例。
惯导通过加速度计数据,可以积分计算获得垂直速度。这个“惯导垂直速度”,略超前于飞机实际的位置移动,灵敏但易受颠簸等瞬时过载干扰。
皮托静压系统通过静压的变化率,也可以计算出垂直速度。这个“静压垂直速度”略滞后于飞机实际位移,但数据稳定。
如果在五边飞CDFA,我会希望使用“惯导垂直速度”。这样可以及时发现和修正垂直剖面的偏差。
如果在颠簸环境巡航,那我更倾向于使用“静压垂直速度”,避免不必要的俯仰操纵。
B737NG飞机采用以“惯导垂直速度”为主,辅以“静压垂直速度”修正后的综合数据。IRU故障会导致VS指示消失,ADR故障则不会。而据说B777飞机则刚好相反。
至于这个交叉修正是如何完成的,那应该算是制造商的核心机密之一了。至少从结果看,波音的交叉修正的算法是很成功的。
好,现在问题来了。
如果皮托静压数据出现错误,交叉修正会不会导致垂直速度不可靠呢?
会。
此时可否切断传感器数据间的修正呢?
不可以。
因为波音737的仪表数据是在一个非常陈旧的架构下,渐次堆砌新技术构成的。
三套传感器获得的数据, 是分散在大气数据基准组件(ADR)、惯性基准组件(IRU)、飞行管理计算机(FMC)、飞行控制计算机(FCC)、自动油门计算机、近地警告计算机(GPWC)等系统,分别按需处理的。
说地通俗一点,ADIRUS就像个菜市场大婶,把白菜帮子剥了,猪肉毛剃干净,酱油装瓶,盐装袋。
DEU就像个快递小哥,把这些半成品打包送到各家各户。
至于各位计算机“大大”们是好咸口还是甜口,做川菜、鲁菜还是冒菜,吃了会不会拉肚子——您自己看着办。
有的系统有“洁癖”,譬如EEC,只要发现数据比对不一致,就拒收全部数据,自己蹲屋里泡面吃(EEC备用方式)。
有的系统信奉“不干不净吃了没病”,譬如自动油门计算机和这次出事儿的MCAS,吃坏了肚子就开始抽风胡来。
虽然每一代B737飞机都会引入当时最先进的设备,但其基础的仪表数据架构与机械仪表时代并无二致。
它缺少一个集中采集、处理、监控各个传感器数据的“食堂大厨”。重集成,轻对比,无隔离,一旦某个传感器数据出现错误,就会广泛影响。
找一辆“东方红”拖拉机,发动机换成奔驰的,变速箱换成宝马的,轮胎换成法拉利的,这车能不能开?
当然可以,但这样并不能将子系统的优势完全发挥出来。
第三节 “少数服从多数”原则的缺陷
我们仍然回到B737NG的空速不可靠故障。受探测系统间交叉修正的影响,空速、高度、垂直速度、FPV、静温等均被视作不可靠数据。
QRH承认的四项数据可靠:姿态、N1、地速和无线电高度。单纯依靠这四项数据,无法实现跨探测系统的交叉检查。
所以纵观整个“空速不可靠”处置流程,对比三块速度表间的读值差异是主要手段,辅以姿态和推力的检查。
笔者本人就曾经在航班上遇到过三块速度表依次相差20节的情况。按照B737的QRH又如何解决呢?
类似的问题在空客320飞机上也存在。在XL888T空难中,结冰导致1号和2号迎角传感器卡阻。原本正常的3号迎角传感器数据,因为与其他二者差异过大,也被系统拒绝。(When the real angle of attack increased, the blockage of AOA sensors 1 and 2 at similar values caused the rejection of the ADR 3 anemometric values, even though these were valid.——《XL888T空难调查报告》 )
对比同一探测机理的三个传感器数据,然后以“少数服从多数”的方式确定错误数据,从概率上讲可以接受,但从逻辑上讲太过草率。
第四节 “跨系统交叉检查”的仪表架构设想
下面我们将机载传感器分割为三个部分:皮托静压、惯导和迎角,尝试利用跨系统的交叉检查,识别和屏蔽错误数据。
这个方法可以用于改良仪表数据架构,也可以用于改良人机交互界面,但最终的目的还是帮助机组恢复态势感知能力。
笔者选取了三个典型案例,基于以下四点假设前提分析:
(1)使用B737NG标配的机载设备。
(2)在起始阶段,机组不清楚哪个系统故障,但不盲从于任一系统的指示。
(3)当数据发生异常时,探测器间的集成修正会被切断。
(4)驾驶舱仪表具备FPV和AOA显示,且每一个AOA数据均具备独立指针。
案例一法航447空难
A330飞机在巡航高度37000英尺进入对流云团。三根空速管同时结冰,导致所有空速指示异常。机组脱开自动驾驶,并收油门带杆,俯仰姿态增加至10°以上,垂直速度7000英尺/分钟。飞机经过短暂的爬升后进入失速,最终坠毁。
带杆,还是推杆?
收油门,还是加油门?
这都基于飞行员对当前状态的认知——飞机到底是临近超速,还是临近失速?所以恢复机组的态势感知能力是当务之急。
(1)如果法航447安装有迎角指示器,机组会发现其读值远高于正常水平。也就是说飞机在快速接近失速。(事故调查报告中也指出未安装迎角指示器是重要缺陷。)
那我们又如何确定迎角数据的可靠性呢?
(2)俯仰姿态、和FPV均源自惯导系统,其二者的差值近似等于迎角。(为便于描述,我们后文简称其为“惯导迎角”。)我们可以利用“惯导迎角”来检查迎角传感器的可靠性。
上述过程,意在恢复机组的态势感知能力。机组只需要清醒意识到空速不可靠,执行“475/1080”记忆项目,整个特情处置就成功一半儿了。
“475/1080”记忆项目会以高度作为“能量海绵”,保持飞机既不失速,也不超速;既不超过升限,也不低于10000英尺。(详见《475/1080》一文)。
案例二XL888T空难
A320飞机在4000英尺高度进行“失速迎角保护”演示飞行。1号和2号迎角传感器因结冰卡阻,3号迎角传感器工作正常。但由于三组迎角数据差异过大,所以全部被系统拒绝,进而导致自动配平失效。
机组加油门改出失速,由于升降舵气动效能低于水平安定面,且机组未使用人工配平,故而俯仰姿态始终无法减小。最终飞机失速坠毁。
乍看起来,XL888T空难与前一段时间发生的狮航610空难非常相似。但其实二者有着很大的差异。
波音737只有两个迎角传感器,不能识别错误数据,也不能隔离错误数据。所以在狮航610空难中,一个迎角传感器故障,系统即放任错误数据诱导MCAS向前驱动配平。
空客320有三个迎角传感器,能够识别迎角数据错误,也能够隔离不可靠数据,但不能确定哪个传感器故障。所以在XL888T空难中,两个迎角指示器故障,导致全部三个迎角数据被系统拒绝。自动配平失效在当前位置,并且向机组提供了“USE MAN PITCH TRIM”警告信息。
同样是迎角传感器故障。
同样遭遇水平安定面气动效能超过升降舵的问题。
同样以失控坠海收场。
但必须要说,A320与B737机型在仪表数据架构上的水平,还是高下立判的。
如果XL888T不是刻意进入高迎角状态,演示飞行高度再高一些,机组能够注意到“USE MAN PITCH TRIM”警告,原本是很有希望改出的。
好了,我们回到本节的“跨系统交叉检查”的思路上来。
(1)如果XL888T驾驶舱配备迎角指示器,那么机组会发现,在失速进入阶段“惯导迎角”在持续增大,而迎角指示器读值则维持不变。二者间显著的差异,会让机组意识到系统存在异常,并中止演示飞行。
(2)“惯导迎角”持续增大,迎角读值保持不变,而空速在持续减小。很显然“惯导迎角”与空速间表现出更合理匹配的关系。我们可以藉此确认,错误出现在迎角传感器系统。从理论上讲,我们甚至可确认是哪个迎角传感器故障,继而“释放”3号迎角传感器的数据。
(3)如果“惯导迎角”的可靠性被确认,机组人工介入的时机会更早,而不是意识到“迎角保护功能”失效后才仓促采取措施。空速越低,升降舵与水平安定面的效能差距就越大。
(4)在姿态最高的阶段,机组采取向右压坡度的方式,减小升力竖直方向的分力,以获得低头力矩。这是一个“教科书式的”失控改出技巧。
但很不幸,所有失控改出技巧均基于这样一个默认的前提——飞机未进入失速。而在失速状态下主动进入横滚,则可能进入更复杂的状态。这何尝不是一个“解决方案陷阱”呢?
相较之下,B737飞机的“模拟杆力”会促使机组本能地向操纵同向使用人工配平。这是笔者非常赞赏的一个“落后设计”。瑕不掩瑜,我们“空中健身房”也不全是一无是处。
案例三狮航610空难
B737MAX飞机左侧迎角传感器故障,左侧迎角读值较右侧高15度左右。空速指示未见异常。左侧迎角传感器错误导致多次失速警告,并误导MCAS向前配平。机组多次使用主电配平纠正MCAS的错误。最终MCAS将配平驱动至前止位,超过了升降舵权限。飞机高速俯冲坠毁。
我们首先以“跨系统交叉检查”的思路审视这个案例:
(1)如果驾驶舱内配备迎角指示器,机组会发现左右侧迎角指示差异巨大。
(2)与“惯导迎角”进行对,机组会发现右迎角数据更加可信。
(3)5000英尺(大气数据)保持平飞(VS/FPV惯导数据),空速250节(大气数据),俯仰姿态(惯导数据)应当在2°左右,证明惯导与大气数据合理匹配。此时的迎角怎么可能是15°呢?
(4)确认飞机真实迎角,会坚定机组保持当前状态的决心,更频繁的使用主电配平对抗MCAS,甚至于考虑将配平马达断电(波音技术通告中建议切断主电和自动驾驶配平切断电门)。
在狮航610空难后,波音公司发布了针对B737MAX机型MCAS系统缺陷的技术通告,在业内引发了广泛的讨论。
在一些已经公开的事故数据中,我们可以看到机组曾经使用主电配平短时恢复了对状态的控制。
这说明只要机组有拉起机头的主观意愿,失控就是有希望改出的。但反复出现的失速警告和MCAS配平,很可能动摇了机组带杆增加姿态的判断。以至于MCAS的错误配平最终占据上风,将水平安定面驱动至前止位,导致飞机俯仰失控。
说到底,机组态势感知能力的丧失,对飞机状态的认知错误,才是导致狮航610空难的根本原因。
如果由笔者负责波音的危机公关,我会非常乐见业界对MCAS系统的争议和指责。
因为改进MCAS是成本最低的解决方案。而想要把B737的仪表数据架构推到重来,则无异于设计一款全新的飞机。继续装聋作傻,头痛医头,脚痛医脚,是波音唯一的选择。
反观空客系列飞机,已经初步具备了错误数据的识别和隔离理念,进一步改良架构不存在技术上的障碍。但有波音这样的“猪对手”挡在前面,恐怕空客也未必多有动力投入资源。
反倒是C919和A220这样的后发机型,如果能够在设计之初谨慎规划仪表数据架构,则会给未来的技术升级打下良好的基础。
番外篇“半部现代航空仪表史”
笔者经常与人戏言:波音737飞机的失速警告信息,就是“半部现代航空仪表史”。
(一)抖杆器
B737飞机的驾驶杆安装有抖杆器。抖杆器是由一个电动马达和一个“偏心铁环”构成的。
失速警告被触发时,马达驱动“偏心铁环”抖动,同时发出巨大的噪音。在“机械仪表+无线电罗盘领航”时代,这无疑是一个很巧妙的设计。
(二)俯仰极限指示
俯仰极限指示器,俗称“小胡子”或“小耙子”,既可以为失速改出提供直观的指示,也可以提供粗略的抖杆余度提示。
笔者专门咨询了很多飞过B737CL全机械仪表型号的前辈。据他们回忆,在机械式ADI上就已经有俯仰极限指示杆了。B737机型几经变化,但俯仰极限指示的形式并未改变。
(三)MCP板低速极限符号
飞机无法达到指令的空速时,在MCP面板的速度窗中会出现速度限制符号。
低速限制符号为闪烁的“A”。超速限制符号为闪烁的“8”
为什么是“A”和“8”?
回家找个老式计算器看看就明白了。
(四)BUFFET ALERT信息
随着B737飞机配备FMC,在飞机触发抖杆前CDU草稿栏里会默默地出现一条“BUFFET ALERT”信息。这一提示功能也保留至今。
(五)速度带
B737CL机型早期的电子飞行仪表系统(EFIS)中是没有速度带的,只有快慢指针。在较晚批次的CL机型上开始配备速度带显示,但仍保留机械式空速表。
与俯仰极限指示相比,速度带(下琥珀色区、下红区)可以更为量化的显示抖杆余度。这一显示方式也被后续的B737机型所继承。
(五)“air speed low ”语音
在B737NG后期版本选型中,开始出现“air speed low ”语音警报。其触发时机早于抖杆,大致在速度带下琥珀色区中段后。
低速/失速警告是B737仪表数据架构的一个缩影。整个B737的仪表数据是基于一个非常陈旧的架构,不断的利用新技术补强而来的。
来自:艺不压身
可以,分析的很详细
页:
[1]